XenMobile 集成
本文介绍了规划 XenMobile 与现有网络和解决方案的集成方式时要考虑的事项。例如,如果您已经将 Citrix ADC 用于 Virtual Apps and Desktops:
- 应该使用现有的 Citrix ADC 实例还是使用新的专用实例?
- 是否要将使用 StoreFront 发布的 HDX 应用程序与 XenMobile 集成?
- 是否计划将 Citrix Files 与 XenMobile 结合使用?
- 是否有要集成到 XenMobile 的网络访问控制解决方案?
- 是否要为您的网络的所有出站流量部署 Web 代理?
Citrix ADC 和 Citrix Gateway
XenMobile ENT 和 MAM 模式强制要求使用 Citrix Gateway。Citrix Gateway 提供用于访问所有公司资源的 Micro VPN 路径,并提供加强的多重身份验证支持。所有 XenMobile Server 设备模式都需要 Citrix ADC 负载平衡:
- 如果您有多个 XenMobile Server
- 或者,如果 XenMobile Server 在您的 DMZ 中或内部网络中(因此,流量从设备依次传输到 Citrix ADC 和 XenMobile)。
您可以使用现有的 Citrix ADC 实例,也可以为 XenMobile 设置新实例。以下各节阐述了使用现有的 Citrix ADC 实例或新的专用 Citrix ADC 实例的优势和劣势。
与为 XenMobile 创建的 Citrix Gateway VIP 共享 Citrix ADC MPX
优点:
- 所有 Citrix 远程连接使用一个公用 Citrix ADC 实例:Citrix Virtual Apps and Desktops、完整 VPN 和无客户端 VPN。
- 对证书身份验证以及服务(例如 DNS、LDAP 和 NTP)访问等使用现有的 Citrix ADC 配置。
- 使用单个 Citrix ADC 平台许可证。
缺点:
- 在同一 Citrix ADC 上处理两个截然不同的用例时,很难规划扩展。
- 有时某个 Citrix Virtual Apps and Desktops 用例需要某个特定的 Citrix ADC 版本。该版本可能存在与 XenMobile 有关的已知问题。或者,XenMobile 可能存在与相应的 Citrix ADC 版本有关的已知问题。
- 如果存在 Citrix Gateway,则不能再次运行适用于 XenMobile 的 Citrix ADC 向导为 XenMobile 创建 Citrix ADC 配置。
- 除了将 Platinum 许可证用于 Citrix Gateway 11.1 或更高版本时外:安装在 Citrix ADC 上及 VPN 连接所需的用户访问许可证汇集在池中。由于这些许可证可用于所有 Citrix ADC 虚拟服务器,因此,XenMobile 以外的服务可能会占用它们。
专用 Citrix ADC VPX/MPX 实例
优点:
Citrix 建议使用专用的 Citrix ADC 实例。
- 更易于规划扩展,并可将 XenMobile 流量与资源可能已受限的 Citrix ADC 实例分开。
- 避免在 XenMobile 和 Citrix Virtual Apps and Desktops 需要不同的 Citrix ADC 软件版本出现问题。通常建议在 XenMobile 中使用最新的兼容 Citrix ADC 版本和内部版本。
- 允许通过内置的适用于 XenMobile 的 Citrix ADC 向导对 Citrix ADC 进行 XenMobile 配置。
- 对服务进行虚拟和物理隔离。
- 除了将 Platinum 许可证用于 Citrix Gateway 11.1 或更高版本时外:XenMobile 所需的用户访问许可证仅可用于 Citrix ADC 上的 XenMobile Service。
缺点:
- 需要在 Citrix ADC 上设置额外的服务以支持 XenMobile 配置。
- 需要使用另一个 Citrix ADC 平台许可证。为 Citrix Gateway 许可使用每个 Citrix ADC 实例。
有关在每种 XenMobile Server 模式下集成 Citrix ADC 和 Citrix Gateway 时要考虑的事项的信息,请参阅将 Citrix ADC 与 Citrix Gateway 相集成。
StoreFront
如果您有 Citrix Virtual Apps and Desktops 环境,则可以使用 StoreFront 将 HDX 应用程序与 XenMobile 集成。将 HDX 应用程序与 XenMobile 集成时:
- 在 XenMobile 中注册的用户可获取这些应用程序。
- 这些应用程序与其他移动应用程序一起显示在 XenMobile Store 中。
- 在 StoreFront 上 XenMobile 使用旧版 PNAgent(服务)站点。
- 在设备上安装 Citrix Receiver 后,HDX 应用程序开始使用 Receiver。
StoreFront 存在每个 StoreFront 实例一个服务站点的限制。假设您有多个应用商店,并想要将其与其他生产使用情况分开。在这种情况下,Citrix 通常建议考虑将一个新的 StoreFront 实例和服务站点用于 XenMobile。
注意事项包括:
- StoreFront 是否有任何不同的身份验证要求?StoreFront 服务站点要求使用 Active Directory 凭据进行登录。仅使用基于证书的身份验证的客户不能使用同一 Citrix Gateway 通过 XenMobile 枚举应用程序。
- 使用同一存储还是创建一个新存储?
- 使用同一还是不同的 StoreFront 服务器?
以下各部分内容阐述了对 Receiver 和移动生产力应用程序使用单独的 StoreFront 或组合的 StoreFront 的优势和劣势。
将现有的 StoreFront 实例与 XenMobile Server 集成
优点:
- 同一应用商店:假定您使用同一 Citrix ADC VIP 访问 HDX,不需要为 XenMobile 对 StoreFront 进行额外配置。假设您选择使用同一应用商店,并想要将 Receiver 访问定向至新的 Citrix ADC VIP。在这种情况下,可将合适的 Citrix Gateway 配置添加到 StoreFront。
- 同一 StoreFront 服务器:使用现有的 StoreFront 安装和配置。
缺点:
- 同一应用商店:如果为了支持 Virtual Apps and Desktops 工作负载而对 StoreFront 进行任何重新配置,也可能会对 XenMobile 产生不利影响。
- 同一 StoreFront 服务器:在大型环境中,要考虑 XenMobile 使用 PNAgent 进行应用程序枚举和启动产生的额外负载。
将新的专用 StoreFront 实例用于与 XenMobile Server 集成
优点:
- 新应用商店:为 XenMobile 对 StoreFront 应用商店进行任何配置更改应不会影响现有的 Virtual Apps and Desktops 工作负载。
- 新的 StoreFront 服务器:服务器配置更改应不会影响 Virtual Apps and Desktops 工作流。此外,XenMobile 使用 PNAgent 进行应用程序枚举和启动产生的负载应不会影响可扩展性。
缺点:
- 新应用商店:StoreFront 应用商店配置。
- 新的 StoreFront 服务器:需要新的 StoreFront 安装和配置。
有关详细信息,请参阅 XenMobile 文档中的通过 Citrix Secure Hub 使用 Virtual Apps and Desktops。
ShareFile 和 Citrix Files
用户可以通过 Citrix Files 从任何设备访问和同步自己的所有数据。借助 Citrix Files,用户可以与组织内部和外部的人安全地共享数据。如果您将 ShareFile 与 XenMobile Advanced Edition 或 Enterprise Edition 集成,XenMobile 可以为 Citrix Files 提供:
- XenMobile Apps 用户的单点登录身份验证。
- 基于 Active Directory 的用户帐户预配。
- 全面的访问控制策略。
移动设备用户将从完整的 Enterprise 帐户功能集受益。
或者,可以将 XenMobile 配置为只与存储区域连接器集成。通过存储区域连接器,Citrix Files 提供对以下对象的访问:
- 文档和文件夹
- 网络文件共享
- 在 SharePoint 站点中:站点集合和文档库。
连接的文件共享可以包括 Citrix Virtual Apps and Desktops 环境中使用的相同网络主驱动器。可使用 XenMobile 控制台配置与 Citrix Files 或存储区域连接器的集成。有关详细信息,请参阅 Citrix Files 与 XenMobile 结合使用。
以下各节阐述了为 Citrix Files 制定设计决策时提出的问题。
与 Citrix Files 集成或仅与存储区域连接器集成
要提问的问题:
- 是否希望在 Citrix 托管的存储区域中存储数据?
- 是否要向用户提供文件共享和同步功能?
- 是否要让用户能够访问 Citrix Files Web 站点上的文件?或者,是否要从移动设备访问 Office 365 内容和个人云连接器?
设计决策:
- 如果对所有这些问题都回答“是”,则与 Citrix Files 集成。
- 仅与存储区域连接器的集成为 iOS 用户提供对现有本地部署存储库(例如 SharePoint 站点和网络文件共享)的安全移动访问权限。在此配置中,您不会设置 ShareFile 子域、将用户预配到 Citrix Files 或托管 Citrix Files 数据。将存储区域连接器与 XenMobile 结合使用时遵守防止在企业网络外部泄漏用户信息的安全限制。
存储区域控制器服务器位置
要提问的问题:
- 是否需要本地存储或功能(例如存储区域连接器)?
- 如果使用 Citrix Files 的本地功能,存储区域控制器将位于网络中的什么位置?
设计决策:
- 确定将存储区域控制器服务器置于 Citrix Files 云中、本地单租户存储系统中还是支持的第三方云存储中 。
- 存储区域控制器需要某些 Internet 访问权限以与 Citrix Files 控制平面进行通信。可以采用多种方法(包括直接访问、NAT/PAT 配置或代理配置)进行连接。
存储区域连接器
要提问的问题:
- CIFS 共享路径是什么?
- SharePoint URL 是什么?
设计决策:
- 确定访问这些位置是否需要本地存储区域控制器。
- 由于存储区域连接器与内部资源(例如,文件存储库、CIFS 共享和 SharePoint)进行通信:Citrix 建议存储区域控制器位于 DMZ 防火墙后面的内部网络中,且 Citrix ADC 位于前端。
SAML 与 XenMobile Enterprise 的集成
要提问的问题:
- Citrix Files 是否需要 Active Directory 身份验证?
- 首次使用适用于 XenMobile 的 Citrix Files 应用程序是否需要 SSO?
- 当前环境中是否存在标准 IdP?
- 使用 SAML 需要多少个域?
- Active Directory 用户是否有多个电子邮件别名?
- 是否有正在进行或计划不久将进行的任何 Active Directory 域迁移?
设计决策:
XenMobile Enterprise 环境可以选择使用 SAML 作为 Citrix Files 的身份验证机制。身份验证方式包括:
- 使用 XenMobile Server 作为 SAML 的身份提供程序 (IdP)
此选项可以提供卓越的用户体验、自动创建 Citrix Files 帐户以及启用移动应用程序 SSO 功能。
- 在此过程可增强 XenMobile Server:不需要同步 Active Directory。
- 使用 Citrix Files 用户管理工具进行用户预配。
- 使用受支持的第三方供应商作为 SAML 的 IdP
如果您已有受支持的 IdP,且不需要移动应用程序 SSO 功能,此方式可能最适合您。此方式还需要使用 Citrix Files 用户管理工具进行帐户预配。
使用第三方 IdP 解决方案(例如 ADFS)还可以在 Windows 客户端上提供 SSO 功能。请务必在选择 Citrix Files SAML IdP 之前评估用例。
此外,要满足这两种用例,您可以将 ADFS 和 XenMobile 配置为双 IdP。
移动应用程序
要提问的问题:
- 您计划使用哪种 Citrix Files 移动应用程序(公共、MDM、MDX)?
设计决策:
- 从 Apple App Store 和 Google Play 应用商店分发移动生产力应用程序。采用这种公共应用商店分发,您可以从 Citrix 下载页面获取打包的应用程序。
- 如果安全性较低且您不需要容器化,公共 Citrix Files 应用程序可能不适用。在仅 MDM 环境中,您可以使用处于 MDM 模式的 XenMobile 交付 MDM 版本的 Citrix Files 应用程序。
- 有关详细信息,请参阅应用程序和适用于 XenMobile 的 Citrix Files。
安全性、策略和访问控制
要提问的问题:
- 对桌面、Web 和移动用户有哪些限制要求?
- 对用户要进行哪些标准访问控制设置?
- 计划使用什么文件保留策略?
设计决策:
- Citrix Files 允许您管理员工权限和设备安全性。有关信息,请参阅 Employee Permissions(员工权限)和 Managing Devices and Apps(管理设备和应用程序)。
- 某些 Citrix Files 设备安全设置和 MDX 策略控制相同的功能。在这些情况下,XenMobile 策略优先于 Citrix Files 设备安全设置。示例:如果您在 Citrix Files 中禁用外部应用程序,但在 XenMobile 中启用这些应用程序,则在 Citrix Files 中外部应用程序处于禁用状态。您可以配置应用程序,以实现 XenMobile 不要求使用 PIN/通行码,但 Citrix Files 应用程序要求使用 PIN/通行码。
标准存储区域与受限存储区域
要提问的问题:
- 是否需要受限存储区域?
设计决策:
- 标准存储区域专用于存储非敏感数据,员工可以在此区域中与非员工共享数据。此方式支持涉及在域外部共享数据的工作流。
- 受限存储区域保护敏感数据:只有通过身份验证的域用户可以访问此区域中存储的数据。
Web 代理
在以下情况下最有可能通过 HTTP(S)/SOCKS 代理路由 XenMobile 流量:XenMobile Server 所在的子网没有出站 Internet 访问所需 Apple、Google 或 Microsoft IP 地址的权限时。您可以在 XenMobile 中指定代理服务器设置以将所有 Internet 流量路由到代理服务器。有关详细信息,请参阅启用代理服务器。
下表介绍了 XenMobile 中使用的最常见代理的优势和劣势。
| 选项 | 优点 | 缺点 |
| 在 XenMobile Server 中使用 HTTP(S)/SOCKS 代理。 | 如果策略不允许从 XenMobile Server 子网进行出站 Internet 连接:可以配置 HTTP(S) 或 SOCKS 代理以提供 Internet 连接。 | 如果代理服务器发生故障,APNs (iOS) 或 Firebase Cloud Messaging (Android) 连接将中断。因此,所有 iOS 和 Android 设备将无法发送设备通知。 |
| 在 Secure Web 中使用 HTTP(S) 代理。 | 您可以监视 HTTP/HTTPS 流量以确保 Internet 活动符合贵组织的标准。 | 此配置要求所有 Secure Web Internet 流量通过通道传回到企业网络,然后再向外发送到 Internet。如果您的 Internet 连接限制浏览:此配置可能会影响 Internet 浏览性能。 |
用于拆分隧道的 Citrix ADC 会话配置文件配置会影响流量,如下所示。
当 Citrix ADC 拆分隧道设置为关时:
- 如果 MDX 网络访问策略为通过通道连接到内部网络 :强制所有流量使用 Micro VPN 或无客户端 VPN (cVPN) 通道传回到 Citrix Gateway。
- 为代理服务器配置 Citrix ADC 流量策略/配置文件,并将其绑定到 Citrix Gateway VIP。
重要提示:
请务必从代理中排除 Secure Hub cVPN 流量。
- 有关详细信息,请参阅 XenMobile Secure Hub Traffic Through Proxy Server in Secure Browse Mode(在安全浏览模式下通过代理服务器传输 XenMobile Secure Hub 流量)。
当 Citrix ADC 拆分隧道设置为开时:
- 如果为应用程序配置的 MDX 网络访问策略设置为通过通道连接到内部网络 :应用程序首先尝试直接获取 Web 资源。如果 Web 资源未公开提供,则这些应用程序回退到 Citrix Gateway。
- 为代理服务器配置 Citrix ADC 流量策略和配置文件。然后,将这些策略和配置文件绑定到 Citrix Gateway VIP。
重要提示:
请务必从代理中排除 Secure Hub cVPN 流量。
有关拆分 DNS(在 Client experience(客户端体验)下方)的 Citrix ADC 会话配置文件配置作用方式类似于“拆分隧道”。
在拆分 DNS 处于启用状态并设置为两者的情况下:
- 客户端首先尝试在本地解析 FQDN,如果失败,则回退到 Citrix ADC 以进行 DNS 解析。
在拆分 DNS 设置为远程的情况下:
- 仅在 Citrix ADC 上进行 DNS 解析。
在拆分 DNS 设置为本地的情况下:
- 客户端尝试在本地解析 FQDN。不使用 Citrix ADC 进行 DNS 解析。
访问控制
企业可以管理网络内部和外部的移动设备。企业移动性管理解决方案(例如 XenMobile)非常适合为移动设备提供安全和控制功能,而与位置无关。但是,将其与网络访问控制 (NAC) 解决方案结合使用时,可以为您网络内部的设备增加 QoS 和更加细化的控制。该组合让您可以通过您的 NAC 解决方案延长 XenMobile 设备安全评估。之后您的 NAC 解决方案可以使用 XenMobile 安全评估帮助制定和处理身份验证决策。
可以使用以下任意解决方案来强制实施 NAC 策略:
- Citrix Gateway
- Cisco Identity Services Engine (ISE)
- ForeScout
Citrix 不保证其他 NAC 解决方案的集成。
NAC 解决方案与 XenMobile 的集成具有以下优势:
- 提高了企业网络上所有端点的安全性和合规性,并增强了对其控制能力。
- NAC 解决方案可以:
- 在设备尝试连接到网络的同时检测到设备。
- 在 XenMobile 中查询设备属性。
- 请使用该设备信息来确定允许、阻止、限制还是重定向这些设备。这些决策取决于您选择强制执行的安全策略。
- NAC 解决方案为 IT 管理员提供非托管设备和不合规设备信息。
有关 XenMobile 支持的 NAC 合规性过滤器的说明和配置概览,请参阅网络访问控制。