Integración en Citrix Gateway y Citrix ADC
Cuando se integra en XenMobile, Citrix Gateway ofrece un mecanismo de autenticación para el acceso de dispositivos MAM remotos a la red interna. Esta integración permite a las aplicaciones móviles de productividad conectarse a los servidores de empresa ubicados en la intranet a través de una red micro VPN. Porque se crea una micro VPN que se extiende desde las aplicaciones presentes en el dispositivo móvil hasta Citrix Gateway. Citrix Gateway proporciona una ruta de red micro VPN para acceder a todos los recursos de empresa. Asimismo, admite la autenticación de varios factores.
El equilibrio de carga de Citrix ADC es obligatorio para todos los modos de dispositivo que ofrece XenMobile Server en los siguientes casos:
- Si tiene varios servidores de XenMobile
- O bien, si XenMobile Server se encuentra en la zona desmilitarizada o la red interna (y, por lo tanto, el tráfico va desde los dispositivos a Citrix ADC y a XenMobile).
Requisitos de integración para los modos de XenMobile Server
Los requisitos para integrar Citrix Gateway y Citrix ADC varían en función de los modos de XenMobile Server: ENT, MDM y MAM.
MAM
Con XenMobile Server en modo MAM:
- Se requiere Citrix Gateway. Citrix Gateway proporciona una ruta de red micro VPN para acceder a todos los recursos de empresa. Asimismo, admite la autenticación de varios factores.
-
Se recomienda usar Citrix ADC para el equilibrio de carga.
Citrix recomienda implementar XenMobile en una configuración de alta disponibilidad, que requiere un equilibrador de carga delante de XenMobile. Para obtener más información, consulte Acerca de los modos MAM y MAM antiguo.
MDM
Con XenMobile Server en modo MDM:
- No se requiere Citrix Gateway. Para implementaciones MDM, Citrix recomienda Citrix Gateway para la VPN de dispositivos móviles.
-
Se recomienda usar Citrix ADC para la seguridad y el equilibrio de carga.
Citrix recomienda implementar un dispositivo Citrix ADC delante de XenMobile Server, por motivos de seguridad y equilibrio de carga. Para implementaciones estándar con XenMobile en la zona desmilitarizada (DMZ), Citrix recomienda el asistente de Citrix ADC para XenMobile junto con el equilibrio de carga de XenMobile Server en el modo Puente SSL. También puede considerar la descarga de SSL para implementaciones en las que:
- XenMobile Server reside en la red interna, en lugar de en la zona DMZ
- O bien, su equipo de seguridad requiere una configuración de puente SSL
Citrix no recomienda exponer XenMobile Server a Internet a través de NAT o proxy de terceros o equilibradores de carga para MDM. Esas configuraciones suponen un riesgo potencial para la seguridad, incluso si el tráfico SSL finaliza en XenMobile Server (Puente SSL).
Para entornos de alta seguridad, Citrix ADC con la configuración predeterminada de XenMobile cumple o supera los requisitos de seguridad.
Para entornos MDM con exigencias de seguridad máxima, la finalización de SSL en Citrix ADC permite inspeccionar el tráfico en el perímetro, al mismo tiempo que se mantiene el cifrado SSL de extremo a extremo. Para obtener más información, consulte Requisitos de seguridad. Citrix ADC ofrece opciones para definir el cifrado SSL o TLS y el hardware SSL FIPS de Citrix ADC.
ENT (MDM+MAM)
Con XenMobile Server en modo ENT:
-
Se requiere Citrix Gateway. Citrix Gateway proporciona una ruta de red micro VPN para acceder a todos los recursos de empresa. Asimismo, admite la autenticación de varios factores.
Cuando el modo de XenMobile Server es ENT y un usuario deja la inscripción MDM, el dispositivo opera en el modo MAM antiguo. En el modo MAM antiguo, los dispositivos se inscriben mediante el nombre FQDN de Citrix Gateway. Para obtener más información, consulte Acerca de los modos MAM y MAM antiguo.
-
Se recomienda usar Citrix ADC para el equilibrio de carga. Para obtener más información, consulte el apartado anterior sobre Citrix ADC en “MDM”.
Importante:
Para la inscripción inicial, el tráfico desde los dispositivos de usuario se autentica en XenMobile Server, tanto si configura los servidores virtuales de equilibrio de carga en Descarga de SSL como si los configura en Puente SSL.
Decisiones en cuanto a diseño
En las secciones siguientes, se resumen las diversas decisiones de diseño a considerar durante la planificación de una integración de Citrix Gateway en XenMobile.
Licencia y edición
Detalles de la decisión:
- ¿Qué edición de Citrix ADC piensa utilizar?
- ¿Ha aplicado licencias de plataforma a Citrix ADC?
- Si necesita la funcionalidad MAM, ¿ha aplicado las licencias Citrix ADC Universal Access?
Guía de diseño:
Compruebe que aplica las licencias adecuadas a Citrix Gateway. Si usa el conector de Citrix Gateway para Exchange ActiveSync, podría ser necesario el almacenamiento en caché integrado. Por lo tanto, debe comprobar que esté disponible la edición de Citrix ADC correspondiente.
A continuación, dispone de los requisitos de licencias para habilitar las funciones de Citrix ADC.
- El equilibrio de carga MDM de XenMobile requiere, como mínimo, una licencia de plataforma Citrix ADC Standard.
- El equilibrio de carga de ShareFile con controlador de zonas de almacenamiento requiere, como mínimo, una licencia de plataforma Citrix ADC.
- La XenMobile Advanced Edition (local) o Citrix Endpoint Management (en la nube) incluye las licencias universales de Citrix Gateway necesarias para MAM.
- El equilibrio de carga de Exchange requiere una licencia de plataforma Citrix ADC Platinum o una licencia de plataforma Citrix ADC Enterprise, además de una licencia de caché integrada (Integrated Caching).
Versión de Citrix ADC para XenMobile
Detalles de la decisión:
- ¿Qué versión ejecuta Citrix ADC en el entorno de XenMobile?
- ¿Necesita una instancia aparte?
Guía de diseño:
Citrix recomienda usar una instancia dedicada de Citrix ADC para el servidor virtual de Citrix Gateway. Compruebe que se usen la versión y la compilación de Citrix ADC mínimas requeridas en el entorno de XenMobile. Por lo general, es mejor utilizar la versión y la compilación más recientes de Citrix ADC compatibles con XenMobile. Si actualizar la versión de Citrix Gateway afectaría sus entornos existentes, podría interesarle tener una segunda instancia dedicada para XenMobile.
Si va a compartir una instancia de Citrix ADC entre XenMobile y otras aplicaciones que usan conexiones de red VPN, compruebe que dispone de licencias VPN suficientes para ambos. Tenga en cuenta que los entornos de prueba y producción de XenMobile no pueden compartir una instancia de Citrix ADC.
Certificados
Detalles de la decisión:
- ¿Necesita mayor grado de seguridad para las inscripciones y el acceso al entorno de XenMobile?
- ¿LDAP no es una opción?
Guía de diseño:
En XenMobile, la autenticación predeterminada es el nombre de usuario y la contraseña. Para agregar otra capa de seguridad para la inscripción y el acceso al entorno de XenMobile, considere la posibilidad de usar la autenticación basada en certificados. Puede usar certificados con LDAP para la autenticación de dos factores, lo que proporciona un grado mayor de seguridad sin necesidad de un servidor RSA.
Si no permite LDAP y usa tarjetas inteligentes o métodos similares, la configuración de los certificados permite representar una tarjeta inteligente en XenMobile. Los usuarios se inscriben mediante un PIN único que genera XenMobile para ellos. Cuando el usuario tiene acceso, XenMobile crea e implementa el certificado utilizado a partir de entonces para autenticarse en el entorno de XenMobile.
XenMobile admite la lista de revocación de certificados (CRL) solo para una entidad de certificación (CA) de terceros. Si dispone de una entidad de certificación de Microsoft configurada, XenMobile utiliza Citrix ADC para administrar la revocación. Al configurar la autenticación por certificados de cliente, plantéese si debe configurar el parámetro de lista de revocación de certificados (CRL) de Citrix ADC, Enable CRL Auto Refresh. Este paso garantiza que el usuario de un dispositivo inscrito en MAM solo no pueda autenticarse con un certificado existente en el dispositivo. XenMobile vuelve a emitir un certificado nuevo, porque no impide que un usuario genere un certificado de usuario si uno se revoca. Este parámetro aumenta la seguridad de las entidades PKI cuando la lista de revocación de certificados comprueba si hay entidades PKI caducadas.
Topología de red
Detalles de la decisión:
- ¿Qué topología de Citrix ADC se necesita?
Guía de diseño:
Citrix recomienda usar una instancia de Citrix ADC para XenMobile. Sin embargo, es posible que no usted no quiera que el tráfico vaya de la red interna a la zona DMZ. En tal caso, considere la posibilidad de configurar una instancia adicional de Citrix ADC. Utilice una instancia de Citrix ADC para usuarios internos y otra para usuarios externos. Cuando los usuarios cambien entre las redes interna y externa, el almacenamiento en caché de los registros DNS puede dar lugar a un aumento de las solicitudes de inicio de sesión en Secure Hub.
XenMobile no admite el doble salto de Citrix Gateway.
Direcciones IP virtuales dedicadas o compartidas de Citrix Gateway
Detalles de la decisión:
- ¿Utiliza actualmente Citrix Gateway para Virtual Apps and Desktops?
- ¿Tiene previsto que XenMobile utilice el mismo dispositivo Citrix Gateway que Virtual Apps and Desktops?
- ¿Cuáles son los requisitos de autenticación para ambos flujos de tráfico?
Guía de diseño:
Cuando el entorno de Citrix incluye XenMobile con Virtual Apps and Desktops, puede usar la misma instancia de Citrix ADC y el mismo servidor virtual de Citrix Gateway para ambos. Debido a posibles conflictos de versiones y al aislamiento del entorno, se recomiendan una instancia de Citrix ADC dedicada y Citrix Gateway para cada entorno de XenMobile. Sin embargo, si una instancia de Citrix ADC dedicada no es una opción, Citrix recomienda usar un servidor virtual de Citrix Gateway dedicado para separar los flujos de tráfico para Secure Hub. Se recomienda esa configuración, en lugar de un servidor virtual compartido entre XenMobile y Virtual Apps and Desktops.
Si usa la autenticación LDAP, Receiver y Secure Hub pueden autenticarse en el mismo dispositivo Citrix Gateway sin problemas. Si usa la autenticación basada en certificados, XenMobile envía un certificado al contenedor MDX y Secure Hub utiliza ese certificado para autenticarse en Citrix Gateway. Receiver es independiente de Secure Hub y no puede usar el mismo certificado que Secure Hub para autenticarse en el mismo dispositivo Citrix Gateway.
Puede plantearse la siguiente solución temporal, que permite usar un mismo FQDN para dos direcciones IP virtuales de Citrix Gateway.
- Crear dos direcciones IP virtuales de Citrix Gateway con la misma dirección IP. La de Secure Hub utilizará el puerto 443 estándar y la de Virtual Apps and Desktops (que implementa Citrix Receiver) utilizará el puerto 444.
- De este modo, un solo nombre de dominio completo se resuelve en la misma dirección IP.
- Para esta solución temporal, puede configurar StoreFront para devolver un archivo ICA para el puerto 444, en lugar de la opción predeterminada, el puerto 443. Esta solución temporal no requiere que los usuarios introduzcan ningún número de puerto.
Tiempos de espera de Citrix Gateway
Detalles de la decisión:
- ¿Cómo quiere configurar los tiempos de espera de Citrix Gateway para el tráfico de XenMobile?
Guía de diseño:
Citrix Gateway contiene los parámetros “Session time-out” (Tiempo de espera de la sesión) y “Forced time-out” (Tiempo de espera forzado). Para obtener más información, consulte Configuraciones recomendadas. Tenga en cuenta que existen valores de tiempo de espera diferentes para los servicios en segundo plano, Citrix ADC y para el acceso a aplicaciones sin conexión.
Dirección IP del equilibrador de carga de XenMobile para MAM
Detalles de la decisión:
- ¿Usa direcciones IP internas o externas para las direcciones IP virtuales?
Guía de diseño:
En entornos donde puede usar direcciones IP públicas para las direcciones IP virtuales de Citrix Gateway, asignar la dirección y la dirección IP virtual de equilibrio de carga de XenMobile de esta manera provoca fallos de inscripción.
Compruebe que la dirección IP virtual de equilibrio de carga usa una IP interna para evitar errores de inscripción en este caso. Esa dirección IP virtual debe seguir el estándar RFC 1918 para direcciones IP privadas. Si usa una dirección IP no privada para este servidor virtual, Citrix ADC no puede comunicarse correctamente con XenMobile Server durante el proceso de autenticación. Para obtener información detallada, consulte https://support.citrix.com/article/CTX200430.
Mecanismo de equilibrio de carga para MDM
Detalles de la decisión:
- ¿Cómo equilibrará Citrix Gateway la carga de los servidores de XenMobile?
Guía de diseño:
Use el puente SSL cuando XenMobile está en la red perimetral. Use la descarga de SSL, si es necesaria para cumplir las normas de seguridad, cuando XenMobile se encuentre en la red interna.
- Cuando equilibra la carga de XenMobile Server con direcciones IP virtuales de Citrix ADC en el modo Puente SSL, el tráfico de Internet va directamente a XenMobile Server, donde se terminan las conexiones. El modo Puente SSL es el más simple de configurar. También son más fáciles de solucionar los problemas que causa.
- Cuando equilibra la carga de XenMobile Server con direcciones IP virtuales de Citrix ADC en el modo Descarga de SSL, el tráfico de Internet va directamente a Citrix ADC, donde se terminan las conexiones. A continuación, Citrix ADC establece nuevas sesiones de Citrix ADC a XenMobile Server. El modo Descarga de SSL implica una complejidad adicional durante la configuración y la solución de problemas.
Puerto de servicio para el equilibrio de carga MDM con Descarga de SSL
Detalles de la decisión:
- Si piensa utilizar el modo Descarga de SSL para el equilibrio de carga, ¿qué puerto utilizará el servicio back-end?
Guía de diseño:
Para la descarga de SSL, seleccione el puerto 80 o 8443 como se muestra a continuación:
- Utilice el puerto 80 para el tráfico a XenMobile Server, para una descarga efectiva.
- El cifrado de extremo a extremo, es decir, volver a cifrar el tráfico, no se admite. Para obtener más información, consulte el artículo de asistencia de Citrix Supported Architectures Between NetScaler and XenMobile Server.
FQDN de inscripción
Detalles de la decisión:
- ¿Qué nombre FQDN piensa utilizar para la inscripción y la instancia de XenMobile o la dirección IP virtual de equilibrio de carga?
Guía de diseño:
La configuración inicial del primer XenMobile Server de un clúster requiere que escriba el FQDN de XenMobile Server. Ese FQDN debe coincidir con su URL de dirección IP virtual de MDM y su URL de dirección IP virtual interna de equilibrio de carga para MAM (un registro interno de dirección de Citrix ADC resuelve la dirección IP virtual de equilibrio de carga para MAM). Para obtener más información, consulte “FQDN de inscripción para cada modo de administración” más adelante en este artículo.
Además, debe usar el siguiente certificado:
- Certificado de escucha SSL de XenMobile
- Certificado de dirección IP virtual interna de equilibrio de carga para MAM
- Certificado de dirección IP virtual para MDM (si se utiliza Descarga de SSL para la dirección IP virtual de MDM)
Importante:
Después de configurar el FQDN de inscripción, no puede modificarlo. Un nuevo FQDN de inscripción requiere una nueva base de datos de SQL Server y la reconstrucción de XenMobile Server.
Tráfico de Secure Web
Detalles de la decisión:
- ¿Tiene previsto restringir Secure Web a la navegación web interna solamente?
- ¿Tiene previsto habilitar Secure Web para la navegación web interna y externa?
Guía de diseño:
Si utiliza Secure Web únicamente para la navegación web en interno, la configuración de Citrix Gateway es sencilla. De forma predeterminada, Secure Web debe llegar a todos los sitios internos. Es posible que tenga que configurar firewalls y servidores proxy.
Si va a utilizar Secure Web para la navegación interna y externa, debe habilitar la dirección IP de subred (SNIP) para tener acceso saliente a Internet. El departamento de TI suele considerar los dispositivos inscritos (mediante el contenedor MDX) una extensión de la red corporativa. Por lo tanto, TI normalmente quiere que las conexiones de Secure Web vuelvan a Citrix ADC, pasen por un servidor proxy y, a continuación, salgan a Internet. De forma predeterminada, Secure Web usa un túnel VPN por aplicación hacia la red interna, para todo el acceso de red. Citrix ADC utiliza una configuración de túnel dividido.
Para obtener información sobre las conexiones de Secure Web, consulte Configurar conexiones de usuario.
Notificaciones push para Secure Mail
Detalles de la decisión:
- ¿Tiene previsto usar notificaciones push?
Guía de diseño para iOS:
La configuración de Citrix Gateway podría incluir Secure Ticket Authority (STA), con túnel dividido desactivado. Citrix Gateway debe permitir el tráfico desde Secure Mail hacia las direcciones URL del servicio de escucha de Citrix indicadas en “Notificaciones push” en Secure Mail para iOS.
Guía de diseño para Android:
Utilice Firebase Cloud Messaging (FCM) para controlar cómo y cuándo los dispositivos Android se conectan a XenMobile. Con FCM configurado, toda acción de seguridad o comando de implementación desencadena una notificación push en Secure Hub para pedir al usuario que se reconecte a XenMobile Server.
STA HDX
Detalles de la decisión:
- ¿Qué STA usar si piensa integrar el acceso a aplicaciones HDX?
Guía de diseño:
Los STA de HDX deben coincidir con los STA en StoreFront y deben ser válidos para la comunidad de Virtual Apps and Desktops.
Citrix Files y ShareFile
Detalles de la decisión:
- ¿Tiene previsto usar controladores de zonas de almacenamiento en el entorno?
- ¿Qué URL de dirección IP virtual de Citrix Files tiene pensado usar?
Guía de diseño:
Si incluye controladores de zonas de almacenamiento en su entorno, asegúrese de configurar correctamente lo siguiente:
- Dirección IP virtual de conmutación de Citrix Files (utilizada por el plano de control de Citrix Files para comunicarse con los servidores de los controladores de zonas de almacenamiento)
- Direcciones IP virtuales del equilibrio de carga de Citrix Files
- Todas las directivas y perfiles necesarios
Para obtener información, consulte la documentación sobre controladores de zonas de almacenamiento.
Proveedor de identidades SAML
Detalles de la decisión:
- Si se necesita SAML para Citrix Files, ¿quiere usar XenMobile como proveedor de identidades SAML?
Guía de diseño:
Se recomienda integrar Citrix Files en XenMobile Advanced Edition o en XenMobile Advanced Edition (local) o bien en Citrix Endpoint Management (en la nube), que es una alternativa más sencilla que configurar la federación basada en SAML. Cuando utiliza Citrix Files con esas ediciones de XenMobile, XenMobile proporciona Citrix Files con:
- Autenticación Single Sign-On (SSO) para los usuarios de las aplicaciones móviles de productividad
- Aprovisionamiento de cuentas de usuario basado en Active Directory
- Directivas completas de control de acceso
La consola de XenMobile permite configurar Citrix Files y supervisar los niveles de servicio y uso de licencias.
Hay dos tipos de clientes de Citrix Files: Citrix Files para clientes de XenMobile (también conocidos como Citrix Files empaquetados) y clientes móviles de Citrix Files (también conocidos como Citrix Files sin empaquetar). Para entender las diferencias, consulte En qué se diferencian los clientes de Citrix Files para XenMobile de los clientes móviles de Citrix Files.
Puede configurar XenMobile y ShareFile para que usen SAML a fin de proporcionar acceso de SSO a:
- Aplicaciones móviles de Citrix Files
- Clientes de Citrix Files no empaquetados, como el sitio web, Outlook Plug-in o clientes de sincronización
Para usar XenMobile como proveedor de identidades SAML para Citrix Files, compruebe que estén definidas las configuraciones adecuadas. Para obtener más información, consulte SAML para SSO en Citrix Files.
Conexiones directas con ShareConnect
Detalles de la decisión:
- ¿Deberán acceder los usuarios a un equipo host desde un equipo o dispositivo móvil que ejecuta ShareConnect con conexiones directas?
Guía de diseño:
ShareConnect permite a los usuarios conectarse a sus equipos de forma segura a través de iPads, tabletas y teléfonos Android para el acceso a sus archivos y aplicaciones. Para las conexiones directas, XenMobile utiliza Citrix Gateway para proporcionar acceso seguro a los recursos de fuera de la red local. Para obtener más información de configuración, consulte ShareConnect.
FQDN de inscripción para cada modo de administración
Modo de administración | FQDN de inscripción |
Enterprise (MDM+MAM) con inscripción MDM obligatoria | FQDN de XenMobile Server |
Enterprise (MDM+MAM) con inscripción MDM opcional | FQDN de XenMobile Server o FQDN de Citrix Gateway |
Solo MDM | FQDN de XenMobile Server |
Solo MAM (antiguo) | FQDN de Citrix Gateway |
Solo MAM | FQDN de XenMobile Server |
Resumen de implementación
Citrix recomienda usar el asistente de Citrix ADC para XenMobile si quiere asegurarse de una configuración correcta. Solo puede utilizar el asistente una vez. Si tiene varias instancias de XenMobile (por ejemplo, para entornos de prueba, desarrollo y producción) debe configurar Citrix ADC manualmente para los entornos adicionales. Si dispone de un entorno de trabajo, tome nota de la configuración antes de intentar configurar Citrix ADC manualmente para XenMobile.
La decisión clave que debe tomar al utilizar el asistente es si usar HTTPS o HTTP para comunicarse con XenMobile Server. HTTPS ofrece una comunicación back-end segura, ya que se cifra el tráfico entre Citrix ADC y XenMobile. El recifrado afecta al rendimiento de XenMobile Server. HTTP ofrece un mejor rendimiento de XenMobile Server. El tráfico entre Citrix ADC y XenMobile no está cifrado. En las siguientes tablas, se muestran los requisitos de puertos HTTP y HTTPS para Citrix ADC y XenMobile Server.
HTTPS
Por regla general, Citrix recomienda el puente SSL para los parámetros del servidor virtual MDM de Citrix ADC. Para usar la descarga de SSL de Citrix ADC con servidores virtuales MDM, XenMobile admite solo el puerto 80 como servicio back-end.
Modo de administración | Método de equilibrio de carga de Citrix ADC | Recifrado SSL | Puerto del servidor de XenMobile |
MDM | Puente SSL | N/D | 443, 8443 |
MAM | Descarga de SSL | Habilitado | 8443 |
Empresarial | MDM: Puente SSL | N/D | 443, 8443 |
Empresarial | MAM: Descarga de SSL | Habilitado | 8443 |
HTTP
Modo de administración | Método de equilibrio de carga de Citrix ADC | Recifrado SSL | Puerto del servidor de XenMobile |
MDM | Descarga de SSL | No compatible | 80 |
MAM | Descarga de SSL | Habilitado | 8443 |
Empresarial | MDM: Descarga de SSL | No compatible | 80 |
Empresarial | MAM: Descarga de SSL | Habilitado | 8443 |
Para obtener diagramas de Citrix Gateway en implementaciones de XenMobile, consulte Arquitectura de referencia para implementaciones locales.