与 Citrix Gateway 和 Citrix ADC 集成
与 XenMobile 集成后,Citrix Gateway 为 MAM 设备提供了远程设备访问内部网络时使用的身份验证机制。通过该集成,移动生产力应用程序可以通过 Micro VPN 连接到 Intranet 中的公司服务器。Micro VPN 是在移动设备上的应用程序与 Citrix Gateway 之间创建的。Citrix Gateway 提供用于访问所有公司资源的 Micro VPN 路径,并提供加强的多重身份验证支持。
在以下情况下,所有 XenMobile Server 设备模式都需要 Citrix ADC 负载平衡:
- 如果您有多个 XenMobile Server
- 或者,如果 XenMobile Server 在您的 DMZ 中或内部网络中(因此,流量从设备依次传输到 Citrix ADC 和 XenMobile)
XenMobile Server 模式的集成要求
根据 XenMobile Server 模式(MAM、MDM 和 ENT),Citrix Gateway 和 Citrix ADC 的集成要求有所不同。
MAM
XenMobile Server 处于 MAM 模式时:
- Citrix Gateway 是必需的。Citrix Gateway 提供用于访问所有公司资源的 Micro VPN 路径,并提供加强的多重身份验证支持。
-
建议使用 Citrix ADC 进行负载平衡。
Citrix 建议采用高可用性配置部署 XenMobile,这需要 XenMobile 前端有负载平衡器。有关详细信息,请参阅关于 MAM 和旧版 MAM 模式。
MDM
XenMobile Server 处于 MDM 模式时:
- Citrix Gateway 不是必需的。对于 MDM 部署,Citrix 建议对移动设备 VPN 使用 Citrix Gateway。
-
建议使用 Citrix ADC 以提高安全性并进行负载平衡。
Citrix 建议在 XenMobile Server 前端部署 Citrix ADC 设备,以提高安全性并进行负载平衡。对于 XenMobile 在 DMZ 中的标准部署,Citrix 建议使用适用于 XenMobile 的 Citrix ADC 向导,并采用处于 SSL 桥接模式的 XenMobile Server 负载平衡。还可以考虑对具有以下特点的部署使用 SSL 卸载:
- XenMobile Server 驻留在内部网络中,而非 DMZ 中。
- 或者您的安全团队要求 SSL 桥配置。
Citrix 建议不要通过 NAT 或面向 MDM 的现有第三方代理或负载平衡器将 XenMobile Server 公开到 Internet。即使 SSL 流量在 XenMobile Server(SSL 桥)上终止,这些配置也会造成潜在的安全风险。
对于高安全性环境,采用默认 XenMobile 配置的 Citrix ADC 满足或超过安全要求。
对于具有最高安全性需求的 MDM 环境,终止于 Citrix ADC 的 SSL 允许您检查外围流量的功能,同时维持端到端 SSL 加密。有关详细信息,请参阅安全要求。Citrix ADC 提供用于定义 SSL/TLS 密码的选项和 SSL FIPS Citrix ADC 硬件。
ENT (MAM+MDM)
XenMobile Server 处于 ENT 模式时:
-
Citrix Gateway 是必需的。Citrix Gateway 提供用于访问所有公司资源的 Micro VPN 路径,并提供加强的多重身份验证支持。
当 XenMobile Server 模式为 ENT 且用户选择退出 MDM 注册时,设备将以旧版 MAM 模式运行。在旧版 MAM 模式下,设备使用 Citrix Gateway FQDN 进行注册。有关详细信息,请参阅关于 MAM 和旧版 MAM 模式。
-
建议使用 Citrix ADC 进行负载平衡。有关详细信息,请参阅本文前面的“MDM”下的 Citrix ADC 点。
重要提示:
首次注册时,来自用户设备的流量将在 XenMobile Server 上进行身份验证,无论您将负载平衡虚拟服务器配置为 SSL 卸载还是 SSL 桥接。
设计决策
以下各节概述了规划 Citrix Gateway 与 XenMobile 的集成时要考虑的多个设计决策。
许可和版本
决策详细信息:
- 您打算使用什么版本的 Citrix ADC?
- 您是否已将平台许可证应用于 Citrix ADC?
- 如果您需要使用 MAM 功能,您是否已应用 Citrix ADC 通用访问许可证?
设计指导:
请务必将正确的许可证应用于 Citrix Gateway。如果您使用适用于 Exchange ActiveSync 的 Citrix Gateway 连接器,则可能需要集成缓存。因此,您必须确保已安装相应的 Citrix ADC 版。
启用 Citrix ADC 功能的许可证要求如下所示。
- XenMobile MDM 负载平衡至少需要一个 Citrix ADC 标准平台许可证。
- 使用存储区域控制器的 ShareFile 负载平衡至少需要一个 Citrix ADC 标准平台许可证。
- XenMobile Advanced Edition(本地)或 Citrix Endpoint Management(云端)包括 MAM 所需的 Citrix Gateway 通用许可证。
- Exchange 负载平衡需要一个 Citrix ADC Platinum 平台许可证或 Citrix ADC Enterprise 平台许可证以及集成缓存许可证。
适用于 XenMobile 的 Citrix ADC 版本
决策详细信息:
- XenMobile 环境中运行的 Citrix ADC 是哪个版本?
- 您是否需要单独的实例?
设计指导:
Citrix 建议 Citrix Gateway 虚拟服务器使用专用的 Citrix ADC 实例。请确保在 XenMobile 环境中使用满足最低要求的 Citrix ADC 版本和内部版本。通常情况下,最好在 XenMobile 中使用最新的兼容 Citrix ADC 版本和内部版本。如果升级 Citrix Gateway 会影响现有环境,可能适合采用第二个专用的 XenMobile 实例。
如果您计划让 XenMobile 和使用 VPN 连接的其他应用程序共用一个 Citrix ADC 实例,请确保您有足够的 VPN 许可证用于两者。请谨记,XenMobile 测试和生产环境不能共用一个 Citrix ADC 实例。
Certificates(证书)
决策详细信息:
- XenMobile 环境中的注册和访问是否需要更高的安全性?
- 是否无法使用 LDAP?
设计指导:
XenMobile 的默认配置是用户名和密码身份验证。要为 XenMobile 环境中的注册和访问再增加一个安全层,请考虑使用基于证书的身份验证。您可以组合使用证书与 LDAP 以实现双重身份验证,从而提高安全性,而无需 RSA 服务器。
如果禁用了 LDAP 并且不希望使用智能卡或类似方法,配置证书可代替智能卡来访问 XenMobile。用户随后使用 XenMobile 生成的唯一 PIN 进行注册。用户获取访问权限后,XenMobile 将创建和部署后续用来在 XenMobile 环境中执行身份验证的证书。
XenMobile 支持对第三方证书颁发机构使用证书吊销列表 (CRL)。如果您配置了 Microsoft CA,XenMobile 将使用 Citrix ADC 管理吊销。配置基于客户端证书的身份验证时,请考虑是否配置 Citrix ADC 证书吊销列表 (CRL) 设置 Enable CRL Auto Refresh(启用 CRL自动刷新)。此步骤可确保使用在仅 MAM 模式下注册的设备的用户无法使用设备上的现有证书进行身份验证。XenMobile 将重新颁发新证书,因为吊销一个用户证书后,XenMobile 不限制用户再生成用户证书。此设置提高了 CRL 检查过期的 PKI 实体时 PKI 实体的安全性。
网络拓扑
决策详细信息:
- 需要什么 Citrix ADC 拓扑?
设计指导:
Citrix 建议 XenMobile 使用一个 Citrix ADC 实例。但是,您可能不希望流量从内部网络传出到 DMZ。在这种情况下,请考虑设置 Citrix ADC 的额外实例。为内部用户使用一个 Citrix ADC 实例,外外部用户使用另一个实例。当用户在内部网络与外部网络之间切换时,DNS 记录缓存可能会导致 Secure Hub 登录提示次数增加。
XenMobile 不支持 Citrix Gateway 双跃点。
专用或共享的 Citrix Gateway VIP
决策详细信息:
- 您目前是否为 Virtual Apps and Desktops 使用 Citrix Gateway?
- 您是否计划让 XenMobile 使用与 Virtual Apps and Desktops 相同的 Citrix Gateway?
- 两种通信流的身份验证要求是什么?
设计指导:
如果您的 Citrix 环境包含 XenMobile 以及 Virtual Apps and Desktops,两者可以使用同一 Citrix ADC 实例和 Citrix Gateway 虚拟服务器。由于可能存在版本控制冲突和环境隔离,建议每个 XenMobile 环境使用专用的 Citrix ADC 实例和 Citrix Gateway。但是,如果无法使用专用的 Citrix ADC 实例,Citrix 建议使用专用的 Citrix Gateway 虚拟服务器,以便为 Secure Hub 分离通信流。该配置替代在 XenMobile 与 Virtual Apps and Desktops 之间共享的虚拟服务器。
如果您使用 LDAP 身份验证,Receiver 和 Secure Hub 可以向同一 Citrix Gateway 进行身份验证,不会有任何问题。如果您使用基于证书的身份验证,XenMobile 将推送 MDX 容器中的证书,Secure Hub 将使用该证书向 Citrix Gateway 进行身份验证。Receiver 与 Secure Hub 是分开的,无法与 Secure Hub 使用同一证书向同一 Citrix Gateway 进行身份验证。
您可以考虑以下解决方法,这样,您可以对两个 Citrix Gateway VIP 使用同一 FQDN。
- 创建两个具有相同 IP 地址的 Citrix Gateway VIP。用于 Secure Hub 的 VIP 使用标准 443 端口,用于 Virtual Apps and Desktops(部署 Receiver)的 VIP 使用端口 444。
- 因此,一个 FQDN 解析为相同的 IP 地址。
- 对于此解决方法,您可能会将 StoreFront 配置为返回端口 444 而不是默认端口 443 的 ICA 文件。此解决方法不需要用户输入端口号。
Citrix Gateway 超时
决策详细信息:
- 您要如何配置 XenMobile 流量的 Citrix Gateway 超时?
设计指导:
Citrix Gateway 包括“会话超时”和“强制超时”设置。有关详细信息,请参阅建议的配置。请谨记,后台服务、Citrix ADC 以及脱机时访问应用程序的超时值不同。
用于 MAM 的 XenMobile 负载平衡器 IP 地址
决策详细信息:
- VIP 使用内部 IP 地址还是外部 IP 地址?
设计指导:
在 Citrix Gateway VIP 可以使用公用 IP 地址的环境中,以此方式分配 XenMobile 负载平衡 VIP 和地址会导致注册失败。
在此情况下,请确保负载平衡 VIP 使用内部 IP 以避免注册失败。此虚拟 IP 地址必须遵循有关专用 IP 地址的 RFC 1918 标准。如果您对此虚拟服务器使用非专用 IP 地址,则在身份验证过程中,Citrix ADC 将无法成功联系 XenMobile Server。有关详细信息,请参阅 https://support.citrix.com/article/CTX200430。
MDM 负载平衡机制
决策详细信息:
- Citrix Gateway 如何对 XenMobile Server 进行负载平衡?
设计指导:
如果 XenMobile 在 DMZ 中,请使用 SSL 桥接。当 XenMobile 在内部网络中时,如果为了满足安全标准而需要 SSL 卸载,请使用 SSL 卸载。
- 在 SSL 桥接模式下通过 Citrix ADC VIP 对 XenMobile Server 进行负载平衡时,Internet 流量直接传输到连接终止处的 XenMobile Server。SSL 桥接模式是易于设置和故障排除的最简单模式。
- 在 SSL 卸载模式下通过 Citrix ADC VIP 对 XenMobile Server 进行负载平衡时,Internet 流量直接传输到连接终止处的 Citrix ADC。然后,Citrix ADC 建立从 Citrix ADC 到 XenMobile Server 的新会话。在设置和故障排除过程中,SSL 卸载模式的复杂性将增加。
用于通过 SSL 卸载进行 MDM 负载平衡的服务端口
决策详细信息:
- 如果您计划使用 SSL 卸载模式进行负载平衡,后端服务将使用哪个端口?
设计指导:
对于 SSL 卸载,按如下所示选择端口 80 或 8443:
- 使用端口 80 返回到 XenMobile Server,以进行实际卸载。
- 不支持端到端加密(即对流量重新加密)。有关详细信息,请参阅 Citrix 支持文章 Supported Architectures Between NetScaler and XenMobile Server(NetScaler 和 XenMobile Server 之间支持的体系结构)。
注册 FQDN
决策详细信息:
- 您打算使用什么作为注册和 XenMobile 实例/负载平衡 VIP 的 FQDN?
设计指导:
对群集中的第一个 XenMobile Server 进行初始配置时,您需要提供 XenMobile Server FQDN。该 FQDN 必须匹配您的 MDM VIP URL 和内部 MAM LB VIP URL。(内部 Citrix ADC 地址记录解析 MAM LB VIP)。有关详细信息,请参阅本文后面的“每种管理模式的注册 FQDN”。
此外,您必须使用与以下证书相同的证书:
- XenMobile SSL 侦听器证书
- 内部 MAM LB VIP 证书
- MDM VIP 证书(如果对 MDM VIP 使用 SSL 卸载)
重要提示:
配置注册 FQDN 后,无法对其进行更改。新的注册 FQDN 需要重新构建新的 SQL Server 数据库和 XenMobile Server。
Secure Web 流量
决策详细信息:
- 您是否计划限制 Secure Web 仅使用内部 Web 浏览?
- 您是否计划启用 Secure Web 进行内部 Web 浏览和外部 Web 浏览?
设计指导:
如果您计划仅使用 Secure Web 进行内部 Web 浏览,Citrix Gateway 配置将非常简单。默认情况下,Secure Web 必须访问所有内部站点。您可能需要配置防火墙和代理服务器。
如果您计划将 Secure Web 用于外部浏览和内部浏览,则必须启用 SNIP 以便具有出站 Internet 访问权限。IT 通常将注册的设备(使用 MDX 容器)视为企业网络的扩展。因此,IT 通常希望 Secure Web 连接恢复到 Citrix ADC,通过代理服务器,然后转到 Internet。默认情况下,Secure Web 为所有网络访问使用返回到内部网络的每应用程序 VPN 通道。Citrix ADC 使用拆分通道设置。
有关 Secure Web 连接的讨论,请参阅配置用户连接。
Secure Mail 的推送通知
决策详细信息:
- 您是否计划使用推送通知?
适用于 iOS 的设计指导:
您的 Citrix Gateway 配置可能包括 Secure Ticket Authority (STA),并且关闭了拆分通道。Citrix Gateway 必须允许从 Secure Mail 到(在 Secure Mail for iOS 的“推送通知”中指定的)Citrix 侦听器服务 URL 的流量。
适用于 Android 的设计指导:
请使用 Firebase Cloud Messaging (FCM) 控制 Android 设备需要连接到 XenMobile 的方式和时间。配置了 FCM 后,任何安全操作或部署命令都将触发向 Secure Hub 推送通知,以提示用户重新连接到 XenMobile Server。
HDX STA
决策详细信息:
- 如果您计划集成 HDX 应用程序访问,要使用什么 STA?
设计指导:
HDX STA 必须匹配 StoreFront 中的 STA,并且必须对 Virtual Apps and Desktops 场有效。
Citrix Files 和 ShareFile
决策详细信息:
- 您是否计划在环境中使用存储区域控制器?
- 您计划使用哪些 Citrix Files VIP URL?
设计指导:
如果您将在环境中包含存储区域控制器,请确保正确配置以下对象:
- Citrix Files 交换机 VIP(Citrix Files 控制平面用于与存储区域控制器服务器通信)
- Citrix Files 负载平衡 VIP
- 所有必需的策略和配置文件
有关信息,请参阅存储区域控制器文档。
SAML IdP
决策详细信息:
- 如果 Citrix Files 需要 SAML,您是否要将 XenMobile 用作 SAML IdP?
设计指导:
推荐的最佳做法是将 Citrix Files 与 XenMobile Advanced Edition 或 XenMobile Advanced Edition(本地)或 Citrix Endpoint Management(云端)集成,这是配置基于 SAML 的联合身份验证的更简单的替代方案。将 Citrix Files 与这些 XenMobile 版本一起使用时,XenMobile 会为 Citrix Files 提供以下功能:
- 移动生产力应用程序用户的单点登录 (SSO) 身份验证
- 基于 Active Directory 的用户帐户预配
- 全面的访问控制策略
通过 XenMobile 控制台,可以执行 Citrix Files 配置以及监视服务级别和许可证使用情况。
有两种类型的 Citrix Files 客户端:适用于 XenMobile 的 Citrix Files 客户端(也称为打包的 Citrix Files)和 Citrix Files 移动客户端(也称为未打包的 Citrix Files)。要了解差别,请参阅适用于 XenMobile 的 Citrix Files 客户端与 Citrix Files 移动客户端之间的差别。
可以将 XenMobile 和 ShareFile 配置为使用 SAML 提供对以下内容的 SSO 访问:
- Citrix Files 移动应用程序
- 未封装的 Citrix Files 客户端,例如 Web 站点、Outlook 插件或同步客户端
要将 XenMobile 用作 Citrix Files 的 SAML IdP,请确保已实施合适的配置。有关详细信息,请参阅 SAML SSO 与 Citrix Files。
ShareConnect 直接连接
决策详细信息:
- 用户是否必须从运行使用直接连接的 ShareConnect 的计算机或移动设备访问主机计算机?
设计指导:
借助 ShareConnect,用户可以通过 iPad、Android 平板电脑和 Android 手机安全地连接到其计算机,以访问文件和应用程序。对于直接连接,XenMobile 使用 Citrix Gateway 安全地访问对本地网络外部的资源。有关配置详细信息,请参阅 ShareConnect。
每个管理模式的注册 FQDN
| 管理模式 | 注册 FQDN |
| 采用强制 MDM 注册的企业 (MDM+MAM) | XenMobile Server FQDN |
| 采用可选 MDM 注册的企业 (MDM+MAM) | XenMobile Server FQDN 或 Citrix Gateway FQDN |
| 仅 MDM | XenMobile Server FQDN |
| 仅 MAM(旧版) | Citrix Gateway FQDN |
| 仅 MAM | XenMobile Server FQDN |
部署摘要
Citrix 建议使用适用于 XenMobile 的 Citrix ADC 向导以确保完成正确配置。只能使用该向导一次。如果您有多个 XenMobile 实例(例如,用于测试、开发和生产环境),必须手动为其他环境配置 Citrix ADC。您有工作环境时,请先记下设置,然后再尝试手动为 XenMobile 配置 Citrix ADC。
使用该向导时要做出的主要决定是对与 XenMobile Server 的通信使用 HTTPS 还是 HTTP。HTTPS 提供安全的后端通信,因为 Citrix ADC 与 XenMobile 之间的流量已加密。重新加密会影响 XenMobile Server 的性能。HTTP 提供了更加出色的 XenMobile Server 性能。Citrix ADC 与 XenMobile 之间的流量不加密。以下各表显示了 Citrix ADC 和 XenMobile Server 的 HTTP 和 HTTPS 端口要求。
HTTPS
Citrix 通常建议对 Citrix ADC MDM 虚拟服务器配置使用 SSL 桥接。如果对 MDM 虚拟服务器使用 Citrix ADC SSL 卸载,XenMobile 仅支持后端服务使用端口 80。
| 管理模式 | Citrix ADC 负载平衡方法 | SSL 重新加密 | XenMobile Server 端口 |
| MDM | SSL 桥接 | 不适用 | 443, 8443 |
| MAM | SSL 卸载 | 已启用 | 8443 |
| Enterprise | MDM:SSL 桥接 | 不适用 | 443, 8443 |
| Enterprise | MAM:SSL 卸载 | 已启用 | 8443 |
HTTP
| 管理模式 | Citrix ADC 负载平衡方法 | SSL 重新加密 | XenMobile Server 端口 |
| MDM | SSL 卸载 | 不支持 | 80 |
| MAM | SSL 卸载 | 已启用 | 8443 |
| Enterprise | MDM:SSL 卸载 | 不支持 | 80 |
| Enterprise | MAM:SSL 卸载 | 已启用 | 8443 |
有关 XenMobile 部署中的 Citrix Gateway 的示意图,请参阅面向本地部署的参考体系结构。