Integration in Citrix Gateway und Citrix ADC

Bei Integration in Endpoint Management bietet Citrix Gateway für MAM-Geräte einen Authentifizierungsmechanismus für den Remotezugriff auf das interne Netzwerk. Durch die Integration können mobile Citrix Produktivitätsapps über ein von den Apps auf dem Mobilgerät erstelltes Micro-VPN an Citrix Gateway auf Unternehmensserver im Intranet zugreifen.

Citrix Cloud Operations verwaltet den Citrix ADC-Lastausgleich.

Integrationsanforderungen nach Endpoint Management-Servermodus

Die Integrationsanforderungen für Citrix Gateway und Citrix ADC unterscheiden sich je nach den Endpoint Management-Servermodus (MAM, MDM oder ENT).

MAM

Für den Endpoint Management-Server im MAM-Modus gilt Folgendes:

  • Citrix Gateway ist erforderlich. Citrix Gateway bietet einen Micro-VPN-Pfad für den Zugriff auf alle Unternehmensressourcen und unterstützt eine starke, mehrstufige Authentifizierung.

MDM

Für den Endpoint Management-Server im MDM-Modus gilt Folgendes:

  • Citrix Gateway ist nicht erforderlich. Für MDM-Bereitstellungen empfiehlt Citrix die Verwendung von Citrix Gateway für VPNs für Mobilgeräte.

ENT (MAM+MDM)

Für den Endpoint Management-Server im ENT-Modus gilt Folgendes:

  • Citrix Gateway ist erforderlich. Citrix Gateway bietet einen Micro-VPN-Pfad für den Zugriff auf alle Unternehmensressourcen und unterstützt eine starke, mehrstufige Authentifizierung.

  • Wenn der Endpoint Management-Server im ENT-Modus ist und ein Benutzer die MDM-Registrierung abwählt, erfolgt die Geräteregistrierung per Citrix Gateway-FQDN.

Design-Entscheidungen

Nachfolgend finden Sie eine Zusammenfassung der zahlreichen Design-Entscheidungen, die bei der Planung einer Citrix Gateway-Integration in Endpoint Management getroffen werden müssen.

Zertifikate

Im Detail:

  • Benötigen Sie ein höheres Maß an Sicherheit für Registrierungen und den Zugriff auf die Endpoint Management-Umgebung?
  • Ist LDAP keine Option?

Designhilfe:

Standardmäßig ist Endpoint Management für die Authentifizierung per Benutzernamen und Kennwort konfiguriert. Als zusätzliche Sicherheitsstufe für die Registrierung bei und den Zugriff auf die Endpoint Management-Umgebung ist die zertifikatbasierte Authentifizierung in Betracht zu ziehen. Sie können Zertifikate mit LDAP für die zweistufige Authentifizierung verwenden und so ohne RSA-Server ein höheres Maß an Sicherheit gewährleisten.

Wenn Sie LDAP nicht zulassen und Smartcards oder ähnliche Methoden verwenden, können Sie durch Konfigurieren von Zertifikaten Endpoint Management eine Smartcard präsentieren. Die Benutzer registrieren sich in diesem Fall mit einer eindeutigen PIN, die von Endpoint Management generiert wird. Sobald ein Benutzer Zugriff hat, erstellt Endpoint Management das Zertifikat, das ab dann für die Authentifizierung bei der Endpoint Management-Umgebung verwendet wird, und stellt dieses bereit.

Endpoint Management unterstützt Zertifikatsperrlisten (CRL) nur für Drittanbieterzertifizierungsstellen. Wenn Sie eine Microsoft-Zertifizierungsstelle konfiguriert haben, wird in Endpoint Management zum Verwalten der Zertifikatsperre Citrix Gateway verwendet. Bedenken Sie beim Konfigurieren der Clientzertifikatauthentifizierung, ob Sie die Citrix Gateway-Einstellung für Zertifikatsperrlisten (CRL) Enable CRL Auto Refresh konfigurieren müssen. Dadurch wird verhindert, dass Benutzer von Geräten im Nur-MAM-Modus sich mit einem auf dem Gerät vorhandenen Zertifikat authentifizieren. Endpoint Management stellt ein neues Zertifikat aus, da die Generierung von Zertifikaten durch Benutzer nach Zertifikatsperre nicht unterbunden wird. Diese Einstellung erhöht die Sicherheit von PKI-Entitäten, wenn über die Zertifikatsperrliste auf abgelaufene PKI-Entitäten geprüft wird.

Dedizierte oder gemeinsam genutzt Citrix Gateway-VIPs

Im Detail:

  • Verwenden Sie zurzeit Citrix Gateway für Citrix Virtual Apps and Desktops?
  • Wird Endpoint Management dasselbe Citrix Gateway wie Citrix Virtual Apps and Desktops nutzen?
  • Welche Authentifizierungsanforderungen gelten für beide Datenströme?

Designhilfe:

Wenn Ihre Citrix Umgebung sowohl Endpoint Management als auch Virtual Apps and Desktops enthält, können Sie für beides denselben virtuellen Citrix Gateway-Server verwenden. Aufgrund möglicher Versionskonflikte und der Umgebungsisolierung wird ein dediziertes Citrix Gateway für jede Endpoint Management-Umgebung empfohlen.

Wenn Sie die LDAP-Authentifizierung verwenden, ist eine Authentifizierung von Citrix Workspace und Secure Hub bei demselben Citrix Gateway problemlos möglich. Bei Verwendung der zertifikatbasierten Authentifizierung überträgt Endpoint Management ein Zertifikat in den MDX-Container und Secure Hub verwendet das Zertifikat zur Authentifizierung beim Citrix Gateway. Die Workspace-App ist von Secure Hub getrennt und kann für die Authentifizierung bei demselben Citrix Gateway nicht dasselbe Zertifikat wie Secure Hub verwenden.

Mit folgendem Workaround können Sie denselben FQDN für zwei Citrix Gateway-VIPs verwenden: Sie können zwei identische Citrix Gateway-VIPs erstellen, wobei jedoch diejenige für Secure Hub den Standardport 443 und diejenige für Citrix Virtual Apps and Desktops (= Citrix Workspace-App-Bereitstellung) Port 444 verwendet. Ein FQDN wird dann in die gleiche IP-Adresse aufgelöst. Für diesen Workaround müssen Sie ggf. StoreFront so konfigurieren, dass eine ICA-Datei für Port 444 anstelle des Standardports 443 zurückgegeben wird. Der Workaround erfordert keine Eingabe einer Portnummer durch die Benutzer.

Citrix Gateway-Timeouts

Im Detail:

  • Wie möchten Sie die Citrix Gateway-Timeouts für den Endpoint Management-Datenverkehr konfigurieren?

Designhilfe:

Citrix Gateway enthält die Einstellungen “Session time-out” und “Forced time-out”. Weitere Informationen finden Sie unter Empfohlene Konfigurationen. Beachten Sie, dass es für Hintergrunddienste, Citrix Gateway und für den Offlinezugriff auf Anwendungen unterschiedliche Timeoutwerte gibt.

Registrierungs-FQDN

Wichtig:

Eine Änderung des Registrierungs-FQDN erfordert eine neue SQL Server-Datenbank und die Neuerstellung des Endpoint Management-Servers.

Secure Web-Datenverkehr

Im Detail:

  • Soll Secure Web auf das interne Webbrowsing beschränkt werden?
  • Soll Secure Web für das interne und das externe Webbrowsing aktiviert werden?

Designhilfe:

Wenn Sie Secure Web nur für das interne Browsing verwenden, ist die Citrix Gateway-Konfiguration einfach, sofern Secure Web standardmäßig alle internen Sites erreichen kann. Möglicherweise müssen Sie Firewalls und Proxyserver konfigurieren.

Wenn Sie Secure Web für das interne und das externe Browsing verwenden, müssen Sie für die SNIP ausgehenden Internetzugriff aktivieren. Da registrierte Geräte (mit dem MDX-Container) in der Regel als Erweiterung des Unternehmensnetzwerks angesehen werden, ist es normalerweise erwünscht, dass Secure Web-Verbindungen zu Citrix Gateway zurückgehen und über einen Proxyserver in das Internet führen. Für den Zugriff auf Secure Web wird standardmäßig ein Tunnel zum internen Netzwerk verwendet, daher wird pro Anwendung ein VPN-Tunnel zum internen Netzwerk für den gesamten Netzwerkzugriff zusammen mit Citrix Gateway Split-Tunnel-Einstellungen verwendet.

Eine Beschreibung von Secure Web-Verbindungen finden Sie unter Konfigurieren von Benutzerverbindungen.

Pushbenachrichtigungen für Secure Mail

Im Detail:

  • Möchten Sie Pushbenachrichtigungen verwenden?

Designhilfe für iOS:

Wenn die Citrix Gateway-Konfiguration Secure Ticket Authority (STA) umfasst und Split-Tunneling deaktiviert ist, muss Citrix Gateway Datenverkehr von Secure Mail zu den unter Pushbenachrichtigungen für Secure Mail für iOS angegebenen Citrix Listenerdienst-URLs zulassen.

Designhilfe für Android:

Steuern Sie mit Firebase Cloud Messaging (FCM), wie und wann Android-Geräte eine Verbindung zu Endpoint Management herstellen. Wenn FCM konfiguriert ist, lösen Sicherheitsaktionen oder Bereitstellungsbefehle eine Pushbenachrichtigung an Secure Hub aus, sodass der Benutzer aufgefordert wird, erneut eine Verbindung mit dem Endpoint Management-Server herzustellen.

HDX-STAs

Im Detail:

  • Welche STAs sollte man bei Integration des Zugriffs auf HDX-Anwendungen verwenden?

Designhilfe:

HDX STAs müssen mit den STAs in StoreFront übereinstimmen und für die Virtual Apps and Desktops-Site gültig sein.

Citrix Files und Citrix Content Collaboration

Im Detail:

  • Möchten Sie StorageZone Controller in der Umgebung verwenden?
  • Welche Citrix Files-VIP-URL möchten Sie verwenden?

Designhilfe:

Wenn die Umgebung StorageZone Controller enthält, stellen Sie sicher, dass Sie Folgendes korrekt konfigurieren: Citrix Files Content Switch-VIP (wird von der Citrix Files-Steuerungsebene für die Kommunikation mit den StorageZone Controller-Servern verwendet), Citrix Files-Lastausgleichs-VIPs und alle erforderlichen Richtlinien und Profile. Weitere Informationen finden Sie in der Dokumentation zu Citrix StorageZones Controllern.

SAML-Identitätsanbieter

Im Detail:

  • Wenn SAML für Citrix Files erforderlich ist, soll Endpoint Management als SAML-Identitätsanbieter verwendet werden?

Designhilfe:

Die empfohlene bewährte Methode ist die Integration von Citrix Files in Endpoint Management – eine einfachere Alternative zur Konfiguration eines SAML-basierten Verbunds. Wenn Sie Citrix Files mit Endpoint Management verwenden, stellt Endpoint Management für Citrix Files die Single Sign-On-Authentifizierung für Benutzer mobiler Citrix Produktivitätsapps sowie Active Directory-basierte Benutzerkonten und umfassende Richtlinien für die Zugriffssteuerung bereit. Mit der Endpoint Management-Konsole können Sie Citrix Files konfigurieren sowie Servicelevel und Lizenznutzung überwachen.

Es gibt zwei Arten von Citrix Files-Clients: Citrix Files für Endpoint Management-Clients (“umschlossenes Citrix Files”) und mobile Citrix Files-Clients (“nicht umschlossenes Citrix Files”). Die Unterschiede werden unter Unterschiede zwischen Citrix Files für Endpoint Management-Clients und mobilen Citrix Files-Clients erläutert.

Sie können Endpoint Management und Citrix Files so konfigurieren, dass diese mit SAML einen SSO-Zugriff für mobile, mit dem MDX Service umschlossene Citrix Files-Apps und für nicht umschlossene Citrix Files-Clients (z. B. Website, Outlook-Plug-In oder Synchronisierungsclients) bereitstellen.

Wenn Sie Endpoint Management als SAML-Identitätsanbieter für Citrix Files verwenden möchten, stellen Sie sicher, dass die richtigen Konfigurationen vorhanden sind. Weitere Informationen finden Sie unter SAML für SSO bei Citrix Files.

Direkte ShareConnect-Verbindungen

Im Detail:

  • Sollen Benutzer von einem Computer oder Mobilgerät mit ShareConnect direkt auf einen Hostcomputer zugreifen?

Designhilfe:

Mit ShareConnect können Benutzer sichere Verbindungen von iPads sowie Android-Tablets und -Telefonen mit ihren Computern herstellen und auf Dateien und Anwendungen zugreifen. Bei direkten Verbindungen bietet Endpoint Management über Citrix Gateway sicheren Benutzerzugriff auf Ressourcen außerhalb des lokalen Netzwerks. Informationen zur Konfiguration finden Sie unter ShareConnect.

Registrierungs-FQDN für die einzelnen Bereitstellungstypen

   
Bereitstellungstyp Registrierungs-FQDN
Enterprise (MDM + MAM) mit verbindlicher MDM-Registrierung Endpoint Management Server-FQDN
Enterprise (MDM + MAM) mit optionaler MDM-Registrierung Endpoint Management-Server-FQDN oder Citrix Gateway-FQDN
Nur MDM Endpoint Management-Server-FQDN
Nur-MAM (Legacy) Citrix Gateway-FQDN
Nur MAM Endpoint Management-Server-FQDN

Zusammenfassung der Bereitstellung

Citrix empfiehlt die Verwendung des Assistenten für NetScaler für XenMobile zur Gewährleistung einer ordnungsgemäßen Konfiguration. Sie können den Assistenten nur einmal verwenden. Wenn Sie mehrere Endpoint Management-Instanzen haben (z. B. für die Test-, die Entwicklungs- und die Produktionsumgebung), müssen Sie Citrix Gateway für die zusätzlichen Umgebungen manuell konfigurieren. Notieren Sie sich bei einer funktionierenden Umgebung die Einstellungen, bevor Sie Citrix Gateway manuell für Endpoint Management konfigurieren.

Die wichtigste Entscheidung, die Sie bei Verwendung des Assistenten treffen, ist die Wahl zwischen HTTPS und HTTP für die Kommunikation mit dem Endpoint Management-Server. HTTPS bietet eine sichere Back-End-Kommunikation, da der Datenverkehr zwischen Citrix Gateway und Endpoint Management verschlüsselt wird. Die erneute Verschlüsselung hat allerdings Auswirkungen auf die Leistung des Endpoint Management-Servers. HTTP bietet die bessere Endpoint Management-Serverleistung, doch der Datenverkehr zwischen Citrix Gateway und Endpoint Management wird nicht verschlüsselt. Die folgenden Tabellen enthalten die erforderlichen HTTP- und HTTPS-Ports für Citrix Gateway und den Endpoint Management-Server.

HTTPS

Citrix empfiehlt normalerweise die Verwendung einer SSL-Brücke für Citrix Gateway in Konfigurationen mit virtuellem MDM-Server. Bei Verwendung von SSL-Offload für Citrix Gateway mit virtuellen MDM-Servern unterstützt Endpoint Management nur Port 80 als Back-End-Dienst.

       
Bereitstellungstyp Citrix Gateway-Lastausgleichsmethode SSL-Neuverschlüsselung Endpoint Management-Serverport
MDM SSL-Brücke Nicht zutreffend 443, 8443
MAM SSL-Offload Aktiviert 8443
Enterprise MDM: SSL-Brücke Nicht zutreffend 443, 8443
Enterprise MAM: SSL-Offload Aktiviert 8443

HTTP

       
Bereitstellungstyp Citrix Gateway-Lastausgleichsmethode SSL-Neuverschlüsselung Endpoint Management-Serverport
MDM SSL-Offload Nicht unterstützt 80
MAM SSL-Offload Aktiviert 8443
Enterprise MDM: SSL-Offload Nicht unterstützt 80
Enterprise MAM: SSL-Offload Aktiviert 8443

Diagramme von Citrix Gateway in Endpoint Management-Bereitstellungen finden Sie unter Architektur.

Integration in Citrix Gateway und Citrix ADC