Intégration avec Citrix Gateway et Citrix ADC

Lorsqu’il est intégré à Endpoint Management, Citrix Gateway fournit aux appareils MAM un mécanisme d’authentification pour l’accès des appareils distants au réseau interne. Cette intégration permet aux applications de productivité mobiles Citrix de se connecter à des serveurs d’entreprise situés dans l’intranet via un micro VPN créé depuis les applications sur l’appareil mobile vers Citrix Gateway.

Citrix Cloud Operations gère l’équilibrage de charge Citrix ADC.

Exigences d’intégration pour les modes du serveur Endpoint Management

Les exigences d’intégration de Citrix Gateway et Citrix ADC diffèrent selon les modes du serveur Endpoint Management : MAM, MDM et ENT.

MAM

Avec le serveur Endpoint Management en mode MAM :

  • Citrix Gateway est requis. Citrix Gateway fournit un chemin micro VPN pour l’accès à toutes les ressources de l’entreprise et fournit une prise en charge de l’authentification forte à multi-facteurs.

MDM

Avec le serveur Endpoint Management en mode MDM :

  • Citrix Gateway n’est pas requis. Pour les déploiements MDM, Citrix recommande Citrix Gateway pour les appareils VPN mobiles.

ENT (MAM + MDM)

Avec le serveur Endpoint Management en mode ENT :

  • Citrix Gateway est requis. Citrix Gateway fournit un chemin micro VPN pour l’accès à toutes les ressources de l’entreprise et fournit une prise en charge de l’authentification forte à multi-facteurs.

  • Lorsque le mode serveur Endpoint Management est défini sur ENT et qu’un utilisateur refuse l’inscription MDM, les appareils s’inscrivent à l’aide du nom de domaine complet Citrix Gateway.

Décisions de conception

Les sections suivantes résument les nombreuses décisions de conception à prendre en compte lors de la planification d’une intégration de Citrix Gateway avec Endpoint Management.

Certificats

Détail de la décision :

  • Avez-vous besoin d’un niveau de sécurité plus élevé pour les inscriptions et l’accès à l’environnement Endpoint Management ?
  • Pourriez-vous considérez le protocole LDAP ?

Conseils sur la conception :

La configuration par défaut pour Endpoint Management est l’authentification par nom d’utilisateur et mot de passe. Pour ajouter une autre couche de sécurité pour l’inscription et l’accès à l’environnement Endpoint Management, vous pouvez utiliser l’authentification basée sur certificats. Vous pouvez utiliser des certificats avec LDAP pour l’authentification à deux facteurs, ce qui permet d’offrir un degré de sécurité supérieur sans avoir besoin d’un serveur RSA.

Si vous n’autorisez pas LDAP et utilisez des cartes à puce ou méthodes similaires, la configuration des certificats vous permet de représenter une carte à puce auprès de Endpoint Management. Les utilisateurs s’inscrivent alors à l’aide d’un code PIN unique généré par Endpoint Management. Une fois qu’un utilisateur a accès, Endpoint Management crée et déploie le certificat utilisé ensuite pour s’authentifier auprès de l’environnement Endpoint Management.

Endpoint Management prend en charge la liste de révocation de certificats (CRL) uniquement pour une autorité de certification tierce. Si vous disposez d’une autorité de certification Microsoft configurée, Endpoint Management utilise Citrix Gateway pour gérer la révocation. Lorsque vous configurez l’authentification basée sur un certificat client, vous devez décider si vous avez besoin de configurer le paramètre Liste de révocation de certificats (CRL) Citrix Gateway, Enable CRL Auto Refresh. Cette étape permet de s’assurer que l’utilisateur d’un appareil en mode MAM exclusif ne peut pas s’authentifier à l’aide d’un certificat existant sur l’appareil. Endpoint Management émet de nouveau un nouveau certificat, car il n’interdit pas à un utilisateur de générer un certificat utilisateur si un certificat a été révoqué. Ce paramètre renforce la sécurité des entités PKI lorsque la CRL vérifie la présence d’entités PKI expirées.

VIP Citrix Gateway dédiés ou partagés

Détail de la décision :

  • Utilisez-vous actuellement Citrix Gateway pour Citrix Virtual Apps and Desktops ?
  • Endpoint Management tirera-t-il parti du même Citrix Gateway que Citrix Virtual Apps and Desktops ?
  • Quelles sont les exigences d’authentification pour les deux flux de trafic ?

Conseils sur la conception :

Lorsque votre environnement Citrix comprend Endpoint Management, Virtual Apps and Desktops, vous pouvez utiliser le même serveur virtuel Citrix Gateway pour les deux. En raison de conflits de version et d’isolement d’environnement potentiels, une instance Citrix Gateway dédiée est recommandée pour chaque environnement Endpoint Management.

Si vous utilisez l’authentification LDAP, Citrix Workspace et Secure Hub peuvent s’authentifier auprès du même Citrix Gateway sans problème. Si vous utilisez l’authentification par certificat, Endpoint Management envoie un certificat dans le conteneur MDX et Secure Hub utilise le certificat pour s’authentifier auprès de Citrix Gateway. L’application Workspace est distincte de Secure Hub et ne peut pas utiliser le même certificat que Secure Hub pour s’authentifier sur le même Citrix Gateway.

Vous pouvez envisager cette solution, ce qui vous permet d’utiliser le même nom de domaine complet pour deux VIP Citrix Gateway. Vous pouvez créer deux VIP Citrix Gateway avec la même adresse IP, mais celui de Secure Hub utilise le port 443 standard et celui de Citrix Virtual Apps and Desktops (qui déploie l’application Citrix Workspace) utilise le port 444. Ensuite, un nom de domaine complet résout la même adresse IP. Si vous utilisez cette solution, vous devrez peut-être configurer StoreFront pour renvoyer un fichier ICA pour le port 444, au lieu du port 443 par défaut. Avec cette solution, les utilisateurs n’ont pas besoin d’entrer un numéro de port.

Délais d’expiration de Citrix Gateway

Détail de la décision :

  • Comment voulez-vous configurer les délais d’expiration Citrix Gateway pour le trafic Endpoint Management ?

Conseils sur la conception :

Citrix Gateway inclut les paramètres Délai d’expiration de session et Délai d’expiration forcé. Pour de plus amples informations, consultez la section Configurations recommandées. Gardez à l’esprit qu’il existe différentes valeurs de délai d’expiration pour les services d’arrière-plan, Citrix Gateway et pour accéder aux applications en mode hors connexion.

Inscription du nom de domaine complet

Important :

Un changement de nom de domaine complet d’inscription nécessitera une nouvelle base de données SQL Server et une nouvelle build de Endpoint Management Server.

Trafic de Secure Web

Détail de la décision :

  • Voulez-vous restreindre Secure Web à la navigation Web interne uniquement ?
  • Voulez-vous activer Secure Web pour la navigation Web interne et externe ?

Conseils sur la conception :

Si vous utilisez Secure Web pour la navigation Web interne uniquement, la configuration de Citrix Gateway est simple, en supposant que Secure Web puisse atteindre tous les sites internes par défaut ; vous devrez peut-être configurer des pare-feux et des serveurs proxy.

Si vous utilisez Secure Web pour la navigation interne et externe, vous devez activer l’adresse IP de sous-réseau pour avoir un accès Internet sortant. Étant donné que les départements informatiques considèrent généralement les appareils inscrits (à l’aide du conteneur MDX) comme une extension du réseau d’entreprise, ils souhaitent généralement que les connexions Secure Web reviennent à Citrix Gateway, passent par un serveur proxy, puis accèdent à Internet. Par défaut, l’accès à Secure Web est tunnélisé vers le réseau interne, ce qui signifie que Secure Web utilise un tunnel VPN par application vers le réseau interne pour tous les accès réseau et que Citrix Gateway utilise les paramètres de split tunneling.

Pour une description des connexions Secure Web, consultez la section Configuration des connexions utilisateur.

Notifications push pour Secure Mail

Détail de la décision :

  • Voulez-vous utiliser des notifications push ?

Conseils sur la conception pour iOS :

Si votre configuration Citrix Gateway comprend une STA (Secure Ticket Authority) et que le split tunneling est désactivé, Citrix Gateway doit autoriser le trafic en provenance de Secure Mail vers les URL du service d’écoute Citrix, comme spécifié dans les notifications push pour Secure Mail sous iOS.

Conseil sur la conception pour Android :

Utilisez Firebase Cloud Messaging (FCM) pour contrôler comment et quand les appareils Android doivent se connecter à Endpoint Management. Avec la configuration de FCM, toute action de sécurité ou commande de déploiement déclenche une notification push à Secure Hub afin d’inviter l’utilisateur à se reconnecter à Endpoint Management Server.

HDX STA

Détail de la décision :

  • Quelles STA utiliser si vous intégrez l’accès aux applications HDX ?

Conseils sur la conception :

Les STA HDX doivent correspondre aux STA dans StoreFront et doivent être valides pour le site Virtual Apps and Desktops.

Citrix Files et Citrix Content Collaboration

Détail de la décision :

  • Voulez-vous utiliser les contrôleurs StorageZone dans l’environnement ?
  • Quelle URL VIP Citrix Files voulez-vous utiliser ?

Conseils sur la conception :

Si vous souhaitez inclure les contrôleurs StorageZone dans votre environnement, assurez-vous de configurer correctement les éléments suivants : Citrix Files Content Switch VIP (utilisé par le plan de contrôle Citrix Files pour communiquer avec les serveurs StorageZone Controller), les VIPS d’équilibrage de charge de Citrix Files et toutes les stratégies et profils requis. Pour plus d’informations, consultez la documentation Citrix StorageZones Controller.

Fournisseur d’identité SAML

Détail de la décision :

  • Si SAML est requis pour Citrix Files, voulez-vous utiliser Endpoint Management comme fournisseur d’identité SAML ?

Conseils sur la conception :

La méthode recommandée est d’intégrer Citrix Files à Endpoint Management Advanced Edition ou Endpoint Management Enterprise Edition, une approche plus simple que la configuration de la fédération SAML. Lorsque vous utilisez Citrix Files avec ces éditions de Endpoint Management, Endpoint Management permet à Citrix Files de bénéficier des fonctionnalités suivantes : authentification unique des utilisateurs d’applications de productivité mobiles Citrix, provisioning des comptes utilisateur basé sur Active Directory et stratégies de contrôle d’accès complètes. La console Endpoint Management vous permet de configurer Citrix Files et de contrôler les niveaux de service et la consommation de licences.

Notez qu’il existe deux types de clients Citrix Files : clients Citrix Files for Endpoint Management (également appelés Citrix Files encapsulés) et clients mobiles Citrix Files (également appelés Citrix Files non encapsulés). Pour comprendre les différences, consultez la section Différences entre les clients Citrix Files pour Endpoint Management et les clients mobiles Citrix Files.

Vous pouvez configurer Endpoint Management et Citrix Files pour utiliser SAML afin de fournir un accès SSO (authentification unique) aux applications mobiles Citrix Files que vous encapsulez avec le service MDX, ainsi qu’aux clients Citrix Files non encapsulés, tel que le site Web, le plug-in Outlook ou les clients de synchronisation.

Si vous souhaitez utiliser Endpoint Management comme fournisseur d’identité SAML pour Citrix Files, assurez-vous que les configurations appropriées sont en place. Pour plus d’informations, consultez la section SAML pour l’authentification unique avec Citrix Files.

Connexions directes ShareConnect

Détail de la décision :

  • Les utilisateurs accèderont-ils à un ordinateur hôte à partir d’un ordinateur ou d’un appareil mobile exécutant ShareConnect à l’aide de connexions directes ?

Conseils sur la conception :

ShareConnect permet aux utilisateurs de se connecter à leurs ordinateurs en toute sécurité au travers d’iPads, de tablettes et de téléphones Android pour accéder à leurs fichiers et applications. Pour les connexions directes, Endpoint Management utilise Citrix Gateway pour sécuriser l’accès aux ressources en dehors du réseau local. Pour plus d’informations sur la configuration, consultez la section ShareConnect.

Nom de domaine complet d’inscription pour chaque type de déploiement

   
Type de déploiement Inscription du nom de domaine complet
Enterprise (MDM + MAM) avec inscription MDM obligatoire Nom de domaine complet de Endpoint Management Server
Enterprise (MDM + MAM) avec inscription MDM facultative Nom de domaine complet de Endpoint Management Server ou nom de domaine complet Citrix Gateway
MDM uniquement Nom de domaine complet de Endpoint Management Server
Mode MAM uniquement (ancien mode) Nom de domaine complet Citrix Gateway
MAM exclusif Nom de domaine complet de Endpoint Management Server

Récapitulatif du déploiement

Citrix vous recommande d’utiliser l’assistant NetScaler for XenMobile pour garantir une configuration correcte. Sachez que vous ne pouvez utiliser l’assistant qu’une seule fois. Si vous disposez de plusieurs instances Endpoint Management, telles que les environnements de test, de développement et de production, vous devez configurer manuellement Citrix Gateway pour les environnements supplémentaires. Lorsque vous disposez d’un environnement de travail, prenez note des paramètres avant de tenter de configurer manuellement Citrix Gateway pour Endpoint Management.

La décision clé que vous prenez lors de l’utilisation de l’assistant consiste à utiliser HTTPS ou HTTP pour la communication avec Endpoint Management Server. HTTPS fournit une communication principale sécurisée car le trafic entre Citrix Gateway et Endpoint Management est crypté ; le recryptage impacte les performances de Endpoint Management Server. HTTP fournit de meilleures performances pour Endpoint Management Server ; le trafic entre Citrix Gateway et Endpoint Management n’est pas crypté. Les tableaux suivants répertorient les exigences de port HTTP et HTTPS pour Citrix Gateway et Endpoint Management Server.

HTTPS

Citrix recommande généralement le mode Pont SSL pour les configurations de serveur virtuel Citrix Gateway MDM. Pour utiliser le mode Déchargement SSL de Citrix Gateway avec les serveurs virtuels MDM, Endpoint Management prend en charge uniquement le port 80 en tant que service principal.

       
Type de déploiement Méthode d’équilibrage de charge Citrix Gateway Ré-cryptage SSL Port de Endpoint Management Server
MDM Pont SSL S.O. 443, 8443
MAM Déchargement SSL Activée 8443
Entreprise MDM : Pont SSL S.O. 443, 8443
Entreprise MAM : Déchargement SSL Activée 8443

HTTP

       
Type de déploiement Méthode d’équilibrage de charge Citrix Gateway Ré-cryptage SSL Port de Endpoint Management Server
MDM Déchargement SSL Non pris en charge 80
MAM Déchargement SSL Activée 8443
Entreprise MDM : Déchargement SSL Non pris en charge 80
Entreprise MAM : Déchargement SSL Activée 8443

Pour des diagrammes de Citrix Gateway dans des déploiements Endpoint Management, voir Architecture.

Intégration avec Citrix Gateway et Citrix ADC