Integración de XenMobile®
Este artículo aborda qué debes considerar al planificar cómo integrar XenMobile con tu red y soluciones existentes. Por ejemplo, si ya usas Citrix ADC para Virtual Apps and Desktops:
- ¿Usas la instancia de Citrix ADC existente o una instancia nueva y dedicada?
- ¿Quieres integrar con XenMobile las aplicaciones HDX publicadas mediante StoreFront™?
- ¿Piensas usar Citrix Files con XenMobile?
- ¿Tienes una solución de Network Access Control que quieras integrar en XenMobile?
- ¿Implementas proxies web para todo el tráfico saliente de tu red?
Citrix ADC y Citrix Gateway
Citrix Gateway es obligatorio para los modos XenMobile ENT y MAM. Citrix Gateway proporciona una ruta de micro VPN para acceder a todos los recursos corporativos y ofrece un sólido soporte de autenticación multifactor. El equilibrio de carga de Citrix ADC es necesario para todos los modos de dispositivo de XenMobile Server:
- Si tienes varios servidores XenMobile
- O, si el servidor XenMobile está dentro de tu DMZ o red interna (y, por lo tanto, el tráfico fluye desde los dispositivos a Citrix ADC y luego a XenMobile)
Puedes usar instancias de Citrix ADC existentes o configurar nuevas para XenMobile. Las siguientes secciones detallan las ventajas y desventajas de usar instancias de Citrix ADC existentes o nuevas y dedicadas.
Citrix ADC MPX compartido con un VIP de Citrix Gateway creado para XenMobile
Ventajas:
- Usa una instancia común de Citrix ADC para todas las conexiones remotas de Citrix: Citrix Virtual Apps and Desktops™, VPN completa y VPN sin cliente.
- Usa las configuraciones existentes de Citrix ADC, como las de autenticación de certificados y para acceder a servicios como DNS, LDAP y NTP.
- Usa una única licencia de plataforma de Citrix ADC.
Desventajas:
- Es más difícil planificar la escalabilidad cuando manejas dos casos de uso diferentes en el mismo Citrix ADC.
- A veces necesitas una versión específica de Citrix ADC para un caso de uso de Citrix Virtual Apps™ and Desktops. Esa misma versión podría tener problemas conocidos para XenMobile. O XenMobile podría tener problemas conocidos para la versión de Citrix ADC.
- Si existe un Citrix Gateway, no puedes ejecutar el asistente de Citrix ADC para XenMobile una segunda vez para crear la configuración de Citrix ADC para XenMobile.
- Excepto cuando se usan licencias Platinum para Citrix Gateway 11.1 o posterior: Las licencias de acceso de usuario instaladas en Citrix ADC y requeridas para la conectividad VPN se agrupan. Debido a que esas licencias están disponibles para todos los servidores virtuales de Citrix ADC, otros servicios además de XenMobile pueden consumirlas potencialmente.
Instancia dedicada de Citrix ADC VPX/MPX
Ventajas:
Citrix recomienda usar una instancia dedicada de Citrix ADC.
- Más fácil de planificar la escalabilidad y separa el tráfico de XenMobile de una instancia de Citrix ADC que ya podría estar limitada en recursos.
- Evita problemas cuando XenMobile y Citrix Virtual Apps and Desktops necesitan diferentes versiones de software de Citrix ADC. La recomendación general es usar la última versión y compilación compatible de Citrix ADC para XenMobile.
- Permite la configuración de Citrix ADC para XenMobile a través del asistente integrado de Citrix ADC para XenMobile.
- Separación virtual y física de los servicios.
- Excepto cuando se usan licencias Platinum para Citrix Gateway 11.1 o posterior: Las licencias de acceso de usuario requeridas para XenMobile solo están disponibles para los servicios de XenMobile en Citrix ADC.
Desventajas:
- Requiere la configuración de servicios adicionales en Citrix ADC para admitir la configuración de XenMobile.
- Requiere otra licencia de plataforma de Citrix ADC. Licencia cada instancia de Citrix ADC para Citrix Gateway.
Para obtener información sobre qué considerar al integrar Citrix ADC y Citrix Gateway con cada modo de XenMobile Server, consulta Integración con Citrix ADC y Citrix Gateway.
StoreFront
Si tienes un entorno de Citrix Virtual Apps and Desktops, puedes integrar aplicaciones HDX™ con XenMobile usando StoreFront. Cuando integras aplicaciones HDX con XenMobile:
- Las aplicaciones están disponibles para los usuarios que están inscritos en XenMobile.
- Las aplicaciones se muestran en la Tienda XenMobile junto con otras aplicaciones móviles.
- XenMobile usa el sitio heredado de PNAgent (servicios) en StoreFront.
- Cuando Citrix Receiver™ está instalado en un dispositivo, las aplicaciones HDX se inician usando Receiver.
StoreFront tiene una limitación de un sitio de servicio por instancia de StoreFront. Supón que tienes varias tiendas y quieres segmentarlas de otro uso de producción. En ese caso, Citrix generalmente recomienda que consideres una nueva instancia de StoreFront y un sitio de servicios para XenMobile.
Las consideraciones incluyen:
- ¿Existen diferentes requisitos de autenticación para StoreFront? El sitio de servicios de StoreFront requiere credenciales de Active Directory para iniciar sesión. Los clientes que solo usan autenticación basada en certificados no pueden enumerar aplicaciones a través de XenMobile usando el mismo Citrix Gateway.
- ¿Usas la misma tienda o creas una nueva?
- ¿Usas el mismo servidor de StoreFront o uno diferente?
Las siguientes secciones detallan las ventajas y desventajas de usar StoreFronts separados o combinados para Receiver y aplicaciones de productividad móvil.
Integra tu instancia existente de StoreFront con un servidor XenMobile
Ventajas:
- Misma tienda: No se requiere configuración adicional de StoreFront para XenMobile, asumiendo que usas el mismo VIP de Citrix ADC para el acceso HDX. Supón que eliges usar la misma tienda y quieres dirigir el acceso de Receiver a un nuevo VIP de Citrix ADC. En ese caso, agrega la configuración apropiada de Citrix Gateway a StoreFront.
- Mismo servidor de StoreFront: Usa la instalación y configuración existentes de StoreFront.
Desventajas:
- Misma tienda: Cualquier reconfiguración de StoreFront para admitir cargas de trabajo de Virtual Apps and Desktops podría afectar negativamente a XenMobile también.
- Mismo servidor de StoreFront: En entornos grandes, considera la carga adicional del uso de PNAgent por parte de XenMobile para la enumeración y el inicio de aplicaciones.
Usa una instancia nueva y dedicada de StoreFront para la integración con XenMobile Server
Ventajas:
- Nueva tienda: Cualquier cambio de configuración de la tienda de StoreFront para XenMobile no debe afectar las cargas de trabajo existentes de Virtual Apps and Desktops.
- Nuevo servidor de StoreFront: Los cambios de configuración del servidor no deben afectar el flujo de trabajo de Virtual Apps and Desktops. Además, la carga fuera del uso de PNAgent por parte de XenMobile para la enumeración y el lanzamiento de aplicaciones no debe afectar la escalabilidad.
Desventajas:
- Nueva tienda: Configuración de la tienda de StoreFront.
- Nuevo servidor de StoreFront: Requiere una nueva instalación y configuración de StoreFront.
Para obtener más información, consulta Virtual Apps and Desktops a través de Citrix Secure Hub en la documentación de XenMobile.
ShareFile y Citrix Files
Descargo de responsabilidad:
Esta función quedará obsoleta si ShareFile (ahora Progress) interrumpe su soporte.
Citrix Files permite a los usuarios acceder y sincronizar todos sus datos desde cualquier dispositivo. Con Citrix Files, los usuarios pueden compartir datos de forma segura con personas tanto dentro como fuera de la organización. Si integras ShareFile con XenMobile Advanced Edition o Enterprise Edition, XenMobile puede proporcionar a Citrix Files:
- Autenticación de inicio de sesión único para usuarios de la aplicación XenMobile.
- Aprovisionamiento de cuentas de usuario basado en Active Directory.
- Políticas integrales de control de acceso.
Los usuarios móviles pueden beneficiarse del conjunto completo de funciones de la cuenta Enterprise.
Alternativamente, puedes configurar XenMobile para que se integre solo con conectores de zona de almacenamiento. A través de los conectores de zona de almacenamiento, Citrix Files proporciona acceso a:
- Documentos y carpetas
- Recursos compartidos de archivos de red
- En sitios de SharePoint: Colecciones de sitios y bibliotecas de documentos.
Los recursos compartidos de archivos conectados pueden incluir las mismas unidades de inicio de red utilizadas en entornos de Citrix Virtual Apps and Desktops. Usas la consola de XenMobile para configurar la integración con Citrix Files o los conectores de zona de almacenamiento. Para obtener más información, consulta Uso de Citrix Files con XenMobile.
Las siguientes secciones detallan las preguntas que debes hacer al tomar decisiones de diseño para Citrix Files.
Integrar con Citrix Files o solo con conectores de zona de almacenamiento
Preguntas que debes hacer:
- ¿Quieres almacenar datos en zonas de almacenamiento administradas por Citrix?
- ¿Quieres proporcionar a los usuarios capacidades de sincronización y uso compartido de archivos?
- ¿Quieres permitir a los usuarios acceder a archivos en el sitio web de Citrix Files? ¿O acceder a contenido de Office 365 y conectores de Personal Cloud desde dispositivos móviles?
Decisión de diseño:
- Si la respuesta a cualquiera de esas preguntas es “sí”, integra con Citrix Files.
- Una integración solo con conectores de zona de almacenamiento brinda a los usuarios de iOS acceso móvil seguro a los repositorios de almacenamiento locales existentes, como sitios de SharePoint y recursos compartidos de archivos de red. En esta configuración, no configuras un subdominio de ShareFile, no aprovisionas usuarios en Citrix Files ni alojas datos de Citrix Files. El uso de conectores de zona de almacenamiento con XenMobile cumple con las restricciones de seguridad contra la fuga de información del usuario fuera de la red corporativa.
Ubicación del servidor del controlador de zonas de almacenamiento
Preguntas que debes hacer:
- ¿Necesitas almacenamiento local o funciones como los conectores de zona de almacenamiento?
- Si usas funciones locales de Citrix Files, ¿dónde se ubicarán los controladores de zonas de almacenamiento en la red?
Decisión de diseño:
- Determina si ubicar los servidores del controlador de zonas de almacenamiento en la nube de Citrix Files, en tu sistema de almacenamiento local de un solo inquilino o en almacenamiento en la nube de terceros compatible.
- Los controladores de zonas de almacenamiento requieren cierto acceso a Internet para comunicarse con el plano de control de Citrix Files. Puedes conectarte de varias maneras, incluido el acceso directo, las configuraciones NAT/PAT o las configuraciones de proxy.
Conectores de zona de almacenamiento
Preguntas a considerar:
- ¿Cuáles son las rutas de los recursos compartidos CIFS?
- ¿Cuáles son las URL de SharePoint?
Decisión de diseño:
- Determina si se requieren controladores de zonas de almacenamiento locales para acceder a esas ubicaciones.
- Debido a la comunicación del conector de zonas de almacenamiento con recursos internos como repositorios de archivos, recursos compartidos CIFS y SharePoint: Citrix recomienda que los controladores de zonas de almacenamiento residan en la red interna, detrás de los firewalls de la DMZ y con Citrix ADC como interfaz.
Integración de SAML con XenMobile Enterprise
Preguntas a considerar:
- ¿Se requiere autenticación de Active Directory para Citrix Files?
- ¿El primer uso de la aplicación Citrix Files para XenMobile requiere SSO?
- ¿Hay un IdP estándar en tu entorno actual?
- ¿Cuántos dominios se requieren para usar SAML?
- ¿Hay varios alias de correo electrónico para los usuarios de Active Directory?
- ¿Hay migraciones de dominios de Active Directory en curso o programadas para pronto?
Decisión de diseño:
Los entornos de XenMobile Enterprise pueden elegir usar SAML como mecanismo de autenticación para Citrix Files. Las opciones de autenticación son:
- Usa XenMobile Server como proveedor de identidades (IdP) para SAML
Esta opción puede proporcionar una excelente experiencia de usuario, automatizar la creación de cuentas de Citrix Files y habilitar las funciones de SSO de la aplicación móvil.
- XenMobile Server está mejorado para este proceso: no requiere la sincronización de Active Directory.
- Usa la herramienta de administración de usuarios de Citrix Files para el aprovisionamiento de usuarios.
- Usa un proveedor externo compatible como IdP para SAML
Si tienes un IdP existente y compatible y no requieres capacidades de SSO para aplicaciones móviles, esta opción podría ser la más adecuada para ti. Esta opción también requiere el uso de la herramienta de administración de usuarios de Citrix Files para el aprovisionamiento de cuentas.
El uso de soluciones IdP de terceros, como ADFS, también puede proporcionar capacidades de SSO en el lado del cliente de Windows. Asegúrate de evaluar los casos de uso antes de elegir tu IdP SAML de Citrix Files.
Además, para satisfacer ambos casos de uso, puedes configurar ADFS y XenMobile como un IdP dual.
Aplicaciones móviles
Preguntas a considerar:
- ¿Qué aplicación móvil de Citrix Files planeas usar (pública, MDM, MDX)?
Decisión de diseño:
- Distribuyes aplicaciones de productividad móvil desde Apple App Store y Google Play Store. Con esa distribución pública de la tienda de aplicaciones, obtienes aplicaciones encapsuladas desde la página de descargas de Citrix.
- Si la seguridad es baja y no requieres la contenerización, la aplicación pública de Citrix Files podría no ser adecuada. En un entorno solo MDM, puedes entregar la versión MDM de la aplicación Citrix Files usando XenMobile en modo MDM.
- Para obtener más información, consulta Aplicaciones y Citrix Files para XenMobile.
Seguridad, directivas y control de acceso
Preguntas a considerar:
- ¿Qué restricciones requieres para los usuarios de escritorio, web y móviles?
- ¿Qué configuraciones estándar de control de acceso quieres para los usuarios?
- ¿Qué directiva de retención de archivos planeas usar?
Decisión de diseño:
- Citrix Files te permite administrar los permisos de los empleados y la seguridad de los dispositivos. Para obtener información, consulta Permisos de empleados y Administración de dispositivos y aplicaciones.
- Algunas configuraciones de seguridad de dispositivos de Citrix Files y directivas MDX controlan las mismas funciones. En esos casos, las directivas de XenMobile tienen prioridad, seguidas de las configuraciones de seguridad de dispositivos de Citrix Files. Ejemplos: Si deshabilitas las aplicaciones externas en Citrix Files, pero las habilitas en XenMobile, las aplicaciones externas se deshabilitan en Citrix Files. Puedes configurar las aplicaciones para que XenMobile no requiera un PIN/código de acceso, pero la aplicación Citrix Files sí lo requiera.
Zonas de almacenamiento estándar frente a restringidas
Preguntas a considerar:
- ¿Requieres zonas de almacenamiento restringidas?
Decisión de diseño:
- Una zona de almacenamiento estándar está destinada a datos no confidenciales y permite a los empleados compartir datos con personas que no son empleados. Esta opción admite flujos de trabajo que implican compartir datos fuera de tu dominio.
- Una zona de almacenamiento restringida protege los datos confidenciales: solo los usuarios de dominio autenticados pueden acceder a los datos almacenados en la zona.
Proxies web
El escenario más probable para enrutar el tráfico de XenMobile a través de un proxy HTTP(S)/SOCKS es el siguiente: cuando la subred en la que reside XenMobile Server no tiene acceso a Internet saliente a las direcciones IP requeridas de Apple, Google o Microsoft. Puedes especificar la configuración del servidor proxy en XenMobile para enrutar todo el tráfico de Internet al servidor proxy. Para obtener más información, consulta Habilitar servidores proxy.
La siguiente tabla describe las ventajas y desventajas del proxy más común utilizado con XenMobile.
| Opción | Ventajas | Desventajas |
| Usa un proxy HTTP(S)/SOCKS con un XenMobile Server. | En los casos en que las directivas no permiten conexiones salientes a Internet desde la subred de XenMobile Server: puedes configurar un proxy HTTP(S) o SOCKS para proporcionar conectividad a Internet. | Si el servidor proxy falla, la conectividad de APNs (iOS) o Firebase Cloud Messaging (Android) se interrumpe. Como resultado, las notificaciones de dispositivos fallan para todos los dispositivos iOS y Android. |
| Usa un proxy HTTP(S) con Secure Web. | Puedes supervisar el tráfico HTTP/HTTPS para asegurarte de que la actividad de Internet cumpla con los estándares de tu organización. | Esta configuración requiere que todo el tráfico de Internet de Secure Web se tunelice de vuelta a la red corporativa antes de ser enviado de nuevo a Internet. Si tu conexión a Internet restringe la navegación: esta configuración podría afectar el rendimiento de la navegación por Internet. |
La configuración de tu perfil de sesión de Citrix ADC para el split tunneling afecta al tráfico de la siguiente manera.
Cuando el split tunneling de Citrix ADC está desactivado:
- Si la directiva de Acceso a la red de MDX está configurada como Tunelizado a la red interna: todo el tráfico se fuerza a usar el micro VPN o el túnel VPN sin cliente (cVPN) de vuelta a Citrix Gateway.
- Configura las directivas/perfiles de tráfico de Citrix ADC para el servidor proxy y vincúlalos al VIP de Citrix Gateway.
Importante:
Asegúrate de excluir el tráfico cVPN de Secure Hub del proxy.
- Para obtener más información, consulta Tráfico de Secure Hub de XenMobile a través del servidor proxy en modo de navegación segura.
Cuando el split tunneling de Citrix ADC está activado:
- Cuando las aplicaciones están configuradas con la directiva de Acceso a la red de MDX establecida en Tunelizado a la red interna: las aplicaciones intentan primero obtener el recurso web directamente. Si el recurso web no está disponible públicamente, esas aplicaciones recurren a Citrix Gateway.
- Configura las directivas y perfiles de tráfico de Citrix ADC para el servidor proxy. Luego, vincula esas directivas y perfiles al VIP de Citrix Gateway.
Importante:
Asegúrate de excluir el tráfico cVPN de Secure Hub del proxy.
La configuración de tu perfil de sesión de Citrix ADC para Split DNS (en Experiencia del cliente) funciona de manera similar al split tunneling.
Con Split DNS habilitado y configurado en Ambos:
- El cliente intenta primero resolver el FQDN localmente y luego recurre a Citrix ADC para la resolución de DNS en caso de fallo.
Con Split DNS configurado en Remoto:
- La resolución de DNS ocurre solo en Citrix ADC.
Con Split DNS configurado en Local:
- El cliente intenta resolver el FQDN localmente. Citrix ADC no se usa para la resolución de DNS.
Control de acceso
Las empresas pueden administrar dispositivos móviles dentro y fuera de las redes. Las soluciones de gestión de la movilidad empresarial, como XenMobile, son excelentes para proporcionar seguridad y controles para dispositivos móviles, independientemente de la ubicación. Sin embargo, cuando las combinas con una solución de Control de Acceso a la Red (NAC), puedes añadir QoS y un control más granular a los dispositivos que son internos a tu red. Esa combinación te permite extender la evaluación de seguridad de dispositivos de XenMobile a través de tu solución NAC. Tu solución NAC puede entonces usar la evaluación de seguridad de XenMobile para facilitar y manejar las decisiones de autenticación.
Puedes usar cualquiera de estas soluciones para aplicar directivas NAC:
- Citrix Gateway
- Cisco Identity Services Engine (ISE)
- ForeScout
Citrix no garantiza la integración para otras soluciones NAC.
Las ventajas de la integración de una solución NAC con XenMobile incluyen las siguientes:
- Mejor seguridad, cumplimiento y control para todos los puntos finales en una red empresarial.
- Una solución NAC puede:
- Detectar dispositivos en el instante en que intentan conectarse a tu red.
- Consultar a XenMobile para obtener atributos de dispositivos.
- Usar esa información del dispositivo para determinar si permitir, bloquear, limitar o redirigir esos dispositivos. Esas decisiones dependen de las directivas de seguridad que elijas aplicar.
- Una solución NAC proporciona a los administradores de TI una vista de los dispositivos no administrados y no conformes.
Para obtener una descripción de los filtros de cumplimiento de NAC compatibles con XenMobile y una descripción general de la configuración, consulta Control de acceso a la red.