XenMobile Server

Intégrer avec Citrix Gateway et Citrix ADC

Lorsqu’il est intégré à XenMobile, Citrix Gateway fournit aux appareils MAM un mécanisme d’authentification pour l’accès des appareils distants au réseau interne. Cette intégration permet aux applications de productivité mobiles de se connecter à des serveurs d’entreprise situés dans l’intranet via un micro VPN. Le micro VPN est créé à partir des applications sur l’appareil mobile vers Citrix Gateway. Citrix Gateway fournit un chemin micro VPN pour l’accès à toutes les ressources de l’entreprise et fournit une prise en charge de l’authentification forte à multi-facteurs.

L’équilibrage de charge Citrix ADC est requis pour tous les modes d’appareil XenMobile Server dans les cas suivants :

  • Si vous avez plusieurs instances de XenMobile Server.
  • Ou, si XenMobile Server est à l’intérieur de votre zone démilitarisée ou réseau interne (et donc le trafic circule des appareils vers Citrix ADC vers XenMobile).

Exigences d’intégration pour les modes de XenMobile Server

Les exigences d’intégration de Citrix Gateway et Citrix ADC diffèrent selon les modes de XenMobile Server : MAM, MDM et ENT.

MAM

Avec XenMobile Server en mode MAM :

  • Citrix Gateway est requis. Citrix Gateway fournit un chemin micro VPN pour l’accès à toutes les ressources de l’entreprise et fournit une prise en charge de l’authentification forte à multi-facteurs.
  • Citrix ADC est recommandé pour l’équilibrage de charge.

    Citrix vous recommande de déployer XenMobile dans une configuration à haute disponibilité, ce qui nécessite un équilibreur de charge au premier plan, devant XenMobile. Pour de plus amples informations, consultez la section À propos des modes MAM et des modes MAM anciens.

Gestion d’appareils mobiles

Avec XenMobile Server en mode MDM :

  • Citrix Gateway n’est pas requis. Pour les déploiements MDM, Citrix recommande Citrix Gateway pour les appareils VPN mobiles.
  • Citrix ADC est recommandé pour la sécurité et l’équilibrage de charge.

    Citrix vous recommande de déployer une appliance Citrix ADC au premier plan, devant XenMobile Server, à des fins de sécurité et d’équilibrage de la charge. Pour les déploiements standard avec XenMobile dans la DMZ, Citrix recommande l’assistant Citrix ADC for XenMobile ainsi que l’équilibrage de la charge de XenMobile Server en mode pont SSL. Vous pouvez également envisager la décharge SSL pour les déploiements dans lesquels :

    • XenMobile Server réside dans le réseau interne plutôt que dans la zone démilitarisée.
    • Votre équipe de sécurité nécessite une configuration SSL Bridge.

    Citrix ne recommande pas d’exposer XenMobile Server à Internet via NAT ou des proxys tiers existants ou des équilibreurs de charge pour MDM. Ces configurations présentent un risque potentiel de sécurité, même si le trafic SSL se termine sur XenMobile Server (SSL Bridge).

    Pour les environnements hautement sécurisé, Citrix ADC défini avec la configuration XenMobile par défaut respecte ou dépasse les exigences de sécurité.

    Pour les environnements MDM ayant les besoins de sécurité les plus élevés, la terminaison SSL sur Citrix ADC permet d’inspecter le trafic sur le périmètre tout en assurant le cryptage SSL de bout en bout. Pour de plus amples informations, consultez la section Exigences en matière de sécurité. Citrix ADC offre des options pour définir les chiffrements SSL/TLS et le matériel SSL FIPS Citrix ADC.

ENT (MAM + MDM)

Avec XenMobile Server en mode ENT :

  • Citrix Gateway est requis. Citrix Gateway fournit un chemin micro VPN pour l’accès à toutes les ressources de l’entreprise et fournit une prise en charge de l’authentification forte à multi-facteurs.

    Lorsque le mode de XenMobile Server est défini sur ENT et qu’un utilisateur refuse l’inscription MDM, l’appareil fonctionne dans l’ancien mode MAM. Dans les versions antérieures du mode MAM, les appareils s’inscrivent à l’aide du nom de domaine complet de Citrix Gateway. Pour de plus amples informations, consultez la section À propos des modes MAM et des modes MAM anciens.

  • Citrix ADC est recommandé pour l’équilibrage de charge. Pour plus d’informations, consultez les remarques associées à Citrix ADC plus haut dans cet article sous « MDM ».

Important :

Pour l’inscription initiale, le trafic des appareils utilisateur s’authentifie sur XenMobile Server, que vous configuriez des serveurs virtuels d’équilibrage de charge sur Déchargement SSL ou Pont SSL.

Décisions de conception

Les sections suivantes résument les nombreuses décisions de conception à prendre en compte lors de la planification d’une intégration de Citrix Gateway avec XenMobile.

Licence et édition

Détails de la décision :

  • Quelle édition de Citrix ADC prévoyez-vous d’utiliser ?
  • Avez-vous appliqué des licences Platform à Citrix ADC ?
  • Si vous avez besoin de la fonctionnalité MAM, avez-vous appliqué les licences Citrix ADC Universal Access ?

Conseils de conception :

Assurez-vous d’appliquer les licences appropriées à Citrix Gateway. Si vous utilisez Citrix Gateway Connector pour Exchange ActiveSync, la mise en cache intégrée peut être requise. Par conséquent, vous devez vous assurer que l’édition Citrix ADC appropriée est en place.

Les exigences en matière de licence pour activer les fonctionnalités Citrix ADC sont les suivantes.

  • L’équilibrage de charge XenMobile MDM nécessite au minimum une licence de plate-forme standard Citrix ADC.
  • L’équilibrage de charge ShareFile avec le contrôleur de zones de stockage nécessite au minimum une licence de plate-forme standard Citrix ADC.
  • XenMobile Advanced Edition (sur site) ou Citrix Endpoint Management (cloud) inclut les licences Citrix Gateway Universal requises pour MAM.
  • L’équilibrage de charge Exchange nécessite une licence de plate-forme Citrix ADC Platinum ou une licence de plate-forme Citrix ADC Enterprise en plus d’une licence de mise en cache intégrée.

Version de Citrix ADC pour XenMobile

Détails de la décision :

  • Quelle version de Citrix ADC est en cours d’exécution dans l’environnement XenMobile ?
  • Avez-vous besoin d’une instance distincte ?

Conseils de conception :

Citrix vous recommande d’utiliser une instance dédiée de Citrix ADC pour votre serveur virtuel Citrix Gateway. Assurez-vous que la version/build de Citrix ADC minimale requise est utilisée dans l’environnement XenMobile. Il est généralement préférable d’utiliser la dernière version/build de Citrix ADC compatible pour XenMobile. Si la mise à niveau de Citrix Gateway affecte votre environnement existant, une seconde instance dédiée pour XenMobile peut être appropriée.

Si vous souhaitez partager une instance Citrix ADC pour XenMobile et d’autres applications utilisant des connexions VPN, vérifiez que vous disposez de suffisamment de licences VPN. Gardez à l’esprit que les environnements de test et de production XenMobile ne peuvent pas partager une instance Citrix ADC.

Certificats

Détails de la décision :

  • Avez-vous besoin d’un niveau de sécurité plus élevé pour l’inscription et l’accès à l’environnement XenMobile ?
  • Pourriez-vous considérez le protocole LDAP ?

Conseils de conception :

La configuration par défaut pour XenMobile est l’authentification par nom d’utilisateur et mot de passe. Pour ajouter une autre couche de sécurité pour l’inscription et l’accès à l’environnement XenMobile, vous pouvez utiliser l’authentification basée sur certificats. Vous pouvez utiliser des certificats avec LDAP pour l’authentification à deux facteurs, ce qui permet d’offrir un degré de sécurité supérieur sans avoir besoin d’un serveur RSA.

Si vous n’autorisez pas LDAP et utilisez des cartes à puce ou méthodes similaires, la configuration des certificats vous permet de représenter une carte à puce auprès de XenMobile. Les utilisateurs s’inscrivent alors à l’aide d’un code PIN unique généré par XenMobile. Une fois qu’un utilisateur a accès, XenMobile crée et déploie le certificat utilisé ensuite pour s’authentifier auprès de l’environnement XenMobile.

XenMobile prend en charge la liste de révocation de certificats (CRL) uniquement pour une autorité de certification tierce. Si vous disposez d’une autorité de certification Microsoft configurée, XenMobile utilise Citrix ADC pour gérer la révocation. Lorsque vous configurez l’authentification basée sur un certificat client, vous devez décider si vous souhaitez configurer le paramètre Liste de révocation de certificats (CRL) Citrix ADC, Enable CRL Auto Refresh. Cette étape garantit que l’utilisateur d’un appareil inscrit en mode MAM exclusif ne peut pas s’authentifier à l’aide d’un certificat existant sur l’appareil. XenMobile émet un nouveau certificat, car il n’interdit pas à un utilisateur de générer un certificat utilisateur si un certificat est révoqué. Ce paramètre renforce la sécurité des entités PKI lorsque la CRL vérifie la présence d’entités PKI expirées.

Topologie réseau

Détails de la décision :

  • Quelle topologie Citrix ADC est requise ?

Conseils de conception :

Citrix recommande d’utiliser une instance Citrix ADC pour XenMobile. Toutefois, il se peut que vous ne vouliez pas que le trafic soit acheminé du réseau interne vers la DMZ. Dans ce cas, envisagez de configurer une instance supplémentaire de Citrix ADC. Utilisez une instance de Citrix ADC pour les utilisateurs internes et une instance pour les utilisateurs externes. Lorsque les utilisateurs basculent entre les réseaux internes et externes, la mise en cache des enregistrements DNS peut entraîner une augmentation des invites de connexion Secure Hub.

XenMobile ne prend pas en charge Citrix Gateway Double Hop.

VIP Citrix Gateway dédiés ou partagés

Détails de la décision :

  • Utilisez-vous actuellement Citrix Gateway pour Virtual Apps and Desktops ?
  • XenMobile utilisera-t-il la même appliance Citrix Gateway que Virtual Apps and Desktops ?
  • Quelles sont les exigences d’authentification pour les deux flux de trafic ?

Conseils de conception :

Lorsque votre environnement Citrix comprend XenMobile, ainsi que Virtual Apps and Desktops, vous pouvez utiliser la même instance Citrix ADC et le même serveur virtuel Citrix Gateway pour les deux. En raison de conflits de version et d’isolement d’environnement potentiels, une instance Citrix ADC dédiée et Citrix Gateway sont recommandées pour chaque environnement XenMobile. Toutefois, si une instance Citrix ADC dédiée n’est pas possible, Citrix recommande d’utiliser un serveur virtuel Citrix Gateway dédié pour séparer les flux de trafic de Secure Hub. Cette configuration remplace un serveur virtuel partagé entre XenMobile et Virtual Apps and Desktops.

Si vous utilisez l’authentification LDAP, Receiver et Secure Hub peuvent s’authentifier auprès de la même instance Citrix Gateway sans problème. Si vous utilisez l’authentification par certificat, XenMobile envoie un certificat dans le conteneur MDX et Secure Hub utilise le certificat pour s’authentifier auprès de Citrix Gateway. Receiver est distinct de Secure Hub et ne peut pas utiliser le même certificat que Secure Hub pour s’authentifier sur la même instance Citrix Gateway.

Vous pouvez envisager la solution suivante, ce qui vous permet d’utiliser le même nom de domaine complet pour deux VIP Citrix Gateway.

  • Créez deux adresses IP virtuelles (VIP) Citrix Gateway avec la même adresse IP. Le VIP de Secure Hub utilise le port 443 standard et le VIP de Citrix Virtual Apps and Desktops (qui déploient Receiver) utilise le port 444.
  • Un nom de domaine complet résout la même adresse IP.
  • Si vous utilisez cette solution, vous pouvez configurer StoreFront pour renvoyer un fichier ICA pour le port 444, au lieu du port 443 par défaut. Avec cette solution, les utilisateurs n’ont pas besoin d’entrer un numéro de port.

Délais d’expiration de Citrix Gateway

Détails de la décision :

  • Comment voulez-vous configurer les délais d’expiration Citrix Gateway pour le trafic XenMobile ?

Conseils de conception :

Citrix Gateway inclut les paramètres Délai d’expiration de session et Délai d’expiration forcé. Pour de plus amples informations, consultez la section Configurations recommandées. Gardez à l’esprit qu’il existe différentes valeurs de délai d’expiration pour les services d’arrière-plan, Citrix ADC et pour accéder aux applications en mode hors connexion.

Adresse IP de l’équilibreur de charge XenMobile pour MAM

Détails de la décision :

  • Utilisez-vous des adresses IP internes ou externes pour les VIP ?

Conseils de conception :

Dans les environnements où vous pouvez utiliser des adresses IP publiques pour les VIP Citrix Gateway, l’attribution du VIP et de l’adresse d’équilibrage de charge XenMobile de cette manière entraîne des échecs d’inscription.

Assurez-vous que le VIP d’équilibrage de charge utilise une adresse IP interne pour éviter les échecs d’inscription dans ce scénario. Cette adresse IP virtuelle doit suivre la norme RFC 1918 des adresses IP privées. Si vous utilisez une adresse IP non privée pour ce serveur virtuel, Citrix ADC ne peut pas contacter XenMobile Server au cours du processus d’authentification. Pour plus de détails, consultez https://support.citrix.com/article/CTX200430.

Mécanisme d’équilibrage de charge MDM

Détails de la décision :

  • Comment Citrix Gateway va-t-il équilibrer la charge des instances de XenMobile Server ?

Conseils de conception :

Utilisez le mode Pont SSL si XenMobile est dans la DMZ. Utilisez le mode Déchargement SSL si nécessaire pour respecter les normes de sécurité lorsque XenMobile se trouve sur le réseau interne.

  • Lorsque vous effectuez l’équilibrage de charge de XenMobile Server avec des VIP Citrix ADC en mode Pont SSL, le trafic Internet passe directement à XenMobile Server, là où les connexions se terminent. Le mode Pont SSL est le mode le plus simple à configurer et à résoudre.
  • Lorsque vous effectuez l’équilibrage de charge de XenMobile Server avec des VIP Citrix ADC en mode Déchargement SSL, le trafic Internet passe directement à Citrix ADC, là où les connexions se terminent. Citrix ADC établit ensuite de nouvelles sessions de Citrix ADC vers XenMobile Server. Le mode Déchargement SSL implique une complexité supplémentaire lors de l’installation et du dépannage.

Port de service pour l’équilibrage de charge MDM avec déchargement SSL

Détails de la décision :

  • Si vous utilisez le mode Déchargement SSL pour l’équilibrage de charge, quel port le service principal utilisera-t-il ?

Conseils de conception :

Pour le mode Déchargement SSL, choisissez le port 80 ou 8443 comme suit :

Inscription du nom de domaine complet

Détails de la décision :

  • Que comptez-vous utiliser comme nom de domaine complet pour l’inscription et l’instance/le VIP d’équilibrage de charge XenMobile ?

Conseils de conception :

La configuration initiale de la première instance de XenMobile Server d’un cluster nécessite l’entrée du nom de domaine complet de XenMobile Server. Ce nom de domaine complet doit correspondre à votre URL VIP MDM et à votre URL VIP MAM LB interne. (Un enregistrement d’adresse Citrix ADC interne résout le VIP MAM LB.) Pour plus de détails, consultez la section « Nom de domaine complet d’inscription pour chaque mode de gestion » plus loin dans cet article.

En outre, vous devez utiliser le même certificat que le suivant :

  • Certificat d’écoute SSL XenMobile
  • Certificat VIP LB MAM interne
  • Certificat VIP MDM (si vous utilisez le déchargement SSL pour VIP MDM)

Important :

Après avoir configuré le nom de domaine complet de l’inscription, vous ne pouvez pas le modifier. Un nouveau nom de domaine complet d’inscription nécessite une nouvelle base de données SQL Server et une nouvelle build de XenMobile Server.

Trafic de Secure Web

Détails de la décision :

  • Prévoyez-vous de limiter Secure Web à la navigation Web interne uniquement ?
  • Prévoyez-vous d’activer Secure Web pour la navigation Web interne et externe ?

Conseils de conception :

Si vous envisagez d’utiliser Secure Web uniquement pour la navigation Web interne, la configuration de Citrix Gateway est simple. Par défaut, Secure Web doit atteindre tous les sites internes. Vous devrez peut-être configurer des pare-feu et des serveurs proxy.

Si vous envisagez d’utiliser Secure Web pour la navigation interne et externe, vous devez activer l’adresse IP de sous-réseau pour avoir un accès Internet sortant. Les services informatiques considèrent généralement les appareils inscrits (à l’aide du conteneur MDX) comme une extension du réseau d’entreprise. Ainsi, ils souhaitent généralement que les connexions Secure Web reviennent à Citrix ADC, passent par un serveur proxy, puis sortent vers l’Internet. Par défaut, Secure Web utilise un tunnel VPN par application vers le réseau interne pour tous les accès réseau. Citrix ADC utilise des paramètres de split tunneling.

Pour une description des connexions Secure Web, consultez la section Configuration des connexions utilisateur.

Notifications push pour Secure Mail

Détails de la décision :

  • Prévoyez-vous d’utiliser les notifications push ?

Conseils sur la conception pour iOS :

Votre configuration Citrix Gateway peut inclure une autorité STA (Secure Ticket Authority), avec split tunneling désactivé. Citrix Gateway doit autoriser le trafic en provenance de Secure Mail vers les URL du service d’écoute Citrix, comme spécifié dans les notifications push pour Secure Mail sous iOS.

Conseil sur la conception pour Android :

Utilisez Firebase Cloud Messaging (FCM) pour contrôler quand et comment les appareils Android doivent se connecter à XenMobile. Avec la configuration de FCM, toute action de sécurité ou commande de déploiement déclenche une notification push à Secure Hub afin d’inviter l’utilisateur à se reconnecter à XenMobile Server.

HDX STA

Détails de la décision :

  • Quelles STA utiliser si vous prévoyez d’intégrer l’accès aux applications HDX ?

Conseils de conception :

Les STA HDX doivent correspondre aux STA dans StoreFront et doivent être valides pour la batterie Virtual Apps and Desktops.

Citrix Files et ShareFile

Détails de la décision :

  • Prévoyez-vous d’utiliser des StorageZones Controller dans l’environnement ?
  • Quelle URL VIP Citrix Files prévoyez-vous d’utiliser ?

Conseils de conception :

Si vous souhaitez inclure les StorageZones Controller dans votre environnement, assurez-vous de configurer correctement les éléments suivants :

  • Le VIP de commutation Citrix Files (utilisé par le plan de contrôle Citrix Files pour communiquer avec les serveurs StorageZones Controller)
  • Les VIP d’équilibrage de charge Citrix Files
  • Toutes les stratégies et profils requis

Pour plus d’informations, veuillez consulter la documentation d StorageZones Controller.

Fournisseur d’identité SAML

Détails de la décision :

  • Si SAML est requis pour Citrix Files, voulez-vous utiliser XenMobile comme fournisseur d’identité SAML ?

Conseils de conception :

La meilleure pratique recommandée consiste à intégrer Citrix Files à XenMobile Advanced Edition ou XenMobile Advanced Edition (sur site) ou à Citrix Endpoint Management (cloud), une alternative plus simple à la configuration de la fédération basée sur SAML. Lorsque vous utilisez Citrix Files avec ces éditions XenMobile, XenMobile fournit Citrix Files avec :

  • Authentification unique (SSO) des utilisateurs d’applications de productivité mobiles
  • Provisioning des comptes utilisateur basé sur Active Directory
  • Stratégies de contrôle d’accès complètes

La console XenMobile vous permet de configurer Citrix Files et de contrôler les niveaux de service et la consommation de licences.

Il existe deux types de clients Citrix Files : clients Citrix Files for XenMobile (également appelés clients Citrix Files encapsulés) et clients mobiles Citrix Files (également appelés clients Citrix Files non encapsulés). Pour comprendre les différences, consultez la section Différences entre les clients Citrix Files pour XenMobile et les clients mobiles Citrix Files.

Vous pouvez configurer XenMobile et ShareFile pour utiliser SAML afin de fournir un accès SSO à :

  • Applications mobiles Citrix Files
  • Clients Citrix Files non encapsulés, tels que le site Web, Outlook Plug-in ou les clients de synchronisation

Pour utiliser XenMobile comme fournisseur d’identité SAML pour Citrix Files, assurez-vous que les configurations appropriées sont en place. Pour plus d’informations, consultez la section SAML pour l’authentification unique avec Citrix Files.

Connexions directes ShareConnect

Détails de la décision :

  • Les utilisateurs doivent-ils accéder à un ordinateur hôte à partir d’un ordinateur ou d’un appareil mobile exécutant ShareConnect à l’aide de connexions directes ?

Conseils de conception :

ShareConnect permet aux utilisateurs de se connecter à leurs ordinateurs en toute sécurité au travers d’iPads, de tablettes et de téléphones Android pour accéder à leurs fichiers et applications. Pour les connexions directes, XenMobile utilise Citrix Gateway pour sécuriser l’accès aux ressources en dehors du réseau local. Pour plus d’informations sur la configuration, consultez la section ShareConnect.

Nom de domaine complet d’inscription pour chaque mode de gestion

   
Mode de gestion Inscription du nom de domaine complet
Enterprise (MDM + MAM) avec inscription MDM obligatoire Nom de domaine complet de XenMobile Server
Enterprise (MDM + MAM) avec inscription MDM facultative Nom de domaine complet de XenMobile Server ou nom de domaine complet Citrix Gateway
MDM exclusif Nom de domaine complet de XenMobile Server
Mode MAM uniquement (ancien mode) Nom de domaine complet de Citrix Gateway
MAM exclusif Nom de domaine complet de XenMobile Server

Récapitulatif du déploiement

Citrix vous recommande d’utiliser l’assistant Citrix ADC for XenMobile pour garantir une configuration correcte. Vous ne pouvez utiliser l’assistant qu’une seule fois. Si vous disposez de plusieurs instances XenMobile, telles que les environnements de test, de développement et de production, vous devez configurer manuellement Citrix ADC pour les environnements supplémentaires. Lorsque vous disposez d’un environnement de travail, prenez note des paramètres avant de tenter de configurer manuellement Citrix ADC pour XenMobile.

La décision clé que vous prenez lors de l’utilisation de l’assistant consiste à utiliser HTTPS ou HTTP pour la communication avec XenMobile Server. HTTPS fournit une communication principale sécurisée, car le trafic entre Citrix ADC et XenMobile est crypté. Le recryptage impacte les performances du serveur XenMobile Server. HTTP offre de meilleures performances pour XenMobile Server. Le trafic entre Citrix ADC et XenMobile n’est pas crypté. Les tableaux suivants répertorient les exigences de port HTTP et HTTPS pour XenMobile Server et Citrix ADC.

HTTPS

Citrix recommande généralement le mode Pont SSL pour les configurations de serveur virtuel Citrix ADC MDM. Pour utiliser le mode Déchargement SSL de Citrix ADC avec les serveurs virtuels MDM, XenMobile prend en charge uniquement le port 80 en tant que service principal.

       
Mode de gestion Méthode d’équilibrage de charge Citrix ADC Ré-cryptage SSL Port de XenMobile Server
Gestion d’appareils mobiles Pont SSL S/O 443, 8443
MAM Déchargement SSL Activé 8443
Entreprise MDM : Pont SSL S/O 443, 8443
Entreprise MAM : Déchargement SSL Activé 8443

HTTP

       
Mode de gestion Méthode d’équilibrage de charge Citrix ADC Ré-cryptage SSL Port de XenMobile Server
Gestion d’appareils mobiles Déchargement SSL Non pris en charge 80
MAM Déchargement SSL Activé 8443
Entreprise MDM : Déchargement SSL Non pris en charge 80
Entreprise MAM : Déchargement SSL Activé 8443

Vous trouverez des diagrammes de Citrix Gateway dans les déploiements XenMobile dans la section Architecture de référence pour les déploiements sur site.

Intégrer avec Citrix Gateway et Citrix ADC