Citrix ShareFileren integrazioa Aktibo Atalarekin
Citrix ShareFile Enterprise kontuak gure Active Directory erabiltzaileekin integratu ahal izango ditugu Single Sign-on ahalbidetzeko eta erabiltzaileen loginak beraien AD kredentzialekin egiaztatzeko, ondorioz, gure maite ditugun erabiltzaileek bi pasahitz desberdin gogoratu beharko ez dituztela jakina da!
Irudi honetan ikus dezakegu nola egiten den bezero baten konexio-prozesua ShareFile ingurunearekin, non Citrix zerbitzarietan eskatzen den logona eta gure datu-zentrora birbideratzen den, Autentifikazioa egin ondoren, fitxategien transferentzia egin ahalko dugu Citrix zerbitzarien kontra edo gure datu-zentrokoen kontra, kasu honetan desplegatu badugu lehenik eta behin StorageZone Kontroladorea.
ShareFilek SAML erabiltzen duelako (Security Assertion Markup Language) SSO-rako, ShareFile konfiguratu egingo dugu gure Microsoft Active Directory Federazio Zerbitzuekin komunikatzeko (ADFS) hasiera-saio bakarreko sarbide hori ematen dutenak. Eta erabiltzaileak ShareFile portalean balidatzen direnean, las solicitudes de inicio de sesión de los usuarios se redigirán a AD de forma segura.
Las cuentas de usuario en ShareFile requireren de un ID de nombre en formato email, deberemos tener una dirección de correo electrónico correcta configurada como el UPN (User Principal Name) del usuario o si no como alternativa el atributo ‘Dirección de correo’ del user.
Deberemos crear un registro A en nuestro dominio público (adfs.dominio.eso) que redirigiremos a este servidor de ADFS (podremos utilizar un proxy en la DMZ para securizar aún más los accesos). Necesitaremos también un certificado instalado ya en el servidor para el sitio, podremos tener problemas con los Wilcard si el subdominio no aparece en el certificado.
Hasierakoan gure sarean Federazio Zerbitzuen zerbitzari bat ezarriko dugu, 'Rolak eta ezaugarriak gehitzeko laguntzailea' bidez gehitzen da’ > 'AD FS'’ > 'Federazio Zerbitzua'.
Instalatuta dagoenean, AD FS kontsola ireki eta hautatuko dugu “AD FS Federazio Zerbitzaria konfiguratzeko laguntzailea”,
Lehen federazio zerbitzaria denez, honako hau hautatuko dugu “Federazio zerbitzu berri bat sortu”,
Zerbitzari independente bat sor dezakegu edo federazio zerbitzarien baratze bat, zerbitzu kritiko honetan eskuragarritasun handia izateko aukera emango digun.
Federazio zerbitzuaren izena eta trafikoa enkriptatzeko erabiliko dugun SSL ziurtagiria hautatzen dugu,
ADFs-rekin erabiliko dugun zerbitzu kontua hautatuko dugu,
Pulsaremos en “Hurrengoa” konfigurazioa lehen zerbitzari honetan aplikatzeko,
… konfigurazioak aplikatzen diren bitartean itxaroten dugu…
Listo, konfigurazioa aplikatu ondoren, “Itxi”.
AD FS sisteman erabiltzaileen konfiantzarako arau bat sortu behar dugu, etik “Konfiantza harremanak” > “Erabiltzaileen konfiantza egiaztapenak” > “Erabiltzaile konfiantzazko egiaztapen bat gehitu…”
Konfigurazio laguntzaile bat irekiko digu, “Iniciar”,
Aukeratzen dugu “Escribir manualmente los datos acerca del usuario de confianza”,
En el nombre a mostrar, identificaremos como referencia el sitio de ShareFile por ejemplo, “Hurrengoa”,
Aukeratzen dugu “Perfil de AD FS” ya que utiliza el protocolo SAML 2.0, “Hurrengoa”,
No seleccionamos ningún certificado para el cifrado del token, “Hurrengoa”,
En el panel de administración de ShareFile, en “Configure Single Sign-On” deberemos copiar la URL de Assertion Consumer Service (ACS), luego ya volveremos a esta consola de gestión para habilitar SSO / SAML.
Continuando con el asistente de veracidad, deberemos marcar “Habilitar compatibilidad con el protocolo SAML 2.0 Web SSO” y en la Dirección URL de servicio SSO de SAML 2.0 fidagarria den erabiltzailearen URL aurreko pausuan kopiatu duguna itsatsiko dugu.
Filtratzen dugu fidagarria den erabiltzailea ShareFile ataletik bakarrik etortzeko, identifikatzaile katearekin ShareFile gunearen bidez, formatuan: ‘dominio.sharefile.com’ & “Agregar” & “Hurrengoa”,
Marcamos “Erabiltzaile guztiek sarbidea izan dezaten fidagarria den erabiltzaile honetara uzteko” & “Hurrengoa”,
Laburrean guztiak zuzena direla berrikusten dugu & “Hurrengoa” para aplicar la configuración.
Sakatu on “Fidagarria den erabiltzaile honen zuzentasunarekin jakinarazpen arauak editatzeko elkarrizketa-koadroa ireki, laguntzailearen leihoa itxiko denean”
AD FSari zein motatako kredentzialak aurkeztuko ditugun adierazi behar diogu, sustatu “Arau gehitu…”
Txantiloia hautatzen dugu “LDAP atributuak jakinarazpen gisa bidaltzea” & “Hurrengoa”,
Jakinarazpen arauari izen bat ematen diogu, Atributuen biltegia 'Active Directory' gisa hautatzen dugu, LDAP Atributua 'E-Mail-Addresses' hautatzen dugu’ eta Jakinarazpen motan 'Posta elektronikoaren helbidea' adierazten dugu. “Amaitu”
Jakinarazpena bihurtzeko arau gehigarria gehitzen dugu, berriro sakatzen dugu “Arau gehitu…”
Txantiloia bezala hautatzen dugu “Sartutako jakinarazpena bihurtzea” & “Hurrengoa”,
Jakinarazpen arauari izen bat ematen diogu, Sartutako jakinarazpen motan 'Posta elektronikoaren helbidea' hautatzen dugu, Irteerako jakinarazpen motan 'Id' hautatzen dugu. izen gisa’ eta Id formatua gisa. de nombre saliente 'Correo electrónico'. “Amaitu”,
“Onartu”,
Ondo, en la consola AD FS deberemos de entrar en las propiedades de la Veracidad de usuario de confianza recién creada.
Marcaremos como Algoritmo de hash seguro 'SHA-1’ & “Onartu”,
Navegamos en la consola hasta “Zerbitzua” > “Certificados” y sobre el Firma de token pulsamos “Ver certificado…” para copiarlo y posteriormente importarlo en el portal de administración de ShareFile.
Sakatu on “Xehetasunak” > “Fitxategian kopiatu…”
Exportaremos el certificado en X.509 codificado base 64 (.CER)
Abrimos el fichero con un Bloc de notas y copiamos el certificado,
Nos logueamos en la instancia de ShareFile como administrador, seleccionamos la pestaña “Administratzailea”, seleccionamos el menú izquierdo “Configure Single Sign-On” y habilitamos SAML marcando ‘Enable SAML’.
En ‘ShareFile Issuer / Entity ID’ introduciremos nuestro dominio registrado en ShareFile con formato ‘dominio.sharefile.com’
En ‘Your IDP Issuer / Entity ID’ introduciremos ‘https://dominio.sharefile.com/saml/info’En X.509 Certificate pulsamos en “Change” eta…
… Pegaremos el certificado copiado anteriormente! & “Gorde”,
Finalizamos la configuración, con:
Login URL ‘https://adfs.dominio.com/adfs/ls/’
Logout URL ‘https://adfs.dominio.com/adfs/ls/?wa=wsignout1.0’
Comprobamos que en SP-Initiated SSO certificate tenemos ‘HTTP Redirect with no signature’ y que SP-Initiated Auth Context está a ‘Integrated Windows Authentication’
Y guardamos con “Gorde”!!!
Gestión de usuarios,
Necesitaremos la herramienta de ShareFile User Management Tool para sincronizar nuestros usuarios del AD con los de ShareFile.
Descargaremos el instalador desde la web de MyCitrix, iniciamos el asistente & “Next”,
“Next”,
… esperamos unos segundos…
“Itxi”.
Abrimos a consola User Management Tool, nos conectamos a nuestro sitio con nuestros credenciales de Admin & “Log on”,
En Domain deberemos introducir el dominio local y unos credenciales de administrador para poder gestionar los usuarios, “Connect”,
Fitxara joango gara “Erabiltzaileak”, y exploramos la unidad organizativa donde tenemos los usuarios que queramos añadir y los seleccionamos. Pulsamos posteriormente en “Add Rute”,
Marcamos los dos lehen checks además de indicar que el método de authenticación es 'AD-Integrated’ y el 'Storage Zone’ es el sitio de gure CPD donde residen nuestros datos.
Confirmamos que tenemos los erabiltzaileak nahi eta pulsatzen ditugun “Commit Now”,
“Onartu”, ya nos indicated que sincronizó a ShareFile erabiltzaileak erabiltzaileak gure Active Directory para poder permitirles el Logon!!
Con esto, los erabiltzaileak ya podrían entrar en ShareFile con sus cuentas de usuario, pero al ireki la URL de ShareFile a los erabiltzaileak se les abrirá una ventana pidiendo el usuario y contraseña (Abrirán 'https://dominio.sharefile.com’ y se redirigirán a 'https://dominio.sharefile.com/saml/login’). La verdad que no tiene un portal que indica al usuario que está en ShareFile, quizás les confunda! Y además no nos permitirá tener usuarios almacenados en Citrix ya que nos validará siempre contra el Directorio Activo.
Configurando SAML para que funcione con todos los navegadores,
Tendríamos problemas de acceso con Google Chrome por ejemplo :'( así que conviene solucionarlo.
En la consola de administración de IIS, seleccionaremos el sitio web predeterminado > ‘adfs’ > ‘ls’, seleccionaremos no requerir SSL y Omitir los certificados de cliente.
En el mismo directorio virtual, seleccionaremos en las opciones de Autenticación, en la configuración avanzada de ‘Autenticación de Windows’, desactivaremos la protección ampliada.
Configurando un portal personalizado para SAML,
Si queremos hacer un portal en ShareFile con Single Sign On personalizado, o al menos que nos permita saber que estamos en ShareFile, deberemos primero, ponernos en contacto con el soporte de Citrix, seguir los siguientes pasos e indicarles que nos activen el portal.
Nos deberemos descargar la plantilla del portal de este link, descomprimirla y modificarla. Editaremos ‘login.htm’ para reemplazar la URL SAML correcta, cambiaremos:
'https://subdomain.sharefile.com/saml/login’ con ‘https://dominio.sharefile.com/saml/login’
'https://subdomain.sharefile.com/resetpasswordrequest.aspx’ con ‘https://mysubdomain.sharefile.com/resetpasswordrequest.aspx’
Obviamente podremos editar el fichero como queramos, o las imágenes, logotipos…
In “Shared Folders” deberemos crear una carpeta nueva compartida que se llame ‘Customizations’, sustatu “Create Shared Folder”,
En Folder Name ponemos ‘Customizations’, y en ‘Add Users’ indicaremos ‘Add Manually’ & “Create Folder”,
Deberemos introducir en ‘Email Address’ la dirección del correo de soporte ‘su*****@*******le.com‘ para compartirle los ficheros de configuración, introducimos la demás información y damos permisos de descarga. “Add User”,
Deberemos subir a este directorio todo el contenido que habíamos descomprimiro del fichero ‘CustomLogin Template.zip’
Y podremos comprobar cómo al acceder a 'https://dominio.sharefile.com/customlogin.aspx’ ya tenemos el doble portal de access a ShareFile configurado a nuestro gusto; los erabiltzaile de Directorio Activo podrán acceder desde la izquierda en SAML Login y los erabiltzaile de Citrix pondrán access desde Email Login con sus directiones de correo.
Más info en la documentación oficial sobre configuración de Single Sign-On con ShareFile y la personalización del portal.































































































