Integração com Citrix Gateway e Citrix ADC
Quando integrado ao XenMobile, o Citrix Gateway fornece um mecanismo de autenticação para o acesso de dispositivos remotos à rede interna para dispositivos MAM. A integração permite que os aplicativos móveis de produtividade se conectem a servidores corporativos na intranet através de uma micro VPN. A micro VPN é criada a partir dos aplicativos no dispositivo móvel para o Citrix Gateway. O Citrix Gateway oferece um caminho de micro VPN para acesso a todos os recursos corporativos e fornece um forte suporte de autenticação multifator.
O balanceamento de carga do Citrix ADC é necessário para todos os modos de dispositivo do XenMobile Server nestes casos:
- Se você tiver vários XenMobile Servers
- Ou se o XenMobile Server estiver dentro da sua rede DMZ ou interna (e, portanto, o tráfego flui dos dispositivos para o Citrix ADC para o XenMobile)
Requisitos de integração para os modos do XenMobile Server
Os requisitos de integração para o Citrix Gateway e Citrix ADC diferem com base nos modos do XenMobile Server: MAM, MDM e ENT.
MAM
Com o XenMobile Server no modo MAM:
- O Citrix Gateway é necessário. O Citrix Gateway oferece um caminho de micro VPN para acesso a todos os recursos corporativos e fornece um forte suporte de autenticação multifator.
-
O Citrix ADC é recomendado para balanceamento de carga.
A Citrix recomenda implantar o XenMobile em uma configuração de alta disponibilidade, que requer um balanceador de carga na frente do XenMobile. Para obter detalhes, consulte Sobre os modos MAM e MAM Legado.
MDM
Com o XenMobile Server no modo MDM:
- O Citrix Gateway não é necessário. Para implantações de MDM, a Citrix recomenda o Citrix Gateway para VPN de dispositivo móvel.
-
O Citrix ADC é recomendado para segurança e balanceamento de carga.
A Citrix recomenda que você implemente um dispositivo Citrix ADC na frente do XenMobile Server, para segurança e balanceamento de carga. Para implantações padrão com o XenMobile na DMZ, a Citrix recomenda o assistente do Citrix ADC for XenMobile juntamente com o balanceamento de carga do XenMobile no modo Ponte de SSL. Você também pode considerar a descarga de SSL para implantações nas quais:
- O XenMobile Server reside na rede interna em vez de na DMZ.
- Ou sua equipe de segurança requer uma configuração de Ponte de SSL.
A Citrix não recomenda expor o XenMobile Server à Internet por meio de NAT ou proxies de terceiros existentes ou balanceadores de carga para MDM. Essas configurações representam um risco potencial de segurança, mesmo que o tráfego SSL seja terminado no XenMobile Server (Ponte de SSL).
Para ambientes de alta segurança, o Citrix ADC com a configuração padrão do XenMobile atende ou excede os requisitos de segurança.
Para ambientes de MDM com as mais altas necessidades de segurança, a terminação SSL no Citrix ADC permite a você inspecionar o tráfego no perímetro, enquanto mantém a criptografia SSL de ponta a ponta. Para obter mais informações, consulte Requisitos de segurança. O Citrix ADC oferece opções para definir criptografias SSL/TLS e hardware SSL FIPS Citrix ADC.
ENT (MAM+MDM)
Com o XenMobile Server no modo ENT:
-
O Citrix Gateway é necessário. O Citrix Gateway oferece um caminho de micro VPN para acesso a todos os recursos corporativos e fornece um forte suporte de autenticação multifator.
Quando o modo do XenMobile Server é ENT e um usuário opta pelo registro no MDM, o dispositivo opera no modo MAM Legado. No modo MAM legado, os dispositivos se registram usando o FQDN do Citrix Gateway. Para obter detalhes, consulte Sobre os modos MAM e MAM Legado.
-
O Citrix ADC é recomendado para balanceamento de carga. Para obter mais informações, consulte o ponto Citrix ADC anteriormente neste artigo em “MDM”.
Importante:
Para o registro inicial, o tráfego dos dispositivos do usuário é autenticado no XenMobile Server, independentemente de você configurar servidores virtuais de balanceamento de carga para Descarga de SSL ou Ponte de SSL.
Decisões de design
As seções a seguir resumem as várias decisões de design a serem consideradas ao planejar uma integração do Citrix Gateway com o XenMobile.
Licenciamento e edição
Detalhe da decisão:
- Qual edição do Citrix ADC você planeja usar?
- Você já aplicou licenças de plataforma ao Citrix ADC?
- Caso precise da funcionalidade MAM, você aplicou as licenças de acesso universal do Citrix ADC?
Orientação de design:
Certifique-se de aplicar as licenças apropriadas ao Citrix Gateway. Se você estiver usando o conector Citrix Gateway para Exchange ActiveSync, o armazenamento em cache integrado pode ser necessário. Portanto, você deve garantir que o Citrix ADC Edition apropriado esteja em uso.
Os requisitos de licença para ativar os recursos do Citrix ADC são os seguintes.
- O balanceamento de carga do XenMobile MDM requer uma licença de plataforma padrão do Citrix ADC no mínimo.
- O balanceamento de carga do ShareFile com o controlador de zonas de armazenamento requer uma licença de plataforma padrão do Citrix ADC no mínimo.
- O XenMobile Advanced Edition (local) ou o Citrix Endpoint Management (nuvem) incluem as licenças universais do Citrix Gateway necessárias para o MAM.
- O balanceamento de carga do Exchange requer uma licença de plataforma Citrix ADC Platinum ou uma licença de plataforma Citrix ADC Enterprise com a adição de uma licença de Cache Integrado.
Versão do Citrix ADC para XenMobile
Detalhe da decisão:
- Qual versão o Citrix ADC está executando no ambiente XenMobile?
- Você precisa de uma instância separada?
Orientação de design:
A Citrix recomenda o uso de uma instância dedicada do Citrix ADC para o seu servidor virtual Citrix Gateway. Certifique-se de que a versão e a compilação mínimas do Citrix ADC estejam em uso no ambiente XenMobile. Geralmente, o melhor é usar a última versão e compilação compatíveis do Citrix ADC for XenMobile. Se a atualização do Citrix Gateway afetar seus ambientes existentes, uma segunda instância dedicada para o XenMobile poderá ser apropriada.
Se você planeja compartilhar uma instância do Citrix ADC com XenMobile e outros aplicativos que usam conexões VPN, certifique-se de ter licenças de VPN suficientes para todos. Tenha em mente que os ambientes de teste e produção do XenMobile não podem compartilhar uma instância do Citrix ADC.
Certificados
Detalhe da decisão:
- Você exige um maior grau de segurança para registros e acesso ao ambiente XenMobile?
- O LDAP não é uma opção?
Orientação de design:
A configuração padrão para o XenMobile é autenticação de nome de usuário e senha. Para adicionar outra camada de segurança para registro e acesso ao ambiente do XenMobile, considere usar a autenticação baseada em certificado. Você pode usar certificados com LDAP para autenticação de dois fatores, fornecendo um maior grau de segurança sem precisar de um servidor RSA.
Se você não permitir LDAP e usar cartões inteligentes ou similar métodos, a configuração de certificados permite a você representar um cartão inteligente para o XenMobile. Em seguida, os usuários se registram usando um PIN exclusivo que o XenMobile gera para eles. Depois que o usuário puder acessar, o XenMobile cria e implanta o certificado usado para autenticar no ambiente XenMobile.
O XenMobile dá suporte a Lista de revogação de certificados (CRL) somente para uma Autoridade de Certificação terceira. Se você tiver configurado uma AC da Microsoft, o XenMobile usa o Citrix ADC para gerenciar a revogação. Quando você configurar a autenticação baseada em certificado de cliente, decida se é necessário ou não configurar a opção Lista de revogação de certificados (CRL) do Citrix ADC, Ativar atualização automática da CRL. Esta etapa garante que o usuário de um dispositivo registrado no MAM apenas não possa autenticar usando um certificado existente no dispositivo. O XenMobile emite novamente um novo certificado porque ele não impede que um usuário gere um certificado de usuário se um tiver sido revogado. Essa opção aumenta a segurança de entidades PKI quando a CRL verifica entidades PKI expiradas.
Topologia de rede
Detalhe da decisão:
- Qual topologia Citrix ADC é necessária?
Orientação de design:
A Citrix recomenda o uso de uma instância do Citrix ADC para XenMobile. No entanto, você pode não querer tráfego indo de dentro da rede interna para a DMZ. Nesse caso, considere a configuração de uma instância extra do Citrix ADC. Use uma instância do Citrix ADC para usuários internos e uma para usuários externos. Quando os usuários alternam entre as redes interna e externa, o cache de registros DNS pode resultar em um aumento nas solicitações de logon do Secure Hub.
O XenMobile não suporta o salto duplo do Citrix Gateway.
VIPs Citrix Gateway dedicados ou compartilhados
Detalhe da decisão:
- No momento, você usa o Citrix Gateway para Virtual Apps and Desktops?
- Você planeja que o XenMobile use o mesmo Citrix Gateway que o Virtual Apps and Desktops?
- Quais são os requisitos de autenticação para ambos os fluxos de tráfego?
Orientação de design:
Quando seu ambiente Citrix inclui o XenMobile, além do Virtual Apps and Desktops, você pode usar a mesma instância do Citrix ADC e o servidor virtual Citrix Gateway para ambos. Devido a possíveis conflitos de versão e isolamento do ambiente, instâncias dedicadas do Citrix ADC e do Citrix Gateway são recomendadas para cada ambiente XenMobile. No entanto, se uma instância dedicada do Citrix ADC não for uma opção, a Citrix recomenda o uso de um servidor virtual Citrix Gateway dedicado para separar os fluxos de tráfego do Secure Hub. Essa configuração é no lugar da de um servidor virtual compartilhado entre o XenMobile e o Virtual Apps and Desktops.
Se você usar a autenticação LDAP, o Citrix Receiver e o Secure Hub poderão se autenticar no mesmo Citrix Gateway sem problemas. Se você usar a autenticação baseada em certificado, o XenMobile enviará um certificado no contêiner MDX e o Secure Hub usará o certificado para se autenticar no Citrix Gateway. O Citrix Receiver é separado do Secure Hub e não pode usar o mesmo certificado do Secure Hub para se autenticar no mesmo Citrix Gateway.
Considere a seguinte solução alternativa, a qual permite que você use o mesmo FQDN para dois VIPs Citrix Gateway.
- Crie dois VIPs Citrix Gateway com o mesmo endereço IP. O VIP para Secure Hub usa a porta 443 padrão e o VIP para Virtual Apps and Desktops (que implanta o Receiver) usa a porta 444.
- Como resultado, um FQDN resolve para o mesmo endereço IP.
- Para essa alternativa, você pode configurar o StoreFront para retornar um arquivo ICA para a porta 444, em vez da porta padrão 443. Esta solução alternativa não requer que os usuários insiram um número de porta.
Tempos limite do Citrix Gateway
Detalhe da decisão:
- Como você deseja configurar os tempos limite do Citrix Gateway para o tráfego do XenMobile?
Orientação de design:
O Citrix Gateway inclui as configurações de Tempo limite da sessão e Tempo limite forçado. Para ober detalhes, consulte Configurações recomendadas. Tenha em mente que existem diferentes valores de tempo limite para serviços em segundo plano, Citrix ADC e para acessar aplicativos enquanto estiver off-line.
Endereço IP do balanceador de carga XenMobile para MAM
Detalhe da decisão:
- Você está usando endereços IP internos ou externos para VIPs?
Orientação de design:
Em ambientes onde você pode usar endereços IP públicos para VIPs Citrix Gateway, atribuir o VIP e o endereço de balanceamento de carga do XenMobile dessa maneira causa falhas no registro.
Verifique se o VIP de balanceamento de carga usa um IP interno para evitar falhas de registro nesse cenário. Esse endereço IP virtual deve seguir o padrão RFC 1918 de endereços IP privados. Se você usar um endereço IP não privado para esse servidor virtual, o Citrix ADC não pode contatar o XenMobile Server com êxito durante o processo de autenticação. Para obter detalhes, consulte https://support.citrix.com/article/CTX200430.
Mecanismo de balanceamento de carga do MDM
Detalhe da decisão:
- Como o Citrix Gateway balanceará a carga de XenMobile Servers?
Orientação de design:
Use a Ponte SSL se o XenMobile estiver na DMZ. Use descarga de SSL, se for necessário para atender aos padrões de segurança, quando o XenMobile estiver na rede interna.
- Quando você faz o balanceamento de carga do XenMobile Server com VIPs Citrix ADC no modo Ponte de SSL, o tráfego da Internet flui diretamente para o XenMobile Server, onde as conexões terminam. O modo Ponte de SSL é o modo mais simples de configurar e solucionar problemas.
- Quando você faz o balanceamento de carga do XenMobile Server com VIPs Citrix ADC no modo Descarga de SSL, o tráfego da Internet flui diretamente para o Citrix ADC, onde as conexões terminam. Assim, o Citrix ADC estabelece novas sessões do Citrix ADC ao XenMobile Server. O modo de descarga SSL envolve complexidade extra durante a configuração e a solução de problemas.
Porta de serviço para balanceamento de carga do MDM com a descarga de SSL
Detalhe da decisão:
- Se você planeja usar o modo de descarga de SSL para o balanceamento de carga, qual porta o serviço de back-end usará?
Orientação de design:
Para Descarga de SSL, escolha a porta 80 ou 8443 da seguinte maneira:
- Use a porta 80 de volta ao XenMobile Server, para uma verdadeira descarga.
- A criptografia de ponta a ponta, ou seja, a uma nova criptografia do tráfego, não é suportada. Para obter detalhes, consulte o artigo de suporte da Citrix, Arquiteturas Suportadas entre o NetScaler e o XenMobile Server.
FQDN de registro
Detalhe da decisão:
- O que você planeja usar como o FQDN para registro e o VIP para instância/balanceamento de carga do XenMobile?
Orientação de design:
A configuração inicial do primeiro XenMobile Server em um cluster requer que você forneça o FQDN do XenMobile Server. Esse FQDN deve corresponder ao URL do VIP de MDM e ao URL do VIP do balanceador de carga de MAM interno. (Um registro de endereço interno do Citrix ADC resolve o VIP do balanceador de carga do MAM.) Para obter detalhes, consulte “FQDN de registro para cada modo de gerenciamento”, posteriormente neste artigo.
Além disso, você deve usar o mesmo certificado como a seguir:
- Certificado de ouvinte SSL do XenMobile
- Certificado VIP LB MAM interno
- Certificado VIP MDM (se estiver usando Descarga de SSL para VIP MDM)
Importante:
Depois de configurar o FQDN de registro, você não poderá alterá-lo. Um novo FQDN de registro exige uma nova compilação do banco de dados do SQL Server e do XenMobile Server.
Tráfego do Secure Web
Detalhe da decisão:
- Você planeja restringir o Secure Web à navegação na Web interna apenas?
- Você planeja habilitar o Secure Web para a navegação na Web interna e externa?
Orientação de design:
Se você planeja usar o Secure Web somente para navegação interna na Web, a configuração do Citrix Gateway será direta. O Secure Web deve acessar todos os sites internos por padrão. Talvez seja necessário configurar firewalls e servidores proxy.
Se você planeja usar o Secure Web para a navegação interna e externa, deverá ativar o SNIP para ter acesso de saída à Internet. A TI geralmente vê os dispositivos registrados (usando o contêiner MDX) como uma extensão da rede corporativa. Assim, a TI normalmente deseja que as conexões do Secure Web voltem ao Citrix ADC, passem por um servidor proxy e saiam para a Internet. Por padrão, o Secure Web usa um túnel VPN por aplicativo de volta à rede interna para todo o acesso à rede. O Citrix ADC usa configurações de túnel dividido.
Para ver uma discussão sobre conexões do Secure Web, consulte Configuração de conexões do usuário.
Notificações por Push para o Secure Mail
Detalhe da decisão:
- Você planeja usar notificações por push?
Orientação de design para iOS:
Sua configuração do Citrix Gateway pode incluir Secure Ticket Authority (STA), com túnel dividido desligado. O Citrix Gateway deve permitir o tráfego do Secure Mail para os URLs do serviço de ouvinte Citrix especificados em Notificações por Push para Secure Mail para iOS.
Orientação de design para o Android:
Use o Firebase Cloud Messaging (FCM) para controlar como e quando os dispositivos Android precisam se conectar ao XenMobile. Com o FCM configurado, qualquer ação de segurança ou comando de implantação dispara uma notificação por push para o Secure Hub para solicitar ao usuário que se reconecte ao XenMobile Server.
STAs HDX
Detalhe da decisão:
- Quais STAs usar se você planeja integra o acesso ao aplicativo HDX?
Orientação de design:
As STAs HDX devem corresponder às STAs no StoreFront e devem ser válidas para o farm do Virtual Apps and Desktops.
Citrix Files e ShareFile
Detalhe da decisão:
- Você planeja usar controladores de zona de armazenamento no ambiente?
- Qual URL de VIP do Citrix Files você planeja usar?
Orientação de design:
Se você incluir controladores de zona de armazenamento em seu ambiente, certifique-se de configurar corretamente o seguinte:
- VPI do comutador do Citrix Files (usado pelo plano de controle do Citrix Files para se comunicar com os servidores do controlador de zona de armazenamento)
- VIPs de balanceamento de carga do Citrix Files
- Todas as políticas e perfis necessários
Para obter informações, consulte a documentação do controlador de zonas de armazenamento.
IdP SAML
Detalhe da decisão:
- Se o SAML for necessário para o Citrix Files, você deseja usar o XenMobile como o IdP SAML?
Orientação de design:
A prática recomendada é integrar o Citrix Files ao XenMobile Advanced Edition ou ao XenMobile Advanced Edition (local) ou Citrix Endpoint Management (nuvem), uma alternativa mais simples para configurar a federação baseada em SAML. Quando você usa o Citrix Files com essas edições do XenMobile, o XenMobile fornece ao Citrix Files:
- Autenticação de logon único (SSO) de usuários de aplicativos móveis de produtividade
- Provisionamento de conta de usuário baseado no Active Directory
- Políticas abrangentes de controle de acesso
O console XenMobile permite que você execute a configuração do Citrix Files e monitore os níveis de serviço e o uso da licença.
Existem dois tipos de clientes Citrix Files: clientes do Citrix Files para XenMobile (também conhecidos como Citrix Files preparados) e clientes móveis do Citrix Files (também conhecidos como Citrix Files não preparados). Para entender as diferenças, consulte Como os clientes do Citrix Files for XenMobile diferem dos clientes móveis do Citrix Files.
Você pode configurar o XenMobile e o ShareFile para usar o SAML para fornecer acesso SSO a:
- Aplicativos móveis Citrix Files
- Clientes do Citrix Files não preparados, como site, plug-in do Outlook ou clientes de sincronização
Para usar o XenMobile como o IdP SAML para o Citrix Files, verifique se as configurações adequadas foram definidas. Para obter detalhes, consulte SAML para SSO com Citrix Files.
Conexões diretas do ShareConnect
Detalhe da decisão:
- Os usuários deverão acessar um computador host a partir de um computador ou dispositivo móvel que esteja executando o ShareConnect usando conexões diretas?
Orientação de design:
O ShareConnect permite que os usuários se conectem com segurança com seus computadores através iPads, tablets Android e telefones Android para acessar seus arquivos e aplicativos. Para ligações diretas, o XenMobile usa o Citrix Gateway para fornecer o acesso seguro a recursos de dados fora da rede local. Para ver detalhes de configuração, consulte ShareConnect.
FQDN de registro para cada modo de gerenciamento
Modo de gerenciamento | FQDN de registro |
Enterprise (MDM+MAM) com registro obrigatório no MDM | FQDN do XenMobile Server |
Enterprise (MDM+MAM) com registro opcional no MDM | FQDN do XenMobile Server ou FQDN do Citrix Gateway |
Apenas MDM | FQDN do XenMobile Server |
Somente MAM (legado) | FQDN do Citrix Gateway |
Somente MAM | FQDN do XenMobile Server |
Resumo de Implantação
A Citrix recomenda que você use o assistente Citrix ADC for XenMobile para garantir a configuração adequada. Você pode usar o assistente apenas uma vez. Se você tiver várias instâncias do XenMobile, como ambientes de teste, desenvolvimento e produção, deverá configurar o Citrix ADC para os ambientes adicionais manualmente. Quando você tiver um ambiente de trabalho, anote as configurações antes de tentar configurar o Citrix ADC manualmente para o XenMobile.
A sua principal decisão quando usa o assistente é se usará HTTPS ou HTTP para comunicação com o XenMobile Server. O HTTPS fornece comunicação de back-end segura, já que o tráfego entre o Citrix ADC e o XenMobile é criptografado. A nova criptografia afeta o desempenho do XenMobile Server. O HTTP oferece melhor desempenho do XenMobile Server. O tráfego entre o Citrix ADC e o XenMobile não é criptografado. As tabelas a seguir mostram os requisitos de porta HTTP e HTTPS para o Citrix ADC e XenMobile Server.
HTTPS
A Citrix normalmente recomenda a Ponte SSL para configurações do servidor virtual MDM do Citrix ADC. Para o uso da descarga de SSL do Citrix ADC com servidores virtuais MDM, o XenMobile suporta apenas a porta 80 como o serviço de backend.
Modo de gerenciamento | Método de balanceamento de carga Citrix ADC | Nova criptografia SSL | Porta do XenMobile Server |
MDM | Ponte SSL | N/A | 443, 8443 |
MAM | Descarga de SSL | Enabled | 8443 |
Enterprise | MDM: Ponte SSL | N/A | 443, 8443 |
Enterprise | MAM: Descarga de SSL | Enabled | 8443 |
HTTP
Modo de gerenciamento | Método de balanceamento de carga Citrix ADC | Nova criptografia SSL | Porta do XenMobile Server |
MDM | Descarga de SSL | Sem suporte | 80 |
MAM | Descarga de SSL | Enabled | 8443 |
Enterprise | MAM: Descarga de SSL | Sem suporte | 80 |
Enterprise | MAM: Descarga de SSL | Enabled | 8443 |
Para obter diagramas do Citrix Gateway em implantações do XenMobile, consulte Arquitetura de referência para implantações no local.