与 Citrix Gateway 和 Citrix ADC 相集成

与 Endpoint Management 集成后,Citrix Gateway 为 MAM 设备提供了远程设备访问内部网络时使用的身份验证机制。通过该集成,Citrix 移动生产力应用程序可以通过 Micro VPN 连接到 Intranet 中的公司服务器。Endpoint Management 将从设备上的应用程序创建一个微 VPN 以 Citrix Gateway。

Citrix Cloud 操作负责管理 Citrix ADC 的负载平衡。

Endpoint Management 模式的集成要求

根据 Endpoint Management 服务器模式, Citrix Gateway 和 Citrix ADC 的集成要求有所不同: MAM 和 MDM + MAM, 也称为 ENT (enterprise)。

MAM

在 Endpoint Management 服务器处于 MAM 模式的情况下:

  • Citrix Gateway 是必需的。Citrix Gateway 提供用于访问所有公司资源的 Micro VPN 路径,并提供加强的多重身份验证支持。

MDM + MAM (ENT)

在 MDM + MAM 模式下通过 Endpoint Management 服务器执行以下操作:

  • Citrix Gateway 是必需的。Citrix Gateway 提供用于访问所有公司资源的 Micro VPN 路径,并提供加强的多重身份验证支持。

  • 如果 Endpoint Management 服务器模式为 MDM + MAM, 并且用户从 MDM 注册中退出, 则设备将使用 Citrix Gateway FQDN 进行注册。

设计决策

以下各节概述了规划 Citrix Gateway 与 Endpoint Management 的集成时要考虑的多个设计决策。

证书

决策详细信息:

  • Endpoint Management 环境中的注册和访问是否需要更高的安全性?
  • 是否无法使用 LDAP?

设计指南:

Endpoint Management 的默认配置是用户名和密码身份验证。要为 Endpoint Management 环境中的注册和访问再增加一个安全层,请考虑使用基于证书的身份验证。您可以组合使用证书与 LDAP 以实现双重身份验证,从而提高安全性,而无需 RSA 服务器。

如果禁用了 LDAP 并且不希望使用智能卡或类似方法,配置证书可代替智能卡来访问 Endpoint Management。用户随后使用 Endpoint Management 生成的唯一 PIN 进行注册。用户获取访问权限后,Endpoint Management 随后创建和部署后续用来在 Endpoint Management 环境中执行身份验证的证书。

Endpoint Management 支持对第三方证书颁发机构使用证书吊销列表 (CRL)。如果您配置了 Microsoft CA, Endpoint Management 将使用 Citrix Gateway 来管理吊销。配置基于客户端证书的身份验证时,请考虑是否需要配置 Citrix Gateway 证书吊销列表 (CRL) 设置 Enable CRL Auto Refresh(启用 CRL 自动刷新)。此步骤可确保处于仅 MAM 模式的设备的用户无法使用设备上的现有证书进行身份验证。Endpoint Management 将重新颁发新证书,因为吊销一个用户证书后,Endpoint Management 不限制用户再生成用户证书。此设置提高了 CRL 检查过期的 PKI 实体时 PKI 实体的安全性。

专用或共享的 Citrix Gateway VIP

决策详细信息:

  • 当前是否使用 Citrix Gateway 进行 Citrix Virtual Apps and Desktops?
  • Endpoint Management 与 Citrix Virtual Apps and Desktops 是否使用相同的 Citrix Gateway?
  • 两种通信流的身份验证要求是什么?

设计指导:

如果您的 Citrix 环境中包括 Endpoint Management 以及 Virtual Apps and Desktops,则可以对两者使用同一个 Citrix Gateway 虚拟服务器。由于可能存在版本控制冲突和环境隔离,建议每个 Endpoint Management 环境使用专用的 Citrix Gateway。

如果您使用 LDAP 身份验证,Citrix Workspace 和 Secure Hub 可以向同一 Citrix Gateway 进行身份验证,不会有任何问题。如果您使用基于证书的身份验证,Endpoint Management 将推送 MDX 容器中的证书,Secure Hub 将使用该证书向 Citrix Gateway 进行身份验证。Workspace 应用程序与 Secure Hub 是分开的,无法与 Secure Hub 使用同一证书向同一 Citrix Gateway 进行身份验证。

您可以考虑以下解决方法,这样,您可以对两个 Citrix Gateway VIP 使用同一 FQDN。可以创建两个具有相同 IP 地址的 Citrix Gateway Vip。对于 Secure Hub, 其使用的是标准443端口, 而 Citrix Virtual Apps and Desktops (用于部署 Citrix Workspace 应用程序) 使用端口444。然后,一个 FQDN 解析为相同的 IP 地址。对于此解决方法,您可能需要将 StoreFront 配置为返回端口 444 而不是默认端口 443 的 ICA 文件。此解决方法不需要用户输入端口号。

Citrix Gateway 超时

决策详细信息:

  • 您要如何配置 Endpoint Management 流量的 Citrix Gateway 超时?

设计指导:

Citrix Gateway 包括“会话超时”和“强制超时”设置。有关详细信息,请参阅 建议的配置。请谨记,后台服务、Citrix Gateway 以及脱机时访问应用程序的超时值不同。

注册 FQDN

重要:

要更改注册 FQDN, 需要新的 SQL Server 数据库和 Endpoint Management 服务器重建。

Secure Web 流量

决策详细信息:

  • Secure Web 是否仅限制于内部 Web 浏览?
  • 是否启用 Secure Web 进行内部 Web 浏览和外部 Web 浏览?

设计指导:

如果您仅使用 Secure Web 进行内部 Web 浏览, 则 Citrix Gateway 配置非常简单。但是, 如果默认情况下 Secure Web 无法访问所有内部站点, 则可能需要配置防火墙和代理服务器。

如果将 Secure Web 用于外部浏览和内部浏览,则必须启用 SNIP 以便具有出站 Internet 访问权限。它通常查看已注册的设备 (使用 MDX 容器) 作为企业网络的扩展。因此, 它通常希望 Secure Web 连接返回 Citrix Gateway, 请通过代理服务器进行访问, 然后再转至 Internet。默认情况下,Secure Web 访问为通过通道连接到内部网络。Secure Web 为所有网络访问使用返回到内部网络的每应用程序 VPN 通道,Citrix Gateway 使用拆分通道设置。

有关 Secure Web 连接的讨论,请参阅配置用户连接

Secure Mail 的推送通知

决策详细信息:

  • 是否使用推送通知?

适用于 iOS 的设计指导:

如果 Citrix Gateway 配置包括 Secure Ticket Authority (STA),并且拆分通道已关闭,Citrix Gateway 必须允许来自 Secure Mail 的流量传输到 Citrix 侦听器服务 URL。这些 URL 在 Secure Mail for iOS 的推送通知中指定。

适用于 Android 的设计指导:

使用 Firebase Cloud Messaging (FCM) 可以控制何时以及何时 Android 设备需要连接到 Endpoint Management。配置了 FCM 后,任何安全操作或部署命令都将触发向 Secure Hub 推送通知,以提示用户重新连接到 Endpoint Management 服务器。

HDX STA

决策详细信息:

  • 如果集成 HDX 应用程序访问,要使用什么 STA?

设计指导:

HDX STA 必须匹配 StoreFront 中的 STA,并且必须对 Virtual Apps and Desktops 站点有效。

Citrix Files 和 Citrix Content Collaboration

决策详细信息:

  • 是否在环境中使用 StorageZone Controller?
  • 您将使用哪个 Citrix Files VIP URL?

设计指导:

如果您的环境中将包含 StorageZone controller, 请务必正确配置以下各项:

  • Citrix Files 内容交换 VIP (由 Citrix Files 控制平面用来与 StorageZone Controller 服务器通信)
  • Citrix Files 负载平衡 Vip
  • 所有必需的策略和配置文件

有关详细信息,请参阅 StorageZones Controller 的文档。

SAML IdP

决策详细信息:

  • 如果 Citrix Files 需要 SAML, 是否要将 Endpoint Management 用作 SAML IdP?

设计指南:

建议的最佳做法是将 Citrix Files 与 Endpoint Management 相集成, 这是一种更简单的方法, 即配置基于 SAML 的联合身份验证。Endpoint Management 随以下各项提供 Citrix Files:

  • Citrix 移动生产力应用程序用户的单点登录 (SSO) 身份验证
  • 基于 Active Directory 的用户帐户预配
  • 全面的访问控制策略。

通过 Endpoint Management 控制台,可以执行 Citrix Files 配置以及监视服务级别和许可证使用情况。

有两种类型的 Citrix Files 客户端: 用于 Endpoint Management 的 Citrix Files (也称为打包 Citrix Files) 和 Citrix Files 移动客户端 (又称为未打包的 Citrix Files)。要了解区别, 请参阅Citrix Files for Endpoint Management 客户端与 Citrix Files 移动客户端之间的差别

可以将 Endpoint Management 和 Citrix Files 配置为使用 SAML 提供对以下各项的 SSO 访问:

  • Citrix Files 随 MDX Service 打包的移动应用程序
  • 未打包的 Citrix Files 客户端 (例如 web 站点、Outlook 插件或同步客户端)

如果要将 Endpoint Management 用作 Citrix Files 的 SAML IdP,请确保已实施合适的配置。有关详细信息,请参阅 SAML SSO 与 Citrix Files

ShareConnect 直接连接

决策详细信息:

  • 用户是否从运行使用直接连接的 ShareConnect 的计算机或移动设备访问主机计算机?

设计指导:

借助 ShareConnect,用户可以通过 iPad、Android 平板电脑和 Android 手机安全地连接到其计算机,以访问文件和应用程序。对于直接连接,Endpoint Management 使用 Citrix Gateway 提供对本地网络外部的资源的安全访问。有关配置详细信息,请参阅ShareConnect

每种部署类型的注册 FQDN

部署类型 注册 FQDN
采用强制 MDM 注册的 MDM+MAM Endpoint Management 服务器 FQDN
采用可选 MDM 注册的 MDM+MAM Endpoint Management 服务器 FQDN 或 Citrix Gateway FQDN
仅 MAM Endpoint Management 服务器 FQDN
仅 MAM(旧版) Citrix Gateway FQDN

部署摘要

Citrix 建议使用 NetScaler for XenMobile 向导以确保完成正确配置。请注意,该向导只能使用一次。如果您有多个 Endpoint Management 实例(例如,用于测试、开发和生产环境),必须手动为其他环境配置 Citrix Gateway。您有工作环境时,请先记下设置,然后再尝试手动为 Endpoint Management 配置 Citrix Gateway。

使用该向导时要做出的主要决定是对与 Endpoint Management 服务器的通信使用 HTTPS 还是 HTTP。HTTPS 可以提供安全的后端通信, 因为加密 Citrix Gateway 和 Endpoint Management 之间的通信。重加密会影响 Endpoint Management 服务器的性能。HTTP 提供了更好的 Endpoint Management 服务器性能。Citrix Gateway 和 Endpoint Management 之间的通信未加密。以下各表显示了 Citrix Gateway 和 Endpoint Management 服务器的 HTTP 和 HTTPS 端口要求。

HTTPS

Citrix 通常建议对 Citrix Gateway MDM 虚拟服务器配置使用 SSL 桥接。如果对 MDM 虚拟服务器使用 Citrix Gateway SSL 卸载,Endpoint Management 仅支持后端服务使用端口 80。

部署类型 Citrix Gateway 负载平衡方法 SSL 重加密 Endpoint Management 服务器端口
MAM SSL 卸载 已启用 8443
MDM+MAM MDM:SSL 桥接 不适用 443、8443
MDM+MAM MAM:SSL 卸载 已启用 8443

HTTP

部署类型 Citrix Gateway 负载平衡方法 SSL 重加密 Endpoint Management 服务器端口
MAM SSL 卸载 已启用 8443
MDM+MAM MDM:SSL 卸载 不支持 80
MDM+MAM MAM:SSL 卸载 已启用 8443

有关 Endpoint Management 部署中的 Citrix Gateway 示意图,请参阅体系结构

与 Citrix Gateway 和 Citrix ADC 相集成