Product Documentation

XenMobile 集成

本文介绍了规划 XenMobile 与现有网络和解决方案的集成方式时要考虑的事项。例如,如果您已经将 NetScaler 用于 XenApp 和 XenDesktop:

  • 应该使用现有的 NetScaler 实例还是使用新的专用实例?
  • 是否要将使用 StoreFront 发布的 HDX 应用程序与 XenMobile 集成?
  • 是否计划结合使用 ShareFile 和 XenMobile?
  • 是否有要集成到 XenMobile 的网络访问控制解决方案?
  • 是否要为您的网络的所有出站流量部署 Web 代理?

NetScaler 和 NetScaler Gateway

XenMobile ENT 和 MAM 模式强制要求使用 NetScaler Gateway。NetScaler Gateway 提供用于访问所有公司资源的 Micro VPN 路径,并提供加强的多重身份验证支持。所有 XenMobile Server 设备模式都需要 NetScaler 负载平衡:

  • 如果您有多个 XenMobile Server。
  • 或者,如果 XenMobile Server 在您的 DMZ 中或内部网络中(因此,流量从设备依次传输到 NetScaler 和 XenMobile)。

您可以使用现有的 NetScaler 实例,也可以为 XenMobile 设置新实例。以下各节阐述了使用现有的 NetScaler 实例或新的专用 NetScaler 实例的优势和劣势。

通过为 XenMobile 创建的 NetScaler Gateway VIP 共享 NetScaler MPX

优势:

  • 所有 Citrix 远程连接使用一个公用 NetScaler 实例:XenApp、完整 VPN 和无客户端 VPN。
  • 对证书身份验证以及服务(例如 DNS、LDAP 和 NTP)访问等使用现有的 NetScaler 配置。
  • 使用单个 NetScaler 平台许可证。

劣势:

  • 在同一 NetScaler 上处理两个截然不同的用例时,很难规划扩展。
  • 有时某个 XenApp 用例需要某个特定的 NetScaler 版本。该版本可能存在与 XenMobile 有关的已知问题。或者,XenMobile 可能存在与相应的 NetScaler 版本有关的已知问题。
  • 如果存在 NetScaler Gateway,则不能再次运行 NetScaler for XenMobile 向导为 XenMobile 创建 NetScaler 配置。
  • 除了将 Platinum 许可证用于 NetScaler Gateway 11.1 或更高版本时外:安装在 NetScaler 上及 VPN 连接所需的用户访问许可证汇集在池中。由于这些许可证可用于所有 NetScaler 虚拟服务器,因此,XenMobile 以外的服务可能会占用它们。

专用的 NetScaler VPX/MPX 实例

优势:

Citrix 建议使用专用的 NetScaler 实例。

  • 更易于规划扩展,并可将 XenMobile 流量与资源可能已受限的 NetScaler 实例分开。
  • 避免在 XenMobile 和 XenApp 需要不同的 NetScaler 软件版本出现问题。通常建议在 XenMobile 中使用最新的兼容 NetScaler 版本和内部版本。
  • 允许通过内置的 NetScaler for XenMobile 向导对 NetScaler 进行 XenMobile 配置。
  • 对服务进行虚拟和物理隔离。
  • 除了将 Platinum 许可证用于 NetScaler Gateway 11.1 或更高版本时外:XenMobile 所需的用户访问许可证仅可用于 NetScaler 上的 XenMobile Service。

劣势:

  • 需要在 NetScaler 上设置额外的服务以支持 XenMobile 配置。
  • 需要使用另一个 NetScaler 平台许可证。为 NetScaler Gateway 许可每个 NetScaler 实例。

有关在每种 XenMobile Server 模式下集成 NetScaler 和 NetScaler Gateway 时要考虑的事项的信息,请参阅与 NetScaler 和 NetScaler Gateway 集成

StoreFront

如果您有 Citrix XenApp 和 XenDesktop 环境,您可以使用 StoreFront 将 HDX 应用程序与 XenMobile 集成。将 HDX 应用程序与 XenMobile 集成时:

  • 在 XenMobile 中注册的用户可获取这些应用程序。
  • 这些应用程序与其他移动应用程序一起显示在 XenMobile Store 中。
  • 在 StoreFront 上 XenMobile 使用旧版 PNAgent(服务)站点。
  • 在设备上安装 Citrix Receiver 后,HDX 应用程序开始使用 Receiver。

StoreFront 存在每个 StoreFront 实例一个服务站点的限制。假设您有多个应用商店,并想要将其与其他生产使用情况分开。在这种情况下,Citrix 通常建议考虑将一个新的 StoreFront 实例和服务站点用于 XenMobile。

注意事项包括:

  • StoreFront 是否有任何不同的身份验证要求?StoreFront 服务站点要求使用 Active Directory 凭据进行登录。仅使用基于证书的身份验证的客户不能使用同一 NetScaler Gateway 通过 XenMobile 枚举应用程序。
  • 使用同一存储还是创建一个新存储?
  • 使用同一还是不同的 StoreFront 服务器?

以下各节阐述了对 Receiver 和移动生产力应用程序使用单独的 StoreFront 和组合的 StoreFront 的优势和劣势。

将现有的 StoreFront 实例与 XenMobile Server 集成

优势:

  • 同一应用商店:假定您使用同一 NetScaler VIP 访问 HDX,不需要为 XenMobile 对 StoreFront 进行额外配置。假设您选择使用同一应用商店,并想要将 Receiver 访问定向至新的 NetScaler VIP。在这种情况下,可将合适的 NetScaler Gateway 配置添加到 StoreFront。
  • 同一 StoreFront 服务器:使用现有的 StoreFront 安装和配置。

劣势:

  • 同一应用商店:如果为了支持 XenApp 和 XenDesktop 工作负载而对 StoreFront 进行任何重新配置,也可能会对 XenMobile 产生不利影响。
  • 同一 StoreFront 服务器:在大型环境中,要考虑 XenMobile 使用 PNAgent 进行应用程序枚举和启动产生的额外负载。

将新的专用 StoreFront 实例用于与 XenMobile Server 集成

优势:

  • 新应用商店:为 XenMobile 对 StoreFront 应用商店进行任何配置更改应不会影响现有的 XenApp 和 XenDesktop 工作负载。
  • 新的 StoreFront 服务器:服务器配置更改应不会影响 XenApp 和 XenDesktop 工作流。此外,XenMobile 使用 PNAgent 进行应用程序枚举和启动产生的负载应不会影响可扩展性。

劣势:

  • 新应用商店:StoreFront 应用商店配置。
  • 新的 StoreFront 服务器:需要新的 StoreFront 安装和配置。

有关详细信息,请参阅 XenMobile 文档中的通过 Citrix Secure Hub 使用 XenApp 和 XenDesktop

ShareFile

用户可以通过 ShareFile 从任何设备访问和同步自己的所有数据。借助 ShareFile,用户可以与组织内部和外部的人安全地共享数据。如果您将 ShareFile 与 XenMobile Advanced Edition 或 XenMobile Enterprise Edition 集成,则 XenMobile 可为 ShareFile 提供:

  • XenMobile Apps 用户的单点登录身份验证。
  • 基于 Active Directory 的用户帐户预配。
  • 全面的访问控制策略。

移动设备用户将从完整的 ShareFile Enterprise 功能集受益。

或者,可以将 XenMobile 配置为只与 StorageZone 连接器集成。通过 StorageZone 连接器,ShareFile 提供访问以下各项的权限:

  • 文档和文件夹
  • 网络文件共享
  • 在 SharePoint 站点中:站点集合和文档库。

连接的文件共享可以包括 Citrix XenDesktop 和 XenApp 环境中使用的相同网络主驱动器。可使用 XenMobile 控制台配置与 ShareFile Enterprise 或 Storagezone 连接器的集成。有关详细信息,请参阅 ShareFile 与 XenMobile 结合使用

以下各节阐述了为 ShareFile 制定设计决策时提出的问题。

与 ShareFile Enterprise 或仅 StorageZone 连接器集成

提出的问题:

  • 是否需要在 Citrix 托管的 StorageZone 中存储数据?
  • 是否要向用户提供文件共享和同步功能?
  • 是否要让用户能够访问 ShareFile Web 站点上的文件?或者,是否要从移动设备访问 Office 365 内容和个人云连接器?

设计决策:

  • 如果对所有这些问题都回答“是”,则与 ShareFile Enterprise 集成。
  • 仅与 StorageZone 连接器的集成为 iOS 用户提供对现有本地部署存储库(例如 SharePoint 站点和网络文件共享)的安全移动访问权限。在此配置中,不用设置 ShareFile 子域、向 ShareFile 预配用户以及托管 ShareFile 数据。将 Storagezone 连接器与 XenMobile 结合使用时遵守防止在企业网络外部泄漏用户信息的安全限制。

ShareFile StorageZones Controller 服务器位置

提出的问题:

  • 是否需要本地存储或功能(例如 StorageZone 连接器)?
  • 如果使用 ShareFile 的本地功能,ShareFile StorageZones Controller 将位于网络中的什么位置?

设计决策:

  • 确定将 StorageZones Controller 服务器置于 ShareFile 云中、本地单租户存储系统中还是支持的第三方云存储中 。
  • StorageZones Controller 需要某些 Internet 访问权限以与 Citrix ShareFile 控制平面进行通信。可以采用多种方法(包括直接访问、NAT/PAT 配置或代理配置)进行连接。

StorageZone 连接器

提出的问题:

  • CIFS 共享路径是什么?
  • SharePoint URL 是什么?

设计决策:

  • 确定访问这些位置是否需要本地 StorageZones Controller。
  • 由于 StorageZone 连接器与内部资源(例如,文件存储库、CIFS 共享和 SharePoint)进行通信:Citrix 建议 StorageZones Controller 位于 DMZ 防火墙后面的内部网络中,且 NetScaler 位于前端。

SAML 与 XenMobile Enterprise 的集成

提出的问题:

  • ShareFile 是否需要 Active Directory 身份验证?
  • 首次使用适用于 XenMobile 的 ShareFile 应用程序是否需要 SSO?
  • 当前环境中是否存在标准 IdP?
  • 使用 SAML 需要多少个域?
  • Active Directory 用户是否有多个电子邮件别名?
  • 是否有正在进行或计划不久将进行的任何 Active Directory 域迁移?

设计决策:

XenMobile Enterprise 环境可以选择使用 SAML 作为 ShareFile 的身份验证机制。身份验证方式包括:

  • 使用 XenMobile Server 作为 SAML 的身份提供程序 (IdP)

此方式可以提供卓越的用户体验和自动创建 ShareFile 帐户的功能,以及支持移动应用程序 SSO 功能。

  • 在此过程可增强 XenMobile Server:不需要同步 Active Directory。
  • 使用 ShareFile 用户管理工具进行用户预配。
  • 使用受支持的第三方供应商作为 SAML 的 IdP

如果您已有受支持的 IdP,且不需要移动应用程序 SSO 功能,此方式可能最适合您。此方式还需要使用 ShareFile 用户管理工具进行帐户预配。

使用第三方 IdP 解决方案(例如 ADFS)还可以在 Windows 客户端上提供 SSO 功能。请务必在选择 ShareFile SAML IdP 之前评估用例。

此外,要满足这两种用例,您可以将 ADFS 和 XenMobile 配置为双 IdP

移动应用程序

提出的问题:

  • 您计划使用哪种 ShareFile 移动应用程序(公共、MDM、MDX)?

设计决策:

  • 从 Apple App Store 和 Google Play 应用商店分发移动生产力应用程序。采用这种公共应用商店分发,您可以从 Citrix 下载页面获取打包的应用程序。
  • 如果安全性较低且您不需要容器化,公共 ShareFile 应用程序可能不适用。在仅 MDM 环境中,您可以使用处于 MDM 模式的 XenMobile 交付 MDM 版本的 ShareFile 应用程序。
  • 有关详细信息,请参阅应用程序Citrix ShareFile for XenMobile

安全性、策略和访问控制

提出的问题:

  • 对桌面、Web 和移动用户有哪些限制要求?
  • 对用户要进行哪些标准访问控制设置?
  • 计划使用什么文件保留策略?

设计决策:

  • ShareFile 允许您管理员工权限和设备安全性。有关信息,请参阅 Employee Permissions(员工权限)和 Managing Devices and Apps(管理设备和应用程序)。
  • 某些 ShareFile 设备安全设置和 MDX 策略控制相同的功能。在这些情况下,XenMobile 策略优先于 ShareFile 设备安全设置。示例:如果您在 ShareFile 中禁用外部应用程序,但在 XenMobile 中启用这些应用程序,则在 ShareFile 中外部应用程序处于禁用状态。您可以配置应用程序,以实现 XenMobile 不要求使用 PIN/通行码,但 ShareFile 应用程序要求使用 PIN/通行码。

标准和受限 StorageZone

提出的问题:

  • 是否需要受限 StorageZone?

设计决策:

  • 标准 StorageZone 专用于存储非敏感数据,员工可以在此区域中与非员工共享数据。此方式支持涉及在域外部共享数据的工作流。
  • 受限 StorageZone 保护敏感数据:只有通过身份验证的域用户可以访问此区域中存储的数据。

Web 代理

在以下情况下最有可能通过 HTTP(S)/SOCKS 代理路由 XenMobile 流量:XenMobile Server 所在的子网没有出站 Internet 访问所需 Apple、Google 或 Microsoft IP 地址的权限时。您可以在 XenMobile 中指定代理服务器设置以将所有 Internet 流量路由到代理服务器。有关详细信息,请参阅启用代理服务器

下表介绍了 XenMobile 中使用的最常见代理的优势和劣势。

     
选项 优势 劣势
在 XenMobile Server 中使用 HTTP(S)/SOCKS 代理。 如果策略不允许从 XenMobile Server 子网进行出站 Internet 连接:可以配置 HTTP(S) 或 SOCKS 代理以提供 Internet 连接。 如果代理服务器发生故障,APNs (iOS) 或 Google Cloud Messaging (Android) 连接将中断。因此,所有 iOS 和 Android 设备将无法发送设备通知。
在 Secure Web 中使用 HTTP(S) 代理。 您可以监视 HTTP/HTTPS 流量以确保 Internet 活动符合贵组织的标准。 此配置要求所有 Secure Web Internet 流量通过通道传回到企业网络,然后再向外发送到 Internet。如果您的 Internet 连接限制浏览:此配置可能会影响 Internet 浏览性能。

用于拆分隧道的 NetScaler 会话配置文件配置会影响流量,如下所示。

NetScaler 拆分隧道为时:

  • 如果 MDX 网络访问策略为通过通道连接到内部网络 :强制所有流量使用 Micro VPN 或无客户端 VPN (cVPN) 通道传回到 NetScaler Gateway。
  • 为代理服务器配置 NetScaler 流量策略/配置文件,并将其绑定到 NetScaler Gateway VIP。

重要: 请务必从代理中排除 Secure Hub cVPN 流量。

NetScaler 拆分隧道时:

  • 如果为应用程序配置的 MDX 网络访问策略设置为通过通道连接到内部网络 :应用程序首先尝试直接获取 Web 资源。如果 Web 资源未公开提供,则这些应用程序回退到 NetScaler Gateway。
  • 为代理服务器配置 NetScaler 流量策略和配置文件。然后,将这些策略和配置文件绑定到 NetScaler Gateway VIP。

重要: 请务必从代理中排除 Secure Hub cVPN 流量。

有关拆分 DNS(在 Client experience(客户端体验)下方)的 NetScaler 会话配置文件配置作用方式类似于“拆分隧道”。

拆分 DNS 处于启用状态并设置为两者的情况下:

  • 客户端首先尝试在本地解析 FQDN,如果失败,则回退到 NetScaler 以进行 DNS 解析。

拆分 DNS 设置为远程的情况下:

  • 仅在 NetScaler 上进行 DNS 解析。

拆分 DNS 设置为本地的情况下:

  • 客户端尝试在本地解析 FQDN。不使用 NetScaler 进行 DNS 解析。

访问控制

企业现在可以管理网络内部和外部的移动设备。企业移动性管理解决方案(例如 XenMobile)非常适合为移动设备提供安全和控制功能,而与位置无关。但是,与网络访问控制 (NAC) 解决方案结合使用时,可以为您网络内部的设备增加 QoS 和更加细化的控制。该组合让您可以通过您的 NAC 解决方案延长 XenMobile 设备安全评估。之后您的 NAC 解决方案可以使用 XenMobile 安全评估帮助制定和处理身份验证决策。Citrix 已针对 Cisco Identity Services Engine (ISE) 或 ForeScout 验证 NAC 与 XenMobile 的集成。Citrix 不保证其他 NAC 解决方案的集成。

NAC 解决方案与 XenMobile 的集成具有以下优势:

  • 提高了企业网络上所有端点的安全性和合规性,并增强了对其控制能力。
  • NAC 解决方案可以:
    • 在设备尝试连接到网络的同时检测到设备。
    • 在 XenMobile 中查询设备属性。
    • 然后使用该信息来确定允许、阻止、限制还是重定向这些设备。这些决策取决于您选择强制执行的安全策略。
  • NAC 解决方案为 IT 管理员提供非托管设备和不合规设备信息。

有关 XenMobile 支持的 NAC 合规性过滤器的说明,请参阅网络访问控制

XenMobile 集成