Integración con Citrix Gateway y Citrix ADC
Cuando se integra con XenMobile®, Citrix Gateway proporciona un mecanismo de autenticación para el acceso remoto de dispositivos a la red interna para dispositivos MAM. La integración permite que las aplicaciones de productividad móvil se conecten a los servidores corporativos de la intranet a través de una micro VPN. La micro VPN se crea desde las aplicaciones del dispositivo móvil hasta Citrix Gateway. Citrix Gateway proporciona una ruta de micro VPN para acceder a todos los recursos corporativos y ofrece un sólido soporte de autenticación multifactor.
El equilibrio de carga de Citrix ADC es necesario para todos los modos de dispositivo de XenMobile Server en estos casos:
- Si tienes varios servidores XenMobile
- O si el servidor XenMobile está dentro de tu DMZ o red interna (y, por lo tanto, el tráfico fluye desde los dispositivos a Citrix ADC y luego a XenMobile)
Requisitos de integración para los modos de XenMobile Server
Los requisitos de integración para Citrix Gateway y Citrix ADC difieren según los modos de XenMobile Server: MAM, MDM y ENT.
MAM
Con XenMobile Server en modo MAM:
- Se requiere Citrix Gateway. Citrix Gateway proporciona una ruta de micro VPN para acceder a todos los recursos corporativos y ofrece un sólido soporte de autenticación multifactor.
-
Se recomienda Citrix ADC para el equilibrio de carga.
Citrix recomienda que implementes XenMobile en una configuración de alta disponibilidad, lo que requiere un equilibrador de carga delante de XenMobile. Para obtener más información, consulta Acerca de los modos MAM y MAM heredado.
MDM
Con XenMobile Server en modo MDM:
- Citrix Gateway no es necesario. Para implementaciones de MDM, Citrix recomienda Citrix Gateway para la VPN de dispositivos móviles.
-
Se recomienda Citrix ADC para la seguridad y el equilibrio de carga.
Citrix recomienda que implementes un dispositivo Citrix ADC delante del servidor XenMobile, para seguridad y equilibrio de carga. Para implementaciones estándar con XenMobile en la DMZ, Citrix recomienda el asistente de Citrix ADC para XenMobile junto con el equilibrio de carga de XenMobile Server en modo SSL Bridge. También puedes considerar la descarga SSL para implementaciones en las que:
- El servidor XenMobile reside en la red interna en lugar de la DMZ.
- O tu equipo de seguridad requiere una configuración de SSL Bridge.
Citrix no recomienda exponer el servidor XenMobile a Internet a través de NAT o de proxies o equilibradores de carga de terceros existentes para MDM. Esas configuraciones plantean un riesgo de seguridad potencial, incluso si el tráfico SSL termina en el servidor XenMobile (SSL Bridge).
Para entornos de alta seguridad, Citrix ADC con la configuración predeterminada de XenMobile cumple o supera los requisitos de seguridad.
Para entornos MDM con las más altas necesidades de seguridad, la terminación SSL en Citrix ADC te permite inspeccionar el tráfico en el perímetro, mientras mantienes el cifrado SSL de extremo a extremo. Para obtener más información, consulta Requisitos de seguridad. Citrix ADC ofrece opciones para definir cifrados SSL/TLS y hardware Citrix ADC SSL FIPS.
ENT (MAM+MDM)
Con XenMobile Server en modo ENT:
-
Se requiere Citrix Gateway. Citrix Gateway proporciona una ruta de micro VPN para acceder a todos los recursos corporativos y ofrece un sólido soporte de autenticación multifactor.
Cuando el modo de XenMobile Server es ENT y un usuario opta por no inscribirse en MDM, el dispositivo funciona en el modo MAM heredado. En el modo MAM heredado, los dispositivos se inscriben utilizando el FQDN de Citrix Gateway. Para obtener más información, consulta Acerca de los modos MAM y MAM heredado.
-
Se recomienda Citrix ADC para el equilibrio de carga. Para obtener más información, consulta el punto de Citrix ADC anterior en este artículo, en “MDM”.
Importante:
Para la inscripción inicial, el tráfico de los dispositivos de usuario se autentica en el servidor XenMobile, ya sea que configures los servidores virtuales de equilibrio de carga en descarga SSL (SSL Offload) o en puente SSL (SSL Bridge).
Decisiones de diseño
Las siguientes secciones resumen las muchas decisiones de diseño que debes considerar al planificar una integración de Citrix Gateway con XenMobile.
Licencias y edición
Detalles de la decisión:
- ¿Qué edición de Citrix ADC planeas usar?
- ¿Has aplicado licencias de plataforma a Citrix ADC?
- Si necesitas la funcionalidad MAM, ¿has aplicado las licencias de acceso universal de Citrix ADC?
Orientación de diseño:
Asegúrate de aplicar las licencias adecuadas a Citrix Gateway. Si estás usando el conector™ de Citrix Gateway para Exchange ActiveSync, es posible que se requiera el almacenamiento en caché integrado. Por lo tanto, debes asegurarte de que la edición de Citrix ADC adecuada esté implementada.
Los requisitos de licencia para habilitar las funciones de Citrix ADC son los siguientes.
- El equilibrio de carga de XenMobile MDM requiere una licencia de plataforma estándar de Citrix ADC como mínimo.
- El equilibrio de carga de ShareFile con el controlador de zonas de almacenamiento requiere una licencia de plataforma estándar de Citrix ADC como mínimo.
- La edición avanzada de XenMobile (local) o Citrix Endpoint Management™ (nube) incluye las licencias universales de Citrix Gateway necesarias para MAM.
- El equilibrio de carga de Exchange requiere una licencia de plataforma Platinum de Citrix ADC o una licencia de plataforma Enterprise de Citrix ADC con la adición de una licencia de almacenamiento en caché integrado.
Versión de Citrix ADC para XenMobile
Detalles de la decisión:
- ¿Qué versión de Citrix ADC se está ejecutando en el entorno XenMobile?
- ¿Necesitas una instancia separada?
Orientación de diseño:
Citrix recomienda usar una instancia dedicada de Citrix ADC para tu servidor virtual de Citrix Gateway. Asegúrate de que la versión y compilación mínimas requeridas de Citrix ADC estén en uso para el entorno XenMobile. Normalmente, es mejor usar la última versión y compilación compatible de Citrix ADC para XenMobile. Si la actualización de Citrix Gateway afectaría a tu entorno existente, una segunda instancia dedicada para XenMobile podría ser apropiada.
Si planeas compartir una instancia de Citrix ADC para XenMobile y otras aplicaciones que usan conexiones VPN, asegúrate de tener suficientes licencias VPN para ambas. Ten en cuenta que los entornos de prueba y producción de XenMobile no pueden compartir una instancia de Citrix ADC.
Certificados
Detalles de la decisión:
- ¿Necesitas un mayor grado de seguridad para la inscripción y el acceso al entorno XenMobile?
- ¿LDAP no es una opción?
Orientación de diseño:
La configuración predeterminada para XenMobile es la autenticación por nombre de usuario y contraseña. Para agregar otra capa de seguridad para la inscripción y el acceso al entorno XenMobile, considera usar la autenticación basada en certificados. Puedes usar certificados con LDAP para la autenticación de dos factores, lo que proporciona un mayor grado de seguridad sin necesidad de un servidor RSA.
Si no permites LDAP y usas tarjetas inteligentes o métodos similares, la configuración de certificados te permite representar una tarjeta inteligente en XenMobile. Los usuarios se inscriben utilizando un PIN único que XenMobile genera para ellos. Después de que un usuario tiene acceso, XenMobile crea e implementa el certificado utilizado para autenticarse en el entorno XenMobile.
XenMobile solo admite la Lista de Revocación de Certificados (CRL) para una Autoridad de Certificación de terceros. Si tienes una CA de Microsoft configurada, XenMobile usa Citrix ADC para gestionar la revocación. Cuando configures la autenticación basada en certificados de cliente, considera si necesitas configurar el ajuste de la Lista de Revocación de Certificados (CRL) de Citrix ADC Enable CRL Auto Refresh. Este paso garantiza que el usuario de un dispositivo inscrito solo en MAM no pueda autenticarse usando un certificado existente en el dispositivo. XenMobile vuelve a emitir un nuevo certificado, porque no restringe a un usuario la generación de un certificado de usuario si uno ha sido revocado. Esta configuración aumenta la seguridad de las entidades PKI cuando la CRL comprueba las entidades PKI caducadas.
Topología de red
Detalles de la decisión:
- ¿Qué topología de Citrix ADC se requiere?
Orientación de diseño:
Citrix recomienda usar una instancia de Citrix ADC para XenMobile. Sin embargo, es posible que no quieras que el tráfico vaya de la red interna a la DMZ. En ese caso, considera configurar una instancia adicional de Citrix ADC. Usa una instancia de Citrix ADC para usuarios internos y otra para usuarios externos. Cuando los usuarios cambian entre las redes internas y externas, el almacenamiento en caché de registros DNS puede provocar un aumento en las solicitudes de inicio de sesión de Secure Hub.
XenMobile no admite el doble salto de Citrix Gateway.
VIP de Citrix Gateway dedicadas o compartidas
Detalles de la decisión:
- ¿Actualmente usas Citrix Gateway para Virtual Apps and Desktops?
- ¿Planeas que XenMobile use el mismo Citrix Gateway que Virtual Apps and Desktops?
- ¿Cuáles son los requisitos de autenticación para ambos flujos de tráfico?
Orientación de diseño:
Cuando tu entorno Citrix incluye XenMobile, además de Virtual Apps and Desktops, puedes usar la misma instancia de Citrix ADC y el mismo servidor virtual de Citrix Gateway para ambos. Debido a posibles conflictos de versiones y al aislamiento del entorno, se recomienda una instancia dedicada de Citrix ADC y Citrix Gateway para cada entorno XenMobile. Sin embargo, si una instancia dedicada de Citrix ADC no es una opción, Citrix recomienda usar un servidor virtual de Citrix Gateway dedicado para separar los flujos de tráfico para Secure Hub. Esa configuración es en lugar de un servidor virtual compartido entre XenMobile y Virtual Apps and Desktops.
Si usas la autenticación LDAP, Receiver y Secure Hub pueden autenticarse en el mismo Citrix Gateway sin problemas. Si usas la autenticación basada en certificados, XenMobile envía un certificado en el contenedor MDX y Secure Hub usa el certificado para autenticarse con Citrix Gateway. Receiver está separado de Secure Hub y no puede usar el mismo certificado que Secure Hub para autenticarse en el mismo Citrix Gateway.
Podrías considerar la siguiente solución alternativa, que te permite usar el mismo FQDN para dos VIP de Citrix Gateway.
- Crea dos VIP de Citrix Gateway con la misma dirección IP. La VIP para Secure Hub usa el puerto estándar 443 y la VIP para Virtual Apps and Desktops (que implementan Receiver) usa el puerto 444.
- Como resultado, un FQDN se resuelve en la misma dirección IP.
- Para esta solución alternativa, podrías configurar StoreFront™ para que devuelva un archivo ICA para el puerto 444, en lugar del predeterminado, el puerto 443. Esta solución alternativa no requiere que los usuarios introduzcan un número de puerto.
Tiempos de espera de Citrix Gateway
Detalles de la decisión:
- ¿Cómo quieres configurar los tiempos de espera de Citrix Gateway para el tráfico de XenMobile?
Orientación de diseño:
Citrix Gateway incluye los ajustes de tiempo de espera de sesión (Session time-out) y tiempo de espera forzado (Forced time-out). Para obtener más información, consulta Configuraciones recomendadas. Ten en cuenta que existen diferentes valores de tiempo de espera para los servicios en segundo plano, Citrix ADC y para acceder a las aplicaciones sin conexión.
Dirección IP del equilibrador de carga de XenMobile para MAM
Detalles de la decisión:
- ¿Estás usando direcciones IP internas o externas para las VIP?
Orientación de diseño:
En entornos donde puedes usar direcciones IP públicas para las VIP de Citrix Gateway, asignar la VIP y la dirección de equilibrio de carga de XenMobile de esta manera provoca fallos en la inscripción.
Asegúrate de que la VIP de equilibrio de carga use una IP interna para evitar fallos en la inscripción en este escenario. Esta dirección IP virtual debe seguir el estándar RFC 1918 de direcciones IP privadas. Si usas una dirección IP no privada para este servidor virtual, Citrix ADC no podrá contactar con el servidor XenMobile correctamente durante el proceso de autenticación. Para obtener más información, consulta https://support.citrix.com/article/CTX200430.
Mecanismo de equilibrio de carga de MDM
Detalles de la decisión:
- ¿Cómo equilibrará la carga Citrix Gateway en los servidores XenMobile?
Orientación de diseño:
Usa SSL Bridge si XenMobile está en la DMZ. Usa SSL Offload, si es necesario para cumplir los estándares de seguridad, cuando XenMobile esté en la red interna.
- Cuando equilibras la carga del servidor XenMobile con VIP de Citrix ADC en modo SSL Bridge, el tráfico de Internet fluye directamente al servidor XenMobile, donde terminan las conexiones. El modo SSL Bridge es el más sencillo de configurar y solucionar problemas.
- Cuando equilibras la carga del servidor XenMobile con VIP de Citrix ADC en modo SSL Offload, el tráfico de Internet fluye directamente a Citrix ADC, donde terminan las conexiones. Citrix ADC establece nuevas sesiones desde Citrix ADC al servidor XenMobile. El modo SSL Offload implica una complejidad adicional durante la configuración y la solución de problemas.
Puerto de servicio para el equilibrio de carga de MDM con SSL Offload
Detalles de la decisión:
- Si planeas usar el modo SSL Offload para el equilibrio de carga, ¿qué puerto usará el servicio de back-end?
Orientación de diseño:
Para SSL Offload, elige el puerto 80 u 8443 de la siguiente manera:
- Usa el puerto 80 de vuelta al servidor XenMobile, para una verdadera descarga.
- El cifrado de extremo a extremo, es decir, el recifrado del tráfico, no es compatible. Para obtener más información, consulta el artículo de asistencia de Citrix, Supported Architectures Between NetScaler and XenMobile Server.
FQDN de inscripción
Detalles de la decisión:
- ¿Qué planeas usar como FQDN para la inscripción y la VIP de equilibrio de carga/instancia de XenMobile?
Orientación de diseño:
La configuración inicial del primer servidor XenMobile en un clúster requiere que proporciones el FQDN del servidor XenMobile. Ese FQDN debe coincidir con la URL de tu VIP de MDM y la URL de tu VIP de equilibrio de carga de MAM interno. (Un registro de dirección interno de Citrix ADC resuelve la VIP de equilibrio de carga de MAM). Para obtener más información, consulta “FQDN de inscripción para cada modo de administración” más adelante en este artículo.
Además, debes usar el mismo certificado que los siguientes:
- Certificado de escucha SSL de XenMobile
- Certificado VIP de equilibrio de carga de MAM interno
- Certificado VIP de MDM (si usas SSL Offload para la VIP de MDM)
Importante:
Una vez que configures el FQDN de inscripción, no podrás cambiarlo. Un nuevo FQDN de inscripción requiere una nueva base de datos de SQL Server y la reconstrucción del servidor XenMobile.
Tráfico de Secure Web
Detalles de la decisión:
- ¿Planeas restringir Secure Web solo a la navegación web interna?
- ¿Planeas habilitar Secure Web para la navegación web interna y externa?
Orientación de diseño:
Si planeas usar Secure Web solo para la navegación web interna, la configuración de Citrix Gateway es sencilla. Secure Web debe acceder a todos los sitios internos por defecto. Es posible que debas configurar firewalls y servidores proxy.
Si planeas usar Secure Web para la navegación interna y externa, debes habilitar el SNIP para que tenga acceso a Internet saliente. El departamento de TI generalmente considera los dispositivos inscritos (que usan el contenedor MDX) como una extensión de la red corporativa. Por lo tanto, el departamento de TI normalmente quiere que las conexiones de Secure Web regresen a Citrix ADC, pasen por un servidor proxy y luego salgan a Internet. Por defecto, Secure Web usa un túnel VPN por aplicación de vuelta a la red interna para todo el acceso a la red. Citrix ADC usa la configuración de túnel dividido.
Para una discusión sobre las conexiones de Secure Web, consulta Configuring User Connections.
Notificaciones push para Secure Mail
Detalles de la decisión:
- ¿Planeas usar notificaciones push?
Orientación de diseño para iOS:
Tu configuración de Citrix Gateway podría incluir Secure Ticket Authority (STA), con el túnel dividido desactivado. Citrix Gateway debe permitir el tráfico de Secure Mail a las URL del servicio de escucha de Citrix especificadas en Notificaciones push para Secure Mail para iOS.
Orientación de diseño para Android:
Usa Firebase Cloud Messaging (FCM) para controlar cómo y cuándo los dispositivos Android necesitan conectarse a XenMobile. Con FCM configurado, cualquier acción de seguridad o comando de implementación activa una notificación push a Secure Hub para pedir al usuario que se reconecte al servidor XenMobile.
STA de HDX™
Detalles de la decisión:
- ¿Qué STA usar si planeas integrar el acceso a aplicaciones HDX?
Orientación de diseño:
Las STA de HDX deben coincidir con las STA de StoreFront y deben ser válidas para la granja de Virtual Apps and Desktops.
Citrix Files y ShareFile
Detalles de la decisión:
- ¿Planeas usar controladores de zona de almacenamiento en el entorno?
- ¿Qué URL VIP de Citrix Files planeas usar?
Orientación de diseño:
Si incluyes controladores de zona de almacenamiento en tu entorno, asegúrate de configurar correctamente lo siguiente:
- VIP de conmutación de Citrix Files (usada por el plano de control de Citrix Files para comunicarse con los servidores de controlador de zona de almacenamiento)
- VIP de equilibrio de carga de Citrix Files
- Todas las directivas y perfiles necesarios
Para obtener más información, consulta la documentación del controlador de zonas de almacenamiento.
IdP de SAML
Detalles de la decisión:
- Si se requiere SAML para Citrix Files, ¿quieres usar XenMobile como IdP de SAML?
Orientación de diseño:
La mejor práctica recomendada es integrar Citrix Files con XenMobile Advanced Edition o XenMobile Advanced Edition (local) o Citrix Endpoint Management (en la nube), una alternativa más sencilla a la configuración de la federación basada en SAML. Cuando usas Citrix Files con esas ediciones de XenMobile, XenMobile proporciona a Citrix Files:
- Autenticación de inicio de sesión único (SSO) de los usuarios de aplicaciones de productividad móvil
- Aprovisionamiento de cuentas de usuario basado en Active Directory
- Directivas de control de acceso completas
La consola de XenMobile te permite realizar la configuración de Citrix Files y supervisar los niveles de servicio y el uso de licencias.
Hay dos tipos de clientes de Citrix Files: clientes de Citrix Files para XenMobile (también conocidos como Citrix Files encapsulados) y clientes móviles de Citrix Files (también conocidos como Citrix Files no encapsulados). Para comprender las diferencias, consulta How Citrix Files for XenMobile Clients differ from Citrix Files mobile clients.
Puedes configurar XenMobile y ShareFile para usar SAML y proporcionar acceso SSO a:
- Aplicaciones móviles de Citrix Files
- Clientes de Citrix Files no encapsulados, como el sitio web, el complemento de Outlook o los clientes de sincronización
Para usar XenMobile como IdP de SAML para Citrix Files, asegúrate de que las configuraciones adecuadas estén implementadas. Para obtener más información, consulta SAML for SSO with Citrix Files.
Conexiones directas de ShareConnect
Detalles de la decisión:
- ¿Deben los usuarios acceder a un equipo host desde un equipo o dispositivo móvil que ejecute ShareConnect mediante conexiones directas?
Orientación de diseño:
ShareConnect permite a los usuarios conectarse de forma segura a sus equipos a través de iPads, tabletas Android y teléfonos Android para acceder a sus archivos y aplicaciones. Para las conexiones directas, XenMobile usa Citrix Gateway para proporcionar acceso seguro a los recursos fuera de la red local. Para obtener detalles de configuración, consulta ShareConnect.
FQDN de inscripción para cada modo de administración
| Modo de administración | FQDN de inscripción |
| Enterprise (MDM+MAM) con inscripción MDM obligatoria | FQDN del servidor XenMobile |
| Enterprise (MDM+MAM) con inscripción MDM opcional | FQDN del servidor XenMobile o FQDN de Citrix Gateway |
| Solo MDM | FQDN del servidor XenMobile |
| Solo MAM (heredado) | FQDN de Citrix Gateway |
| Solo MAM | FQDN del servidor XenMobile |
Resumen de la implementación
Citrix recomienda que uses el asistente de Citrix ADC para XenMobile para garantizar una configuración adecuada. Puedes usar el asistente solo una vez. Si tienes varias instancias de XenMobile, como para entornos de prueba, desarrollo y producción, debes configurar Citrix ADC para los entornos adicionales manualmente. Cuando tengas un entorno de trabajo, toma nota de la configuración antes de intentar configurar Citrix ADC manualmente para XenMobile.
La decisión clave que tomas al usar el asistente es si usar HTTPS o HTTP para la comunicación con el servidor XenMobile. HTTPS proporciona comunicación de back-end segura, ya que el tráfico entre Citrix ADC y XenMobile está cifrado. El recifrado afecta al rendimiento del servidor XenMobile. HTTP proporciona un mejor rendimiento del servidor XenMobile. El tráfico entre Citrix ADC y XenMobile no está cifrado. Las siguientes tablas muestran los requisitos de puerto HTTP y HTTPS para Citrix ADC y el servidor XenMobile.
HTTPS
Citrix normalmente recomienda SSL Bridge para las configuraciones de servidor virtual MDM de Citrix ADC. Para el uso de SSL Offload de Citrix ADC con servidores virtuales MDM, XenMobile solo admite el puerto 80 como servicio de back-end.
| Modo de administración | Método de equilibrio de carga de Citrix ADC | Recifrado SSL | Puerto del servidor XenMobile |
| MDM | SSL Bridge | N/A | 443, 8443 |
| MAM | SSL Offload | Habilitado | 8443 |
| Enterprise | MDM: SSL Bridge | N/A | 443, 8443 |
| Enterprise | MAM: SSL Offload | Habilitado | 8443 |
HTTP
| Modo de administración | Método de equilibrio de carga de Citrix ADC | Recifrado SSL | Puerto del servidor XenMobile |
| MDM | SSL Offload | No compatible | 80 |
| MAM | SSL Offload | Habilitado | 8443 |
| Enterprise | MDM: SSL Offload | No compatible | 80 |
| Enterprise | MAM: SSL Offload | Habilitado | 8443 |
Para ver diagramas de Citrix Gateway en implementaciones de XenMobile, consulta Reference Architecture for On-Premises Deployments.