Citrix Endpoint Management

Intégration avec NetScaler Gateway et Citrix ADC

Lorsqu’il est intégré à Citrix Endpoint Management, NetScaler Gateway fournit aux appareils MAM un mécanisme d’authentification pour l’accès des appareils distants au réseau interne. Cette intégration permet aux applications de productivité mobiles Citrix de se connecter à des serveurs d’entreprise situés dans l’intranet via un micro VPN. Citrix Endpoint Management crée un micro VPN depuis les applications vers NetScaler Gateway sur l’appareil. NetScaler Gateway fournit un chemin micro VPN pour l’accès à toutes les ressources de l’entreprise et fournit une prise en charge de l’authentification forte à multi-facteurs.

Lorsqu’un utilisateur refuse l’inscription MDM, les appareils s’inscrivent à l’aide du nom de domaine complet NetScaler Gateway.

Citrix Cloud Operations gère l’équilibrage de charge Citrix ADC.

Décisions de conception

Les sections suivantes résument les nombreuses décisions de conception à prendre en compte lors de la planification d’une intégration de NetScaler Gateway avec Citrix Endpoint Management.

Certificats

Détails de la décision :

  • Avez-vous besoin d’un niveau de sécurité plus élevé pour l’inscription et l’accès à l’environnement Citrix Endpoint Management ?
  • Pourriez-vous considérez le protocole LDAP ?

Conseils de conception :

La configuration par défaut pour Citrix Endpoint Management est l’authentification par nom d’utilisateur et mot de passe. Pour ajouter une autre couche de sécurité pour l’inscription et l’accès à l’environnement Citrix Endpoint Management, vous pouvez utiliser l’authentification basée sur certificats. Vous pouvez utiliser des certificats avec LDAP pour l’authentification à deux facteurs, ce qui permet d’offrir un degré de sécurité supérieur sans avoir besoin d’un serveur RSA.

Si vous n’autorisez pas LDAP et utilisez des cartes à puce ou méthodes similaires, la configuration des certificats vous permet de représenter une carte à puce auprès de Citrix Endpoint Management. Les utilisateurs s’inscrivent alors à l’aide d’un code PIN unique généré par Citrix Endpoint Management. Une fois qu’un utilisateur a accès, Citrix Endpoint Management crée et déploie le certificat utilisé ultérieurement pour s’authentifier auprès de l’environnement Citrix Endpoint Management.

Citrix Endpoint Management prend en charge la liste de révocation de certificats (CRL) uniquement pour une autorité de certification tierce. Si vous disposez d’une autorité de certification Microsoft configurée, Citrix Endpoint Management utilise NetScaler Gateway pour gérer la révocation. Lorsque vous configurez l’authentification basée sur un certificat client, vous devez décider si vous avez besoin de configurer le paramètre Liste de révocation de certificats (CRL) NetScaler Gateway Enable CRL Auto Refresh. Cette étape garantit que l’utilisateur d’un appareil inscrit en mode MAM exclusif ne peut pas s’authentifier à l’aide d’un certificat existant sur l’appareil. Citrix Endpoint Management émet un nouveau certificat, car il n’interdit pas à un utilisateur de générer un certificat utilisateur si un certificat est révoqué. Ce paramètre renforce la sécurité des entités PKI lorsque la CRL vérifie la présence d’entités PKI expirées.

VIP NetScaler Gateway dédiés ou partagés

Détails de la décision :

  • Utilisez-vous actuellement NetScaler Gateway pour Citrix Virtual Apps and Desktops ?
  • Citrix Endpoint Management utilisera-t-il la même instance NetScaler Gateway que Citrix Virtual Apps and Desktops ?
  • Quelles sont les exigences d’authentification pour les deux flux de trafic ?

Conseils de conception :

Lorsque votre environnement Citrix comprend Citrix Endpoint Management, Virtual Apps and Desktops, vous pouvez utiliser le même serveur virtuel NetScaler Gateway pour les deux. En raison de conflits de version et d’isolement d’environnement potentiels, une instance NetScaler Gateway dédiée est recommandée pour chaque environnement Citrix Endpoint Management.

Si vous utilisez l’authentification LDAP, Citrix Secure Hub peuvent s’authentifier auprès du même NetScaler Gateway sans problème. Si vous utilisez l’authentification par certificat, Citrix Endpoint Management envoie un certificat dans le conteneur MDX et Citrix Secure Hub utilise le certificat pour s’authentifier auprès de NetScaler Gateway.

Vous pouvez envisager cette solution, ce qui vous permet d’utiliser le même nom de domaine complet pour deux VIP NetScaler Gateway. Vous pouvez créer deux adresses IP virtuelles (VIP) NetScaler Gateway avec la même adresse IP. Cependant, celle de Citrix Secure Hub utilise le port 443 standard et celle de Citrix Virtual Apps and Desktops (qui déploie l’application Citrix Workspace) utilise le port 444. Ensuite, un nom de domaine complet résout la même adresse IP. Si vous utilisez cette solution, vous devrez peut-être configurer StoreFront pour renvoyer un fichier ICA pour le port 444, au lieu du port 443 par défaut. Avec cette solution, les utilisateurs n’ont pas besoin d’entrer un numéro de port.

Délais d’expiration NetScaler Gateway

Détails de la décision :

  • Comment voulez-vous configurer les délais d’expiration NetScaler Gateway pour le trafic Citrix Endpoint Management ?

Conseils de conception :

NetScaler Gateway inclut les paramètres Délai d’expiration de session et Délai d’expiration forcé. Pour de plus amples informations, consultez la section Configurations recommandées. Gardez à l’esprit qu’il existe différentes valeurs de délai d’expiration pour les services d’arrière-plan, NetScaler Gateway et pour accéder aux applications en mode hors connexion.

Inscription du nom de domaine complet

Important :

Un changement de nom de domaine complet d’inscription nécessitera une nouvelle base de données SQL Server et une nouvelle build de Citrix Endpoint Management Server.

Trafic de Citrix Secure Web

Détails de la décision :

  • Voulez-vous restreindre Citrix Secure Web à la navigation Web interne uniquement ?
  • Voulez-vous activer Citrix Secure Web pour la navigation Web interne et externe ?

Conseils de conception :

Si vous envisagez d’utiliser Citrix Secure Web uniquement pour la navigation Web interne, la configuration de NetScaler Gateway est simple. Toutefois, si Citrix Secure Web ne parvient pas à atteindre tous les sites internes par défaut, vous devrez peut-être configurer des pare-feu et des serveurs proxy.

Si vous envisagez d’utiliser Citrix Secure Web pour la navigation interne et externe, vous devez activer l’adresse IP de sous-réseau pour avoir un accès Internet sortant. Les services informatiques considèrent généralement les appareils inscrits (à l’aide du conteneur MDX) comme une extension du réseau d’entreprise. Ainsi, ils souhaitent généralement que les connexions Citrix Secure Web reviennent à NetScaler Gateway, passent par un serveur proxy, puis sortent vers l’Internet. Par défaut, l’accès à Citrix Secure Web est tunnélisé vers le réseau interne. En effet, Citrix Secure Web utilise un tunnel VPN par application vers le réseau interne pour tous les accès réseau et NetScaler Gateway utilise les paramètres de split tunneling.

Pour une description des connexions Citrix Secure Web, consultez la section Configuration des connexions utilisateur.

Notifications push pour Citrix Secure Mail

Détails de la décision :

  • Voulez-vous utiliser des notifications push ?

Conseils sur la conception pour iOS :

Si votre configuration NetScaler Gateway comprend une STA (Secure Ticket Authority) et que le split tunneling est désactivé, NetScaler Gateway doit autoriser le trafic en provenance de Citrix Secure Mail vers les URL du service d’écoute Citrix. Ces URL sont spécifiées dans les notifications push pour Citrix Secure Mail pour iOS.

Conseil sur la conception pour Android :

Utilisez Firebase Cloud Messaging (FCM) pour contrôler comment et quand les appareils Android doivent se connecter à Citrix Endpoint Management. Avec la configuration de FCM, toute action de sécurité ou commande de déploiement déclenche une notification push à Citrix Secure Hub afin d’inviter l’utilisateur à se reconnecter à Citrix Endpoint Management Server.

HDX STA

Détails de la décision :

  • Quelles STA utiliser si vous intégrez l’accès aux applications HDX ?

Conseils de conception :

Les STA HDX doivent correspondre aux STA dans StoreFront et doivent être valides pour le site Virtual Apps and Desktops.

Citrix Files et ShareFile

Détails de la décision :

  • Utiliserez-vous un StorageZones Controller dans l’environnement ?
  • Quelle URL VIP Citrix Files voulez-vous utiliser ?

Conseils de conception :

Si vous souhaitez inclure un StorageZones Controller dans votre environnement, assurez-vous de configurer correctement les éléments suivants :

  • Le VIP de commutation de contenu Citrix Files (utilisé par le plan de contrôle Citrix Files pour communiquer avec les serveurs StorageZones Controller)
  • Les VIP d’équilibrage de charge Citrix Files
  • Toutes les stratégies et profils requis

Pour plus d’informations, veuillez consulter la documentation StorageZones Controller.

Fournisseur d’identité SAML

Détail de la décision :

  • Si SAML est requis pour Citrix Files, voulez-vous utiliser Citrix Endpoint Management comme fournisseur d’identité SAML ?

Conseils de conception :

La méthode recommandée est d’intégrer Citrix Files à Citrix Endpoint Management, une approche plus simple que la configuration de la fédération SAML. Citrix Endpoint Management permet à Citrix Files de bénéficier des fonctionnalités suivantes :

  • Authentification unique (SSO) des utilisateurs d’applications de productivité mobiles Citrix
  • Provisioning des comptes utilisateur basé sur Active Directory
  • Stratégies de contrôle d’accès complètes

La console Citrix Endpoint Management vous permet de configurer Citrix Files et de contrôler les niveaux de service et la consommation de licences.

Il existe deux types de clients Citrix Files : clients Citrix Files pour Citrix Endpoint Management (également appelés clients Citrix Files encapsulés) et clients mobiles Citrix Files (également appelés clients Citrix Files non encapsulés). Pour comprendre les différences, consultez la section Différences entre les clients Citrix Files pour Citrix Endpoint Management et les clients mobiles Citrix Files.

Vous pouvez configurer Citrix Endpoint Management et Citrix Files pour que SAML fournisse un accès SSO aux composants suivants :

  • Applications Citrix Files pour lesquelles le SDK MAM est activé ou qui sont encapsulées à l’aide de MDX Toolkit
  • Clients Citrix Files non encapsulés, tels que le site Web, Outlook Plug-in ou les clients de synchronisation

Si vous souhaitez utiliser Citrix Endpoint Management comme fournisseur d’identité SAML pour Citrix Files, assurez-vous que les configurations appropriées sont en place. Pour plus d’informations, consultez la section SAML pour l’authentification unique avec Citrix Files.

Connexions directes ShareConnect

Détail de la décision :

  • Les utilisateurs accèderont-ils à un ordinateur hôte à partir d’un ordinateur ou d’un appareil mobile exécutant ShareConnect à l’aide de connexions directes ?

Conseils de conception :

ShareConnect permet aux utilisateurs de se connecter à leurs ordinateurs en toute sécurité au travers d’iPads, de tablettes et de téléphones Android pour accéder à leurs fichiers et applications. Pour les connexions directes, Citrix Endpoint Management utilise NetScaler Gateway pour sécuriser l’accès aux ressources en dehors du réseau local. Pour plus d’informations sur la configuration, consultez la section ShareConnect.

Nom de domaine complet d’inscription pour chaque mode de gestion

Mode de gestion Inscription du nom de domaine complet
MDM+MAM avec inscription MDM obligatoire Nom de domaine complet de Citrix Endpoint Management Server
MDM+MAM avec inscription MDM facultative Nom de domaine complet de Citrix Endpoint Management Server ou nom de domaine complet NetScaler Gateway
MAM exclusif Nom de domaine complet de Citrix Endpoint Management Server
Mode MAM uniquement (ancien mode) Nom de domaine complet de NetScaler Gateway

Récapitulatif du déploiement

Si vous disposez de plusieurs instances Citrix Endpoint Management, telles que les environnements de test, de développement et de production, vous devez configurer manuellement NetScaler Gateway pour les environnements supplémentaires. Lorsque vous disposez d’un environnement de travail, prenez note des paramètres avant de tenter de configurer manuellement NetScaler Gateway pour Citrix Endpoint Management.

Une décision clé consiste à savoir si utiliser HTTPS ou HTTP pour la communication avec Citrix Endpoint Management Server. HTTPS fournit une communication principale sécurisée car le trafic entre NetScaler Gateway et Citrix Endpoint Management est crypté. Le recryptage impacte les performances du serveur Citrix Endpoint Management. HTTP offre de meilleures performances pour le serveur Citrix Endpoint Management. Le trafic entre NetScaler Gateway et Citrix Endpoint Management n’est pas crypté. Les tableaux suivants répertorient les exigences de port HTTP et HTTPS pour NetScaler Gateway et Citrix Endpoint Management.

HTTPS

Citrix recommande généralement le mode Pont SSL pour les configurations de serveur virtuel NetScaler Gateway MDM. Pour utiliser le mode Déchargement SSL de NetScaler Gateway avec les serveurs virtuels MDM, Citrix Endpoint Management prend en charge uniquement le port 80 en tant que service principal.

Mode de gestion Méthode d’équilibrage de charge NetScaler Gateway Ré-cryptage SSL Port de Citrix Endpoint Management Server
MAM Déchargement SSL Activé 8443
MDM+MAM MDM : Pont SSL S/O 443, 8443
MDM+MAM MAM : Déchargement SSL Activé 8443

HTTP

Mode de gestion Méthode d’équilibrage de charge NetScaler Gateway Ré-cryptage SSL Port de Citrix Endpoint Management Server
MAM Déchargement SSL Activé 8443
MDM+MAM MDM : Déchargement SSL Non pris en charge 80
MDM+MAM MAM : Déchargement SSL Activé 8443

Pour des diagrammes de NetScaler Gateway dans des déploiements Citrix Endpoint Management, voir Architecture.

Intégration avec NetScaler Gateway et Citrix ADC