Product Documentation

Integração com o NetScaler Gateway e NetScaler

Quando integrado ao XenMobile, o NetScaler Gateway fornece um mecanismo de autenticação para o acesso de dispositivos remotos à rede interna para dispositivos MAM. A integração permite que os aplicativos móveis de produtividade se conectem a servidores corporativos na intranet através de uma micro VPN criada a partir dos aplicativos no dispositivo móvel para o NetScaler Gateway.

O balanceamento de carga NetScaler é necessário para todos os modos de dispositivos do XenMobile Server se você tiver vários XenMobile Servers ou se o XenMobile Server estiver dentro de sua rede DMZ ou interna (e, portanto, o tráfego fluir de dispositivos para NetScaler para XenMobile).

Requisitos de integração para os modos do XenMobile Server

Os requisitos de integração para o NetScaler Gateway e NetScaler diferem com base nos modos do XenMobile Server: MAM, MDM e ENT.

MAM

Com o XenMobile Server no modo MAM:

  • O NetScaler Gateway é necessário. O NetScaler Gateway oferece um caminho de micro VPN para acesso a todos os recursos corporativos e fornece um forte suporte de autenticação multifator.
  • O NetScaler é recomendado para o balanceamento de carga.

    A Citrix recomenda implantar o XenMobile em uma configuração de alta disponibilidade, que requer um balanceador de carga na frente do XenMobile. Para obter detalhes, consulte Sobre os modos MAM e MAM Legado.

MDM

Com o XenMobile Server no modo MDM:

  • O NetScaler Gateway não é necessário. Para implantações de MDM, a Citrix recomenda o NetScaler Gateway para VPN de dispositivo móvel.
  • O NetScaler é recomendado para segurança e balanceamento de carga.

    A Citrix recomenda que você implemente um dispositivo NetScaler na frente do XenMobile Server, para segurança e balanceamento de carga. Para implantações padrão com o XenMobile Server na DMZ, a Citrix recomenda o assistente do NetScaler para XenMobile juntamente com o balanceamento de carga do XenMobile Server no modo Ponte SSL. Você também pode considerar a descarga de SSL para implantações nas quais o XenMobile Server reside na rede interna em vez da DMZ e/ou onde a segurança exige tais configurações.

    Embora você possa considerar a exposição do XenMobile Server à Internet via NAT ou proxies de terceiros existentes ou balanceadores de carga para o MDM, desde que o tráfego SSL termine no XenMobile Server (ponte SSL), a Citrix não recomenda essa abordagem devido ao possível risco de segurança.

    Para ambientes de alta segurança, o NetScaler com a configuração padrão do XenMobile deve atender ou exceder os requisitos de segurança.

    Para ambientes de MDM com as mais altas necessidades de segurança, a terminação SSL no NetScaler fornece a capacidade de inspecionar o tráfego no perímetro, enquanto mantém a criptografia SSL de ponta a ponta. Para obter mais informações, consulte Requisitos de segurança. O NetScaler oferece opções para definir criptografias SSL/TLS e hardware SSL FIPS NetScaler.

ENT (MAM+MDM)

Com o XenMobile Server no modo ENT:

  • O NetScaler Gateway é necessário. O NetScaler Gateway oferece um caminho de micro VPN para acesso a todos os recursos corporativos e fornece um forte suporte de autenticação multifator.

    Quando o modo do servidor XenMobile é ENT e um usuário opta pelo registro no MDM, o dispositivo opera no modo MAM Legado. No modo MAM legado, os dispositivos se registram usando o FQDN do NetScaler Gateway. Para obter detalhes, consulte Sobre os modos MAM e MAM Legado.

  • O NetScaler é recomendado para balanceamento de carga. Para mais informações, consulte o ponto NetScaler acima em “MDM”.

Importante:

Esteja ciente de que, para o registro inicial, o tráfego dos dispositivos do usuário é autenticado no servidor XenMobile, independentemente de você configurar servidores virtuais de balanceamento de carga para Descarga SSL ou Ponte SSL.

Decisões de design

As seções a seguir resumem as várias decisões de design a serem consideradas ao planejar uma integração do NetScaler Gateway com o XenMobile.

Licenciamento e edição

Detalhe da decisão:

  • Qual edição do NetScaler você usará?
  • Você já aplicou licenças de plataforma ao NetScaler?
  • Caso precise da funcionalidade MAM, você aplicou as licenças de acesso universal do NetScaler?

Orientação de design:

Certifique-se de aplicar as licenças apropriadas ao NetScaler Gateway. Se você estiver usando o conector Citrix Gateway para Exchange ActiveSync, o armazenamento em cache integrado pode ser necessário; portanto, você deve garantir que o NetScaler Edition apropriado esteja em vigor.

Os requisitos de licença para ativar os recursos do NetScaler são os seguintes.

  • O balanceamento de carga do XenMobile MDM requer uma licença de plataforma padrão do NetScaler no mínimo.
  • O balanceamento de carga do ShareFile com o StorageZones Controller requer uma licença de plataforma padrão do NetScaler no mínimo.
  • A edição XenMobile Enterprise inclui as licenças universais necessárias do NetScaler Gateway para o MAM.
  • O balanceamento de carga do Exchange requer uma licença de plataforma NetScaler Platinum ou uma licença de plataforma NetScaler Enterprise com a adição de uma licença de Cache Integrado.

Versão do NetScaler para o XenMobile

Detalhe da decisão:

  • Qual versão o NetScaler está executando no ambiente XenMobile?
  • Será necessária uma instância separada?

Orientação de design:

A Citrix recomenda o uso de uma instância dedicada do NetScaler para o seu servidor virtual NetScaler Gateway. Certifique-se de que a versão e a compilação mínimas do NetScaler estejam em uso no ambiente XenMobile. Geralmente, o melhor é usar a última versão e compilação compatíveis do NetScaler for XenMobile. Se a atualização do NetScaler Gateway afetar seus ambientes existentes, uma segunda instância dedicada para o XenMobile poderá ser apropriada.

Se você planeja compartilhar uma instância do NetScaler com XenMobile e outros aplicativos que usam conexões VPN, certifique-se de ter licenças de VPN suficientes para todos. Tenha em mente que os ambientes de teste e produção do XenMobile não podem compartilhar uma instância do NetScaler.

Certificados

Detalhe da decisão:

  • Você exige um maior grau de segurança para registros e acesso ao ambiente XenMobile?
  • O LDAP não é uma opção?

Orientação de design:

A configuração padrão para o XenMobile é autenticação de nome de usuário e senha. Para adicionar outra camada de segurança para registro e acesso ao ambiente do XenMobile, considere usar a autenticação baseada em certificado. Você pode usar certificados com LDAP para autenticação de dois fatores, fornecendo um maior grau de segurança sem precisar de um servidor RSA.

Se você não permitir LDAP e usar cartões inteligentes ou similar métodos, a configuração de certificados permite a você representar um cartão inteligente para o XenMobile. Em seguida, os usuários se registram usando um PIN exclusivo que o XenMobile gera para eles. Depois que o usuário pode acessar, o XenMobile cria e subsequentemente implanta o certificado usado para autenticar no ambiente XenMobile.

O XenMobile dá suporte a lista de certificados revogados (CRL) somente para uma Autoridade de Certificação terceira. Se você tiver configurado uma AC da Microsoft, o XenMobile usa o NetScaler para gerenciar a revogação. Quando você configura a autenticação baseada em certificado de cliente, decida se você precisa configurar a opção lista de certificados revogados (CRL) Enable CRL Auto Refresh. Esta etapa garante que o usuário de um dispositivo no modo somente MAM não possa autenticar usando um certificado existente no dispositivo; o XenMobile emite um novo certificado porque não impede que um usuário gere um certificado de usuário de um tiver sido revogado. Essa opção aumenta a segurança de entidades PKI quando a CRL verifica entidades PKI expiradas.

Topologia de rede

Detalhe da decisão:

  • Qual topologia do NetScaler é necessária?

Orientação de design:

A Citrix recomenda o uso de uma instância do NetScaler para o XenMobile. No entanto, se não quiser que haja tráfego entre a rede interna e a DMZ externa, considere configurar uma instância adicional do NetScaler, de modo que você use uma instância do NetScaler para usuários internos e outra para usuários externos. Esteja ciente de que, quando os usuários alternam entre as redes interna e externa, o cache de registros DNS pode resultar em um aumento nas solicitações de logon no Secure Hub.

Observe que o XenMobile atualmente não suporta o salto duplo do NetScaler Gateway.

VIPs NetScaler Gateway dedicados ou compartilhados

Detalhe da decisão:

  • Você usa atualmente o NetScaler Gateway para XenApp e XenDesktop?
  • O XenMobile aproveitará o mesmo NetScaler Gateway que o XenApp e XenDesktop?
  • Quais são os requisitos de autenticação para ambos os fluxos de tráfego?

Orientação de design:

Quando seu ambiente Citrix inclui o XenMobile, além do XenApp e XenDesktop, você pode usar a mesma instância NetScaler e o servidor virtual NetScaler Gateway para ambos. Devido a possíveis conflitos de versão e isolamento do ambiente, instâncias dedicadas do NetScaler e do NetScaler Gateway são recomendadas para cada ambiente XenMobile. No entanto, se uma instância dedicada do NetScaler não for uma opção, a Citrix recomenda o uso de um NetScaler Gateway vServer dedicado em vez de um vServer compartilhado entre o XenMobile e o XenApp e XenDesktop para separar os fluxos de tráfego do Secure Hub.

Se você usar a autenticação LDAP, o Citrix Receiver e o Secure Hub poderão se autenticar no mesmo NetScaler Gateway sem problemas. Se você usar a autenticação baseada em certificado, o XenMobile enviará um certificado no contêiner MDX e o Secure Hub usará o certificado para se autenticar no NetScaler Gateway. O Citrix Receiver é separado do Secure Hub e não pode usar o mesmo certificado do Secure Hub para se autenticar no mesmo NetScaler Gateway.

Considere esta alternativa, a qual permite que você use o mesmo FQDN para dois VIPs do NetScaler Gateway. Você pode criar dois VIPs do NetScaler Gateway com o mesmo endereço IP, mas o do Secure Hub usa a porta padrão 443 e o do XenApp e XenDesktop (que implanta o Citrix Receiver) usa a porta 444. Em seguida, um FQDN resolve para o mesmo endereço IP. Para essa alternativa, talvez seja necessário configurar o StoreFront para retornar um arquivo ICA para a porta 444, em vez da porta padrão 443. Esta solução alternativa não requer que os usuários insiram um número de porta.

Tempos limite do NetScaler Gateway

Detalhe da decisão:

  • Como você deseja configurar os tempos limite do Gateway NetScaler para o tráfego do XenMobile?

Orientação de design:

O NetScaler Gateway inclui as configurações Tempo limite da sessão e Tempo limite forçado. Para ober detalhes, consulte Configurações recomendadas. Tenha em mente que existem diferentes valores de tempo limite para serviços em segundo plano, NetScaler e para acessar aplicativos enquanto estiver off-line.

Endereço IP do balanceador de carga XenMobile para MAM

Detalhe da decisão:

  • Você está usando endereços IP internos ou externos para VIPs?

Orientação de design:

Em ambientes onde você pode usar endereços IP públicos para VIPs do NetScaler Gateway, atribuir o VIP e o endereço de balanceamento de carga do XenMobile dessa maneira causará falhas no registro.

Verifique se o VIP de balanceamento de carga usa um IP interno para evitar falhas de registro nesse cenário. Esse endereço IP virtual deve seguir o padrão RFC 1918 de endereços IP privados. Se você usar um endereço IP não privado para esse servidor virtual, o NetScaler não poderá contatar o servidor XenMobile com êxito durante o processo de autenticação. Para obter detalhes, consulte https://support.citrix.com/article/CTX200430.

Mecanismo de balanceamento de carga do MDM

Detalhe da decisão:

  • Como os servidores XenMobile terão a carga balanceada pelo NetScaler Gateway?

Orientação de design:

Use a Ponte SSL se o XenMobile estiver na DMZ. Use descarga de SSL se for necessário para atender aos padrões de segurança quando o XenMobile Server estiver na rede interna.

  • Quando você faz o balanceamento de carga do XenMobile Server com VIPs do NetScaler no modo Ponte SSL, o tráfego da Internet flui diretamente para o XenMobile Server, onde as conexões terminam. O modo Ponte SSL é o modo mais simples de configurar e solucionar problemas.
  • Quando você faz o balanceamento de carga do XenMobile Server com VIPs do NetScaler no modo Descarga de SSL, o tráfego da Internet flui diretamente para o NetScaler, onde as conexões terminam. O NetScaler estabelece novas sessões do NetScaler para o XenMobile Server. O modo de descarga SSL envolve complexidade adicional durante a configuração e a solução de problemas.

Porta de serviço para balanceamento de carga do MDM com a descarga de SSL

Detalhe da decisão:

  • Se você usar o modo de descarga de SSL para o balanceamento de carga, qual porta o serviço de backend usará?

Orientação de design:

Para Descarga de SSL, escolha a porta 80 ou 8443 da seguinte maneira:

FQDN de registro

Detalhe da decisão:

  • Qual será o FQDN para registro e o VIP para instância/balanceamento de carga do XenMobile?

Orientação de design:

A configuração inicial do primeiro XenMobile Server em um cluster requer que você insira o FQDN do XenMobile Server. Esse FQDN deve corresponder ao URL do VIP de MDM e ao URL do VIP do balanceador de carga de MAM interno. (Um registro de endereço interno do NetScaler resolve o VIP do balanceador de carga do MAM.) Para obter detalhes, consulte “FQDN de registro para cada tipo de implantação”, posteriormente neste artigo.

Além disso, você deve usar o mesmo certificado que o certificado de ouvinte SSL do XenMobile, o certificado VIP interno do balanceador de carga do MAM e o certificado VIP do MDM (se estiver usando a descarga do SSL para o VIP do MDM).

Importante:

Depois de configurar o FQDN de registro, você não poderá alterá-lo. Um novo FQDN de registro exigirá uma nova compilação do banco de dados do SQL Server e do XenMobile Server.

Tráfego do Secure Web

Detalhe da decisão:

  • Você restringirá o Secure Web à navegação interna apenas?
  • Você habilitará o Secure Web para a navegação na Web interna e externa?

Orientação de design:

Se você usar a Secure Web apenas para a navegação interna, a configuração do NetScaler Gateway será simples e direta, supondo que a Secure Web possa acessar todos os sites internos por padrão; talvez seja necessário configurar firewalls e servidores proxy.

Se você usar o Secure Web para a navegação interna e externa, deverá ativar o SNIP para ter acesso de saída à Internet. Como a TI geralmente vê os dispositivos registrados (usando o contêiner MDX) como uma extensão da rede corporativa, a TI geralmente quer que as conexões do Secure Web retornem ao NetScaler, passem por um servidor proxy e então saiam para a Internet. Como padrão, o acesso ao Secure Web é com túnel para a rede interna, o que significa que o Secure Web utilizada um túnel de VPN por aplicativo de volta para rede interna para todo o acesso à rede e o NetScaler utilizada configurações de túnel dividido.

Para ver uma discussão sobre conexões do Secure Web, consulte Configuração de conexões do usuário.

Notificações por Push para o Secure Mail

Detalhe da decisão:

  • Você vai usar notificações por push?

Orientação de design para iOS:

Caso a sua configuração do NetScaler Gateway inclua o Secure Ticket Authority (STA) e o túnel dividido está desativado, o NetScaler Gateway deve permitir o tráfego do Secure Mail para as URLs do serviço de ouvinte Citrix especificadas em Notificações por Push para o Secure Mail para iOS:

Orientação de design para o Android:

Como uma alternativa à política do MDX, Período de votação ativa, você pode usar o Google Cloud Messaging (GCM) para controlar como e quando os dispositivos Android precisam se conectar ao XenMobile. Com o GCM configurado, qualquer ação de segurança ou comando de implantação dispara uma notificação por push para o Secure Hub para solicitar ao usuário que se reconecte ao XenMobile Server.

STAs HDX

Detalhe da decisão:

  • Quais STAs usar se você integrar o acesso ao aplicativo HDX?

Orientação de design:

As STAs HDX devem corresponder às STAs no StoreFront e devem ser válidas para o farm XenApp/XenDesktop.

ShareFile

Detalhe da decisão:

  • Você usará os ShareFile StorageZone Controllers no ambiente?
  • Qual URL de VIP do ShareFile você usará?

Orientação de design:

Se você incluir ShareFile StorageZone Controllers em seu ambiente, configure corretamente o seguinte: VIP do comutador de conteúdo do ShareFile (usado pelo Plano de Controle do ShareFile para se comunicar com os servidores do StorageZone Controller), VIPs de Balanceamento de Carga do ShareFile e todas as políticas e perfis necessários. Para obter informações, consulte a documentação do Citrix ShareFile StorageZones Controller.

IdP SAML

Detalhe da decisão:

  • Se o SAML for necessário para o ShareFile, você deseja usar o XenMobile como o IdP SAML?

Orientação de design:

A prática recomendada é integrar o ShareFile ao XenMobile Advanced Edition ou ao XenMobile Enterprise Edition, uma alternativa mais simples para configurar a federação baseada em SAML. Quando você usa o ShareFile com essas edições do XenMobile, o XenMobile fornece ao ShareFile a autenticação de logon único (SSO) de usuários de aplicativos móveis de produtividade, provisionamento de conta de usuário com base no Active Directory e políticas abrangentes de controle de acesso. O console XenMobile permite que você execute a configuração do ShareFile e monitore os níveis de serviço e o uso da licença.

Observe que há dois tipos de clientes do ShareFile: clientes do ShareFile para XenMobile (também chamados de ShareFile preparados) e clientes móveis do ShareFile (também chamados de ShareFile não preparados). Para entender as diferenças, consulte Como o ShareFile para clientes XenMobile difere dos clientes móveis do ShareFile.

Você pode configurar o XenMobile e o ShareFile para usar o SAML para fornecer acesso SSO aos aplicativos móveis do ShareFile que você prepara com o kit de ferramentas MDX, bem como os clientes do ShareFile não preparados, como site da Web, o plug-in Outlook ou clientes de sincronização.

Se você quiser usar o XenMobile como o IdP SAML para o ShareFile, verifique se as configurações adequadas foram definidas. Para obter detalhes, consulte SAML para SSO com o ShareFile.

Conexões diretas do ShareConnect

Detalhe da decisão:

  • Os usuários acessarão um computador host a partir de um computador ou dispositivo móvel que esteja executando o ShareConnect usando conexões diretas?

Orientação de design:

O ShareConnect permite que os usuários se conectem com segurança com seus computadores através iPads, tablets Android e telefones Android para acessar seus arquivos e aplicativos. Para ligações diretas, o XenMobile usa o NetScaler Gateway para fornecer o acesso seguro a recursos de dados fora da rede local. Para ver detalhes de configuração, consulte ShareConnect.

FQDN de registro para cada tipo de implantação

   
Tipo de implantação FQDN de registro
Enterprise (MDM+MAM) com registro obrigatório no MDM FQDN do XenMobile Server
Enterprise (MDM+MAM) com registro opcional no MDM FQDN do XenMobile server ou FQDN do NetScaler Gateway
Apenas MDM FQDN do XenMobile Server
Apenas MAM (legado) FQDN do NetScaler Gateway
Apenas MAM FQDN do XenMobile Server

Resumo de Implantação

A Citrix recomenda que você use o assistente NetScaler for XenMobile para garantir a configuração adequada. Esteja ciente de que você pode usar o assistente apenas uma vez. Se você tiver várias instâncias do XenMobile, como ambientes de teste, desenvolvimento e produção, deverá configurar o NetScaler para os ambientes adicionais manualmente. Quando você tiver um ambiente de trabalho, anote as configurações antes de tentar configurar o NetScaler manualmente para o XenMobile.

A sua principal decisão quando usa o assistente é se usará HTTPS ou HTTP para comunicação com o XenMobile Server. O HTTPS fornece comunicação de backend segura, já que o tráfego entre o NetScaler e o XenMobile é criptografado; a nova criptografia afeta o desempenho do XenMobile Server. O HTTP fornece melhor desempenho do XenMobile Server; o tráfego entre o NetScaler e o XenMobile não é criptografado. As tabelas a seguir mostram os requisitos de porta HTTP e HTTPS para o servidor NetScaler e XenMobile.

HTTPS

A Citrix normalmente recomenda a Ponte SSL para configurações do servidor virtual MDM do NetScaler. Para o uso da descarga de SSL do NetScaler com servidores virtuais MDM, o XenMobile suporta apenas a porta 80 como o serviço de backend.

       
Tipo de implantação Método de balanceamento de carga do NetScaler Nova criptografia SSL Porta do XenMobile Server
MDM Ponte SSL N/D 443, 8443
MAM Descarga de SSL Ativado 8443
Empresarial MDM: Ponte SSL N/D 443, 8443
Empresarial MAM: Descarga de SSL Ativado 8443

HTTP

       
Tipo de implantação Método de balanceamento de carga do NetScaler Nova criptografia SSL Porta do XenMobile Server
MDM Descarga de SSL Sem suporte 80
MAM Descarga de SSL Ativado 8443
Empresarial MAM: Descarga de SSL Sem suporte 80
Empresarial MAM: Descarga de SSL Ativado 8443

Para obter diagramas do NetScaler Gateway em implantações do XenMobile, consulte Arquitetura de referência para implantações no local.

Integração com o NetScaler Gateway e NetScaler