Citrix Endpoint Management

与 NetScaler Gateway 和 Citrix ADC 集成

与 Citrix Endpoint Management 集成后,NetScaler Gateway 为 MAM 设备提供一种身份验证机制,用于远程设备访问内部网络。通过该集成,Citrix 移动生产力应用程序可以通过 Micro VPN 连接到 Intranet 中的公司服务器。Citrix Endpoint Management 创建了一个从设备上的应用程序到 NetScaler Gateway 的 Micro VPN。NetScaler Gateway 提供用于访问所有企业资源的 Micro VPN 路径,并提供强大的多因素身份验证支持。

当用户选择退出 MDM 注册时,设备会使用 NetScaler Gateway FQDN 进行注册。

Citrix Cloud 运营团队负责管理 Citrix ADC 负载平衡。

设计决策

以下各节总结了在规划 NetScaler Gateway 与 Citrix Endpoint Management 集成时需要考虑的许多设计决策。

Certificates(证书)

决策详细信息:

  • 注册和访问 Citrix Endpoint Management 环境是否需要更高的安全等级?
  • 是否无法使用 LDAP?

设计指导:

Citrix Endpoint Management 的默认配置是用户名和密码身份验证。要为 Citrix Endpoint Management 环境的注册和访问添加另一层安全性,请考虑使用基于证书的身份验证。您可以组合使用证书与 LDAP 以实现双重身份验证,从而提高安全性,而无需 RSA 服务器。

如果您不允许 LDAP 并使用智能卡或类似方法,则配置证书允许您向 Citrix Endpoint Management 表示智能卡。然后,用户使用 Citrix Endpoint Management 为他们生成的唯一 PIN 进行注册。用户获得访问权限后,Citrix Endpoint Management 会创建并部署稍后用于向 Citrix Endpoint Management 环境进行身份验证的证书。

Citrix Endpoint Management 仅支持第三方证书颁发机构的证书吊销列表 (CRL)。如果您配置了 Microsoft CA,Citrix Endpoint Management 使用 NetScaler Gateway 来管理撤销。配置基于客户机证书的身份验证时,请考虑是否需要配置 NetScaler Gateway 证书吊销列表 (CRL) 设置“启用 CRL 自动刷新”。此步骤可确保仅在 MAM 中注册的设备的用户无法使用该设备上的现有证书进行身份验证。Citrix Endpoint Management 会重新颁发新证书,因为它不会限制用户在吊销用户证书时生成用户证书。此设置提高了 CRL 检查过期的 PKI 实体时 PKI 实体的安全性。

专用或共享的 NetScaler Gateway VIP

决策详细信息:

  • 您目前是否使用适用于 Citrix Virtual Apps and Desktops 的 NetScaler Gateway?
  • Citrix Endpoint Management 会使用与 Citrix Virtual Apps and Desktops 相同的 NetScaler Gateway 吗?
  • 两种通信流的身份验证要求是什么?

设计指导:

当您的 Citrix 环境包括 Citrix Endpoint Management 以及 Virtual Apps and Desktops Virtual Apps 时,您可以将相同的 NetScaler Gateway 虚拟服务器用于两者。由于潜在的版本控制冲突和环境隔离,建议为每个 Citrix Endpoint Management 环境使用专用 NetScaler Gateway。

如果您使用 LDAP 身份验证,Citrix Secure Hub 可以毫无问题地向同一 NetScaler Gateway 进行身份验证。如果您使用基于证书的身份验证,Citrix Endpoint Management 会在 MDX 容器中推送证书,Citrix Secure Hub 使用该证书向 NetScaler Gateway 进行身份验证。

您可以考虑以下解决方法,这样,您可以对两个 NetScaler Gateway VIP 使用同一 FQDN。您可以使用相同的 IP 地址创建两个 NetScaler Gateway VIP。Citrix Secure Hub 的使用标准 443 端口,用于 Citrix Virtual Apps and Desktops(部署 Citrix Workspace 应用程序)的使用端口 444。然后,一个 FQDN 解析为相同的 IP 地址。对于此解决方法,您可能需要将 StoreFront 配置为返回端口 444 而不是默认端口 443 的 ICA 文件。此解决方法不需要用户输入端口号。

NetScaler Gateway 超时

决策详细信息:

  • 您想如何为 Citrix Endpoint Management 流量配置 NetScaler Gateway 超时时间?

设计指导:

NetScaler Gateway 包括“会话超时”和“强制超时”设置。有关详细信息,请参阅建议的配置。请记住,后台服务、NetScaler Gateway 和离线时访问应用程序的超时值不同。

注册 FQDN

重要提示:

要更改注册,FQDN 需要一个新的 SQL Server 数据库并重建 Citrix Endpoint Management 服务器。

Citrix Secure Web 流量

决策详细信息:

  • 您会限制 Citrix Secure Web 仅限内部浏览网页吗?
  • 您会启用 Citrix Secure Web 进行内部和外部网页浏览吗?

设计指导:

如果您计划仅使用 Citrix Secure Web 进行内部网页浏览,那么 NetScaler Gateway 配置非常简单。但是,如果默认情况下 Citrix Secure Web 无法访问所有内部站点,则可能需要配置防火墙和代理服务器。

如果您计划使用 Citrix Secure Web 进行内部和外部浏览,则必须启用 SNIP 才能访问出站互联网。IT 通常将注册的设备(使用 MDX 容器)视为企业网络的扩展。因此,IT 部门通常希望 Citrix Secure Web 连接返回到 NetScaler Gateway,通过代理服务器,然后上网。默认情况下,Citrix Secure Web 通过隧道访问内部网络。Citrix Secure Web 使用每个应用程序的 VPN 隧道返回内部网络进行所有网络访问,而 NetScaler Gateway 使用分割隧道设置。

有关 Citrix Secure Web 连接的讨论, 请参阅配置用户连接。

Citrix Secure Mail 的推送通知

决策详细信息:

  • 是否使用推送通知?

适用于 iOS 的设计指导:

如果您的 NetScaler Gateway 配置包含 Secure Ticket Authority (STA) 且拆分隧道已关闭:NetScaler Gateway 必须允许从 Citrix Secure Mail 到 Citrix 侦听器服务 URL 的流量。这些 URL 是在适用于 iOS 的 Citrix Secure Mail 的推送通知中指定的。

适用于 Android 的设计指导:

使用 Firebase Cloud Messaging (FCM) 来控制 Android 设备需要连接到 Citrix Endpoint Management 的方式和时间。配置 FCM 后,任何安全操作或部署命令都会触发向 Citrix Secure Hub 的推送通知,提示用户重新连接到 Citrix Endpoint Management 服务器。

HDX STA

决策详细信息:

  • 如果您集成 HDX 应用程序访问权限,应使用哪些 STA?

设计指导:

HDX STA 必须匹配 StoreFront 中的 STA,并且必须对 Virtual Apps and Desktops 站点有效。

Citrix Files 和 ShareFile

决策详细信息:

  • 您会在环境中使用存储区域控制器吗?
  • 将使用什么 Citrix Files VIP URL?

设计指导:

如果您的环境中包含存储区域控制器,请确保正确配置以下内容:

  • Citrix Files 内容交换机 VIP(Citrix Files 控制平面用于与存储区域控制器服务器通信)
  • Citrix Files 负载平衡 VIP
  • 所有必需的策略和配置文件

有关信息,请参阅存储区域控制器的文档。

SAML IdP

决策详细信息:

  • 如果 Citrix Files 需要 SAML,您想使用 Citrix Endpoint Management 作为 SAML IdP 吗?

设计指导:

推荐的最佳做法是将 Citrix Files 与 Citrix Endpoint Management 集成,这是配置基于 SAML 的联合的更简单替代方案。Citrix Endpoint Management 为 Citrix Files 提供:

  • Citrix 移动生产力应用程序用户的单点登录 (SSO) 身份验证
  • 基于 Active Directory 的用户帐户预配
  • 全面的访问控制策略。

Citrix Endpoint Management 控制台使您能够进行 Citrix Files 配置并监视服务级别和许可使用情况。

有两种类型的 Citrix Files 客户端:适用于 Citrix Endpoint Management 的 Citrix Files(也称为打包的 Citrix Files)和 Citrix Files 移动客户端(也称为解包的 Citrix Files)。要了解区别,请参阅适用于 Citrix Endpoint Management 客户端的 Citrix Files 与 Citrix Files 移动客户端有何不同

您可以将 Citrix Endpoint Management 和 Citrix Files 配置为使用 SAML 提供对以下内容的 SSO 访问权限:

  • 使用 MDX Toolkit 启用或封装 MAM SDK 的 Citrix Files 应用程序
  • 未封装的 Citrix Files 客户端,例如 Web 站点、Outlook 插件或同步客户端

如果您想使用 Citrix Endpoint Management 作为 Citrix Files 的 SAML IdP,请确保配置正确。有关详细信息,请参阅 SAML SSO 与 Citrix Files

ShareConnect 直接连接

决策详细信息:

  • 用户是否从运行使用直接连接的 ShareConnect 的计算机或移动设备访问主机计算机?

设计指导:

借助 ShareConnect,用户可以通过 iPad、Android 平板电脑和 Android 手机安全地连接到其计算机,以访问文件和应用程序。对于直接连接,Citrix Endpoint Management 使用 NetScaler Gateway 提供对本地网络外部资源的安全访问。有关配置详细信息,请参阅 ShareConnect

每个管理模式的注册 FQDN

管理模式 注册 FQDN
采用强制 MDM 注册的 MDM+MAM Citrix Endpoint Management 服务器 FQDN
采用可选 MDM 注册的 MDM+MAM Citrix Endpoint Management 服务器 FQDN 或 NetScaler Gateway FQDN
仅 MAM Citrix Endpoint Management 服务器 FQDN
仅 MAM(旧版) NetScaler Gateway FQDN

部署摘要

如果您有许多 Citrix Endpoint Management 实例,例如用于测试、开发和生产环境的实例,则必须手动为其他环境配置 NetScaler Gateway。当您有工作环境时,在尝试为 Citrix Endpoint Management 手动配置 NetScaler Gateway 之前,请记下这些设置。

关键决定是使用 HTTPS 还是 HTTP 与 Citrix Endpoint Management 服务器进行通信。HTTPS 提供安全的后端通信,因为 NetScaler Gateway 和 Citrix Endpoint Management 之间的流量是加密的。重新加密会影响 Citrix Endpoint Management 服务器性能。HTTP 提供了更好的 Citrix Endpoint Management 服务器性能。NetScaler Gateway 和 Citrix Endpoint Management 之间的流量未加密。下表显示了 NetScaler Gateway 和 Citrix Endpoint Management 的 HTTP 和 HTTPS 端口要求。

HTTPS

Citrix 通常建议将 SSL Bridge 用于 NetScaler Gateway MDM 虚拟服务器配置。对于在 MDM 虚拟服务器上使用 NetScaler Gateway SSL 卸载,Citrix Endpoint Management 仅支持端口 80 作为后端服务。

管理模式 NetScaler Gateway 负载平衡方法 SSL 重新加密 Citrix Endpoint Management 服务器端口
MAM SSL 卸载 已启用 8443
MDM+MAM MDM:SSL 桥接 不适用 443, 8443
MDM+MAM MAM:SSL 卸载 已启用 8443

HTTP

管理模式 NetScaler Gateway 负载平衡方法 SSL 重新加密 Citrix Endpoint Management 服务器端口
MAM SSL 卸载 已启用 8443
MDM+MAM MDM:SSL 卸载 不支持 80
MDM+MAM MAM:SSL 卸载 已启用 8443

有关 Citrix Endpoint Management 部署中的 NetScaler Gateway 示意图,请参阅架构。

与 NetScaler Gateway 和 Citrix ADC 集成