Integrazione di Citrix ShareFile con Active Directory

Compatibile con la stampa, PDF ed e-mail

Potremo integrare gli account di Citrix ShareFile Enterprise con i nostri utenti della Directory Attiva per permettere il Single Sign-on e validare il login degli utenti con le loro credenziali della DA, così ovviamente i nostri cari utenti non dovranno ricordare due password diverse!

 

ShareFileSAML

In questa immagine possiamo vedere com'è il processo di connessione di un client all'ambiente ShareFile, dove il logon viene richiesto nei server di Citrix e viene reindirizzato al nostro datacenter, dopo l'autenticazione potremo effettuare il trasferimento dei file verso i server di Citrix o verso quelli del nostro datacenter nel caso fosse stato distribuito previamente un StorageZone Controller.

Dato che ShareFile utilizza SAML (Security Assertion Markup Language) para el SSO, configuraremos ShareFile para que se comunique con nuestros Servicios de Federación de Active Directory de Microsoft (ADFS) que proporcionan este acceso de inicio de sesión único. Y los usuarios cuando se validen en el portal de ShareFile, las solicitudes de inicio de sesión de los usuarios se redigirán a AD de forma segura.

Las cuentas de usuario en ShareFile requireren de un ID de nombre en formato email, deberemos tener una dirección de correo electrónico correcta configurada como el UPN (User Principal Name) del usuario o si no como alternativa el atributo ‘Dirección de correodel user.

Deberemos crear un registro A en nuestro dominio público (adfs.dominio.eso) que redirigiremos a este servidor de ADFS (podremos utilizzare un proxy en la DMZ para securizar aún más los accessos). Necesitaremos también un certificado instalado ya en el servidor para el sitio, podremos tener problemi con los Wilcard si el subdominio no aparece en el certificado.

 

citrix-sharefile-enterprise-50-bujarra

Comenzaremos por desplegar un servidor de Servicios de federación en nuestra red, se agrega mediante el 'Asistente para agregar roles y características’ > 'AD FS’ > 'Servicio de federación'.

 

citrix-sharefile-enterprise-51-bujarra

Una vez instalado abrimos la consola de AD FS y seleccionamos “Asistente para configurar el servidor de federación de AD FS”,

 

citrix-sharefile-enterprise-52-bujarra

Al ser el primer servidor de federación seleccionaremos “Crear un nuevo servicio de federación”,

 

citrix-sharefile-enterprise-53-bujarra

Podremos crear un servidor independiente o una granja de servidores de federación que nos permitirá disponer de una alta disponibilidad en este servicio crítico.

 

citrix-sharefile-enterprise-54-bujarra

Seleccionamos el nombre del servicio de federación y el certificado SSL que utilizaremos para cifrar el tráfico,

 

citrix-sharefile-enterprise-55-bujarra

Seleccionaremos la cuenta de servicio que utilizaremos con ADFS,

 

citrix-sharefile-enterprise-56-bujarra

Pulsaremos en “Seguente” para aplicar la configuración en este primer servidor,

 

citrix-sharefile-enterprise-57-bujarra

esperamos mientras se aplican las configuraciones

 

citrix-sharefile-enterprise-58-bujarra

Pronto, una vez aplicada la configuración, “Chiudere”.

 

citrix-sharefile-enterprise-59-bujarra

Deberemos crear una regla para la confianza de los usuarios en el sistema de AD FS, poiché “Relazioni di fiducia” > “Veridicità degli utenti di fiducia” > “Aggiungi veridicità dell'utente di fiducia…”

 

citrix-sharefile-enterprise-60-bujarra

Si aprirà un assistente di configurazione, “Iniziare”,

 

citrix-sharefile-enterprise-61-bujarra

Selezionare “Inserire manualmente i dati sull'utente di fiducia”,

 

citrix-sharefile-enterprise-62-bujarra

Nel nome da visualizzare, useremo come riferimento il sito di ShareFile ad esempio, “Seguente”,

 

citrix-sharefile-enterprise-63-bujarra

Selezionare “Profilo AD FS” poiché utilizza il protocollo SAML 2.0, “Seguente”,

 

citrix-sharefile-enterprise-64-bujarra

Non selezioniamo alcun certificato per la crittografia del token, “Seguente”,

 

citrix-sharefile-enterprise-65-bujarra

Nel pannello di amministrazione di ShareFile, in “Configura Single Sign-On” dovremo copiare l'URL del servizio di consumo delle asserzioni (ACS), poi torneremo a questa console di gestione per abilitare SSO / SAML.

 

citrix-sharefile-enterprise-66-bujarra

Continuando con l'assistente di verifica, dovremo selezionare “Abilita compatibilità con il protocollo SAML 2.0 Web SSO” e nell'URL del servizio SSO di SAML 2.0 dell'utente attendibile incolleremo l'URL copiato nel passaggio precedente.

 

citrix-sharefile-enterprise-67-bujarra

Filtriamo in modo che l'utente attendibile provenga unicamente dal portale di ShareFile aggiungendo la stringa identificativa con il sito di ShareFile, con il formato: ‘dominio.sharefile.com’ & “Aggiungere” & “Seguente”,

 

citrix-sharefile-enterprise-68-bujarra

Segno “Consenti a tutti gli utenti di avere accesso a questo utente attendibile” & “Seguente”,

 

citrix-sharefile-enterprise-69-bujarra

Verifichiamo che tutto sia corretto in questo riepilogo & “Seguente” Per applicare le impostazioni.

 

citrix-sharefile-enterprise-70-bujarra

Clicca su “Aprire la finestra di dialogo Modifica regole di notifica per questa veridicità dell'utente affidabile quando si chiude la procedura guidata”

 

citrix-sharefile-enterprise-71-bujarra

Dobbiamo indicare ad AD FS quale tipo di credenziali presenteremo, Clicca su “Aggiungi regola…”

 

citrix-sharefile-enterprise-72-bujarra

Selezioniamo il modello “Invia attributi LDAP come notifiche” & “Seguente”,

 

citrix-sharefile-enterprise-73-bujarra

Indichiamo un nome per la regola di notifica, selezioniamo il Deposito di attributi come 'Active Directory', selezioniamo l'Attributo LDAP 'E-Mail-Addresses'’ e nel Tipo di notifica indicheremo 'Indirizzo e-mail'. “Fine”

 

citrix-sharefile-enterprise-74-bujarra

Aggiungiamo una regola aggiuntiva per trasformare la notifica, Clicca di nuovo su “Aggiungi regola…”

 

citrix-sharefile-enterprise-75-bujarra

Selezioniamo come modello “Transformar una notificación entrante” & “Seguente”,

 

citrix-sharefile-enterprise-76-bujarra

Indichiamo un nome per la regola di notifica, seleccionamos como Tipo de notificación entrante ‘Dirección de correo electrónico’, como Tipo de notificación saliente ‘Id. de nombrey como Formato de id. de nombre saliente ‘Correo electrónico’. “Fine”,

 

citrix-sharefile-enterprise-77-bujarra

“Accettare”,

 

citrix-sharefile-enterprise-78-bujarra

Non male, en la consola AD FS deberemos de entrar en las propiedades de la Veracidad de usuario de confianza recién creada.

 

citrix-sharefile-enterprise-79-bujarra

Marcaremos como Algoritmo de hash seguro ‘SHA-1’ & “Accettare”,

 

citrix-sharefile-enterprise-80-bujarra

Navegamos en la consola hasta “Servizio” > “Certificati” y sobre el certificado de Firma de token pulsamos “Visualizza certificato…” para copiarlo y posteriormente importarlo en el portal de administración de ShareFile.

 

citrix-sharefile-enterprise-81-bujarra

Clicca su “Dettagli” > “Copiar en archivo…”

 

citrix-sharefile-enterprise-82-bujarra

Exportaremos el certificado en X.509 codificado base 64 (.CER)

 

citrix-sharefile-enterprise-83-bujarra

Abrimos el fichero con un Bloc de notas y copiamos el certificado,

 

citrix-sharefile-enterprise-84-bujarra

Nos logueamos en la instancia de ShareFile como administrador, seleccionamos la pestaña “Admin”, seleccionamos el menú izquierdo “Configura Single Sign-On” y habilitamos SAML marcando ‘Enable SAML’.

En ‘ShareFile Issuer / Entity IDintroduciremos nuestro dominio registrado en ShareFile con formato ‘dominio.sharefile.com
En ‘Your IDP Issuer / Entity IDintroduciremos ‘https://dominio.sharefile.com/saml/info’En X.509 Certificate pulsamos en “Cambiare” e…

 

citrix-sharefile-enterprise-85-bujarra

Pegaremos el certificado copiado anteriormente! & “Salvare”,

 

citrix-sharefile-enterprise-86-bujarra

Finalizamos la configuración, con:

Login URL ‘https://adfs.dominio.com/adfs/ls/
Logout URL ‘https://adfs.dominio.com/adfs/ls/?wa=wsignout1.0
Comprobamos que en SP-Initiated SSO certificate tenemos ‘HTTP Redirect with no signaturey que SP-Initiated Auth Context está a ‘Integrated Windows Authentication

Y guardamos con “Salvare”!!!

 

Gestión de usuarios,

Necesitaremos la herramienta de ShareFile User Management Tool para sincronizar nuestros usuarios del AD con los de ShareFile.

citrix-sharefile-enterprise-87-bujarra

Descargaremos el instalador desde la web de MyCitrix, iniciamos el asistente & “Prossimo”,

 

citrix-sharefile-enterprise-88-bujarra

“Prossimo”,

 

citrix-sharefile-enterprise-89-bujarra

… Attendi qualche secondo…

 

citrix-sharefile-enterprise-90-bujarra

“Chiudere”.

 

citrix-sharefile-enterprise-91-bujarra

Abrimos a consola User Management Tool, nos conectamos a nuestro sitio con nuestros credenciales de Admin & “Log on”,

 

citrix-sharefile-enterprise-92-bujarra

En Domain deberemos introducir el dominio local y unos credenciales de administrador para poder gestionar los usuarios, “Connettersi”,

 

citrix-sharefile-enterprise-93-bujarra

Andiamo alla scheda “Gli utenti”, y exploramos la unidad organizativa donde tenemos los usuarios que queramos añadir y los seleccionamos. Pulsamos posteriormente en “Add Rute”,

citrix-sharefile-enterprise-94-bujarra

Marcamos los dos primeros checks además de indicar que el método de autenticación es 'AD-Integrated’ y el 'Storage Zone’ es el sitio de nuestro CPD donde residen nuestros datos.

 

citrix-sharefile-enterprise-95-bujarra

Confirmamos que tenemos los usuarios que queremos y pulsamos en “Commit Now”,

 

citrix-sharefile-enterprise-96-bujarra

“Accettare”, ya nos indica que sincronizó a ShareFile los usuarios de nuestro Active Directory para poterles el Logon!!

 

Con questo, gli utenti potrebbero già accedere a ShareFile con i loro account utente, ma aprendo l'URL di ShareFile agli utenti verrà visualizzata una finestra che chiede nome utente e password (Apriranno 'https://dominio.sharefile.com’ e verranno reindirizzati a 'https://dominio.sharefile.com/saml/login'). In realtà non c'è un portale che indichi all'utente che si trova su ShareFile, forse li confonderà! E inoltre non ci permetterà di avere utenti memorizzati in Citrix poiché ci autenticherà sempre contro Active Directory.

 

Configurando SAML per funzionare con tutti i browser,

Avremmo problemi di accesso con Google Chrome per esempio :'( quindi conviene risolverlo.

 

citrix-sharefile-enterprise-97-bujarra

Nella console di amministrazione di IIS, selezioneremo il sito web predefinito > ‘adfs’ > ‘ls’, seleccionaremos no requerir SSL y Omitir los certificados de cliente.

 

citrix-sharefile-enterprise-98-bujarra

En el mismo directorio virtual, seleccionaremos en las opciones de Autenticación, en la configuración avanzada de ‘Autenticación de Windows’, desactivaremos la protección ampliada.

 

Configurando un portal personalizado para SAML,

Si queremos hacer un portal en ShareFile con Single Sign On personalizado, o al menos que nos permita saber que estamos en ShareFile, deberemos primero, ponernos en contacto con el soporte de Citrix, seguir los siguientes pasos e indicarles que nos activen el portal.

 

citrix-sharefile-enterprise-100-bujarra

Nos deberemos descargar la plantilla del portal de este collegamento, descomprimirla y modificarla. Editaremos ‘login.htmpara reemplazar la URL SAML correcta, cambiaremos:

'https://subdomain.sharefile.com/saml/logincon ‘https://dominio.sharefile.com/saml/login
'https://subdomain.sharefile.com/resetpasswordrequest.aspxcon ‘https://mysubdomain.sharefile.com/resetpasswordrequest.aspx

Obviamente podremos editar el fichero como queramos, o las imágenes, logotipos

 

citrix-sharefile-enterprise-101-bujarra

In “Shared Foldersdeberemos crear una carpeta nueva compartida que se llame ‘Customizations’, Clicca su “Crea cartella condivisa”,

 

citrix-sharefile-enterprise-102-bujarra

En Folder Name ponemos ‘Customizations’, y en ‘Add Usersindicaremos ‘Add Manually’ & “Create Folder”,

 

citrix-sharefile-enterprise-103-bujarra

Deberemos introducir en ‘Email Addressla dirección del correo de soportesuo*****@*******le.compara compartirle los ficheros de configuración, introducimos la demás información y damos permisos de descarga. “Add User”,

 

citrix-sharefile-enterprise-104-bujarra

Dovremo caricare in questa directory tutto il contenuto che avevamo estratto dal file ‘CustomLogin Template.zip'’

 

citrix-sharefile-enterprise-105-bujarra

E potremo verificare come accedendo a ‘https://dominio.sharefile.com/customlogin.aspx’ abbiamo già il doppio portale di accesso a ShareFile configurato a nostro piacimento; gli utenti di Active Directory potranno accedere dalla sinistra con SAML Login e gli utenti di Citrix potranno accedere tramite Email Login con i loro indirizzi di posta elettronica.

Maggiori informazioni nella documentazione ufficiale sulla configurazione di Single Sign-On con ShareFile e la personalizzazione del portale.

Post consigliati

VPN con Citrix NetScaler III - Autenticazione con certificati
Leggere
VPN con Citrix NetScaler II - Richiesta di certificati per l'accesso
Leggere
VPN con Citrix NetScaler IV - Sempre attivo
Leggere
VPN con Citrix NetScaler I - Spiegamento & Pre-autenticazione
Leggere

Autore

presso Héctor Herrero 
nheobug@bujarra.com
Autor del blog Bujarra.com Cualquier necesidad que tengas, Non esitate a contattarmi, Cercherò di aiutarti ogni volta che potrò, Condividere è vivere ;) . Goditi i documenti!!!

Plug-in Citrix ShareFile Sync e Citrix ShareFile Outlook

27 di gennaio 2014

Citrix ShareFile

4 Febbraio de 2014