SAML单点登录与Citrix文件

可以将XenMobile和Citrix内容协作配置为使用安全声明标记语言(SAML)来提供对Citrix文件移动应用程序的单点登录(SSO)访问。此功能包括：

• 使用MDX Toolkit启用或封装MAM SDK的Citrix Files应用程序

• 未封装的Citrix Files客户端，例如Web站点，Outlook插件或同步客户端

• 适用于打包的Citrix Files应用程序。通过Citrix文件移动应用程序登录Citrix文件的用户将被重定向到安全中心进行用户身份验证以及获取SAML令牌。成功进行身份验证后,Citrix文件移动应用程序会将SAML令牌发送到内容协作。初始登录后，用户可以通过SSO访问Citrix Files移动应用程序。还可以将附件从合作内容附加到安全邮件邮件,而不需要每次都登录。
• 对于未打包的Citrix Files客户端。使用网页浏览器或其他Citrix文件客户端登录Citrix文件的用户将被重定向到XenMobile。XenMobile对用户进行身份验证,然后用户获取发送到内容合作的SAML令牌。初始登录后，用户可以通过SSO访问Citrix Files客户端，而不需要每次都登录。

要将XenMobile作为SAML身份提供程序(IdP)用于内容合作,必须将XenMobile配置为使用企业帐户,如本文中所述。或者，可以将XenMobile配置为只与存储区域连接器一起使用。有关详细信息，请参阅将思杰内容协作与XenMobile结合使用。

有关详细的参考体系结构图，请参阅体系结构。

必备条件

先完成以下必备条件,才能对XenMobile和Citrix文件应用程序配置SSO:

• 老妈SDK或兼容版本的MDX工具包(适用于Citrix文件移动应用程序)。

  有关详细信息，请参阅XenMobile兼容性。

• 兼容版本的Citrix Files移动应用程序和Secure Hub。
• 内容协作管理员帐户。
• 通过验证的XenMobile与内容协作之间的连接。

配置内容协作访问权限

在为内容协作设置SAML之前，请按以下方式提供内容协作访问信息:

1. 在XenMobile Web控制台中，单击配置>共享文件。此时将显示ShareFile配置页面。您的控制台可能会显示术语内容协作，而非共享文件。

   

2. 配置以下设置：

   • 域：键入您的内容协作子域名。例如：example.sharefile.com。
   • 分配给交付组：选择或搜索希望能够对内容协作使用SSO的交付组。
   • ShareFile管理员帐户登录
   • 用户名：键入内容协作管理员用户名。此用户必须具有管理员权限。
   • 密码：键入内容协作管理员密码。
   • 用户帐户预配：保留此设置处于禁用状态。使用思杰内容协作用户管理工具进行用户预配。请参阅预配用户帐户和通讯组。

3. 单击测试连接按钮以确认内容合作管理员帐户的用户名和密码是否可以向指定的内容合作帐户进行身份验证。

4. 单击保存。

   • XenMobile将与内容协作同步并更新内容协作设置ShareFile颁发者/实体ID和登录url。

   • 配置>共享文件页面显示应用程序内部名称。您需要该名称才能完成后面在修改Citrix Files.com SSO设置中介绍的步骤。

为封装的Citrix Files MDX应用程序设置SAML

对于包含封装的Citrix MDX文件应用程序的单点登录配置,您无需使用Citrix网关。要为未封装的Citrix文件客户端(例如Web站点,前景的插件或同步客户端)配置访问权限,请参阅为其他Citrix Files客户端配置Citrix Gateway。

以下步骤适用于iOS和Android应用程序和设备。要为封装的Citrix Files MDX应用程序配置SAML，请执行以下操作:

1. 使用MDX Toolkit打包Citrix Files移动应用程序。有关使用MDX Toolkit打包应用程序的详细信息、请参阅使用MDX Toolkit打包应用程序。

2. 在XenMobile控制台中，上载打包的Citrix Files移动应用程序。有关上载MDX应用程序的信息，请参阅向XenMobile中添加MDX应用程序。

3. 验证SAML设置:使用在前面配置的管理员用户名和密码登录内容协作。

4. 确认为内容协作和XenMobile配置了相同的时区。确保XenMobile按配置的时区显示正确时间。如果不正确，所以可能会失败。

验证Citrix Files移动应用程序

1. 在用户设备上，安装和配置安全集线器。

2. 从XenMobile Store下载并安装Citrix Files移动应用程序。

3. 启动Citrix Files移动应用程序。Citrix Files 将启动，但不提示输入用户名和密码。

使用安全邮件验证

1. 在用户设备上，如果尚未安装和配置安全中心，请进行安装和配置。

2. 从XenMobile Store下载，安装并设置安全邮件。

3. 打开新的电子邮件窗体，并轻按从Citrix Files附加。此时将显示可以附加到电子邮件中的文件，但不提示输入用户名或密码。

为其他Citrix Files客户端配置Citrix Gateway

要配置对未打包的Citrix文件客户端(例如Web站点,前景的插件或同步客户端)的访问,请将Citrix网关配置为支持将XenMobile用作SAML身份提供程序,如下所示。

• 禁用主页重定向。
• 创建Citrix Files会话策略和配置文件。
• 在Citrix Gateway虚拟服务器上配置策略。

禁用主页重定向

对通过/cginfra路径发出的请求禁用默认行为。执行该操作后，用户将看到最初请求的内部url，而非配置的主页。

1. 编辑用于XenMobile登录的Citrix Gateway虚拟服务器的设置。在Citrix ADC中，转至其他设置（其他设置），然后取消选中标签为重定向到主页（重定向到主页）的复选框。

   

2. 在ShareFile(现在称为内容合作)下方,键入XenMobile内部服务器的名称和端口号。

3. 在Citrix端点管理下，键入您的XenMobile URL。您的Citrix Gateway版本可能会引用较旧的产品名称有一个。

   此配置授权您向通过/cginfra路径输入的URL发送请求。

创建Citrix Files会话策略并请求配置文件

请配置以下设置以创建Citrix Files会话策略并请求配置文件:

1. 在Citrix Gateway配置实用程序的左侧导航窗格中单击Citrix Gateway >策略(策略)>会话(会话)。

2. 创建会话策略。在政策（策略）选项卡上，单击添加（添加）。

3. 在的名字（名称）字段中，键入ShareFile_Policy。

4. 单击+按钮创建操作。此时将显示创建会话配置文件（创建会话配置文件）页面。

   

   配置以下设置：

   • 姓名(名称):键入ShareFile_Profile。
   • 单击客户体验（客户端体验）选项卡，然后配置以下设置：
     • 主页(主页):键入没有一个（无）。
     • 会话超时(分钟)(会话超时(分钟))：键入1。
     • 单点登录Web应用程序(单点登录到Web应用程序):选择此设置。
     • 证书索引(凭据索引):单击主要的（主要）。
   • 单击发布应用程序（已发布的应用程序）选项卡。

   

   配置以下设置：

   • ICA代理(ICA代理):单击在（开）。
   • Web界面地址(Web界面地址):键入XenMobile Server的URL。

   • 单点登录域(单点登录域):键入活动目录的域名。

     配置Citrix Gateway会话配置文件时，单点登录域(单点登录域)的域后缀必须与在LDAP中定义的XenMobile域别名匹配。

5. 单击创建（创建）以定义会话配置文件。

6. 单击表达式编辑器（表达式编辑器）。

   

   配置以下设置：

   • 值(值):键入NSC_FSRD。
   • 标题名称(标头名称):键入饼干。

7. 单击创建（创建），然后单击关闭（关闭）。

   

在Citrix Gateway虚拟服务器上配置策略

在Citrix Gateway虚拟服务器上配置以下设置。

1. 在Citrix Gateway配置实用程序的左侧导航窗格中单击Citrix Gateway >虚拟服务器（虚拟服务器）。

2. 在细节(详细信息)窗格中，单击Citrix Gateway虚拟服务器。

3. 单击编辑。

4. 单击已配置策略(已配置的策略)>会话策略(会话策略)，然后单击添加绑定（添加绑定）。

5. 选择ShareFile_Policy。

6. 编辑为选定策略自动生成的优先级（优先级）编号，以便与列出的任何其他策略相比，其优先级最高（编号最小）。例如：

   

7. 单击完成(完成)，然后保存运行的Citrix ADC配置。

修改Citrix Files.com SSO设置

针对MDX和非MDX Citrix Files应用程序进行以下更改。

重要：

内部应用程序名称附加了一个新编号：

• 每次编辑或重新创建Citrix Files应用程序时
• 每次更改XenMobile中的内容协作设置时

因此,您还必须在Citrix文件Web站点中更新登录URL,以反映更新后的应用程序名称。

1. 以内容协作管理员身份登录到您的内容协作帐户(https:// <子域名> .sharefile.com)。

2. 在内容协作网站界面中，单击管理（管理），然后选择配置单点登录（配置单点登录）。

3. 按如下所示编辑登录网址(登录url):

   下面是编辑之前的登录网址(登录url)示例:https://xms.citrix.lab/samlsp/websso.do?action=authenticateUser&app=ShareFile_SAML_SP&reqtype=1。

   

   • 在XenMobile Server的FQDN前面插入Citrix Gateway虚拟服务器的外部FQDN和/ cginfra / https /，然后在XenMobile的FQDN后面添加8443。

     下面是编辑后的url示例:https://nsgateway.acme.com/cginfra/https/xms.citrix.lab:8443/samlsp/websso.do?action=authenticateUser&app=SHareFile_SAML_SP&reqtype=1

   • 将参数应用= ShareFile_SAML_SP更改为内部Citrix Files应用程序名称。默认情况下，内部名称为ShareFile_SAML。但是，每次更改配置时，都会向内部名称附加一个数字（ShareFile_SAML_2、ShareFile_SAML_3等）。可以在配置>共享文件页面上查找应用程序内部名称。

     下面是编辑后的url示例:https://nsgateway.acme.com/cginfra/https/xms.citrix.lab:8443/samlsp/websso.do?action=authenticateUser&app=ShareFile_SAML&reqtype=1

   • 向url的末尾添加&nssso = true。

     下面是最终url示例:https://nsgateway.acme.com/cginfra/https/xms.citrix.lab:8443/samlsp/websso.do?action=authenticateUser&app=ShareFile_SAML&reqtype=1&nssso=true。

4. 在可选设置（可选设置）下方，选中启用Web认证(启用网站身份验证)复选框。

   

验证配置

请执行以下配置以验证设置。

1. 在浏览器中访问https:// <子域名> sharefile.com/saml/login。

   系统会将您重定向到Citrix Gateway登录表单。如果未被重定向，请验证前面的配置设置。

2. 输入所配置的Citrix Gateway和XenMobile环境的用户名和密码。

   此时将在<子域名> .sharefile.com下显示您的Citrix Files文件夹。如果未显示您的Citrix Files文件夹，请确保您输入了正确的登录凭据。