Integração do XenMobile

Este artigo aborda o que considerar ao planejar como o XenMobile deve se integrar à sua rede e soluções existentes. Por exemplo, se você já estiver usando o Citrix ADC para Virtual Apps and Desktops:

  • Você deve usar a instância existente do Citrix ADC ou uma nova instância dedicada?
  • Você deseja integrar com o XenMobile os aplicativos HDX que são publicados usando o StoreFront?
  • Você planeja usar o Citrix Files com o XenMobile?
  • Você tem uma solução de controle de acesso da rede que deseja integrar ao XenMobile?
  • Você implementa proxies da web para todo o tráfego de saída da sua rede?

Citrix ADC e Citrix Gateway

O Citrix Gateway é obrigatório nos modos XenMobile ENT e MAM. O Citrix Gateway oferece um caminho de micro VPN para acesso a todos os recursos corporativos e fornece um forte suporte de autenticação multifator. O balanceamento de carga do Citrix ADC é necessário para todos os modos de dispositivo do XenMobile Server:

  • Se você tiver vários XenMobile Servers
  • Ou, se o XenMobile Server estiver dentro da sua rede DMZ ou interna (e, portanto, o tráfego flui dos dispositivos para o Citrix ADC para o XenMobile)

Você pode usar instâncias existentes do Citrix ADC ou configurar instâncias novas para o XenMobile. As seções a seguir observam as vantagens e desvantagens de usar instâncias Citrix ADC dedicadas novas ou existentes.

O MPX compartilhado do Citrix ADC com um VIP Citrix Gateway criado para XenMobile

Vantagens:

  • Usa uma instância comum do Citrix ADC para todas as conexões remotas Citrix: Citrix Virtual Apps and Desktops, VPN completa e VPN sem cliente.
  • Usa as configurações existentes do Citrix ADC, como para autenticação de certificado e para acessar serviços como DNS, LDAP e NTP.
  • Usa uma única licença de plataforma Citrix ADC.

Desvantagens:

  • É mais difícil planejar a escala quando você lida com dois casos de uso diferentes no mesmo Citrix ADC.
  • Às vezes, você precisa de uma versão específica do Citrix ADC para um caso de uso do Citrix Virtual Apps and Desktops. Essa mesma versão pode ter problemas conhecidos no XenMobile. Ou o XenMobile pode ter problemas conhecidos na versão do Citrix ADC.
  • Se existir um Citrix Gateway, não será possível executar o assistente Citrix ADC for XenMobile uma segunda vez para criar a configuração do Citrix ADC para o XenMobile.
  • Exceto quando licenças Platinum são usadas para o Citrix Gateway 11.1 ou posterior: as licenças de acesso de usuário instaladas no Citrix ADC e necessárias para conectividade VPN são agrupadas. Como essas licenças estão disponíveis para todos os servidores virtuais Citrix ADC, outros serviços além do XenMobile podem potencialmente consumi-las.

Instância dedicada do Citrix ADC VPX/MPX

Vantagens:

A Citrix recomenda o uso de uma instância dedicada do Citrix ADC.

  • Mais fácil de planejar a escala e separa o tráfego do XenMobile de uma instância do Citrix ADC que pode já estar com restrição de recursos.
  • Evita problemas quando o Citrix Virtual Apps and Desktops precisa de versões diferentes do software Citrix ADC. A recomendação geralmente é usar a última versão e compilação compatíveis do Citrix ADC para XenMobile.
  • Permite a configuração do XenMobile do Citrix ADC através do assistente interno Citrix ADC for XenMobile.
  • Separação virtual e física de serviços.
  • Exceto quando as licenças Platinum são usadas para o Citrix Gateway 11.1 ou posterior: as licenças de acesso de usuário necessárias para o XenMobile só estão disponíveis para os serviços do XenMobile no Citrix ADC.

Desvantagens:

  • Requer configuração de serviços extras no Citrix ADC para suportar a configuração do XenMobile.
  • Requer outra licença da plataforma Citrix ADC. Licencie cada instância do Citrix ADC para Citrix Gateway.

Para obter informações sobre o que considerar ao integrar o Citrix ADC e o Citrix Gateway com cada modo de XenMobile Server, consulte Integração com Citrix ADC e Citrix Gateway.

StoreFront

Se você tiver um ambiente Citrix Virtual Apps and Desktops, poderá integrar aplicativos HDX ao XenMobile usando o StoreFront. Quando você integra aplicativos HDX ao XenMobile:

  • Os aplicativos ficam disponíveis para usuários registrados no XenMobile.
  • Os aplicativos são exibidos na XenMobile Store juntamente com outros aplicativos móveis.
  • O XenMobile usa o site legado PNAgent (serviços) no StoreFront.
  • Quando o Citrix Receiver é instalado em um dispositivo, os aplicativos HDX começam a usar o Receiver.

StoreFront tem uma limitação de um site de serviços por instância de StoreFront. Suponha que você tenha várias lojas de aplicativos e queira segmentá-las de outro uso de produção. Nesse caso, a Citrix geralmente recomenda que você considere usar uma nova instância do StoreFront e site de serviço para o XenMobile.

As considerações incluem:

  • Existem requisitos de autenticação diferentes para o StoreFront? O site de serviços StoreFront requer credenciais do Active Directory para logon. Os clientes que usam somente a autenticação baseada em certificado não podem enumerar aplicativos por meio do XenMobile usando o mesmo Citrix Gateway.
  • Usar a mesma loja ou criar uma nova?
  • Usar o mesmo servidor StoreFront ou um diferente?

As seções a seguir observam as vantagens e desvantagens de usar StoreFront separado ou combinado para Citrix Receiver e aplicativos móveis de produtividade.

Integrar sua instância StoreFront existente com o XenMobile Server

Vantagens:

  • Mesma loja de aplicativos: nenhuma configuração adicional do StoreFront é necessária para o XenMobile, supondo que você use o mesmo VIP Citrix ADC para acesso HDX. Suponha que você decida usar a mesma loja e queira direcionar o acesso do Citrix Receiver a um novo VIP Citrix ADC. Nesse caso, adicione a configuração apropriada do Citrix Gateway ao StoreFront.
  • Mesmo servidor StoreFront: usa a instalação e configuração do StoreFront existente.

Desvantagens:

  • Mesma loja de aplicativos: qualquer reconfiguração do StoreFront para suportar cargas de trabalho de aplicativos e áreas de trabalho virtuais pode afetar adversamente o XenMobile também.
  • Mesmo servidor StoreFront: em ambientes grandes, considere a carga adicional do uso do XenMobile do PNAgent para enumeração e inicialização do aplicativo.

Use uma nova instância dedicada do StoreFront para integração com o XenMobile Server

Vantagens:

  • Nova loja de aplicativos: as alterações na configuração da loja StoreFront para o XenMobile não devem afetar as cargas de trabalho dos aplicativos e áreas de trabalho virtuais existentes.
  • Novo servidor StoreFront: as alterações na configuração do servidor não devem afetar o fluxo de trabalho dos aplicativos e áreas de trabalho virtuais. Além disso, a carga fora do uso do XenMobile do PNAgent para enumeração e inicialização de aplicativos não deve afetar a escalabilidade.

Desvantagens:

  • Nova loja de aplicativos: configuração da loja StoreFront.
  • Novo servidor StoreFront: requer nova instalação e configuração do StoreFront.

Para obter mais informações, consulte Aplicativos e áreas de trabalho virtuais através do Citrix Secure Hub na documentação do XenMobile.

Citrix Content Collaboration e Citrix Files

O Citrix Files permite que os usuários acessem e sincronizem todos os seus dados de qualquer dispositivo. Com o Citrix Files, os usuários podem compartilhar dados com segurança com pessoas dentro e fora da organização. Se você integrar o Citrix Content Collaboration ao XenMobile Advanced Edition ou Enterprise Edition, o XenMobile poderá fornecer ao Citrix Files:

  • Autenticação de logon único para usuários do XenMobile App.
  • Provisionamento de conta de usuário baseado no Active Directory.
  • Políticas abrangentes de controle de acesso.

Os usuários móveis podem se beneficiar do conjunto completo de recursos da conta Enterprise.

Como alternativa, você pode configurar o XenMobile para integração apenas com os conectores de zona de armazenamento. Através dos conectores de zona de armazenamento, o Citrix Files fornece acesso a:

  • Documentos e pastas
  • Compartilhamentos de arquivos de rede
  • Nos sites do SharePoint: conjuntos de sites e bibliotecas de documentos.

Os compartilhamentos de arquivos conectados podem incluir as mesmas unidades iniciais de rede usadas nos ambientes Citrix Virtual Apps and Desktops. Você usa o console XenMobile para configurar a integração com Citrix Files ou conectores de zonas de armazenamento. Para obter mais informações, consulte Uso do Citrix Files com XenMobile.

As seções a seguir observam as perguntas a serem feitas ao tomar decisões de design para o Citrix Files.

Integrar com arquivos Citrix ou apenas conectores de zona de armazenamento

Perguntas a serem feitas:

  • Você precisa armazenar dados em zonas de armazenamento gerenciadas pela Citrix?
  • Você deseja fornecer aos usuários recursos de compartilhamento e sincronização de arquivos?
  • Deseja permitir que os usuários acessem arquivos no site do Citrix Files? Ou acessar conteúdo do Office 365 e conectores de nuvem pessoal de dispositivos móveis?

Decisão de design:

  • Se a resposta a qualquer uma dessas perguntas for “sim”, integre com Citrix Files.
  • Uma integração apenas com os conectores de zona de armazenamento fornece aos usuários do iOS acesso móvel seguro a repositórios de armazenamento locais existentes, como sites do SharePoint e compartilhamentos de arquivos em rede. Nessa configuração, você não define um subdomínio de Content Collaboration, provisiona usuários para o Citrix Files ou hospeda dados do Citrix Files. O uso de conectores de zonas de armazenamento com XenMobile está em conformidade com as restrições de segurança contra o vazamento de informações do usuário fora da rede corporativa.

Localização do servidor do controlador de zonas de armazenamento

Perguntas a serem feitas:

  • Você precisa de armazenamento ou recursos locais, como conectores de zona de armazenamento?
  • Se estiver usando recursos locais do Citrix Files, onde os controladores de zonas de armazenamento ficarão na rede?

Decisão de design:

  • Determine se deseja localizar os servidores do controlador de zonas de armazenamento na nuvem do ShareFile, em seu sistema de armazenamento de locatário único no local ou no armazenamento na nuvem de terceiros suportados.
  • Os controladores de zonas de armazenamento exigem certo acesso à Internet para se comunicar com o plano de controle do Citrix Files. Você pode se conectar de várias maneiras, incluindo acesso direto, configurações NAT/PAT ou configurações de proxy.

Conectores de zona de armazenamento

Perguntas a serem feitas:

  • Quais são os caminhos de compartilhamento CIFS?
  • Quais são os URLs do SharePoint?

Decisão de design:

  • Determine se os controladores de zonas de armazenamento locais precisam acessar essas localizações.
  • Devido à comunicação do conector de zona de armazenamento com recursos internos, como repositórios de arquivos, compartilhamentos CIFS e SharePoint, a Citrix recomenda que os controladores de zonas de armazenamento residam na rede interna por trás dos firewalls DMZ e protegidos pelo Citrix ADC.

Integração SAML com XenMobile Enterprise

Perguntas a serem feitas:

  • A autenticação do Active Directory é necessária para o Citrix Files?
  • O primeiro uso do aplicativo Citrix Files for XenMobile requer SSO?
  • Existe um IdP padrão no seu ambiente atual?
  • Quantos domínios são necessários para usar SAML?
  • Existem vários aliases de email para usuários do Active Directory?
  • Há alguma migração de domínio do Active Directory em andamento ou agendada para breve?

Decisão de design:

Os ambientes do XenMobile Enterprise podem optar por usar SAML como o mecanismo de autenticação do Citrix Files. As opções de autenticação são:

  • Usar o XenMobile Server como o provedor de identidade (IdP) para SAML

Essa opção pode fornecer excelente experiência do usuário e automatizar a criação de conta do Citrix Files, bem como habilitar recursos SSO do aplicativo móvel.

  • O servidor XenMobile é aprimorado para este processo: ele não exige a sincronização do Active Directory.
  • Use a Ferramenta de gerenciamento de usuário do Citrix Files para provisionamento de usuários.
  • Use um fornecedor de terceiros suportado como o IdP para SAML

Se você tiver um IdP existente e compatível e não precisar de recursos de SSO de aplicativos móveis, essa é a melhor opção para você. Essa opção também requer o uso da Ferramenta de gerenciamento de usuário do Citrix Files para provisionamento de contas.

O uso de soluções de IdP de terceiros, como ADFS, também pode fornecer recursos de SSO no lado do cliente do Windows. Não deixe de avaliar casos de uso antes de escolher seu IdP SAML do Citrix Files.

Além disso, para satisfazer ambos os casos de uso, você pode configurar o ADFS e o XenMobile como um IdP duplo.

Aplicativos móveis

Perguntas a serem feitas:

  • Qual aplicativo móvel Citrix Files você planeja usar (público, MDM, MDX)?

Decisão de design:

  • Você distribui aplicativos móveis de produtividade a partir da Apple App Store e da Google Play Store. Com essa distribuição de lojas de aplicativos públicas, você obtém aplicativos preparados da página de downloads da Citrix.
  • Se a segurança estiver baixa e você não precisar de conteinerização, o aplicativo Citrix Files público pode não ser adequado. Em um ambiente somente MDM, você pode entregar a versão MDM do aplicativo Citrix Files usando o XenMobile no modo MDM.
  • Para obter mais informações, consulte Aplicativos e Citrix Files para XenMobile.

Segurança, políticas e controle de acesso

Perguntas a serem feitas:

  • Quais restrições você precisa para usuários de computadores, web e dispositivos móveis?
  • Quais configurações de controle de acesso padrão você deseja para os usuários?
  • Qual política de retenção de arquivo você planeja usar?

Decisão de design:

  • O Citrix Files permite gerenciar permissões de funcionários e segurança de dispositivos. Para obter informações, consulte Permissões de funcionários e Gerenciamento de dispositivos e aplicativos.
  • Algumas configurações de segurança do dispositivo Citrix Files e políticas MDX controlam os mesmos recursos. Nesses casos, as políticas do XenMobile têm precedência, seguidas pelas configurações de segurança do dispositivo Citrix Files. Exemplos: se você desativar aplicativos externos no Citrix Files, mas ativá-los no XenMobile, os aplicativos externos serão desativados no Citrix Files. Você pode configurar os aplicativos para que o XenMobile não exija um PIN/código secreto, mas o aplicativo Citrix Files exija um PIN/código secreto.

Zonas de armazenamento padrões e restritas

Perguntas a serem feitas:

  • Você precisa de zonas de armazenamento restritas?

Decisão de design:

  • Uma zona de armazenamento padrão é destinada a dados não confidenciais e permite que os funcionários compartilhem dados com não funcionários. Esta opção suporta fluxos de trabalho que envolvem o compartilhamento de dados fora do seu domínio.
  • Uma zona de armazenamento restrita protege os dados confidenciais: somente os usuários do domínio autenticados podem acessar os dados armazenados na zona.

Proxies da Web

O cenário mais provável para rotear o tráfego do XenMobile por meio de um proxy HTTP(S)/SOCKS é o seguinte: quando a sub-rede em que o XenMobile Server reside não tiver acesso à Internet para endereços IP da Apple, Google ou Microsoft. Você pode especificar as configurações do servidor proxy no XenMobile para rotear todo o tráfego da Internet para o servidor proxy. Para obter mais informações, consulte Ativar servidores proxy.

A tabela a seguir descreve as vantagens e desvantagens do proxy mais comum usado com o XenMobile.

     
Opção Vantagens Desvantagens
Usar um proxy HTTP(S)/SOCKS com o XenMobile Server. Nos casos em que as políticas não permitem conexões de saída da Internet da sub-rede do XenMobile Server: você pode configurar um proxy HTTP(S) ou SOCKS para fornecer conectividade com a Internet. Se o servidor proxy falhar, a conectividade do APNs (iOS) ou do Firebase Cloud Messaging (Android) será interrompida. Como resultado, as notificações do dispositivo falham em todos os dispositivos iOS e Android.
Use um Proxy HTTP(S) com Secure Web. Você pode monitorar o tráfego HTTP/HTTPS para garantir que a atividade da Internet esteja em conformidade com os padrões da sua organização. Essa configuração exige que todo o tráfego da Secure Web Internet retorne para a rede corporativa antes de ser enviado de volta à Internet. Se a sua conexão com a Internet restringir a navegação: essa configuração pode afetar o desempenho da navegação na Internet.

Sua configuração de perfil da sessão do Citrix ADC para túnel dividido afeta o tráfego da seguinte maneira.

Quando o Túnel dividido do Citrix ADC está desativado:

  • Se a política de acesso à rede MDX for Com túnel para a rede interna: todo o tráfego é forçado a usar o túnel micro VPN ou VPN sem cliente (cVPN) de volta ao Citrix Gateway.
  • Configure os perfis/políticas de tráfego do Citrix ADC para o servidor proxy e associe-os ao VIP Citrix Gateway.

Importante:

Certifique-se de excluir o tráfego cVPN Secure Hub do proxy.

Quando o Túnel dividido do Citrix ADC está ativado:

  • Quando os aplicativos são configurados com a política de acesso à rede MDX configurada como Com túnel para a rede interna: primeiro, os aplicativos tentam obter o recurso da Web diretamente. Se o recurso da Web não estiver publicamente disponível, esses aplicativos retornarão ao Citrix Gateway.
  • Configure políticas e perfis de tráfego do Citrix ADC para o servidor proxy. Em seguida, associe essas políticas e perfis ao VIP Citrix Gateway.

Importante:

Certifique-se de excluir o tráfego cVPN Secure Hub do proxy.

Sua configuração do perfil de sessão do Citrix ADC para o DNS Dividido (em Experiência do Cliente) funciona de forma semelhante ao Túnel Dividido.

Com o DNS Dividido ativado e definido como Ambos:

  • Primeiro, o cliente tenta resolver o FQDN localmente e, em seguida, retorna para o Citrix ADC para a resolução de DNS durante a falha.

Com o DNS Dividido definido como Remoto:

  • A resolução de DNS ocorre apenas no Citrix ADC.

Com o DNS Dividido definido como Local:

  • O cliente tenta resolver o FQDN localmente. O Citrix ADC não é usado para resolução de DNS.

Controle de acesso

As empresas podem gerenciar dispositivos móveis dentro e fora das redes. As soluções de Gerenciamento de Mobilidade Empresarial, como o XenMobile, são ótimas para fornecer segurança e controles para dispositivos móveis, independentemente da localização. No entanto, quando as combina com uma solução NAC (Network Access Control), você pode adicionar QoS e um controle mais refinado aos dispositivos internos da sua rede. Essa combinação permite estender a avaliação de segurança do dispositivo XenMobile através da sua solução NAC. Sua solução NAC pode então usar a avaliação de segurança do XenMobile para facilitar e manipular decisões de autenticação.

Você pode usar qualquer uma dessas soluções para impor políticas NAC:

  • Citrix Gateway
  • Cisco Identity Services Engine (ISE)
  • ForeScout

A Citrix não garante integração para outras soluções NAC.

As vantagens de uma integração de solução NAC com o XenMobile incluem o seguinte:

  • Melhor segurança, conformidade e controle para todos os endpoints em uma rede corporativa.
  • Uma solução NAC pode:
    • Detectar dispositivos no instante em que eles tentarem se conectar à sua rede.
    • Consultar o XenMobile para atributos do dispositivo.
    • Usar essas informações do dispositivo para determinar se deve permitir, bloquear, limitar ou redirecionar esses dispositivos. Essas decisões dependem das políticas de segurança que você decide impor.
  • Uma solução NAC fornece aos administradores de TI uma visão de dispositivos não gerenciados e não compatíveis.

Para obter uma descrição dos filtros de conformidade com NAC suportados pelo XenMobile e uma visão geral da configuração, consulte Controle de Acesso da Rede.