XenMobile Server

XenMobile 集成

本文介绍了规划 XenMobile 与现有网络和解决方案的集成方式时要考虑的事项。例如,如果您已经将 Citrix ADC 用于 Virtual Apps and Desktops:

  • 应该使用现有的 Citrix ADC 实例还是使用新的专用实例?
  • 是否要将使用 StoreFront 发布的 HDX 应用程序与 XenMobile 集成?
  • 是否计划将 Citrix Files 与 XenMobile 结合使用?
  • 是否有要集成到 XenMobile 的网络访问控制解决方案?
  • 是否要为您的网络的所有出站流量部署 Web 代理?

Citrix ADC 和 Citrix Gateway

XenMobile ENT 和 MAM 模式强制要求使用 Citrix Gateway。Citrix Gateway 提供用于访问所有公司资源的 Micro VPN 路径,并提供加强的多重身份验证支持。所有 XenMobile Server 设备模式都需要 Citrix ADC 负载平衡:

  • 如果您有多个 XenMobile Server
  • 或者,如果 XenMobile Server 在您的 DMZ 中或内部网络中(因此,流量从设备依次传输到 Citrix ADC 和 XenMobile)。

您可以使用现有的 Citrix ADC 实例,也可以为 XenMobile 设置新实例。以下各节阐述了使用现有的 Citrix ADC 实例或新的专用 Citrix ADC 实例的优势和劣势。

与为 XenMobile 创建的 Citrix Gateway VIP 共享 Citrix ADC MPX

优点:

  • 所有 Citrix 远程连接使用一个公用 Citrix ADC 实例:Citrix Virtual Apps and Desktops、完整 VPN 和无客户端 VPN。
  • 对证书身份验证以及服务(例如 DNS、LDAP 和 NTP)访问等使用现有的 Citrix ADC 配置。
  • 使用单个 Citrix ADC 平台许可证。

缺点:

  • 在同一 Citrix ADC 上处理两个截然不同的用例时,很难规划扩展。
  • 有时某个 Citrix Virtual Apps and Desktops 用例需要某个特定的 Citrix ADC 版本。该版本可能存在与 XenMobile 有关的已知问题。或者,XenMobile 可能存在与相应的 Citrix ADC 版本有关的已知问题。
  • 如果存在 Citrix Gateway,则不能再次运行适用于 XenMobile 的 Citrix ADC 向导为 XenMobile 创建 Citrix ADC 配置。
  • 除了将 Platinum 许可证用于 Citrix Gateway 11.1 或更高版本时外:安装在 Citrix ADC 上及 VPN 连接所需的用户访问许可证汇集在池中。由于这些许可证可用于所有 Citrix ADC 虚拟服务器,因此,XenMobile 以外的服务可能会占用它们。

专用 Citrix ADC VPX/MPX 实例

优点:

Citrix 建议使用专用的 Citrix ADC 实例。

  • 更易于规划扩展,并可将 XenMobile 流量与资源可能已受限的 Citrix ADC 实例分开。
  • 避免在 XenMobile 和 Citrix Virtual Apps and Desktops 需要不同的 Citrix ADC 软件版本出现问题。通常建议在 XenMobile 中使用最新的兼容 Citrix ADC 版本和内部版本。
  • 允许通过内置的适用于 XenMobile 的 Citrix ADC 向导对 Citrix ADC 进行 XenMobile 配置。
  • 对服务进行虚拟和物理隔离。
  • 除了将 Platinum 许可证用于 Citrix Gateway 11.1 或更高版本时外:XenMobile 所需的用户访问许可证仅可用于 Citrix ADC 上的 XenMobile Service。

缺点:

  • 需要在 Citrix ADC 上设置额外的服务以支持 XenMobile 配置。
  • 需要使用另一个 Citrix ADC 平台许可证。为 Citrix Gateway 许可使用每个 Citrix ADC 实例。

有关在每种 XenMobile Server 模式下集成 Citrix ADC 和 Citrix Gateway 时要考虑的事项的信息,请参阅将 Citrix ADC 与 Citrix Gateway 相集成

StoreFront

如果您有 Citrix Virtual Apps and Desktops 环境,则可以使用 StoreFront 将 HDX 应用程序与 XenMobile 集成。将 HDX 应用程序与 XenMobile 集成时:

  • 在 XenMobile 中注册的用户可获取这些应用程序。
  • 这些应用程序与其他移动应用程序一起显示在 XenMobile Store 中。
  • 在 StoreFront 上 XenMobile 使用旧版 PNAgent(服务)站点。
  • 在设备上安装 Citrix Receiver 后,HDX 应用程序开始使用 Receiver。

StoreFront 存在每个 StoreFront 实例一个服务站点的限制。假设您有多个应用商店,并想要将其与其他生产使用情况分开。在这种情况下,Citrix 通常建议考虑将一个新的 StoreFront 实例和服务站点用于 XenMobile。

注意事项包括:

  • StoreFront 是否有任何不同的身份验证要求?StoreFront 服务站点要求使用 Active Directory 凭据进行登录。仅使用基于证书的身份验证的客户不能使用同一 Citrix Gateway 通过 XenMobile 枚举应用程序。
  • 使用同一存储还是创建一个新存储?
  • 使用同一还是不同的 StoreFront 服务器?

以下各部分内容阐述了对 Receiver 和移动生产力应用程序使用单独的 StoreFront 或组合的 StoreFront 的优势和劣势。

将现有的 StoreFront 实例与 XenMobile Server 集成

优点:

  • 同一应用商店:假定您使用同一 Citrix ADC VIP 访问 HDX,不需要为 XenMobile 对 StoreFront 进行额外配置。假设您选择使用同一应用商店,并想要将 Receiver 访问定向至新的 Citrix ADC VIP。在这种情况下,可将合适的 Citrix Gateway 配置添加到 StoreFront。
  • 同一 StoreFront 服务器:使用现有的 StoreFront 安装和配置。

缺点:

  • 同一应用商店:如果为了支持 Virtual Apps and Desktops 工作负载而对 StoreFront 进行任何重新配置,也可能会对 XenMobile 产生不利影响。
  • 同一 StoreFront 服务器:在大型环境中,要考虑 XenMobile 使用 PNAgent 进行应用程序枚举和启动产生的额外负载。

将新的专用 StoreFront 实例用于与 XenMobile Server 集成

优点:

  • 新应用商店:为 XenMobile 对 StoreFront 应用商店进行任何配置更改应不会影响现有的 Virtual Apps and Desktops 工作负载。
  • 新的 StoreFront 服务器:服务器配置更改应不会影响 Virtual Apps and Desktops 工作流。此外,XenMobile 使用 PNAgent 进行应用程序枚举和启动产生的负载应不会影响可扩展性。

缺点:

  • 新应用商店:StoreFront 应用商店配置。
  • 新的 StoreFront 服务器:需要新的 StoreFront 安装和配置。

有关详细信息,请参阅 XenMobile 文档中的通过 Citrix Secure Hub 使用 Virtual Apps and Desktops

ShareFile 和 Citrix Files

用户可以通过 Citrix Files 从任何设备访问和同步自己的所有数据。借助 Citrix Files,用户可以与组织内部和外部的人安全地共享数据。如果您将 ShareFile 与 XenMobile Advanced Edition 或 Enterprise Edition 集成,XenMobile 可以为 Citrix Files 提供:

  • XenMobile Apps 用户的单点登录身份验证。
  • 基于 Active Directory 的用户帐户预配。
  • 全面的访问控制策略。

移动设备用户将从完整的 Enterprise 帐户功能集受益。

或者,可以将 XenMobile 配置为只与存储区域连接器集成。通过存储区域连接器,Citrix Files 提供对以下对象的访问:

  • 文档和文件夹
  • 网络文件共享
  • 在 SharePoint 站点中:站点集合和文档库。

连接的文件共享可以包括 Citrix Virtual Apps and Desktops 环境中使用的相同网络主驱动器。可使用 XenMobile 控制台配置与 Citrix Files 或存储区域连接器的集成。有关详细信息,请参阅 Citrix Files 与 XenMobile 结合使用

以下各节阐述了为 Citrix Files 制定设计决策时提出的问题。

与 Citrix Files 集成或仅与存储区域连接器集成

要提问的问题:

  • 是否希望在 Citrix 托管的存储区域中存储数据?
  • 是否要向用户提供文件共享和同步功能?
  • 是否要让用户能够访问 Citrix Files Web 站点上的文件?或者,是否要从移动设备访问 Office 365 内容和个人云连接器?

设计决策:

  • 如果对所有这些问题都回答“是”,则与 Citrix Files 集成。
  • 仅与存储区域连接器的集成为 iOS 用户提供对现有本地部署存储库(例如 SharePoint 站点和网络文件共享)的安全移动访问权限。在此配置中,您不会设置 ShareFile 子域、将用户预配到 Citrix Files 或托管 Citrix Files 数据。将存储区域连接器与 XenMobile 结合使用时遵守防止在企业网络外部泄漏用户信息的安全限制。

存储区域控制器服务器位置

要提问的问题:

  • 是否需要本地存储或功能(例如存储区域连接器)?
  • 如果使用 Citrix Files 的本地功能,存储区域控制器将位于网络中的什么位置?

设计决策:

  • 确定将存储区域控制器服务器置于 Citrix Files 云中、本地单租户存储系统中还是支持的第三方云存储中 。
  • 存储区域控制器需要某些 Internet 访问权限以与 Citrix Files 控制平面进行通信。可以采用多种方法(包括直接访问、NAT/PAT 配置或代理配置)进行连接。

存储区域连接器

要提问的问题:

  • CIFS 共享路径是什么?
  • SharePoint URL 是什么?

设计决策:

  • 确定访问这些位置是否需要本地存储区域控制器。
  • 由于存储区域连接器与内部资源(例如,文件存储库、CIFS 共享和 SharePoint)进行通信:Citrix 建议存储区域控制器位于 DMZ 防火墙后面的内部网络中,且 Citrix ADC 位于前端。

SAML 与 XenMobile Enterprise 的集成

要提问的问题:

  • Citrix Files 是否需要 Active Directory 身份验证?
  • 首次使用适用于 XenMobile 的 Citrix Files 应用程序是否需要 SSO?
  • 当前环境中是否存在标准 IdP?
  • 使用 SAML 需要多少个域?
  • Active Directory 用户是否有多个电子邮件别名?
  • 是否有正在进行或计划不久将进行的任何 Active Directory 域迁移?

设计决策:

XenMobile Enterprise 环境可以选择使用 SAML 作为 Citrix Files 的身份验证机制。身份验证方式包括:

  • 使用 XenMobile Server 作为 SAML 的身份提供程序 (IdP)

此选项可以提供卓越的用户体验、自动创建 Citrix Files 帐户以及启用移动应用程序 SSO 功能。

  • 在此过程可增强 XenMobile Server:不需要同步 Active Directory。
  • 使用 Citrix Files 用户管理工具进行用户预配。
  • 使用受支持的第三方供应商作为 SAML 的 IdP

如果您已有受支持的 IdP,且不需要移动应用程序 SSO 功能,此方式可能最适合您。此方式还需要使用 Citrix Files 用户管理工具进行帐户预配。

使用第三方 IdP 解决方案(例如 ADFS)还可以在 Windows 客户端上提供 SSO 功能。请务必在选择 Citrix Files SAML IdP 之前评估用例。

此外,要满足这两种用例,您可以将 ADFS 和 XenMobile 配置为双 IdP

移动应用程序

要提问的问题:

  • 您计划使用哪种 Citrix Files 移动应用程序(公共、MDM、MDX)?

设计决策:

  • 从 Apple App Store 和 Google Play 应用商店分发移动生产力应用程序。采用这种公共应用商店分发,您可以从 Citrix 下载页面获取打包的应用程序。
  • 如果安全性较低且您不需要容器化,公共 Citrix Files 应用程序可能不适用。在仅 MDM 环境中,您可以使用处于 MDM 模式的 XenMobile 交付 MDM 版本的 Citrix Files 应用程序。
  • 有关详细信息,请参阅应用程序适用于 XenMobile 的 Citrix Files

安全性、策略和访问控制

要提问的问题:

  • 对桌面、Web 和移动用户有哪些限制要求?
  • 对用户要进行哪些标准访问控制设置?
  • 计划使用什么文件保留策略?

设计决策:

  • Citrix Files 允许您管理员工权限和设备安全性。有关信息,请参阅 Employee Permissions(员工权限)和 Managing Devices and Apps(管理设备和应用程序)。
  • 某些 Citrix Files 设备安全设置和 MDX 策略控制相同的功能。在这些情况下,XenMobile 策略优先于 Citrix Files 设备安全设置。示例:如果您在 Citrix Files 中禁用外部应用程序,但在 XenMobile 中启用这些应用程序,则在 Citrix Files 中外部应用程序处于禁用状态。您可以配置应用程序,以实现 XenMobile 不要求使用 PIN/通行码,但 Citrix Files 应用程序要求使用 PIN/通行码。

标准存储区域与受限存储区域

要提问的问题:

  • 是否需要受限存储区域?

设计决策:

  • 标准存储区域专用于存储非敏感数据,员工可以在此区域中与非员工共享数据。此方式支持涉及在域外部共享数据的工作流。
  • 受限存储区域保护敏感数据:只有通过身份验证的域用户可以访问此区域中存储的数据。

Web 代理

在以下情况下最有可能通过 HTTP(S)/SOCKS 代理路由 XenMobile 流量:XenMobile Server 所在的子网没有出站 Internet 访问所需 Apple、Google 或 Microsoft IP 地址的权限时。您可以在 XenMobile 中指定代理服务器设置以将所有 Internet 流量路由到代理服务器。有关详细信息,请参阅启用代理服务器

下表介绍了 XenMobile 中使用的最常见代理的优势和劣势。

     
选项 优点 缺点
在 XenMobile Server 中使用 HTTP(S)/SOCKS 代理。 如果策略不允许从 XenMobile Server 子网进行出站 Internet 连接:可以配置 HTTP(S) 或 SOCKS 代理以提供 Internet 连接。 如果代理服务器发生故障,APNs (iOS) 或 Firebase Cloud Messaging (Android) 连接将中断。因此,所有 iOS 和 Android 设备将无法发送设备通知。
在 Secure Web 中使用 HTTP(S) 代理。 您可以监视 HTTP/HTTPS 流量以确保 Internet 活动符合贵组织的标准。 此配置要求所有 Secure Web Internet 流量通过通道传回到企业网络,然后再向外发送到 Internet。如果您的 Internet 连接限制浏览:此配置可能会影响 Internet 浏览性能。

用于拆分隧道的 Citrix ADC 会话配置文件配置会影响流量,如下所示。

当 Citrix ADC 拆分隧道设置为时:

  • 如果 MDX 网络访问策略为通过通道连接到内部网络 :强制所有流量使用 Micro VPN 或无客户端 VPN (cVPN) 通道传回到 Citrix Gateway。
  • 为代理服务器配置 Citrix ADC 流量策略/配置文件,并将其绑定到 Citrix Gateway VIP。

重要提示:

请务必从代理中排除 Secure Hub cVPN 流量。

Citrix ADC 拆分隧道设置为时:

  • 如果为应用程序配置的 MDX 网络访问策略设置为通过通道连接到内部网络 :应用程序首先尝试直接获取 Web 资源。如果 Web 资源未公开提供,则这些应用程序回退到 Citrix Gateway。
  • 为代理服务器配置 Citrix ADC 流量策略和配置文件。然后,将这些策略和配置文件绑定到 Citrix Gateway VIP。

重要提示:

请务必从代理中排除 Secure Hub cVPN 流量。

有关拆分 DNS(在 Client experience(客户端体验)下方)的 Citrix ADC 会话配置文件配置作用方式类似于“拆分隧道”。

拆分 DNS 处于启用状态并设置为两者的情况下:

  • 客户端首先尝试在本地解析 FQDN,如果失败,则回退到 Citrix ADC 以进行 DNS 解析。

拆分 DNS 设置为远程的情况下:

  • 仅在 Citrix ADC 上进行 DNS 解析。

拆分 DNS 设置为本地的情况下:

  • 客户端尝试在本地解析 FQDN。不使用 Citrix ADC 进行 DNS 解析。

访问控制

企业可以管理网络内部和外部的移动设备。企业移动性管理解决方案(例如 XenMobile)非常适合为移动设备提供安全和控制功能,而与位置无关。但是,将其与网络访问控制 (NAC) 解决方案结合使用时,可以为您网络内部的设备增加 QoS 和更加细化的控制。该组合让您可以通过您的 NAC 解决方案延长 XenMobile 设备安全评估。之后您的 NAC 解决方案可以使用 XenMobile 安全评估帮助制定和处理身份验证决策。

可以使用以下任意解决方案来强制实施 NAC 策略:

  • Citrix Gateway
  • Cisco Identity Services Engine (ISE)
  • ForeScout

Citrix 不保证其他 NAC 解决方案的集成。

NAC 解决方案与 XenMobile 的集成具有以下优势:

  • 提高了企业网络上所有端点的安全性和合规性,并增强了对其控制能力。
  • NAC 解决方案可以:
    • 在设备尝试连接到网络的同时检测到设备。
    • 在 XenMobile 中查询设备属性。
    • 请使用该设备信息来确定允许、阻止、限制还是重定向这些设备。这些决策取决于您选择强制执行的安全策略。
  • NAC 解决方案为 IT 管理员提供非托管设备和不合规设备信息。

有关 XenMobile 支持的 NAC 合规性过滤器的说明和配置概览,请参阅网络访问控制

XenMobile 集成