Integración de XenMobile
En este artículo se describen los elementos a tener en cuenta al planificar cómo se integra XenMobile en su red y sus soluciones existentes. Por ejemplo, si ya está utilizando Citrix ADC para Virtual Apps and Desktops:
- ¿Usa la instancia existente de Citrix ADC o una nueva instancia dedicada?
- ¿Quiere integrar en XenMobile las aplicaciones HDX que se han publicado con StoreFront?
- ¿Piensa utilizar Citrix Files con XenMobile?
- ¿Tiene una solución de control de acceso a la red que quiera integrar en XenMobile?
- ¿Implementa proxys Web para todo el tráfico saliente de la red?
Citrix ADC y Citrix Gateway
Citrix Gateway es obligatorio para los modos ENT y MAM de XenMobile. Citrix Gateway proporciona una ruta de red micro VPN para acceder a todos los recursos de empresa. Asimismo, admite la autenticación de varios factores. El equilibrio de carga de Citrix ADC es obligatorio para todos los modos de dispositivo que ofrece XenMobile Server:
- Si tiene varios servidores de XenMobile
- O bien, si XenMobile Server se encuentra en la zona desmilitarizada o la red interna (y, por lo tanto, el tráfico va desde los dispositivos a Citrix ADC a XenMobile).
Puede usar instancias existentes de Citrix ADC o configurar nuevas para XenMobile. En las secciones siguientes se indican las ventajas y las desventajas de utilizar las instancias de Citrix ADC existentes o unas instancias nuevas dedicadas.
Citrix ADC MPX compartido con una dirección IP virtual de Citrix Gateway creada para XenMobile
Ventajas:
- Utiliza una instancia común de Citrix ADC para todas las conexiones remotas de Citrix: Citrix Virtual Apps and Desktops, VPN completa y VPN sin cliente.
- Utiliza las configuraciones existentes de Citrix ADC; por ejemplo, para la autenticación con certificados y para acceder a servicios como DNS, LDAP y NTP.
- Utiliza una única licencia de plataforma de Citrix ADC.
Desventajas:
- Es más difícil planificar la escalabilidad cuando se enfrenta a dos casos de uso diferentes en el mismo dispositivo Citrix ADC.
- A veces necesita una versión específica de Citrix ADC para un caso de uso de Citrix Virtual Apps and Desktops. Esa misma versión podría tener problemas conocidos para XenMobile. O XenMobile podría presentar problemas conocidos para la versión de Citrix ADC.
- Si ya existe un dispositivo Citrix Gateway, no puede ejecutar el asistente de Citrix ADC para XenMobile por segunda vez para crear la configuración de Citrix ADC para XenMobile.
- Excepto cuando se usan licencias Platinum de Citrix Gateway 11.1 o posterior, se agrupan las licencias de acceso de usuario instaladas en Citrix ADC, necesarias para la conectividad VPN. Puesto que esas licencias están disponibles para todos los servidores virtuales de Citrix ADC, unos servicios que no sean XenMobile pueden potencialmente consumirlas.
Instancia VPX o MPX dedicada de Citrix ADC
Ventajas:
Citrix recomienda usar una instancia dedicada de Citrix ADC.
- Es más fácil planear la escalabilidad en ella. Además, así el tráfico de XenMobile se separa de una instancia de Citrix ADC que podría ya tener restricciones de recursos.
- Evita problemas cuando XenMobile y Citrix Virtual Apps and Desktops necesitan diferentes versiones de software de Citrix ADC. Por lo general, es mejor utilizar la versión y la compilación más recientes de Citrix ADC compatibles con XenMobile.
- Permite configurar Citrix ADC para XenMobile gracias al asistente integrado de Citrix ADC para XenMobile.
- Separación virtual y física de servicios.
- Salvo cuando las licencias Platinum se usan para Citrix Gateway 11.1 o una versión posterior, las licencias de acceso de usuario necesarias para XenMobile solo están disponibles para los servicios de XenMobile en Citrix ADC.
Desventajas:
- Requiere la instalación y la configuración de servicios adicionales en Citrix ADC para admitir la configuración de XenMobile.
- Requiere otra licencia de plataforma de Citrix ADC. Cada instancia de Citrix ADC debe tener una licencia de Citrix Gateway.
Para obtener información sobre qué tener en cuenta a la hora de integrar Citrix ADC y Citrix Gateway en cada modo de servidor de XenMobile, consulte Integración en Citrix ADC y Citrix Gateway.
StoreFront
Si tiene un entorno de Citrix Virtual Apps and Desktops, puede usar StoreFront para integrar aplicaciones HDX en XenMobile. Cuando integra aplicaciones HDX en XenMobile:
- Las aplicaciones están disponibles para los usuarios que están inscritos en XenMobile.
- Las aplicaciones se muestran en XenMobile Store junto con otras aplicaciones móviles.
- XenMobile utiliza el sitio antiguo de (servicios) PNAgent en StoreFront.
- Cuando Citrix Receiver está instalado en un dispositivo, las aplicaciones HDX comienzan a usar Receiver.
StoreFront presenta una limitación de un sitio de servicio por instancia de StoreFront. Supongamos que tiene varios almacenes y quiere separarlos de otro uso de producción. En ese caso, Citrix recomienda generalmente que se plantee un nuevo sitio de servicios y una nueva instancia de StoreFront para XenMobile.
Plantéese lo siguiente:
- ¿Hay algún requisito de autenticación diferente para StoreFront? El sitio de servicios de StoreFront requiere credenciales de Active Directory para el inicio de sesión. Los clientes que solo usan la autenticación basada en certificados no pueden enumerar las aplicaciones a través de XenMobile con el mismo dispositivo Citrix Gateway.
- ¿Usar el mismo almacén o crear otro?
- ¿Usar el mismo servidor de StoreFront o no?
En las siguientes secciones se indican las ventajas y las desventajas de utilizar instancias de StoreFront separados o combinados para Receiver y las aplicaciones móviles de productividad.
Integrar la instancia existente de StoreFront en el servidor de XenMobile
Ventajas:
- Mismo almacén: No se requiere configuración adicional de StoreFront para XenMobile, suponiendo que utilice la misma dirección IP virtual de Citrix ADC para el acceso HDX. Supongamos que elige usar la misma tienda y quiere dirigir el acceso de Receiver a una nueva dirección IP virtual de Citrix ADC. En ese caso, agregue la configuración apropiada de Citrix Gateway a StoreFront.
- Mismo servidor de StoreFront: Utiliza la instalación y la configuración del StoreFront existente.
Desventajas:
- Mismo almacén: Cualquier cambio en la configuración de StoreFront para admitir las cargas de trabajo de Virtual Apps and Desktops puede afectar negativamente a XenMobile.
- Mismo servidor StoreFront: En entornos grandes, tenga en cuenta la carga adicional que provocará el uso de PNAgent por parte de XenMobile para la enumeración y el inicio de las aplicaciones.
Usar una instancia nueva y dedicada de StoreFront para la integración en el servidor de XenMobile
Ventajas:
- Nuevo almacén: Ningún cambio en la configuración del almacén StoreFront para XenMobile debería afectar las cargas de trabajo existentes de Virtual Apps and Desktops.
- Nuevo servidor StoreFront: Los cambios en la configuración del servidor no deberían afectar al flujo de trabajo de Citrix Virtual Apps and Desktops. Además, la carga no derivada del uso de PNAgent por parte de XenMobile para la enumeración y el inicio de aplicaciones no debe afectar a la escalabilidad.
Desventajas:
- Nuevo almacén: Configuración del almacén StoreFront.
- Nuevo servidor de StoreFront: Requiere una nueva instalación y configuración de StoreFront.
Para obtener más información, consulte Virtual Apps and Desktops a través de Citrix Secure Hub en la documentación de XenMobile.
ShareFile y Citrix Files
Citrix Files permite a los usuarios acceder y sincronizar todos sus datos desde cualquier dispositivo. Con Citrix Files, los usuarios pueden compartir datos de forma segura con personas tanto dentro como fuera de la organización. Si integra ShareFile con XenMobile Advanced Edition o Enterprise Edition, XenMobile puede proporcionar a Citrix Files:
- Autenticación Single Sign-On para los usuarios de las aplicaciones de XenMobile.
- Aprovisionamiento de cuentas de usuario basado en Active Directory.
- Directivas integrales para controlar el acceso.
Los usuarios móviles pueden aprovechar el conjunto completo de funciones de la cuenta Enterprise.
También puede configurar XenMobile para integrarlo solamente con conectores de zonas de almacenamiento. A través de conectores de zonas de almacenamiento, Citrix Files proporciona acceso a:
- Documentos y carpetas
- Recursos compartidos de red
- En sitios de SharePoint: Colecciones de sitios y bibliotecas de documentos.
Los recursos compartidos conectados pueden incluir las mismas unidades “home” de red utilizadas en entornos de Citrix Virtual Apps and Desktops. Puede utilizar la consola de XenMobile para configurar la integración en Citrix Files o los conectores de zonas de almacenamiento. Para obtener más información, consulte Uso de Citrix Files con XenMobile.
En las siguientes secciones se indican las preguntas a contestar cuando se decide el diseño de Citrix Files.
Integrar en Citrix Files o solo en conectores de zonas de almacenamiento
Preguntas que debe hacer:
- ¿Necesita almacenar datos en las zonas de almacenamiento que administra Citrix?
- ¿Quiere ofrecer a los usuarios funciones de intercambio y sincronización de archivos?
- ¿Quiere que los usuarios puedan acceder a los archivos que se encuentran en el sitio web de Citrix Files? ¿O que puedan acceder al contenido de Office 365 y los conectores de nube personal desde dispositivos móviles?
Decisión de diseño:
- Si la respuesta a cualquiera de esas preguntas es “sí”, intégrelo en Citrix Files.
- Una integración en solo conectores de zonas de almacenamiento permite a los usuarios iOS un acceso móvil seguro a repositorios de almacenamiento locales existentes, como sitios de SharePoint y recursos compartidos de archivos de red. En esta configuración no se requiere configurar ningún subdominio de ShareFile, aprovisionar usuarios a Citrix Files ni alojar datos de Citrix Files. El uso de conectores de zonas de almacenamiento con XenMobile cumple las restricciones de seguridad contra la filtración de datos del usuario fuera de la red corporativa.
Ubicación de los servidores de controladores de zonas de almacenamiento
Preguntas que debe hacer:
- ¿Necesita almacenamiento local o funciones como conectores de zonas de almacenamiento?
- Si usa las funciones locales de Citrix Files, ¿dónde se ubicarán los controladores de zonas de almacenamiento en la red?
Decisión de diseño:
- Determine si ubicar los servidores de los controladores de las zonas de almacenamiento en la nube de Citrix Files, en su sistema local de almacenamiento de arrendatarios individuales o en un almacenamiento en la nube de terceros compatible.
- Los controladores de zonas de almacenamiento requieren acceso a Internet para comunicarse con el plano de control de Citrix Files. Puede conectarse de varias formas, incluido el acceso directo, las configuraciones NAT/PAT o proxy.
Conectores de zonas de almacenamiento
Preguntas que debe hacer:
- ¿Cuáles son las rutas a recursos CIFS?
- ¿Cuáles son las URL de SharePoint?
Decisión de diseño:
- Determine si son necesarios unos controladores de zonas de almacenamiento locales para acceder a esas ubicaciones.
- Debido a la comunicación del controlador de zonas de almacenamiento con recursos internos (como repositorios de archivos, recursos CIFS y SharePoint), Citrix recomienda que esos controladores residan en la red interna, detrás de los firewalls DMZ y de Citrix ADC.
Integración de SAML con XenMobile Enterprise
Preguntas que debe hacer:
- ¿Se requiere la autenticación de Active Directory para Citrix Files?
- ¿Se requiere SSO la primera vez que se usa la aplicación Citrix Files para XenMobile?
- ¿Hay un proveedor de identidades estándar en el entorno actual?
- ¿Cuántos dominios se requieren para usar SAML?
- ¿Hay varios alias de correo electrónico para los usuarios de Active Directory?
- ¿Hay alguna migración de dominio de Active Directory en curso o programada próximamente?
Decisión de diseño:
Los entornos de XenMobile Enterprise pueden optar por utilizar SAML como el mecanismo de autenticación para Citrix Files. Las opciones de autenticación son:
- Utilizar el servidor XenMobile como el proveedor de identidades (IdP) para SAML
Esta opción puede proporcionar una excelente experiencia de usuario, automatizar la creación de cuentas de Citrix Files y habilitar las funciones de Single Sign-On para las aplicaciones móviles.
- El servidor de XenMobile se ha mejorado para este proceso, ya que no requiere la sincronización de Active Directory.
- Usar la herramienta Citrix Files User Management Tool para el aprovisionamiento de usuarios.
- Usar un proveedor de terceros compatible en calidad de IdP para SAML
Si tiene un IdP existente compatible y no requiere capacidades SSO para aplicaciones móviles, esta puede ser la opción más adecuada. Esta opción también requiere la herramienta Citrix Files User Management Tool para el aprovisionamiento de cuentas.
Usar soluciones IdP de terceros, como ADFS, también puede proporcionar capacidades SSO en el lado del cliente Windows. Debe valorar los casos de uso antes de elegir su IdP SAML para Citrix Files.
Además, para ambos casos de uso, puede configurar ADFS y XenMobile como un IdP dual.
Aplicaciones móviles
Preguntas que debe hacer:
- ¿Qué aplicación móvil de Citrix Files va a usar (pública, MDM, MDX)?
Decisión de diseño:
- Puede distribuir las aplicaciones móviles de productividad desde Apple App Store y Google Play Store. Con esa distribución desde el tienda pública de aplicaciones, se obtienen aplicaciones empaquetadas desde la página Descargas de Citrix.
- Si el nivel de seguridad es bajo y no se necesitan contenedores, puede que la aplicación pública de Citrix Files no sea la adecuada. En un entorno solo MDM, puede entregar la versión MDM de la aplicación Citrix Files mediante XenMobile en modo MDM.
- Para obtener más información, consulte Aplicaciones y Citrix Files para XenMobile.
Seguridad, directivas y control de acceso
Preguntas que debe hacer:
- ¿Qué restricciones necesita para usuarios móviles, Web y de escritorio?
- ¿Qué configuración estándar quiere para controlar el acceso de los usuarios?
- ¿Qué directiva de retención de archivos va a usar?
Decisión de diseño:
- Citrix Files permite administrar los permisos de los empleados y la seguridad de los dispositivos. Para obtener información, consulte Permisos de empleado y Administrar dispositivos y aplicaciones.
- Determinadas directivas MDX y configuraciones de Citrix Files para la seguridad del dispositivo controlan las mismas funciones. En esos casos, tienen prioridad las directivas de XenMobile, seguidas de las configuraciones de Citrix Files para la seguridad de los dispositivos. Ejemplos: Si inhabilita aplicaciones externas en Citrix Files, pero las habilita en XenMobile, las aplicaciones externas se inhabilitan en Citrix Files. Puede configurar las aplicaciones para que XenMobile no requiera PIN o código de acceso, pero la aplicación Citrix Files lo requiere.
Zonas de almacenamiento estándar o restringidas
Preguntas que debe hacer:
- ¿Necesita zonas de almacenamiento restringidas?
Decisión de diseño:
- Una zona de almacenamiento estándar está diseñada para almacenar datos no confidenciales, y permite a los empleados compartir datos con otras personas ajenas a la empresa. En esta opción se admiten flujos de trabajo que implican compartir datos fuera del dominio.
- Una zona de almacenamiento restringida protege datos confidenciales, por lo que solo los usuarios de dominio autenticados pueden acceder a los datos almacenados en estas zonas.
Proxis web
El caso más probable para redirigir el tráfico de XenMobile a través de un proxy HTTP/SOCKS o HTTPS/SOCKS es el siguiente: cuando la subred en la que reside el servidor de XenMobile no tiene acceso saliente a Internet hacia las direcciones IP requeridas de Apple, Google o Microsoft. Puede especificar la configuración del servidor proxy en XenMobile para enrutar todo el tráfico de Internet al servidor proxy. Para obtener más información, consulte Habilitar servidores proxy.
En la siguiente tabla se describen las ventajas y las desventajas del proxy más común utilizado con XenMobile.
Opción | Ventajas | Desventajas |
Utilizar un proxy HTTP/SOCKS o HTTPS/SOCKS con el servidor de XenMobile. | En los casos en que las directivas no permiten conexiones salientes de Internet desde la subred del servidor de XenMobile, puede configurar un proxy SOCKS de HTTP o HTTPS para ofrecer la conectividad con Internet. | Si el servidor proxy falla, se interrumpe la conectividad con APNs (iOS) o Firebase Cloud Messaging (Android). Como resultado, las notificaciones de dispositivo fallan para todos los dispositivos iOS y Android. |
Utilizar un proxy HTTP o HTTPS con Secure Web. | Puede supervisar el tráfico HTTP o HTTPS para asegurarse de que la actividad de Internet cumple con los estándares de la organización. | Esta configuración requiere que todo el tráfico de Internet relativo a Secure Web pase a través de un túnel de nuevo a la red corporativa antes de que enviarse a Internet. Si la conexión a Internet restringe la navegación, esta configuración podría afectar el rendimiento de la navegación por Internet. |
La configuración del perfil de sesión de Citrix ADC para el túnel dividido afecta al tráfico de la siguiente manera.
Cuando el túnel dividido de Citrix ADC está desactivado:
- Si la directiva MDX Acceso de red es Túnel a la red interna, todo el tráfico se ve obligado a utilizar el túnel de la micro VPN o la VPN sin cliente (cVPN) de nuevo a Citrix Gateway.
- Configure las directivas o los perfiles de tráfico de Citrix ADC para el servidor proxy y vincúlelos a la dirección IP virtual de Citrix Gateway.
Importante:
El tráfico cVPN de Secure Hub no debe estar incluido en el proxy.
- Para obtener más información, consulte XenMobile Secure Hub Traffic Through Proxy Server in Secure Browse Mode.
Cuando el túnel dividido de Citrix ADC está activado:
- Cuando las aplicaciones están configuradas con la directiva MDX Acceso de red establecida en Túnel a la red interna, las aplicaciones intentan primero obtener directamente el recurso web. Si el recurso web no está disponible públicamente, esas aplicaciones recurren a Citrix Gateway.
- Configure las directivas o los perfiles de tráfico de Citrix ADC para el servidor proxy. Luego, vincule esas directivas y esos perfiles a la dirección IP virtual de Citrix Gateway.
Importante:
El tráfico cVPN de Secure Hub no debe estar incluido en el proxy.
La configuración del perfil de sesión de Citrix ADC para DNS dividido (en Experiencia del cliente) funciona de manera similar a Túnel dividido.
Con DNS dividido habilitado y establecido en Ambos:
- El cliente intenta primero resolver el FQDN localmente y luego recurre a Citrix ADC para la resolución de DNS durante el fallo.
Con DNS dividido establecido en Remoto:
- La resolución de DNS ocurre solo en Citrix ADC.
Con DNS dividido establecido en Local:
- El cliente intenta resolver el FQDN localmente. Citrix ADC no se utiliza para la resolución de DNS.
Control de acceso
Las empresas pueden administrar dispositivos móviles dentro y fuera de las redes. Las soluciones de administración de la movilidad empresarial (como XenMobile) son excelentes para proporcionar la seguridad de los dispositivos móviles y control sobre ellos, independientemente de la ubicación. Sin embargo, cuando esas soluciones se combinan con una solución de control de acceso a la red (NAC), puede agregar QoS y un control más preciso a los dispositivos internos de su red. Esa combinación le permite extender a la solución NAC la evaluación de seguridad de dispositivos que ofrece XenMobile. La solución NAC puede usar la evaluación de seguridad de XenMobile para facilitar y gestionar las decisiones de autenticación.
Puede utilizar cualquiera de estas soluciones para aplicar directivas de NAC:
- Citrix Gateway
- Cisco Identity Services Engine (ISE)
- ForeScout
Citrix no garantiza la integración de otras soluciones NAC.
Las ventajas de la integración de una solución NAC en XenMobile son:
- Una seguridad, conformidad y control mejores para todos los dispositivos de punto final en una red empresarial.
- Una solución NAC puede:
- Detectar dispositivos en el instante en que intentan conectarse a la red.
- Buscar atributos de los dispositivos en XenMobile.
- Luego, usar esa información para determinar si permitir, bloquear, limitar o redirigir esos dispositivos. Esas decisiones dependen de las directivas de seguridad que elija aplicar.
- Una solución NAC ofrece a los administradores de TI una visión que engloba dispositivos no administrados y no conformes.
Para obtener una descripción de los filtros de conformidad de NAC que admite XenMobile y una introducción a la configuración, consulte Control de acceso de red.