与 Citrix Gateway 和 Citrix ADC 集成
与 Endpoint Management 集成后,Citrix Gateway 为 MAM 设备提供了远程设备访问内部网络时使用的身份验证机制。通过该集成,Citrix 移动生产力应用程序可以通过 Micro VPN 连接到 Intranet 中的公司服务器。Endpoint Management 在设备上的应用程序与 Citrix Gateway 之间创建一个 Micro VPN。Citrix Gateway 提供用于访问所有公司资源的 Micro VPN 路径,并提供加强的多重身份验证支持。
当用户选择退出 MDM 注册时,设备将使用 Citrix Gateway FQDN 进行注册。
Citrix Cloud 运营团队负责管理 Citrix ADC 负载平衡。
设计决策
以下各节概述了规划 Citrix Gateway 与 Endpoint Management 的集成时要考虑的多个设计决策。
证书
决策详细信息:
- Endpoint Management 环境中的注册和访问是否需要更高的安全性?
- 是否无法使用 LDAP?
设计指导:
Endpoint Management 的默认配置是用户名和密码身份验证。要为 Endpoint Management 环境中的注册和访问再增加一个安全层,请考虑使用基于证书的身份验证。您可以组合使用证书与 LDAP 以实现双重身份验证,从而提高安全性,而无需 RSA 服务器。
如果禁用了 LDAP 并且不希望使用智能卡或类似方法,配置证书可代替智能卡来访问 Endpoint Management。用户随后使用 Endpoint Management 生成的唯一 PIN 进行注册。用户获取访问权限后,Endpoint Management 将创建和部署以后用来在 Endpoint Management 环境中执行身份验证的证书。
Endpoint Management 支持对第三方证书颁发机构使用证书吊销列表 (CRL)。如果您配置了 Microsoft CA,Endpoint Management 将使用 Citrix Gateway 管理吊销。配置基于客户端证书的身份验证时,请考虑是否需要配置 Citrix Gateway 证书吊销列表 (CRL) 设置 Enable CRL Auto Refresh(启用 CRL 自动刷新)。此步骤可确保使用在仅 MAM 模式下注册的设备的用户无法使用设备上的现有证书进行身份验证。Endpoint Management 将重新颁发新证书,因为吊销用户证书后,Endpoint Management 不会限制用户生成用户证书。此设置提高了 CRL 检查过期的 PKI 实体时 PKI 实体的安全性。
专用或共享的 Citrix Gateway VIP
决策详细信息:
- 您目前是否为 Citrix Virtual Apps and Desktops 使用 Citrix Gateway?
- Endpoint Management 是否使用与 Citrix Virtual Apps and Desktops 相同的 Citrix Gateway?
- 两种通信流的身份验证要求是什么?
设计指导:
如果您的 Citrix 环境包含Endpoint Management 以及 Virtual Apps and Desktops,两者可以使用相同的 Citrix Gateway 虚拟服务器。由于可能存在版本控制冲突和环境隔离,建议每个 Endpoint Management 环境使用专用 Citrix Gateway。
如果您使用 LDAP 身份验证,Citrix Workspace 和 Secure Hub 可以向同一 Citrix Gateway 进行身份验证,不会有任何问题。如果您使用基于证书的身份验证,Endpoint Management 将推送 MDX 容器中的证书,Secure Hub 将使用该证书向 Citrix Gateway 进行身份验证。Workspace 应用程序与 Secure Hub 是分开的,无法与 Secure Hub 使用同一证书向同一 Citrix Gateway 进行身份验证。
您可以考虑以下解决方法,这样,您可以对两个 Citrix Gateway VIP 使用同一 FQDN。您可以创建两个具有相同 IP 地址的 Citrix Gateway VIP。用于 Secure Hub 的 VIP 使用标准 443 端口,用于 Citrix Virtual Apps and Desktops(部署 Citrix Workspace 应用程序)的 VIP 使用端口 444。然后,一个 FQDN 解析为相同的 IP 地址。对于此解决方法,您可能需要将 StoreFront 配置为返回端口 444 而不是默认端口 443 的 ICA 文件。此解决方法不需要用户输入端口号。
Citrix Gateway 超时
决策详细信息:
- 您要如何配置 Endpoint Management 流量的 Citrix Gateway 超时?
设计指南:
Citrix Gateway 包括“会话超时”和“强制超时”设置。有关详细信息,请参阅建议的配置。请谨记,后台服务、Citrix Gateway 以及脱机时访问应用程序的超时值不同。
注册 FQDN
重要:
要更改注册,FQDN 需要一个新的 SQL Server 数据库和 Endpoint Management 服务器重新构建。
Secure Web 流量
决策详细信息:
- Secure Web 是否仅限制于内部 Web 浏览?
- 是否启用 Secure Web 进行内部 Web 浏览和外部 Web 浏览?
设计指导:
如果您计划仅使用 Secure Web 进行内部 Web 浏览,Citrix Gateway 配置将非常简单。但是,如果默认情况下 Secure Web 无法访问所有内部站点,您可能需要配置防火墙和代理服务器。
如果您计划将 Secure Web 用于外部浏览和内部浏览,则必须启用 SNIP 以便具有出站 Internet 访问权限。IT 通常将注册的设备(使用 MDX 容器)视为企业网络的扩展。因此,IT 通常希望 Secure Web 连接恢复到 Citrix Gateway,通过代理服务器,然后转到 Internet。默认情况下,Secure Web 访问通过通道连接到内部网络。Secure Web 对所有网络访问使用返回到内部网络的 PerApp VPN 通道,并且 Citrix Gateway 使用拆分通道设置。
有关 Secure Web 连接的讨论,请参阅配置用户连接。
Secure Mail 的推送通知
决策详细信息:
- 是否使用推送通知?
适用于 iOS 的设计指导:
如果 Citrix Gateway 配置包括 Secure Ticket Authority (STA),并且拆分通道已关闭,Citrix Gateway 必须允许从 Secure Mail 到 Citrix 侦听器服务 URL 的流量。这些 URL 在 Secure Mail for iOS 的推送通知中指定。
适用于 Android 的设计指导:
请使用 Firebase Cloud Messaging (FCM) 控制 Android 设备需要连接到 Endpoint Management 的方式和时间。配置了 FCM 后,任何安全操作或部署命令都将触发向 Secure Hub 推送通知,以提示用户重新连接到 Endpoint Management 服务器。
HDX STA
决策详细信息:
- 如果集成 HDX 应用程序访问,要使用什么 STA?
设计指导:
HDX STA 必须匹配 StoreFront 中的 STA,并且必须对 Virtual Apps and Desktops 站点有效。
Citrix Files 和 Citrix Content Collaboration
决策详细信息:
- 您是否会在环境中使用存储区域控制器?
- 将使用什么 Citrix Files VIP URL?
设计指导:
如果您将在环境中包含存储区域控制器,请确保正确配置以下对象:
- Citrix Files 内容交换机 VIP(Citrix Files 控制平面用于与存储区域控制器服务器通信)
- Citrix Files 负载平衡 VIP
- 所有必需的策略和配置文件
有关信息,请参阅存储区域控制器的文档。
SAML IdP
决策详细信息:
- 如果 Citrix Files 需要 SAML,您是否要将 Endpoint Management 用作 SAML IdP?
设计指导:
推荐的最佳做法是,将 Citrix Files 与 Endpoint Management 集成,这样做比配置基于 SAML 的联合身份验证更简单。Endpoint Management 为 Citrix Files 提供:
- Citrix 移动生产力应用程序用户的单点登录 (SSO) 身份验证
- 基于 Active Directory 的用户帐户预配
- 全面的访问控制策略。
通过 Endpoint Management 控制台,可以执行 Citrix Files 配置以及监视服务级别和许可证使用情况。
有两种类型的 Citrix Files 客户端:适用于 Endpoint Management 的 Citrix Files(又称为打包的 Citrix Files)和 Citrix Files 移动客户端(又称为未打包的 Citrix Files)。要了解差别,请参阅 Citrix Files for Endpoint Management 客户端与 Citrix Files 移动客户端之间的差别。
可以将 Endpoint Management 和 Citrix Files 配置为使用 SAML 提供对以下内容的 SSO 访问:
- 使用 MDX Toolkit 启用或封装 MAM SDK 的 Citrix Files 应用程序
- 未封装的 Citrix Files 客户端,例如 Web 站点、Outlook 插件或同步客户端
如果要将 Endpoint Management 用作 Citrix Files 的 SAML IdP,请确保已实施合适的配置。有关详细信息,请参阅 SAML SSO 与 Citrix Files。
ShareConnect 直接连接
决策详细信息:
- 用户是否从运行使用直接连接的 ShareConnect 的计算机或移动设备访问主机计算机?
设计指导:
借助 ShareConnect,用户可以通过 iPad、Android 平板电脑和 Android 手机安全地连接到其计算机,以访问文件和应用程序。对于直接连接,Endpoint Management 使用 Citrix Gateway 提供对本地网络外部的资源的安全访问。有关配置详细信息,请参阅 ShareConnect。
每个管理模式的注册 FQDN
| 管理模式 | 注册 FQDN |
|---|---|
| 采用强制 MDM 注册的 MDM+MAM | Endpoint Management 服务器 FQDN |
| 采用可选 MDM 注册的 MDM+MAM | Endpoint Management 服务器 FQDN 或 Citrix Gateway FQDN |
| 仅 MAM | Endpoint Management 服务器 FQDN |
| 仅 MAM(旧版) | Citrix Gateway FQDN |
部署摘要
如果您有多个 Endpoint Management 实例(例如,用于测试、开发和生产环境),则必须手动为其他环境配置 Citrix Gateway。您有工作环境时,请先记下设置,然后再尝试手动为 Endpoint Management 配置 Citrix Gateway。
一个主要决定是对与 Endpoint Management 服务器的通信使用 HTTPS 还是 HTTP。HTTPS 提供安全的后端通信,因为 Citrix Gateway 与 Endpoint Management 之间的流量已加密。重新加密会影响 Endpoint Management 服务器性能。HTTP 提供了更好的 Endpoint Management 服务器性能。Citrix Gateway 与 Endpoint Management 之间的流量未加密。以下各表显示了 Citrix Gateway 和 Endpoint Management 的 HTTP 和 HTTPS 端口要求。
HTTPS
Citrix 通常建议对 Citrix Gateway MDM 虚拟服务器配置使用 SSL 桥接。如果对 MDM 虚拟服务器使用 Citrix Gateway SSL 卸载,Endpoint Management 仅支持后端服务使用端口 80。
| 管理模式 | Citrix Gateway 负载平衡方法 | SSL 重新加密 | Endpoint Management 服务器端口 |
|---|---|---|---|
| MAM | SSL 卸载 | 已启用 | 8443 |
| MDM+MAM | MDM:SSL 桥接 | 不适用 | 443、8443 |
| MDM+MAM | MAM:SSL 卸载 | 已启用 | 8443 |
HTTP
| 管理模式 | Citrix Gateway 负载平衡方法 | SSL 重新加密 | Endpoint Management 服务器端口 |
|---|---|---|---|
| MAM | SSL 卸载 | 已启用 | 8443 |
| MDM+MAM | MDM:SSL 卸载 | 不支持 | 80 |
| MDM+MAM | MAM:SSL 卸载 | 已启用 | 8443 |
有关 Endpoint Management 部署中的 Citrix Gateway 图表,请参阅体系结构。