Product Documentation

Integración de XenMobile

21 de febrero de 2018

En este artículo se describen los elementos a tener en cuenta al planificar cómo se integra XenMobile en su red y sus soluciones existentes. Por ejemplo, si ya está usando NetScaler para XenApp y XenDesktop:

  • ¿Debería utilizar la instancia existente de NetScaler o una nueva instancia dedicada?
  • ¿Quiere integrar en XenMobile las aplicaciones HDX que se han publicado usando StoreFront?
  • ¿Piensa utilizar ShareFile con XenMobile?
  • ¿Tiene una solución de control de acceso a la red que quiera integrar en XenMobile?

NetScaler y NetScaler Gateway

NetScaler Gateway es obligatorio para los modos ENT y MAM de XenMobile. NetScaler Gateway proporciona una ruta de red micro VPN para acceder a todos los recursos de empresa. Asimismo, ofrece un respaldo sólido a la autenticación de varios factores. El equilibrio de carga de NetScaler es obligatorio para todos los modos de dispositivos que ofrece XenMobile:

  • Si tiene varios servidores XenMobile.
  • O bien, si XenMobile Server se encuentra en la zona desmilitarizada o la red interna (y, por lo tanto, el tráfico va desde los dispositivos a NetScaler a XenMobile).

Puede usar instancias existentes de NetScaler o configurar nuevas para XenMobile. En las secciones siguientes se indican las ventajas y las desventajas de utilizar las instancias de NetScaler existentes o unas instancias nuevas dedicadas.

NetScaler MPX compartido con una VIP de NetScaler Gateway creada para XenMobile

Ventajas:

  • Utiliza una instancia común de NetScaler para todas las conexiones remotas de Citrix: XenApp, VPN completa y VPN sin cliente.
  • Utiliza las configuraciones existentes de NetScaler; por ejemplo, para la autenticación con certificados y para acceder a servicios como DNS, LDAP y NTP.
  • Utiliza una sola licencia de plataforma NetScaler.

Desventajas:

  • Es más difícil planificar la escalabilidad cuando se enfrenta a dos casos de uso muy diferentes en el mismo NetScaler.
  • Algunas veces necesita una versión específica de NetScaler para un caso de uso de XenApp. Esa misma versión podría tener problemas conocidos para XenMobile. O XenMobile podría presentar problemas conocidos para la versión de NetScaler.
  • Si ya existe un NetScaler Gateway, no puede ejecutar el asistente de NetScaler para XenMobile por segunda vez para crear la configuración de NetScaler para XenMobile.
  • Excepto cuando se usan licencias Platinum para NetScaler Gateway 11.1 o posterior, se agrupan las licencias de acceso de usuario instaladas en NetScaler, necesarias para la conectividad VPN. Puesto que esas licencias están disponibles para todos los servidores virtuales de NetScaler, unos servicios que no sean XenMobile pueden potencialmente consumirlas.

Instancia dedicada de NetScaler VPX o MPX

Ventajas:

Citrix recomienda usar una instancia dedicada de NetScaler.

  • Es más fácil planear la escalabilidad en ella. Además, así el tráfico de XenMobile se separa de una instancia de NetScaler que podría ya tener restricciones de recursos.
  • Evita problemas cuando XenMobile y XenApp necesitan diferentes versiones de NetScaler. Por lo general, es mejor utilizar la versión y la compilación más recientes de NetScaler compatibles con XenMobile.
  • Permite configurar NetScaler para XenMobile gracias al asistente integrado de NetScaler para XenMobile.
  • Separación virtual y física de servicios.

Desventajas:

  • Requiere la instalación y la configuración de servicios adicionales en NetScaler para admitir la configuración de XenMobile.
  • Requiere otra licencia de plataforma de NetScaler. Cada instancia de NetScaler deberá disponer de una licencia para NetScaler Gateway.

Para obtener información sobre qué elementos tener en cuenta cuando quiere integrar NetScaler y NetScaler Gateway en cada modo de servidor XenMobile, consulte Integración con NetScaler y NetScaler Gateway.

StoreFront

Si tiene un entorno de Citrix XenApp y XenDesktop, puede usar StoreFront para integrar aplicaciones HDX en XenMobile. Cuando integra aplicaciones HDX en XenMobile:

  • Las aplicaciones están disponibles para los usuarios que están inscritos en XenMobile.
  • Las aplicaciones se muestran en XenMobile Store junto con otras aplicaciones móviles.
  • XenMobile utiliza el sitio antiguo de (servicios) PNAgent en StoreFront.
  • Cuando Citrix Receiver está instalado en un dispositivo, las aplicaciones HDX comienzan a usar Receiver.

StoreFront presenta una limitación de un sitio de servicios por instancia de StoreFront. Supongamos que tiene varias tiendas y quiere separarlas de otro uso de producción. En ese caso, Citrix recomienda generalmente que se plantee un nuevo sitio de servicios y una nueva instancia de StoreFront para XenMobile.

Consideraciones:

  • ¿Hay algún requisito de autenticación diferente para StoreFront? El sitio de servicios de StoreFront requiere credenciales de Active Directory para el inicio de sesión. Los clientes que solo usan la autenticación basada en certificados no pueden enumerar las aplicaciones a través de XenMobile utilizando el mismo NetScaler Gateway.
  • ¿Usar la misma tienda o crear una nueva?
  • ¿Usar el mismo servidor de StoreFront o no?

En las siguientes secciones se indican las ventajas y las desventajas de utilizar StoreFronts separados o combinados para las aplicaciones Receiver y XenMobile.

Integrar la instancia existente de StoreFront en XenMobile

Ventajas:

  • Misma tienda: No se requiere configuración adicional de StoreFront para XenMobile, suponiendo que utilice la misma dirección IP virtual de NetScaler para el acceso HDX. Supongamos que elige usar la misma tienda y quiere dirigir el acceso de Receiver a una nueva dirección IP virtual de NetScaler. En ese caso, agregue la configuración apropiada de NetScaler Gateway a StoreFront.
  • Mismo servidor StoreFront: Utiliza la instalación y la configuración del StoreFront existente.

Desventajas:

  • Misma tienda: Cualquier cambio en la configuración de StoreFront para admitir las cargas de trabajo de XenApp y XenDesktop puede afectar negativamente a XenMobile.
  • Mismo servidor StoreFront: En entornos grandes, tenga en cuenta la carga adicional que provocará el uso de PNAgent por parte de XenMobile para la enumeración y el inicio de las aplicaciones.

Usar una instancia nueva y dedicada de StoreFront para la integración en XenMobile

Ventajas:

  • Nueva tienda: Ningún cambio en la configuración de la tienda StoreFront para XenMobile debería afectar las cargas de trabajo existentes de XenApp y XenDesktop.
  • Nuevo servidor StoreFront: Los cambios en la configuración del servidor no deberían afectar al flujo de trabajo de XenApp y XenDesktop. Además, la carga no derivada del uso de PNAgent por parte de XenMobile para la enumeración y el inicio de aplicaciones no debe afectar a la escalabilidad.

Desventajas:

  • Nueva tienda: Configuración de la tienda StoreFront.
  • Nuevo servidor StoreFront: Requiere una nueva instalación y configuración de StoreFront.

Para obtener más información, consulte XenApp y XenDesktop desde Citrix Secure Hub.

ShareFile

ShareFile permite a los usuarios acceder y sincronizar todos sus datos desde cualquier dispositivo. Con ShareFile, los usuarios pueden compartir datos de forma segura con personas tanto dentro como fuera de la organización. Si integra ShareFile con XenMobile Advanced Edition o Enterprise Edition, XenMobile puede proporcionar a ShareFile:

  • Autenticación Single Sign-On para los usuarios de las aplicaciones de XenMobile.
  • Aprovisionamiento de cuentas de usuario basado en Active Directory.
  • Directivas integrales para controlar el acceso.

Los usuarios de dispositivos móviles pueden beneficiarse del conjunto completo de características de ShareFile Enterprise.

De forma alternativa, puede configurar XenMobile para integrarlo solamente con conectores StorageZone. A través de los conectores StorageZone, ShareFile proporciona acceso a:

  • Documentos y carpetas
  • Recursos compartidos de red
  • En sitios de SharePoint: Colecciones de sitios y bibliotecas de documentos.

Los recursos compartidos conectados pueden incluir las mismas unidades “home” de red utilizadas en entornos de Citrix XenDesktop o XenApp. Puede utilizar la consola de XenMobile para configurar la integración con ShareFile Enterprise o los conectores StorageZone. Para obtener más información, consulte Uso de ShareFile con XenMobile.

En las siguientes secciones se indican las preguntas a contestar cuando se decide el diseño de ShareFile.

Integrar con ShareFile Enterprise o solo con conectores StorageZone

Preguntas que contestar:

  • ¿Necesita almacenar datos en las zonas StorageZone que administrada Citrix?
  • ¿Quiere ofrecer a los usuarios funciones de intercambio y sincronización de archivos?
  • ¿Quiere que los usuarios puedan acceder a los archivos que se encuentran en el sitio Web de ShareFile? ¿O que puedan acceder al contenido de Office 365 y los conectores de nube personal desde dispositivos móviles?

Decisión en cuanto a diseño:

  • Si la respuesta a cualquiera de esas preguntas es “sí”, intégrelo con ShareFile Enterprise.
  • Una integración con solo conectores StorageZone permite a los usuarios iOS un acceso móvil seguro a repositorios de almacenamiento locales existentes, como sitios de SharePoint y recursos compartidos de archivos de red. Esta configuración no requiere configurar ningún subdominio de ShareFile, aprovisionar usuarios a ShareFile ni alojar datos de ShareFile. El uso de conectores StorageZone con XenMobile cumple las restricciones de seguridad contra la filtración de datos del usuario fuera de la red corporativa.

Ubicación de servidores StorageZones Controllers de ShareFile

Preguntas que contestar:

  • ¿Necesita almacenamiento local o características como conectores StorageZone?
  • Si usa las características locales de ShareFile, ¿dónde se ubicarán los StorageZones Controllers de ShareFile en la red?

Decisión en cuanto a diseño:

  • Determine si ubicar los servidores de StorageZones Controllers en la nube de ShareFile, en su sistema local de almacenamiento de arrendatarios individuales o en un almacenamiento en la nube de terceros compatible.
  • Los StorageZones Controllers requieren acceso a Internet para comunicarse con el plano de control de Citrix ShareFile. Puede conectarse de varias formas, incluido el acceso directo o las configuraciones NAT/PAT.

Conectores StorageZone

Preguntas que contestar:

  • ¿Cuáles son las rutas a recursos CIFS?
  • ¿Cuáles son las URL de SharePoint?

Decisión en cuanto a diseño:

  • Determine si son necesarios unos StorageZones Controllers locales para acceder a esas ubicaciones.
  • Debido a la comunicación de StorageZone Connector con recursos internos (como repositorios de archivos, recursos CIFS y SharePoint), Citrix recomienda que los StorageZones Controllers residan en la red interna, detrás de los firewalls DMZ y de NetScaler.

Integración de SAML con XenMobile Enterprise

Preguntas que contestar:

  • ¿Se requiere la autenticación de Active Directory para ShareFile?
  • ¿Se requiere SSO la primera vez que se usa la aplicación ShareFile para XenMobile?
  • ¿Hay un proveedor de identidades estándar en el entorno actual?
  • ¿Cuántos dominios se requieren para usar SAML?
  • ¿Hay varios alias de correo electrónico para los usuarios de Active Directory?
  • ¿Hay alguna migración de dominio de Active Directory en curso o programada próximamente?

Decisión en cuanto a diseño:

Los entornos de XenMobile Enterprise pueden optar por utilizar SAML como el mecanismo de autenticación para ShareFile. Las opciones de autenticación son:

  • Utilizar XenMobile Server como el proveedor de identidades (IdP) para SAML

Esta opción puede proporcionar una excelente experiencia de usuario, puede automatizar la creación de cuentas de ShareFile, así como también puede habilitar las características SSO para las aplicaciones móviles.

  • XenMobile Server se ha mejorado para este proceso, ya que no requiere la sincronización de Active Directory.
  • Usar la herramienta ShareFile User Management Tool para el aprovisionamiento de usuarios.
  • Usar un proveedor de terceros compatible en calidad de IdP para SAML

Si tiene un IdP existente compatible y no requiere capacidades SSO para aplicaciones móviles, esta puede ser la opción más adecuada. Esta opción también requiere la herramienta ShareFile User Management Tool para el aprovisionamiento de cuentas.

Usar soluciones IdP de terceros, como ADFS, también puede proporcionar capacidades SSO en el lado del cliente Windows. Debe valorar los casos de uso antes de elegir su IdP SAML para ShareFile.

Además, para ambos casos de uso, puede Configurar ADFS y XenMobile como un IdP dual.

Aplicaciones móviles

Preguntas que contestar:

  • ¿Qué aplicación móvil de ShareFile va a usar (pública, MDM, MDX)?

Decisión en cuanto a diseño:

  • Puede distribuir aplicaciones de XenMobile Apps desde la App Store de Apple y desde Google Play Store. Con esa distribución desde la tienda pública de aplicaciones, se obtienen aplicaciones empaquetadas desde la página de descargas de Citrix.
  • Si la seguridad es baja y no se necesitan contenedores, puede que la aplicación pública ShareFile no sea la adecuada. En un entorno solo MDM, puede entregar la versión MDM de la aplicación ShareFile usando XenMobile en modo MDM.
  • Para obtener más información, consulte Aplicaciones y Citrix ShareFile para XenMobile.

Seguridad, directivas y control de acceso

Preguntas que contestar:

  • ¿Qué restricciones necesita para usuarios móviles, Web y de escritorio?
  • ¿Qué configuración estándar quiere para controlar el acceso de los usuarios?
  • ¿Qué directiva de retención de archivos va a usar?

Decisión en cuanto a diseño:

  • ShareFile le permite administrar los permisos de los empleados y la seguridad de los dispositivos. Para obtener información, consulte Permisos de empleado y Administración de dispositivos y aplicaciones.
  • Determinadas directivas MDX y configuraciones de ShareFile para la seguridad del dispositivo controlan las mismas funciones. En esos casos, tienen prioridad las directivas de XenMobile, seguidas de las configuraciones de ShareFile para la seguridad de los dispositivos. Ejemplos: Si inhabilita aplicaciones externas en ShareFile, pero las habilita en XenMobile, las aplicaciones externas se inhabilitan en ShareFile. Puede configurar las aplicaciones para que XenMobile no requiera PIN o código de acceso, pero la aplicación ShareFile lo requiere.

Zonas StorageZone estándar o restringidas

Preguntas que contestar:

  • ¿Necesita zonas StorageZone restringidas?

Decisión en cuanto a diseño:

  • Una zona StorageZone estándar está diseñada para almacenar datos no confidenciales, y permite a los empleados compartir datos con otras personas ajenas a la empresa. En esta opción se admiten flujos de trabajo que implican compartir datos fuera del dominio.
  • Una zona StorageZone restringida protege datos confidenciales: solo los usuarios de dominio autenticados pueden acceder a los datos almacenados en estas zonas.

Control de acceso

Las empresas ahora pueden administrar dispositivos móviles dentro y fuera de las redes. Las soluciones de administración de la movilidad empresarial (como XenMobile) son excelentes para proporcionar la seguridad de los dispositivos móviles y control sobre ellos, independientemente de la ubicación. Sin embargo, cuando esas soluciones se combinan con una solución de control de acceso a la red (NAC), puede agregar QoS y un control más preciso a los dispositivos internos de su red. Esa combinación le permite extender a la solución NAC la evaluación de seguridad de dispositivos que ofrece XenMobile. La solución NAC puede usar la evaluación de seguridad de XenMobile para facilitar y gestionar las decisiones de autenticación. Citrix ha validado la integración de NAC en XenMobile para Cisco Identity Services Engine (ISE) o ForeScout. Citrix no garantiza la integración de otras soluciones NAC.

Las ventajas de la integración de una solución NAC en XenMobile son:

  • Una seguridad, conformidad y control mejores para todos los dispositivos de punto final en una red empresarial.
  • Una solución NAC puede:
    • Detectar dispositivos en el instante en que intentan conectarse a la red.
    • Buscar atributos de los dispositivos en XenMobile.
    • Luego, usar esa información para determinar si permitir, bloquear, limitar o redirigir esos dispositivos. Esas decisiones dependen de las directivas de seguridad que elija aplicar.
  • Una solución NAC ofrece a los administradores de TI una visión que engloba dispositivos no administrados y no conformes.

Para obtener una descripción de los filtros de conformidad de NAC que admite XenMobile, consulte Control de acceso a la red.

Integración de XenMobile