Integración con NetScaler Gateway y Citrix ADC
Cuando se integra con Citrix Endpoint Management, NetScaler Gateway proporciona un mecanismo de autenticación para el acceso remoto de dispositivos a la red interna para dispositivos MAM. La integración permite que las aplicaciones de productividad móvil de Citrix se conecten a los servidores corporativos en la intranet a través de una micro VPN. Citrix Endpoint Management crea una micro VPN desde las aplicaciones del dispositivo hasta NetScaler Gateway. NetScaler Gateway proporciona una ruta de micro VPN para el acceso a todos los recursos corporativos y ofrece un sólido soporte de autenticación multifactor.
Cuando un usuario opta por no inscribirse en MDM, los dispositivos se inscriben utilizando el FQDN de NetScaler Gateway.
Citrix Cloud Operations gestiona el equilibrio de carga de Citrix ADC.
-
Decisiones de diseño
Las siguientes secciones resumen las numerosas decisiones de diseño que debes considerar al planificar una integración de NetScaler Gateway con Citrix Endpoint Management.
Certificados
Detalles de la decisión:
- ¿Necesitas un mayor grado de seguridad para la inscripción y el acceso al entorno de Citrix Endpoint Management?
- ¿LDAP no es una opción?
Orientación de diseño:
La configuración predeterminada para Citrix Endpoint Management es la autenticación con nombre de usuario y contraseña. Para agregar otra capa de seguridad para la inscripción y el acceso al entorno de Citrix Endpoint Management, considera usar la autenticación basada en certificados. Puedes usar certificados con LDAP para la autenticación de dos factores, lo que proporciona un mayor grado de seguridad sin necesidad de un servidor RSA.
Si no permites LDAP y usas tarjetas inteligentes o métodos similares, la configuración de certificados te permite representar una tarjeta inteligente en Citrix Endpoint Management. Los usuarios se inscriben entonces usando un PIN único que Citrix Endpoint Management genera para ellos. Después de que un usuario tiene acceso, Citrix Endpoint Management crea e implementa el certificado que se usará posteriormente para autenticarse en el entorno de Citrix Endpoint Management.
- Citrix Endpoint Management solo admite la Lista de revocación de certificados (CRL) para una entidad de certificación de terceros. Si tienes una CA de Microsoft configurada, Citrix Endpoint Management usa NetScaler Gateway para gestionar la revocación. Cuando configures la autenticación basada en certificados de cliente, considera si necesitas configurar la opción de Lista de revocación de certificados (CRL) de NetScaler Gateway Habilitar actualización automática de CRL. Este paso asegura que el usuario de un dispositivo inscrito solo en MAM no pueda autenticarse usando un certificado existente en el dispositivo. Citrix Endpoint Management vuelve a emitir un nuevo certificado, ya que no restringe a un usuario la generación de un certificado de usuario si uno es revocado. Esta configuración aumenta la seguridad de las entidades PKI cuando la CRL comprueba las entidades PKI caducadas.
VIP de NetScaler Gateway dedicadas o compartidas
Detalles de la decisión:
- ¿Usas actualmente NetScaler Gateway para Citrix Virtual Apps and Desktops?
- ¿Citrix Endpoint Management usará el mismo NetScaler Gateway que Citrix Virtual Apps and Desktops?
-
¿Cuáles son los requisitos de autenticación para ambos flujos de tráfico?
- Orientación de diseño:
Cuando tu entorno Citrix incluye Citrix Endpoint Management, además de Virtual Apps and Desktops, puedes usar el mismo servidor virtual de NetScaler Gateway para ambos. Debido a los posibles conflictos de versiones y al aislamiento del entorno, se recomienda un NetScaler Gateway dedicado para cada entorno de Citrix Endpoint Management.
Si usas autenticación LDAP, Citrix Secure Hub puede autenticarse en el mismo NetScaler Gateway sin problemas. Si usas autenticación basada en certificados, Citrix Endpoint Management envía un certificado en el contenedor MDX y Citrix Secure Hub usa el certificado para autenticarse con NetScaler Gateway.
Podrías considerar esta solución alternativa, que te permite usar el mismo FQDN para dos VIP de NetScaler Gateway. Puedes crear dos VIP de NetScaler Gateway con la misma dirección IP. La de Citrix Secure Hub usa el puerto estándar 443 y la de Citrix Virtual Apps and Desktops (que implementa la aplicación Citrix Workspace) usa el puerto 444. Entonces, un FQDN se resuelve en la misma dirección IP. Para esta solución alternativa, es posible que necesites configurar StoreFront para que devuelva un archivo ICA para el puerto 444, en lugar del predeterminado, el puerto 443. Esta solución alternativa no requiere que los usuarios introduzcan un número de puerto.
Tiempos de espera de NetScaler Gateway
Detalles de la decisión:
-
¿Cómo quieres configurar los tiempos de espera de NetScaler Gateway para el tráfico de Citrix Endpoint Management?
-
Orientación de diseño:
NetScaler Gateway incluye las configuraciones Tiempo de espera de sesión y Tiempo de espera forzado. Para obtener más detalles, consulta Configuraciones recomendadas. Ten en cuenta que existen diferentes valores de tiempo de espera para los servicios en segundo plano, NetScaler Gateway y para acceder a las aplicaciones sin conexión.
FQDN de inscripción
-
Importante:
Para cambiar el FQDN de inscripción se requiere una nueva base de datos de SQL Server y una reconstrucción del servidor de Citrix Endpoint Management.
-
Tráfico de Citrix Secure Web
Detalles de la decisión:
- ¿Restringirás Citrix Secure Web solo a la navegación web interna?
- ¿Habilitarás Citrix Secure Web para la navegación web interna y externa?
Orientación de diseño:
- Si planeas usar Citrix Secure Web solo para la navegación web interna, la configuración de NetScaler Gateway es sencilla. Sin embargo, si Citrix Secure Web no puede acceder a todos los sitios internos de forma predeterminada, es posible que necesites configurar firewalls y servidores proxy.
Si planeas usar Citrix Secure Web para la navegación interna y externa, debes habilitar el SNIP para tener acceso a Internet saliente. El departamento de TI generalmente considera los dispositivos inscritos (que usan el contenedor MDX) como una extensión de la red corporativa. Por lo tanto, TI normalmente quiere que las conexiones de Citrix Secure Web regresen a NetScaler Gateway, pasen por un servidor proxy y luego salgan a Internet. De forma predeterminada, el acceso a Citrix Secure Web se tuneliza a la red interna. Citrix Secure Web usa un túnel VPN por aplicación de vuelta a la red interna para todo el acceso a la red y NetScaler Gateway usa configuraciones de túnel dividido.
Para una discusión sobre las conexiones de Citrix Secure Web, consulta Configurar conexiones de usuario.
Detalles de la decisión:
- ¿Usarás notificaciones push?
Orientación de diseño para iOS:
Si tu configuración de NetScaler Gateway incluye Secure Ticket Authority (STA) y el túnel dividido está desactivado: NetScaler Gateway debe permitir el tráfico de Citrix Secure Mail a las URL del servicio de escucha de Citrix. Esas URL se especifican en las notificaciones push para Citrix Secure Mail para iOS.
Orientación de diseño para Android:
Usa Firebase Cloud Messaging (FCM) para controlar cómo y cuándo los dispositivos Android necesitan conectarse a Citrix Endpoint Management. Con FCM configurado, cualquier acción de seguridad o comando de implementación activa una notificación push en Citrix Secure Hub para pedir al usuario que se reconecte al servidor de Citrix Endpoint Management.
STA de HDX™
Detalles de la decisión:
- ¿Qué STA usar si integras el acceso a aplicaciones HDX?
Guía de diseño:
Los STA de HDX deben coincidir con los STA de StoreFront y deben ser válidos para el sitio de Virtual Apps and Desktops.
Citrix Files y ShareFile
Detalles de la decisión:
- ¿Usarás un controlador de zonas de almacenamiento en el entorno?
- ¿Qué URL VIP de Citrix Files usarás?
Guía de diseño:
Si incluyes un controlador de zonas de almacenamiento en tu entorno, asegúrate de configurar correctamente lo siguiente:
- VIP del conmutador de contenido de Citrix Files (usado por el plano de control de Citrix Files para comunicarse con los servidores del controlador de zonas de almacenamiento)
- VIP de equilibrio de carga de Citrix Files
- Todas las directivas y perfiles necesarios
Para obtener más información, consulta la documentación de Storage zones controller.
IdP de SAML
Detalle de la decisión:
- Si se requiere SAML para Citrix Files, ¿quieres usar Citrix Endpoint Management como IdP de SAML?
Guía de diseño:
La mejor práctica recomendada es integrar Citrix Files con Citrix Endpoint Management, una alternativa más sencilla a la configuración de la federación basada en SAML. Citrix Endpoint Management proporciona a Citrix Files:
- Autenticación de inicio de sesión único (SSO) para los usuarios de las aplicaciones de productividad móvil de Citrix
- Aprovisionamiento de cuentas de usuario basado en Active Directory
- Directivas de control de acceso completas.
La consola de Citrix Endpoint Management te permite configurar Citrix Files y supervisar los niveles de servicio y el uso de licencias.
Existen dos tipos de clientes de Citrix Files: Citrix Files para Citrix Endpoint Management (también conocido como Citrix Files encapsulado) y clientes móviles de Citrix Files (también conocido como Citrix Files sin encapsular). Para comprender las diferencias, consulta Cómo difieren los clientes de Citrix Files para Citrix Endpoint Management de los clientes móviles de Citrix Files.
Puedes configurar Citrix Endpoint Management y Citrix Files para usar SAML y proporcionar acceso SSO a:
- Aplicaciones de Citrix Files que tienen el SDK de MAM habilitado o están encapsuladas mediante el MDX Toolkit
- Clientes de Citrix Files sin encapsular, como el sitio web, el complemento de Outlook o los clientes de sincronización
Si quieres usar Citrix Endpoint Management como IdP de SAML para Citrix Files, asegúrate de que las configuraciones adecuadas estén implementadas. Para obtener más información, consulta SAML para SSO con Citrix Files.
Conexiones directas de ShareConnect
Detalle de la decisión:
- ¿Accederán los usuarios a un equipo host desde un equipo o dispositivo móvil que ejecute ShareConnect mediante conexiones directas?
Guía de diseño:
ShareConnect permite a los usuarios conectarse de forma segura a sus equipos a través de iPads, tabletas Android y teléfonos Android para acceder a sus archivos y aplicaciones. Para las conexiones directas, Citrix Endpoint Management usa NetScaler Gateway para proporcionar acceso seguro a los recursos fuera de la red local. Para obtener detalles de configuración, consulta ShareConnect.
FQDN de inscripción para cada modo de administración
| Modo de administración | FQDN de inscripción |
|---|---|
| MDM+MAM con inscripción MDM obligatoria | FQDN del servidor de Citrix Endpoint Management |
| MDM+MAM con inscripción MDM opcional | FQDN del servidor de Citrix Endpoint Management |
| Solo MAM | FQDN del servidor de Citrix Endpoint Management |
Resumen de la implementación
Si tienes muchas instancias de Citrix Endpoint Management, como para entornos de prueba, desarrollo y producción, debes configurar NetScaler Gateway para los entornos adicionales manualmente. Cuando tengas un entorno en funcionamiento, toma nota de la configuración antes de intentar configurar NetScaler Gateway manualmente para Citrix Endpoint Management.
Una decisión clave es si usar HTTPS o HTTP para la comunicación con el servidor de Citrix Endpoint Management. HTTPS proporciona una comunicación back-end segura, ya que el tráfico entre NetScaler Gateway y Citrix Endpoint Management está cifrado. El recifrado afecta al rendimiento del servidor de Citrix Endpoint Management. HTTP proporciona un mejor rendimiento del servidor de Citrix Endpoint Management. El tráfico entre NetScaler Gateway y Citrix Endpoint Management no está cifrado. Las siguientes tablas muestran los requisitos de puerto HTTP y HTTPS para NetScaler Gateway y Citrix Endpoint Management.
HTTPS
Citrix suele recomendar SSL Bridge para las configuraciones de servidor virtual MDM de NetScaler Gateway. Para el uso de descarga SSL de NetScaler Gateway con servidores virtuales MDM, Citrix Endpoint Management solo admite el puerto 80 como servicio back-end.
| Modo de administración | Método de equilibrio de carga de NetScaler Gateway | Recifrado SSL | Puerto del servidor de Citrix Endpoint Management |
|---|---|---|---|
| MAM | Descarga SSL | Habilitado | 8443 |
| MDM+MAM | MDM: SSL Bridge | N/A | 443, 8443 |
| MDM+MAM | MAM: Descarga SSL | Habilitado | 8443 |
HTTP
| Modo de administración | Método de equilibrio de carga de NetScaler Gateway | Recifrado SSL | Puerto del servidor de Citrix Endpoint Management |
|---|---|---|---|
| MAM | Descarga SSL | Habilitado | 8443 |
| MDM+MAM | MDM: Descarga SSL | No compatible | 80 |
| MDM+MAM | MAM: Descarga SSL | Habilitado | 8443 |
Para ver diagramas de NetScaler Gateway en implementaciones de Citrix Endpoint Management, consulta Arquitectura.