集成 Citrix Gateway 和 Citrix ADC
当与 XenMobile® 集成时,Citrix Gateway 为 MAM 设备提供了一种身份验证机制,用于远程设备访问内部网络。此集成使移动生产力应用程序能够通过微型 VPN 连接到内网中的企业服务器。微型 VPN 是从移动设备上的应用程序到 Citrix Gateway 创建的。Citrix Gateway 为访问所有企业资源提供微型 VPN 路径,并提供强大的多重身份验证支持。
在以下情况下,所有 XenMobile Server 设备模式都需要 Citrix ADC 负载平衡:
- 如果您有多个 XenMobile Server
- 或者,如果 XenMobile Server 位于您的 DMZ 或内部网络中(因此流量从设备流向 Citrix ADC 再流向 XenMobile)
XenMobile Server 模式的集成要求
Citrix Gateway 和 Citrix ADC 的集成要求因 XenMobile Server 模式(MAM、MDM 和 ENT)而异。
MAM
在 MAM 模式下使用 XenMobile Server:
- 需要 Citrix Gateway。Citrix Gateway 为访问所有企业资源提供微型 VPN 路径,并提供强大的多重身份验证支持。
-
建议使用 Citrix ADC 进行负载平衡。
Citrix 建议您以高可用性配置部署 XenMobile,这需要在 XenMobile 前面部署一个负载平衡器。有关详细信息,请参阅关于 MAM 和旧版 MAM 模式。
MDM
在 MDM 模式下使用 XenMobile Server:
- 不需要 Citrix Gateway。对于 MDM 部署,Citrix 建议使用 Citrix Gateway 进行移动设备 VPN。
-
建议使用 Citrix ADC 来提高安全性和进行负载平衡。
Citrix 建议您在 XenMobile Server 前面部署 Citrix ADC 设备,以提高安全性和进行负载平衡。对于在 DMZ 中部署 XenMobile 的标准部署,Citrix 建议使用适用于 XenMobile 的 Citrix ADC 向导以及 SSL Bridge 模式下的 XenMobile Server 负载平衡。您还可以考虑在以下部署中使用 SSL Offload:
- XenMobile Server 位于内部网络而非 DMZ 中。
- 或者您的安全团队需要 SSL Bridge 配置。
Citrix 不建议通过 NAT 或现有第三方代理或负载平衡器将 XenMobile Server 暴露给 Internet 以用于 MDM。即使 SSL 流量在 XenMobile Server(SSL Bridge)上终止,这些配置也可能带来潜在的安全风险。
对于高安全性环境,具有默认 XenMobile 配置的 Citrix ADC 符合或超出安全要求。
对于具有最高安全需求的 MDM 环境,在 Citrix ADC 上终止 SSL 允许您在边界检查流量,同时保持端到端 SSL 加密。有关详细信息,请参阅安全要求。Citrix ADC 提供了定义 SSL/TLS 密码和 SSL FIPS Citrix ADC 硬件的选项。
ENT (MAM+MDM)
在 ENT 模式下使用 XenMobile Server:
-
需要 Citrix Gateway。Citrix Gateway 为访问所有企业资源提供微型 VPN 路径,并提供强大的多重身份验证支持。
当 XenMobile Server 模式为 ENT 且用户选择退出 MDM 注册时,设备将以旧版 MAM 模式运行。在旧版 MAM 模式下,设备使用 Citrix Gateway FQDN 进行注册。有关详细信息,请参阅关于 MAM 和旧版 MAM 模式。
-
建议使用 Citrix ADC 进行负载平衡。有关详细信息,请参阅本文前面“MDM”下的 Citrix ADC 要点。
重要提示:
对于初始注册,无论您将负载平衡虚拟服务器配置为 SSL Offload 还是 SSL Bridge,来自用户设备的流量都会在 XenMobile Server 上进行身份验证。
设计决策
以下部分总结了规划 Citrix Gateway 与 XenMobile 集成时要考虑的许多设计决策。
许可和版本
决策详情
- 您计划使用哪个版本的 Citrix ADC?
- 您是否已将平台许可证应用于 Citrix ADC?
- 如果您需要 MAM 功能,是否已应用 Citrix ADC 通用访问许可证?
设计指导
确保您将正确的许可证应用于 Citrix Gateway。如果您正在使用适用于 Exchange ActiveSync 的 Citrix Gateway 连接器™,则可能需要集成缓存。因此,您必须确保已安装适当的 Citrix ADC 版本。
启用 Citrix ADC 功能的许可证要求如下。
- XenMobile MDM 负载平衡至少需要 Citrix ADC 标准平台许可证。
- 使用存储区域控制器进行 ShareFile 负载平衡至少需要 Citrix ADC 标准平台许可证。
- XenMobile Advanced Edition(本地)或 Citrix Endpoint Management™(云)包含 MAM 所需的 Citrix Gateway 通用许可证。
- Exchange 负载平衡需要 Citrix ADC Platinum 平台许可证或 Citrix ADC Enterprise 平台许可证,并额外包含集成缓存许可证。
适用于 XenMobile 的 Citrix ADC 版本
决策详情
- 在 XenMobile 环境中运行的 Citrix ADC 版本是什么?
- 您是否需要单独的实例?
设计指导
Citrix 建议为您的 Citrix Gateway 虚拟服务器使用专用的 Citrix ADC 实例。请确保 XenMobile 环境中使用的 Citrix ADC 版本和内部版本号符合最低要求。通常,最好使用与 XenMobile 兼容的最新 Citrix ADC 版本和内部版本号。如果升级 Citrix Gateway 会影响您现有环境,则为 XenMobile 使用第二个专用实例可能更合适。
如果您计划为 XenMobile 和其他使用 VPN 连接的应用程序共享一个 Citrix ADC 实例,请确保您有足够的 VPN 许可证。请记住,XenMobile 测试环境和生产环境不能共享一个 Citrix ADC 实例。
证书
决策详情
- 您是否需要更高程度的安全性来注册和访问 XenMobile 环境?
- LDAP 是否不是一个选项?
设计指导
XenMobile 的默认配置是用户名和密码身份验证。为了为注册和访问 XenMobile 环境增加另一层安全性,请考虑使用基于证书的身份验证。您可以将证书与 LDAP 结合使用进行双因素身份验证,从而在不需要 RSA 服务器的情况下提供更高程度的安全性。
如果您不允许 LDAP 并使用智能卡或类似方法,则配置证书可让您向 XenMobile 表示智能卡。然后,用户使用 XenMobile 为他们生成的唯一 PIN 进行注册。用户获得访问权限后,XenMobile 会创建并部署用于向 XenMobile 环境进行身份验证的证书。
XenMobile 仅支持第三方证书颁发机构的证书吊销列表 (CRL)。如果您配置了 Microsoft CA,XenMobile 会使用 Citrix ADC 来管理吊销。当您配置基于客户端证书的身份验证时,请考虑是否需要配置 Citrix ADC 证书吊销列表 (CRL) 设置 Enable CRL Auto Refresh。此步骤可确保仅在 MAM 中注册的设备用户无法使用设备上的现有证书进行身份验证。XenMobile 会重新颁发新证书,因为它不限制用户在证书被吊销时生成用户证书。当 CRL 检查过期的 PKI 实体时,此设置会提高 PKI 实体的安全性。
网络拓扑
决策详情
- 需要哪种 Citrix ADC 拓扑?
设计指导
Citrix 建议为 XenMobile 使用一个 Citrix ADC 实例。但是,您可能不希望流量从内部网络流向 DMZ。在这种情况下,请考虑设置一个额外的 Citrix ADC 实例。为内部用户使用一个 Citrix ADC 实例,为外部用户使用一个。当用户在内部网络和外部网络之间切换时,DNS 记录缓存可能会导致 Secure Hub 登录提示增加。
XenMobile 不支持 Citrix Gateway 双跳。
专用或共享 Citrix Gateway VIP
决策详情
- 您目前是否将 Citrix Gateway 用于 Virtual Apps and Desktops?
- 您是否计划让 XenMobile 使用与 Virtual Apps and Desktops 相同的 Citrix Gateway?
- 两种流量流的身份验证要求是什么?
设计指导
当您的 Citrix 环境包含 XenMobile 和 Virtual Apps and Desktops 时,您可以为两者使用相同的 Citrix ADC 实例和 Citrix Gateway 虚拟服务器。由于潜在的版本冲突和环境隔离,建议为每个 XenMobile 环境使用专用的 Citrix ADC 实例和 Citrix Gateway。但是,如果专用 Citrix ADC 实例不是一个选项,Citrix 建议使用专用的 Citrix Gateway 虚拟服务器来分离 Secure Hub 的流量流。此配置取代了 XenMobile 和 Virtual Apps and Desktops 之间共享的虚拟服务器。
如果您使用 LDAP 身份验证,Receiver 和 Secure Hub 可以毫无问题地向同一个 Citrix Gateway 进行身份验证。如果您使用基于证书的身份验证,XenMobile 会在 MDX 容器中推送证书,Secure Hub 使用该证书向 Citrix Gateway 进行身份验证。Receiver 与 Secure Hub 是独立的,不能使用与 Secure Hub 相同的证书向同一个 Citrix Gateway 进行身份验证。
您可以考虑以下变通方法,它允许您为两个 Citrix Gateway VIP 使用相同的 FQDN。
- 创建两个具有相同 IP 地址的 Citrix Gateway VIP。Secure Hub 的 VIP 使用标准 443 端口,Virtual Apps and Desktops(部署 Receiver 的)的 VIP 使用 444 端口。
- 因此,一个 FQDN 解析为相同的 IP 地址。
- 对于此变通方法,您可以将 StoreFront™ 配置为返回端口 444 的 ICA 文件,而不是默认的 443 端口。此变通方法不需要用户输入端口号。
Citrix Gateway 超时
决策详情
- 您希望如何配置 XenMobile 流量的 Citrix Gateway 超时?
设计指导
Citrix Gateway 包含“会话超时”和“强制超时”设置。有关详细信息,请参阅推荐配置。请记住,后台服务、Citrix ADC 以及离线访问应用程序的超时值是不同的。
适用于 MAM 的 XenMobile 负载平衡器 IP 地址
决策详情
- 您是否正在为 VIP 使用内部或外部 IP 地址?
设计指导
在可以使用公共 IP 地址作为 Citrix Gateway VIP 的环境中,以这种方式分配 XenMobile 负载平衡 VIP 和地址会导致注册失败。
确保负载平衡 VIP 使用内部 IP,以避免在此场景中出现注册失败。此虚拟 IP 地址必须遵循 RFC 1918 私有 IP 地址标准。如果您为此虚拟服务器使用非私有 IP 地址,Citrix ADC 将无法在身份验证过程中成功联系 XenMobile Server。有关详细信息,请参阅 https://support.citrix.com/article/CTX200430。
MDM 负载平衡机制
决策详情:
- Citrix Gateway 将如何对 XenMobile Server 进行负载平衡?
设计指导:
如果 XenMobile 位于 DMZ 中,请使用 SSL Bridge。如果 XenMobile 位于内部网络中,并且需要满足安全标准,请使用 SSL Offload。
- 当您使用 SSL Bridge 模式下的 Citrix ADC VIP 对 XenMobile Server 进行负载平衡时,Internet 流量将直接流向 XenMobile Server,并在该处终止连接。SSL Bridge 模式是设置和故障排除最简单的模式。
- 当您使用 SSL Offload 模式下的 Citrix ADC VIP 对 XenMobile Server 进行负载平衡时,Internet 流量将直接流向 Citrix ADC,并在该处终止连接。然后,Citrix ADC 会建立从 Citrix ADC 到 XenMobile Server 的新会话。SSL Offload 模式在设置和故障排除过程中涉及额外的复杂性。
适用于 MDM 负载平衡的 SSL Offload 服务端口
决策详情:
- 如果您计划将 SSL Offload 模式用于负载平衡,后端服务将使用哪个端口?
设计指导:
对于 SSL Offload,请按如下方式选择端口 80 或 8443:
- 使用端口 80 返回 XenMobile Server,以实现真正的卸载。
- 不支持端到端加密,即流量重新加密。有关详细信息,请参阅 Citrix 支持文章:NetScaler 和 XenMobile Server 之间支持的体系结构。
注册 FQDN
决策详情:
- 您计划将什么用作注册和 XenMobile 实例/负载平衡 VIP 的 FQDN?
设计指导:
群集中第一个 XenMobile Server 的初始配置要求您提供 XenMobile Server FQDN。该 FQDN 必须与您的 MDM VIP URL 和内部 MAM LB VIP URL 匹配。(内部 Citrix ADC 地址记录解析 MAM LB VIP。)有关详细信息,请参阅本文后面的“每种管理模式的注册 FQDN”。
此外,您必须使用与以下各项相同的证书:
- XenMobile SSL 侦听器证书
- 内部 MAM LB VIP 证书
- MDM VIP 证书(如果将 SSL Offload 用于 MDM VIP)
重要:
配置注册 FQDN 后,无法更改。新的注册 FQDN 需要新的 SQL Server 数据库和 XenMobile Server 重建。
Secure Web 流量
决策详情:
- 您是否计划将 Secure Web 限制为仅限内部 Web 浏览?
- 您是否计划为内部和外部 Web 浏览启用 Secure Web?
设计指导:
如果您计划仅将 Secure Web 用于内部 Web 浏览,则 Citrix Gateway 配置非常简单。Secure Web 必须默认访问所有内部站点。您可能需要配置防火墙和代理服务器。
如果您计划将 Secure Web 用于内部和外部浏览,则必须启用 SNIP 以便进行出站 Internet 访问。IT 通常将注册设备(使用 MDX 容器)视为公司网络的扩展。因此,IT 通常希望 Secure Web 连接返回到 Citrix ADC,通过代理服务器,然后出站到 Internet。默认情况下,Secure Web 使用每应用程序 VPN 隧道返回到内部网络以进行所有网络访问。Citrix ADC 使用拆分隧道设置。
有关 Secure Web 连接的讨论,请参阅配置用户连接。
Secure Mail 的推送通知
决策详情:
- 您是否计划使用推送通知?
适用于 iOS 的设计指导:
您的 Citrix Gateway 配置可能包括安全票证颁发机构 (STA),并关闭拆分隧道。Citrix Gateway 必须允许 Secure Mail 的流量流向 Secure Mail for iOS 的推送通知中指定的 Citrix 侦听器服务 URL。
适用于 Android 的设计指导:
使用 Firebase Cloud Messaging (FCM) 控制 Android 设备何时以及如何连接到 XenMobile。配置 FCM 后,任何安全操作或部署命令都会触发向 Secure Hub 发送推送通知,以提示用户重新连接到 XenMobile Server。
HDX™ STA
决策详情:
- 如果您计划集成 HDX 应用程序访问,应使用哪些 STA?
设计指导:
HDX STA 必须与 StoreFront 中的 STA 匹配,并且必须对 Virtual Apps and Desktops 场有效。
Citrix Files 和 ShareFile
决策详情:
- 您是否计划在环境中部署存储区域控制器?
- 您计划使用哪个 Citrix Files VIP URL?
设计指导:
如果您的环境中包含存储区域控制器,请确保正确配置以下各项:
- Citrix Files Switch VIP(由 Citrix Files 控制平面用于与存储区域控制器服务器通信)
- Citrix Files 负载平衡 VIP
- 所有必需的策略和配置文件
有关信息,请参阅存储区域控制器文档。
SAML IdP
决策详情:
- 如果 Citrix Files 需要 SAML,您是否希望将 XenMobile 用作 SAML IdP?
设计指导:
推荐的最佳实践是将 Citrix Files 与 XenMobile Advanced Edition 或 XenMobile Advanced Edition(本地)或 Citrix Endpoint Management(云)集成,这是一种比配置基于 SAML 的联合更简单的替代方案。当您将 Citrix Files 与这些 XenMobile 版本结合使用时,XenMobile 会为 Citrix Files 提供:
- 移动生产力应用程序用户的单点登录 (SSO) 身份验证
- 基于 Active Directory 的用户帐户预配
- 全面的访问控制策略
XenMobile 控制台使您能够执行 Citrix Files 配置并监视服务级别和许可证使用情况。
Citrix Files 客户端有两种类型:适用于 XenMobile 客户端的 Citrix Files(也称为封装的 Citrix Files)和 Citrix Files 移动客户端(也称为未封装的 Citrix Files)。要了解这些差异,请参阅适用于 XenMobile 客户端的 Citrix Files 与 Citrix Files 移动客户端有何不同。
您可以配置 XenMobile 和 ShareFile 以使用 SAML 提供对以下各项的 SSO 访问:
- Citrix Files 移动应用程序
- 未封装的 Citrix Files 客户端,例如网站、Outlook 插件或同步客户端
要将 XenMobile 用作 Citrix Files 的 SAML IdP,请确保已进行正确的配置。有关详细信息,请参阅适用于 Citrix Files 的 SAML SSO。
ShareConnect 直接连接
决策详情:
- 用户是否必须使用直接连接从运行 ShareConnect 的计算机或移动设备访问主机计算机?
设计指导:
ShareConnect 使用户能够通过 iPad、Android 平板电脑和 Android 手机安全地连接到其计算机,以访问其文件和应用程序。对于直接连接,XenMobile 使用 Citrix Gateway 提供对本地网络外部资源的安全访问。有关配置详细信息,请参阅 ShareConnect。
每种管理模式的注册 FQDN
| 管理模式 | 注册 FQDN |
| 具有强制 MDM 注册的企业(MDM+MAM) | XenMobile Server FQDN |
| 具有可选 MDM 注册的企业(MDM+MAM) | XenMobile Server FQDN 或 Citrix Gateway FQDN |
| 仅限 MDM | XenMobile Server FQDN |
| 仅限 MAM(旧版) | Citrix Gateway FQDN |
| 仅限 MAM | XenMobile Server FQDN |
部署摘要
Citrix 建议您使用 Citrix ADC for XenMobile 向导以确保正确配置。您只能使用该向导一次。如果您有多个 XenMobile 实例,例如用于测试、开发和生产环境,则必须手动配置 Citrix ADC 以用于其他环境。当您拥有正常运行的环境时,请在尝试手动配置 Citrix ADC 以用于 XenMobile 之前记下设置。
使用向导时做出的关键决策是使用 HTTPS 还是 HTTP 与 XenMobile Server 进行通信。HTTPS 提供安全的后端通信,因为 Citrix ADC 和 XenMobile 之间的流量已加密。重新加密会影响 XenMobile Server 性能。HTTP 提供更好的 XenMobile Server 性能。Citrix ADC 和 XenMobile 之间的流量未加密。下表显示了 Citrix ADC 和 XenMobile Server 的 HTTP 和 HTTPS 端口要求。
HTTPS
Citrix 通常建议将 SSL Bridge 用于 Citrix ADC MDM 虚拟服务器配置。对于 Citrix ADC SSL Offload 与 MDM 虚拟服务器结合使用,XenMobile 仅支持端口 80 作为后端服务。
| 管理模式 | Citrix ADC 负载平衡方法 | SSL 重新加密 | XenMobile 服务器端口 |
| MDM | SSL Bridge | 不适用 | 443、8443 |
| MAM | SSL Offload | 已启用 | 8443 |
| 企业 | MDM: SSL Bridge | 不适用 | 443、8443 |
| 企业 | MAM: SSL Offload | 已启用 | 8443 |
HTTP
| 管理模式 | Citrix ADC 负载平衡方法 | SSL 重新加密 | XenMobile 服务器端口 |
| MDM | SSL Offload | 不支持 | 80 |
| MAM | SSL Offload | 已启用 | 8443 |
| 企业 | MDM: SSL Offload | 不支持 | 80 |
| 企业 | MAM: SSL Offload | 已启用 | 8443 |
有关 XenMobile 部署中 Citrix Gateway 的图示,请参阅本地部署的参考体系结构。