Integração de Citrix ShareFile con Directorio Activo

Poderemos integrar as contas do Citrix ShareFile Enterprise com os nossos utilizadores do Diretório Ativo para permitir Single Sign-on e validar o login dos utilizadores com as suas credenciais do DA, assim obviamente os nossos queridos utilizadores não terão de se lembrar de duas passwords diferentes!

 

ShareFileSAML

Nesta imagem podemos verificar como é o processo de ligação de um cliente ao ambiente ShareFile, onde o login é solicitado nos servidores da Citrix e é redirecionado para o nosso datacenter, após a autenticação poderemos realizar a transferência de ficheiros para os servidores da Citrix ou os do nosso datacenter no caso de termos implementado previamente um StorageZone Controller.

Uma vez que o ShareFile utiliza SAML (Security Assertion Markup Language) para o SSO, configuraremos o ShareFile para se comunicar com os nossos Serviços de Federação do Active Directory da Microsoft (ADFS) que fornecem este acesso de login único. E os utilizadores, ao se autenticarem no portal ShareFile, las solicitudes de inicio de sesión de los usuarios se redigirán a AD de forma segura.

Las cuentas de usuario en ShareFile requireren de un ID de nombre en formato email, deberemos tener una dirección de correo electrónico correcta configurada como el UPN (User Principal Name) del usuario o si no como alternativa el atributo 'Dirección de correo’ do utilizador.

Deberemos criar um registo A en nosso domínio público (adfs.dominio.eso) que redirigiremos a este servidor de ADFS (podremos utilizar um proxy en la DMZ para securizar ainda más los acessos). Necesitaremos también un certificado instalado ya en el servidor para el sitio, podremos ter problemas con los Wilcard si o subdomínio não aparece no certificado.

 

citrix-sharefile-enterprise-50-bujarra

Começaremos por desplegar un servidor de Servicios de federación en nuestra red, se agrega mediante el 'Asistente para agregar roles y características’ > 'AD FS’ > 'Servicio de federación'.

 

citrix-sharefile-enterprise-51-bujarra

Una vez instalado abrimos la consola de AD FS y seleccionamos “Asistente para configurar el servidor de federación de AD FS”,

 

citrix-sharefile-enterprise-52-bujarra

Al ser el primer servidor de federación seleccionaremos “Crear un nuevo servicio de federación”,

 

citrix-sharefile-enterprise-53-bujarra

Podremos criar un servidor independiente o una granja de servidores de federación que nos permitirá disponer de una alta disponibilidad en este servicio crítico.

 

citrix-sharefile-enterprise-54-bujarra

Selecionamos el nombre del servicio de federación y el certificado SSL que utilizaremos para cifrar el tráfico,

 

citrix-sharefile-enterprise-55-bujarra

Seleccionaremos la cuenta de servicio que utilizaremos con ADFS,

 

citrix-sharefile-enterprise-56-bujarra

Pulsaremos en “Seguinte” para aplicar la configuración en este primer servidor,

 

citrix-sharefile-enterprise-57-bujarra

… esperamos enquanto se aplican las configuraciones…

 

citrix-sharefile-enterprise-58-bujarra

Pronto, una vez aplicada la configuración, “Fechar”.

 

citrix-sharefile-enterprise-59-bujarra

Deberemos crear una regla para la confianza de los usuarios en el sistema de AD FS, desde “Relaciones de confianza” > “Veracidades de usuarios de confianza” > “Agregar veracidad del usuario de confianza…”

 

citrix-sharefile-enterprise-60-bujarra

Nos abrirá un asistente de configuración, “Iniciar”,

 

citrix-sharefile-enterprise-61-bujarra

Selecionar “Escribir manualmente los datos acerca del usuario de confianza”,

 

citrix-sharefile-enterprise-62-bujarra

En el nombre a mostrar, identificaremos como referencia el sitio de ShareFile por ejemplo, “Seguinte”,

 

citrix-sharefile-enterprise-63-bujarra

Selecionar “Perfil de AD FSya que utiliza el protocolo SAML 2.0, “Seguinte”,

 

citrix-sharefile-enterprise-64-bujarra

No seleccionamos ningún certificado para el cifrado del token, “Seguinte”,

 

citrix-sharefile-enterprise-65-bujarra

En el panel de administración de ShareFile, em “Configure Single Sign-Ondeberemos copiar la URL de Assertion Consumer Service (ACS), luego ya volveremos a esta consola de gestión para habilitar SSO / SAML.

 

citrix-sharefile-enterprise-66-bujarra

Continuando con el asistente de veracidad, deberemos marcarHabilitar compatibilidad con el protocolo SAML 2.0 Web SSOy en la Dirección URL de servicio SSO de SAML 2.0 del usuario de confianza pegaremos la URL copiada en el paso anterior.

 

citrix-sharefile-enterprise-67-bujarra

Filtramos a que el utilizador de confiança venga unicamente desde el portal de ShareFile agregando la cadena de identificador con el sitio de Sharefile, con el formato: 'dominio.sharefile.com’ & “Adicionar” & “Seguinte”,

 

citrix-sharefile-enterprise-68-bujarra

Assinalar “Permitir que todos los utilizadores tenham acesso a este utilizador de confianza” & “Seguinte”,

 

citrix-sharefile-enterprise-69-bujarra

Revisamos que todo es correto en este resumen & “Seguinte” para aplicar la configuración.

 

citrix-sharefile-enterprise-70-bujarra

Clique em “Abrir el cuadro de diálogo Editar reglas de notificación para esta veracidad del usuario de confianza cuando se cierre el asistente”

 

citrix-sharefile-enterprise-71-bujarra

Deberemos indicar al AD FS qué tipo de crecenciales presentaremos, Clique em “Agregar regla…”

 

citrix-sharefile-enterprise-72-bujarra

Seleccionamos la plantillaEnviar atributos LDAP como notificaciones” & “Seguinte”,

 

citrix-sharefile-enterprise-73-bujarra

Indicamos un nombre a la regla de notificación, seleccionamos el Almacén de atributos como ‘Active Directory’, seleccionamos el Atributo LDAP ‘E-Mail-Addressesy en Tipo de notificación indicaremos ‘Dirección de correo electrónico’. “Fim”

 

citrix-sharefile-enterprise-74-bujarra

Añadimos una regla adicional para transformar la notificación, pulsamos de nuevo en “Agregar regla…”

 

citrix-sharefile-enterprise-75-bujarra

Seleccionamos como plantillaTransformar una notificación entrante” & “Seguinte”,

 

citrix-sharefile-enterprise-76-bujarra

Indicamos un nombre a la regla de notificación, seleccionamos como Tipo de notificación entrante ‘Dirección de correo electrónico’, como Tipo de notificación saliente ‘Id. de nombrey como Formato de id. de nombre saliente 'Correo electrónico'. “Fim”,

 

citrix-sharefile-enterprise-77-bujarra

“Aceitar”,

 

citrix-sharefile-enterprise-78-bujarra

Nada mau, en la consola AD FS deberemos de entrar en las propiedades de la Veracidad de usuario de confianza recién creada.

 

citrix-sharefile-enterprise-79-bujarra

Marcaremos como Algoritmo de hash seguro 'SHA-1’ & “Aceitar”,

 

citrix-sharefile-enterprise-80-bujarra

navegamos na consola hasta “Serviço” > “Certificados” y sobre el certificado de Firma de token pulsamos “Ver certificado…” para copiarlo y posteriormente importarlo en el portal de administración de ShareFile.

 

citrix-sharefile-enterprise-81-bujarra

Clique em “Detalhes” > “Copiar en archivo…”

 

citrix-sharefile-enterprise-82-bujarra

Exportaremos el certificado en X.509 codificado base 64 (.CER)

 

citrix-sharefile-enterprise-83-bujarra

Abrimos el fichero con un Bloc de notas y copiamos el certificado,

 

citrix-sharefile-enterprise-84-bujarra

Nos logueamos en la instancia de ShareFile como administrador, seleccionamos la pestaña “Admin”, seleccionamos el menú izquierdoConfigure Single Sign-Ony habilitamos SAML marcando ‘Enable SAML’.

En ‘ShareFile Issuer / Entity IDintroduciremos nuestro dominio registrado en ShareFile con formato ‘dominio.sharefile.com
En ‘Your IDP Issuer / Entity IDintroduciremos ‘https://dominio.sharefile.com/saml/info’En X.509 Certificate pulsamos en “Alteração” e…

 

citrix-sharefile-enterprise-85-bujarra

Pegaremos el certificado copiado anteriormente! & “Salvar”,

 

citrix-sharefile-enterprise-86-bujarra

Finalizamos la configuración, com:

Login URL ‘https://adfs.dominio.com/adfs/ls/
Logout URL ‘https://adfs.dominio.com/adfs/ls/?wa=wsignout1.0
Comprobamos que en SP-Initiated SSO certificate tenemos ‘HTTP Redirect with no signaturey que SP-Initiated Auth Context está a ‘Integrated Windows Authentication

Y guardamos con “Salvar”!!!

 

Gestión de usuarios,

Necesitaremos la herramienta de ShareFile User Management Tool para sincronizar nuestros usuarios del AD con los de ShareFile.

citrix-sharefile-enterprise-87-bujarra

Descargaremos el instalador desde la web de MyCitrix, iniciamos el asistente & “Próximo”,

 

citrix-sharefile-enterprise-88-bujarra

“Próximo”,

 

citrix-sharefile-enterprise-89-bujarra

… Aguarde alguns segundos…

 

citrix-sharefile-enterprise-90-bujarra

“Fechar”.

 

citrix-sharefile-enterprise-91-bujarra

Abrimos a consola User Management Tool, nos conectamos ao nosso sitio com as nossas credenciais de Admin & “Log on”,

 

citrix-sharefile-enterprise-92-bujarra

En Domain deberemos introducir el domínio local y unas credenciales de administrador para poder gerir los usuarios, “Ligar”,

 

citrix-sharefile-enterprise-93-bujarra

Vamos para a guia “Usuários”, e exploramos a unidade organizativa onde temos os utilizadores que queremos adicionar e os selecionados. Pulsamos posteriormente en “Add Rute”,

citrix-sharefile-enterprise-94-bujarra

Marcamos los dos primeiros checks além de indicar que o método de autenticação é 'AD-Integrated’ y el 'Storage Zone’ es el sitio de nuestro CPD donde residen nuestros datos.

 

citrix-sharefile-enterprise-95-bujarra

Confirmamos que temos os utilizadores que queremos e pulsamos en “Commit Now”,

 

citrix-sharefile-enterprise-96-bujarra

“Aceitar”, ya nos indica que sincronizó a ShareFile los utilizadores do nosso Active Directory para poder permitirles el Logon!!

 

Com isso, los usuarios ya podrían entrar en ShareFile con sus cuentas de usuario, pero al abrir la URL de ShareFile a los usuarios se les abrirá una ventana pidiendo el usuario y contraseña (Abrirán 'https://dominio.sharefile.com’ y se redirigirán a 'https://dominio.sharefile.com/saml/login’). A verdade é que não tem um portal que indique ao utilizador que está no ShareFile, talvez os confunda! E além disso não nos permitirá ter utilizadores armazenados na Citrix, pois irá sempre validar-nos contra o Diretório Ativo.

 

Configurando SAML para que funcione com todos os navegadores,

Teríamos problemas de acesso com o Google Chrome por exemplo :'( por isso convém resolvê-lo.

 

citrix-sharefile-enterprise-97-bujarra

Na consola de administração do IIS, selecionaremos o sítio web predefinido > ‘adfs’ > ‘ls’, selecionaremos não requerer SSL e Omitir os certificados de cliente.

 

citrix-sharefile-enterprise-98-bujarra

No mesmo diretório virtual, selecionaremos nas opções de Autenticação, en la configuração avançada de 'Autenticación de Windows', desactivaremos la protección ampliada.

 

Configurando un portal personalizado para SAML,

Si queremos hacer un portal en ShareFile con Single Sign On personalizado, o al menos que nos permita saber que estamos en ShareFile, devemos primeiro, ponernos en contacto con el soporte de Citrix, seguir los siguientes passos e indicarles que nos activen el portal.

 

citrix-sharefile-enterprise-100-bujarra

Nos deberemos descargar la plantilla del portal de este link, descomprimirla y modificarla. Editaremos 'login.htm’ para substituir la URL SAML correcta, cambiaremos:

'https://subdomain.sharefile.com/saml/login’ con 'https://dominio.sharefile.com/saml/login’
'https://subdomain.sharefile.com/resetpasswordrequest.aspx’ con 'https://mysubdomain.sharefile.com/resetpasswordrequest.aspx’

Obviamente podremos editar el fichero como queramos, o las imágenes, logotipos

 

citrix-sharefile-enterprise-101-bujarra

Em “Shared Foldersdeberemos crear una carpeta nueva compartida que se llame ‘Customizations’, Clique em “Criar Pasta Partilhada”,

 

citrix-sharefile-enterprise-102-bujarra

En Folder Name ponemos ‘Customizations’, y en ‘Add Usersindicaremos ‘Add Manually’ & “Create Folder”,

 

citrix-sharefile-enterprise-103-bujarra

Deberemos introducir en ‘Email Addressla dirección del correo de soporteo seu*****@*******le.compara compartirle los ficheros de configuración, introducimos la demás información y damos permisos de descarga. “Add User”,

 

citrix-sharefile-enterprise-104-bujarra

Deberemos subir a este directorio todo el contenido que habíamos descomprimiro del fichero ‘CustomLogin Template.zip

 

citrix-sharefile-enterprise-105-bujarra

E poderemos verificar como ao aceder a 'https://dominio.sharefile.com/customlogin.aspx’ já temos o portal de acesso duplo ao ShareFile configurado ao nosso gosto; os utilizadores do Diretório Ativo poderão aceder pela esquerda em SAML Login e os utilizadores da Citrix poderão aceder pelo Email Login com os seus endereços de correio.

Mais informações na documentação oficial sobre configuração de Single Sign-On com o ShareFile e a personalização do portal.

Postagens recomendadas

Autor

nheobug@bujarra.com
Autor del blog Bujarra.com Cualquier necesidad que tengas, Não hesite em contactar-me, Vou tentar ajudá-lo sempre que puder, Compartilhar é viver ;) . Desfrute de documentos!!!

Citrix ShareFile

4 Fevereiro de 2014