Product Documentation

XenMobile-Integration

21. Februar 2018

In diesem Artikel werden die Punkte beschrieben, die bei der Planung der Integration von XenMobile in ein Netzwerk und bestehende Lösungen berücksichtigt werden müssen. Beispiele für Überlegungen bei Verwendung von NetScaler für XenApp und XenDesktop:

  • Sollten Sie die vorhandene NetScaler-Instanz oder eine neue, dedizierte Instanz verwenden?
  • Möchten Sie die mit StoreFront veröffentlichten HDX-Apps in XenMobile integrieren?
  • Planen Sie die Verwendung von ShareFile mit XenMobile?
  • Haben Sie eine Network Access Control-Lösung, die Sie in XenMobile integrieren möchten?

NetScaler und NetScaler Gateway

NetScaler Gateway ist für XenMobile im ENT- und MAM-Modus obligatorisch. NetScaler Gateway bietet einen Micro-VPN-Pfad für den Zugriff auf alle Unternehmensressourcen und unterstützt eine starke, mehrstufige Authentifizierung. Der NetScaler-Lastausgleich ist für alle XenMobile-Gerätemodi in folgenden Fällen erforderlich:

  • Sie haben mehrere XenMobile-Server.
  • Der XenMobile-Server ist in der DMZ oder dem internen Netzwerk (d. h. der Datenverkehr fließt von den Geräten an NetScaler und dann an XenMobile).

Sie können vorhandene NetScaler-Instanzen verwenden oder neue für XenMobile einrichten. In den folgenden Abschnitten werden die Vor- und Nachteile der Verwendung vorhandener und neuer NetScaler-Instanzen aufgeführt.

Gemeinsames NetScaler MPX mit einer für XenMobile erstellten virtuellen NetScaler Gateway-IP-Adresse

Vorteile:

  • Verwendung einer NetScaler-Instanz für alle Citrix Remoteverbindungen: XenApp, vollständiges/clientloses VPN.
  • Verwendung der bestehenden NetScaler-Konfigurationen, z. B. für die Zertifikatauthentifizierung und den Zugriff auf Dienste wie DNS, LDAP und NTP.
  • Verwendung einer einzelnen NetScaler-Plattformlizenz.

Nachteile:

  • Die Skalierungsplanung ist schwieriger, wenn zwei unterschiedliche Anwendungsfälle auf demselben NetScaler bewältigt werden.
  • In Einzelfällen wird eine bestimmte NetScaler-Version für einen XenApp-Anwendungsfall benötigt. Bei der benötigten Version können Probleme im Zusammenhang mit XenMobile vorliegen. Umgekehrt können bei XenMobile Probleme im Zusammenhang mit der NetScaler-Version vorliegen.
  • Ist ein NetScaler Gateway vorhanden, können Sie den NetScaler für XenMobile-Assistenten kein zweites Mal ausführen, um die NetScaler-Konfiguration für XenMobile zu erstellen.
  • Auf NetScaler installierte Benutzerzugriffslizenzen, die für die VPN-Konnektivität erforderlich sind, werden gepoolt (außer bei Verwendung von Platinum-Lizenzen für NetScaler Gateway 11.1 oder höher). Da diese Lizenzen für alle virtuellen NetScaler-Server verfügbar sind, können andere Dienste als XenMobile sie verbrauchen.

Dedizierte NetScaler VPX-/MPX-Instanz

Vorteile:

Citrix empfiehlt die Verwendung einer dedizierten NetScaler-Instanz.

  • Einfachere Skalierungsplanung und Trennung des XenMobile-Datenverkehrs von einer möglicherweise bereits mit eingeschränkten Ressourcen laufenden NetScaler-Instanz.
  • Keine Probleme, wenn XenMobile und XenApp unterschiedliche NetScaler-Softwareversionen erfordern. Normalerweise empfiehlt sich die Verwendung der neuesten kompatiblen NetScaler-Version für XenMobile.
  • Konfiguration von NetScaler für XenMobile über den integrierten NetScaler für XenMobile-Assistenten möglich.
  • Virtuelle und physische Trennung von Diensten.

Nachteile:

  • Erfordert die Einrichtung zusätzlicher Dienste auf NetScaler für die XenMobile-Konfiguration.
  • Erfordert eine zusätzliche NetScaler-Plattformlizenz. Lizenzierung jeder NetScaler-Instanz für NetScaler Gateway.

Informationen darüber, was bei der Integration in NetScaler und NetScaler Gateway in den verschiedenen XenMobile-Servermodi zu beachten ist, finden Sie unter Integration in NetScaler und NetScaler Gateway.

StoreFront

In Citrix XenApp und XenDesktop-Umgebungen können HDX-Anwendungen mithilfe von StoreFront in XenMobile integriert werden. Für die Integration von HDX-Apps in XenMobile gilt Folgendes:

  • Die Apps stehen Benutzern zur Verfügung, die bei XenMobile registriert sind.
  • Die Apps werden zusammen mit anderen Apps im XenMobile-Store angezeigt.
  • XenMobile verwendet die ältere PNAgent-Site (Dienste) in StoreFront.
  • Ist Citrix Receiver auf einem Gerät installiert, wird es von HDX-Apps verwendet.

Bei StoreFront gilt die Beschränkung auf eine Services-Site pro StoreFront-Instanz. Angenommen, Sie haben mehrere Stores und möchten diese von anderen Produktionnutzungen trennen. In diesem Fall empfiehlt Citrix, die Verwendung einer neuen StoreFront-Instanz und -Services-Site für XenMobile in Betracht zu ziehen.

Es sind folgende Punkte zu berücksichtigen:

  • Gibt es für StoreFront andere Authentifizierungsanforderungen? Die StoreFront Services-Site erfordert Active Directory-Anmeldeinformationen für die Anmeldung. Bei ausschließlicher Verwendung der zertifikatbasierten Authentifizierung können Anwendungen nicht über XenMobile unter Verwendung desselben NetScaler Gateways aufgelistet werden.
  • Sollten Sie den gleichen Store verwenden oder einen neuen erstellen?
  • Sollten Sie den gleichen oder einen anderen StoreFront-Server verwenden?

In den folgenden Abschnitten werden die Vor- und Nachteile der Verwendung eigener oder gemeinsamer StoreFront-Instanzen für Receiver und XenMobile-Apps aufgeführt.

Integration der bestehenden StoreFront-Instanz in XenMobile

Vorteile:

  • Gleicher Store: XenMobile erfordert keine zusätzliche Konfiguration von StoreFront, vorausgesetzt es wird dieselbe NetScaler-VIP für den HDX-Zugriff verwendet. Angenommen, Sie entscheiden sich für die Verwendung desselben Stores und möchten den Receiver-Zugriff auf eine neue NetScaler-VIP umleiten. Fügen Sie in diesem Fall StoreFront die entsprechende NetScaler Gateway-Konfiguration hinzu.
  • Gleicher StoreFront-Server: Verwendung der bestehenden StoreFront-Installation und -Konfiguration.

Nachteile:

  • Gleicher Store: Jede Änderung der StoreFront-Konfiguration zur Bewältigung von XenApp und XenDesktop-Workloads kann sich negativ auf XenMobile auswirken.
  • Gleicher StoreFront-Server: In großen Umgebungen müssen Sie die zusätzliche Belastung des PNAgent durch XenMobile für die App-Auflistung und den Start berücksichtigen.

Verwenden einer neuen, dedizierten StoreFront-Instanz zur Integration in XenMobile

Vorteile:

  • Neuer Store: Konfigurationsänderungen am StoreFront-Store für XenMobile dürften keine Auswirkungen auf XenApp und XenDesktop-Workloads haben.
  • Neuer StoreFront-Server: Änderungen an der Serverkonfiguration sollten sich nicht auf den XenApp und XenDesktop-Workflow auswirken. Darüber hinaus sollte die XenMobile-externe Belastung des PNAgent für App-Auflistung und Start die Skalierbarkeit nicht beeinträchtigen.

Nachteile:

  • Neuer Store: StoreFront-Store-Konfiguration.
  • Neuer StoreFront-Server: erfordert eine neue StoreFront-Installation und -Konfiguration.

Weitere Informationen finden Sie unter XenApp und XenDesktop über Citrix Secure Hub.

ShareFile

ShareFile ermöglicht Benutzern von jedem Gerät aus den Zugriff auf all ihre Daten und deren Synchronisierung. Über ShareFile können die Benutzer Daten mit Personen innerhalb und außerhalb der Organisation sicher teilen. Bei Integration von ShareFile in XenMobile Advanced Edition oder XenMobile Enterprise Edition ermöglicht XenMobile für ShareFile Folgendes:

  • Single-Sign-On-Authentifizierung für XenMobile App-Benutzer.
  • Active Directory-basierte Benutzerkontobereitstellung.
  • Umfassende Richtlinien zur Zugriffssteuerung.

Mobile Benutzer können alle Funktionen von ShareFile Enterprise verwenden.

Alternativ können Sie XenMobile für die ausschließliche Integration in StorageZone Connectors konfigurieren. Über StorageZone Connectors bietet ShareFile Zugriff auf Folgendes:

  • Dokumente und Ordner
  • Netzwerkdateifreigaben
  • In SharePoint-Sites: Sitesammlungen und Dokumentbibliotheken.

Verbundene Dateifreigaben können die gleichen Basisnetzlaufwerke enthalten, wie Citrix XenDesktop und XenApp-Umgebungen. Die Konfiguration der Integration in ShareFile Enterprise oder StorageZones Connectors erfolgt über die XenMobile-Konsole. Weitere Informationen finden Sie unter Verwendung von ShareFile mit XenMobile.

In den folgenden Abschnitten werden die Fragen aufgeführt, die Sie sich im Hinblick auf den Einsatz von ShareFile stellen sollten.

Integration in ShareFile Enterprise oder nur in StorageZone Connectors

Fragen:

  • Müssen Daten in von Citrix verwalteten StorageZones gespeichert werden?
  • Sollen die Benutzer Dateien freigeben und synchronisieren können?
  • Sollen die Benutzer Zugriff auf Dateien auf der ShareFile-Website erhalten? Sollen die Benutzer mit Mobilgeräten auf Office 365-Inhalte und Connectors für die persönliche Cloud zugreifen können?

Design-Entscheidung:

  • Wenn die Antwort auf eine dieser Fragen “Ja” lautet, integrieren Sie XenMobile in ShareFile Enterprise.
  • Eine ausschließliche Integration in StorageZone Connectors bietet iOS-Benutzern sicheren mobilen Zugriff auf bestehende lokale Speicherrepositorys, wie z. B. SharePoint-Sites und Netzwerkdateifreigaben. Diese Konfiguration erfordert nicht, dass Sie eine ShareFile-Unterdomäne einrichten, Benutzer für ShareFile bereitstellen oder ShareFile-Daten hosten. Die Verwendung von StorageZone Connectors mit XenMobile entspricht den Sicherheitsbeschränkungen, die verhindern, dass Benutzerdaten außerhalb des Unternehmensnetzwerks gelangen.

Standort des ShareFile StorageZones-Controllers

Fragen:

  • Benötigen Sie lokalen Speicher oder lokale Features wie StorageZone Connectors?
  • Wo im Netzwerk befinden sich die ShareFile StorageZones-Controller im Fall einer Verwendung lokaler ShareFile-Features?

Design-Entscheidung:

  • Entscheiden Sie, wo Sie die StorageZones Controller ansiedeln: in der ShareFile-Cloud, in einem lokalen Einmandanten-Speichersystem oder in einem unterstützten Cloudspeicher eines Drittanbieters.
  • StorageZones-Controller benötigen Internetzugriff für die Kommunikation mit der Citrix ShareFile-Steuerungsebene. Es gibt verschiedene Verbindungsmöglichkeiten, einschließlich direktem Zugriff und NAT/PAT-Konfigurationen.

StorageZone Connectors

Fragen:

  • Welches sind die CIFS-Freigabepfade?
  • Welches sind die SharePoint-URLs?

Design-Entscheidung:

  • Ermitteln Sie, ob lokale StorageZones-Controller für den Zugriff auf diese Orte erforderlich sind.
  • Aufgrund der Kommunikation zwischen StorageZone Connectors und internen Ressourcen wie Repositorys, CIFS-Freigaben und SharePoint empfiehlt Citrix, StorageZones-Controller im internen Netzwerk hinter DMZ-Firewalls und mit vorgeschaltetem NetScaler anzusiedeln.

SAML-Integration in XenMobile Enterprise

Fragen:

  • Ist eine Active Directory-Authentifizierung für ShareFile erforderlich?
  • Erfordert die erstmalige Verwendung der ShareFile-App für XenMobile Single Sign-on?
  • Gibt es in der aktuellen Umgebung einen Standard-IdP?
  • Wie viele Domänen werden für SAML benötigt?
  • Gibt es mehrere E-Mail-Aliase für Active Directory-Benutzer?
  • Sind Active Directory-Domänenmigrationen im Gang oder in Kürze geplant?

Design-Entscheidung:

In XenMobile Enterprise-Umgebungen kann SAML als Authentifizierungsmechanismus für ShareFile verwendet werden. Authentifizierungsoptionen:

  • Verwendung von XenMobile Server als Identitätsanbieter (IdP) für SAML

Diese Option kann eine hervorragende Benutzererfahrung bieten, sie automatisiert die Erstellung von ShareFile-Konten und sie ermöglicht die Nutzung von Singe Sign-On-Features für mobile Apps.

  • XenMobile Server ist für diesen Prozess optimiert: Es ist keine Active Directory-Synchronisierung erforderlich.
  • Verwendung des ShareFile User Management Tools für die Benutzerbereitstellung
  • Verwenden eines unterstützten Drittanbieter-IdPs für SAML

Wenn Sie einen unterstützten IdP haben und keine Single Sign-On-Features für mobile Apps benötigen, ist diese Option möglicherweise am besten geeignet. Auch sie erfordert die Verwendung des ShareFile User Management Tools für die Kontobereitstellung.

IdP-Lösungen von Drittanbietern wie ADFS bieten möglicherweise auf dem Windows-Client Single Sign-On-Features. Bewerten Sie die Anwendungsfälle vor Auswahl des ShareFile-SAML-IdPs.

Um beiden Anwendungsfällen zu genügen, können Sie ADFS und XenMobile als dualen IdP konfigurieren.

Mobile Apps

Fragen:

  • Welche ShareFile-App (öffentlich, MDM, MDX) möchten Sie verwenden?

Design-Entscheidung:

  • Sie verteilen XenMobile Apps über den App-Store von Apple und Google Play. Mit der öffentlichen App Store-Verteilung erhalten Sie umschlossene Apps von der Citrix Downloadseite.
  • Bei niedriger Sicherheitsstufe, wenn Sie keine Containerization benötigen, ist die öffentliche ShareFile-App möglicherweise ungeeignet. In einer Nur-MDM-Umgebung können Sie die MDM-Version der ShareFile-App über XenMobile im MDM-Modus bereitstellen.
  • Weitere Informationen finden Sie unter Apps und Citrix ShareFile für XenMobile.

Sicherheit, Richtlinien und Zugriffssteuerung

Fragen:

  • Welche Einschränkungen benötigen Sie für Desktop-, Internet- und mobile Benutzer?
  • Welche Standardeinstellungen für die Zugriffssteuerung sollen für Benutzer gelten?
  • Welche Dateispeicherrichtlinie möchten Sie verwenden?

Design-Entscheidung:

  • Mit ShareFile können Sie die Berechtigungen von Mitarbeitern und die Gerätesicherheit verwalten. Weitere Informationen finden Sie unter Mitarbeiterberechtigungen und Verwalten von Geräten und Apps.
  • Einige ShareFile-Einstellungen zur Gerätesicherheit steuern dieselben Features wie MDX-Richtlinien. In diesen Fällen haben die XenMobile-Richtlinien Vorrang gefolgt von der ShareFile-Einstellung. Beispiel: Wenn Sie externe Apps in ShareFile deaktivieren, in XenMobile jedoch aktivieren, werden die externen Apps in ShareFile deaktiviert. Sie können die Apps so konfigurieren, dass XenMobile keine(n) PIN/Passcode anfordert, die ShareFile-App jedoch schon.

Standard-StorageZones oder eingeschränkte StorageZones

Fragen:

  • Benötigen Sie eingeschränkte StorageZones?

Design-Entscheidung:

  • Eine Standard-StorageZone ist für nicht-vertrauliche Daten gedacht und ermöglicht Mitarbeitern das Freigeben von Daten für Personen, die keine Mitarbeiter sind. Diese Option unterstützt Workflows, bei denen Daten außerhalb Ihrer Domäne freigegeben werden.
  • Eine eingeschränkte StorageZone schützt vertrauliche Daten: Nur authentifizierte Domänenbenutzer haben Zugriff auf die in dieser Zone gespeicherten Daten.

Zugriffssteuerung

Unternehmen können jetzt mobile Geräte innerhalb und außerhalb von Netzwerken verwalten. Enterprise Mobility Management-Lösungen wie XenMobile eignen sich hervorragend zur Bereitstellung von Sicherheit und zur Steuerung von mobilen Geräten unabhängig vom Standort. In Verbindung mit einer NAC-Lösung (Network Access Control) erhalten Sie jedoch QoS und eine gezieltere Steuerung für Geräte innerhalb Ihres Netzwerks. Mit dieser Kombination reicht die Bewertung der Gerätesicherheit durch XenMobile in Ihre NAC-Lösung hinein. Die NAC-Lösung kann dann anhand der XenMobile-Sicherheitsbewertung Authentifizierungsentscheidungen vereinfachen und bewältigen. Citrix hat die NAC-Integration von Cisco Identity Services Engine (ISE) und ForeScout in XenMobile validiert. Citrix übernimmt keine Gewährleistung für die Integration anderer NAC-Lösungen.

Vorteile einer NAC-Integration in XenMobile:

  • Mehr Sicherheit, Compliance und Steuerung für alle Endpunkte im Unternehmensnetzwerk.
  • Eine NAC-Lösung ermöglicht Folgendes:
    • Erkennen von Geräten in dem Moment, in dem diese versuchen, eine Verbindung mit dem Netzwerk herzustellen.
    • Abfragen der Geräteattribute von XenMobile.
    • Entscheidung über Zulassen, Blockieren, Einschränken oder Umleiten der Geräte auf der Basis der abgefragten Informationen. Die Entscheidung hängt von den von Ihnen festgelegten Sicherheitsrichtlinien.
  • Eine NAC-Lösung bietet IT-Administratoren eine Übersicht über nicht verwaltete und nicht richtlinientreue Geräte.

Eine Beschreibung der von XenMobile unterstützten NAC-Richtlinientreuefilter finden Sie unter Netzwerkzugriffskontrolle (NAC).

XenMobile-Integration