This content has been machine translated dynamically.
Dieser Inhalt ist eine maschinelle Übersetzung, die dynamisch erstellt wurde. (Haftungsausschluss)
Cet article a été traduit automatiquement de manière dynamique. (Clause de non responsabilité)
Este artículo lo ha traducido una máquina de forma dinámica. (Aviso legal)
此内容已经过机器动态翻译。 放弃
このコンテンツは動的に機械翻訳されています。免責事項
이 콘텐츠는 동적으로 기계 번역되었습니다. 책임 부인
Este texto foi traduzido automaticamente. (Aviso legal)
Questo contenuto è stato tradotto dinamicamente con traduzione automatica.(Esclusione di responsabilità))
This article has been machine translated.
Dieser Artikel wurde maschinell übersetzt. (Haftungsausschluss)
Ce article a été traduit automatiquement. (Clause de non responsabilité)
Este artículo ha sido traducido automáticamente. (Aviso legal)
この記事は機械翻訳されています.免責事項
이 기사는 기계 번역되었습니다.책임 부인
Este artigo foi traduzido automaticamente.(Aviso legal)
这篇文章已经过机器翻译.放弃
Questo articolo è stato tradotto automaticamente.(Esclusione di responsabilità))
Translation failed!
集成 NetScaler Gateway 和 Citrix ADC
与 Citrix Endpoint Management 集成后,NetScaler Gateway 提供了一种身份验证机制,用于 MAM 设备远程访问内部网络。此集成使 Citrix 移动生产力应用程序能够通过微型 VPN 连接到内网中的公司服务器。Citrix Endpoint Management 在设备上的应用程序与 NetScaler Gateway 之间创建微型 VPN。NetScaler Gateway 为访问所有公司资源提供了微型 VPN 路径,并提供了强大的多重身份验证支持。
当用户选择退出 MDM 注册时,设备将使用 NetScaler Gateway FQDN 进行注册。
Citrix Cloud Operations 管理 Citrix ADC 负载平衡。
设计决策
以下各节总结了在规划 NetScaler Gateway 与 Citrix Endpoint Management 集成时需要考虑的许多设计决策。
证书
决策详情:
- 您是否需要更高程度的安全性来注册和访问 Citrix Endpoint Management 环境?
- LDAP 是否不是一个选项?
设计指导:
Citrix Endpoint Management 的默认配置是用户名和密码身份验证。为了为注册和访问 Citrix Endpoint Management 环境添加另一层安全性,请考虑使用基于证书的身份验证。您可以将证书与 LDAP 结合使用进行双因素身份验证,从而在不需要 RSA 服务器的情况下提供更高程度的安全性。
如果您不允许 LDAP 并使用智能卡或类似方法,配置证书可让您向 Citrix Endpoint Management 表示智能卡。然后,用户使用 Citrix Endpoint Management 为他们生成的唯一 PIN 进行注册。用户获得访问权限后,Citrix Endpoint Management 会创建并部署稍后用于向 Citrix Endpoint Management 环境进行身份验证的证书。
Citrix Endpoint Management 仅支持第三方证书颁发机构的证书吊销列表 (CRL)。如果您配置了 Microsoft CA,Citrix Endpoint Management 将使用 NetScaler Gateway 来管理吊销。当您配置基于客户端证书的身份验证时,请考虑是否需要配置 NetScaler Gateway 证书吊销列表 (CRL) 设置 Enable CRL Auto Refresh。此步骤可确保仅在 MAM 中注册的设备用户无法使用设备上的现有证书进行身份验证。Citrix Endpoint Management 会重新颁发新证书,因为它不限制用户在证书被吊销时生成用户证书。当 CRL 检查过期的 PKI 实体时,此设置会提高 PKI 实体的安全性。
专用或共享 NetScaler Gateway VIP
决策详情:
- 您当前是否将 NetScaler Gateway 用于 Citrix Virtual Apps and Desktops?
- Citrix Endpoint Management 是否会使用与 Citrix Virtual Apps and Desktops 相同的 NetScaler Gateway?
- 两种流量流的身份验证要求是什么?
设计指导:
当您的 Citrix 环境包含 Citrix Endpoint Management 以及 Virtual Apps and Desktops 时,您可以将相同的 NetScaler Gateway 虚拟服务器用于两者。由于潜在的版本冲突和环境隔离,建议为每个 Citrix Endpoint Management 环境使用专用的 NetScaler Gateway。
如果您使用 LDAP 身份验证,Citrix Secure Hub 可以毫无问题地向同一 NetScaler Gateway 进行身份验证。如果您使用基于证书的身份验证,Citrix Endpoint Management 会在 MDX 容器中推送证书,Citrix Secure Hub 使用该证书向 NetScaler Gateway 进行身份验证。
您可以考虑此变通方法,它允许您为两个 NetScaler Gateway VIP 使用相同的 FQDN。您可以创建两个具有相同 IP 地址的 NetScaler Gateway VIP。其中一个用于 Citrix Secure Hub,使用标准 443 端口;另一个用于 Citrix Virtual Apps and Desktops(部署 Citrix Workspace 应用程序),使用 444 端口。然后,一个 FQDN 解析为相同的 IP 地址。对于此变通方法,您可能需要配置 StoreFront 以返回端口 444 的 ICA 文件,而不是默认的端口 443。此变通方法不需要用户输入端口号。
NetScaler Gateway 超时
决策详情:
- 您希望如何为 Citrix Endpoint Management 流量配置 NetScaler Gateway 超时?
设计指导:
NetScaler Gateway 包含会话超时和强制超时设置。有关详细信息,请参阅推荐配置。请记住,后台服务、NetScaler Gateway 以及脱机访问应用程序的超时值是不同的。
注册 FQDN
重要提示:
更改注册 FQDN 需要新的 SQL Server 数据库和重建 Citrix Endpoint Management 服务器。
Citrix Secure Web 流量
决策详情:
- 您是否会将 Citrix Secure Web 限制为仅限内部 Web 浏览?
- 您是否会为内部和外部 Web 浏览启用 Citrix Secure Web?
设计指导:
如果您计划仅将 Citrix Secure Web 用于内部 Web 浏览,则 NetScaler Gateway 配置非常简单。但是,如果 Citrix Secure Web 默认无法访问所有内部站点,您可能需要配置防火墙和代理服务器。
如果您计划将 Citrix Secure Web 用于内部和外部浏览,则必须启用 SNIP 以便进行出站 Internet 访问。IT 通常将注册设备(使用 MDX 容器)视为公司网络的扩展。因此,IT 通常希望 Citrix Secure Web 连接返回到 NetScaler Gateway,通过代理服务器,然后访问 Internet。默认情况下,Citrix Secure Web 访问会隧道连接到内部网络。Citrix Secure Web 使用每个应用程序的 VPN 隧道返回到内部网络以进行所有网络访问,并且 NetScaler Gateway 使用拆分隧道设置。
有关 Citrix Secure Web 连接的讨论,请参阅配置用户连接。
Citrix Secure Mail 的推送通知
决策详情:
- 您是否会使用推送通知?
iOS 的设计指导:
如果您的 NetScaler Gateway 配置包含安全票证颁发机构 (STA) 并且拆分隧道已关闭:NetScaler Gateway 必须允许来自 Citrix Secure Mail 的流量访问 Citrix 侦听器服务 URL。这些 URL 在适用于 iOS 的 Citrix Secure Mail 推送通知中指定。
Android 的设计指导:
使用 Firebase Cloud Messaging (FCM) 来控制 Android 设备何时以及如何连接到 Citrix Endpoint Management。配置 FCM 后,任何安全操作或部署命令都会触发向 Citrix Secure Hub 发送推送通知,以提示用户重新连接到 Citrix Endpoint Management 服务器。
HDX STA
决策详情:
- 如果您集成 HDX 应用程序访问,要使用哪些 STA?
设计指导:
HDX STA 必须与 StoreFront 中的 STA 匹配,并且必须对 Virtual Apps and Desktops 站点有效。
Citrix Files 和 ShareFile
决策详情:
- 您是否会在环境中使用存储区域控制器?
- 您将使用哪个 Citrix Files VIP URL?
设计指导:
如果您的环境中包含存储区域控制器,请确保正确配置以下各项:
- Citrix Files 内容交换 VIP(由 Citrix Files 控制平面用于与存储区域控制器服务器通信)
- Citrix Files 负载平衡 VIP
- 所有必需的策略和配置文件
有关信息,请参阅存储区域控制器的文档。
SAML IdP
决策详情:
- 如果 Citrix Files 需要 SAML,您是否希望使用 Citrix Endpoint Management 作为 SAML IdP?
设计指导:
推荐的最佳实践是将 Citrix Files 与 Citrix Endpoint Management 集成,这是一种比配置基于 SAML 的联合更简单的替代方案。Citrix Endpoint Management 为 Citrix Files 提供:
- Citrix 移动生产力应用程序用户的单点登录 (SSO) 身份验证
- 基于 Active Directory 的用户帐户预配
- 全面的访问控制策略。
Citrix Endpoint Management 控制台使您能够执行 Citrix Files 配置并监视服务级别和许可证使用情况。
Citrix Files 客户端有两种类型:适用于 Citrix Endpoint Management 的 Citrix Files(也称为封装的 Citrix Files)和 Citrix Files 移动客户端(也称为未封装的 Citrix Files)。要了解这些差异,请参阅适用于 Citrix Endpoint Management 的 Citrix Files 客户端与 Citrix Files 移动客户端有何不同。
您可以配置 Citrix Endpoint Management 和 Citrix Files 以使用 SAML 提供对以下各项的 SSO 访问:
- 已启用 MAM SDK 或使用 MDX Toolkit 封装的 Citrix Files 应用程序
- 未封装的 Citrix Files 客户端,例如网站、Outlook 插件或同步客户端
如果您希望使用 Citrix Endpoint Management 作为 Citrix Files 的 SAML IdP,请确保已进行正确的配置。有关详细信息,请参阅使用 Citrix Files 进行 SSO 的 SAML。
ShareConnect 直接连接
决策详情:
- 用户是否会使用直接连接从运行 ShareConnect 的计算机或移动设备访问主机计算机?
设计指导:
ShareConnect 使户能够通过 iPad、Android 平板电脑和 Android 手机安全地连接到其计算机,以访问其文件和应用程序。对于直接连接,Citrix Endpoint Management 使用 NetScaler Gateway 提供对本地网络外部资源的安全访问。有关配置详细信息,请参阅 ShareConnect。
每种管理模式的注册 FQDN
| 管理模式 | 注册 FQDN |
|---|---|
| MDM+MAM(强制 MDM 注册) | Citrix Endpoint Management 服务器 FQDN |
| MDM+MAM(可选 MDM 注册) | Citrix Endpoint Management 服务器 FQDN |
| 仅限 MAM | Citrix Endpoint Management 服务器 FQDN |
部署摘要
如果您有许多 Citrix Endpoint Management 实例,例如用于测试、开发和生产环境的实例,您必须手动为其他环境配置 NetScaler Gateway。当您拥有一个正常工作的环境时,请在尝试手动为 Citrix Endpoint Management 配置 NetScaler Gateway 之前记下设置。
一个关键决策是,与 Citrix Endpoint Management 服务器通信时是使用 HTTPS 还是 HTTP。HTTPS 提供安全的后端通信,因为 NetScaler Gateway 和 Citrix Endpoint Management 之间的流量是加密的。重新加密会影响 Citrix Endpoint Management 服务器性能。HTTP 提供更好的 Citrix Endpoint Management 服务器性能。NetScaler Gateway 和 Citrix Endpoint Management 之间的流量未加密。下表显示了 NetScaler Gateway 和 Citrix Endpoint Management 的 HTTP 和 HTTPS 端口要求。
HTTPS
Citrix 通常建议将 SSL Bridge 用于 NetScaler Gateway MDM 虚拟服务器配置。对于将 NetScaler Gateway SSL Offload 与 MDM 虚拟服务器结合使用,Citrix Endpoint Management 仅支持端口 80 作为后端服务。
| 管理模式 | NetScaler Gateway 负载平衡方法 | SSL 重新加密 | Citrix Endpoint Management 服务器端口 |
|---|---|---|---|
| MAM | SSL Offload | 已启用 | 8443 |
| MDM+MAM | MDM: SSL Bridge | 不适用 | 443, 8443 |
| MDM+MAM | MAM: SSL Offload | 已启用 | 8443 |
HTTP
| 管理模式 | NetScaler Gateway 负载平衡方法 | SSL 重新加密 | Citrix Endpoint Management 服务器端口 |
|---|---|---|---|
| MAM | SSL Offload | 已启用 | 8443 |
| MDM+MAM | MDM: SSL Offload | 不支持 | 80 |
| MDM+MAM | MAM: SSL Offload | 已启用 | 8443 |
有关 Citrix Endpoint Management 部署中 NetScaler Gateway 的图示,请参阅体系结构。
共享
共享
This Preview product documentation is Citrix Confidential.
You agree to hold this documentation confidential pursuant to the terms of your Citrix Beta/Tech Preview Agreement.
The development, release and timing of any features or functionality described in the Preview documentation remains at our sole discretion and are subject to change without notice or consultation.
The documentation is for informational purposes only and is not a commitment, promise or legal obligation to deliver any material, code or functionality and should not be relied upon in making Citrix product purchase decisions.
If you do not agree, select I DO NOT AGREE to exit.