Citrix ShareFileren integrazioa Aktibo Atalarekin

Citrix ShareFile Enterprise kontuak gure Active Directory erabiltzaileekin integratu ahal izango ditugu Single Sign-on ahalbidetzeko eta erabiltzaileen loginak beraien AD kredentzialekin egiaztatzeko, ondorioz, gure maite ditugun erabiltzaileek bi pasahitz desberdin gogoratu beharko ez dituztela jakina da!

 

ShareFileSAML

Irudi honetan ikus dezakegu nola egiten den bezero baten konexio-prozesua ShareFile ingurunearekin, non Citrix zerbitzarietan eskatzen den logona eta gure datu-zentrora birbideratzen den, Autentifikazioa egin ondoren, fitxategien transferentzia egin ahalko dugu Citrix zerbitzarien kontra edo gure datu-zentrokoen kontra, kasu honetan desplegatu badugu lehenik eta behin StorageZone Kontroladorea.

ShareFilek SAML erabiltzen duelako (Security Assertion Markup Language) SSO-rako, ShareFile konfiguratu egingo dugu gure Microsoft Active Directory Federazio Zerbitzuekin komunikatzeko (ADFS) hasiera-saio bakarreko sarbide hori ematen dutenak. Eta erabiltzaileak ShareFile portalean balidatzen direnean, las solicitudes de inicio de sesión de los usuarios se redigirán a AD de forma segura.

Las cuentas de usuario en ShareFile requireren de un ID de nombre en formato email, deberemos tener una dirección de correo electrónico correcta configurada como el UPN (User Principal Name) del usuario o si no como alternativa el atributo ‘Dirección de correodel user.

Deberemos crear un registro A en nuestro dominio público (adfs.dominio.eso) que redirigiremos a este servidor de ADFS (podremos utilizar un proxy en la DMZ para securizar aún más los accesos). Necesitaremos también un certificado instalado ya en el servidor para el sitio, podremos tener problemas con los Wilcard si el subdominio no aparece en el certificado.

 

citrix-sharefile-enterprise-50-bujarra

Hasierakoan gure sarean Federazio Zerbitzuen zerbitzari bat ezarriko dugu, 'Rolak eta ezaugarriak gehitzeko laguntzailea' bidez gehitzen da’ > 'AD FS'’ > 'Federazio Zerbitzua'.

 

citrix-sharefile-enterprise-51-bujarra

Instalatuta dagoenean, AD FS kontsola ireki eta hautatuko dugu “AD FS Federazio Zerbitzaria konfiguratzeko laguntzailea”,

 

citrix-sharefile-enterprise-52-bujarra

Lehen federazio zerbitzaria denez, honako hau hautatuko dugu “Federazio zerbitzu berri bat sortu”,

 

citrix-sharefile-enterprise-53-bujarra

Zerbitzari independente bat sor dezakegu edo federazio zerbitzarien baratze bat, zerbitzu kritiko honetan eskuragarritasun handia izateko aukera emango digun.

 

citrix-sharefile-enterprise-54-bujarra

Federazio zerbitzuaren izena eta trafikoa enkriptatzeko erabiliko dugun SSL ziurtagiria hautatzen dugu,

 

citrix-sharefile-enterprise-55-bujarra

ADFs-rekin erabiliko dugun zerbitzu kontua hautatuko dugu,

 

citrix-sharefile-enterprise-56-bujarra

Pulsaremos en “Hurrengoa” konfigurazioa lehen zerbitzari honetan aplikatzeko,

 

citrix-sharefile-enterprise-57-bujarra

… konfigurazioak aplikatzen diren bitartean itxaroten dugu…

 

citrix-sharefile-enterprise-58-bujarra

Listo, konfigurazioa aplikatu ondoren, “Itxi”.

 

citrix-sharefile-enterprise-59-bujarra

AD FS sisteman erabiltzaileen konfiantzarako arau bat sortu behar dugu, etik “Konfiantza harremanak” > “Erabiltzaileen konfiantza egiaztapenak” > “Erabiltzaile konfiantzazko egiaztapen bat gehitu…”

 

citrix-sharefile-enterprise-60-bujarra

Konfigurazio laguntzaile bat irekiko digu, “Iniciar”,

 

citrix-sharefile-enterprise-61-bujarra

Aukeratzen dugu “Escribir manualmente los datos acerca del usuario de confianza”,

 

citrix-sharefile-enterprise-62-bujarra

En el nombre a mostrar, identificaremos como referencia el sitio de ShareFile por ejemplo, “Hurrengoa”,

 

citrix-sharefile-enterprise-63-bujarra

Aukeratzen dugu “Perfil de AD FSya que utiliza el protocolo SAML 2.0, “Hurrengoa”,

 

citrix-sharefile-enterprise-64-bujarra

No seleccionamos ningún certificado para el cifrado del token, “Hurrengoa”,

 

citrix-sharefile-enterprise-65-bujarra

En el panel de administración de ShareFile, en “Configure Single Sign-Ondeberemos copiar la URL de Assertion Consumer Service (ACS), luego ya volveremos a esta consola de gestión para habilitar SSO / SAML.

 

citrix-sharefile-enterprise-66-bujarra

Continuando con el asistente de veracidad, deberemos marcarHabilitar compatibilidad con el protocolo SAML 2.0 Web SSOy en la Dirección URL de servicio SSO de SAML 2.0 fidagarria den erabiltzailearen URL aurreko pausuan kopiatu duguna itsatsiko dugu.

 

citrix-sharefile-enterprise-67-bujarra

Filtratzen dugu fidagarria den erabiltzailea ShareFile ataletik bakarrik etortzeko, identifikatzaile katearekin ShareFile gunearen bidez, formatuan: ‘dominio.sharefile.com’ & “Agregar” & “Hurrengoa”,

 

citrix-sharefile-enterprise-68-bujarra

Marcamos “Erabiltzaile guztiek sarbidea izan dezaten fidagarria den erabiltzaile honetara uzteko” & “Hurrengoa”,

 

citrix-sharefile-enterprise-69-bujarra

Laburrean guztiak zuzena direla berrikusten dugu & “Hurrengoa” para aplicar la configuración.

 

citrix-sharefile-enterprise-70-bujarra

Sakatu on “Fidagarria den erabiltzaile honen zuzentasunarekin jakinarazpen arauak editatzeko elkarrizketa-koadroa ireki, laguntzailearen leihoa itxiko denean”

 

citrix-sharefile-enterprise-71-bujarra

AD FSari zein motatako kredentzialak aurkeztuko ditugun adierazi behar diogu, sustatu “Arau gehitu…”

 

citrix-sharefile-enterprise-72-bujarra

Txantiloia hautatzen dugu “LDAP atributuak jakinarazpen gisa bidaltzea” & “Hurrengoa”,

 

citrix-sharefile-enterprise-73-bujarra

Jakinarazpen arauari izen bat ematen diogu, Atributuen biltegia 'Active Directory' gisa hautatzen dugu, LDAP Atributua 'E-Mail-Addresses' hautatzen dugu’ eta Jakinarazpen motan 'Posta elektronikoaren helbidea' adierazten dugu. “Amaitu”

 

citrix-sharefile-enterprise-74-bujarra

Jakinarazpena bihurtzeko arau gehigarria gehitzen dugu, berriro sakatzen dugu “Arau gehitu…”

 

citrix-sharefile-enterprise-75-bujarra

Txantiloia bezala hautatzen dugu “Sartutako jakinarazpena bihurtzea” & “Hurrengoa”,

 

citrix-sharefile-enterprise-76-bujarra

Jakinarazpen arauari izen bat ematen diogu, Sartutako jakinarazpen motan 'Posta elektronikoaren helbidea' hautatzen dugu, Irteerako jakinarazpen motan 'Id' hautatzen dugu. izen gisa’ eta Id formatua gisa. de nombre saliente 'Correo electrónico'. “Amaitu”,

 

citrix-sharefile-enterprise-77-bujarra

“Onartu”,

 

citrix-sharefile-enterprise-78-bujarra

Ondo, en la consola AD FS deberemos de entrar en las propiedades de la Veracidad de usuario de confianza recién creada.

 

citrix-sharefile-enterprise-79-bujarra

Marcaremos como Algoritmo de hash seguro 'SHA-1’ & “Onartu”,

 

citrix-sharefile-enterprise-80-bujarra

Navegamos en la consola hasta “Zerbitzua” > “Certificados” y sobre el Firma de token pulsamos “Ver certificado…” para copiarlo y posteriormente importarlo en el portal de administración de ShareFile.

 

citrix-sharefile-enterprise-81-bujarra

Sakatu on “Xehetasunak” > “Fitxategian kopiatu…”

 

citrix-sharefile-enterprise-82-bujarra

Exportaremos el certificado en X.509 codificado base 64 (.CER)

 

citrix-sharefile-enterprise-83-bujarra

Abrimos el fichero con un Bloc de notas y copiamos el certificado,

 

citrix-sharefile-enterprise-84-bujarra

Nos logueamos en la instancia de ShareFile como administrador, seleccionamos la pestaña “Administratzailea”, seleccionamos el menú izquierdoConfigure Single Sign-Ony habilitamos SAML marcando ‘Enable SAML’.

En ‘ShareFile Issuer / Entity IDintroduciremos nuestro dominio registrado en ShareFile con formato ‘dominio.sharefile.com
En ‘Your IDP Issuer / Entity IDintroduciremos ‘https://dominio.sharefile.com/saml/info’En X.509 Certificate pulsamos en “Change” eta…

 

citrix-sharefile-enterprise-85-bujarra

Pegaremos el certificado copiado anteriormente! & “Gorde”,

 

citrix-sharefile-enterprise-86-bujarra

Finalizamos la configuración, con:

Login URL ‘https://adfs.dominio.com/adfs/ls/
Logout URL ‘https://adfs.dominio.com/adfs/ls/?wa=wsignout1.0
Comprobamos que en SP-Initiated SSO certificate tenemos ‘HTTP Redirect with no signaturey que SP-Initiated Auth Context está a ‘Integrated Windows Authentication

Y guardamos con “Gorde”!!!

 

Gestión de usuarios,

Necesitaremos la herramienta de ShareFile User Management Tool para sincronizar nuestros usuarios del AD con los de ShareFile.

citrix-sharefile-enterprise-87-bujarra

Descargaremos el instalador desde la web de MyCitrix, iniciamos el asistente & “Next”,

 

citrix-sharefile-enterprise-88-bujarra

“Next”,

 

citrix-sharefile-enterprise-89-bujarra

… esperamos unos segundos…

 

citrix-sharefile-enterprise-90-bujarra

“Itxi”.

 

citrix-sharefile-enterprise-91-bujarra

Abrimos a consola User Management Tool, nos conectamos a nuestro sitio con nuestros credenciales de Admin & “Log on”,

 

citrix-sharefile-enterprise-92-bujarra

En Domain deberemos introducir el dominio local y unos credenciales de administrador para poder gestionar los usuarios, “Connect”,

 

citrix-sharefile-enterprise-93-bujarra

Fitxara joango gara “Erabiltzaileak”, y exploramos la unidad organizativa donde tenemos los usuarios que queramos añadir y los seleccionamos. Pulsamos posteriormente en “Add Rute”,

citrix-sharefile-enterprise-94-bujarra

Marcamos los dos lehen checks además de indicar que el método de authenticación es 'AD-Integrated’ y el 'Storage Zone’ es el sitio de gure CPD donde residen nuestros datos.

 

citrix-sharefile-enterprise-95-bujarra

Confirmamos que tenemos los erabiltzaileak nahi eta pulsatzen ditugun “Commit Now”,

 

citrix-sharefile-enterprise-96-bujarra

“Onartu”, ya nos indicated que sincronizó a ShareFile erabiltzaileak erabiltzaileak gure Active Directory para poder permitirles el Logon!!

 

Con esto, los erabiltzaileak ya podrían entrar en ShareFile con sus cuentas de usuario, pero al ireki la URL de ShareFile a los erabiltzaileak se les abrirá una ventana pidiendo el usuario y contraseña (Abrirán 'https://dominio.sharefile.com’ y se redirigirán a 'https://dominio.sharefile.com/saml/login’). La verdad que no tiene un portal que indica al usuario que está en ShareFile, quizás les confunda! Y además no nos permitirá tener usuarios almacenados en Citrix ya que nos validará siempre contra el Directorio Activo.

 

Configurando SAML para que funcione con todos los navegadores,

Tendríamos problemas de acceso con Google Chrome por ejemplo :'( así que conviene solucionarlo.

 

citrix-sharefile-enterprise-97-bujarra

En la consola de administración de IIS, seleccionaremos el sitio web predeterminado > ‘adfs’ > ‘ls’, seleccionaremos no requerir SSL y Omitir los certificados de cliente.

 

citrix-sharefile-enterprise-98-bujarra

En el mismo directorio virtual, seleccionaremos en las opciones de Autenticación, en la configuración avanzada de ‘Autenticación de Windows’, desactivaremos la protección ampliada.

 

Configurando un portal personalizado para SAML,

Si queremos hacer un portal en ShareFile con Single Sign On personalizado, o al menos que nos permita saber que estamos en ShareFile, deberemos primero, ponernos en contacto con el soporte de Citrix, seguir los siguientes pasos e indicarles que nos activen el portal.

 

citrix-sharefile-enterprise-100-bujarra

Nos deberemos descargar la plantilla del portal de este link, descomprimirla y modificarla. Editaremos ‘login.htmpara reemplazar la URL SAML correcta, cambiaremos:

'https://subdomain.sharefile.com/saml/logincon ‘https://dominio.sharefile.com/saml/login
'https://subdomain.sharefile.com/resetpasswordrequest.aspxcon ‘https://mysubdomain.sharefile.com/resetpasswordrequest.aspx

Obviamente podremos editar el fichero como queramos, o las imágenes, logotipos

 

citrix-sharefile-enterprise-101-bujarra

In “Shared Foldersdeberemos crear una carpeta nueva compartida que se llame ‘Customizations’, sustatu “Create Shared Folder”,

 

citrix-sharefile-enterprise-102-bujarra

En Folder Name ponemos ‘Customizations’, y en ‘Add Usersindicaremos ‘Add Manually’ & “Create Folder”,

 

citrix-sharefile-enterprise-103-bujarra

Deberemos introducir en ‘Email Addressla dirección del correo de soportesu*****@*******le.compara compartirle los ficheros de configuración, introducimos la demás información y damos permisos de descarga. “Add User”,

 

citrix-sharefile-enterprise-104-bujarra

Deberemos subir a este directorio todo el contenido que habíamos descomprimiro del fichero ‘CustomLogin Template.zip

 

citrix-sharefile-enterprise-105-bujarra

Y podremos comprobar cómo al acceder a 'https://dominio.sharefile.com/customlogin.aspx’ ya tenemos el doble portal de access a ShareFile configurado a nuestro gusto; los erabiltzaile de Directorio Activo podrán acceder desde la izquierda en SAML Login y los erabiltzaile de Citrix pondrán access desde Email Login con sus directiones de correo.

Más info en la documentación oficial sobre configuración de Single Sign-On con ShareFile y la personalización del portal.

Izenburuko mezuak

Egilea

nheobug@bujarra.com
Autor del blog Bujarra.com Cualquier necesidad que tengas, ez zalantzarik izan nirekin harremanetan jartzeko, ahal duzun guztietan laguntzen saiatuko naiz, partekatu ahal dudan guztietan ;) . Dokumentuez gozatu!!!

Citrix ShareFile

4 otsailaren 2014