Integração do XenMobile

Este artigo aborda o que considerar ao planejar como o XenMobile deve se integrar à sua rede e soluções existentes. Por exemplo, se você já estiver usando o NetScaler para XenApp e XenDesktop:

  • Você deve usar a instância existente do NetScaler ou uma nova instância dedicada?
  • Você deseja integrar com o XenMobile os aplicativos HDX que são publicados usando o StoreFront?
  • Você planeja usar o ShareFile com o XenMobile?
  • Você tem uma solução de controle de acesso da rede que deseja integrar ao XenMobile?
  • Você implementa proxies da web para todo o tráfego de saída da sua rede?

NetScaler e NetScaler Gateway

O NetScaler Gateway é obrigatório nos modos XenMobile ENT e MAM. O NetScaler Gateway oferece um caminho de micro VPN para acesso a todos os recursos corporativos e fornece um forte suporte de autenticação multifator. O balanceamento de carga do NetScaler é necessário para todos os modos de dispositivo do XenMobile Server:

  • Se você tiver vários XenMobile Servers.
  • Ou, se o XenMobile Server estiver dentro da sua rede DMZ ou interna (e, portanto, o tráfego flui dos dispositivos para o NetScaler para o XenMobile).

Você pode usar instâncias existentes do NetScaler ou configurar instâncias novas para o XenMobile. As seções a seguir observam as vantagens e desvantagens de usar instâncias NetScaler dedicadas novas ou existentes.

NetScaler MPX compartilhado com um VIP NetScaler Gateway criado para o XenMobile

Vantagens:

  • Usa uma instância comum do NetScaler para todas as conexões remotas do Citrix: XenApp, VPN completa e VPN sem cliente.
  • Usa as configurações existentes do NetScaler, como para autenticação de certificado e para acessar serviços como DNS, LDAP e NTP.
  • Usa uma única licença de plataforma NetScaler.

Desvantagens:

  • É mais difícil planejar a escala quando você lida com dois casos de uso muito diferentes no mesmo NetScaler.
  • Às vezes você precisa de uma versão específica do NetScaler para um caso de uso do XenApp. Essa mesma versão pode ter problemas conhecidos no XenMobile. Ou o XenMobile pode ter problemas conhecidos na versão do NetScaler.
  • Se existir um NetScaler Gateway, não será possível executar o assistente NetScaler for XenMobile uma segunda vez para criar a configuração do NetScaler para o XenMobile.
  • Exceto quando licenças Platinum são usadas para o NetScaler Gateway 11.1 ou posterior: as licenças de acesso de usuário instaladas no NetScaler e necessárias para conectividade VPN são agrupadas. Como essas licenças estão disponíveis para todos os servidores virtuais NetScaler, outros serviços além do XenMobile podem potencialmente consumi-las.

Instância do NetScaler VPX/MPX dedicada

Vantagens:

A Citrix recomenda o uso de uma instância dedicada do NetScaler.

  • Mais fácil de planejar a escala e separa o tráfego do XenMobile de uma instância do NetScaler que pode já estar com restrição de recursos.
  • Evita problemas quando o XenMobile e o XenApp precisam de versões diferentes do software NetScaler. A recomendação geralmente é usar a última versão e compilação compatíveis do NetScaler for XenMobile.
  • Permite a configuração do XenMobile do NetScaler através do assistente interno do NetScaler for XenMobile.
  • Separação virtual e física de serviços.
  • Exceto quando as licenças Platinum são usadas para o NetScaler Gateway 11.1 ou posterior: as licenças de acesso de usuário necessárias para o XenMobile só estão disponíveis para os serviços XenMobile no NetScaler.

Desvantagens:

  • Requer configuração de serviços extras no NetScaler para suportar a configuração do XenMobile.
  • Requer outra licença de plataforma NetScaler. Licencie cada instância do NetScaler para o NetScaler Gateway.

Para obter informações sobre o que considerar ao integrar o NetScaler e o NetScaler Gateway com cada modo de XenMobile Server, consulte Integração com NetScaler e NetScaler Gateway.

StoreFront

Se você tiver um ambiente Citrix XenApp e XenDesktop, poderá integrar aplicativos HDX ao XenMobile usando o StoreFront. Quando você integra aplicativos HDX ao XenMobile:

  • Os aplicativos ficam disponíveis para usuários registrados no XenMobile.
  • Os aplicativos são exibidos na XenMobile Store juntamente com outros aplicativos móveis.
  • O XenMobile usa o site legado PNAgent (serviços) no StoreFront.
  • Quando o Citrix Receiver é instalado em um dispositivo, os aplicativos HDX começam a usar o Receiver.

StoreFront tem uma limitação de um site de serviços por instância de StoreFront. Suponha que você tenha várias lojas de aplicativos e queira segmentá-las de outro uso de produção. Nesse caso, a Citrix geralmente recomenda que você considere usar uma nova instância do StoreFront e site de serviço para o XenMobile.

As considerações incluem:

  • Existem requisitos de autenticação diferentes para o StoreFront? O site de serviços StoreFront requer credenciais do Active Directory para logon. Os clientes que usam somente a autenticação baseada em certificado não podem enumerar aplicativos por meio do XenMobile usando o mesmo NetScaler Gateway.
  • Usar a mesma loja ou criar uma nova?
  • Usar o mesmo servidor StoreFront ou um diferente?

As seções a seguir observam as vantagens e desvantagens de usar StoreFront separado ou combinado para Citrix Receiver e aplicativos móveis de produtividade.

Integrar sua instância StoreFront existente com o XenMobile Server

Vantagens:

  • Mesma loja de aplicativos: nenhuma configuração adicional do StoreFront é necessária para o XenMobile, supondo que você use o mesmo NetScaler VIP para acesso HDX. Suponha que você decida usar a mesma loja e queira direcionar o acesso do Citrix Receiver a um novo VIP NetScaler. Nesse caso, adicione a configuração apropriada do NetScaler Gateway ao StoreFront.
  • Mesmo servidor StoreFront: usa a instalação e configuração do StoreFront existente.

Desvantagens:

  • Mesma loja de aplicativos: qualquer reconfiguração do StoreFront para suportar cargas de trabalho do XenApp e XenDesktop pode afetar adversamente o XenMobile também.
  • Mesmo servidor StoreFront: em ambientes grandes, considere a carga adicional do uso do XenMobile do PNAgent para enumeração e inicialização do aplicativo.

Use uma nova instância dedicada do StoreFront para integração com o XenMobile Server

Vantagens:

  • Nova loja de aplicativos: as alterações na configuração da loja StoreFront para o XenMobile não devem afetar as cargas de trabalho de XenApp e XenDesktop existentes.
  • Novo servidor StoreFront: as alterações na configuração do servidor não devem afetar o fluxo de trabalho do XenApp e XenDesktop. Além disso, a carga fora do uso do XenMobile do PNAgent para enumeração e inicialização de aplicativos não deve afetar a escalabilidade.

Desvantagens:

  • Nova loja de aplicativos: configuração da loja StoreFront.
  • Novo servidor StoreFront: requer nova instalação e configuração do StoreFront.

Para obter mais informações, consulte XenApp e XenDesktop através do Citrix Secure Hub na documentação do XenMobile.

ShareFile

O ShareFile permite que os usuários acessem e sincronizem todos os seus dados de qualquer dispositivo. Com o ShareFile, os usuários podem compartilhar dados com segurança com pessoas dentro e fora da organização. Se você integrar o ShareFile ao XenMobile Advanced Edition ou Enterprise Edition, o XenMobile poderá fornecer ao ShareFile:

  • Autenticação de logon único para usuários do XenMobile App.
  • Provisionamento de conta de usuário baseado no Active Directory.
  • Políticas abrangentes de controle de acesso.

Os usuários móveis podem se beneficiar do conjunto completo de recursos do ShareFile Enterprise.

Como alternativa, você pode configurar o XenMobile para integração apenas com StorageZone Connectors. Através de StorageZone Connectors, o ShareFile fornece acesso a:

  • Documentos e pastas
  • Compartilhamentos de arquivos de rede
  • Nos sites do SharePoint: conjuntos de sites e bibliotecas de documentos.

Os compartilhamentos de arquivos conectados podem incluir as mesmas unidades iniciais de rede usadas nos ambientes Citrix XenDesktop e XenApp. Você usa o console XenMobile para configurar a integração com ShareFile Enterprise ou StorageZones Connectors. Para obter mais informações, consulte Uso do ShareFile com o XenMobile.

As seções a seguir observam as perguntas a serem feitas ao tomar decisões de design para o ShareFile.

Integrar com ShareFile Enterprise ou somente com StorageZone Connectors

Perguntas a serem feitas:

  • Você precisa armazenar dados em StorageZones gerenciados pela Citrix?
  • Você deseja fornecer aos usuários recursos de compartilhamento e sincronização de arquivos?
  • Deseja permitir que os usuários acessem arquivos no site do ShareFile? Ou acessar conteúdo do Office 365 e conectores de nuvem pessoal de dispositivos móveis?

Decisão de design:

  • Se a resposta a qualquer uma dessas perguntas for “sim”, integre-se ao ShareFile Enterprise.
  • Uma integração apenas com o StorageZone Connectors fornece aos usuários do iOS acesso móvel seguro a repositórios de armazenamento locais existentes, como sites do SharePoint e compartilhamentos de arquivos em rede. Nessa configuração, você não configura um subdomínio do ShareFile, provisiona usuários ao ShareFile ou hospeda dados do ShareFile. O uso do StorageZones Connectors com XenMobile está em conformidade com as restrições de segurança contra o vazamento de informações do usuário fora da rede corporativa.

Localização do servidor do ShareFile StorageZones Controller

Perguntas a serem feitas:

  • Você precisa de armazenamento ou recursos locais, como StorageZone Connectors?
  • Se estiver usando recursos locais do ShareFile, onde os ShareFile StorageZones Controllers ficarão na rede?

Decisão de design:

  • Determine se deseja localizar os servidores do StorageZones Controller na nuvem do ShareFile, em seu sistema de armazenamento de locatário único no local ou no armazenamento na nuvem de terceiros suportados.
  • StorageZones Controllers exigem certo acesso à Internet para se comunicar com o Citrix ShareFile Control Plane. Você pode se conectar de várias maneiras, incluindo acesso direto, configurações NAT/PAT ou configurações de proxy.

Conectores StorageZone

Perguntas a serem feitas:

  • Quais são os caminhos de compartilhamento CIFS?
  • Quais são os URLs do SharePoint?

Decisão de design:

  • Determine se StorageZones Controllers locais precisam acessar esses localizações.
  • Devido à comunicação do StorageZone Connector com recursos internos, como repositórios de arquivos, compartilhamentos CIFS e SharePoint, a Citrix recomenda que os StorageZones Controllers residam na rede interna por trás dos firewalls DMZ e protegidos pelo NetScaler.

Integração SAML com XenMobile Enterprise

Perguntas a serem feitas:

  • A autenticação do Active Directory é necessária para o ShareFile?
  • O primeiro uso do aplicativo ShareFile para XenMobile requer SSO?
  • Existe um IdP padrão no seu ambiente atual?
  • Quantos domínios são necessários para usar SAML?
  • Existem vários aliases de email para usuários do Active Directory?
  • Há alguma migração de domínio do Active Directory em andamento ou agendada para breve?

Decisão de design:

Os ambientes do XenMobile Enterprise podem optar por usar SAML como o mecanismo de autenticação do ShareFile. As opções de autenticação são:

  • Usar o XenMobile Server como o provedor de identidade (IdP) para SAML

Essa opção pode fornecer excelente experiência do usuário e automatizar a criação de conta de ShareFile, bem como habilitar recursos SSO do aplicativo móvel.

  • O servidor XenMobile é aprimorado para este processo: ele não exige a sincronização do Active Directory.
  • Use a ShareFile User Management Tool para provisionamento de usuários.
  • Use um fornecedor de terceiros suportado como o IdP para SAML

Se você tiver um IdP existente e compatível e não precisar de recursos de SSO de aplicativos móveis, essa é a melhor opção para você. Essa opção também requer o uso da ShareFile User Management Tool para provisionamento de contas.

O uso de soluções de IdP de terceiros, como ADFS, também pode fornecer recursos de SSO no lado do cliente do Windows. Não deixe de avaliar casos de uso antes de escolher seu IdP SAML do ShareFile.

Além disso, para satisfazer ambos os casos de uso, você pode configurar ADFS e XenMobile como IdP duplo.

Aplicativos móveis

Perguntas a serem feitas:

  • Qual aplicativo ShareFile Mobile você planeja usar (público, MDM, MDX)?

Decisão de design:

  • Você distribui aplicativos móveis de produtividade a partir da Apple App Store e da Google Play Store. Com essa distribuição de lojas de aplicativos públicas, você obtém aplicativos preparados da página de downloads da Citrix.
  • Se a segurança estiver baixa e você não precisar de conteinerização, o aplicativo ShareFile público pode não ser adequado. Em um ambiente somente MDM, você pode entregar a versão MDM do aplicativo ShareFile usando o XenMobile no modo MDM.
  • Para obter mais informações, consulte Aplicativos e Citrix ShareFile for XenMobile.

Segurança, políticas e controle de acesso

Perguntas a serem feitas:

  • Quais restrições você precisa para usuários de computadores, web e dispositivos móveis?
  • Quais configurações de controle de acesso padrão você deseja para os usuários?
  • Qual política de retenção de arquivo você planeja usar?

Decisão de design:

  • O ShareFile permite gerenciar permissões de funcionários e segurança de dispositivos. Para obter informações, consulte Permissões de funcionários e Gerenciando dispositivos e aplicativos.
  • Algumas configurações de segurança do dispositivo ShareFile e políticas MDX controlam os mesmos recursos. Nesses casos, as políticas do XenMobile têm precedência, seguidas pelas configurações de segurança do dispositivo ShareFile. Exemplos: se você desativar aplicativos externos no ShareFile, mas ativá-los no XenMobile, os aplicativos externos serão desativados no ShareFile. Você pode configurar os aplicativos para que o XenMobile não exija um PIN/código secreto, mas o aplicativo ShareFile exija um PIN/código secreto.

StorageZones Padrões e Restritos StorageZones Restritos

Perguntas a serem feitas:

  • Você precisa de StorageZones Restritos?

Decisão de design:

  • Um StorageZone padrão é destinado a dados não confidenciais e permite que os funcionários compartilhem dados com não funcionários. Esta opção suporta fluxos de trabalho que envolvem o compartilhamento de dados fora do seu domínio.
  • Um StorageZone restrito protege os dados confidenciais: somente os usuários do domínio autenticados podem acessar os dados armazenados na zona.

Proxies da Web

O cenário mais provável para rotear o tráfego do XenMobile por meio de um proxy HTTP(S)/SOCKS é o seguinte: quando a sub-rede em que o XenMobile Server reside não tiver acesso à Internet para endereços IP da Apple, Google ou Microsoft. Você pode especificar as configurações do servidor proxy no XenMobile para rotear todo o tráfego da Internet para o servidor proxy. Para obter mais informações, consulte Ativar servidores proxy.

A tabela a seguir descreve as vantagens e desvantagens do proxy mais comum usado com o XenMobile.

     
Opção Vantagens Desvantagens
Usar um proxy HTTP(S)/SOCKS com o XenMobile Server. Nos casos em que as políticas não permitem conexões de saída da Internet da sub-rede do XenMobile Server: você pode configurar um proxy HTTP(S) ou SOCKS para fornecer conectividade com a Internet. Se o servidor proxy falhar, a conectividade do APNs (iOS) ou do Google Cloud Messaging (Android) será interrompida. Como resultado, as notificações do dispositivo falham em todos os dispositivos iOS e Android.
Use um Proxy HTTP(S) com Secure Web. Você pode monitorar o tráfego HTTP/HTTPS para garantir que a atividade da Internet esteja em conformidade com os padrões da sua organização. Essa configuração exige que todo o tráfego da Secure Web Internet retorne para a rede corporativa antes de ser enviado de volta à Internet. Se a sua conexão com a Internet restringir a navegação: essa configuração pode afetar o desempenho da navegação na Internet.

Sua configuração de perfil da sessão do NetScaler para túnel dividido afeta o tráfego da seguinte maneira.

Quando o Túnel dividido do NetScale está desativado:

  • Se a política de acesso à rede MDX for Com túnel para a rede interna: todo o tráfego é forçado a usar o túnel micro VPN ou VPN sem cliente (cVPN) de volta ao NetScaler Gateway.
  • Configure os perfis/políticas de tráfego do NetScaler para o servidor proxy e vincule-os ao VIP NetScaler Gateway.

Importante: certifique-se de excluir o tráfego cVPN Secure Hub do proxy.

Quando o Túnel dividido do NetScale está ativado:

  • Quando os aplicativos são configurados com a política de acesso à rede MDX configurada como Com túnel para a rede interna: primeiro, os aplicativos tentam obter o recurso da Web diretamente. Se o recurso da Web não estiver publicamente disponível, esses aplicativos retornarão ao NetScaler Gateway.
  • Configure políticas e perfis de tráfego do NetScaler para o servidor proxy. Em seguida, associe essas políticas e perfis ao VIP NetScaler Gateway.

Importante: certifique-se de excluir o tráfego cVPN Secure Hub do proxy.

Sua configuração do perfil de sessão do NetScaler para o DNS Dividido (em Experiência do Cliente) funciona de forma semelhante ao Túnel Dividido.

Com o DNS Dividido ativado e definido como Ambos:

  • Primeiro, o cliente tenta resolver o FQDN localmente e, em seguida, retorna para o NetScaler para a resolução de DNS durante a falha.

Com o DNS Dividido definido como Remoto:

  • A resolução de DNS ocorre apenas no NetScaler.

Com o DNS Dividido definido como Local:

  • O cliente tenta resolver o FQDN localmente. O NetScaler não é usado para resolução de DNS.

Controle de acesso

As empresas agora podem gerenciar dispositivos móveis dentro e fora das redes. As soluções de Gerenciamento de Mobilidade Empresarial, como o XenMobile, são ótimas para fornecer segurança e controles para dispositivos móveis, independentemente da localização. No entanto, quando acoplado a uma solução NAC (Network Access Control), você pode adicionar QoS e um controle mais refinado aos dispositivos internos da sua rede. Essa combinação permite estender a avaliação de segurança do dispositivo XenMobile através da sua solução NAC. Sua solução NAC pode então usar a avaliação de segurança do XenMobile para facilitar e m,anipular decisões de autenticação. A Citrix validou a integração do NAC com o XenMobile para o Cisco Identity Services Engine (ISE) ou o ForeScout. A Citrix não garante integração para outras soluções NAC.

As vantagens de uma integração de solução NAC com o XenMobile incluem o seguinte:

  • Melhor segurança, conformidade e controle para todos os endpoints em uma rede corporativa.
  • Uma solução NAC pode:
    • Detectar dispositivos no instante em que eles tentarem se conectar à sua rede.
    • Consultar o XenMobile para atributos do dispositivo.
    • Em seguida, usar essas informações para determinar se deve permitir, bloquear, limitar ou redirecionar esses dispositivos. Essas decisões dependem das políticas de segurança que você decide impor.
  • Uma solução NAC fornece aos administradores de TI uma visão de dispositivos não gerenciados e não compatíveis.

Para obter uma descrição dos filtros de conformidade com NAC suportados pelo XenMobile, consulte Controle de acesso à rede.

Integração do XenMobile