Citrix网关(Citrix Gateway
XenMobileと統合すると,Citrix网关を経由してMAM(移动应用程序管理:モバイルアプリケーション管理)デバイス用の内部ネットワークにアクセスできる認証メカニズムを,リモートデバイスで利用できるようになります。この統合を利用すると,業務用モバイルアプリはマイクロVPNを介して,イントラネット内にある社内サーバーにアクセスすることができます。マイクロVPNは,モバイルデバイス上のアプリからCitrix网关に作成されます。Citrix网关は、すべての企業リソースにアクセスするためのマイクロVPNパスを提供し、強力な多要素認証をサポートします。
次の場合,すべてのXenMobile服务器デバイスモードでCitrix ADCの負荷分散が必要です:
- XenMobile服务器
- またはXenMobile服务器がDMZまたは内部ネットワーク内にある場合(つまり,デバイスからCitrix ADC, XenMobileの順にトラフィックが流れる場合)
XenMobile服务器
Citrix网关とCitrix ADCの統合要件は,XenMobile服务器のモード(老妈,MDM ENT)によって異なります。
老妈
XenMobile服务器
- Citrix网关草皮草皮,草皮草皮。Citrix Gatewayは、すべての企業リソースにアクセスするためのマイクロVPNパスを提供し、強力な多要素認証をサポートします。
負荷分散にはCitrix ADC? ? ? ? ?
XenMobile (XenMobile)。XenMobile,。“哎哟!”老妈と従来の老妈モードについて”(英文)。
MDM
XenMobile Server(移动服务器)
- Citrix Gateway、、、、、、、、。MDMの展開では、モバイルデバイスVPNとしてCitrix Gatewayをお勧めします。
Citrix ADC (Citrix ADC)
セキュリティと負荷分散のために,XenMobile服务器の前にCitrix ADCアプライアンスを配置することをお勧めします。DMZ内にXenMobileを標準展開する場合は,Citrix的ADC XenMobileウィザードを使用し,SSLブリッジモードでのXenMobile服务器の負荷分散をお勧めします。次のような展開では,SSLオフロードを検討することもできます:
- XenMobile服务器、DMZ、
- または,セキュリティチームがSSLブリッジの構成を必要としている
XenMobile服务器を、NATやMDMの既存のサードパーティプロキシまたはロードバランサーを介してインターネットに公開することは推奨されていません。これらの構成は,SSLトラフィックがXenMobile服务器(SSLブリッジ)で終了した場合でも,潜在的なセキュリティリスクをもたらします。
高度なセキュリティ環境を実現するには,Citrix ADCとデフォルトのXenMobile構成の組み合わせがセキュリティ要件を満たしているか,それ以上の条件を備えている必要があります。
最高水準のセキュリティが求められるMDM環境を実現するには,SSLの終端をCitrix ADCにすることで,エンドツーエンドのSSL暗号化を維持しながら境界でトラフィックを検査できます。“,”【中文译文”(英文)。Citrix ADCではオプションとしてSSL/TLS暗号とSSL FIPS Citrix ADCハードウェアを定義できます。
ENT(老妈+ MDM)
XenMobile服务器
Citrix GatewayCitrix网关は、すべての企業リソースにアクセスするためのマイクロVPNパスを提供し、強力な多要素認証をサポートします。
XenMobile服务器モードがENTの場合にユーザーがMDM登録をオプトアウトすると,デバイスは従来の老妈モードで動作します。従来の老妈モードでは,デバイスの登録にCitrix网关の完全修飾ドメイン名(完全限定域名:FQDN)を使用します。“哎哟!”老妈と従来の老妈モードについて”(英文)。
思杰(Citrix) ADC。。
重要:
初回の登録では,負荷分散用仮想サーバーをSSLオフロードまたはSSLブリッジのいずれで構成する場合でも,ユーザーデバイスからのトラフィックはXenMobile服务器上で認証されます。
这就是我的意思
以下のセクションでは,Citrix网关とXenMobileとの統合を計画するときに検討すべき,多くの設計上の決定についてまとめています。
ライセンスとエディション
【翻译】
- 思杰(Citrix) ADC
- 思杰ADC
- Citrix ADC
【翻译】
思杰网关(Citrix Gateway)。Citrix网关コネクタ:Exchange ActiveSync用を使用している場合、統合キャッシュが必要な場合があります。そのため、適切なCitrix ADCのエディションを使用していることを確認する必要があります。
思杰(Citrix) ADC (Citrix)
- XenMobile MDMの負荷分散では,Citrix ADCの標準プラットフォームライセンスが最低限必要となります。
- ストレージゾーンコントローラーを使用した内容协作の負荷分散には,Citrix ADCの標準プラットフォームライセンスが最低限必要となります。
- XenMobile Enterprise Editionには,老妈に必要なCitrix网关ユニバーサルライセンスが含まれています。
- 交换の負荷分散には,Citrix ADC铂プラットフォームライセンスまたはCitrix ADC企业プラットフォームライセンスに,集成缓存ライセンスを追加する必要があります。
Citrix ADC for XenMobile
【翻译】
- Citrix ADC
- 別のインスタンスは必要か
【翻译】
Citrix网关仮想サーバーに専用のCitrix ADCインスタンスを使用することをお勧めします。最低限必要となるCitrix ADCのバージョンおよびビルドを,XenMobile環境で使用していることを確認してください。通常,XenMobileと互換性のある最新のCitrix ADCバージョンおよびビルドを使用するのが最適です。Citrix网关のアップグレードが既存の環境に影響する場合は、XenMobileの2つ目の専用インスタンスが適切な場合があります。
VPN接続を使用するXenMobileおよびその他のアプリ用にCitrix ADCインスタンスを共有する場合は,両方で使用するVPNライセンスの数が足りていることを確認してください。XenMobileのテスト環境および実稼働環境では,Citrix ADCインスタンスを共有できないことに留意してください。
証明書
【翻译】
- 登録やXenMobile環境へのアクセスに高度なセキュリティが必要か
- ldap
【翻译】
XenMobile,。登録およびXenMobile環境へのアクセスのセキュリティを強化するには,証明書ベースの認証の使用を考慮してください。LDAPで2要素認証の証明書を使用すると,RSAサーバーを必要とせずに高度なセキュリティを提供できます。
LDAPやスマートカードの使用または同様の方法を許可しない場合,証明書を構成するとXenMobileにスマートカードを提示できます。ユーザーはそれにより,XenMobileが生成する一意の销を使用して登録できます。ユーザーがアクセス権を獲得すると,XenMobileは,XenMobile環境を認証するために使用される証明書を作成して展開します。
XenMobile, (CRL)。微软CAが構成されている場合,XenMobileはCitrix ADCを使用して失効を管理します。クライアント証明書ベースの認証を構成する場合,Citrix ADC証明書失効一覧(CRL)設定[启用CRL自动刷新]。この手順を使用すると,老妈のみで登録したデバイスのユーザーがデバイス上の既存の証明書を使用して認証できなくなります。ユーザー証明書が失効してもユーザーによる生成が制限されるわけではないので,XenMobileは新しい証明書を再発行します。この設定は,CRLが期限切れのPKIエンティティを確認する場合,PKIエンティティのセキュリティを強化します。
ネットワークトポロジ
【翻译】
- Citrix ADC
【翻译】
Citrix ADC。ただし,トラフィックを内部ネットワークからDMZに送信したくない場合は,Citrix ADCの追加インスタンスを設定することを検討してください。Citrix ADC。ユーザーが内部ネットワークと外部ネットワークを切り替えると,DNSレコードのキャッシュによって安全中心のログオンプロンプトの回数が増える場合があります。
XenMobile, Citrix Gateway,。
思杰网关VIP
【翻译】
- 虚拟应用程序和桌面,Citrix网关
- 虚拟应用程序和桌面、Citrix网关、XenMobile等
- 両方のトラフィックフローの認証要件は何か
【翻译】
Citrix環境にXenMobileと,虚拟应用程序和桌面が含まれている場合は,両方で同じCitrix ADCインスタンスとCitrix网关仮想サーバーを使用できます。バージョンによる競合が起きたり環境が孤立したりする可能性があるため,Citrix ADCインスタンスとCitrix网关は,それぞれのXenMobile環境専用にすることをお勧めします。ただし,専用のCitrix ADCインスタンスを選択しない場合は,専用のCitrix网关仮想サーバーを使用して,安全中心のトラフィックフローを分離することをお勧めします。この構成では,XenMobileと虚拟应用程序和桌面との間で共有される仮想サーバーは使用しません。
LDAP認証を使用する場合,Citrix接收机と安全中心は同じCitrix网关で問題なく認証できます。証明書ベースの認証を使用する場合、XenMobileはMDXコンテナ内の証明書をプッシュし、Secure Hubはその証明書を使用してCitrix Gatewayで認証します。Citrix ReceiverはSecure Hubとは異なり、Secure Hubと同じ証明書を使用して同じCitrix Gatewayと認証することはできません。
2台のCitrix网关VIPで同じFQDNを使用できる,以下の回避策を検討することもできます。
- Citrix Gateway VIP(思杰网关VIP)安全中心用のVIPには標準の443ポートを使用し,(Citrix接收机を展開する)虚拟应用程序和桌面用のVIPにはポート444を使用します。
- ★★★★★★★★★★★★★★★★
- この方法ではデフォルトのポート443ではなく,ポート444にICAファイルを返すよう店面を構成する必要がある場合があります。。
Citrix Gateway
【翻译】
- XenMobileのトラフィックに対するCitrix网关のタイムアウトをどのように構成するか
【翻译】
Citrix Gateway,。“,”推奨構成”(英文)。バックグラウンドサービス,Citrix ADC,およびオフラインでのアプリケーションへのアクセスでは,タイムアウト値が異なることに留意してください。
MAM
【翻译】
- VIPアドレスに内部IPアドレスまたは外部IPアドレスを使用しているか
【翻译】
Citrix网关のVIPアドレスにパブリックIPアドレスを使用できる環境では,その方法でXenMobileの負荷分散VIPアドレスを割り当てると,登録のエラーにつながります。
そのシナリオでは負荷分散VIPアドレスに内部IPを使用し,登録のエラーが起こらないようにしてください。★★★★★★★★★★★★★★★★★★★★★★★★★★★★★★★★★★★★★★★★★★この仮想サーバーに非プライベートIPアドレスを使用すると,Citrix ADCは認証プロセスでXenMobile服务器に正常に接続できなくなります。★★★★★https://support.citrix.com/article/CTX200430。
我的意思是
【翻译】
- Citrix Gateway、XenMobile Server、XenMobile Server、XenMobile Server
【翻译】
* * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * *。XenMobileが内部ネットワークにあり、セキュリティの標準を満たす必要がある場合には、SSLオフロードを使用します。
- Citrix ADC VIPアドレスを設定したXenMobile服务器をSSLブリッジモードで負荷分散すると,インターネットのトラフィックは接続が終端するXenMobile服务器に直接流れます。ssl。
- Citrix ADC VIPアドレスを設定したXenMobile服务器をSSLオフロードモードで負荷分散すると,インターネットのトラフィックは接続が終端するCitrix ADCに直接流れます。その後,Citrix ADCがCitrix ADCからXenMobile服务器へのセッションを新たに確立します。ssl。
SSLオフロードを使用するMDM負荷分散用のサービスポート
【翻译】
- 負荷分散にSSLオフロードモードを使用する場合,バックエンドサービスはどのポートを使用するか
【翻译】
ssl 80 8443。
- オフロードの効果を得るには,XenMobile服务器へのポートとしてポート80を使用します。
- 。“思杰(Citrix)”NetScaler、XenMobile服务器、”(英文)。
fqdn
【翻译】
- 登録用のFQDNとXenMobileインスタンスまたは負荷分散VIPアドレス用のFQDNとして何を使用するか
【翻译】
クラスター内の最初のXenMobile服务器の初期設定では,XenMobile服务器のFQDNを入力する必要があります。そのFQDNは,MDMのVIPアドレスURLと内部老妈の負荷分散VIPアドレスURLと一致する必要があります(Citrix ADCの内部アドレスレコードにより,老妈負荷分散VIPアドレスが解決されます)。“。”
★★★★★★★★★★★★★★★
- XenMobile SSL
- 我的意思是,我的意思是我的意思
- MDM vip
重要:
。新しい登録FQDNを使用するには,新しいSQL ServerデータベースとXenMobile服务器の再構築が必要です。
安全的Web
【翻译】
- 安全网页
- Web安全Web
【翻译】
网络安全Webを内部での閲覧のみに使用する予定の場合,Citrix网关の構成は単純です。安全Webは,デフォルトですべての内部サイトに到達する必要があります。。
内部および外部のブラウジングに安全Webを使用する予定の場合は,サブネットIPアドレスに送信方向のインターネットアクセスを許可する必要があります。一般的に,部門は(MDXコンテナを使用する)登録済みデバイスを社内ネットワークの延長とみなします。そのため通常,部門は安全Web接続をCitrix ADCに戻し,プロキシサーバーを経由させてからインターネットに接続することを望みます。,安全Webはデフォルトですべてのネットワークアクセスに内部ネットワークへのアプリケーションごとのVPNトンネルを使用します。思杰ADC (Citrix ADC)
安全Web,“ユーザー接続の構成”(英文)。
安全邮件
【翻译】
- 【中文翻译
iOS:
Citrix网关構成に安全票权威(STA)が含まれていて,分割トンネリングがオフになっている場合,Citrix网关は安全邮件から,iOS向け安全邮件にプッシュ通知で指定されているCitrixリスナーサービスURLへのトラフィックを許可する必要があります。
Android:
云重火力点消息传递(FCM)を使用して,AndroidデバイスがXenMobileに接続するタイミングと方法を制御します。FCM構成では,セキュリティアクションや展開コマンドによって,ユーザーにXenMobile服务器への再接続を求めるプッシュ通知が安全中心に送信されます。
hdx
【翻译】
- HDXアプリケーションのアクセスを統合する場合にどんなSTAを使用するか
【翻译】
HDXのSTAは店面のSTAと一致する必要があり,虚拟应用程序和桌面ファームで有効である必要があります。
Citrix文件Citrix内容协作
【翻译】
- 存储区控制器
- http://www.citrix Files VIP http://www.citrix Files
【翻译】
ご使用の環境に存储区控制器を含める場合は,必ず以下を正しく構成してください:
- Citrix文件スイッチVIP (Citrix文件コントロールプレーンで存储区控制器サーバーとの通信に使用)
- Citrix Files
- 必要なすべてのポリシーとプロファイル
★★★★★存储区控制器,。
我的名字是:
【翻译】
- Citrix文件にSAMLが必要な場合,XenMobileをSAML IDプロバイダーとして使用するか
【翻译】
ベストプラクティスとして,Citrix文件をCitrix XenMobile高级版またはXenMobile Enterprise Editionと統合することをお勧めします。★★★★★★★★★☆☆☆☆☆☆☆☆☆☆☆☆☆☆☆☆☆☆☆☆☆☆☆☆☆☆☆☆☆☆☆☆☆☆☆☆☆☆☆☆☆☆☆☆☆これらのXenMobileエディションでCitrix文件を使用する場合,XenMobileによってCitrix文件に以下が提供されます:
- 業務用モバイルアプリユーザーのシングルサインオン(SSO)認証
- 活动目录,
- 包括的なアクセス制御ポリシー
XenMobileコンソールを使用してCitrix文件を構成したり,サービスレベルやライセンスの使用状況を監視したりできます。
2次の種類のCitrix文件クライアントがあります:Citrix文件XenMobileクライアント(別名,ラップされたCitrix文件),Citrix文件モバイルクライアント(別名,ラップされていないCitrix文件)。“,”Citrix文件XenMobileクライアントとCitrix文件モバイルクライアントの違い”(英文)。
SAMLを使用して以下へのSSOアクセスを提供するよう,XenMobileとCitrix内容协作を構成できます:
- Citrix文件
- ラップされていないCitrix文件クライアント(Webサイト,Outlook插件,同期クライアントなど)
XenMobileをCitrix文件用のSAML IDプロバイダーとして使用する場合は,設定が適切であることを確認してください。“哎哟!”Citrix文件、SAML、”(英文)。
ShareConnect
【翻译】
- ユーザーが直接接続を利用して,ShareConnectが動作するコンピューターまたはモバイルデバイスからホストコンピューターにアクセスするのを必須にするか
【翻译】
ShareConnectを使用すると,ユーザーはiPad, Androidタブレット,Androidスマートフォンから自分のコンピューターに安全に接続して,ファイルやアプリケーションにアクセスできます。直接接続の場合,XenMobileはCitrix网关を使ってローカルネットワークの外にあるリソースへの安全なアクセスを提供します。“,”ShareConnect”(英文)。
【翻译
| 管理モード | fqdn |
| (mdm + mam) | XenMobile服务器FQDN |
| エンタープライズ(MDM + MAM)とオプションのMDM登録 | Citrix网关FQDN |
| mdm | XenMobile服务器FQDN |
| mamam () | Citrix网关FQDN |
| 妈妈! | XenMobile服务器FQDN |
酰酰酰
Citrix的ADC XenMobileウィザードを使用して適切な設定を行うことをお勧めしています。。テスト環境,開発環境,および実稼働環境などの複数のXenMobileインスタンスがある場合は,追加の環境用に手動でCitrix ADCを構成する必要があります。作業環境がある場合は,XenMobile用に手動でCitrix ADCを構成する前に,設定を書き留めておいてください。
ウィザードの使用時に決定する事項の中で重要となるのは,XenMobile服务器との通信にHTTPSを使用するか,あるいはHTTPを使用するかという点です。HTTPSの場合、Citrix ADCとXenMobileとの間のトラフィックが暗号化されるため、安全なバックエンド通信が可能ですが、再暗号化はXenMobile Serverのパフォーマンスに影響します。HTTPの場合、XenMobile Serverのパフォーマンスは向上しますが、Citrix ADCとXenMobile間のトラフィックは暗号化されていません。以下の表に、Citrix ADCおよびXenMobile ServerのHTTPおよびHTTPSポートの要件を示します。
HTTPS
シトリックスでは通常,Citrix ADC MDM仮想サーバー構成用のSSLブリッジをお勧めしています。MDM仮想サーバーでCitrix ADC SSLオフロードを使用する場合、XenMobileはバックエンドサービスとしてポート80のみをサポートします。
| 管理モード | Citrix ADC | ssl | XenMobile |
| MDM | ssl | - | 443、8443 |
| 老妈 | ssl | 有効 | 8443 |
| 企业 | mdm: ssl | - | 443、8443 |
| 企业 | 妈妈:ssl | 有効 | 8443 |
HTTP
| 管理モード | Citrix ADC | ssl | XenMobile |
| MDM | ssl | 求求你,求求你 | 80 |
| 老妈 | ssl | 有効 | 8443 |
| 企业 | mdm: ssl | 求求你,求求你 | 80 |
| 企业 | 妈妈:ssl | 有効 | 8443 |
“XenMobile”、“Citrix Gateway”、“オンプレミス展開のリファレンスアーキテクチャ”(英文)。