Versão atual do XenMobile Server

Integração com Citrix Gateway e Citrix ADC

Quando integrado ao XenMobile, o Citrix Gateway fornece um mecanismo de autenticação para o acesso de dispositivos remotos à rede interna para dispositivos MAM. A integração permite que os aplicativos móveis de produtividade se conectem a servidores corporativos na intranet através de uma micro VPN criada a partir dos aplicativos no dispositivo móvel para o Citrix Gateway.

O balanceamento de carga Citrix ADC é necessário para todos os modos de dispositivos do XenMobile Server se você tiver vários XenMobile Servers ou se o XenMobile Server estiver dentro de sua rede DMZ ou interna (e, portanto, o tráfego fluir de dispositivos para Citrix ADC para XenMobile).

Requisitos de integração para os modos do XenMobile Server

Os requisitos de integração para o Citrix Gateway e Citrix ADC diferem com base nos modos do XenMobile Server: MAM, MDM e ENT.

MAM

Com o XenMobile Server no modo MAM:

  • O Citrix Gateway é necessário. O Citrix Gateway oferece um caminho de micro VPN para acesso a todos os recursos corporativos e fornece um forte suporte de autenticação multifator.
  • O Citrix ADC é recomendado para balanceamento de carga.

    A Citrix recomenda implantar o XenMobile em uma configuração de alta disponibilidade, que requer um balanceador de carga na frente do XenMobile. Para obter detalhes, consulte Sobre os modos MAM e MAM Legado.

MDM

Com o XenMobile Server no modo MDM:

  • O Citrix Gateway não é necessário. Para implantações de MDM, a Citrix recomenda o Citrix Gateway para VPN de dispositivo móvel.
  • O Citrix ADC é recomendado para segurança e balanceamento de carga.

    A Citrix recomenda que você implemente um dispositivo Citrix ADC na frente do XenMobile Server, para segurança e balanceamento de carga. Para implantações padrão com o XenMobile Server na DMZ, a Citrix recomenda o assistente do Citrix ADC for XenMobile juntamente com o balanceamento de carga do XenMobile Server no modo Ponte SSL. Você também pode considerar a descarga de SSL para implantações nas quais o XenMobile Server reside na rede interna em vez da DMZ e/ou onde a segurança exige tais configurações.

    Embora você possa considerar a exposição do XenMobile Server à Internet via NAT ou proxies de terceiros existentes ou balanceadores de carga para o MDM, desde que o tráfego SSL termine no XenMobile Server (ponte SSL), a Citrix não recomenda essa abordagem devido ao possível risco de segurança.

    Para ambientes de alta segurança, o Citrix ADC com a configuração padrão do XenMobile deve atender ou exceder os requisitos de segurança.

    Para ambientes de MDM com as mais altas necessidades de segurança, a terminação SSL no Citrix ADC fornece a capacidade de inspecionar o tráfego no perímetro, enquanto mantém a criptografia SSL de ponta a ponta. Para obter mais informações, consulte Requisitos de segurança. O Citrix ADC oferece opções para definir criptografias SSL/TLS e hardware SSL FIPS Citrix ADC.

ENT (MAM+MDM)

Com o XenMobile Server no modo ENT:

  • O Citrix Gateway é necessário. O Citrix Gateway oferece um caminho de micro VPN para acesso a todos os recursos corporativos e fornece um forte suporte de autenticação multifator.

    Quando o modo do servidor XenMobile é ENT e um usuário opta pelo registro no MDM, o dispositivo opera no modo MAM Legado. No modo MAM legado, os dispositivos se registram usando o FQDN do Citrix Gateway. Para obter detalhes, consulte Sobre os modos MAM e MAM Legado.

  • O Citrix ADC é recomendado para balanceamento de carga. Para mais informações, consulte o ponto Citrix ADC acima em “MDM”.

Importante:

Esteja ciente de que, para o registro inicial, o tráfego dos dispositivos do usuário é autenticado no servidor XenMobile, independentemente de você configurar servidores virtuais de balanceamento de carga para Descarga SSL ou Ponte SSL.

Decisões de design

As seções a seguir resumem as várias decisões de design a serem consideradas ao planejar uma integração do Citrix Gateway com o XenMobile.

Licenciamento e edição

Detalhe da decisão:

  • Qual edição do Citrix ADC você usará?
  • Você já aplicou licenças de plataforma ao Citrix ADC?
  • Caso precise da funcionalidade MAM, você aplicou as licenças de acesso universal do Citrix ADC?

Orientação de design:

Certifique-se de aplicar as licenças apropriadas ao Citrix Gateway. Se você estiver usando o conector Citrix Gateway para Exchange ActiveSync, o armazenamento em cache integrado pode ser necessário; portanto, você deve garantir que o Citrix ADC Edition apropriado esteja em vigor.

Os requisitos de licença para ativar os recursos do Citrix ADC são os seguintes.

  • O balanceamento de carga do XenMobile MDM requer uma licença de plataforma padrão do Citrix ADC no mínimo.
  • O balanceamento de carga do Citrix Content Collaboration com o controlador de zonas de armazenamento requer uma licença de plataforma padrão do Citrix ADC no mínimo.
  • A edição XenMobile Enterprise inclui as licenças universais necessárias do Citrix Gateway para o MAM.
  • O balanceamento de carga do Exchange requer uma licença de plataforma Citrix ADC Platinum ou uma licença de plataforma Citrix ADC Enterprise com a adição de uma licença de Cache Integrado.

Versão do Citrix ADC para XenMobile

Detalhe da decisão:

  • Qual versão o Citrix ADC está executando no ambiente XenMobile?
  • Será necessária uma instância separada?

Orientação de design:

A Citrix recomenda o uso de uma instância dedicada do Citrix ADC para o seu servidor virtual Citrix Gateway. Certifique-se de que a versão e a compilação mínimas do Citrix ADC estejam em uso no ambiente XenMobile. Geralmente, o melhor é usar a última versão e compilação compatíveis do Citrix ADC for XenMobile. Se a atualização do Citrix Gateway afetar seus ambientes existentes, uma segunda instância dedicada para o XenMobile poderá ser apropriada.

Se você planeja compartilhar uma instância do Citrix ADC com XenMobile e outros aplicativos que usam conexões VPN, certifique-se de ter licenças de VPN suficientes para todos. Tenha em mente que os ambientes de teste e produção do XenMobile não podem compartilhar uma instância do Citrix ADC.

Certificados

Detalhe da decisão:

  • Você exige um maior grau de segurança para registros e acesso ao ambiente XenMobile?
  • O LDAP não é uma opção?

Orientação de design:

A configuração padrão para o XenMobile é autenticação de nome de usuário e senha. Para adicionar outra camada de segurança para registro e acesso ao ambiente do XenMobile, considere usar a autenticação baseada em certificado. Você pode usar certificados com LDAP para autenticação de dois fatores, fornecendo um maior grau de segurança sem precisar de um servidor RSA.

Se você não permitir LDAP e usar cartões inteligentes ou similar métodos, a configuração de certificados permite a você representar um cartão inteligente para o XenMobile. Em seguida, os usuários se registram usando um PIN exclusivo que o XenMobile gera para eles. Depois que o usuário puder acessar, o XenMobile cria e implanta o certificado usado para autenticar no ambiente XenMobile.

O XenMobile dá suporte a Lista de revogação de certificados (CRL) somente para uma Autoridade de Certificação terceira. Se você tiver configurado uma AC da Microsoft, o XenMobile usa o Citrix ADC para gerenciar a revogação. Quando você configura a autenticação baseada em certificado de cliente, decida se você precisa configurar a opção Lista de revogação de certificados (CRL) do Citrix ADC, Ativar atualização automática da CRL. Esta etapa garante que o usuário de um dispositivo no modo somente MAM não possa autenticar usando um certificado existente no dispositivo; o XenMobile emite um novo certificado porque não impede que um usuário gere um certificado de usuário de um tiver sido revogado. Essa opção aumenta a segurança de entidades PKI quando a CRL verifica entidades PKI expiradas.

Topologia de rede

Detalhe da decisão:

  • Qual topologia Citrix ADC é necessária?

Orientação de design:

A Citrix recomenda o uso de uma instância do Citrix ADC para XenMobile. No entanto, se não quiser que haja tráfego entre a rede interna e a DMZ externa, considere configurar uma instância adicional do Citrix ADC, de modo que você use uma instância do Citrix ADC para usuários internos e outra para usuários externos. Esteja ciente de que, quando os usuários alternam entre as redes interna e externa, o cache de registros DNS pode resultar em um aumento nas solicitações de logon no Secure Hub.

Observe que o XenMobile não suporta o salto duplo do Citrix Gateway.

VIPs Citrix Gateway dedicados ou compartilhados

Detalhe da decisão:

  • No momento, você usa o Citrix Gateway para Virtual Apps and Desktops?
  • O XenMobile aproveitará o mesmo Citrix Gateway que o Virtual Apps and Desktops?
  • Quais são os requisitos de autenticação para ambos os fluxos de tráfego?

Orientação de design:

Quando seu ambiente Citrix inclui o XenMobile, além do Virtual Apps and Desktops, você pode usar a mesma instância do Citrix ADC e o servidor virtual Citrix Gateway para ambos. Devido a possíveis conflitos de versão e isolamento do ambiente, instâncias dedicadas do Citrix ADC e do Citrix Gateway são recomendadas para cada ambiente XenMobile. No entanto, se uma instância dedicada do Citrix ADC não for uma opção, a Citrix recomenda o uso de um servidor virtual Citrix Gateway dedicado em vez de um servidor virtual compartilhado entre o XenMobile e o Virtual Apps and Desktops para separar os fluxos de tráfego do Secure Hub.

Se você usar a autenticação LDAP, o Citrix Receiver e o Secure Hub poderão se autenticar no mesmo Citrix Gateway sem problemas. Se você usar a autenticação baseada em certificado, o XenMobile enviará um certificado no contêiner MDX e o Secure Hub usará o certificado para se autenticar no Citrix Gateway. O Citrix Receiver é separado do Secure Hub e não pode usar o mesmo certificado do Secure Hub para se autenticar no mesmo Citrix Gateway.

Considere esta alternativa, a qual permite que você use o mesmo FQDN para dois VIPs Citrix Gateway. Você pode criar dois VIPs Citrix Gateway com o mesmo endereço IP, mas o do Secure Hub usa a porta padrão 443 e o do Virtual Apps and Desktops (que implanta o Citrix Receiver) usa a porta 444. Em seguida, um FQDN resolve para o mesmo endereço IP. Para essa alternativa, talvez seja necessário configurar o StoreFront para retornar um arquivo ICA para a porta 444, em vez da porta padrão 443. Esta solução alternativa não requer que os usuários insiram um número de porta.

Tempos limite do Citrix Gateway

Detalhe da decisão:

  • Como você deseja configurar os tempos limite do Citrix Gateway para o tráfego do XenMobile?

Orientação de design:

O Citrix Gateway inclui as configurações de Tempo limite da sessão e Tempo limite forçado. Para obter detalhes, consulte Configurações recomendadas. Tenha em mente que existem diferentes valores de tempo limite para serviços em segundo plano, Citrix ADC e para acessar aplicativos enquanto estiver off-line.

Endereço IP do balanceador de carga XenMobile para MAM

Detalhe da decisão:

  • Você está usando endereços IP internos ou externos para VIPs?

Orientação de design:

Em ambientes onde você pode usar endereços IP públicos para VIPs Citrix Gateway, atribuir o VIP e o endereço de balanceamento de carga do XenMobile dessa maneira causará falhas no registro.

Verifique se o VIP de balanceamento de carga usa um IP interno para evitar falhas de registro nesse cenário. Esse endereço IP virtual deve seguir o padrão RFC 1918 de endereços IP privados. Se você usar um endereço IP não privado para esse servidor virtual, o Citrix ADC não poderá contatar o servidor XenMobile com êxito durante o processo de autenticação. Para obter detalhes, consulte https://support.citrix.com/article/CTX200430.

Mecanismo de balanceamento de carga do MDM

Detalhe da decisão:

  • Como os servidores XenMobile terão a carga balanceada pelo Citrix Gateway?

Orientação de design:

Use a Ponte SSL se o XenMobile estiver na DMZ. Use descarga de SSL se for necessário para atender aos padrões de segurança quando o XenMobile Server estiver na rede interna.

  • Quando você faz o balanceamento de carga do XenMobile Server com VIPs Citrix ADC no modo Ponte de SSL, o tráfego da Internet flui diretamente para o XenMobile Server, onde as conexões terminam. O modo Ponte de SSL é o modo mais simples de configurar e solucionar problemas.
  • Quando você faz o balanceamento de carga do XenMobile Server com VIPs Citrix ADC no modo Descarga de SSL, o tráfego da Internet flui diretamente para o Citrix ADC, onde as conexões terminam. Assim, o Citrix ADC estabelece novas sessões do Citrix ADC ao servidor XenMobile. O modo de descarga SSL envolve complexidade adicional durante a configuração e a solução de problemas.

Porta de serviço para balanceamento de carga do MDM com a descarga de SSL

Detalhe da decisão:

  • Se você usar o modo de descarga de SSL para o balanceamento de carga, qual porta o serviço de backend usará?

Orientação de design:

Para Descarga de SSL, escolha a porta 80 ou 8443 da seguinte maneira:

FQDN de registro

Detalhe da decisão:

  • Qual será o FQDN para registro e o VIP para instância/balanceamento de carga do XenMobile?

Orientação de design:

A configuração inicial do primeiro XenMobile Server em um cluster requer que você insira o FQDN do XenMobile Server. Esse FQDN deve corresponder ao URL do VIP de MDM e ao URL do VIP do balanceador de carga de MAM interno. (Um registro de endereço interno do Citrix ADC resolve o VIP do balanceador de carga do MAM.) Para obter detalhes, consulte “FQDN de registro para cada tipo de implantação”, posteriormente neste artigo.

Além disso, você deve usar o mesmo certificado que o certificado de ouvinte SSL do XenMobile, o certificado VIP interno do balanceador de carga do MAM e o certificado VIP do MDM (se estiver usando a descarga do SSL para o VIP do MDM).

Importante:

Depois de configurar o FQDN de registro, você não poderá alterá-lo. Um novo FQDN de registro exigirá uma nova compilação do banco de dados do SQL Server e do XenMobile Server.

Tráfego do Secure Web

Detalhe da decisão:

  • Você restringirá o Secure Web à navegação interna apenas?
  • Você habilitará o Secure Web para a navegação na Web interna e externa?

Orientação de design:

Se você usar a Secure Web apenas para a navegação interna, a configuração do Citrix Gateway será simples e direta, supondo que a Secure Web possa acessar todos os sites internos por padrão; talvez seja necessário configurar firewalls e servidores proxy.

Se você usar o Secure Web para a navegação interna e externa, deverá ativar o SNIP para ter acesso de saída à Internet. Como a TI geralmente vê os dispositivos registrados (usando o contêiner MDX) como uma extensão da rede corporativa, a TI geralmente quer que as conexões do Secure Web retornem ao Citrix ADC, passem por um servidor proxy e então saiam para a Internet. Como padrão, o acesso ao Secure Web é com túnel para a rede interna, o que significa que o Secure Web utilizada um túnel de VPN por aplicativo de volta para rede interna para todo o acesso à rede e o Citrix ADC utilizada configurações de túnel dividido.

Para ver uma discussão sobre conexões do Secure Web, consulte Configurando conexões de usuário.

Notificações por Push para o Secure Mail

Detalhe da decisão:

  • Você vai usar notificações por push?

Orientação de design para iOS:

Caso a sua configuração do Citrix Gateway inclua o Secure Ticket Authority (STA) e o túnel dividido esteja desativado, o Citrix Gateway deve permitir o tráfego do Secure Mail para as URLs do serviço de ouvinte Citrix especificadas em Notificações por Push para o Secure Mail para iOS:

Orientação de design para o Android:

Como uma alternativa à política do MDX, Período de votação ativa, você pode usar o Firebase Cloud Messaging (FCM) para controlar como e quando os dispositivos Android precisam se conectar ao XenMobile. Com o FCM configurado, qualquer ação de segurança ou comando de implantação dispara uma notificação por push para o Secure Hub para solicitar ao usuário que se reconecte ao XenMobile Server.

STAs HDX

Detalhe da decisão:

  • Quais STAs usar se você integrar o acesso ao aplicativo HDX?

Orientação de design:

As STAs HDX devem corresponder às STAs no StoreFront e devem ser válidas para o farm do Virtual Apps and Desktops.

Citrix Files e Citrix Content Collaboration

Detalhe da decisão:

  • Você usará os controladores de zona de armazenamento no ambiente?
  • Qual URL de VIP do Citrix Files você usará?

Orientação de design:

Se você incluir controladores de zona de armazenamento em seu ambiente, certifique-se de configurar corretamente o seguinte:

  • VPI do comutador do Citrix Files (usado pelo plano de controle do Citrix Files para se comunicar com os servidores do controlador de zona de armazenamento)
  • VIPs de balanceamento de carga do Citrix Files
  • Todas as políticas e perfis necessários

Para obter informações, consulte a documentação do controlador de zonas de armazenamento.

IdP SAML

Detalhe da decisão:

  • Se o SAML for necessário para o Citrix Files, você deseja usar o XenMobile como o IdP SAML?

Orientação de design:

A prática recomendada é integrar o Citrix Files ao XenMobile Advanced Edition ou ao XenMobile Enterprise Edition, uma alternativa mais simples para configurar a federação baseada em SAML. Quando você usa o Citrix Files com essas edições do XenMobile, o XenMobile fornece ao Citrix Files a autenticação de logon único (SSO) de usuários de aplicativos móveis de produtividade, provisionamento de conta de usuário com base no Active Directory e políticas abrangentes de controle de acesso. O console XenMobile permite que você execute a configuração do Citrix Files e monitore os níveis de serviço e o uso da licença.

Observe que existem dois tipos de clientes Citrix Files: clientes do Citrix Files para XenMobile (também conhecidos como Citrix Files preparados) e clientes móveis do Citrix Files (também conhecidos como Citrix Files não preparados). Para entender as diferenças, consulte Como os clientes do Citrix Files para XenMobile diferem dos clientes móveis do Citrix Files.

Você pode configurar o XenMobile e o Citrix Content Collaboration para usar o SAML para fornecer acesso SSO aos aplicativos móveis do Citrix Files que você prepara com o MDX Toolkit, bem como os clientes do Citrix Files não preparados, como site da Web, o plug-in Outlook ou clientes de sincronização.

Se você quiser usar o XenMobile como o IdP SAML para o Citrix Files, verifique se as configurações adequadas foram definidas. Para obter detalhes, consulte SAML para SSO com Citrix Files.

Conexões diretas do ShareConnect

Detalhe da decisão:

  • Os usuários acessarão um computador host a partir de um computador ou dispositivo móvel que esteja executando o ShareConnect usando conexões diretas?

Orientação de design:

O ShareConnect permite que os usuários se conectem com segurança com seus computadores através iPads, tablets Android e telefones Android para acessar seus arquivos e aplicativos. Para ligações diretas, o XenMobile usa o Citrix Gateway para fornecer o acesso seguro a recursos de dados fora da rede local. Para ver detalhes de configuração, consulte ShareConnect.

FQDN de registro para cada tipo de implantação

   
Tipo de implantação FQDN de registro
Enterprise (MDM+MAM) com registro obrigatório no MDM FQDN do XenMobile Server
Enterprise (MDM+MAM) com registro opcional no MDM FQDN do XenMobile Server ou FQDN do Citrix Gateway
Apenas MDM FQDN do XenMobile Server
Somente MAM (legado) FQDN do Citrix Gateway
Somente MAM FQDN do XenMobile Server

Resumo de Implantação

A Citrix recomenda que você use o assistente Citrix ADC for XenMobile para garantir a configuração adequada. Esteja ciente de que você pode usar o assistente apenas uma vez. Se você tiver várias instâncias do XenMobile, como ambientes de teste, desenvolvimento e produção, deverá configurar o Citrix ADC para os ambientes adicionais manualmente. Quando você tiver um ambiente de trabalho, anote as configurações antes de tentar configurar o Citrix ADC manualmente para o XenMobile.

A sua principal decisão quando usa o assistente é se usará HTTPS ou HTTP para comunicação com o XenMobile Server. O HTTPS fornece comunicação de backend segura, já que o tráfego entre o Citrix ADC e o XenMobile é criptografado; a nova criptografia afeta o desempenho do XenMobile Server. O HTTP fornece melhor desempenho do XenMobile Server; o tráfego entre o Citrix ADC e o XenMobile não é criptografado. As tabelas a seguir mostram os requisitos de porta HTTP e HTTPS para o Citrix ADC e XenMobile Server.

HTTPS

A Citrix normalmente recomenda a Ponte SSL para configurações do servidor virtual MDM do Citrix ADC. Para o uso da descarga de SSL do Citrix ADC com servidores virtuais MDM, o XenMobile suporta apenas a porta 80 como o serviço de backend.

       
Tipo de implantação Método de balanceamento de carga Citrix ADC Nova criptografia SSL Porta do XenMobile Server
MDM Ponte SSL N/D 443, 8443
MAM Descarga de SSL Ativado 8443
Empresarial MDM: Ponte SSL N/D 443, 8443
Empresarial MAM: Descarga de SSL Ativado 8443

HTTP

       
Tipo de implantação Método de balanceamento de carga Citrix ADC Nova criptografia SSL Porta do XenMobile Server
MDM Descarga de SSL Sem suporte 80
MAM Descarga de SSL Ativado 8443
Empresarial MAM: Descarga de SSL Sem suporte 80
Empresarial MAM: Descarga de SSL Ativado 8443

Para obter diagramas do Citrix Gateway em implantações XenMobile, consulte Arquitetura de referência para implantações locais.

Integração com Citrix Gateway e Citrix ADC