Citrix Endpoint Management

Integración en NetScaler Gateway y Citrix ADC

Cuando se integra en Citrix Endpoint Management, NetScaler Gateway ofrece un mecanismo de autenticación para que dispositivos MAM remotos accedan a la red interna. Esta integración permite a las aplicaciones móviles de productividad Citrix conectarse a los servidores de empresa ubicados en la intranet a través de una red micro VPN. Porque Citrix Endpoint Management crea una micro VPN que se extiende desde las aplicaciones presentes en el dispositivo hasta NetScaler Gateway. NetScaler Gateway proporciona una ruta de red micro VPN para acceder a todos los recursos de empresa. Asimismo, ofrece un respaldo sólido a la autenticación de varios factores.

Cuando un usuario abandona la inscripción MDM, los dispositivos se inscriben mediante el FQDN de NetScaler Gateway.

Citrix Cloud Operations administra el equilibrio de carga de Citrix ADC.

Decisiones en cuanto a diseño

En las secciones siguientes, se resumen las diversas decisiones de diseño a considerar durante la planificación de una integración de NetScaler Gateway en Citrix Endpoint Management.

Certificados

Detalles de la decisión:

  • ¿Necesita mayor grado de seguridad para la inscripción y el acceso al entorno de Citrix Endpoint Management?
  • ¿LDAP no es una opción?

Guía de diseño:

En Citrix Endpoint Management, la autenticación predeterminada es el nombre de usuario y la contraseña. Para agregar otra capa de seguridad para la inscripción y el acceso al entorno de Citrix Endpoint Management, considere la posibilidad de usar la autenticación basada en certificados. Puede usar certificados con LDAP para la autenticación de dos factores, lo que proporciona un grado mayor de seguridad sin necesidad de un servidor RSA.

Si no permite LDAP y usa tarjetas inteligentes o métodos similares, la configuración de los certificados permite representar una tarjeta inteligente en Citrix Endpoint Management. Los usuarios se inscriben mediante un PIN único que Citrix Endpoint Management genera para ellos. Una vez que el usuario haya obtenido acceso, Citrix Endpoint Management crea e implementa el certificado utilizado más adelante a partir de entonces para autenticarse en el entorno de Citrix Endpoint Management.

Citrix Endpoint Management solo admite la lista de revocación de certificados (CRL) cuando se trata de una entidad de certificación (CA) de terceros. Si dispone de una entidad de certificación de Microsoft configurada, Citrix Endpoint Management utiliza NetScaler Gateway para administrar la revocación. Al configurar la autenticación por certificados de cliente, plantéese si es necesario configurar el parámetro de lista de revocación de certificados (CRL) de NetScaler Gateway, Enable CRL Auto Refresh. Este paso garantiza que el usuario de un dispositivo inscrito en MAM solo no pueda autenticarse con un certificado existente en el dispositivo. Citrix Endpoint Management vuelve a emitir un certificado nuevo, porque no impide que un usuario genere otro certificado de usuario si uno se revoca. Este parámetro aumenta la seguridad de las entidades PKI cuando la lista de revocación de certificados comprueba si hay entidades PKI caducadas.

VIP dedicadas o compartidas de NetScaler Gateway

Detalles de la decisión:

  • ¿Utiliza actualmente NetScaler Gateway para Citrix Virtual Apps and Desktops?
  • ¿Utilizará Citrix Endpoint Management el mismo NetScaler Gateway que Citrix Virtual Apps and Desktops?
  • ¿Cuáles son los requisitos de autenticación para ambos flujos de tráfico?

Guía de diseño:

Cuando el entorno de Citrix incluye Citrix Endpoint Management junto con Citrix Virtual Apps and Desktops, se puede usar el mismo servidor virtual de NetScaler Gateway para ambos. Debido a posibles conflictos de versiones y al aislamiento del entorno, se recomienda un NetScaler Gateway dedicado para cada entorno de Citrix Endpoint Management.

Si usa la autenticación LDAP, Citrix Secure Hub pueden autenticarse en el mismo NetScaler Gateway sin problemas. Si usa la autenticación basada en certificados, Citrix Endpoint Management envía un certificado al contenedor MDX y Citrix Secure Hub utiliza ese certificado para autenticarse en NetScaler Gateway.

Puede plantearse esta solución temporal, que permite usar un mismo FQDN para dos direcciones IP virtuales de NetScaler Gateway. Puede crear dos direcciones IP virtuales de NetScaler Gateway con la misma dirección IP. La de Citrix Secure Hub utilizará el puerto 443 estándar y la de Citrix Virtual Apps and Desktops (que implementan la aplicación Citrix Workspace) utilizará el puerto 444. Así, un solo nombre de dominio completo se resuelve en la misma dirección IP. Para esta solución temporal, quizá deba configurar StoreFront para devolver un archivo ICA para el puerto 444, en lugar de la opción predeterminada, el puerto 443. Esta solución temporal no requiere que los usuarios introduzcan ningún número de puerto.

Tiempos de espera de NetScaler Gateway

Detalles de la decisión:

  • ¿Cómo quiere configurar los tiempos de espera de NetScaler Gateway para el tráfico de Citrix Endpoint Management?

Guía de diseño:

NetScaler Gateway contiene los parámetros Session time-out (Tiempo de espera de la sesión) y Forced time-out (Tiempo de espera forzado). Para obtener más información, consulte Configuraciones recomendadas. Tenga en cuenta que existen valores de tiempo de espera diferentes para los servicios en segundo plano, NetScaler Gateway y para el acceso a aplicaciones sin conexión.

FQDN de inscripción

Importante:

Para cambiar el FQDN de inscripción, se necesita una nueva base de datos de SQL Server y una recompilación del servidor de Citrix Endpoint Management.

Tráfico de Citrix Secure Web

Detalles de la decisión:

  • ¿Restringirá Citrix Secure Web a la navegación web interna solamente?
  • ¿Habilitará Citrix Secure Web para la navegación web interna y externa?

Guía de diseño:

Si utiliza Citrix Secure Web únicamente para la navegación web en interno, la configuración de NetScaler Gateway es sencilla. Sin embargo, si Citrix Secure Web no puede llegar a todos los sitios internos de forma predeterminada, es posible que tenga que configurar firewalls y servidores proxy.

Si va a utilizar Citrix Secure Web para la navegación interna y externa, debe habilitar la dirección IP de subred (SNIP) para tener acceso saliente a Internet. El departamento de TI suele considerar los dispositivos inscritos (mediante el contenedor MDX) una extensión de la red corporativa. Por lo tanto, TI normalmente quiere que las conexiones de Citrix Secure Web vuelvan a NetScaler Gateway, pasen por un servidor proxy y, a continuación, salgan a Internet. De forma predeterminada, el acceso de Citrix Secure Web se lleva a cabo por túnel a la red interna. Citrix Secure Web usa un túnel VPN por aplicación hacia la red interna para todo el acceso de red y NetScaler Gateway usa los parámetros de túnel dividido.

Para obtener información sobre las conexiones de Citrix Secure Web, consulte Configurar conexiones de usuario.

Notificaciones push para Citrix Secure Mail

Detalles de la decisión:

  • ¿Usará notificaciones push?

Guía de diseño para iOS:

Si la configuración de NetScaler Gateway incluye Secure Ticket Authority (STA) y el túnel dividido está desactivado, NetScaler Gateway debe permitir el tráfico desde Citrix Secure Mail hacia las direcciones URL del servicio de escucha de Citrix. Esas URL se especifican en las notificaciones push de Citrix Secure Mail para iOS.

Guía de diseño para Android:

Utilice Firebase Cloud Messaging (FCM) para controlar cómo y cuándo los dispositivos Android se conectan a Citrix Endpoint Management. Con FCM configurado, toda acción de seguridad o comando de implementación desencadena una notificación push en Citrix Secure Hub para pedir al usuario que se reconecte al servidor de Citrix Endpoint Management.

STA HDX

Detalles de la decisión:

  • ¿Qué STA usar si quiere integrar el acceso a aplicaciones HDX?

Guía de diseño:

Los STA de HDX deben coincidir con los STA en StoreFront y deben ser válidos para el sitio de Virtual Apps and Desktops.

Citrix Files y ShareFile

Detalles de la decisión:

  • ¿Utilizará un controlador de las zonas de almacenamiento en el entorno?
  • ¿Qué URL de dirección IP virtual de Citrix Files usará?

Guía de diseño:

Si incluye controladores de zonas de almacenamiento en el entorno, debe configurar correctamente lo siguiente:

  • Dirección IP virtual de conmutación de contenido de Citrix Files (utilizada por el plano de control de Citrix Files para comunicarse con los servidores de los controladores de las zonas de almacenamiento)
  • Direcciones IP virtuales del equilibrio de carga de Citrix Files
  • Todas las directivas y perfiles necesarios

Para obtener información, consulte la documentación de Storage zones controller.

Proveedor de identidades SAML

Detalles de la decisión:

  • Si necesita SAML para Citrix Files, ¿quiere usar Citrix Endpoint Management como proveedor de identidades SAML?

Guía de diseño:

Se recomienda integrar Citrix Files en Citrix Endpoint Management, ya que es una alternativa más sencilla a configurar la federación basada en SAML. Citrix Endpoint Management proporciona a Citrix Files lo siguiente:

  • Autenticación Single Sign-On (SSO) de los usuarios de aplicaciones móviles Citrix de productividad
  • Aprovisionamiento de cuentas de usuario basado en Active Directory
  • Directivas integrales para controlar el acceso.

La consola de Citrix Endpoint Management permite configurar Citrix Files y supervisar los niveles de servicio y uso de licencias.

Hay dos tipos de clientes de Citrix Files: Citrix Files para Citrix Endpoint Management (también conocidos como Citrix Files empaquetados) y clientes móviles de Citrix Files (también conocidos como Citrix Files sin empaquetar). Para obtener más información sobre las diferencias, consulte En qué se diferencian los clientes de Citrix Files para Citrix Endpoint Management de los clientes móviles de Citrix Files.

Puede configurar Citrix Endpoint Management y Citrix Files para que utilicen SAML con el fin de ofrecer acceso SSO a:

  • Aplicaciones de Citrix Files que están habilitadas para el SDK de MAM o empaquetadas con MDX Toolkit
  • Clientes de Citrix Files no empaquetados, como el sitio web, Outlook Plug-in o clientes de sincronización

Si quiere usar Citrix Endpoint Management como proveedor de identidades SAML para Citrix Files, compruebe que estén definidas las configuraciones adecuadas. Para obtener más información, consulte SAML para SSO en Citrix Files.

Conexiones directas con ShareConnect

Detalles de la decisión:

  • ¿Los usuarios accederán a un equipo host desde un equipo o dispositivo móvil que ejecuta ShareConnect con conexiones directas?

Guía de diseño:

ShareConnect permite a los usuarios conectarse a sus equipos de forma segura a través de iPads, tabletas y teléfonos Android para el acceso a sus archivos y aplicaciones. Para las conexiones directas, Citrix Endpoint Management utiliza NetScaler Gateway para proporcionar acceso seguro a los recursos de fuera de la red local. Para obtener más información de configuración, consulte ShareConnect.

FQDN de inscripción para cada modo de administración

Modo de administración FQDN de inscripción
MDM+MAM con inscripción MDM obligatoria FQDN del servidor de Citrix Endpoint Management
MDM+MAM con inscripción MDM opcional FQDN del servidor de Citrix Endpoint Management o FQDN de NetScaler Gateway
Solo MAM FQDN del servidor de Citrix Endpoint Management
Solo MAM (antiguo) FQDN de NetScaler Gateway

Resumen de implementación

Si tiene varias instancias de Citrix Endpoint Management (por ejemplo, para entornos de prueba, desarrollo y producción) debe configurar manualmente NetScaler Gateway para los entornos adicionales Si dispone de un entorno de trabajo, tome nota de la configuración antes de intentar configurar NetScaler Gateway manualmente para Citrix Endpoint Management.

Una decisión clave es si utilizar HTTPS o HTTP para la comunicación con el servidor de Citrix Endpoint Management. HTTPS ofrece una comunicación back-end segura, ya que se cifra el tráfico entre NetScaler Gateway y Citrix Endpoint Management. El recifrado afecta el rendimiento del servidor de Citrix Endpoint Management. HTTP ofrece un mejor rendimiento del servidor de Citrix Endpoint Management. El tráfico entre NetScaler Gateway y Citrix Endpoint Management no está cifrado. En las siguientes tablas, se muestran los requisitos de puertos HTTP y HTTPS para NetScaler Gateway y Citrix Endpoint Management.

HTTPS

Por regla general, Citrix recomienda el puente SSL para los parámetros del servidor virtual MDM de NetScaler Gateway. Para usar la descarga de SSL de NetScaler Gateway con servidores virtuales MDM, Citrix Endpoint Management admite solo el puerto 80 como servicio back-end.

Modo de administración Método de equilibrio de carga de NetScaler Gateway Recifrado SSL Puerto del servidor de Citrix Endpoint Management
MAM Descarga de SSL Habilitado 8443
MDM+MAM MDM: Puente SSL N/D 443, 8443
MDM+MAM MAM: Descarga de SSL Habilitado 8443

HTTP

Modo de administración Método de equilibrio de carga de NetScaler Gateway Recifrado SSL Puerto del servidor de Citrix Endpoint Management
MAM Descarga de SSL Habilitado 8443
MDM+MAM MDM: Descarga de SSL No compatible 80
MDM+MAM MAM: Descarga de SSL Habilitado 8443

Para obtener diagramas de NetScaler Gateway en las implementaciones de Citrix Endpoint Management, consulte Arquitectura.

Integración en NetScaler Gateway y Citrix ADC