Integrar en Citrix Gateway y Citrix ADC

Cuando se integra en Endpoint Management, Citrix Gateway ofrece un mecanismo de autenticación para que dispositivos MAM remotos accedan a la red interna. Esta integración permite a las aplicaciones móviles de productividad Citrix conectarse a los servidores de empresa ubicados en la intranet a través de una red micro VPN creada desde las aplicaciones del dispositivo móvil a Citrix Gateway.

Citrix Cloud Operations administra el equilibrio de carga de Citrix ADC.

Requisitos de integración para los modos de servidor de Endpoint Management

Los requisitos para integrar Citrix Gateway y Citrix ADC varían en función de los modos de servidor de Endpoint Management: ENT, MDM y MAM.

MAM

Con el servidor Endpoint Management en modo MAM:

  • Se requiere Citrix Gateway. Citrix Gateway proporciona una ruta de red micro VPN para acceder a todos los recursos de empresa. Asimismo, admite la autenticación de varios factores.

MDM

Con el servidor Endpoint Management en modo MDM:

  • No se requiere Citrix Gateway. Para implementaciones MDM, Citrix recomienda Citrix Gateway para la VPN de dispositivos móviles.

ENT (MDM + MAM)

Con el servidor Endpoint Management en modo ENT:

  • Se requiere Citrix Gateway. Citrix Gateway proporciona una ruta de red micro VPN para acceder a todos los recursos de empresa. Asimismo, admite la autenticación de varios factores.

  • Cuando el modo de servidor de Endpoint Management es ENT y un usuario abandona la inscripción MDM, los dispositivos se inscriben utilizando el FQDN de Citrix Gateway.

Decisiones en cuanto a diseño

En las secciones siguientes, se resumen las diversas decisiones de diseño a considerar durante la planificación de una integración de Citrix Gateway en Endpoint Management.

Certificados

Detalles de la decisión:

  • ¿Necesita mayor grado de seguridad para las inscripciones y el acceso al entorno de Endpoint Management?
  • ¿LDAP no es una opción?

Guía para el diseño:

En Endpoint Management, la autenticación predeterminada es el nombre de usuario y la contraseña. Para agregar otra capa de seguridad para la inscripción y el acceso al entorno de Endpoint Management, considere la posibilidad de usar la autenticación basada en certificados. Puede usar certificados con LDAP para la autenticación de dos factores, lo que proporciona un grado mayor de seguridad sin necesidad de un servidor RSA.

Si no permite LDAP y usa tarjetas inteligentes o métodos similares, la configuración de los certificados permite representar una tarjeta inteligente en Endpoint Management. Los usuarios se inscriben mediante un PIN único que Endpoint Management genera para ellos. Una vez que el usuario obtiene el acceso, Endpoint Management crea e implementa el certificado utilizado a partir de entonces para autenticarse en el entorno de Endpoint Management.

Endpoint Management solo admite la lista de revocación de certificados (CRL) cuando se trata de una entidad de certificación (CA) de terceros. Si dispone de una entidad de certificación de Microsoft configurada, Endpoint Management utiliza Citrix Gateway para administrar la revocación. Al configurar la autenticación por certificados de cliente, plantéese si es necesario configurar el parámetro de lista de revocación de certificados (CRL) de Citrix Gateway, Enable CRL Auto Refresh. Este paso garantiza que el usuario de un dispositivo en modo solo MAM no pueda autenticarse usando un certificado existente en el dispositivo; Endpoint Management vuelve a emitir un certificado nuevo, porque no impide a un usuario generar un certificado de usuario nuevo si se revoca otro. Este parámetro aumenta la seguridad de las entidades PKI cuando la lista de revocación de certificados comprueba si hay entidades PKI caducadas.

VIP dedicadas o compartidas de Citrix Gateway

Detalles de la decisión:

  • ¿Utiliza actualmente Citrix Gateway para Citrix Virtual Apps and Desktops?
  • ¿Utilizará Endpoint Management el mismo Citrix Gateway que Citrix Virtual Apps and Desktops?
  • ¿Cuáles son los requisitos de autenticación para ambos flujos de tráfico?

Guía para el diseño:

Cuando el entorno de Citrix incluye Endpoint Management junto con Citrix Virtual Apps and Desktops, se puede usar el mismo servidor virtual de Citrix Gateway para ambos. Debido a posibles conflictos de versiones y al aislamiento del entorno, se recomienda un Citrix Gateway dedicado para cada entorno de Endpoint Management.

Si usa la autenticación LDAP, Citrix Workspace y Secure Hub pueden autenticarse en el mismo Citrix Gateway sin problemas. Si usa la autenticación basada en certificados, Endpoint Management envía un certificado al contenedor MDX y Secure Hub utiliza ese certificado para autenticarse en Citrix Gateway. La aplicación Citrix Workspace es independiente de Secure Hub y no puede usar el mismo certificado que Secure Hub para autenticarse en el mismo Citrix Gateway.

Puede plantearse esta solución temporal, que permite usar un mismo FQDN para dos direcciones IP virtuales de Citrix Gateway. Puede crear dos direcciones IP virtuales de Citrix Gateway con la misma dirección IP: la de Secure Hub utilizará el puerto 443 estándar y la de Citrix Virtual Apps and Desktops (que implementan la aplicación Citrix Workspace) utilizará el puerto 444. Así, un solo nombre de dominio completo se resuelve en la misma dirección IP. Para esta solución temporal, quizá deba configurar StoreFront para devolver un archivo ICA para el puerto 444, en lugar de la opción predeterminada, el puerto 443. Esta solución temporal no requiere que los usuarios introduzcan ningún número de puerto.

Tiempos de espera de Citrix Gateway

Detalles de la decisión:

  • ¿Cómo quiere configurar los tiempos de espera de Citrix Gateway para el tráfico de Endpoint Management?

Guía para el diseño:

Citrix Gateway contiene los parámetros “Session time-out” (Tiempo de espera de la sesión) y “Forced time-out” (Tiempo de espera forzado). Para obtener más información, consulte Configuraciones recomendadas. Tenga en cuenta que existen valores de tiempo de espera diferentes para los servicios en segundo plano, Citrix Gateway y para el acceso a aplicaciones sin conexión.

Nombre de dominio completo para la inscripción

Importante:

Para cambiar el FQDN de inscripción, se necesita una nueva base de datos de SQL Server y una recompilación del servidor de Endpoint Management.

Tráfico de Secure Web

Detalles de la decisión:

  • ¿Restringirá Secure Web a la navegación Web interna solamente?
  • ¿Habilitará Secure Web para la navegación Web interna y externa?

Guía para el diseño:

Si va a utilizar Secure Web solo para la navegación web interna, la configuración de Citrix Gateway es sencilla, siempre que Secure Web pueda llegar a todos los sitios internos de manera predeterminada; es posible que deba configurar firewalls y servidores proxy.

Si va a utilizar Secure Web para la navegación interna y externa, debe habilitar la dirección IP de subred (SNIP) para tener acceso saliente a Internet. Debido a que el departamento de TI visualiza generalmente los dispositivos inscritos (usando el contenedor MDX) como una extensión de la red corporativa, TI normalmente quiere que las conexiones de Secure web vuelvan a Citrix Gateway, pasen por un servidor proxy y luego salgan a Internet. De manera predeterminada, Secure Web accede a túneles que van a la red interna, lo que significa que Secure Web usa un túnel VPN por aplicación hacia la red interna para todo el acceso de red y Citrix Gateway usa los parámetros de túnel dividido.

Para obtener información sobre las conexiones de Secure Web, consulte Configurar conexiones de usuario.

Notificaciones push para Secure Mail

Detalles de la decisión:

  • ¿Usará notificaciones push?

Guía de diseño para iOS:

Si la configuración de Citrix Gateway incluye Secure Ticket Authority (STA) y el túnel dividido está desactivado, Citrix Gateway debe permitir el tráfico desde Secure Mail hacia las direcciones URL del servicio de escucha de Citrix indicadas en “Notificaciones push” en Secure Mail para iOS.

Guía de diseño para Android:

Utilice Firebase Cloud Messaging (FCM) para controlar cómo y cuándo los dispositivos Android se conectan a Endpoint Management. Con FCM configurado, toda acción de seguridad o comando de implementación desencadena una notificación push en Secure Hub para pedir al usuario que se reconecte al servidor Endpoint Management.

STA HDX

Detalles de la decisión:

  • ¿Qué STA usar si quiere integrar el acceso a aplicaciones HDX?

Guía para el diseño:

Los STA de HDX deben coincidir con los STA en StoreFront y deben ser válidos para el sitio de Virtual Apps and Desktops.

Citrix Files y Citrix Content Collaboration

Detalles de la decisión:

  • ¿Usará StorageZone Controllers en el entorno?
  • ¿Qué URL de dirección IP virtual de Citrix Files usará?

Guía para el diseño:

Si va a incluir StorageZones Controllers en el entorno, debe configurar correctamente lo siguiente: la VIP de conmutación de contenido de Citrix Files (utilizada por el plano de control de Citrix Files para comunicarse con los servidores de StorageZones Controllers), las VIP de equilibrio de carga de Citrix Files, además de todas las directivas y perfiles necesarios. Para obtener información, consulte la documentación del Controller de Citrix StorageZones.

Proveedor de identidades SAML

Detalles de la decisión:

  • Si necesita SAML para Citrix Files, ¿quiere usar Endpoint Management como proveedor de identidades SAML?

Guía para el diseño:

Se recomienda integrar Citrix Files en Endpoint Management Advanced Edition o Endpoint Management Enterprise Edition, que es una alternativa más sencilla a configurar la federación basada en SAML. Cuando se usa Citrix Files con esas ediciones de Endpoint Management, Endpoint Management ofrece a Citrix Files la autenticación Single Sign-On (SSO) para los usuarios de las aplicaciones móviles de productividad Citrix, el aprovisionamiento de cuentas basado en Active Directory (AD) y directivas completas de control de acceso. La consola de Endpoint Management permite configurar Citrix Files y supervisar los niveles de servicio y uso de licencias.

Tenga en cuenta que hay dos tipos de clientes de Citrix Files: Citrix Files para Endpoint Management (también conocidos como Citrix Files empaquetados) y clientes móviles de Citrix Files (también conocidos como Citrix Files sin empaquetar). Para obtener más información sobre las diferencias, consulte En qué se diferencian los clientes de Citrix Files para Endpoint Management de los clientes móviles de Citrix Files.

Puede configurar Endpoint Management y Citrix Files para usar SAML (Security Assertion Markup Language) y así ofrecer el acceso Single Sign-On (SSO) a aplicaciones móviles de Citrix Files que empaquete con el MDX Service, así como a clientes no empaquetados de Citrix Files (como el sitio web, el plug-in para Outlook o los clientes de sincronización).

Si quiere usar Endpoint Management como proveedor de identidades SAML para Citrix Files, compruebe que estén definidas las configuraciones adecuadas. Para obtener más información, consulte SAML para SSO en Citrix Files.

Conexiones directas con ShareConnect

Detalles de la decisión:

  • ¿Los usuarios accederán a un equipo host desde un equipo o dispositivo móvil que ejecuta ShareConnect con conexiones directas?

Guía para el diseño:

ShareConnect permite a los usuarios conectarse a sus equipos de forma segura a través de iPads, tabletas y teléfonos Android para el acceso a sus archivos y aplicaciones. Para las conexiones directas, Endpoint Management utiliza Citrix Gateway para proporcionar acceso seguro a los recursos de fuera de la red local. Para obtener más información de configuración, consulte ShareConnect.

FQDN de inscripción para cada tipo de implementación

   
Tipo de implementación FQDN de inscripción
Enterprise (MDM + MAM) con inscripción MDM obligatoria FQDN del servidor Endpoint Management
Enterprise (MDM + MAM) con inscripción MDM opcional FQDN del servidor Endpoint Management o FQDN de Citrix Gateway
Solo MDM FQDN del servidor Endpoint Management
Solo MAM (antiguo) FQDN de Citrix Gateway
Solo MAM FQDN del servidor Endpoint Management

Resumen de implementación

Citrix recomienda usar el asistente de NetScaler para XenMobile si quiere asegurarse de una configuración correcta. Tenga en cuenta que solo puede usar el asistente una vez. Si tiene varias instancias de Endpoint Management (por ejemplo, para entornos de prueba, desarrollo y producción) debe configurar manualmente Citrix Gateway para los entornos adicionales. Si dispone de un entorno de trabajo, tome nota de la configuración antes de intentar configurar Citrix Gateway manualmente para Endpoint Management.

La decisión clave que debe tomar al utilizar el asistente es si usar HTTPS o HTTP para comunicarse con el servidor Endpoint Management. HTTPS ofrece una comunicación back-end segura, ya que se cifra el tráfico entre Citrix Gateway y Endpoint Management; el recifrado tiene un impacto en el rendimiento del servidor Endpoint Management. En cambio, HTTP proporciona un mejor rendimiento del servidor Endpoint Management: el tráfico entre Citrix Gateway y Endpoint Management no se cifra. En las siguientes tablas, se muestran los requisitos de puertos HTTP y HTTPS para Citrix Gateway y el servidor Endpoint Management.

HTTPS

Por regla general, Citrix recomienda el puente SSL para los parámetros del servidor virtual MDM de Citrix Gateway. Para usar la descarga de SSL de Citrix Gateway con servidores virtuales MDM, Endpoint Management admite solo el puerto 80 como servicio back-end.

       
Tipo de implementación Método de equilibrio de carga de Citrix Gateway Recifrado SSL Puerto del servidor Endpoint Management
MDM Puente SSL N/D 443, 8443
MAM Descarga de SSL Habilitada 8443
Enterprise MDM: Puente SSL N/D 443, 8443
Enterprise MAM: Descarga de SSL Habilitada 8443

HTTP

       
Tipo de implementación Método de equilibrio de carga de Citrix Gateway Recifrado SSL Puerto del servidor Endpoint Management
MDM Descarga de SSL No admitido 80
MAM Descarga de SSL Habilitada 8443
Enterprise MDM: Descarga de SSL No admitido 80
Enterprise MAM: Descarga de SSL Habilitada 8443

Para obtener diagramas de Citrix Gateway en las implementaciones de Endpoint Management, consulte Arquitectura.