Intégration de XenMobile

Cet article décrit les éléments à prendre en compte lors de la planification de l’intégration de XenMobile à votre réseau et à vos solutions. Par exemple, si vous utilisez déjà Citrix ADC pour Citrix Virtual Apps and Desktops :

  • Devez-vous utiliser l’instance existante de Citrix ADC ou une nouvelle instance dédiée ?
  • Voulez-vous intégrer à XenMobile les applications HDX publiées avec StoreFront ?
  • Avez-vous l’intention d’utiliser Citrix Files avec XenMobile ?
  • Avez-vous une solution de contrôle d’accès réseau que vous souhaitez intégrer dans XenMobile ?
  • Déployez-vous des serveurs proxy Web pour tout le trafic sortant de votre réseau ?

Citrix ADC et Citrix Gateway

Citrix Gateway est obligatoire pour les modes ENT et MAM de XenMobile. Citrix Gateway fournit un chemin micro VPN pour l’accès à toutes les ressources de l’entreprise et fournit une prise en charge de l’authentification forte à multi-facteurs. L’équilibrage de charge Citrix ADC est requis pour tous les modes d’appareil XenMobile Server :

  • Si vous avez plusieurs instances de XenMobile Server.
  • Ou, si XenMobile Server est à l’intérieur de votre zone démilitarisée ou réseau interne (et donc le trafic circule des appareils vers Citrix ADC vers XenMobile).

Vous pouvez utiliser des instances Citrix ADC existantes ou en configurer de nouvelles pour XenMobile. Les sections suivantes expliquent les avantages et les inconvénients de l’utilisation d’instances Citrix ADC dédiées existantes ou nouvelles.

Instance MPX Citrix ADC partagée avec une adresse IP virtuelle (VIP) Citrix Gateway créée pour XenMobile

Avantages :

  • Utilise une instance Citrix ADC commune pour toutes les connexions distantes Citrix : Citrix Virtual Apps and Desktops, VPN complet et VPN sans client.
  • Utilise les configurations Citrix ADC existantes, telles que l’authentification par certificat et l’accès à des services tels que DNS, LDAP et NTP.
  • Utilise une seule licence de plateforme Citrix ADC.

Inconvénients :

  • Il est plus difficile de planifier l’échelle du déploiement lorsque vous gérez deux cas d’utilisation très différents sur la même instance Citrix ADC.
  • Parfois, vous avez besoin d’une version spécifique de Citrix ADC pour une utilisation spécifique de Citrix Virtual Apps and Desktops. Cette même version peut présenter des problèmes connus pour XenMobile. Ou XenMobile peut présenter des problèmes connus pour la version Citrix ADC.
  • Si une instance Citrix Gateway existe, vous ne pouvez pas exécuter l’assistant Citrix ADC for XenMobile une deuxième fois pour créer la configuration Citrix ADC pour XenMobile.
  • Sauf lorsque des licences Platinum sont utilisées pour Citrix Gateway 11.1 ou version ultérieure : les licences d’accès utilisateur installées sur Citrix ADC et requises pour la connectivité VPN sont regroupées. Comme ces licences sont disponibles pour tous les serveurs virtuels Citrix ADC, des services autres que XenMobile peuvent potentiellement les consommer.

Instance VPX/MPX Citrix ADC dédiée

Avantages :

Citrix recommande d’utiliser une instance dédiée de Citrix ADC.

  • Plus facile à planifier en termes d’échelle et sépare le trafic XenMobile d’une instance Citrix ADC qui pourrait déjà être limitée en ressources.
  • Évite les problèmes lorsque XenMobile et Citrix Virtual Apps and Desktops ont besoin de versions différentes du logiciel Citrix ADC. Il est généralement préférable d’utiliser la dernière version/build de Citrix ADC compatible pour XenMobile.
  • Permet la configuration XenMobile de Citrix ADC via l’assistant Citrix ADC for XenMobile intégré.
  • Séparation virtuelle et physique des services.
  • Sauf lorsque les licences Platinum sont utilisées pour Citrix Gateway 11.1 ou version ultérieure, les licences d’accès utilisateur requises pour XenMobile sont uniquement disponibles pour les services XenMobile sur Citrix ADC.

Inconvénients :

  • Nécessite l’installation de services supplémentaires sur Citrix ADC pour prendre en charge la configuration XenMobile.
  • Nécessite une autre licence de plate-forme Citrix ADC. Licence pour chaque instance Citrix ADC pour Citrix Gateway.

Pour plus d’informations sur les éléments à prendre en compte lors de l’intégration de Citrix ADC et Citrix Gateway avec chaque mode de XenMobile Server, consultez la section Intégration avec Citrix ADC et Citrix Gateway.

StoreFront

Si vous disposez d’un environnement Citrix Virtual Apps and Desktops, vous pouvez intégrer des applications HDX avec XenMobile à l’aide de StoreFront. Lorsque vous intégrez des applications HDX avec XenMobile :

  • Les applications sont disponibles pour les utilisateurs inscrits avec XenMobile.
  • Les applications s’affichent dans le magasin XenMobile avec d’autres applications mobiles.
  • XenMobile utilise le site PNAgent (services) hérité sur StoreFront.
  • Lorsque Citrix Receiver est installé sur un appareil, les applications HDX commencent à utiliser Receiver.

StoreFront est limité à un site de services par instance. Supposons que vous ayez plusieurs magasins et que vous souhaitiez le séparer d’autres utilisations de production. Dans ce cas, Citrix vous recommande généralement d’envisager une nouvelle instance de StoreFront avec un nouveau site de services pour XenMobile.

Les points à prendre en compte sont les suivants :

  • Existe-t-il des exigences d’authentification différentes pour StoreFront ? Le site de services StoreFront nécessite des informations d’identification Active Directory pour la connexion. Les clients utilisant uniquement l’authentification par certificat ne peuvent pas énumérer les applications via XenMobile en utilisant la même instance de Citrix Gateway.
  • Utiliser le même magasin ou en créer un nouveau ?
  • Utiliser le même serveur StoreFront ou un serveur différent ?

Les sections suivantes indiquent les avantages et les inconvénients de l’utilisation d’instances StoreFront séparées ou combinées pour Receiver et pour les applications de productivité mobiles.

Intégrer votre instance StoreFront existante avec XenMobile Server

Avantages :

  • Même magasin : aucune configuration supplémentaire de StoreFront n’est requise pour XenMobile, à condition que vous utilisiez le même accès par VIP Citrix ADC pour HDX. Supposons que vous choisissiez d’utiliser le même magasin et que vous souhaitiez diriger l’accès de Receiver vers une nouvelle VIP Citrix ADC. Dans ce cas, ajoutez la configuration Citrix Gateway appropriée à StoreFront.
  • Même serveur StoreFront : utilise l’installation et la configuration de StoreFront existantes.

Inconvénients :

  • Même magasin : toute reconfiguration de StoreFront pour gérer les charges de travail Virtual Apps and Desktops peut également avoir un effet négatif sur XenMobile.
  • Même serveur StoreFront : dans les environnements de grande taille, considérez la charge supplémentaire que représente l’utilisation de PNAgent par XenMobile pour l’énumération et le démarrage des applications.

Utiliser une nouvelle instance StoreFront dédiée pour l’intégration avec XenMobile Server

Avantages :

  • Nouveau magasin : les modifications de configuration du magasin StoreFront pour XenMobile ne devraient pas affecter les charges de travail Virtual Apps and Desktops existantes.
  • Nouveau serveur StoreFront : les modifications de configuration du serveur ne devraient pas affecter le flux de travail Virtual Apps and Desktops. De plus, la charge hors de l’utilisation de PNAgent par XenMobile pour l’énumération et le lancement des applications ne devrait pas affecter la capacité à monter en charge.

Inconvénients :

  • Nouveau magasin : configuration du magasin StoreFront.
  • Nouveau serveur StoreFront : requiert une nouvelle installation et une nouvelle configuration de StoreFront.

Pour de plus amples informations, consultez la section Virtual Apps and Desktops via Citrix Secure Hub dans la documentation XenMobile.

Citrix Content Collaboration et Citrix Files

Citrix Files permet aux utilisateurs d’accéder à toutes leurs données et de les synchroniser à partir de n’importe quel appareil. Avec Citrix Files, les utilisateurs peuvent partager des données en toute sécurité avec des personnes à l’intérieur et à l’extérieur de l’organisation. Si vous intégrez Citrix Content Collaboration avec XenMobile Advanced Edition ou Enterprise Edition, XenMobile peut fournir à Citrix Files les fonctions suivantes :

  • Authentification à connexion unique pour les utilisateurs de l’application XenMobile.
  • Provisionnement de compte d’utilisateur basé sur Active Directory.
  • Stratégies de contrôle d’accès complètes

Les utilisateurs mobiles peuvent bénéficier de l’ensemble des fonctionnalités de compte Enterprise.

Vous pouvez également configurer XenMobile pour une intégration exclusivement avec des connecteurs StorageZone. Grâce aux connecteurs StorageZone, Citrix Files donne accès aux éléments suivants :

  • Documents et dossiers
  • Partages de fichiers réseau
  • Dans les sites SharePoint : collections de sites et bibliothèques de documents.

Les partages de fichiers connectés peuvent inclure les mêmes lecteurs de base réseau que ceux utilisés dans les environnements Citrix Virtual Apps and Desktops. Vous utilisez la console XenMobile pour configurer l’intégration avec Citrix Files ou avec les StorageZones Controller. Pour de plus amples informations, consultez la section Citrix Files à utiliser avec XenMobile.

Les sections suivantes indiquent les questions à poser lors de la prise de décision concernant la conception pour Citrix Files.

Intégration à Citrix Files ou uniquement aux connecteurs StorageZone

Questions à poser :

  • Avez-vous besoin de stocker des données dans des zones de stockage gérées par Citrix ?
  • Voulez-vous fournir aux utilisateurs des fonctions de partage de fichiers et de synchronisation ?
  • Voulez-vous permettre aux utilisateurs d’accéder aux fichiers sur le site Web Citrix Files ? Ou d’accéder à du contenu Office 365 et à des connecteurs Personal Cloud depuis des appareils mobiles ?

Décision de conception :

  • Si la réponse à l’une de ces questions est « oui », effectuez une intégration avec Citrix Files.
  • Une intégration aux connecteurs StorageZone uniquement offre aux utilisateurs iOS un accès mobile sécurisé aux référentiels de stockage locaux existants, tels que des sites SharePoint et des partages de fichiers réseau. Dans cette configuration, la configuration d’un sous-domaine Content Collaboration, le provisioning d’utilisateurs pour Citrix Files ou l’hébergement de données Citrix Files ne sont pas nécessaires. L’utilisation de connecteurs StorageZone avec XenMobile est conforme aux restrictions de sécurité contre la fuite d’informations utilisateur en dehors du réseau d’entreprise.

Emplacement des serveurs StorageZones Controller

Questions à poser :

  • Avez-vous besoin d’un stockage sur site ou de fonctionnalités telles que des connecteurs StorageZone ?
  • Si vous utilisez les fonctionnalités locales de Citrix Files, où se trouveront les StorageZones Controller sur le réseau ?

Décision de conception :

  • Déterminez si vous souhaitez placer les serveurs StorageZones Controller dans le cloud Citrix Files, dans votre système de stockage local à locataire unique ou dans un stockage cloud tiers pris en charge.
  • Les StorageZones Controller doivent disposer d’un accès à Internet pour communiquer avec le plan de contrôle Citrix Files. Vous pouvez vous connecter de plusieurs manières, y compris par accès direct, configurations NAT/PAT ou configurations du proxy.

Connecteurs StorageZone

Questions à poser :

  • Quels sont les chemins de partage CIFS ?
  • Quelles sont les URL SharePoint ?

Décision de conception :

  • Déterminez si les StorageZones Controller locaux doivent accéder à ces emplacements.
  • En raison de la communication des connecteurs StorageZone avec des ressources internes telles que des référentiels de fichiers, des partages CIFS et SharePoint : Citrix recommande que les StorageZones Controller résident dans le réseau interne derrière les pare-feu DMZ et devant Citrix ADC.

Intégration de SAML avec XenMobile Enterprise

Questions à poser :

  • L’authentification avec Active Directory est-elle requise pour Citrix Files ?
  • La première utilisation de l’application Citrix Files for XenMobile nécessite-t-elle une authentification unique ?
  • Existe-t-il un fournisseur d’identité standard dans votre environnement actuel ?
  • Combien de domaines sont requis pour utiliser SAML ?
  • Existe-t-il plusieurs alias d’adresse e-mail pour les utilisateurs d’Active Directory ?
  • Des migrations de domaine Active Directory sont-elles en cours ou prévues pour bientôt ?

Décision de conception :

Les environnements XenMobile Enterprise peuvent choisir d’utiliser SAML comme mécanisme d’authentification pour Citrix Files. Les options d’authentification sont les suivantes :

  • Utiliser XenMobile Server en tant que fournisseur d’identité (IdP) pour SAML

Cette option peut fournir une excellente expérience utilisateur et automatiser la création de compte Citrix Files, ainsi qu’activer les fonctionnalités SSO de l’application mobile.

  • XenMobile Server est adapté à ce processus : il ne nécessite pas la synchronisation d’Active Directory.
  • Utilisez l’outil de gestion des utilisateurs Citrix Files pour provisionner des utilisateurs.
  • Utiliser un fournisseur tiers pris en charge en tant que fournisseur d’identité pour SAML

Si vous disposez déjà d’un fournisseur d’identité et pris en charge et que vous n’avez pas besoin de fonctionnalités d’authentification unique pour les applications mobiles, cette option peut vous convenir. Cette option nécessite également l’utilisation de l’outil de gestion des utilisateurs Citrix Files pour le provisionnement des comptes.

L’utilisation de solutions d’identité tierces telles qu’ADFS peut également fournir des fonctionnalités d’authentification unique du côté client Windows. Veillez à évaluer les cas d’utilisation avant de choisir votre fournisseur d’identité SAML Citrix Files.

En outre, pour satisfaire aux deux cas d’utilisation, vous pouvez configurer ADFS et XenMobile en tant que fournisseur d’identité double.

Applications mobiles

Questions à poser :

  • Quelle application mobile Citrix Files envisagez-vous d’utiliser (public, MDM, MDX) ?

Décision de conception :

  • Vous pouvez distribuer les applications de productivité mobiles à partir de l’App Store d’Apple et de Google Play Store. Avec cette distribution depuis des magasins publics, vous obtenez des applications encapsulées à partir de la page de téléchargements Citrix.
  • Si la sécurité est faible et que vous n’avez pas besoin de conteneurisation, l’application publique Citrix Files peut ne pas convenir. Dans un environnement MDM exclusif, vous pouvez fournir la version MDM de l’application Citrix Files à l’aide de XenMobile en mode MDM.
  • Pour plus d’informations, veuillez consulter Applications et Citrix Files for XenMobile.

Sécurité, stratégies et contrôle d’accès

Questions à poser :

  • Quelles restrictions sont requises pour les utilisateurs de bureau, Web et mobiles ?
  • Quels paramètres de contrôle d’accès standard souhaitez-vous pour les utilisateurs ?
  • Quelle stratégie de rétention des fichiers comptez-vous utiliser ?

Décision de conception :

  • Citrix Files vous permet de gérer les autorisations des employés et la sécurité des appareils. Pour plus d’informations, voir Autorisations des employés et Gestion des appareils et des applications.
  • Certains paramètres de sécurité des appareils Citrix Files et certaines stratégies MDX contrôlent les mêmes fonctionnalités. Dans ce cas, les stratégies XenMobile sont prioritaires, suivies des paramètres de sécurité des appareils Citrix Files. Exemples : si vous désactivez des applications externes dans Citrix Files, mais les activez dans XenMobile, les applications externes sont désactivées dans Citrix Files. Vous pouvez configurer les applications pour que XenMobile n’exige pas de code PIN/code secret, mais que l’application Citrix Files requiert un code PIN/code secret.

Zones de stockage standard ou restreintes

Questions à poser :

  • Avez-vous besoin de zones de stockage restreintes ?

Décision de conception :

  • Une zone de stockage standard est conçue pour stocker les données non sensibles et permet aux employés de partager des données avec des personnes autres que des employés. Cette option prend en charge les workflows qui impliquent le partage de données en dehors de votre domaine.
  • Une zone de stockage restreinte protège les données sensibles : seuls les utilisateurs de domaine authentifiés peuvent accéder aux données stockées dans la zone.

Serveurs proxy Web

Le scénario le plus probable pour acheminer le trafic XenMobile via un proxy HTTP(S)/SOCKS est lorsque le sous-réseau dans lequel réside le serveur XenMobile ne dispose pas d’un accès Internet sortant aux adresses IP Apple, Google ou Microsoft requises. Vous pouvez spécifier les paramètres du serveur proxy dans XenMobile pour acheminer tout le trafic Internet vers le serveur proxy. Pour de plus amples informations, consultez la section Activer les serveurs proxy.

Le tableau suivant décrit les avantages et les inconvénients du serveur proxy le plus couramment utilisé avec XenMobile.

     
Option Avantages Inconvénients
Utiliser un serveur proxy HTTP(S)/SOCKS avec XenMobile Server Dans les cas où les stratégies n’autorisent pas les connexions Internet sortantes à partir du sous-réseau de XenMobile Server, vous pouvez configurer un proxy HTTP(S) ou SOCKS pour fournir la connectivité Internet. Si le serveur proxy échoue, la connectivité APN (iOS) ou Firebase Cloud Messaging (Android) est interrompue. Par conséquent, les notifications d’appareil échouent pour tous les appareils iOS et Android.
Utiliser un serveur proxy HTTP(S) avec Secure Web Vous pouvez surveiller le trafic HTTP/HTTPS pour vous assurer que l’activité Internet est conforme aux normes de votre organisation. Cette configuration nécessite que tout le trafic Internet Secure Web soit redirigé vers le réseau d’entreprise par tunnel avant d’être renvoyé sur Internet. Si votre connexion Internet limite la navigation, cette configuration peut affecter les performances de navigation sur Internet.

La configuration de votre profil de session Citrix ADC pour le split tunneling affecte le trafic de la manière suivante.

Lorsque le split tunneling Citrix ADC est désactivé :

  • Lorsque la stratégie MDX Accès réseau est définie sur Tunnélisé vers le réseau interne, tout le trafic est forcé à utiliser le tunnel micro VPN ou le tunnel VPN sans client (cVPN) vers Citrix Gateway.
  • Configurez les stratégies et profils de trafic Citrix ADC pour le serveur proxy et liez-les à l’adresse IP virtuelle de Citrix Gateway.

Important :

Veillez à exclure le trafic cVPN de Secure Hub du serveur proxy.

Lorsque le split tunneling Citrix ADC est activé :

  • Lorsque les applications sont configurées avec la stratégie MDX Accès au réseau définie sur Tunnellisé vers le réseau interne, les applications tentent d’abord d’obtenir la ressource Web directement. Si la ressource Web n’est pas publiquement disponible, ces applications reviennent ensuite à Citrix Gateway.
  • Configurez les stratégies et profils de trafic Citrix ADC pour le serveur proxy. Ensuite, liez ces stratégies et profils à l’adresse IP virtuelle de Citrix Gateway.

Important :

Veillez à exclure le trafic cVPN de Secure Hub du serveur proxy.

La configuration de profil de session Citrix ADC pour Split DNS (sous Expérience client) fonctionne de la même manière que l’option Split Tunneling.

Option Split DNS activée et définie sur Les deux :

  • Le client tente d’abord de résoudre le nom de domaine complet localement, puis revient à Citrix ADC pour la résolution DNS en cas d’échec.

Option Split DNS définie sur Distant :

  • La résolution DNS se produit uniquement sur Citrix ADC.

Option Split DNS définie sur Local :

  • Le client tente de résoudre le nom de domaine complet localement. Citrix ADC n’est pas utilisé pour la résolution DNS.

Contrôle d’accès

Les entreprises peuvent désormais gérer les appareils mobiles à l’intérieur et à l’extérieur des réseaux. Les solutions de gestion de la mobilité d’entreprise telles que XenMobile sont excellentes pour fournir sécurité et contrôle pour les appareils mobiles, indépendamment de leur emplacement. Toutefois, en intégrant aussi une solution de contrôle d’accès réseau (NAC), vous pouvez ajouter une qualité de service et un contrôle plus précis aux appareils internes de votre réseau. Cette combinaison vous permet d’étendre l’évaluation de la sécurité des appareils XenMobile via votre solution NAC. Votre solution NAC peut ensuite utiliser l’évaluation de sécurité XenMobile pour faciliter et gérer les décisions d’authentification. Citrix a validé l’intégration de NAC avec XenMobile pour le moteur de services d’identité Cisco (ISE) ou ForeScout. Citrix ne garantit pas l’intégration avec d’autres solutions NAC.

Les avantages d’une intégration de solution NAC avec XenMobile sont les suivants :

  • Sécurité, conformité et contrôle améliorés pour tous les points de terminaison sur un réseau d’entreprise.
  • Une solution NAC peut :
    • Détecter les appareils au moment où ils tentent de se connecter à votre réseau.
    • Interroger XenMobile sur les attributs de l’appareil.
    • Utiliser ensuite ces informations pour déterminer si ces appareils doivent être autorisés, bloqués, limités ou redirigés. Ces décisions dépendent des stratégies de sécurité que vous choisissez d’appliquer.
  • Une solution NAC fournit aux administrateurs informatiques une vue des appareils non gérés et non conformes.

Vous trouverez une description des filtres de conformité NAC pris en charge par XenMobile dans la section Contrôle d’accès réseau.