Podrem integrar els comptes de Citrix ShareFile Enterprise amb els nostres usuaris del Directori Actiu per permetre Single Sign-on i validar el login dels usuaris amb les seves credencials del DA, així òbviament els nostres volguts usuaris no hauran de recordar dos passwords diferents!

 

En aquesta imatge podem comprovar com és el procés de connexió d'un client a l'entorn ShareFile, on el logon es sol·licita als servidors de Citrix i es redirecciona al nostre datacenter, després de l'autenticació podrem realitzar la transferència de fitxers contra els servidors de Citrix o els del nostre datacenter en cas d'haver desplegat prèviament un StorageZone Controller.

Ja que ShareFile utilitza SAML (Security Assertion Markup Language) per al SSO, configurarem ShareFile perquè es comuniqui amb els nostres Serveis de Federació d'Active Directory de Microsoft (ADFS) que proporcionen aquest accés d'inici de sessió únic. I els usuaris quan es validin al portal de ShareFile, les sol·licituds d'inici de sessió dels usuaris es redirigiran a AD de manera segura.

Els comptes d'usuari a ShareFile requeriran un ID de nom en format correu electrònic, haurem de tenir una adreça de correu electrònic correcta configurada com a UPN (Nom Principal d'Usuari) de l'usuari o sinó com a alternativa l'atribut 'Adreça de correu'’ de l'usuari.

Haurem de crear un registre A al nostre domini públic (adfs.dominio.eso) que redirigirem a aquest servidor d'ADFS (podrem utilitzar un proxy a la DMZ per assegurar encara més els accessos). També necessitarem un certificat ja instal·lat al servidor per al lloc, podem tenir problemes amb els Wildcard si el subdomini no apareix al certificat.

 

Començarem per desplegar un servidor de Serveis de federació a la nostra xarxa, s'afegeix mitjançant l'Assistència per afegir rols i característiques’ > AD FS’ > Servei de federació.

 

Un cop instal·lat obrim la consola d'AD FS i seleccionem “Assistència per configurar el servidor de federació d'AD FS”,

 

Com que és el primer servidor de federació, seleccionarem “Crear un nou servei de federació”,

 

Podrem crear un servidor independent o una granja de servidors de federació que ens permetrà disposar d'alta disponibilitat en aquest servei crític.

 

Seleccionamos el nombre del servicio de federación y el certificado SSL que utilitzaremos para cifrar el trànsit,

 

Seleccionaremos la cuenta de servicio que utilizaremos con ADFS,

 

Pulsaremos en “Següent” para aplicar la configuración en este primer servidor,

 

… esperamos mentre se aplican les configuracions…

 

Llist, una vegada aplicada la configuración, “Tancar”.

 

Haurem de crear una regla per a la confiança dels usuaris en el sistema d'AD FS, des de “Relaciones de confianza” > “Veracidades de usuarios de confianza” > “Agregar veracidad del usuario de confianza…”

 

Nos abrirà un asistente de configuración, “Iniciar”,

 

Seleccionem “Escriure manualment les dades sobre l'usuari de confiança”,

 

En el nom a mostrar, identificarem com a referència el lloc de ShareFile per exemple, “Següent”,

 

Seleccionem “Perfil de AD FS” ja que utilitza el protocol SAML 2.0, “Següent”,

 

No seleccionem cap certificat per al xifrat del token, “Següent”,

 

En el panell d'administració de ShareFile, en “Configura Single Sign-On” haurem de copiar la URL del Servei de Consum d'Assertacions (ACS), llavors ja tornarem a aquesta consola de gestió per habilitar SSO / SAML.

 

Continuant amb l'assistent de veracitat, haurem de marcar “Habilitar compatibilitat amb el protocol SAML 2.0 Web SSO” i en l'Adreça URL del servei SSO de SAML 2.0 del usuari de confiança enganxarem la URL copiada en el pas anterior.

 

Filtrarem perquè l'usuari de confiança vengui únicament des del portal de ShareFile afegint la cadena d'identificador amb el lloc de Sharefile, amb el format: ‘domini.sharefile.com’ & “Agregar” & “Següent”,

 

Marquem “Permetre que tots els usuaris tinguin accés a aquest usuari de confiança” & “Següent”,

 

Revisem que tot és correcte en aquest resum & “Següent” per aplicar la configuració.

 

Posem en “Obrir el quadre de diàleg Editar regles de notificació per aquesta veracitat de l'usuari de confiança quan es tanqui l'assistent”

 

Hauríem d'indicar al AD FS quin tipus de credencials presentarem, posem en “Afegir regla…”

 

Seleccionem la plantilla “Enviar atributs LDAP com a notificacions” & “Següent”,

 

Indiquem un nom a la regla de notificació, seleccionem el Magatzem d'atributs com a 'Active Directory', seleccionem l'Atribut LDAP 'E-Mail-Addresses'’ i en Tipus de notificació indicarem 'Adreça de correu electrònic'. “Finalitzar”

 

Afegim una regla addicional per transformar la notificació, posem de nou en “Afegir regla…”

 

Seleccionem com a plantilla “Transformar una notificació entrant” & “Següent”,

 

Indiquem un nom a la regla de notificació, seleccionem com a Tipus de notificació entrant 'Adreça de correu electrònic', com a Tipus de notificació sortint 'Id'. de nom’ i com a Format d'id. de nom sortint 'Correu electrònic'. “Finalitzar”,

 

“Acceptar”,

 

Bé, a la consola AD FS haurem d'entrar a les propietats de la Veracitat d'usuari de confiança acabada de crear.

 

Marcarem com a Algorisme de hash segur 'SHA-1'’ & “Acceptar”,

 

Navegarem a la consola fins “Servei” > “Certificats” i sobre el certificat de Firma de token premem “Veure certificat…” per copiar-lo i posteriorment importar-lo al portal d'administració de ShareFile.

 

Posem en “Detalls” > “Copiar en fitxer…”

 

Exportarem el certificat en X.509 codificat base 64 (.CER)

 

Obrirem el fitxer amb un Bloc de notes i copiarem el certificat,

 

Ens loguegem a la instància de ShareFile com a administrador, seleccionem la pestanya “Admin”, seleccionem el menú de l'esquerra “Configura Single Sign-On” i habilitem SAML marcant 'Enable SAML'.

A 'ShareFile Issuer / Entity ID’ introduirem el nostre domini registrat a ShareFile amb el format 'domini.sharefile.com'’
A 'Your IDP Issuer / Entity ID’ introduirem 'https://domini.sharefile.com/saml/info' A 'X.509 Certificate' premem a “Change” y…

 

… Enganxarem el certificat copiat anteriorment! & “Save”,

 

Acabem la configuració, amb:

Login URL 'https://adfs.dominio.com/adfs/ls/’
Logout URL 'https://adfs.dominio.com/adfs/ls/?wa=wsignout1.0’
Comprovem que a SP-Initiated SSO certificate tenim 'HTTP Redirect with no signature’ i que SP-Initiated Auth Context està a 'Integrated Windows Authentication'’

I guardem amb “Save”!!!

 

Gestió d'usuaris,

Necessitarem l'eina de ShareFile User Management Tool per sincronitzar els nostres usuaris de l'AD amb els de ShareFile.

Descarregarem l'instal·ladors des de la web de MyCitrix, iniciem l'assistent & “Next”,

 

“Next”,

 

… esperem uns segons…

 

“Close”.

 

Obrim la consola User Management Tool, ens connectem al nostre lloc amb les nostres credencials d'Admin & “Inici de sessió”,

 

En Domain haurem d'introduir el domini local i unes credencials d'administrador per poder gestionar els usuaris, “Connect”,

 

Ens anem a la pestanya “Users”, explorem la unitat organitzativa on tenim els usuaris que volem afegir i els seleccionem. Apretem posteriorment a “Afegir Ruta”,

Marquem les dues primeres opcions a més d’indicar que el mètode d’autenticació és 'AD-Integrat','’ i el 'Storage Zone'’ és el lloc del nostre CPD on resideixen les nostres dades.

 

Confirmem que tenim els usuaris que volem i prement a “Comprometre ara”,

 

“Acceptar”, ja ens indica que ha sincronitzat a ShareFile els usuaris del nostre Active Directory per poder permetre'ls el Logon!!

 

Amb això, els usuaris ja podrien entrar a ShareFile amb els seus comptes d'usuari, però en obrir la URL de ShareFile als usuaris se'ls obrirà una finestra demanant l'usuari i la contrasenya (Obriran ‘https://domini.sharefile.com’ i se'ls redirigirà a ‘https://domini.sharefile.com/saml/login’). La veritat és que no té un portal que indiqui a l'usuari que està a ShareFile, potser els confongui! I a més no ens permetrà tenir usuaris emmagatzemats a Citrix ja que sempre ens validarà contra el Directori Actiu.

 

Configurant SAML perquè funcioni amb tots els navegadors,

Tindríem problemes d'accés amb Google Chrome per exemple :'( així que convé solucionar-ho.

 

A la consola d'administració de IIS, seleccionarem el lloc web predeterminat > ‘adfs’ > ‘ls’, seleccionaremos no requerir SSL i Omitir els certificats de client.

 

En el mateix directori virtual, seleccionaremos en les opcions d'autenticació, en la configuració avançada de 'Autenticació de Windows', desactivaremos la protecció ampliada.

 

Configurando un portal personalitzat per a SAML,

Si volem fer un portal en ShareFile amb Single Sign On personalitzat, o al menys que ens permetem saber que estem en ShareFile, haurem de primer, posarnos en contacte amb el suport de Citrix, seguir els següents passos i indicarles que ens activen el portal.

 

Ens hauríem de descarregar la plantilla del portal d'este link, descomprimirla i modificarla. Editarem 'login.htm’ per reemplaçar la URL SAML correcta, canviar:

'https://subdomain.sharefile.com/saml/login’ amb 'https'://dominio.sharefile.com/saml/login’
'https://subdomain.sharefile.com/resetpasswordrequest.aspx’ amb 'https'://mysubdomain.sharefile.com/resetpasswordrequest.aspx’

Òbviament podrem editar el fitxer com vulguem, o les imatges, logotips…

 

En “Carpetes compartides” haurem de crear una carpeta nova compartida que es digui 'Customizations', posem en “Crear carpeta compartida”,

 

A Folder Name posem 'Customizations', i a 'Add Users'’ indicarem 'Add Manually'’ & “Crear carpeta”,

 

Haurem d'introduir a 'Email Address'’ l'adreça de correu de suport ‘la seva*****@*******le.com‘ per compartir-li els fitxers de configuració, introduïm la resta d'informació i donem permisos de descàrrega. “Afegir usuari”,

 

Haurem de subir a aquest directori tot el contingut que hem descomprimit del fitxó 'CustomLogin Template.zip’

 

Podremos comprovar com accedir a 'https://dominio.sharefile.com/customlogin.aspx’ ja tenim el doble portal d'accés a ShareFile configurat al nostre gust; els usuaris de Director Actiu podran accedir des de l'esquerra en SAML Login i els usuaris de Citrix podran accedir des de Email Login amb les seves direccions de correo.

Més informació en la documentació oficial sobre configuració de Inici de sessió únic amb ShareFile i la personalització del portal.