XenMobile® 통합
이 문서에서는 XenMobile을 기존 네트워크 및 솔루션과 통합하는 방법을 계획할 때 고려해야 할 사항을 다룹니다. 예를 들어, 이미 Virtual Apps and Desktops용 Citrix ADC를 사용하고 있는 경우:
- 기존 Citrix ADC 인스턴스를 사용하시겠습니까, 아니면 새 전용 인스턴스를 사용하시겠습니까?
- StoreFront™를 사용하여 게시된 HDX 앱을 XenMobile과 통합하시겠습니까?
- XenMobile과 함께 Citrix Files를 사용할 계획이십니까?
- XenMobile에 통합하려는 네트워크 액세스 제어 솔루션이 있습니까?
- 네트워크에서 나가는 모든 트래픽에 대해 웹 프록시를 배포하십니까?
Citrix ADC 및 Citrix Gateway
Citrix Gateway는 XenMobile ENT 및 MAM 모드에 필수적으로 요구됩니다. Citrix Gateway는 모든 회사 리소스에 대한 액세스를 위한 마이크로 VPN 경로를 제공하며 강력한 다단계 인증을 지원합니다. 모든 XenMobile Server 장치 모드에는 Citrix ADC 로드 밸런싱이 필요합니다:
- 여러 XenMobile Server가 있는 경우
- 또는 XenMobile Server가 DMZ 또는 내부 네트워크 내에 있는 경우(따라서 트래픽이 장치에서 Citrix ADC를 거쳐 XenMobile으로 흐르는 경우)
기존 Citrix ADC 인스턴스를 사용하거나 XenMobile용으로 새 인스턴스를 설정할 수 있습니다. 다음 섹션에서는 기존 또는 새 전용 Citrix ADC 인스턴스를 사용하는 것의 장점과 단점을 설명합니다.
XenMobile용으로 생성된 Citrix Gateway VIP를 사용하는 공유 Citrix ADC MPX
장점:
- 모든 Citrix 원격 연결(Citrix Virtual Apps and Desktops™, 전체 VPN 및 클라이언트리스 VPN)에 공통 Citrix ADC 인스턴스를 사용합니다.
- 인증서 인증 및 DNS, LDAP, NTP와 같은 서비스 액세스를 위한 기존 Citrix ADC 구성을 사용합니다.
- 단일 Citrix ADC 플랫폼 라이선스를 사용합니다.
단점:
- 동일한 Citrix ADC에서 두 가지 다른 사용 사례를 처리할 때 확장을 계획하기가 더 어렵습니다.
- 때로는 Citrix Virtual Apps™ and Desktops 사용 사례에 특정 Citrix ADC 버전이 필요할 수 있습니다. 해당 버전에는 XenMobile에 알려진 문제가 있을 수 있습니다. 또는 XenMobile에 Citrix ADC 버전에 알려진 문제가 있을 수 있습니다.
- Citrix Gateway가 이미 존재하는 경우, XenMobile용 Citrix ADC 구성을 생성하기 위해 XenMobile 마법사용 Citrix ADC를 두 번째로 실행할 수 없습니다.
- Citrix Gateway 11.1 이상에 Platinum 라이선스가 사용되는 경우를 제외하고: Citrix ADC에 설치되고 VPN 연결에 필요한 사용자 액세스 라이선스는 풀링됩니다. 이러한 라이선스는 모든 Citrix ADC 가상 서버에서 사용할 수 있으므로 XenMobile 이외의 서비스가 잠재적으로 이를 사용할 수 있습니다.
전용 Citrix ADC VPX/MPX 인스턴스
장점:
Citrix는 전용 Citrix ADC 인스턴스를 사용할 것을 권장합니다.
- 확장을 계획하기가 더 쉽고, 이미 리소스 제약이 있을 수 있는 Citrix ADC 인스턴스에서 XenMobile 트래픽을 분리합니다.
- XenMobile과 Citrix Virtual Apps and Desktops가 다른 Citrix ADC 소프트웨어 버전을 필요로 할 때 발생하는 문제를 방지합니다. 일반적으로 XenMobile에는 최신 호환 Citrix ADC 버전 및 빌드를 사용하는 것이 좋습니다.
- 내장된 XenMobile 마법사용 Citrix ADC를 통해 Citrix ADC의 XenMobile 구성을 허용합니다.
- 서비스의 가상 및 물리적 분리.
- Citrix Gateway 11.1 이상에 Platinum 라이선스가 사용되는 경우를 제외하고: XenMobile에 필요한 사용자 액세스 라이선스는 Citrix ADC의 XenMobile 서비스에서만 사용할 수 있습니다.
단점:
- XenMobile 구성을 지원하기 위해 Citrix ADC에 추가 서비스 설정이 필요합니다.
- 다른 Citrix ADC 플랫폼 라이선스가 필요합니다. 각 Citrix ADC 인스턴스에 대해 Citrix Gateway 라이선스를 부여합니다.
각 XenMobile Server 모드에 Citrix ADC 및 Citrix Gateway를 통합할 때 고려해야 할 사항에 대한 자세한 내용은 Citrix ADC 및 Citrix Gateway 통합을 참조하십시오.
StoreFront
Citrix Virtual Apps and Desktops 환경이 있는 경우 StoreFront를 사용하여 HDX™ 애플리케이션을 XenMobile과 통합할 수 있습니다. HDX 앱을 XenMobile과 통합하면:
- XenMobile에 등록된 사용자가 앱을 사용할 수 있습니다.
- 앱은 다른 모바일 앱과 함께 XenMobile Store에 표시됩니다.
- XenMobile은 StoreFront의 레거시 PNAgent(서비스) 사이트를 사용합니다.
- Citrix Receiver™가 장치에 설치되면 HDX 앱은 Receiver를 사용하여 시작됩니다.
StoreFront는 StoreFront 인스턴스당 하나의 서비스 사이트라는 제한이 있습니다. 여러 스토어가 있고 다른 프로덕션 사용량과 분리하려는 경우, Citrix는 일반적으로 XenMobile용 새 StoreFront 인스턴스 및 서비스 사이트를 고려할 것을 권장합니다.
고려 사항은 다음과 같습니다:
- StoreFront에 다른 인증 요구 사항이 있습니까? StoreFront 서비스 사이트는 로그온을 위해 Active Directory 자격 증명을 요구합니다. 인증서 기반 인증만 사용하는 고객은 동일한 Citrix Gateway를 사용하여 XenMobile을 통해 애플리케이션을 열거할 수 없습니다.
- 동일한 스토어를 사용하시겠습니까, 아니면 새 스토어를 생성하시겠습니까?
- 동일한 StoreFront 서버를 사용하시겠습니까, 아니면 다른 StoreFront 서버를 사용하시겠습니까?
다음 섹션에서는 Receiver 및 모바일 생산성 앱에 대해 별도의 또는 결합된 StoreFront를 사용하는 것의 장점과 단점을 설명합니다.
기존 StoreFront 인스턴스를 XenMobile Server와 통합
장점:
- 동일한 스토어: HDX 액세스에 동일한 Citrix ADC VIP를 사용한다고 가정하면 XenMobile에 StoreFront의 추가 구성이 필요하지 않습니다. 동일한 스토어를 사용하고 Receiver 액세스를 새 Citrix ADC VIP로 지정하려는 경우, StoreFront에 적절한 Citrix Gateway 구성을 추가하십시오.
- 동일한 StoreFront 서버: 기존 StoreFront 설치 및 구성을 사용합니다.
단점:
- 동일한 스토어: Virtual Apps and Desktops 워크로드를 지원하기 위한 StoreFront의 재구성은 XenMobile에도 부정적인 영향을 미칠 수 있습니다.
- 동일한 StoreFront 서버: 대규모 환경에서는 앱 열거 및 시작을 위한 PNAgent의 XenMobile 사용으로 인한 추가 로드를 고려하십시오.
XenMobile Server 통합을 위한 새 전용 StoreFront 인스턴스 사용
장점:
- 새 스토어: XenMobile용 StoreFront 스토어의 구성 변경 사항은 기존 Virtual Apps and Desktops 워크로드에 영향을 미치지 않아야 합니다.
- 새 StoreFront 서버: 서버 구성 변경 사항은 Virtual Apps and Desktops 워크플로에 영향을 미치지 않아야 합니다. 또한 앱 열거 및 시작을 위한 PNAgent의 XenMobile 사용 외의 로드는 확장성에 영향을 미치지 않아야 합니다.
단점:
- 새 스토어: StoreFront 스토어 구성.
- 새 StoreFront 서버: 새 StoreFront 설치 및 구성이 필요합니다.
자세한 내용은 XenMobile 설명서의 Citrix Secure Hub를 통한 Virtual Apps and Desktops를 참조하십시오.
ShareFile 및 Citrix Files
면책 조항:
ShareFile(현재 Progress)이 지원을 중단하면 이 기능은 더 이상 사용되지 않습니다.
Citrix Files를 사용하면 사용자가 모든 장치에서 모든 데이터에 액세스하고 동기화할 수 있습니다. Citrix Files를 통해 사용자는 조직 내부 및 외부의 사람들과 데이터를 안전하게 공유할 수 있습니다. ShareFile을 XenMobile Advanced Edition 또는 Enterprise Edition과 통합하면 XenMobile은 Citrix Files에 다음을 제공할 수 있습니다:
- XenMobile 앱 사용자를 위한 단일 사인온 인증.
- Active Directory 기반 사용자 계정 프로비저닝.
- 포괄적인 액세스 제어 정책.
모바일 사용자는 전체 Enterprise 계정 기능 세트의 이점을 누릴 수 있습니다.
또는 XenMobile을 스토리지 영역 커넥터와만 통합하도록 구성할 수 있습니다. 스토리지 영역 커넥터를 통해 Citrix Files는 다음 항목에 대한 액세스를 제공합니다:
- 문서 및 폴더
- 네트워크 파일 공유
- SharePoint 사이트: 사이트 모음 및 문서 라이브러리.
연결된 파일 공유에는 Citrix Virtual Apps and Desktops 환경에서 사용되는 것과 동일한 네트워크 홈 드라이브가 포함될 수 있습니다. XenMobile 콘솔을 사용하여 Citrix Files 또는 스토리지 영역 커넥터와의 통합을 구성합니다. 자세한 내용은 XenMobile과 함께 Citrix Files 사용을 참조하십시오.
다음 섹션에서는 Citrix Files에 대한 설계 결정을 내릴 때 질문해야 할 사항을 설명합니다.
Citrix Files와 통합 또는 스토리지 영역 커넥터만 통합
질문 사항:
- Citrix 관리 스토리지 영역에 데이터를 저장하시겠습니까?
- 사용자에게 파일 공유 및 동기화 기능을 제공하시겠습니까?
- 사용자가 Citrix Files 웹사이트에서 파일에 액세스할 수 있도록 하시겠습니까? 또는 모바일 장치에서 Office 365 콘텐츠 및 개인 클라우드 커넥터에 액세스할 수 있도록 하시겠습니까?
설계 결정:
- 이 질문 중 하나라도 “예”라고 답하면 Citrix Files와 통합하십시오.
- 스토리지 영역 커넥터만 통합하면 iOS 사용자는 SharePoint 사이트 및 네트워크 파일 공유와 같은 기존 온프레미스 스토리지 리포지토리에 안전하게 모바일 액세스할 수 있습니다. 이 구성에서는 ShareFile 하위 도메인을 설정하거나, Citrix Files에 사용자를 프로비저닝하거나, Citrix Files 데이터를 호스팅하지 않습니다. XenMobile과 함께 스토리지 영역 커넥터를 사용하면 회사 네트워크 외부로 사용자 정보가 유출되는 것에 대한 보안 제한을 준수합니다.
스토리지 영역 컨트롤러 서버 위치
질문 사항:
- 온프레미스 스토리지 또는 스토리지 영역 커넥터와 같은 기능이 필요하십니까?
- Citrix Files의 온프레미스 기능을 사용하는 경우, 스토리지 영역 컨트롤러는 네트워크의 어디에 위치합니까?
설계 결정:
- 스토리지 영역 컨트롤러 서버를 Citrix Files 클라우드, 온프레미스 단일 테넌트 스토리지 시스템 또는 지원되는 타사 클라우드 스토리지에 배치할지 결정하십시오.
- 스토리지 영역 컨트롤러는 Citrix Files 제어 평면과 통신하기 위해 일부 인터넷 액세스가 필요합니다. 직접 액세스, NAT/PAT 구성 또는 프록시 구성 등 여러 가지 방법으로 연결할 수 있습니다.
스토리지 영역 커넥터
질문 사항:
- CIFS 공유 경로는 무엇입니까?
- SharePoint URL은 무엇입니까?
설계 결정:
- 해당 위치에 액세스하기 위해 온프레미스 스토리지 영역 컨트롤러가 필요한지 확인합니다.
- 파일 리포지토리, CIFS 공유 및 SharePoint와 같은 내부 리소스와의 스토리지 영역 커넥터 통신으로 인해 Citrix는 스토리지 영역 컨트롤러가 DMZ 방화벽 뒤의 내부 네트워크에 상주하고 Citrix ADC에 의해 전면에 배치될 것을 권장합니다.
XenMobile Enterprise와 SAML 통합
질문 사항:
- Citrix Files에 Active Directory 인증이 필요합니까?
- XenMobile용 Citrix Files 앱을 처음 사용할 때 SSO가 필요합니까?
- 현재 환경에 표준 IdP가 있습니까?
- SAML을 사용하려면 몇 개의 도메인이 필요합니까?
- Active Directory 사용자를 위한 여러 이메일 별칭이 있습니까?
- 진행 중이거나 곧 예정된 Active Directory 도메인 마이그레이션이 있습니까?
설계 결정:
XenMobile Enterprise 환경은 Citrix Files의 인증 메커니즘으로 SAML을 사용할 수 있습니다. 인증 옵션은 다음과 같습니다.
- XenMobile Server를 SAML용 ID 공급자(IdP)로 사용
이 옵션은 탁월한 사용자 경험을 제공하고 Citrix Files 계정 생성을 자동화하며 모바일 앱 SSO 기능을 활성화할 수 있습니다.
- XenMobile Server는 이 프로세스를 위해 향상되었습니다. Active Directory 동기화가 필요하지 않습니다.
- 사용자 프로비저닝을 위해 Citrix Files 사용자 관리 도구를 사용합니다.
- 지원되는 타사 공급업체를 SAML용 IdP로 사용
기존에 지원되는 IdP가 있고 모바일 앱 SSO 기능이 필요하지 않은 경우 이 옵션이 가장 적합할 수 있습니다. 이 옵션은 계정 프로비저닝을 위해 Citrix Files 사용자 관리 도구를 사용하는 것도 필요합니다.
ADFS와 같은 타사 IdP 솔루션을 사용하면 Windows 클라이언트 측에서도 SSO 기능을 제공할 수 있습니다. Citrix Files SAML IdP를 선택하기 전에 사용 사례를 평가해야 합니다.
또한 두 가지 사용 사례를 모두 충족하기 위해 ADFS와 XenMobile을 이중 IdP로 구성할 수 있습니다.
모바일 앱
질문 사항:
- 어떤 Citrix Files 모바일 앱을 사용할 계획입니까(공개, MDM, MDX)?
설계 결정:
- Apple App Store 및 Google Play Store에서 모바일 생산성 앱을 배포합니다. 해당 공개 앱 스토어 배포를 통해 Citrix 다운로드 페이지에서 래핑된 앱을 얻습니다.
- 보안 수준이 낮고 컨테이너화가 필요하지 않은 경우 공개 Citrix Files 애플리케이션이 적합하지 않을 수 있습니다. MDM 전용 환경에서는 MDM 모드에서 XenMobile을 사용하여 Citrix Files 앱의 MDM 버전을 제공할 수 있습니다.
- 자세한 내용은 앱 및 XenMobile용 Citrix Files를 참조하십시오.
보안, 정책 및 액세스 제어
질문 사항:
- 데스크톱, 웹 및 모바일 사용자에 대해 어떤 제한이 필요합니까?
- 사용자를 위해 어떤 표준 액세스 제어 설정을 원하십니까?
- 어떤 파일 보존 정책을 사용할 계획입니까?
설계 결정:
- Citrix Files를 사용하면 직원 권한 및 장치 보안을 관리할 수 있습니다. 자세한 내용은 직원 권한 및 장치 및 앱 관리를 참조하십시오.
- 일부 Citrix Files 장치 보안 설정 및 MDX 정책은 동일한 기능을 제어합니다. 이러한 경우 XenMobile 정책이 우선하며, 그 다음으로 Citrix Files 장치 보안 설정이 적용됩니다. 예: Citrix Files에서 외부 앱을 비활성화했지만 XenMobile에서 활성화하면 Citrix Files에서 외부 앱이 비활성화됩니다. XenMobile이 PIN/암호가 필요하지 않도록 앱을 구성할 수 있지만 Citrix Files 앱은 PIN/암호가 필요합니다.
표준 스토리지 영역 대 제한된 스토리지 영역
질문 사항:
- 제한된 스토리지 영역이 필요합니까?
설계 결정:
- 표준 스토리지 영역은 중요하지 않은 데이터를 위한 것이며 직원이 비직원과 데이터를 공유할 수 있도록 합니다. 이 옵션은 도메인 외부에서 데이터를 공유하는 워크플로를 지원합니다.
- 제한된 스토리지 영역은 중요한 데이터를 보호합니다. 인증된 도메인 사용자만 해당 영역에 저장된 데이터에 액세스할 수 있습니다.
웹 프록시
HTTP(S)/SOCKS 프록시를 통해 XenMobile 트래픽을 라우팅하는 가장 가능성 있는 시나리오는 다음과 같습니다. XenMobile Server가 상주하는 서브넷에 필요한 Apple, Google 또는 Microsoft IP 주소에 대한 아웃바운드 인터넷 액세스가 없는 경우입니다. XenMobile에서 프록시 서버 설정을 지정하여 모든 인터넷 트래픽을 프록시 서버로 라우팅할 수 있습니다. 자세한 내용은 프록시 서버 활성화를 참조하십시오.
다음 표는 XenMobile과 함께 사용되는 가장 일반적인 프록시의 장점과 단점을 설명합니다.
| 옵션 | 장점 | 단점 |
|---|---|---|
| XenMobile Server와 함께 HTTP(S)/SOCKS 프록시 사용. | 정책이 XenMobile Server 서브넷에서 아웃바운드 인터넷 연결을 허용하지 않는 경우: HTTP(S) 또는 SOCKS 프록시를 구성하여 인터넷 연결을 제공할 수 있습니다. | 프록시 서버가 실패하면 APN(iOS) 또는 Firebase Cloud Messaging(Android) 연결이 끊어집니다. 결과적으로 모든 iOS 및 Android 장치에 대한 장치 알림이 실패합니다. |
| Secure Web과 함께 HTTP(S) 프록시 사용. | HTTP/HTTPS 트래픽을 모니터링하여 인터넷 활동이 조직의 표준을 준수하는지 확인할 수 있습니다. | 이 구성은 모든 Secure Web 인터넷 트래픽이 인터넷으로 다시 전송되기 전에 기업 네트워크로 터널링되어야 합니다. 인터넷 연결이 브라우징을 제한하는 경우: 이 구성은 인터넷 브라우징 성능에 영향을 미칠 수 있습니다. |
분할 터널링을 위한 Citrix ADC 세션 프로필 구성은 트래픽에 다음과 같이 영향을 미칩니다.
Citrix ADC 분할 터널링이 비활성화된 경우:
- MDX 네트워크 액세스 정책이 내부 네트워크로 터널링됨으로 설정된 경우: 모든 트래픽은 마이크로 VPN 또는 클라이언트리스 VPN(cVPN) 터널을 사용하여 Citrix Gateway로 강제 전송됩니다.
- 프록시 서버에 대한 Citrix ADC 트래픽 정책/프로필을 구성하고 Citrix Gateway VIP에 바인딩합니다.
중요:
Secure Hub cVPN 트래픽을 프록시에서 제외해야 합니다.
- 자세한 내용은 보안 브라우징 모드에서 프록시 서버를 통한 XenMobile Secure Hub 트래픽을 참조하십시오.
Citrix ADC 분할 터널링이 활성화된 경우:
- MDX 네트워크 액세스 정책이 내부 네트워크로 터널링됨으로 설정된 앱의 경우: 앱은 먼저 웹 리소스를 직접 가져오려고 시도합니다. 웹 리소스가 공개적으로 사용 가능하지 않으면 해당 앱은 Citrix Gateway로 대체됩니다.
- 프록시 서버에 대한 Citrix ADC 트래픽 정책 및 프로필을 구성합니다. 그런 다음 해당 정책 및 프로필을 Citrix Gateway VIP에 바인딩합니다.
중요:
Secure Hub cVPN 트래픽을 프록시에서 제외해야 합니다.
Split DNS( 클라이언트 경험 아래)에 대한 Citrix ADC 세션 프로필 구성은 분할 터널링과 유사하게 작동합니다.
Split DNS가 활성화되고 모두로 설정된 경우:
- 클라이언트는 먼저 FQDN을 로컬에서 확인하려고 시도하고 실패 시 DNS 확인을 위해 Citrix ADC로 대체됩니다.
Split DNS가 원격으로 설정된 경우:
- DNS 확인은 Citrix ADC에서만 발생합니다.
Split DNS가 로컬로 설정된 경우:
- 클라이언트는 FQDN을 로컬에서 확인하려고 시도합니다. Citrix ADC는 DNS 확인에 사용되지 않습니다.
액세스 제어
기업은 네트워크 내부 및 외부에서 모바일 장치를 관리할 수 있습니다. XenMobile과 같은 엔터프라이즈 모빌리티 관리 솔루션은 위치에 관계없이 모바일 장치에 대한 보안 및 제어를 제공하는 데 탁월합니다. 그러나 이를 네트워크 액세스 제어(NAC) 솔루션과 결합하면 네트워크 내부 장치에 QoS 및 보다 세분화된 제어를 추가할 수 있습니다. 이 조합을 통해 NAC 솔루션을 통해 XenMobile 장치 보안 평가를 확장할 수 있습니다. 그러면 NAC 솔루션은 XenMobile 보안 평가를 사용하여 인증 결정을 용이하게 하고 처리할 수 있습니다.
다음 솔루션 중 하나를 사용하여 NAC 정책을 적용할 수 있습니다.
- Citrix Gateway
- Cisco Identity Services Engine (ISE)
- ForeScout
Citrix는 다른 NAC 솔루션과의 통합을 보장하지 않습니다.
XenMobile과 NAC 솔루션 통합의 장점은 다음과 같습니다.
- 기업 네트워크의 모든 엔드포인트에 대한 향상된 보안, 규정 준수 및 제어.
- NAC 솔루션은 다음을 수행할 수 있습니다.
- 장치가 네트워크에 연결을 시도하는 즉시 감지합니다.
- 장치 속성에 대해 XenMobile을 쿼리합니다.
- 해당 장치 정보를 사용하여 해당 장치를 허용, 차단, 제한 또는 리디렉션할지 여부를 결정합니다. 이러한 결정은 적용하려는 보안 정책에 따라 달라집니다.
- NAC 솔루션은 IT 관리자에게 관리되지 않거나 규정을 준수하지 않는 장치에 대한 보기를 제공합니다.
XenMobile에서 지원하는 NAC 규정 준수 필터에 대한 설명 및 구성 개요는 네트워크 액세스 제어를 참조하십시오.