Gestaltung der StoreFront- und Gateway-Integration

Der Zweck dieses Artikels ist es, etwas tiefer in die Integration von Citrix Gateway mit StoreFront einzutauchen: was bedeuten die Einstellungen und Designüberlegungen für die Konfiguration.

Gateway-URLs, Rückruf-URLs und GSLB-URLs

StoreFront ermöglicht es Administratoren, mehrere Gateways zu definieren, die für die Gateway-Passthrough-Authentifizierung in einem einzelnen Store verwendet werden können. Diese Funktion ist sehr vorteilhaft, da sie die Anzahl der Stores minimiert, die in großen, globalen Bereitstellungen konfiguriert werden müssen. Wir sehen, dass es vier Schlüsselparameter gibt, damit diese Integration erfolgreich funktioniert: Citrix Gateway-URL, IP-Adresse des virtuellen Servers, Callback-URL und GSLB-URL, die in den folgenden Abschnitten erläutert werden.

Gateway-URLs

Der erste Konfigurationsbildschirm beim Einrichten eines Gateway fordert den Administrator auf, einen Anzeigenamen und die Gateway-URL einzugeben, bei der es sich um die von Benutzern eingegebene URL handelt, wie im Folgenden dargestellt:

Allgemeine Einstellungen Abbildung 1: Allgemeine Einstellungen

StoreFront lässt nur Gateway-Passthrough von Gateways zu, die in seiner Konfiguration definiert sind. Citrix Gateway nimmt die URL, die in die Webbrowser oder Workspace-App-Clients (Receiver) der Benutzer eingegeben wurde, und fügt sie in einen HTTP-Header (XCITRIXVIA) ein. Diese Informationen werden an StoreFront zurückgegeben. StoreFront versucht dann, diesen Wert mit einer der definierten Gateway-URLs abzugleichen. Das Feld Gateway URL ist obligatorisch und muss mit dem übereinstimmen, was in den Webbrowser oder die Workspace-App eines Benutzers (Receiver) eingegeben wird, damit Gateway-Passthrough mit StoreFront funktioniert.

Rückruf-URLs und IP-Adressen virtueller Server

Als Nächstes decken wir einige optionale Felder ab: IP-Adresse des virtuellen Servers und Rückruf-URL, deren Nutzung zusammenhängt und zusammen abgedeckt wird. Diese Felder werden auf dem Bildschirm Authentifizierungseinstellungen des Gateway-Konfigurationsassistenten angezeigt, wie unten dargestellt:

Allgemeine Einstellungen Abbildung 2: Authentifizierungseinstellungen

Die Callback-URL soll von StoreFront verwendet werden, um zusätzliche Informationen über die Gateway-Sitzung eines Benutzers zu sammeln. Es wird nicht streng für die Authentifizierung verwendet. Stattdessen fragt es nach Dingen wie dem Namen der Gateway-Sitzungsrichtlinie, die auf die Sitzung des Benutzers angewendet wird. Diese zusätzlichen Details können dann als Teil von CVAD Access Control-basierten (SmartAccess) Richtlinienfiltern verwendet werden. Dies ist auch in “kennwortlosen” Authentifizierungsszenarien erforderlich, z. B. wenn Smart Card und SAML verwendet werden, um eine zusätzliche Validierung der Gateway-Sitzung des Benutzers durchzuführen. Wenn eines dieser Szenarien nicht im Spiel ist, sind sowohl die Callback-URL als auch die IP-Adressfelder des virtuellen Servers nicht erforderlich und können leer gelassen werden.

Wenn eine Callback-URL erforderlich ist und mehrere Gateways mit einem einzelnen Store verknüpft sind, benötigt StoreFront eine Möglichkeit, nicht nur richtig zu identifizieren, ob der Datenverkehr über ein Gateway kommt, sondern auch, von welchem virtuellen Gateway-Server der Datenverkehr kommt, um den Rückruf an das richtige Gateway zu leiten, das den Benutzer enthält -Sitzung. StoreFront führt diese Aktion zuerst durch, indem es auf die Gateway-URL abstimmt, die es über den XCITRIXVIA-HTTP-Header wie zuvor abgedeckt empfängt. Wenn es mehrere Gateways gibt, für die dieselbe Gateway-URL angegeben ist (was in GSLB-Architekturen auftreten würde, bei denen dieselbe URL auf mehrere einzelne virtuelle Gateway-Server aufgelöst wird), greift StoreFront auf die Verwendung einer IP-Adresse zurück, um ein Gateway zu identifizieren, was ein eindeutiger Wert ist. StoreFront erhält die VIP-Adresse des virtuellen Servers von einem Gateway über einen anderen HTTP-Header (XCITRIXVIAVIP). Nach dem Empfang versucht es dann, mit dem Wert des Feldes vServer IP Address in einem seiner zugewiesenen Gateways übereinzustimmen. Unter der Annahme, dass StoreFront ein Gateway basierend auf einer Übereinstimmung mit der IP-Adresse eines virtuellen Servers identifizieren kann, wird der Rückruf erfolgreich abgeschlossen. Daher wird die IP-Adresse des virtuellen Servers nur benötigt, wenn eine Callback-URL angegeben wird und mehrere Gateways an einen Store mit derselben definierten Gateway-URL gebunden sind.

GSLB-URLs

Schließlich ein Parameter, der nicht in der GUI angezeigt wird: die GSLB-URL. StoreFront Version 3.9 hat über PowerShell die Möglichkeit eingeführt, nur einen GSLB-URL-Parameter für eine Gateway-Definition anzugeben. Diese GSLB-URL fungiert als alternative Quelle, von der StoreFront Authentifizierungsanfragen für dieselbe Gateway-Definition akzeptiert. Dieser Parameter ist in der Befehlsausgabe von Get-STFRoamingGateway sichtbar. Der Zweck dieses Parameters besteht darin, die Gesamtzahl der Gateways zu verringern, die für einen einzelnen Store definiert werden müssen, um die Administration zu vereinfachen. Ohne sie muss für jede eindeutige Kombination aus Gateway URL + eine eindeutige Callback-URL -Kombination definiert werden, die von Benutzern verwendet werden kann, die sich in einer Unternehmensumgebung schnell summieren kann.

Zum Beispiel würden drei globale Gateways hinter einer einheitlichen GSLB-Adresse (https://www.nsg.com): eines in Amerika, eines in Europa, eines in Asien, jedes mit einer eindeutigen Callback-URL drei definierte Gateways erfordern. Darüber hinaus möchten diese Administratoren in der Lage sein, die Authentifizierung an jedem Gateway einzeln zu testen. Dies ist wichtig, um zu verstehen, ob GSLB-Probleme auftreten, die dazu führen, dass alternative, eindeutige Namen für jedes Gateway definiert werden. Diese Instanz bedeutet, dass insgesamt sechs Gateways für den Store konfiguriert werden müssen, die wie folgt aussehen:

Anzeigename Gateway-URL vServer-IP-Adresse Rückruf-URL
GSLB US https://www.nsg.com 1.1.1.1 https://callback-us.nsg.com
GSLB EU https://www.nsg.com 2.2.2.2 https://callback-eu.nsg.com
GSLB AP https://www.nsg.com 3.3.3.3 https://callback-ap.nsg.com
US-Gateway https://us.nsg.com 1.1.1.1 https://callback-us.nsg.com
EU-Gateway https://eu.nsg.com 2.2.2.2 https://callback-eu.nsg.com
AP-Gateway https://ap.nsg.com 3.3.3.3 https://callback-ap.nsg.com

Tabelle 1: Komplette Gatewayliste

Durch die Anwendung des GSLB-URL-Parameters kann die Anzahl der definierten Gateways halbiert werden, während Benutzer weiterhin eine Verbindung über alle GSLB- und eindeutigen Gateway-Adressen wie folgt herstellen können:

Anzeigename Gateway-URL vServer-IP-Adresse Rückruf-URL GSLB-URL
US-Gateway https://us.nsg.com 1.1.1.1 https://callback-us.nsg.com https://www.nsg.com
EU-Gateway https://eu.nsg.com 2.2.2.2 https://callback-eu.nsg.com https://www.nsg.com
AP-Gateway https://ap.nsg.com 3.3.3.3 https://callback-ap.nsg.com https://www.nsg.com

Tabelle 2: Konsolidierte Gateway-Liste mit GSLB-URL

Obwohl der Parameter “GslbUrl” genannt wird, funktioniert er genau wie ein alternativer Hostname für diese Gateway-Definition. Es muss sich nicht um eine GSLB-Adresse handeln, sondern nur um einen anderen Namen, mit dem auf denselben virtuellen Gateway-Server zugegriffen werden kann. Ein anderer Anwendungsfall kann DNS mit externen/internen Gateway-Adressen aufgeteilt werden, die an denselben virtuellen Server weitergeleitet werden.

Beachten Sie, dass dieser Parameter von der Workspace-App (Receiver) nicht erkannt wird und daher normalerweise die URLs im obigen Beispiel gedreht werden, damit Workspace-App-Clients die GSLB-Adresse weiterhin verwenden können und die Pro-Gateway-URLs bei der Verbindung über Webbrowser verwendet werden können:

Anzeigename Gateway-URL IP-Adresse des virtuellen Servers Rückruf-URL GSLB-URL
US-Gateway https://www.nsg.com 1.1.1.1 https://callback-us.nsg.com https://us.nsg.com
EU-Gateway https://www.nsg.com 2.2.2.2 https://callback-eu.nsg.com https://eu.nsg.com
AP-Gateway https://www.nsg.com 3.3.3.3 https://callback-ap.nsg.com https://ap.nsg.com

Tabelle 3: GSLB-URL angepasst für Receiver und Workspace-App

Design Takeaways

So fassen Sie die vorherigen Abschnitte zusammen:

  • Gateway-URL wird immer benötigt und muss mit dem übereinstimmen, was in Webbrowsern oder Workspace-App-Clients (Receiver) eingegeben wird.
  • Rückruf-URL wird nur benötigt, wenn SmartAccess-CVAD-Richtlinien oder kennwortlose Authentifizierungsmethoden (Smart Cards, SAML usw.) verwendet werden
  • Die IP-Adresse des virtuellen Servers wird nur benötigt, wenn eine Rückruf-URL angegeben ist und mehrere Gateways an den Store gebunden sind, für die dieselbe Gateway-URL angegeben ist
  • Die GSLB-URL ist ein neuer Parameter, der in StoreFront 3.9 hinzugefügt wurde. Die URL vereinfacht die Gateway-Integration mit StoreFront, wenn auf einen einzelnen virtuellen Gateway-Server über mehrere URLs zugegriffen werden kann
  • Die Workspace-App (Receiver) liest den GSLB-URL-Parameter nicht, daher war die Gateway-URL immer die URL, die von diesen Clients verwendet wird, und die GSLB-URL ist eine alternative URL, die von Webbrowser-basierten Verbindungen verwendet werden kann

Auswählen einer “Standard-Appliance”

Wenn ein Administrator Remotezugriff für einen Store aktiviert, muss eine “Standard-Appliance” wie im Screenshot gezeigt definiert werden.

Standard-Appliance Abbildung 3: Standard-Appliance

Für den Webbrowser-basierten Zugriff hat die Einstellung “Standard-Appliance” keine Auswirkungen. Für den Zugriff auf Workspace-Apps (Receiver) wird diese Einstellung bei Verbindung mit dem Store als Teil der Store-Konfiguration auf Receiver heruntergeladen. Danach wird standardmäßig Gateway verwendet. Wenn alle definierten Gateways die Gateway-URL gemeinsam nutzen, hat das Vorkommen wiederum keine Auswirkungen (Receiver verwendet nur diese Gateway-Definition, um die URL zur Authentifizierung abzurufen, sodass diese Abfrage in GSLB-Konfigurationen GSLB-weitergeleitet wird). Wie bereits erwähnt, liest die Workspace-App (Receiver) den Parameter “GSLB-URL” nicht, daher muss das Gateway, das als Standardgerät definiert ist, eine entsprechende Gateway-URL definiert sein, wie im vorherigen Abschnitt in “Tabelle 3: GSLB-URL angepasst für Receiver & Workspace-App” gezeigt.

Wenn die Gateways, die an den Store gebunden sind, unterschiedliche Gateway-URLs haben, wird von allen Receiver-Clients verwendet, welche als Standard definiert ist. Dieses Vorkommen ist problematisch, wenn Sie verschiedene Gateways definiert haben, die von verschiedenen Benutzergruppen verwendet werden sollen. Beispielsweise ein Gateway mit LDAP+RADIUS-Authentifizierung für Benutzer mit Token und ein Gateway, das mit Smartcard-Authentifizierung konfiguriert ist. Wenn der Benutzer die Smart Card Gateway-URL in die Workspace-App (Receiver) eingibt, StoreFront jedoch das LDAP+RADIUS-Gateway als Standardgateway definiert hat, werden alle zukünftigen Authentifizierungsanfragen an das LDAP+RADIUS Gateway gesendet, nachdem die Workspace-App (Receiver) eine Verbindung mit StoreFront hergestellt hat , trotz dem, was der Benutzer ursprünglich eingegeben hat. Der einzige Weg, um dieses Problem zu umgehen, ist ein separater Store oder eine separate Servergruppe.

Design Takeaways

Zusammenfassend:

  • Store mit aktiviertem Remote-Zugriff hat ein Standard-Gateway, das definiert, welche Gateway-URL von den Workspace-App-Clients (Receiver) verwendet wird
  • Um mehrere Gateway-URLs und Workspace-App (Receiver) zu verwenden, müssen separate Stores oder StoreFront-Servergruppen definiert werden

Optimales HDX-Routing

Außerhalb der Durchführung der Authentifizierung können Gateways in StoreFront auch für Optimal HDX Routing definiert werden. Diese Einstellung weist ein Gateway pro Citrix Virtual Apps and Desktops Site oder Zone zu. Der Zweck der Einstellung besteht darin, die ICA-Verbindung über ein Gateway umzuleiten, das sich vom ursprünglichen Authentifizierungspunkt des Benutzers unterscheiden kann (z. B. über ein Gateway, das näher am VDA liegt, der die Sitzung des Benutzers hostet). Wenn dieses “optimale” Gateway die Authentifizierung nicht anderweitig durchführt, benötigt es nur STA-Server, die an den Sitzungsproxy gebunden sind, und kann in StoreFront als Gateway-Typ “Nur HDX Routing” eingerichtet werden, wodurch alle Authentifizierungseinstellungen eliminiert werden.

Wenn Sie dieses Gateway zu einer Site (über Delivery Controller verwalten) oder Zone (über Zonen verwalten) in den unten angezeigten Store-Einstellungen zuweisen, gibt es ein optionales Kontrollkästchen Nur Extern .

Optimales HDX-Routing Abbildung 4: Optimales HDX-Routing

Diese Einstellung bedeutet, dass das “optimale” Gateway nur für ICA-Sitzungen verwendet wird, die “extern” stammen, d. h. Sitzungen, die Gateway-Passthrough als Authentifizierungstyp verwenden (was StoreFront voraussetzt, dass der Benutzer außerhalb des Unternehmensnetzwerks stammt). Die Einstellung gilt nicht für Benutzer, die sich direkt bei StoreFront authentifizieren (was StoreFront voraussetzt, dass sich der Benutzer innerhalb des Unternehmensnetzwerks befindet). Wenn die Box deaktiviert ist, werden alle ICA-Sitzungen, die für diese Site oder Zone bestimmt sind, über das definierte Gateway geleitet, unabhängig davon, ob der Benutzer extern oder intern ist. Es gibt kein Kontrollkästchen “nur intern”. Das bedeutet, dass die definierte Gateway-URL von allen möglichen Benutzerstandorten erreichbar sein muss, was ohne Split-DNS eine Herausforderung darstellen kann. Dies ist ein weiterer Fall, in dem separate Stores (da es sich um eine Einstellung auf Store-Ebene handelt) für komplexe Architekturszenarien mit optimalem HDX-Routing erforderlich sind.

Design Takeaways

Zusammenfassend:

  • Für optimales HDX-Routing verwendetes Gateway erfordert nur STA Server gebunden
  • Gateways, die für das optimale HDX-Routing verwendet werden, können entweder “extern” oder “extern und intern” sein, aber nicht “nur intern”
  • Separate Stores oder Servergruppen sind erforderlich, um separate interne und externe Gateway-URLs für optimales HDX-Routing zu definieren.

Beacons

Beacons werden getrennt von den Gateways in der StoreFront-Konfiguration definiert und werden automatisch aktiviert, wenn Sie den Remotezugriff für einen Store aktivieren und das erste Gateway konfigurieren. Beacons sind Website-Adressen, mit denen die Workspace-App (Receiver) erkennen kann, ob sich der Endpunkt-Client innerhalb oder außerhalb des Unternehmensnetzwerks befindet, und die Zugriffsanforderung nahtlos entweder an die StoreFront-Basis-URL weiterleiten, wenn der Client als “intern” oder die Standard-Gateway-Adresse weiterleitet, wenn der ist entschlossen, “extern” zu sein, ohne den Benutzer zu mehr Eingaben zu veranlassen. Dazu fragt die Workspace-App (Receiver) zuerst die interne Beacon-Adresse ab (vorausgesetzt, die externe, mit dem Internet ausgerichtete Adresse kann immer erreichbar sein) und greift dann nur dann auf die externen Beacon-Adressen zurück, wenn die interne fehlschlägt. Wenn es die interne URL erreichen kann (erhält eine HTTP 200-Antwort), wird angenommen, dass sich der Client im Unternehmensnetzwerk befindet und an die StoreFront Basis-URL weitergeleitet wird.

Beacons verwalten Abbildung 5: Verwalten von Beacons

Beacons werden überhaupt nicht verwendet, wenn ein Benutzer über einen Webbrowser eine Verbindung herstellt. Dies liegt daran, dass ein Benutzer Eingaben bereitstellt, indem er eine URL in die Browserleiste eingibt und daher den Browser an eine bestimmte Adresse leitet. Mit der Workspace-App (Receiver) gibt der Benutzer nach der Erstkonfiguration keine weiteren Eingaben zur zu verwendenden URL. Die Workspace-App (Receiver) verfügt über die Basis-URL und alle konfigurierten Gateway-URLs, die im Rahmen der Konfiguration zwischengespeichert sind und im Namen des Benutzers intelligent auswählen können, welche URL verwendet werden soll, wenn der Benutzer versucht, die Anwendung zu verwenden.

Es sollte keine Notwendigkeit, die Beacon-Adressen zu ändern oder zu optimieren, es sei denn, die gleiche Gateway-URL und StoreFront Basis-URL werden verwendet. In diesem Fall wären die externen und internen Beacons dann identisch und die interne URL wäre extern zugänglich, was den Zweck besiegt. Daher muss ein Administrator die Option “Beacon-Adresse angeben” für das interne Beacon auswählen und eine Website eingeben, auf die nur über das Unternehmensnetzwerk zugegriffen werden kann. Andernfalls ist es einfach eine gute Fehlerbehebungspraxis zu verstehen, wie die Beacon-Adressen angewendet werden, damit sie bei der Untersuchung von Problemen mit dem Webbrowser-basierten Zugriff nicht untersucht werden.

Design Takeaways

Zusammenfassend:

  • Beacons sind nur verwendete Workspace-App-Clients (Receiver)
  • Beacons werden nur geändert, wenn die StoreFront-Basis-URL mit einer Gateway-URL übereinstimmt (und von außerhalb des Unternehmensnetzwerks aus zugänglich ist)

Referenzen

Integration von Gateway und StoreFront

Optimales HDX-Routing konfigurieren

StoreFront Neue Funktionen

Gestaltung der StoreFront- und Gateway-Integration