Integração com Citrix Gateway e Citrix ADC
Quando integrado ao XenMobile®, o Citrix Gateway fornece um mecanismo de autenticação para acesso remoto de dispositivos à rede interna para dispositivos MAM. A integração permite que aplicativos de produtividade móvel se conectem a servidores corporativos na intranet por meio de uma micro VPN. A micro VPN é criada a partir dos aplicativos no dispositivo móvel para o Citrix Gateway. O Citrix Gateway fornece um caminho de micro VPN para acesso a todos os recursos corporativos e oferece suporte a autenticação multifator forte.
O balanceamento de carga do Citrix ADC é necessário para todos os modos de dispositivo do XenMobile Server nestes casos:
- Se você tiver vários XenMobile Servers
- Ou se o XenMobile Server estiver dentro da sua DMZ ou rede interna (e, portanto, o tráfego fluir dos dispositivos para o Citrix ADC e para o XenMobile)
Requisitos de integração para modos do XenMobile Server
Os requisitos de integração para Citrix Gateway e Citrix ADC diferem com base nos modos do XenMobile Server: MAM, MDM e ENT.
MAM
Com o XenMobile Server no modo MAM:
- O Citrix Gateway é necessário. O Citrix Gateway fornece um caminho de micro VPN para acesso a todos os recursos corporativos e oferece suporte a autenticação multifator forte.
-
O Citrix ADC é recomendado para balanceamento de carga.
A Citrix recomenda que você implante o XenMobile em uma configuração de alta disponibilidade, que exige um balanceador de carga na frente do XenMobile. Para obter detalhes, consulte Sobre os modos MAM e MAM herdado.
MDM
Com o XenMobile Server no modo MDM:
- O Citrix Gateway não é necessário. Para implantações de MDM, a Citrix recomenda o Citrix Gateway para VPN de dispositivos móveis.
-
O Citrix ADC é recomendado para segurança e balanceamento de carga.
A Citrix recomenda que você implante um appliance Citrix ADC na frente do XenMobile Server, para segurança e balanceamento de carga. Para implantações padrão com o XenMobile na DMZ, a Citrix recomenda o assistente Citrix ADC para XenMobile, juntamente com o balanceamento de carga do XenMobile Server no modo SSL Bridge. Você também pode considerar o SSL Offload para implantações em que:
- O XenMobile Server reside na rede interna em vez da DMZ.
- Ou sua equipe de segurança exige uma configuração de SSL Bridge.
A Citrix não recomenda expor o XenMobile Server à Internet via NAT ou proxies ou balanceadores de carga de terceiros existentes para MDM. Essas configurações representam um risco potencial de segurança, mesmo que o tráfego SSL termine no XenMobile Server (SSL Bridge).
Para ambientes de alta segurança, o Citrix ADC com a configuração padrão do XenMobile atende ou excede os requisitos de segurança.
Para ambientes MDM com as mais altas necessidades de segurança, o encerramento SSL no Citrix ADC permite inspecionar o tráfego no perímetro, mantendo a criptografia SSL de ponta a ponta. Para obter mais informações, consulte Requisitos de Segurança. O Citrix ADC oferece opções para definir cifras SSL/TLS e hardware SSL FIPS Citrix ADC.
ENT (MAM+MDM)
Com o XenMobile Server no modo ENT:
-
O Citrix Gateway é necessário. O Citrix Gateway fornece um caminho de micro VPN para acesso a todos os recursos corporativos e oferece suporte a autenticação multifator forte.
Quando o modo do XenMobile Server é ENT e um usuário opta por não se inscrever no MDM, o dispositivo opera no modo MAM herdado. No modo MAM herdado, os dispositivos se inscrevem usando o FQDN do Citrix Gateway. Para obter detalhes, consulte Sobre os modos MAM e MAM herdado.
-
O Citrix ADC é recomendado para balanceamento de carga. Para obter mais informações, consulte o ponto sobre Citrix ADC anteriormente neste artigo em “MDM”.
Importante:
Para o registro inicial, o tráfego dos dispositivos do usuário é autenticado no XenMobile Server, independentemente de você configurar servidores virtuais de balanceamento de carga para SSL Offload ou SSL Bridge.
Decisões de Design
As seções a seguir resumem as muitas decisões de design a serem consideradas ao planejar uma integração do Citrix Gateway com o XenMobile.
Licenciamento e edição
Detalhes da decisão:
- Qual edição do Citrix ADC você planeja usar?
- Você aplicou licenças de Plataforma ao Citrix ADC?
- Se você precisar da funcionalidade MAM, aplicou as Licenças de Acesso Universal do Citrix ADC?
Orientação de design:
Certifique-se de aplicar as licenças adequadas ao Citrix Gateway. Se você estiver usando o Citrix Gateway connector™ para Exchange ActiveSync, o cache integrado pode ser necessário. Portanto, você deve garantir que a edição apropriada do Citrix ADC esteja em vigor.
Os requisitos de licença para habilitar os recursos do Citrix ADC são os seguintes.
- O balanceamento de carga do XenMobile MDM requer uma licença de plataforma padrão do Citrix ADC no mínimo.
- O balanceamento de carga do ShareFile com o controlador de zonas de armazenamento requer uma licença de plataforma padrão do Citrix ADC no mínimo.
- O XenMobile Advanced Edition (On-premises) ou o Citrix Endpoint Management™ (nuvem) inclui as licenças universais do Citrix Gateway necessárias para MAM.
- O balanceamento de carga do Exchange requer uma licença de plataforma Citrix ADC Platinum ou uma licença de plataforma Citrix ADC Enterprise com a adição de uma licença de Cache Integrado.
Versão do Citrix ADC para XenMobile
Detalhes da decisão:
- Qual versão do Citrix ADC está sendo executada no ambiente XenMobile?
- Você precisa de uma instância separada?
Orientação de design:
A Citrix recomenda usar uma instância dedicada do Citrix ADC para seu servidor virtual Citrix Gateway. Certifique-se de que a versão e a compilação mínimas necessárias do Citrix ADC estejam em uso para o ambiente XenMobile. Normalmente, é melhor usar a versão e a compilação mais recentes compatíveis do Citrix ADC para XenMobile. Se a atualização do Citrix Gateway afetar seu ambiente existente, uma segunda instância dedicada para XenMobile pode ser apropriada.
Se você planeja compartilhar uma instância do Citrix ADC para XenMobile e outros aplicativos que usam conexões VPN, certifique-se de ter licenças VPN suficientes para ambos. Lembre-se de que os ambientes de teste e produção do XenMobile não podem compartilhar uma instância do Citrix ADC.
Certificados
Detalhes da decisão:
- Você precisa de um grau mais alto de segurança para registro e acesso ao ambiente XenMobile?
- O LDAP não é uma opção?
Orientação de design:
A configuração padrão para XenMobile é a autenticação por nome de usuário e senha. Para adicionar outra camada de segurança para registro e acesso ao ambiente XenMobile, considere usar a autenticação baseada em certificado. Você pode usar certificados com LDAP para autenticação de dois fatores, proporcionando um grau mais alto de segurança sem a necessidade de um servidor RSA.
Se você não permitir LDAP e usar cartões inteligentes ou métodos semelhantes, a configuração de certificados permite representar um cartão inteligente para o XenMobile. Os usuários então se registram usando um PIN exclusivo que o XenMobile gera para eles. Depois que um usuário tem acesso, o XenMobile cria e implanta o certificado usado para autenticar no ambiente XenMobile.
O XenMobile oferece suporte à Lista de Revogação de Certificados (CRL) apenas para uma Autoridade de Certificação de terceiros. Se você tiver uma CA da Microsoft configurada, o XenMobile usará o Citrix ADC para gerenciar a revogação. Ao configurar a autenticação baseada em certificado de cliente, considere se você precisa configurar a configuração da Lista de Revogação de Certificados (CRL) do Citrix ADC Enable CRL Auto Refresh. Esta etapa garante que o usuário de um dispositivo registrado apenas em MAM não possa autenticar usando um certificado existente no dispositivo. O XenMobile reemite um novo certificado, pois não restringe um usuário de gerar um certificado de usuário se um for revogado. Essa configuração aumenta a segurança das entidades PKI quando a CRL verifica entidades PKI expiradas.
Topologia de rede
Detalhes da decisão:
- Qual topologia do Citrix ADC é necessária?
Orientação de design:
A Citrix recomenda usar uma instância do Citrix ADC para XenMobile. No entanto, você pode não querer que o tráfego vá da rede interna para a DMZ. Nesse caso, considere configurar uma instância extra do Citrix ADC. Use uma instância do Citrix ADC para usuários internos e outra para usuários externos. Quando os usuários alternam entre as redes interna e externa, o cache de registros DNS pode resultar em um aumento nos prompts de logon do Secure Hub.
O XenMobile não oferece suporte a salto duplo do Citrix Gateway.
VIPs dedicados ou compartilhados do Citrix Gateway
Detalhes da decisão:
- Você usa atualmente o Citrix Gateway para Virtual Apps and Desktops?
- Você planeja que o XenMobile use o mesmo Citrix Gateway que o Virtual Apps and Desktops?
- Quais são os requisitos de autenticação para ambos os fluxos de tráfego?
Orientação de design:
Quando seu ambiente Citrix inclui XenMobile, além de Virtual Apps and Desktops, você pode usar a mesma instância do Citrix ADC e o servidor virtual Citrix Gateway para ambos. Devido a possíveis conflitos de versionamento e isolamento de ambiente, uma instância dedicada do Citrix ADC e do Citrix Gateway são recomendadas para cada ambiente XenMobile. No entanto, se uma instância dedicada do Citrix ADC não for uma opção, a Citrix recomenda usar um servidor virtual Citrix Gateway dedicado para separar os fluxos de tráfego para o Secure Hub. Essa configuração substitui um servidor virtual compartilhado entre XenMobile e Virtual Apps and Desktops.
Se você usar autenticação LDAP, o Receiver e o Secure Hub podem autenticar no mesmo Citrix Gateway sem problemas. Se você usar autenticação baseada em certificado, o XenMobile envia um certificado no contêiner MDX e o Secure Hub usa o certificado para autenticar com o Citrix Gateway. O Receiver é separado do Secure Hub e não pode usar o mesmo certificado que o Secure Hub para autenticar no mesmo Citrix Gateway.
Você pode considerar a seguinte solução alternativa, que permite usar o mesmo FQDN para dois VIPs do Citrix Gateway.
- Crie dois VIPs do Citrix Gateway com o mesmo endereço IP. O VIP para o Secure Hub usa a porta padrão 443 e o VIP para Virtual Apps and Desktops (que implantam o Receiver) usa a porta 444.
- Como resultado, um FQDN é resolvido para o mesmo endereço IP.
- Para esta solução alternativa, você pode configurar o StoreFront™ para retornar um arquivo ICA para a porta 444, em vez da porta padrão 443. Esta solução alternativa não exige que os usuários insiram um número de porta.
Tempos limite do Citrix Gateway
Detalhes da decisão:
- Como você deseja configurar os tempos limite do Citrix Gateway para o tráfego do XenMobile?
Orientação de design:
O Citrix Gateway inclui as configurações Tempo limite da sessão e Tempo limite forçado. Para obter detalhes, consulte Configurações Recomendadas. Lembre-se de que existem diferentes valores de tempo limite para serviços em segundo plano, Citrix ADC e para acessar aplicativos offline.
Endereço IP do balanceador de carga do XenMobile para MAM
Detalhes da decisão:
- Você está usando endereços IP internos ou externos para VIPs?
Orientação de design:
Em ambientes onde você pode usar endereços IP públicos para VIPs do Citrix Gateway, atribuir o VIP e o endereço de balanceamento de carga do XenMobile dessa maneira causa falhas de registro.
Certifique-se de que o VIP de balanceamento de carga use um IP interno para evitar falhas de registro neste cenário. Este endereço IP virtual deve seguir o padrão RFC 1918 de endereços IP privados. Se você usar um endereço IP não privado para este servidor virtual, o Citrix ADC não poderá entrar em contato com o XenMobile Server com sucesso durante o processo de autenticação. Para obter detalhes, consulte https://support.citrix.com/article/CTX200430.
Mecanismo de balanceamento de carga MDM
Detalhes da decisão:
- Como o Citrix Gateway fará o balanceamento de carga dos servidores XenMobile?
Orientação de design:
Use o SSL Bridge se o XenMobile estiver na DMZ. Use o SSL Offload, se necessário para atender aos padrões de segurança, quando o XenMobile estiver na rede interna.
- Ao fazer o balanceamento de carga do XenMobile Server com VIPs do Citrix ADC no modo SSL Bridge, o tráfego da Internet flui diretamente para o XenMobile Server, onde as conexões são encerradas. O modo SSL Bridge é o modo mais simples de configurar e solucionar problemas.
- Ao fazer o balanceamento de carga do XenMobile Server com VIPs do Citrix ADC no modo SSL Offload, o tráfego da Internet flui diretamente para o Citrix ADC, onde as conexões são encerradas. O Citrix ADC então estabelece novas sessões do Citrix ADC para o XenMobile Server. O modo SSL Offload envolve complexidade extra durante a configuração e a solução de problemas.
Porta de serviço para balanceamento de carga MDM com SSL Offload
Detalhes da decisão:
- Se você planeja usar o modo SSL Offload para balanceamento de carga, qual porta o serviço de back-end usará?
Orientação de design:
Para SSL Offload, escolha a porta 80 ou 8443 da seguinte forma:
- Use a porta 80 de volta para o XenMobile Server, para um verdadeiro offloading.
- A criptografia de ponta a ponta, ou seja, a recriptografia do tráfego, não é suportada. Para obter detalhes, consulte o artigo de suporte da Citrix, Supported Architectures Between NetScaler and XenMobile Server.
FQDN de registro
Detalhes da decisão:
- O que você planeja usar como FQDN para registro e VIP de balanceamento de carga/instância do XenMobile?
Orientação de design:
A configuração inicial do primeiro XenMobile Server em um cluster exige que você forneça o FQDN do XenMobile Server. Esse FQDN deve corresponder à sua URL VIP MDM e à sua URL VIP MAM LB Interna. (Um registro de endereço interno do Citrix ADC resolve o VIP MAM LB.) Para obter detalhes, consulte “FQDN de registro para cada modo de gerenciamento” mais adiante neste artigo.
Além disso, você deve usar o mesmo certificado que os seguintes:
- Certificado de ouvinte SSL do XenMobile
- Certificado VIP MAM LB Interno
- Certificado VIP MDM (se usar SSL Offload para VIP MDM)
Importante:
Depois de configurar o FQDN de registro, você não pode alterá-lo. Um novo FQDN de registro exige um novo banco de dados do SQL Server e a reconstrução do XenMobile Server.
Tráfego do Secure Web
Detalhes da decisão:
- Você planeja restringir o Secure Web apenas à navegação web interna?
- Você planeja habilitar o Secure Web para navegação web interna e externa?
Orientação de design:
Se você planeja usar o Secure Web apenas para navegação web interna, a configuração do Citrix Gateway é direta. O Secure Web deve alcançar todos os sites internos por padrão. Você pode precisar configurar firewalls e servidores proxy.
Se você planeja usar o Secure Web para navegação interna e externa, deve habilitar o SNIP para ter acesso à internet de saída. A TI geralmente vê os dispositivos registrados (usando o contêiner MDX) como uma extensão da rede corporativa. Assim, a TI normalmente quer que as conexões do Secure Web retornem ao Citrix ADC, passem por um servidor proxy e, em seguida, saiam para a Internet. Por padrão, o Secure Web usa um túnel VPN por aplicativo de volta à rede interna para todo o acesso à rede. O Citrix ADC usa configurações de túnel dividido.
Para uma discussão sobre as conexões do Secure Web, consulte Configuring User Connections.
Notificações push para Secure Mail
Detalhes da decisão:
- Você planeja usar notificações push?
Orientação de design para iOS:
Sua configuração do Citrix Gateway pode incluir o Secure Ticket Authority (STA), com tunelamento dividido desativado. O Citrix Gateway deve permitir o tráfego do Secure Mail para as URLs do serviço de ouvinte da Citrix especificadas em Notificações push para Secure Mail para iOS.
Orientação de design para Android:
Use o Firebase Cloud Messaging (FCM) para controlar como e quando os dispositivos Android precisam se conectar ao XenMobile. Com o FCM configurado, qualquer ação de segurança ou comando de implantação aciona uma notificação push para o Secure Hub para solicitar que o usuário se reconecte ao XenMobile Server.
STAs HDX™
Detalhes da decisão:
- Quais STAs usar se você planeja integrar o acesso a aplicativos HDX?
Orientação de design:
Os STAs HDX devem corresponder aos STAs no StoreFront e devem ser válidos para o farm do Virtual Apps and Desktops.
Citrix Files e ShareFile
Detalhes da decisão:
- Você planeja usar controladores de zona de armazenamento no ambiente?
- Qual URL VIP do Citrix Files você planeja usar?
Orientação de design:
Se você incluir controladores de zona de armazenamento em seu ambiente, certifique-se de configurar corretamente o seguinte:
- VIP de Switch do Citrix Files (usado pelo Plano de Controle do Citrix Files para se comunicar com os servidores do Controlador de zona de armazenamento)
- VIPs de Balanceamento de Carga do Citrix Files
- Todas as políticas e perfis necessários
Para obter informações, consulte a documentação do controlador de zonas de armazenamento.
IdP SAML
Detalhes da decisão:
- Se o SAML for necessário para o Citrix Files, você quer usar o XenMobile como o IdP SAML?
Orientação de design:
A melhor prática recomendada é integrar o Citrix Files com o XenMobile Advanced Edition ou XenMobile Advanced Edition (On-premises) ou Citrix Endpoint Management (cloud), uma alternativa mais simples para configurar a federação baseada em SAML. Ao usar o Citrix Files com essas edições do XenMobile, o XenMobile fornece ao Citrix Files:
- Autenticação de logon único (SSO) de usuários de aplicativos de produtividade móvel
- Provisionamento de contas de usuário baseado no Active Directory
- Políticas abrangentes de controle de acesso
O console do XenMobile permite que você realize a configuração do Citrix Files e monitore os níveis de serviço e o uso de licenças.
Existem dois tipos de clientes Citrix Files: clientes Citrix Files para XenMobile (também conhecidos como Citrix Files “wrapped”) e clientes móveis Citrix Files (também conhecidos como Citrix Files “unwrapped”). Para entender as diferenças, consulte How Citrix Files for XenMobile Clients differ from Citrix Files mobile clients.
Você pode configurar o XenMobile e o ShareFile para usar o SAML para fornecer acesso SSO a:
- Aplicativos móveis do Citrix Files
- Clientes Citrix Files “non-wrapped”, como o site, plug-in do Outlook ou clientes de sincronização
Para usar o XenMobile como o IdP SAML para o Citrix Files, certifique-se de que as configurações adequadas estejam em vigor. Para obter detalhes, consulte SAML for SSO with Citrix Files.
Conexões diretas do ShareConnect
Detalhes da decisão:
- Os usuários devem acessar um computador host de um computador ou dispositivo móvel executando o ShareConnect usando conexões diretas?
Orientação de design:
O ShareConnect permite que os usuários se conectem com segurança aos seus computadores por meio de iPads, tablets Android e telefones Android para acessar seus arquivos e aplicativos. Para conexões diretas, o XenMobile usa o Citrix Gateway para fornecer acesso seguro a recursos fora da rede local. Para obter detalhes de configuração, consulte ShareConnect.
FQDN de registro para cada modo de gerenciamento
| Modo de gerenciamento | FQDN de registro |
| Enterprise (MDM+MAM) com registro MDM obrigatório | XenMobile Server FQDN |
| Enterprise (MDM+MAM) com registro MDM opcional | XenMobile Server FQDN ou Citrix Gateway FQDN |
| Somente MDM | XenMobile Server FQDN |
| Somente MAM (legado) | Citrix Gateway FQDN |
| Somente MAM | XenMobile Server FQDN |
Resumo da Implantação
A Citrix recomenda que você use o assistente do Citrix ADC para XenMobile para garantir a configuração adequada. Você pode usar o assistente apenas uma vez. Se você tiver várias instâncias do XenMobile, como para ambientes de teste, desenvolvimento e produção, deverá configurar o Citrix ADC para os ambientes adicionais manualmente. Quando você tiver um ambiente funcionando, anote as configurações antes de tentar configurar o Citrix ADC manualmente para o XenMobile.
A decisão principal que você toma ao usar o assistente é se deve usar HTTPS ou HTTP para a comunicação com o XenMobile Server. O HTTPS fornece comunicação back-end segura, pois o tráfego entre o Citrix ADC e o XenMobile é criptografado. A recriptografia afeta o desempenho do XenMobile Server. O HTTP oferece melhor desempenho do XenMobile Server. O tráfego entre o Citrix ADC e o XenMobile não é criptografado. As tabelas a seguir mostram os requisitos de porta HTTP e HTTPS para o Citrix ADC e o XenMobile Server.
HTTPS
A Citrix geralmente recomenda o SSL Bridge para configurações de servidor virtual MDM do Citrix ADC. Para uso do SSL Offload do Citrix ADC com servidores virtuais MDM, o XenMobile suporta apenas a porta 80 como serviço de back-end.
| Modo de gerenciamento | Método de balanceamento de carga do Citrix ADC | Recriptografia SSL | Porta do servidor XenMobile |
| MDM | SSL Bridge | N/A | 443, 8443 |
| MAM | SSL Offload | Habilitado | 8443 |
| Enterprise | MDM: SSL Bridge | N/A | 443, 8443 |
| Enterprise | MAM: SSL Offload | Habilitado | 8443 |
HTTP
| Modo de gerenciamento | Método de balanceamento de carga do Citrix ADC | Recriptografia SSL | Porta do servidor XenMobile |
| MDM | SSL Offload | Não suportado | 80 |
| MAM | SSL Offload | Habilitado | 8443 |
| Enterprise | MDM: SSL Offload | Não suportado | 80 |
| Enterprise | MAM: SSL Offload | Habilitado | 8443 |
Para diagramas do Citrix Gateway em implantações do XenMobile, consulte Reference Architecture for On-Premises Deployments.