ShareConnect

重要的是:

ShareConnect于2020年6月30日到达生命周期(EOL)。有关详细信息,请参见EOL和被弃用的应用．

通过ShareConnect，用户可以安全地通过ipad、Android平板电脑和Android手机连接到他们的电脑，访问他们的文件和应用程序。用户可以:

• 处理驻留在他们的计算机和连接和网络驱动器上的文件
• 在ShareConnect中运行目标机器上的应用程序。
• 可以访问移动应用程序，而不需要包装其他移动生产力应用程序。
• 运行ShareConnect在Citrix虚拟桌面移动优化访问。

您可以从。下载ShareConnect的MDX版本端点管理下载页面。

有关如何安装和使用ShareConnect的一般信息，请参见Citrix知识中心．

体系结构概述

ShareConnect组件包括citrix拥有的ShareConnect代理和ShareConnect通信服务器，如下图所示。ShareConnect Broker是将用户映射到计算机的应用服务器和数据库。然后，应用程序让用户知道他们的主机是在线还是离线。通信服务器用于在主机和客户端计算机之间交换数据。数据可以通过安全的微VPN隧道在主机和客户端计算机之间流动端点管理设置。

此外，Citrix Files可以使用SAML身份提供程序(IdP)通过单点登录(SSO)提供用户身份验证，例如端点管理或活动目录联合服务(ADFS)。在带有Endpoint Management的部署中，通过Citrix Gateway提供对网络外部资源的访问。

在ShareConnect中连接是如何工作的

ShareConnect建立直接或间接连接:

• 直接连接。如果客户端计算机和主机计算机在同一个局域网或Wi-Fi网络上，ShareConnect可以在客户端计算机和主机计算机之间建立直接连接。在此场景中，数据直接在客户端计算机或用于访问主机的移动设备之间流动。数据不通过ShareConnect通信服务器，从而获得最佳性能。对于直接连接，Endpoint Management使用Citrix Gateway提供对本地网络外部资源的安全访问。
• 间接连接。如果客户端计算机和主机计算机不能直接连接，ShareConnect在两者之间建立间接连接。在此场景中，数据流通过ShareConnect通信服务器。

下图显示了当用户从运行ShareConnect的计算机或移动设备通过直接连接访问主机时使用的连接。连接步骤在图后描述。

①在这个场景中，Endpoint Management被配置为作为Citrix Files的SAML IdP，从Secure Hub提供SSO。ShareConnect从Secure Hub请求一个SAML令牌，后者又通过Citrix Gateway将请求传递给Endpoint Management。端点管理然后将SAML令牌发送到ShareConnect。

②ShareConnect将SAML令牌发送到Citrix Files进行验证，并将SAML令牌交换为OAuth令牌。

③ShareConnect向ShareConnect代理发送OAuth令牌，代理再向ShareConnect发送一个会话令牌。

④ShareConnect从ShareConnect代理获取主机列表，并提示输入主机凭据。然后，ShareConnect与ShareConnect通信服务器建立直接连接。在主机验证凭据后，ShareConnect从主机获得文件和应用程序的列表。当用户打开一个文件或应用程序后，ShareConnect与主机之间产生直接连接。

⑤主机上的ShareConnect代理向ShareConnect Poll Server发送状态消息，表明它是在线还是离线。

⑥ShareConnect Poll Server从ShareConnect代理向ShareConnect Broker发送负载均衡请求，并向ShareConnect Broker发送主机状态更新。

ShareConnect安全

ShareConnect使用内置的128位AES加密，因此所有在ShareConnect客户端和运行ShareConnect代理的主机之间发送的数据都是端到端完全加密的。加密密钥对于每个连接都是唯一的。即使是最复杂的设备也无法截获解码加密所需的数据。

通常情况下，配置ShareConnect使数据直接在ShareConnect客户端和主机之间路由。除非将网络访问策略配置为无限制访问，否则数据不会通过ShareConnect通信服务器进行路由。有关策略的详细信息，请参见本文中的“将ShareConnect添加到端点管理”。

对于直接连接或间接连接，加密的元数据，如建立连接所需的IP地址和端口，被发送到ShareConnect服务器。

另外，ShareConnect的MDX封装通过MDX仓库提供数据加密。该保险库对iOS (iOS 9之前的版本)和Android设备上的mdx包装的应用程序和相关存储数据进行加密。通过使用OpenSSL提供的fips认证的加密模块进行加密。

有关安全设置和管理员控件的信息可以在以下安全白皮书中找到。

ShareConnect安全白皮书

ShareConnect管理员指南

ShareConnect的端口要求

打开以下端口允许ShareConnect通信。端口要求因连接类型的不同而不同。如果计算机在同一个局域网或Wi-Fi网络上，连接可以是直接连接。如果客户端和主机不能直接连接，也可以是间接连接。

直接连接

TCP端口80 -用于从Citrix Gateway到app.shareconnect.com的出站连接。

源——Citrix网关

目的地——app.shareconnect.com

TCP端口80,443, 8200 -从Citrix Gateway到ShareConnect通信服务器的出站连接需要至少一个这些端口。

源——Citrix网关

目的地—ShareConnect通信服务器

TCP端口80,443, 8200 -用于从ShareConnect主机到Citrix服务器的出站连接。

源—ShareConnect主机

目的地—poll.shareconnect.com、ShareConnect通信服务器

TCP端口443—用于从Citrix Gateway到所需站点的出站连接。

源——Citrix网关

目的地—crashlytics.com、secure.sharefile.com、sharefile_subdomain.sharefile.com

TCP端口53000—53010—用于从Citrix Gateway到ShareConnect主机的出站连接。

源——Citrix网关

目的地—基于lan的ShareConnect主机

TCP端口53000 - 53010 -用于从Citrix Gateway到ShareConnect主机的入站连接。

源——Citrix网关

目的地—基于lan的ShareConnect主机

间接连接

TCP端口80 -用于从ShareConnect代理到app.shareconnect.com的出站连接。

源——ShareConnect代理

目的地——app.shareconnect.com

TCP端口80,443, 8200 -从ShareConnect代理到ShareConnect通信服务器的出站连接需要至少一个这些端口。

源-ShareConnect代理

目的地—ShareConnect通信服务器

TCP端口80,443, 8200 -用于从ShareConnect主机到Citrix服务器的出站连接。

源-ShareConnect主机电脑

目的地—poll.shareconnect.com、ShareConnect通信服务器

TCP端口443 -用于从ShareConnect代理到所需站点的出站连接。

源-ShareConnect代理

目的地—crashlytics.com、secure.sharefile.com、sharefile_subdomain.sharefile.com

集成和交付ShareConnect

要将ShareConnect与端点管理集成并交付，请遵循以下一般步骤:

1. 您可以选择从Secure Hub启用SSO。为此，您可以在端点管理中配置Citrix Files帐户信息，以启用端点管理作为Citrix Files的SAML IdP。

   在Endpoint Management中配置Citrix Files帐户信息是一次性设置。一次性设置用于所有移动生产力应用程序客户端、Citrix Files客户端和非mdx Citrix Files客户端。

2. 下载和包装ShareConnect。有关详细信息,请参见关于MDX Toolkit．

3. 将ShareConnect添加到Endpoint Management中，并配置MDX策略。

4. 在主机上安装ShareConnect代理。ShareConnect代理是一个MSI包。因此，您可以使用现有的软件部署方法来分发和安装代理。然后，用户必须在安装后的一个小时内使用Citrix Files凭据登录到代理，从而注册主机。

   或者，用户也可以在与ShareConnect连接的计算机上安装ShareConnect代理。有关详细信息，请参阅本文后面的“在计算机上安装ShareConnect代理”一节。

添加ShareConnect到端点管理

您可以使用与其他MDX应用程序相同的步骤将ShareConnect添加到端点管理。有关详细信息,请参见添加MDX应用程序．添加ShareConnect时，需配置ShareConnect的MDX策略，如下表所示。

政策	价值	结果
网络访问	隧道连接到内部网络或无限制	隧道到内部网络使用每个应用程序的VPN隧道返回到内部网络的所有网络访问。该配置提供了ShareConnect与主机之间的直接连接。unlimited使用citrix拥有的通信服务器在主机和ShareConnect之间路由加密数据。一定要用不受限制的访问来测试您的设置，以确保一切都能正常工作，即使您计划使用tunneling到内部网络进行网络访问。
首选VPN模式	安全浏览	为需要单点登录的连接适当地设置初始连接模式。
启用加密	在	加密存储在平板电脑上的数据。
剪切和复制	不受限制的	支持ShareConnect的剪切和复制操作。
粘贴	不受限制的	启用ShareConnect的粘贴操作。
文档交换(开放)	不受限制的	允许用户从ShareConnect打开连接的计算机或连接的网络驱动器上的任何文件。
保存密码	从	要求用户每次登录ShareConnect时都要输入计算机的用户名和密码。

在计算机上安装ShareConnect代理

以下步骤描述用户如何在希望从支持的移动设备连接到的每台物理计算机或虚拟计算机上安装ShareConnect代理。

在执行这些步骤之前，用户必须首先安装Secure Hub。然后，他们根据提示允许在支持的移动设备上安装移动生产力应用程序。

1. 在平板电脑上登录到Secure Hub。

2. ShareConnect开放。

3. 点击电子邮件下载链接。

   Citrix从no-reply@shareconnect.com向您发送电子邮件。

4. 从您想从ShareConnect访问的主机上，打开电子邮件。

5. 在邮件中，单击“设置此计算机”。

6. 双击ShareConnect_Installer.exe开始安装。

   ShareConnect代理安装在您的主机上。安装过程中，如果配置了Citrix Files单点登录，ShareConnect会提示输入电子邮件地址。或者，如果没有配置Citrix Files SSO，则ShareConnect提示输入Citrix Files凭据。

7. 按照ShareConnect和Get Started向导中提供的说明操作。

ShareConnect代理然后注册主机。主机可以从ShareConnect客户端连接，前提是主机已上电，并且可以在至少一个发布端口(80、443或8200)上访问poll.shareconnect.com。

ShareConnect特性

• 添加主机电脑．用户可以使用ShareConnect从支持的移动设备添加并连接到远程主机。

• 访问文件．用户可以查看最近的文件列表，浏览和搜索主机和连接驱动器上的文件。

• 编辑文件．用户可以通过平板电脑访问主机上的桌面应用程序来编辑文件。用户可以全屏使用应用程序。

• 屏幕共享．用户可以使用屏幕共享功能来查看其主机的桌面，而不是查看单个文件或应用程序。

• Citrix文件整合．用户可以在主机和Citrix files之间移动或共享文件。

• 键盘和鼠标．

• 限制港口．ShareConnect只使用53000 ~ 53010端口。

• 强制每次登录的密码．为了增强安全性，您可以配置此选项，要求用户每次登录ShareConnect时输入计算机密码。当“保存密码”策略被关闭时(如下图所示)，用户将被迫为每个连接输入登录凭据。

  

• 添加或删除应用程序．用户可以在ShareConnect的应用程序托盘中添加或删除应用程序，通过拨动每个应用程序旁边的开关来选择或取消选择它。

  

• 缓存预览文件．ShareConnect会缓存已经访问过的文件，这样当用户预览其他文件后返回到之前的文件时，这些文件就不会再次下载。当用户以后访问文件时，该特性可以提高加载时间。

故障排除ShareConnect

ShareConnect代理安装问题

问题	描述和解决
如果用户下载了ShareConnect代理程序并等待一个小时或更长时间才开始安装，则必须输入Citrix Files帐户名和密码来注册ShareConnect代理程序。	ShareConnect代理安装程序包含一个令牌，该令牌将在下载一小时后过期。如果用户没有在令牌过期之前开始安装，那么用户必须登录到他们的Citrix Files帐户两次，第一次是注册ShareConnect代理，然后是在安装完成后登录到代理。如果用户在一个小时内下载并安装ShareConnect代理，他们将被提示只登录一次。
在注册ShareConnect代理期间，代理不连接，并出现错误消息，如“请检查您的连接并重试。””出现了。	验证到poll.shareconnect.com的端口没有被阻塞。有关详细信息，请参见本文前面的系统需求。

ShareConnect连接问题

重要的是:

为了测试ShareConnect，我们建议您将网络访问策略设置为不受限制的排除端口和网络设置的问题。不受限制的访问迫使ShareConnect通过ShareConnect通信服务器进行连接，如果ShareConnect移动设备和主机可以访问Internet，通常可以通过该通信服务器测试连接。

问题	描述和解决
ShareConnect启动，但不连接到主机，也不提示输入凭据。	验证您的设置是否满足本文前面“系统需求”部分详细介绍的端口需求。
用户无法使用Citrix Files帐户凭证登录ShareConnect。	SSO到ShareConnect要求您的Citrix Files帐户配置了SAML IdP。有关将端点管理作为SAML IdP使用的详细信息，请参见Citrix端点管理内容协作．其他idp的配置请参见本文档知识中心的文章．如果您的帐户没有配置单点登录，ShareConnect for iOS会提示输入用户的Citrix Files用户名和密码。
用户登录ShareConnect后，ShareConnect无法连接到主机。	当将ShareConnect配置为直连(即将网络访问策略设置为隧道连接到内部网络)时，如果在网络设置中存在防火墙阻止或配置代理服务器等限制，则会导致连接失败。