Product Documentation

Intégration de XenMobile

21 février 2018

Cet article décrit les éléments à prendre en compte lors de la planification de l’intégration de XenMobile à votre réseau et à vos solutions. Par exemple, si vous utilisez déjà NetScaler pour XenApp et XenDesktop :

  • Devriez-vous utiliser l’instance NetScaler existante ou une nouvelle instance dédiée ?
  • Voulez-vous intégrer à XenMobile les applications HDX publiées avec StoreFront ?
  • Avez-vous l’intention d’utiliser ShareFile avec XenMobile ?
  • Avez-vous une solution de contrôle d’accès réseau que vous souhaitez intégrer dans XenMobile ?

NetScaler et NetScaler Gateway

NetScaler Gateway est obligatoire pour les modes ENT et MAM de XenMobile. NetScaler Gateway fournit un chemin micro VPN pour l’accès à toutes les ressources de l’entreprise et fournit une prise en charge de l’authentification forte à multi-facteurs. L’équilibrage de charge NetScaler est requis pour tous les modes d’appareil XenMobile :

  • Si vous avez plusieurs instances de XenMobile Server.
  • Ou, si XenMobile Server est à l’intérieur de votre zone démilitarisée ou réseau interne (et donc le trafic circule des appareils vers NetScaler vers XenMobile).

Vous pouvez utiliser des instances NetScaler existantes ou en configurer de nouvelles pour XenMobile. Les sections suivantes expliquent les avantages et les inconvénients de l’utilisation d’instances NetScaler dédiées existantes ou nouvelles.

NetScaler MPX partagé avec une VIP NetScaler Gateway créée pour XenMobile

Avantages :

  • Utilise une instance NetScaler commune pour toutes les connexions distantes Citrix : XenApp, VPN complet et VPN sans client.
  • Utilise les configurations NetScaler existantes, telles que l’authentification par certificat et l’accès à des services tels que DNS, LDAP et NTP.
  • Utilise une seule licence de plate-forme NetScaler.

Inconvénients :

  • Il est plus difficile de planifier l’échelle du déploiement lorsque vous gérez deux cas d’utilisation très différents sur le même NetScaler.
  • Parfois, vous avez besoin d’une version NetScaler spécifique pour un cas d’utilisation XenApp. Cette même version peut présenter des problèmes connus pour XenMobile. Ou XenMobile peut présenter des problèmes connus pour la version NetScaler.
  • Si une instance de NetScaler Gateway existe, vous ne pouvez pas exécuter l’assistant NetScaler for XenMobile une deuxième fois pour créer la configuration NetScaler pour XenMobile.
  • Sauf lorsque des licences Platinum sont utilisées pour NetScaler Gateway 11.1 ou version ultérieure : les licences d’accès utilisateur installées sur NetScaler et requises pour la connectivité VPN sont regroupées. Comme ces licences sont disponibles pour tous les serveurs virtuels NetScaler, des services autres que XenMobile peuvent potentiellement les consommer.

Instance NetScaler VPX/MPX dédiée

Avantages :

Citrix vous recommande d’utiliser une instance dédiée de NetScaler.

  • Plus facile à planifier en termes d’échelle et sépare le trafic XenMobile d’une instance NetScaler qui pourrait déjà être limitée en ressources.
  • Évite les problèmes lorsque XenMobile et XenApp ont besoin de versions différentes du logiciel NetScaler. Il est généralement préférable d’utiliser la dernière version/build de NetScaler compatible pour XenMobile.
  • Permet la configuration XenMobile de NetScaler via l’assistant NetScaler pour XenMobile intégré.
  • Séparation virtuelle et physique des services.

Inconvénients :

  • Nécessite l’installation de services supplémentaires sur NetScaler pour prendre en charge la configuration XenMobile.
  • Nécessite une autre licence de plate-forme NetScaler. Licence pour chaque instance NetScaler pour NetScaler Gateway.

Pour plus d’informations sur les éléments à prendre en compte lors de l’intégration de NetScaler et NetScaler Gateway avec chaque mode de XenMobile Server, voir Intégration avec NetScaler et NetScaler Gateway.

StoreFront

Si vous disposez d’un environnement Citrix XenApp et XenDesktop, vous pouvez intégrer des applications HDX avec XenMobile à l’aide de StoreFront. Lorsque vous intégrez des applications HDX avec XenMobile :

  • Les applications sont disponibles pour les utilisateurs inscrits avec XenMobile.
  • Les applications s’affichent dans le magasin XenMobile avec d’autres applications mobiles.
  • XenMobile utilise le site PNAgent (services) hérité sur StoreFront.
  • Lorsque Citrix Receiver est installé sur un appareil, les applications HDX commencent à utiliser Receiver.

StoreFront est limité à un site de services par instance. Supposons que vous ayez plusieurs magasins et que vous souhaitiez le séparer d’autres utilisations de production. Dans ce cas, Citrix vous recommande généralement d’envisager une nouvelle instance de StoreFront avec un nouveau site de services pour XenMobile.

Les points à prendre en compte sont les suivants :

  • Existe-t-il des exigences d’authentification différentes pour StoreFront ? Le site de services StoreFront nécessite des informations d’identification Active Directory pour la connexion. Les clients utilisant uniquement l’authentification par certificat ne peuvent pas énumérer les applications via XenMobile en utilisant la même instance de NetScaler Gateway.
  • Utiliser le même magasin ou en créer un nouveau ?
  • Utiliser le même serveur StoreFront ou un serveur différent ?

Les sections suivantes indiquent les avantages et les inconvénients de l’utilisation d’instances StoreFront séparées ou combinées pour les applications Receiver et XenMobile.

Intégrer votre instance StoreFront existante avec XenMobile

Avantages :

  • Même magasin : aucune configuration supplémentaire de StoreFront n’est requise pour XenMobile, à condition que vous utilisiez le même accès par VIP NetScaler pour HDX. Supposons que vous choisissiez d’utiliser le même magasin et que vous souhaitiez diriger l’accès de Receiver vers une nouvelle VIP NetScaler. Dans ce cas, ajoutez la configuration NetScaler Gateway appropriée à StoreFront.
  • Même serveur StoreFront : utilise l’installation et la configuration de StoreFront existantes.

Inconvénients :

  • Même magasin : toute reconfiguration de StoreFront pour gérer les charges de travail XenApp et XenDesktop peut également avoir un effet négatif sur XenMobile.
  • Même serveur StoreFront : dans les environnements de grande taille, considérez la charge supplémentaire que représente l’utilisation de PNAgent par XenMobile pour l’énumération et le démarrage des applications.

Utiliser une nouvelle instance StoreFront dédiée pour l’intégration avec XenMobile

Avantages :

  • Nouveau magasin : les modifications de configuration du magasin StoreFront pour XenMobile ne devraient pas affecter les charges de travail XenApp et XenDesktop existantes.
  • Nouveau serveur StoreFront : les modifications de configuration du serveur ne devraient pas affecter le flux de travail XenApp et XenDesktop. De plus, la charge hors de l’utilisation de PNAgent par XenMobile pour l’énumération et le lancement des applications ne devrait pas affecter la capacité à monter en charge.

Inconvénients :

  • Nouveau magasin : configuration du magasin StoreFront.
  • Nouveau serveur StoreFront : requiert une nouvelle installation et une nouvelle configuration de StoreFront.

Pour de plus amples informations, consultez XenApp et XenDesktop via Citrix Secure Hub.

ShareFile

ShareFile permet aux utilisateurs d’accéder à toutes leurs données et de les synchroniser à partir de n’importe quel appareil. Avec ShareFile, les utilisateurs peuvent partager des données en toute sécurité avec des personnes à l’intérieur et à l’extérieur de l’organisation. Si vous intégrez ShareFile avec XenMobile Advanced Edition ou Enterprise Edition, XenMobile peut fournir à ShareFile les fonctions suivantes :

  • Authentification à connexion unique pour les utilisateurs de l’application XenMobile.
  • Provisionnement de compte d’utilisateur basé sur Active Directory.
  • Stratégies de contrôle d’accès complètes.

Les utilisateurs mobiles peuvent bénéficier de l’ensemble complet des fonctionnalités de ShareFile Enterprise.

Vous pouvez également configurer XenMobile pour une intégration exclusivement avec des connecteurs StorageZone. Grâce aux connecteurs StorageZone, ShareFile fournit un accès aux éléments suivants :

  • Documents et dossiers
  • Partages de fichiers réseau
  • Dans les sites SharePoint : collections de sites et bibliothèques de documents.

Les partages de fichiers connectés peuvent inclure les mêmes lecteurs réseau que ceux utilisés dans les environnements Citrix XenDesktop et XenApp. La console XenMobile permet de configurer l’intégration avec les connecteurs ShareFile Enterprise ou StorageZones. Pour plus d’informations, consultez la section Utilisation de ShareFile avec XenMobile.

Les sections suivantes indiquent les questions à poser lors de la prise de décision concernant la conception pour ShareFile.

Intégrer avec ShareFile Enterprise ou connecteurs StorageZone uniquement

Questions à poser :

  • Avez-vous besoin de stocker des données dans des StorageZones gérés par Citrix ?
  • Voulez-vous fournir aux utilisateurs des fonctions de partage de fichiers et de synchronisation ?
  • Voulez-vous permettre aux utilisateurs d’accéder aux fichiers sur le site Web ShareFile ? Ou d’accéder à du contenu Office 365 et à des connecteurs Personal Cloud depuis des appareils mobiles ?

Décisions de conception :

  • Si la réponse à l’une de ces questions est « oui », effectuez une intégration avec ShareFile Enterprise.
  • Une intégration avec des connecteurs StorageZone exclusivement donne aux utilisateurs iOS un accès mobile sécurisé aux référentiels de stockage locaux existants, tels que des sites SharePoint et des partages de fichiers réseau. Dans cette configuration, vous n’avez pas besoin de configurer un sous-domaine ShareFile, de provisionner des utilisateurs pour ShareFile ou d’héberger des données ShareFile. L’utilisation de connecteurs StorageZone avec XenMobile est conforme aux restrictions de sécurité contre la fuite d’informations utilisateur en dehors du réseau d’entreprise.

Emplacement du serveur du contrôleur de StorageZone ShareFile

Questions à poser :

  • Avez-vous besoin d’un stockage sur site ou de fonctionnalités telles que les connecteurs StorageZone ?
  • Si vous utilisez les fonctionnalités locales de ShareFile, où se trouveront les contrôleurs de StorageZone ShareFile sur le réseau ?

Décisions de conception :

  • Déterminez si vous souhaitez localiser les serveurs du contrôleur StorageZone dans le cloud ShareFile, dans votre système de stockage local à locataire unique ou dans un stockage cloud tiers pris en charge.
  • Les contrôleurs StorageZone ont besoin d’un accès à Internet pour communiquer avec le plan de contrôle Citrix ShareFile. Vous pouvez vous connecter de plusieurs manières, y compris par accès direct ou configurations NAT / PAT.

Connecteurs StorageZone

Questions à poser :

  • Quels sont les chemins de partage CIFS ?
  • Quelles sont les URL SharePoint ?

Décisions de conception :

  • Déterminez si les contrôleurs StorageZone locaux doivent accéder à ces emplacements.
  • En raison de la communication des connecteurs StorageZone avec des ressources internes telles que des référentiels de fichiers, des partages CIFS et SharePoint : Citrix recommande que les contrôleurs StorageZone résident dans le réseau interne derrière les pare-feu DMZ et devant NetScaler.

Intégration de SAML avec XenMobile Enterprise

Questions à poser :

  • L’authentification avec Active Directory est-elle requise pour ShareFile ?
  • La première utilisation de l’application ShareFile pour XenMobile nécessite-t-elle une authentification unique ?
  • Existe-t-il un fournisseur d’identité standard dans votre environnement actuel ?
  • Combien de domaines sont requis pour utiliser SAML ?
  • Existe-t-il plusieurs alias d’adresse e-mail pour les utilisateurs d’Active Directory ?
  • Des migrations de domaine Active Directory sont-elles en cours ou prévues pour bientôt ?

Décisions de conception :

Les environnements XenMobile Enterprise peuvent choisir d’utiliser SAML comme mécanisme d’authentification pour ShareFile. Les options d’authentification sont les suivantes :

  • Utiliser XenMobile Server en tant que fournisseur d’identité (IdP) pour SAML

Cette option peut fournir une excellente expérience utilisateur et automatiser la création de compte ShareFile, ainsi qu’activer les fonctionnalités SSO de l’application mobile.

  • XenMobile Server est adapté à ce processus : il ne nécessite pas la synchronisation d’Active Directory.
  • Utilisez l’outil de gestion des utilisateurs ShareFile pour provisionner des utilisateurs.
  • Utiliser un fournisseur tiers pris en charge en tant que fournisseur d’identité pour SAML

Si vous disposez déjà d’un fournisseur d’identité et pris en charge et que vous n’avez pas besoin de fonctionnalités d’authentification unique pour les applications mobiles, cette option peut vous convenir. Cette option nécessite également l’utilisation de l’outil de gestion des utilisateurs ShareFile pour le provisionnement des comptes.

L’utilisation de solutions d’identité tierces telles qu’ADFS peut également fournir des fonctionnalités d’authentification unique du côté client Windows. Veillez à évaluer les cas d’utilisation avant de choisir votre fournisseur d’identité SAML ShareFile.

En outre, pour satisfaire aux deux cas d’utilisation, vous pouvez Configurer ADFS et XenMobile en tant que fournisseur d’identité double.

Applications mobiles

Questions à poser :

  • Quelle application mobile ShareFile envisagez-vous d’utiliser (public, MDM, MDX) ?

Décisions de conception :

  • Vous pouvez distribuer des applications XenMobile Apps à partir de l’App Store d’Apple et de Google Play Store. Avec cette distribution depuis des magasins publics, vous obtenez des applications encapsulées à partir de la page de téléchargements Citrix.
  • Si la sécurité est faible et que vous n’avez pas besoin de conteneurisation, l’application publique ShareFile peut ne pas convenir. Dans un environnement MDM exclusif, vous pouvez fournir la version MDM de l’application ShareFile à l’aide de XenMobile en mode MDM.
  • Pour plus d’informations, consultez les sections Applications et Citrix ShareFile pour XenMobile.

Sécurité, stratégies et contrôle d’accès

Questions à poser :

  • Quelles restrictions sont requises pour les utilisateurs de bureau, Web et mobiles ?
  • Quels paramètres de contrôle d’accès standard souhaitez-vous pour les utilisateurs ?
  • Quelle stratégie de rétention des fichiers comptez-vous utiliser ?

Décisions de conception :

  • ShareFile vous permet de gérer les autorisations des employés et la sécurité des appareils. Pour plus d’informations, consultez les sections Autorisations des employés et Gestion des appareils et des applications.
  • Certains paramètres de sécurité des appareils ShareFile et certaines stratégies MDX contrôlent les mêmes fonctionnalités. Dans ce cas, les stratégies XenMobile sont prioritaires, suivies des paramètres de sécurité des appareils ShareFile. Exemples : si vous désactivez des applications externes dans ShareFile, mais les activez dans XenMobile, les applications externes sont désactivées dans ShareFile. Vous pouvez configurer les applications pour que XenMobile n’exige pas de code PIN/code secret, mais que l’application ShareFile requiert un code PIN/code secret.

StorageZones standard ou restreintes

Questions à poser :

  • Avez-vous besoin de StorageZones restreintes ?

Décision de conception :

  • Une StorageZone standard est conçue pour stocker les données à caractère non confidentiel et permet aux employés de partager des données avec des non-salariés. Cette option prend en charge les workflows qui impliquent le partage de données en dehors de votre domaine.
  • Une StorageZone restreinte protège les données confidentielles : seuls les utilisateurs de domaine authentifiés peuvent accéder aux données stockées dans la zone.

Contrôle d’accès

Les entreprises peuvent désormais gérer les appareils mobiles à l’intérieur et à l’extérieur des réseaux. Les solutions de gestion de la mobilité d’entreprise telles que XenMobile sont excellentes pour fournir sécurité et contrôle pour les appareils mobiles, indépendamment de leur emplacement. Toutefois, en intégrant aussi une solution de contrôle d’accès réseau (NAC), vous pouvez ajouter une qualité de service et un contrôle plus précis aux appareils internes de votre réseau. Cette combinaison vous permet d’étendre l’évaluation de la sécurité des appareils XenMobile via votre solution NAC. Votre solution NAC peut ensuite utiliser l’évaluation de sécurité XenMobile pour faciliter et gérer les décisions d’authentification. Citrix a validé l’intégration de NAC avec XenMobile pour le moteur de services d’identité Cisco (ISE) ou ForeScout. Citrix ne garantit pas l’intégration avec d’autres solutions NAC.

Les avantages d’une intégration de solution NAC avec XenMobile sont les suivants :

  • Sécurité, conformité et contrôle améliorés pour tous les points de terminaison sur un réseau d’entreprise.
  • Une solution NAC peut :
    • Détecter les appareils au moment où ils tentent de se connecter à votre réseau.
    • Interroger XenMobile sur les attributs de l’appareil.
    • Utiliser ensuite ces informations pour déterminer si ces appareils doivent être autorisés, bloqués, limités ou redirigés. Ces décisions dépendent des stratégies de sécurité que vous choisissez d’appliquer.
  • Une solution NAC fournit aux administrateurs informatiques une vue des appareils non gérés et non conformes.

Vous trouverez une description des filtres de conformité NAC pris en charge par XenMobile dans la section Contrôle d’accès réseau.

Intégration de XenMobile