Intégration avec NetScaler Gateway et Citrix ADC
Lorsqu’il est intégré à Citrix Endpoint Management, NetScaler Gateway fournit un mécanisme d’authentification pour l’accès à distance des appareils au réseau interne pour les appareils MAM. L’intégration permet aux applications de productivité mobiles Citrix de se connecter aux serveurs d’entreprise dans l’intranet via un micro-VPN. Citrix Endpoint Management crée un micro-VPN depuis les applications sur l’appareil vers NetScaler Gateway. NetScaler Gateway fournit un chemin micro-VPN pour l’accès à toutes les ressources d’entreprise et offre un support d’authentification multifacteur robuste.
Lorsqu’un utilisateur se désinscrit de l’enrôlement MDM, les appareils s’enrôlent en utilisant le FQDN de NetScaler Gateway.
Citrix Cloud Operations gère l’équilibrage de charge de Citrix ADC.
-
Décisions de conception
Les sections suivantes résument les nombreuses décisions de conception à prendre en compte lors de la planification d’une intégration de NetScaler Gateway avec Citrix Endpoint Management.
Certificats
Détails de la décision :
- Exigez-vous un degré de sécurité plus élevé pour l’enrôlement et l’accès à l’environnement Citrix Endpoint Management ?
- LDAP n’est-il pas une option ?
Conseils de conception :
La configuration par défaut de Citrix Endpoint Management est l’authentification par nom d’utilisateur et mot de passe. Pour ajouter une couche de sécurité supplémentaire pour l’enrôlement et l’accès à l’environnement Citrix Endpoint Management, envisagez d’utiliser l’authentification basée sur des certificats. Vous pouvez utiliser des certificats avec LDAP pour l’authentification à deux facteurs, offrant un degré de sécurité plus élevé sans nécessiter de serveur RSA.
Si vous n’autorisez pas LDAP et utilisez des cartes à puce ou des méthodes similaires, la configuration des certificats vous permet de représenter une carte à puce auprès de Citrix Endpoint Management. Les utilisateurs s’enrôlent ensuite en utilisant un code PIN unique que Citrix Endpoint Management génère pour eux. Une fois qu’un utilisateur a accès, Citrix Endpoint Management crée et déploie le certificat utilisé ultérieurement pour s’authentifier auprès de l’environnement Citrix Endpoint Management.
- Citrix Endpoint Management prend en charge la liste de révocation de certificats (CRL) uniquement pour une autorité de certification tierce. Si vous avez configuré une autorité de certification Microsoft, Citrix Endpoint Management utilise NetScaler Gateway pour gérer la révocation. Lorsque vous configurez l’authentification basée sur des certificats clients, déterminez si vous devez configurer le paramètre de liste de révocation de certificats (CRL) de NetScaler Gateway Activer l’actualisation automatique de la CRL. Cette étape garantit que l’utilisateur d’un appareil enrôlé uniquement dans MAM ne peut pas s’authentifier à l’aide d’un certificat existant sur l’appareil. Citrix Endpoint Management réémet un nouveau certificat, car il n’empêche pas un utilisateur de générer un certificat utilisateur si l’un d’eux est révoqué. Ce paramètre augmente la sécurité des entités PKI lorsque la CRL vérifie les entités PKI expirées.
VIP NetScaler Gateway dédiées ou partagées
Détails de la décision :
- Utilisez-vous actuellement NetScaler Gateway pour Citrix Virtual Apps and Desktops ?
- Citrix Endpoint Management utilisera-t-il le même NetScaler Gateway que Citrix Virtual Apps and Desktops ?
-
Quelles sont les exigences d’authentification pour les deux flux de trafic ?
- Conseils de conception :
Lorsque votre environnement Citrix inclut Citrix Endpoint Management, ainsi que Virtual Apps and Desktops, vous pouvez utiliser le même serveur virtuel NetScaler Gateway pour les deux. En raison des conflits de version potentiels et de l’isolation de l’environnement, un NetScaler Gateway dédié est recommandé pour chaque environnement Citrix Endpoint Management.
Si vous utilisez l’authentification LDAP, Citrix Secure Hub peut s’authentifier auprès du même NetScaler Gateway sans problème. Si vous utilisez l’authentification basée sur des certificats, Citrix Endpoint Management pousse un certificat dans le conteneur MDX et Citrix Secure Hub utilise ce certificat pour s’authentifier auprès de NetScaler Gateway.
Vous pourriez envisager cette solution de contournement, qui vous permet d’utiliser le même FQDN pour deux VIP NetScaler Gateway. Vous pouvez créer deux VIP NetScaler Gateway avec la même adresse IP. Celle pour Citrix Secure Hub utilise le port standard 443 et celle pour Citrix Virtual Apps and Desktops (qui déploie l’application Citrix Workspace) utilise le port 444. Ensuite, un seul FQDN se résout à la même adresse IP. Pour cette solution de contournement, vous devrez peut-être configurer StoreFront pour qu’il renvoie un fichier ICA pour le port 444, au lieu du port par défaut, 443. Cette solution de contournement ne nécessite pas que les utilisateurs saisissent un numéro de port.
Délais d’expiration de NetScaler Gateway
Détails de la décision :
-
Comment souhaitez-vous configurer les délais d’expiration de NetScaler Gateway pour le trafic Citrix Endpoint Management ?
-
Conseils de conception :
NetScaler Gateway inclut les paramètres Délai d’expiration de session et Délai d’expiration forcé. Pour plus de détails, consultez Configurations recommandées. Gardez à l’esprit qu’il existe différentes valeurs de délai d’expiration pour les services d’arrière-plan, NetScaler Gateway et pour l’accès aux applications hors ligne.
FQDN d’enrôlement
-
Important :
La modification du FQDN d’enrôlement nécessite une nouvelle base de données SQL Server et une reconstruction du serveur Citrix Endpoint Management.
-
Trafic Citrix Secure Web
Détails de la décision :
- Allez-vous restreindre Citrix Secure Web à la navigation web interne uniquement ?
- Allez-vous activer Citrix Secure Web pour la navigation web interne et externe ?
Conseils de conception :
- Si vous prévoyez d’utiliser Citrix Secure Web uniquement pour la navigation web interne, la configuration de NetScaler Gateway est simple. Cependant, si Citrix Secure Web ne peut pas atteindre tous les sites internes par défaut, vous devrez peut-être configurer des pare-feu et des serveurs proxy.
Si vous prévoyez d’utiliser Citrix Secure Web pour la navigation interne et externe, vous devez activer le SNIP pour avoir un accès Internet sortant. Le service informatique considère généralement les appareils enrôlés (utilisant le conteneur MDX) comme une extension du réseau d’entreprise. Ainsi, le service informatique souhaite généralement que les connexions Citrix Secure Web reviennent à NetScaler Gateway, passent par un serveur proxy, puis accèdent à Internet. Par défaut, l’accès Citrix Secure Web s’effectue via des tunnels vers le réseau interne. Citrix Secure Web utilise un tunnel VPN par application vers le réseau interne pour tout accès réseau et NetScaler Gateway utilise les paramètres de tunnel fractionné.
Pour une discussion sur les connexions Citrix Secure Web, consultez Configuration des connexions utilisateur.
Détails de la décision :
- Utiliserez-vous les notifications push ?
Conseils de conception pour iOS :
Si votre configuration NetScaler Gateway inclut Secure Ticket Authority (STA) et que le tunneling fractionné est désactivé : NetScaler Gateway doit autoriser le trafic de Citrix Secure Mail vers les URL du service d’écoute Citrix. Ces URL sont spécifiées dans les notifications push pour Citrix Secure Mail pour iOS.
Conseils de conception pour Android :
Utilisez Firebase Cloud Messaging (FCM) pour contrôler comment et quand les appareils Android doivent se connecter à Citrix Endpoint Management. Avec FCM configuré, toute action de sécurité ou commande de déploiement déclenche une notification push vers Citrix Secure Hub pour inviter l’utilisateur à se reconnecter au serveur Citrix Endpoint Management.
STA HDX™
Détails de la décision :
- Quels STA utiliser si vous intégrez l’accès aux applications HDX ?
Conseils de conception :
Les STA HDX doivent correspondre aux STA de StoreFront et doivent être valides pour le site Virtual Apps and Desktops.
Citrix Files et ShareFile
Détails de la décision :
- Utiliserez-vous un contrôleur de zones de stockage dans l’environnement ?
- Quelle URL VIP Citrix Files utiliserez-vous ?
Conseils de conception :
Si vous incluez un contrôleur de zones de stockage dans votre environnement, assurez-vous de configurer correctement les éléments suivants :
- VIP de commutation de contenu Citrix Files (utilisé par le plan de contrôle Citrix Files pour communiquer avec les serveurs du contrôleur de zones de stockage)
- VIP d’équilibrage de charge Citrix Files
- Toutes les stratégies et tous les profils requis
Pour plus d’informations, consultez la documentation relative au contrôleur de zones de stockage.
IdP SAML
Détail de la décision :
- Si SAML est requis pour Citrix Files, souhaitez-vous utiliser Citrix Endpoint Management comme IdP SAML ?
Conseils de conception :
La meilleure pratique recommandée consiste à intégrer Citrix Files à Citrix Endpoint Management, une alternative plus simple à la configuration de la fédération basée sur SAML. Citrix Endpoint Management fournit à Citrix Files :
- L’authentification par authentification unique (SSO) des utilisateurs des applications de productivité mobiles Citrix
- L’approvisionnement de comptes utilisateur basé sur Active Directory
- Des stratégies complètes de contrôle d’accès.
La console Citrix Endpoint Management vous permet de configurer Citrix Files et de surveiller les niveaux de service et l’utilisation des licences.
Il existe deux types de clients Citrix Files : Citrix Files pour Citrix Endpoint Management (également appelé Citrix Files encapsulé) et les clients mobiles Citrix Files (également appelés Citrix Files non encapsulé). Pour comprendre les différences, consultez En quoi les clients Citrix Files pour Citrix Endpoint Management diffèrent des clients mobiles Citrix Files.
Vous pouvez configurer Citrix Endpoint Management et Citrix Files pour utiliser SAML afin de fournir un accès SSO à :
- Les applications Citrix Files compatibles avec le SDK MAM ou encapsulées à l’aide du MDX Toolkit
- Les clients Citrix Files non encapsulés, tels que le site Web, le plug-in Outlook ou les clients de synchronisation
Si vous souhaitez utiliser Citrix Endpoint Management comme IdP SAML pour Citrix Files, assurez-vous que les configurations appropriées sont en place. Pour plus de détails, consultez SAML pour l’authentification unique avec Citrix Files.
Connexions directes ShareConnect
Détail de la décision :
- Les utilisateurs accéderont-ils à un ordinateur hôte depuis un ordinateur ou un appareil mobile exécutant ShareConnect via des connexions directes ?
Conseils de conception :
ShareConnect permet aux utilisateurs de se connecter en toute sécurité à leurs ordinateurs via des iPad, des tablettes Android et des téléphones Android pour accéder à leurs fichiers et applications. Pour les connexions directes, Citrix Endpoint Management utilise NetScaler Gateway pour fournir un accès sécurisé aux ressources en dehors du réseau local. Pour les détails de configuration, consultez ShareConnect.
FQDN d’inscription pour chaque mode de gestion
| Mode de gestion | FQDN d’inscription |
|---|---|
| MDM+MAM avec inscription MDM obligatoire | FQDN du serveur Citrix Endpoint Management |
| MDM+MAM avec inscription MDM facultative | FQDN du serveur Citrix Endpoint Management |
| MAM uniquement | FQDN du serveur Citrix Endpoint Management |
Résumé du déploiement
Si vous disposez de nombreuses instances Citrix Endpoint Management, par exemple pour des environnements de test, de développement et de production, vous devez configurer manuellement NetScaler Gateway pour les environnements supplémentaires. Lorsque vous disposez d’un environnement fonctionnel, prenez note des paramètres avant d’essayer de configurer manuellement NetScaler Gateway pour Citrix Endpoint Management.
Une décision clé est de savoir s’il faut utiliser HTTPS ou HTTP pour la communication avec le serveur Citrix Endpoint Management. HTTPS assure une communication back-end sécurisée, car le trafic entre NetScaler Gateway et Citrix Endpoint Management est chiffré. Le rechiffrement a un impact sur les performances du serveur Citrix Endpoint Management. HTTP offre de meilleures performances au serveur Citrix Endpoint Management. Le trafic entre NetScaler Gateway et Citrix Endpoint Management n’est pas chiffré. Les tableaux suivants présentent les exigences de port HTTP et HTTPS pour NetScaler Gateway et Citrix Endpoint Management.
HTTPS
Citrix recommande généralement SSL Bridge pour les configurations de serveur virtuel NetScaler Gateway MDM. Pour l’utilisation de SSL Offload de NetScaler Gateway avec des serveurs virtuels MDM, Citrix Endpoint Management ne prend en charge que le port 80 comme service back-end.
| Mode de gestion | Méthode d’équilibrage de charge NetScaler Gateway | Rechiffrement SSL | Port du serveur Citrix Endpoint Management |
|---|---|---|---|
| MAM | Déchargement SSL | Activé | 8443 |
| MDM+MAM | MDM : Pont SSL | N/A | 443, 8443 |
| MDM+MAM | MAM : Déchargement SSL | Activé | 8443 |
HTTP
| Mode de gestion | Méthode d’équilibrage de charge NetScaler Gateway | Rechiffrement SSL | Port du serveur Citrix Endpoint Management |
|---|---|---|---|
| MAM | Déchargement SSL | Activé | 8443 |
| MDM+MAM | MDM : Déchargement SSL | Non pris en charge | 80 |
| MDM+MAM | MAM : Déchargement SSL | Activé | 8443 |
Pour des diagrammes de NetScaler Gateway dans les déploiements Citrix Endpoint Management, consultez Architecture.