Product Documentation

Intégration avec NetScaler Gateway et NetScaler

21 février 2018

Lorsqu’il est intégré à XenMobile, NetScaler Gateway fournit aux appareils MAM un mécanisme d’authentification pour l’accès des appareils distants au réseau interne. Cette intégration permet aux applications XenMobile Apps de se connecter à des serveurs d’entreprise situés dans l’intranet via un micro VPN créé depuis les applications sur l’appareil mobile vers NetScaler Gateway.

L’équilibrage de la charge NetScaler est requis pour tous les modes d’appareil de XenMobile si vous avez plusieurs serveurs XenMobile ou si le serveur XenMobile se trouve dans votre DMZ ou votre réseau interne (et par conséquent le trafic passe des appareils à NetScaler vers XenMobile).

Exigences d’intégration pour les modes de XenMobile Server

Les exigences d’intégration de NetScaler Gateway et NetScaler diffèrent selon les modes de XenMobile Server : MAM, MDM et ENT.

MAM

Avec XenMobile Server en mode MAM :

  • NetScaler Gateway est requis. NetScaler Gateway fournit un chemin micro VPN pour l’accès à toutes les ressources de l’entreprise et fournit une prise en charge de l’authentification forte à multi-facteurs.
  • NetScaler est recommandé pour l’équilibrage de charge.

MDM

Avec XenMobile Server en mode MDM :

  • NetScaler Gateway n’est pas requis. Pour les déploiements MDM, Citrix recommande NetScaler Gateway pour les appareils VPN mobiles.
  • NetScaler est recommandé pour la sécurité et l’équilibrage de charge.

    Citrix vous recommande de déployer un boîtier NetScaler au premier plan, devant XenMobile Server, à des fins de sécurité et d’équilibrage de la charge. Pour les déploiements standard avec XenMobile Server dans la DMZ, Citrix recommande l’assistant NetScaler pour XenMobile ainsi que l’équilibrage de la charge de XenMobile Server en mode pont SSL. Vous pouvez également envisager le déchargement SSL pour les déploiements dans lesquels XenMobile Server réside dans le réseau interne plutôt que dans la DMZ et/ou lorsque la sécurité requiert de telles configurations.

    Il est possible d’exposer XenMobile Server à Internet via NAT, des proxys tiers ou des équilibreurs de charge existants pour MDM à condition que le trafic SSL se termine sur XenMobile Server (pont SSL) ; cependant Citrix ne recommande pas cette approche en raison du risque de sécurité potentiel.

    Pour les environnements hautement sécurisé, NetScaler défini avec la configuration XenMobile par défaut doit respecter ou dépasser les exigences de sécurité.

    Pour les environnements MDM ayant les besoins de sécurité les plus élevés, la terminaison SSL sur NetScaler permet d’inspecter le trafic sur le périmètre tout en assurant le cryptage SSL de bout en bout. Pour de plus amples informations, consultez la section Exigences en matière de sécurité. NetScaler offre des options pour définir les chiffrements SSL/TLS et le matériel SSL FIPS NetScaler.

ENT (MAM + MDM)

Avec XenMobile Server en mode ENT :

  • NetScaler Gateway est requis. NetScaler Gateway fournit un chemin micro VPN pour l’accès à toutes les ressources de l’entreprise et fournit une prise en charge de l’authentification forte à multi-facteurs.

    Lorsque le mode de XenMobile Server est ENT et qu’un utilisateur refuse l’inscription MDM, les appareils s’inscrivent à l’aide du nom de domaine complet NetScaler Gateway.

  • NetScaler est recommandé pour l’équilibrage de charge. Pour plus d’informations, consultez les remarques associées à NetScaler ci-dessus sous « MDM ».

Important :

Pour l’inscription initiale, le trafic des appareils utilisateur s’authentifie sur XenMobile Server, que vous configuriez des serveurs virtuels d’équilibrage de charge sur Déchargement SSL ou Pont SSL.

Décisions de conception

Les sections suivantes résument les nombreuses décisions de conception à prendre en compte lors de la planification d’une intégration de NetScaler Gateway avec XenMobile.

Licence et édition

Détail de la décision :

  • Quelle édition de NetScaler utilisez-vous ?
  • Avez-vous appliqué des licences Platform à NetScaler ?
  • Si vous avez besoin de la fonctionnalité MAM, avez-vous appliqué les licences NetScaler Universal Access ?

Conseils sur la conception :

Assurez-vous d’appliquer les licences appropriées à NetScaler Gateway. Si vous utilisez XenMobile NetScaler Connector, la mise en cache intégrée peut être requise. Par conséquent, vous devez vous assurer que l’édition NetScaler appropriée est en place.

Les exigences en matière de licence pour activer les fonctionnalités NetScaler sont les suivantes.

  • L’équilibrage de charge XenMobile MDM nécessite au minimum une licence de plate-forme standard NetScaler.
  • L’équilibrage de la charge ShareFile avec StorageZones Controller nécessite au minimum une licence de plate-forme standard NetScaler.
  • L’édition XenMobile Enterprise inclut les licences NetScaler Gateway Universal requises pour MAM.
  • L’équilibrage de charge Exchange nécessite une licence de plate-forme NetScaler Platinum ou une licence de plate-forme NetScaler Enterprise en plus d’une licence de mise en cache intégrée.

Version NetScaler pour XenMobile

Détail de la décision :

  • Quelle version de NetScaler est en cours d’exécution dans l’environnement XenMobile ?
  • Une instance distincte sera-t-elle requise ?

Conseils sur la conception :

Citrix vous recommande d’utiliser une instance dédiée de NetScaler pour votre serveur virtuel NetScaler Gateway. Assurez-vous que la version/build de NetScaler minimale requise est utilisée dans l’environnement XenMobile. Il est généralement préférable d’utiliser la dernière version/build de NetScaler compatible pour XenMobile. Si la mise à niveau de NetScaler Gateway affecte vos environnements existants, une seconde instance dédiée pour XenMobile peut être appropriée.

Si vous souhaitez partager une instance NetScaler pour XenMobile et d’autres applications utilisant des connexions VPN, vérifiez que vous disposez de suffisamment de licences VPN. Gardez à l’esprit que les environnements de test et de production XenMobile ne peuvent pas partager une instance NetScaler.

Certificats

Détail de la décision :

  • Avez-vous besoin d’un niveau de sécurité plus élevé pour les inscriptions et l’accès à l’environnement XenMobile ?
  • Pourriez-vous considérez le protocole LDAP ?

Conseils sur la conception :

La configuration par défaut pour XenMobile est l’authentification par nom d’utilisateur et mot de passe. Pour ajouter une autre couche de sécurité pour l’inscription et l’accès à l’environnement XenMobile, vous pouvez utiliser l’authentification basée sur certificats. Vous pouvez utiliser des certificats avec LDAP pour l’authentification à deux facteurs, ce qui permet d’offrir un degré de sécurité supérieur sans avoir besoin d’un serveur RSA.

Si vous n’autorisez pas LDAP et utilisez des cartes à puce ou méthodes similaires, la configuration des certificats vous permet de représenter une carte à puce auprès de XenMobile. Les utilisateurs s’inscrivent alors à l’aide d’un code PIN unique généré par XenMobile. Une fois qu’un utilisateur a accès, XenMobile crée et déploie le certificat utilisé ensuite pour s’authentifier auprès de l’environnement XenMobile.

XenMobile prend en charge la liste de révocation de certificats (CRL) uniquement pour une autorité de certification tierce. Si vous disposez d’une autorité de certification Microsoft configurée, XenMobile utilise NetScaler pour gérer la révocation. Lorsque vous configurez l’authentification basée sur un certificat client, vous devez décider si vous avez besoin de configurer le paramètre Liste de révocation de certificats (CRL) NetScaler, Enable CRL Auto Refresh. Cette étape permet de s’assurer que l’utilisateur d’un appareil en mode MAM exclusif ne peut pas s’authentifier à l’aide d’un certificat existant sur l’appareil. XenMobile émet de nouveau un nouveau certificat, car il n’interdit pas à un utilisateur de générer un certificat utilisateur si un certificat a été révoqué. Ce paramètre renforce la sécurité des entités PKI lorsque la CRL vérifie la présence d’entités PKI expirées.

Topologie réseau

Détail de la décision :

  • Quelle topologie NetScaler est requise ?

Conseils sur la conception :

Citrix recommande d’utiliser une instance NetScaler pour XenMobile. Toutefois, si vous ne souhaitez pas que le trafic passe du réseau interne à la DMZ, vous pouvez configurer une instance supplémentaire de NetScaler : une instance NetScaler est utilisée pour les utilisateurs internes et une autre instance pour les utilisateurs externes. Lorsque les utilisateurs basculent entre les réseaux internes et externes, la mise en cache des enregistrements DNS peut entraîner une augmentation des invites de connexion dans Secure Hub.

Notez que XenMobile ne prend actuellement pas en charge NetScaler Gateway Double Hop.

VIP NetScaler Gateway dédiés ou partagés

Détail de la décision :

  • Utilisez-vous actuellement NetScaler Gateway pour XenApp et XenDesktop ?
  • XenMobile tirera-t-il parti du même NetScaler Gateway que XenApp et XenDesktop ?
  • Quelles sont les exigences d’authentification pour les deux flux de trafic ?

Conseils sur la conception :

Lorsque votre environnement Citrix comprend XenMobile, XenApp et XenDesktop, vous pouvez utiliser la même instance NetScaler et le même serveur virtuel NetScaler Gateway pour les deux. En raison de conflits de version et d’isolement d’environnement potentiels, une instance NetScaler dédiée et NetScaler Gateway sont recommandées pour chaque environnement XenMobile. Toutefois, si une instance NetScaler dédiée n’est pas possible, Citrix recommande d’utiliser un vServer NetScaler Gateway dédié plutôt qu’un vServer partagé entre XenMobile, XenApp et XenDesktop pour séparer les flux de trafic de Secure Hub.

Si vous utilisez l’authentification LDAP, Receiver et Secure Hub peuvent s’authentifier auprès du même NetScaler Gateway sans problème. Si vous utilisez l’authentification par certificat, XenMobile envoie un certificat dans le conteneur MDX et Secure Hub utilise le certificat pour s’authentifier auprès de NetScaler Gateway. Receiver est distinct de Secure Hub et ne peut pas utiliser le même certificat que Secure Hub pour s’authentifier sur le même NetScaler Gateway.

Vous pouvez envisager cette solution, ce qui vous permet d’utiliser le même nom de domaine complet pour deux VIP NetScaler Gateway. Vous pouvez créer deux VIP NetScaler Gateway avec la même adresse IP, mais celui de Secure Hub utilise le port 443 standard et celui de XenApp et XenDesktop (qui déploient Receiver) utilise le port 444. Ensuite, un nom de domaine complet résout la même adresse IP. Si vous utilisez cette solution, vous devrez peut-être configurer StoreFront pour renvoyer un fichier ICA pour le port 444, au lieu du port 443 par défaut. Avec cette solution, les utilisateurs n’ont pas besoin d’entrer un numéro de port.

Délais d’expiration NetScaler Gateway

Détail de la décision :

  • Comment voulez-vous configurer les délais d’expiration NetScaler Gateway pour le trafic XenMobile ?

Conseils sur la conception :

NetScaler Gateway inclut les paramètres Délai d’expiration de session et Délai d’expiration forcé. Pour de plus amples informations, consultez la section Configurations recommandées. Gardez à l’esprit qu’il existe différentes valeurs de délai d’expiration pour les services d’arrière-plan, NetScaler et pour accéder aux applications en mode hors connexion.

Adresse IP de l’équilibreur de charge XenMobile pour MAM

Détail de la décision :

  • Utilisez-vous des adresses IP internes ou externes pour les VIP ?

Conseils sur la conception :

Dans les environnements où vous pouvez utiliser des adresses IP publiques pour les VIP NetScaler Gateway, l’attribution du VIP et de l’adresse d’équilibrage de charge XenMobile de cette manière entraînera des échecs d’inscription.

Assurez-vous que le VIP d’équilibrage de charge utilise une adresse IP interne pour éviter les échecs d’inscription dans ce scénario. Cette adresse IP virtuelle doit suivre la norme RFC 1918 des adresses IP privées. Si vous utilisez une adresse IP non privée pour ce serveur virtuel, NetScaler ne pourra pas contacter XenMobile Server au cours du processus d’authentification. Pour plus de détails, consultez http://support.citrix.com/article/CTX200430.

Mécanisme d’équilibrage de charge MDM

Détail de la décision :

  • Comment les serveurs XenMobile seront-ils équilibrés par NetScaler Gateway ?

Conseils sur la conception :

Utilisez le mode Pont SSL si XenMobile est dans la DMZ. Utilisez le mode Déchargement SSL si nécessaire pour respecter les normes de sécurité lorsque XenMobile Server se trouve sur le réseau interne.

  • Lorsque vous effectuez l’équilibrage de charge de XenMobile Server avec des VIP NetScaler en mode Pont SSL, le trafic Internet passe directement à XenMobile Server, là où les connexions se terminent. Le mode Pont SSL est le mode le plus simple à configurer et à résoudre.
  • Lorsque vous effectuez l’équilibrage de charge de XenMobile Server avec des VIP NetScaler en mode Déchargement SSL, le trafic Internet passe directement à NetScaler, là où les connexions se terminent. NetScaler établit ensuite de nouvelles sessions depuis NetScaler vers XenMobile Server. Le mode Déchargement SSL implique une complexité supplémentaire lors de l’installation et du dépannage.

Port de service pour l’équilibrage de charge MDM avec déchargement SSL

Détail de la décision :

  • Si vous utilisez le mode Déchargement SSL pour l’équilibrage de charge, quel port le service principal utilisera-t-il ?

Conseils sur la conception :

Pour le mode Déchargement SSL, choisissez le port 80 ou 8443 comme suit :

Inscription du nom de domaine complet

Détail de la décision :

  • Quel sera le nom de domaine complet pour l’inscription et l’instance/le VIP d’équilibrage de charge XenMobile ?

Conseils sur la conception :

La configuration initiale du premier serveur XenMobile d’un cluster nécessite l’entrée du nom de domaine complet de XenMobile Server. Ce nom de domaine complet doit correspondre à votre URL VIP MDM et à votre URL VIP MAM LB interne. (Un enregistrement d’adresse NetScaler interne résout le VIP MAM LB.) Pour plus de détails, voir « Nom de domaine complet d’inscription pour chaque type de déploiement » plus loin dans cet article.

En outre, vous devez utiliser le même certificat que le certificat d’écouteur SSL XenMobile, le certificat VIP MAM LB interne et le certificat VIP MDM (si vous utilisez le mode Déchargement SSL pour MDM VIP).

Important :

Après avoir configuré le nom de domaine complet de l’inscription, vous ne pouvez pas le modifier. Un nouveau nom de domaine complet d’inscription nécessitera une nouvelle base de données SQL Server et une nouvelle build de XenMobile Server.

Trafic de Secure Web

Détail de la décision :

  • Voulez-vous restreindre Secure Web à la navigation Web interne uniquement ?
  • Voulez-vous activer Secure Web pour la navigation Web interne et externe ?

Conseils sur la conception :

Si vous utilisez Secure Web pour la navigation Web interne uniquement, la configuration de NetScaler Gateway est simple, en supposant que Secure Web puisse atteindre tous les sites internes par défaut ; vous devrez peut-être configurer des pare-feux et des serveurs proxy.

Si vous utilisez Secure Web pour la navigation interne et externe, vous devez activer l’adresse IP de sous-réseau pour avoir un accès Internet sortant. Étant donné que les départements informatiques considèrent généralement les appareils inscrits (à l’aide du conteneur MDX) comme une extension du réseau d’entreprise, ils souhaitent généralement que les connexions Secure Web reviennent à NetScaler, passent par un serveur proxy, puis accèdent à Internet. Par défaut, l’accès à Secure Web est tunnélisé vers le réseau interne, ce qui signifie que Secure Web utilise un tunnel VPN par application vers le réseau interne pour tous les accès réseau et que NetScaler utilise les paramètres de split tunneling.

Pour une description des connexions Secure Web, consultez la section Configuration des connexions utilisateur.

Notifications push pour Secure Mail

Détail de la décision :

  • Voulez-vous utiliser des notifications push ?

Conseils sur la conception pour iOS :

Si votre configuration NetScaler Gateway comprend une STA (Secure Ticket Authority) et que le split tunneling est désactivé, NetScaler Gateway doit autoriser le trafic en provenance de Secure Mail vers les URL du service d’écoute Citrix, comme spécifié dans les notifications push pour Secure Mail sous iOS.

Conseil sur la conception pour Android :

Une alternative à la stratégie MDX Période d’interrogation active consiste à utiliser Google Cloud Messaging (GCM) pour contrôler quand et comment les appareils Android doivent se connecter à XenMobile. Avec la configuration de GCM, toute action de sécurité ou commande de déploiement déclenche une notification push à Secure Hub afin d’inviter l’utilisateur à se reconnecter à XenMobile Server.

HDX STA

Détail de la décision :

  • Quelles STA utiliser si vous intégrez l’accès aux applications HDX ?

Conseils sur la conception :

Les STA HDX doivent correspondre aux STA dans StoreFront et doivent être valides pour la batterie XenApp/XenDesktop.

ShareFile

Détail de la décision :

  • Voulez-vous utiliser les contrôleurs ShareFile StorageZone dans l’environnement ?
  • Quelle URL VIP ShareFile voulez-vous utiliser ?

Conseils sur la conception :

Si vous souhaitez inclure les contrôleurs ShareFile StorageZone dans votre environnement, assurez-vous de configurer correctement les éléments suivants : ShareFile Content Switch VIP (utilisé par le plan de contrôle ShareFile pour communiquer avec les serveurs StorageZone Controller), les VIPS d’équilibrage de charge de ShareFile et toutes les stratégies et profils requis. Pour plus d’informations, consultez la documentation Citrix ShareFile StorageZones Controller.

Fournisseur d’identité SAML

Détail de la décision :

  • Si SAML est requis pour ShareFile, voulez-vous utiliser XenMobile comme fournisseur d’identité SAML ?

Conseils sur la conception :

La méthode recommandée est d’intégrer ShareFile à XenMobile Advanced Edition ou XenMobile Enterprise Edition, une approche plus simple que la configuration de la fédération SAML. Lorsque vous utilisez ShareFile avec ces éditions de XenMobile, XenMobile permet à ShareFile de bénéficier des fonctionnalités suivantes : authentification unique des utilisateurs XenMobile Apps, provisioning des comptes utilisateur basé sur Active Directory et stratégies de contrôle d’accès complètes. La console XenMobile vous permet de configurer ShareFile et de contrôler les niveaux de service et la consommation de licences.

Notez qu’il existe deux types de clients ShareFile : les clients ShareFile pour XenMobile (également appelés clients ShareFile encapsulés) et les clients mobiles ShareFile (également appelés clients ShareFile non encapsulés). Pour comprendre les différences, consultez la section Différences entre les clients ShareFile pour XenMobile et les clients mobiles ShareFile.

Vous pouvez configurer XenMobile et ShareFile pour utiliser SAML afin de fournir un accès SSO (authentification unique) aux applications mobiles ShareFile que vous encapsulez avec le service MDX, ainsi qu’aux clients ShareFile non encapsulés, tel que le site Web, le plug-in Outlook ou les clients de synchronisation.

Si vous souhaitez utiliser XenMobile comme fournisseur d’identité SAML pour ShareFile, assurez-vous que les configurations appropriées sont en place. Pour plus d’informations, consultez la section SAML pour l’authentification unique avec ShareFile.

Connexions directes ShareConnect

Détail de la décision :

  • Les utilisateurs accèderont-ils à un ordinateur hôte à partir d’un ordinateur ou d’un appareil mobile exécutant ShareConnect à l’aide de connexions directes ?

Conseils sur la conception :

ShareConnect permet aux utilisateurs de se connecter à leurs ordinateurs en toute sécurité au travers d’iPads, de tablettes et de téléphones Android pour accéder à leurs fichiers et applications. Pour les connexions directes, XenMobile utilise NetScaler Gateway pour sécuriser l’accès aux ressources en dehors du réseau local. Pour plus d’informations sur la configuration, consultez la section ShareConnect.

Nom de domaine complet d’inscription pour chaque type de déploiement

   
Type de déploiement Nom de domaine complet d’inscription
Enterprise (MDM + MAM) avec inscription MDM obligatoire Nom de domaine complet de XenMobile Server
Enterprise (MDM + MAM) avec inscription MDM facultative Nom de domaine complet de XenMobile Server ou nom de domaine complet NetScaler Gateway
MDM uniquement Nom de domaine complet de XenMobile Server
Mode MAM uniquement (ancien mode) Nom de domaine complet de NetScaler Gateway
MAM exclusif Nom de domaine complet de XenMobile Server

Récapitulatif du déploiement

Citrix vous recommande d’utiliser l’assistant NetScaler for XenMobile pour garantir une configuration correcte. Sachez que vous ne pouvez utiliser l’assistant qu’une seule fois. Si vous disposez de plusieurs instances XenMobile, telles que les environnements de test, de développement et de production, vous devez configurer manuellement NetScaler pour les environnements supplémentaires. Lorsque vous disposez d’un environnement de travail, prenez note des paramètres avant de tenter de configurer manuellement NetScaler pour XenMobile.

La décision clé que vous prenez lors de l’utilisation de l’assistant consiste à utiliser HTTPS ou HTTP pour la communication avec XenMobile Server. HTTPS fournit une communication principale sécurisée car le trafic entre NetScaler et XenMobile est crypté ; le recryptage impacte les performances de XenMobile Server. HTTP fournit de meilleures performances pour XenMobile Server ; le trafic entre NetScaler et XenMobile n’est pas crypté. Les tableaux suivants répertorient les exigences de port HTTP et HTTPS pour XenMobile Server et NetScaler.

HTTPS

Citrix recommande généralement le mode Pont SSL pour les configurations de serveur virtuel NetScaler MDM. Pour utiliser le mode Déchargement SSL de NetScaler avec les serveurs virtuels MDM, XenMobile prend en charge uniquement le port 80 en tant que service principal.

       
Type de déploiement Méthode d’équilibrage de charge NetScaler Ré-cryptage SSL Port de XenMobile Server
MDM Pont SSL S.O. 443, 8443
MAM Déchargement SSL Activée 8443
Entreprise MDM : Pont SSL S.O. 443, 8443
Entreprise MAM : Déchargement SSL Activée 8443

HTTP

       
Type de déploiement Méthode d’équilibrage de charge NetScaler Ré-cryptage SSL Port de XenMobile Server
MDM Déchargement SSL Non pris en charge 80
MAM Déchargement SSL Activée 8443
Entreprise MDM : Déchargement SSL Non pris en charge 80
Entreprise MAM : Déchargement SSL Activée 8443

Vous trouverez des diagrammes de NetScaler Gateway dans les déploiements XenMobile dans Architecture.

Intégration avec NetScaler Gateway et NetScaler