与Citrix网关和Citrix ADC集成
当与端点管理集成时,Citrix Gateway为MAM设备的远程设备访问内部网络提供了身份验证机制。该集成使Citrix移动生产力应用程序可以通过一个微型VPN连接到企业内网的服务器。终端管理创建了一个微型VPN,从设备上的应用程序到Citrix网关。Citrix Gateway为访问所有企业资源提供了一个微型VPN路径,并提供强大的多因素认证支持。
当用户选择退出MDM注册时,设备使用Citrix Gateway FQDN进行注册。
Citrix云操作管理Citrix ADC负载平衡。
设计决策
下面几节总结了在计划将Citrix Gateway与Endpoint Management集成时需要考虑的许多设计决策。
证书
决定细节:
- 注册和访问端点管理环境是否需要更高级别的安全性?
- LDAP不是一个选项吗?
设计指导:
端点管理的默认配置是用户名和密码身份验证。要为端点管理环境的注册和访问添加另一层安全,请考虑使用基于证书的身份验证。您可以在LDAP中使用证书进行双因素身份验证,从而提供更高级别的安全性,而不需要RSA服务器。
如果您不允许LDAP,并且使用智能卡或类似的方法,则配置证书允许您将智能卡表示为Endpoint Management。然后,用户使用Endpoint Management为他们生成的唯一PIN进行注册。用户拥有访问权限后,端点管理将创建并部署证书,该证书稍后用于向端点管理环境进行身份验证。
终端管理仅支持第三方证书颁发机构使用的CRL (Certificate Revocation List)。如果您配置了Microsoft CA,那么端点管理将使用Citrix Gateway来管理撤销。配置客户端证书认证时,请考虑是否需要配置“Citrix Gateway Certificate Revocation List (CRL)”设置,启用CRL自动刷新. 此步骤确保仅在MAM中注册的设备的用户不能使用设备上的现有证书进行身份验证。端点管理重新颁发新证书,因为它不会限制用户在证书被吊销时生成用户证书。当CRL检查过期的PKI实体时,此设置提高了PKI实体的安全性。
专用或共享的Citrix网关贵宾
决定细节:
- 您目前是否使用Citrix网关用于Citrix虚拟应用程序和桌面?
- 终端管理是否会使用Citrix网关,Citrix虚拟应用和桌面?
- 两种流量的认证要求是什么?
设计指导:
当您的Citrix环境包括端点管理、虚拟应用程序和桌面时,您可以为两者使用相同的Citrix网关虚拟服务器。由于潜在的版本冲突和环境隔离,建议针对每个端点管理环境使用专用的Citrix Gateway。
如果使用LDAP身份验证,则Citrix Workspace和Secure Hub可以通过身份验证到同一个Citrix Gateway,不会出现任何问题。如果使用基于证书的身份验证,端点管理将证书推送到MDX容器中,安全集束器使用该证书与Citrix网关进行身份验证。工作区应用程序与安全集线器分离,不能使用与安全集线器相同的证书来验证到相同的Citrix网关。
您可以考虑使用这种方法,它允许您为两个Citrix Gateway vip使用相同的FQDN。可以创建两个IP地址相同的“Citrix Gateway vip”。用于Secure Hub的端口使用标准的443端口,用于Citrix Virtual Apps和desktop(部署Citrix Workspace应用程序)的端口使用444端口。然后,一个FQDN解析到相同的IP地址。为了解决这个问题,您可能需要配置StoreFront以返回端口444(而不是默认端口443)的ICA文件。这个解决方案不需要用户输入端口号。
Citrix网关超时
决定细节:
- 您希望如何配置端点管理流量的Citrix网关超时?
设计指导:
“Citrix Gateway”包括“会话超时”和“强制超时”的设置。有关详细信息,请参见推荐配置.请记住,对于后台服务、Citrix Gateway和离线访问应用程序,有不同的超时值。
注册FQDN
重要的是:
要更改注册FQDN,需要一个新的SQL Server数据库和端点管理服务器重建。
安全Web流量
决定细节:
- 您是否将安全Web仅限于内部Web浏览?
- 您是否会为内部和外部Web浏览启用安全Web?
设计指导:
如果您计划使用Secure Web仅用于内部Web浏览,则Citrix网关的配置很简单。但是,如果默认情况下Secure Web无法访问所有内部站点,则可能需要配置防火墙和代理服务器。
如果您计划使用Secure Web进行内部和外部浏览,您必须启用SNIP,使其具有出站internet访问。IT通常将注册的设备(使用MDX容器)视为公司网络的扩展。因此,IT部门通常希望安全Web连接返回到Citrix网关,通过代理服务器,然后再连接到Internet。缺省情况下,内网存在安全的Web访问隧道。安全Web使用每个应用程序的VPN隧道返回到内部网络的所有网络访问和Citrix网关使用分割隧道设置。
有关安全Web连接的讨论,请参阅配置用户连接.
安全邮件的推送通知
决定细节:
- 你会使用推送通知吗?
iOS的设计指南:
如果您的Citrix网关配置包括安全票据授权(STA)和分离隧道是关闭的:Citrix网关必须允许流量从安全邮件到Citrix侦听器服务url。这些url是在iOS安全邮件推送通知中指定的。
Android的设计指导:
使用Firebase云消息(FCM)来控制Android设备何时以及如何连接到Endpoint Management。配置了FCM后,任何安全操作或部署命令都会触发到Secure Hub的推送通知,以提示用户重新连接端点管理服务器。
HDX斯塔斯
决定细节:
- 如果要集成HDX应用程序访问,要使用哪些STAs ?
设计指导:
HDX的STAs必须与StoreFront中的STAs匹配,并且必须对虚拟应用和桌面站点有效。
Citrix文件和Citrix内容协作
决定细节:
- 您将在环境中使用存储区域控制器吗?
- 您将使用哪个Citrix文件VIP URL ?
设计指导:
如果您将在环境中包含存储区域控制器,请确保正确配置以下内容:
- Citrix Files Content Switch VIP(用于Citrix Files控制平面与存储分区控制服务器通信)
- Citrix文件负载均衡
- 所有必需的策略和配置文件
有关信息,请参阅文档存储区域控制器.
SAML国内流离失所者
决定细节:
- 如果Citrix文件需要SAML,您想使用端点管理作为SAML IdP吗?
设计指导:
推荐的最佳实践是将Citrix文件与端点管理集成在一起,这是配置基于saml的联邦的一个更简单的替代方案。端点管理为Citrix文件提供:
- Citrix mobile productivity应用程序用户的单点登录(SSO)身份验证
- 基于Active Directory的用户帐户配置
- 全面的访问控制策略。
Endpoint Management控制台允许您执行Citrix Files配置,并监视服务级别和许可证使用情况。
有两种类型的Citrix文件客户端:Citrix终端管理文件(也称为包装的Citrix文件)和Citrix文件移动客户端(也称为未包装的Citrix文件)。要理解它们的区别,请看Citrix终端管理客户端文件与Citrix文件移动客户端有何不同.
您可以配置端点管理和Citrix文件使用SAML提供SSO访问:
- 使用MDX工具包启用或包装MAM SDK的Citrix文件应用程序
- 非包装的Citrix文件客户端,如网站、Outlook插件或同步客户端
如果您想使用端点管理作为Citrix文件的SAML IdP,请确保适当的配置。有关详细信息,请参见用于使用Citrix文件的SSO的SAML.
ShareConnect直接连接
决定细节:
- 用户是否会使用直接连接从运行ShareConnect的计算机或移动设备访问主机?
设计指导:
ShareConnect允许用户通过ipad、Android平板电脑和Android手机安全地连接到自己的电脑上,以访问他们的文件和应用程序。对于直接连接,端点管理使用Citrix Gateway提供对本地网络之外资源的安全访问。具体配置请参见ShareConnect.
为每个管理模式注册FQDN
| 管理模式 | 注册FQDN |
|---|---|
| MDM+MAM,强制MDM注册 | 端点管理服务器FQDN |
| MDM+MAM,可选MDM注册 | 端点管理服务器FQDN或Citrix网关FQDN |
| MAM-only | 端点管理服务器FQDN |
| 仅限MAM(遗留) | Citrix网关FQDN |
部署总结
如果您有多个端点管理实例(例如用于测试、开发和生产环境),则必须为其他环境手动配置Citrix Gateway。当您拥有一个工作环境时,在尝试为Endpoint Management手动配置Citrix Gateway之前,请注意这些设置。
一个关键决定是使用HTTPS还是HTTP与端点管理服务器进行通信。HTTPS提供安全的后端通信,因为Citrix网关和端点管理之间的通信是加密的。重新加密会影响端点管理服务器的性能。HTTP提供了更好的端点管理服务器性能。Citrix网关和端点管理之间的通信未加密。下表显示了Citrix网关和端点管理的HTTP和HTTPS端口要求。
HTTPS
Citrix通常为Citrix Gateway MDM虚拟服务器配置推荐SSL桥。在与MDM虚拟服务器一起使用Citrix Gateway SSL Offload时,Endpoint Management仅支持80端口作为后端服务。
| 管理模式 | Citrix网关负载平衡方法 | SSL重新加密 | 管理服务器端口 |
|---|---|---|---|
| 老妈 | SSL卸载 | 启用 | 8443 |
| MDM +老妈 | MDM: SSL桥 | N/A | 443, 8443 |
| MDM +老妈 | MAM:SSL卸载 | 启用 | 8443 |
HTTP
| 管理模式 | Citrix网关负载平衡方法 | SSL重新加密 | 管理服务器端口 |
|---|---|---|---|
| 老妈 | SSL卸载 | 启用 | 8443 |
| MDM +老妈 | MDM: SSL卸载 | 不支持 | 80 |
| MDM +老妈 | MAM:SSL卸载 | 启用 | 8443 |
有关端点管理部署中Citrix Gateway的关系图,请参见体系结构.