XenMobile® 集成
本文介绍了在规划如何将 XenMobile 与现有网络和解决方案集成时需要考虑的因素。例如,如果您已在使用 Citrix ADC for Virtual Apps and Desktops:
- 您是使用现有的 Citrix ADC 实例,还是使用新的专用实例?
- 您是否希望将使用 StoreFront™ 发布的 HDX 应用程序与 XenMobile 集成?
- 您是否计划将 Citrix Files 与 XenMobile 结合使用?
- 您是否有希望集成到 XenMobile 中的网络访问控制解决方案?
- 您是否为网络中的所有出站流量部署了 Web 代理?
Citrix ADC 和 Citrix Gateway
Citrix Gateway 是 XenMobile ENT 和 MAM 模式的强制要求。Citrix Gateway 为访问所有公司资源提供了微型 VPN 路径,并提供了强大的多重身份验证支持。所有 XenMobile Server 设备模式都需要 Citrix ADC 负载平衡:
- 如果您有多个 XenMobile Server
- 或者,如果 XenMobile Server 位于您的 DMZ 或内部网络中(因此流量从设备流向 Citrix ADC 再流向 XenMobile)
您可以使用现有的 Citrix ADC 实例,也可以为 XenMobile 设置新实例。以下部分介绍了使用现有或新的专用 Citrix ADC 实例的优缺点。
为 XenMobile 创建的共享 Citrix ADC MPX 和 Citrix Gateway VIP
优点:
- 为所有 Citrix 远程连接(Citrix Virtual Apps and Desktops™、完整 VPN 和无客户端 VPN)使用一个通用 Citrix ADC 实例。
- 使用现有的 Citrix ADC 配置,例如用于证书身份验证以及访问 DNS、LDAP 和 NTP 等服务。
- 使用单个 Citrix ADC 平台许可证。
缺点:
- 在同一个 Citrix ADC 上处理两种不同的用例时,更难规划扩展。
- 有时,Citrix Virtual Apps™ and Desktops 用例需要特定的 Citrix ADC 版本。该版本可能存在 XenMobile 已知问题。或者 XenMobile 可能存在该 Citrix ADC 版本的已知问题。
- 如果 Citrix Gateway 已存在,则无法第二次运行 Citrix ADC for XenMobile 向导来创建 XenMobile 的 Citrix ADC 配置。
- 除非 Citrix Gateway 11.1 或更高版本使用白金许可证:安装在 Citrix ADC 上且 VPN 连接所需的用户访问许可证是池化的。由于这些许可证可用于所有 Citrix ADC 虚拟服务器,因此 XenMobile 以外的服务可能会占用它们。
专用 Citrix ADC VPX/MPX 实例
优点:
Citrix 建议使用 Citrix ADC 的专用实例。
- 更易于规划扩展,并将 XenMobile 流量与可能已受资源限制的 Citrix ADC 实例分离。
- 避免了 XenMobile 和 Citrix Virtual Apps and Desktops 需要不同 Citrix ADC 软件版本时出现的问题。通常建议为 XenMobile 使用最新兼容的 Citrix ADC 版本和内部版本。
- 允许通过内置的 Citrix ADC for XenMobile 向导配置 XenMobile 的 Citrix ADC。
- 服务的虚拟和物理分离。
- 除非 Citrix Gateway 11.1 或更高版本使用白金许可证:XenMobile 所需的用户访问许可证仅适用于 Citrix ADC 上的 XenMobile 服务。
缺点:
- 需要在 Citrix ADC 上设置额外的服务以支持 XenMobile 配置。
- 需要另一个 Citrix ADC 平台许可证。为每个 Citrix ADC 实例授予 Citrix Gateway 许可证。
有关将 Citrix ADC 和 Citrix Gateway 与每种 XenMobile Server 模式集成时需要考虑的因素的信息,请参阅 与 Citrix ADC 和 Citrix Gateway 集成。
StoreFront
如果您有 Citrix Virtual Apps and Desktops 环境,则可以使用 StoreFront 将 HDX™ 应用程序与 XenMobile 集成。将 HDX 应用程序与 XenMobile 集成时:
- 应用程序可供已注册 XenMobile 的用户使用。
- 应用程序与其它移动应用程序一起显示在 XenMobile Store 中。
- XenMobile 使用 StoreFront 上的旧版 PNAgent(服务)站点。
- 当设备上安装了 Citrix Receiver™ 时,HDX 应用程序将使用 Receiver 启动。
StoreFront 对每个 StoreFront 实例的服务站点数量有限制,即每个实例一个服务站点。假设您有多个应用商店,并且希望将其与其它生产用途分开。在这种情况下,Citrix 通常建议您为 XenMobile 考虑一个新的 StoreFront 实例和服务站点。
注意事项包括:
- StoreFront 是否有任何不同的身份验证要求?StoreFront 服务站点需要 Active Directory 凭据才能登录。仅使用基于证书的身份验证的客户无法通过 XenMobile 使用相同的 Citrix Gateway 枚举应用程序。
- 使用相同的应用商店还是创建新的应用商店?
- 使用相同或不同的 StoreFront 服务器?
以下部分介绍了为 Receiver 和移动生产力应用程序使用单独或组合的 StoreFront 的优缺点。
将现有 StoreFront 实例与 XenMobile Server 集成
优点:
- 相同的应用商店:如果使用相同的 Citrix ADC VIP 进行 HDX 访问,则 XenMobile 不需要额外的 StoreFront 配置。假设您选择使用相同的应用商店并希望将 Receiver 访问定向到新的 Citrix ADC VIP。在这种情况下,请将相应的 Citrix Gateway 配置添加到 StoreFront。
- 相同的 StoreFront 服务器:使用现有的 StoreFront 安装和配置。
缺点:
- 相同的应用商店:StoreFront 为支持 Virtual Apps and Desktops 工作负载而进行的任何重新配置也可能会对 XenMobile 产生不利影响。
- 相同的 StoreFront 服务器:在大型环境中,请考虑 XenMobile 使用 PNAgent 进行应用程序枚举和启动所带来的额外负载。
使用新的专用 StoreFront 实例与 XenMobile Server 集成
优点:
- 新的应用商店:StoreFront 应用商店为 XenMobile 所做的任何配置更改不得影响现有的 Virtual Apps and Desktops 工作负载。
- 新的 StoreFront 服务器:服务器配置更改不得影响 Virtual Apps and Desktops 工作流。此外,XenMobile 使用 PNAgent 进行应用程序枚举和启动之外的负载不得影响可扩展性。
缺点:
- 新的应用商店:StoreFront 应用商店配置。
- 新的 StoreFront 服务器:需要新的 StoreFront 安装和配置。
有关详细信息,请参阅 XenMobile 文档中的 通过 Citrix Secure Hub 使用 Virtual Apps and Desktops。
ShareFile 和 Citrix Files
免责声明:
如果 ShareFile(现为 Progress)停止支持,此功能将被弃用。
Citrix Files 使用户能够从任何设备访问和同步其所有数据。借助 Citrix Files,用户可以安全地与组织内部和外部的人员共享数据。如果将 ShareFile 与 XenMobile Advanced Edition 或 Enterprise Edition 集成,XenMobile 可以为 Citrix Files 提供:
- XenMobile App 用户的单点登录身份验证。
- 基于 Active Directory 的用户帐户预配。
- 全面的访问控制策略。
移动用户可以从完整的企业帐户功能集中受益。
或者,您可以将 XenMobile 配置为仅与存储区域连接器集成。通过存储区域连接器,Citrix Files 提供对以下内容的访问:
- 文档和文件夹
- 网络文件共享
- 在 SharePoint 站点中:站点集和文档库。
连接的文件共享可以包括 Citrix Virtual Apps and Desktops 环境中使用的相同网络主驱动器。您可以使用 XenMobile 控制台配置与 Citrix Files 或存储区域连接器的集成。有关详细信息,请参阅 Citrix Files 与 XenMobile 结合使用。
以下部分介绍了在为 Citrix Files 制定设计决策时需要考虑的问题。
与 Citrix Files 集成或仅与存储区域连接器集成
要提出的问题:
- 您是否希望将数据存储在 Citrix 管理的存储区域中?
- 您是否希望为用户提供文件共享和同步功能?
- 您是否希望允许用户访问 Citrix Files 网站上的文件?或者从移动设备访问 Office 365 内容和个人云连接器?
设计决策:
- 如果其中任何一个问题的答案是“是”,则与 Citrix Files 集成。
- 仅与存储区域连接器集成可为 iOS 用户提供对现有本地存储库(例如 SharePoint 站点和网络文件共享)的安全移动访问。在此配置中,您无需设置 ShareFile 子域、将用户预配到 Citrix Files 或托管 Citrix Files 数据。将存储区域连接器与 XenMobile 结合使用符合防止用户信息泄露到公司网络之外的安全限制。
存储区域控制器服务器位置
要提出的问题:
- 您是否需要本地存储或存储区域连接器等功能?
- 如果使用 Citrix Files 的本地功能,存储区域控制器将位于网络中的何处?
设计决策:
- 确定是将存储区域控制器服务器放置在 Citrix Files 云中、您的本地单租户存储系统中,还是放置在受支持的第三方云存储中。
- 存储区域控制器需要一些 Internet 访问权限才能与 Citrix Files 控制平面通信。您可以通过多种方式连接,包括直接访问、NAT/PAT 配置或代理配置。
存储区域连接器
要提出的问题:
- CIFS 共享路径是什么?
- SharePoint URL 是什么?
设计决策:
- 确定是否需要本地存储区域控制器来访问这些位置。
- 由于存储区域连接器与文件存储库、CIFS 共享和 SharePoint 等内部资源进行通信:Citrix 建议存储区域控制器驻留在 DMZ 防火墙后面的内部网络中,并由 Citrix ADC 提供前端服务。
SAML 与 XenMobile Enterprise 集成
要提出的问题:
- Citrix Files 是否需要 Active Directory 身份验证?
- XenMobile 版 Citrix Files 应用程序首次使用是否需要 SSO?
- 您的当前环境中是否有标准 IdP?
- 使用 SAML 需要多少个域?
- Active Directory 用户是否有多个电子邮件别名?
- 是否有任何 Active Directory 域迁移正在进行或即将进行?
设计决策:
XenMobile Enterprise 环境可以选择使用 SAML 作为 Citrix Files 的身份验证机制。身份验证选项包括:
- 使用 XenMobile Server 作为 SAML 的身份提供程序 (IdP)
此选项可以提供出色的用户体验,并自动创建 Citrix Files 帐户,以及启用移动应用程序 SSO 功能。
- XenMobile Server 针对此过程进行了增强:它不需要同步 Active Directory。
- 使用 Citrix Files 用户管理工具进行用户预配。
- 使用受支持的第三方供应商作为 SAML 的 IdP
如果您有现有且受支持的 IdP 并且不需要移动应用程序 SSO 功能,则此选项可能最适合您。此选项还需要使用 Citrix Files 用户管理工具进行帐户预配。
使用 ADFS 等第三方 IdP 解决方案还可以在 Windows 客户端提供 SSO 功能。在选择 Citrix Files SAML IdP 之前,请务必评估用例。
此外,为了满足这两种用例,您可以将 ADFS 和 XenMobile 配置为双 IdP。
移动应用程序
要提出的问题:
- 您计划使用哪个 Citrix Files 移动应用程序(公共、MDM、MDX)?
设计决策:
- 您从 Apple App Store 和 Google Play Store 分发移动生产力应用程序。通过公共应用程序商店分发,您可以从 Citrix 下载页面获取封装的应用程序。
- 如果安全性较低且您不需要容器化,则公共 Citrix Files 应用程序可能不适用。在仅限 MDM 的环境中,您可以使用 MDM 模式下的 XenMobile 交付 MDM 版本的 Citrix Files 应用程序。
- 有关详细信息,请参阅应用程序和 XenMobile 版 Citrix Files。
安全性、策略和访问控制
要提出的问题:
- 您对桌面、Web 和移动用户有哪些限制要求?
- 您希望为用户设置哪些标准访问控制设置?
- 您计划使用哪种文件保留策略?
设计决策:
- Citrix Files 允许您管理员工权限和设备安全性。有关信息,请参阅员工权限和管理设备和应用程序。
- 某些 Citrix Files 设备安全设置和 MDX 策略控制相同的功能。在这些情况下,XenMobile 策略优先,其次是 Citrix Files 设备安全设置。示例:如果您在 Citrix Files 中禁用外部应用程序,但在 XenMobile 中启用它们,则外部应用程序将在 Citrix Files 中被禁用。您可以配置应用程序,使 XenMobile 不需要 PIN/密码,但 Citrix Files 应用程序需要 PIN/密码。
标准存储区域与受限存储区域
要提出的问题:
- 您是否需要受限存储区域?
设计决策:
- 标准存储区域用于非敏感数据,并允许员工与非员工共享数据。此选项支持涉及在域外共享数据的工作流。
- 受限存储区域保护敏感数据:只有经过身份验证的域用户才能访问存储在该区域中的数据。
Web 代理
通过 HTTP(S)/SOCKS 代理路由 XenMobile 流量最可能的情况如下:当 XenMobile Server 所在的子网无法出站访问所需的 Apple、Google 或 Microsoft IP 地址时。您可以在 XenMobile 中指定代理服务器设置,以将所有 Internet 流量路由到代理服务器。有关详细信息,请参阅启用代理服务器。
下表描述了与 XenMobile 结合使用的最常见代理的优缺点。
| 选项 | 优点 | 缺点 |
| 将 HTTP(S)/SOCKS 代理与 XenMobile Server 结合使用。 | 在策略不允许 XenMobile Server 子网出站 Internet 连接的情况下:您可以配置 HTTP(S) 或 SOCKS 代理以提供 Internet 连接。 | 如果代理服务器发生故障,APNs (iOS) 或 Firebase Cloud Messaging (Android) 连接将中断。因此,所有 iOS 和 Android 设备的设备通知都将失败。 |
| 将 HTTP(S) 代理与 Secure Web 结合使用。 | 您可以监视 HTTP/HTTPS 流量,以确保 Internet 活动符合您组织的标准。 | 此配置要求所有 Secure Web Internet 流量在发送到 Internet 之前先隧道回公司网络。如果您的 Internet 连接限制了浏览:此配置可能会影响 Internet 浏览性能。 |
您的 Citrix ADC 会话配置文件拆分隧道配置会按如下方式影响流量。
当 Citrix ADC 拆分隧道处于关闭状态时:
- 如果 MDX 网络访问策略设置为隧道到内部网络:所有流量都将被强制使用微型 VPN 或无客户端 VPN (cVPN) 隧道返回到 Citrix Gateway。
- 为代理服务器配置 Citrix ADC 流量策略/配置文件,并将其绑定到 Citrix Gateway VIP。
重要:
请务必从代理中排除 Secure Hub cVPN 流量。
当 Citrix ADC 拆分隧道处于打开状态时:
- 当应用程序配置了 MDX 网络访问策略并设置为隧道到内部网络时:应用程序首先尝试直接获取 Web 资源。如果 Web 资源不是公开可用的,则这些应用程序将回退到 Citrix Gateway。
- 为代理服务器配置 Citrix ADC 流量策略和配置文件。然后,将这些策略和配置文件绑定到 Citrix Gateway VIP。
重要:
请务必从代理中排除 Secure Hub cVPN 流量。
您的 Citrix ADC 会话配置文件 拆分 DNS(在客户端体验下)的配置功能类似于拆分隧道。
当 拆分 DNS 启用并设置为两者时:
- 客户端首先尝试在本地解析 FQDN,然后在失败时回退到 Citrix ADC 进行 DNS 解析。
当 拆分 DNS 设置为远程时:
- DNS 解析仅在 Citrix ADC 上进行。
当 拆分 DNS 设置为本地时:
- 客户端尝试在本地解析 FQDN。Citrix ADC 不用于 DNS 解析。
访问控制
企业可以在网络内部和外部管理移动设备。XenMobile 等企业移动性管理解决方案在为移动设备提供独立于位置的安全性与控制方面表现出色。但是,当您将它们与网络访问控制 (NAC) 解决方案结合使用时,您可以为网络内部的设备添加 QoS 和更精细的控制。这种组合使您能够通过 NAC 解决方案扩展 XenMobile 设备安全评估。您的 NAC 解决方案随后可以使用 XenMobile 安全评估来促进和处理身份验证决策。
您可以使用以下任何解决方案来强制执行 NAC 策略:
- Citrix Gateway
- Cisco Identity Services Engine (ISE)
- ForeScout
Citrix 不保证与其他 NAC 解决方案的集成。
NAC 解决方案与 XenMobile 集成的优点包括:
- 为企业网络上的所有端点提供更好的安全性、合规性和控制。
- NAC 解决方案可以:
- 在设备尝试连接到网络时立即检测到它们。
- 查询 XenMobile 以获取设备属性。
- 使用该设备信息来确定是允许、阻止、限制还是重定向这些设备。这些决策取决于您选择强制执行的安全策略。
- NAC 解决方案为 IT 管理员提供了非托管和不合规设备的视图。
有关 XenMobile 支持的 NAC 合规性筛选器和配置概述的说明,请参阅网络访问控制。