Intégration avec Citrix Gateway et Citrix ADC
Lorsqu’il est intégré à XenMobile®, Citrix Gateway fournit un mécanisme d’authentification pour l’accès à distance des appareils au réseau interne pour les appareils MAM. L’intégration permet aux applications de productivité mobiles de se connecter aux serveurs d’entreprise dans l’intranet via un micro-VPN. Le micro-VPN est créé à partir des applications sur l’appareil mobile vers Citrix Gateway. Citrix Gateway fournit un chemin micro-VPN pour l’accès à toutes les ressources d’entreprise et prend en charge une authentification multifacteur forte.
L’équilibrage de charge Citrix ADC est requis pour tous les modes d’appareil XenMobile Server dans les cas suivants :
- Si vous avez plusieurs serveurs XenMobile
- Ou si le serveur XenMobile se trouve dans votre DMZ ou votre réseau interne (et que le trafic circule donc des appareils vers Citrix ADC, puis vers XenMobile)
Exigences d’intégration pour les modes XenMobile Server
Les exigences d’intégration pour Citrix Gateway et Citrix ADC diffèrent selon les modes XenMobile Server : MAM, MDM et ENT.
MAM
Avec XenMobile Server en mode MAM :
- Citrix Gateway est requis. Citrix Gateway fournit un chemin micro-VPN pour l’accès à toutes les ressources d’entreprise et prend en charge une authentification multifacteur forte.
-
Citrix ADC est recommandé pour l’équilibrage de charge.
Citrix recommande de déployer XenMobile dans une configuration haute disponibilité, ce qui nécessite un équilibreur de charge devant XenMobile. Pour plus de détails, consultez À propos des modes MAM et MAM hérités.
MDM
Avec XenMobile Server en mode MDM :
- Citrix Gateway n’est pas requis. Pour les déploiements MDM, Citrix recommande Citrix Gateway pour le VPN des appareils mobiles.
-
Citrix ADC est recommandé pour la sécurité et l’équilibrage de charge.
Citrix recommande de déployer une appliance Citrix ADC devant le serveur XenMobile, pour la sécurité et l’équilibrage de charge. Pour les déploiements standard avec XenMobile dans la DMZ, Citrix recommande l’assistant Citrix ADC pour XenMobile ainsi que l’équilibrage de charge du serveur XenMobile en mode Pont SSL. Vous pouvez également envisager le déchargement SSL pour les déploiements dans lesquels :
- Le serveur XenMobile réside dans le réseau interne plutôt que dans la DMZ.
- Ou votre équipe de sécurité exige une configuration de pont SSL.
Citrix ne recommande pas d’exposer le serveur XenMobile à Internet via NAT ou des proxys ou équilibreurs de charge tiers existants pour MDM. Ces configurations présentent un risque de sécurité potentiel, même si le trafic SSL se termine sur le serveur XenMobile (Pont SSL).
Pour les environnements à haute sécurité, le Citrix ADC avec la configuration XenMobile par défaut satisfait ou dépasse les exigences de sécurité.
Pour les environnements MDM ayant les besoins de sécurité les plus élevés, la terminaison SSL au niveau du Citrix ADC vous permet d’inspecter le trafic au périmètre, tout en maintenant le chiffrement SSL de bout en bout. Pour plus d’informations, consultez Exigences de sécurité. Citrix ADC offre des options pour définir les chiffrements SSL/TLS et le matériel Citrix ADC SSL FIPS.
ENT (MAM+MDM)
Avec XenMobile Server en mode ENT :
-
Citrix Gateway est requis. Citrix Gateway fournit un chemin micro-VPN pour l’accès à toutes les ressources d’entreprise et prend en charge une authentification multifacteur forte.
Lorsque le mode du serveur XenMobile est ENT et qu’un utilisateur refuse l’inscription MDM, l’appareil fonctionne en mode MAM hérité. En mode MAM hérité, les appareils s’inscrivent à l’aide du FQDN de Citrix Gateway. Pour plus de détails, consultez À propos des modes MAM et MAM hérités.
-
Citrix ADC est recommandé pour l’équilibrage de charge. Pour plus d’informations, consultez le point Citrix ADC plus haut dans cet article sous « MDM ».
Important :
Pour l’inscription initiale, le trafic des appareils utilisateur s’authentifie sur le serveur XenMobile, que vous configuriez les serveurs virtuels d’équilibrage de charge en déchargement SSL ou en pont SSL.
Décisions de conception
Les sections suivantes résument les nombreuses décisions de conception à prendre en compte lors de la planification d’une intégration de Citrix Gateway avec XenMobile.
Licences et édition
Détails de la décision :
- Quelle édition de Citrix ADC prévoyez-vous d’utiliser ?
- Avez-vous appliqué des licences de plateforme à Citrix ADC ?
- Si vous avez besoin de la fonctionnalité MAM, avez-vous appliqué les licences d’accès universel Citrix ADC ?
Conseils de conception :
Assurez-vous d’appliquer les licences appropriées à Citrix Gateway. Si vous utilisez le connecteur Citrix Gateway™ pour Exchange ActiveSync, la mise en cache intégrée peut être requise. Par conséquent, vous devez vous assurer que l’édition Citrix ADC appropriée est en place.
Les exigences de licence pour activer les fonctionnalités de Citrix ADC sont les suivantes.
- L’équilibrage de charge XenMobile MDM nécessite au minimum une licence de plateforme standard Citrix ADC.
- L’équilibrage de charge ShareFile avec contrôleur de zones de stockage nécessite au minimum une licence de plateforme standard Citrix ADC.
- L’édition avancée de XenMobile (sur site) ou Citrix Endpoint Management™ (cloud) inclut les licences universelles Citrix Gateway requises pour MAM.
- L’équilibrage de charge Exchange nécessite une licence de plateforme Citrix ADC Platinum ou une licence de plateforme Citrix ADC Enterprise avec l’ajout d’une licence de mise en cache intégrée.
Version de Citrix ADC pour XenMobile
Détails de la décision :
- Quelle version de Citrix ADC est exécutée dans l’environnement XenMobile ?
- Avez-vous besoin d’une instance distincte ?
Conseils de conception :
Citrix recommande d’utiliser une instance dédiée de Citrix ADC pour votre serveur virtuel Citrix Gateway. Assurez-vous que la version et la build minimales requises de Citrix ADC sont utilisées pour l’environnement XenMobile. Généralement, il est préférable d’utiliser la dernière version et build compatible de Citrix ADC pour XenMobile. Si la mise à niveau de Citrix Gateway affectait votre environnement existant, une deuxième instance dédiée pour XenMobile pourrait être appropriée.
Si vous prévoyez de partager une instance Citrix ADC pour XenMobile et d’autres applications qui utilisent des connexions VPN, assurez-vous de disposer de suffisamment de licences VPN pour les deux. Gardez à l’esprit que les environnements de test et de production XenMobile ne peuvent pas partager une instance Citrix ADC.
Certificats
Détails de la décision :
- Exigez-vous un degré de sécurité plus élevé pour l’inscription et l’accès à l’environnement XenMobile ?
- LDAP n’est-il pas une option ?
Conseils de conception :
La configuration par défaut de XenMobile est l’authentification par nom d’utilisateur et mot de passe. Pour ajouter une autre couche de sécurité pour l’inscription et l’accès à l’environnement XenMobile, envisagez d’utiliser l’authentification basée sur des certificats. Vous pouvez utiliser des certificats avec LDAP pour l’authentification à deux facteurs, offrant un degré de sécurité plus élevé sans avoir besoin d’un serveur RSA.
Si vous n’autorisez pas LDAP et utilisez des cartes à puce ou des méthodes similaires, la configuration des certificats vous permet de représenter une carte à puce pour XenMobile. Les utilisateurs s’inscrivent ensuite à l’aide d’un code PIN unique que XenMobile génère pour eux. Une fois qu’un utilisateur a accès, XenMobile crée et déploie le certificat utilisé pour s’authentifier auprès de l’environnement XenMobile.
XenMobile prend en charge la liste de révocation de certificats (CRL) uniquement pour une autorité de certification tierce. Si vous avez configuré une autorité de certification Microsoft, XenMobile utilise Citrix ADC pour gérer la révocation. Lorsque vous configurez l’authentification basée sur un certificat client, déterminez si vous devez configurer le paramètre de liste de révocation de certificats (CRL) de Citrix ADC Activer l’actualisation automatique de la CRL. Cette étape garantit que l’utilisateur d’un appareil inscrit uniquement en mode MAM ne peut pas s’authentifier à l’aide d’un certificat existant sur l’appareil. XenMobile réémet un nouveau certificat, car il ne restreint pas un utilisateur de générer un certificat utilisateur si l’un est révoqué. Ce paramètre augmente la sécurité des entités PKI lorsque la CRL vérifie les entités PKI expirées.
Topologie réseau
Détails de la décision :
- Quelle topologie Citrix ADC est requise ?
Conseils de conception :
Citrix recommande d’utiliser une instance Citrix ADC pour XenMobile. Cependant, vous pourriez ne pas vouloir que le trafic passe du réseau interne vers la DMZ. Dans ce cas, envisagez de configurer une instance supplémentaire de Citrix ADC. Utilisez une instance Citrix ADC pour les utilisateurs internes et une pour les utilisateurs externes. Lorsque les utilisateurs basculent entre les réseaux interne et externe, la mise en cache des enregistrements DNS peut entraîner une augmentation des invites de connexion Secure Hub.
XenMobile ne prend pas en charge le double saut Citrix Gateway.
VIP Citrix Gateway dédiées ou partagées
Détails de la décision :
- Utilisez-vous actuellement Citrix Gateway pour Virtual Apps and Desktops ?
- Prévoyez-vous que XenMobile utilise le même Citrix Gateway que Virtual Apps and Desktops ?
- Quelles sont les exigences d’authentification pour les deux flux de trafic ?
Conseils de conception :
Lorsque votre environnement Citrix inclut XenMobile, ainsi que Virtual Apps and Desktops, vous pouvez utiliser la même instance Citrix ADC et le même serveur virtuel Citrix Gateway pour les deux. En raison de conflits de version potentiels et de l’isolation de l’environnement, une instance Citrix ADC dédiée et un Citrix Gateway sont recommandés pour chaque environnement XenMobile. Cependant, si une instance Citrix ADC dédiée n’est pas une option, Citrix recommande d’utiliser un serveur virtuel Citrix Gateway dédié pour séparer les flux de trafic pour Secure Hub. Cette configuration remplace un serveur virtuel partagé entre XenMobile et Virtual Apps and Desktops.
Si vous utilisez l’authentification LDAP, Receiver et Secure Hub peuvent s’authentifier auprès du même Citrix Gateway sans problème. Si vous utilisez l’authentification basée sur des certificats, XenMobile pousse un certificat dans le conteneur MDX et Secure Hub utilise le certificat pour s’authentifier auprès de Citrix Gateway. Receiver est séparé de Secure Hub et ne peut pas utiliser le même certificat que Secure Hub pour s’authentifier auprès du même Citrix Gateway.
Vous pouvez envisager la solution de contournement suivante, qui vous permet d’utiliser le même FQDN pour deux VIP Citrix Gateway.
- Créez deux VIP Citrix Gateway avec la même adresse IP. La VIP pour Secure Hub utilise le port standard 443 et la VIP pour Virtual Apps and Desktops (qui déploient Receiver) utilise le port 444.
- En conséquence, un FQDN se résout à la même adresse IP.
- Pour cette solution de contournement, vous pouvez configurer StoreFront™ pour renvoyer un fichier ICA pour le port 444, au lieu du port par défaut, 443. Cette solution de contournement ne nécessite pas que les utilisateurs saisissent un numéro de port.
Délais d’expiration de Citrix Gateway
Détails de la décision :
- Comment souhaitez-vous configurer les délais d’expiration de Citrix Gateway pour le trafic XenMobile ?
Conseils de conception :
Citrix Gateway inclut les paramètres Délai d’expiration de session et Délai d’expiration forcé. Pour plus de détails, consultez Configurations recommandées. Gardez à l’esprit qu’il existe différentes valeurs de délai d’expiration pour les services d’arrière-plan, Citrix ADC et pour l’accès aux applications hors ligne.
Adresse IP de l’équilibreur de charge XenMobile pour MAM
Détails de la décision :
- Utilisez-vous des adresses IP internes ou externes pour les VIP ?
Conseils de conception :
Dans les environnements où vous pouvez utiliser des adresses IP publiques pour les VIP Citrix Gateway, l’attribution de la VIP et de l’adresse d’équilibrage de charge XenMobile de cette manière entraîne des échecs d’inscription.
Assurez-vous que la VIP d’équilibrage de charge utilise une IP interne pour éviter les échecs d’inscription dans ce scénario. Cette adresse IP virtuelle doit suivre la norme RFC 1918 des adresses IP privées. Si vous utilisez une adresse IP non privée pour ce serveur virtuel, le Citrix ADC ne peut pas contacter le serveur XenMobile avec succès pendant le processus d’authentification. Pour plus de détails, consultez https://support.citrix.com/article/CTX200430.
Mécanisme d’équilibrage de charge MDM
Détails de la décision :
- Comment Citrix Gateway va-t-il équilibrer la charge des serveurs XenMobile ?
Conseils de conception :
Utilisez SSL Bridge si XenMobile se trouve dans la DMZ. Utilisez SSL Offload, si nécessaire pour répondre aux normes de sécurité, lorsque XenMobile se trouve dans le réseau interne.
- Lorsque vous équilibrez la charge du serveur XenMobile avec des VIP Citrix ADC en mode SSL Bridge, le trafic Internet circule directement vers le serveur XenMobile, où les connexions se terminent. Le mode SSL Bridge est le mode le plus simple à configurer et à dépanner.
- Lorsque vous équilibrez la charge du serveur XenMobile avec des VIP Citrix ADC en mode SSL Offload, le trafic Internet circule directement vers Citrix ADC, où les connexions se terminent. Citrix ADC établit ensuite de nouvelles sessions de Citrix ADC vers le serveur XenMobile. Le mode SSL Offload implique une complexité supplémentaire lors de la configuration et du dépannage.
Port de service pour l’équilibrage de charge MDM avec déchargement SSL
Détails de la décision :
- Si vous prévoyez d’utiliser le mode SSL Offload pour l’équilibrage de charge, quel port le service back-end utilisera-t-il ?
Conseils de conception :
Pour le déchargement SSL, choisissez le port 80 ou 8443 comme suit :
- Utilisez le port 80 vers le serveur XenMobile, pour un véritable déchargement.
- Le chiffrement de bout en bout, c’est-à-dire le rechiffrement du trafic, n’est pas pris en charge. Pour plus de détails, consultez l’article de support Citrix, Architectures prises en charge entre NetScaler et XenMobile Server.
FQDN d’inscription
Détails de la décision :
- Qu’envisagez-vous d’utiliser comme FQDN pour l’inscription et le VIP d’équilibrage de charge/instance XenMobile ?
Conseils de conception :
La configuration initiale du premier serveur XenMobile dans un cluster nécessite que vous fournissiez le FQDN du serveur XenMobile. Ce FQDN doit correspondre à l’URL de votre VIP MDM et à l’URL de votre VIP MAM LB interne. (Un enregistrement d’adresse Citrix ADC interne résout le VIP MAM LB.) Pour plus de détails, consultez la section « FQDN d’inscription pour chaque mode de gestion » plus loin dans cet article.
De plus, vous devez utiliser le même certificat que les suivants :
- Certificat d’écoute SSL XenMobile
- Certificat VIP MAM LB interne
- Certificat VIP MDM (si vous utilisez le déchargement SSL pour le VIP MDM)
Important :
Une fois que vous avez configuré le FQDN d’inscription, vous ne pouvez plus le modifier. Un nouveau FQDN d’inscription nécessite une nouvelle base de données SQL Server et une reconstruction du serveur XenMobile.
Trafic Secure Web
Détails de la décision :
- Envisagez-vous de limiter Secure Web à la navigation web interne uniquement ?
- Envisagez-vous d’activer Secure Web pour la navigation web interne et externe ?
Conseils de conception :
Si vous prévoyez d’utiliser Secure Web uniquement pour la navigation web interne, la configuration de Citrix Gateway est simple. Secure Web doit atteindre tous les sites internes par défaut. Vous devrez peut-être configurer des pare-feu et des serveurs proxy.
Si vous prévoyez d’utiliser Secure Web pour la navigation interne et externe, vous devez activer le SNIP pour qu’il ait un accès Internet sortant. Le service informatique considère généralement les appareils inscrits (utilisant le conteneur MDX) comme une extension du réseau d’entreprise. Ainsi, le service informatique souhaite généralement que les connexions Secure Web reviennent à Citrix ADC, passent par un serveur proxy, puis accèdent à Internet. Par défaut, Secure Web utilise un tunnel VPN par application vers le réseau interne pour tout accès réseau. Citrix ADC utilise les paramètres de tunnel fractionné.
Pour une discussion sur les connexions Secure Web, consultez Configuration des connexions utilisateur.
Notifications push pour Secure Mail
Détails de la décision :
- Envisagez-vous d’utiliser les notifications push ?
Conseils de conception pour iOS :
Votre configuration Citrix Gateway peut inclure Secure Ticket Authority (STA), avec le tunnel fractionné désactivé. Citrix Gateway doit autoriser le trafic de Secure Mail vers les URL du service d’écoute Citrix spécifiées dans les notifications push pour Secure Mail pour iOS.
Conseils de conception pour Android :
Utilisez Firebase Cloud Messaging (FCM) pour contrôler comment et quand les appareils Android doivent se connecter à XenMobile. Avec FCM configuré, toute action de sécurité ou commande de déploiement déclenche une notification push vers Secure Hub pour inviter l’utilisateur à se reconnecter au serveur XenMobile.
STA HDX™
Détails de la décision :
- Quels STA utiliser si vous prévoyez d’intégrer l’accès aux applications HDX ?
Conseils de conception :
Les STA HDX doivent correspondre aux STA de StoreFront et doivent être valides pour la batterie de serveurs Virtual Apps and Desktops.
Citrix Files et ShareFile
Détails de la décision :
- Envisagez-vous d’utiliser des contrôleurs de zone de stockage dans l’environnement ?
- Quelle URL VIP Citrix Files prévoyez-vous d’utiliser ?
Conseils de conception :
Si vous incluez des contrôleurs de zone de stockage dans votre environnement, assurez-vous de configurer correctement les éléments suivants :
- VIP de commutation Citrix Files (utilisé par le plan de contrôle Citrix Files pour communiquer avec les serveurs du contrôleur de zone de stockage)
- VIP d’équilibrage de charge Citrix Files
- Toutes les stratégies et tous les profils requis
Pour plus d’informations, consultez la documentation du contrôleur de zone de stockage.
IdP SAML
Détails de la décision :
- Si SAML est requis pour Citrix Files, souhaitez-vous utiliser XenMobile comme IdP SAML ?
Conseils de conception :
La meilleure pratique recommandée consiste à intégrer Citrix Files à XenMobile Advanced Edition ou XenMobile Advanced Edition (sur site) ou Citrix Endpoint Management (cloud), une alternative plus simple à la configuration de la fédération basée sur SAML. Lorsque vous utilisez Citrix Files avec ces éditions de XenMobile, XenMobile fournit à Citrix Files :
- L’authentification par authentification unique (SSO) des utilisateurs d’applications de productivité mobiles
- L’approvisionnement de comptes utilisateur basé sur Active Directory
- Des stratégies de contrôle d’accès complètes
La console XenMobile vous permet d’effectuer la configuration de Citrix Files et de surveiller les niveaux de service et l’utilisation des licences.
Il existe deux types de clients Citrix Files : les clients Citrix Files pour XenMobile (également appelés Citrix Files encapsulés) et les clients mobiles Citrix Files (également appelés Citrix Files non encapsulés). Pour comprendre les différences, consultez Comment les clients Citrix Files pour XenMobile diffèrent des clients mobiles Citrix Files.
Vous pouvez configurer XenMobile et ShareFile pour utiliser SAML afin de fournir un accès SSO à :
- Applications mobiles Citrix Files
- Clients Citrix Files non encapsulés, tels que le site web, le plug-in Outlook ou les clients de synchronisation
Pour utiliser XenMobile comme IdP SAML pour Citrix Files, assurez-vous que les configurations appropriées sont en place. Pour plus de détails, consultez SAML pour l’authentification unique avec Citrix Files.
Connexions directes ShareConnect
Détails de la décision :
- Les utilisateurs doivent-ils accéder à un ordinateur hôte à partir d’un ordinateur ou d’un appareil mobile exécutant ShareConnect à l’aide de connexions directes ?
Conseils de conception :
ShareConnect permet aux utilisateurs de se connecter en toute sécurité à leurs ordinateurs via des iPad, des tablettes Android et des téléphones Android pour accéder à leurs fichiers et applications. Pour les connexions directes, XenMobile utilise Citrix Gateway pour fournir un accès sécurisé aux ressources en dehors du réseau local. Pour les détails de configuration, consultez ShareConnect.
FQDN d’inscription pour chaque mode de gestion
| Mode de gestion | FQDN d’inscription |
| Entreprise (MDM+MAM) avec inscription MDM obligatoire | FQDN du serveur XenMobile |
| Entreprise (MDM+MAM) avec inscription MDM facultative | FQDN du serveur XenMobile ou FQDN de Citrix Gateway |
| MDM uniquement | FQDN du serveur XenMobile |
| MAM uniquement (hérité) | FQDN de Citrix Gateway |
| MAM uniquement | FQDN du serveur XenMobile |
Résumé du déploiement
Citrix vous recommande d’utiliser l’assistant Citrix ADC pour XenMobile afin de garantir une configuration correcte. Vous ne pouvez utiliser l’assistant qu’une seule fois. Si vous disposez de plusieurs instances XenMobile, par exemple pour des environnements de test, de développement et de production, vous devez configurer Citrix ADC manuellement pour les environnements supplémentaires. Lorsque vous disposez d’un environnement fonctionnel, prenez note des paramètres avant de tenter de configurer Citrix ADC manuellement pour XenMobile.
La décision clé que vous prenez lors de l’utilisation de l’assistant est de savoir si vous utilisez HTTPS ou HTTP pour la communication avec le serveur XenMobile. HTTPS fournit une communication back-end sécurisée, car le trafic entre Citrix ADC et XenMobile est chiffré. Le rechiffrement a un impact sur les performances du serveur XenMobile. HTTP offre de meilleures performances au serveur XenMobile. Le trafic entre Citrix ADC et XenMobile n’est pas chiffré. Les tableaux suivants présentent les exigences de port HTTP et HTTPS pour Citrix ADC et le serveur XenMobile.
HTTPS
Citrix recommande généralement SSL Bridge pour les configurations de serveur virtuel MDM de Citrix ADC. Pour l’utilisation du déchargement SSL de Citrix ADC avec les serveurs virtuels MDM, XenMobile ne prend en charge que le port 80 comme service back-end.
| Mode de gestion | Méthode d’équilibrage de charge Citrix ADC | Rechiffrement SSL | Port du serveur XenMobile |
| MDM | SSL Bridge | N/A | 443, 8443 |
| MAM | SSL Offload | Activé | 8443 |
| Entreprise | MDM : SSL Bridge | N/A | 443, 8443 |
| Entreprise | MAM : SSL Offload | Activé | 8443 |
HTTP
| Mode de gestion | Méthode d’équilibrage de charge Citrix ADC | Rechiffrement SSL | Port du serveur XenMobile |
| MDM | SSL Offload | Non pris en charge | 80 |
| MAM | SSL Offload | Activé | 8443 |
| Entreprise | MDM : SSL Offload | Non pris en charge | 80 |
| Entreprise | MAM : SSL Offload | Activé | 8443 |
Pour les diagrammes de Citrix Gateway dans les déploiements XenMobile, consultez Architecture de référence pour les déploiements sur site.