与Citrix Gateway和Citrix ADC集成
与端点管理集成后,Citrix网关为老妈设备提供了远程设备访问内部网络时使用的身份验证机制。通过该集成,Citrix移动生产力应用程序可以通过微VPN连接到内部网中的公司服务器。Endpoint Management在设备上的应用程序与Citrix Gateway之间创建一个Micro VPN。Citrix网关提供用于访问所有公司资源的微VPN路径,并提供加强的多重身份验证支持。
当用户选择退出MDM注册时,设备将使用Citrix Gateway FQDN进行注册。
Citrix Cloud运营团队负责管理Citrix ADC负载平衡。
设计决策
以下各节概述了规划Citrix网关与端点管理的集成时要考虑的多个设计决策。
证书
决策详细信息:
- 端点管理环境中的注册和访问是否需要更高的安全性?
- 是否无法使用ldap ?
设计指导:
端点管理的默认配置是用户名和密码身份验证。要为端点管理环境中的注册和访问再增加一个安全层,请考虑使用基于证书的身份验证。您可以组合使用证书与ldap以实现双重身份验证,从而提高安全性,而无需rsa服务器。
如果禁用了LDAP并且不希望使用智能卡或类似方法,配置证书可代替智能卡来访问端点管理。用户随后使用终端管理生成的唯一PIN码进行注册。用户获取访问权限后,端点管理将创建和部署以后用来在端点管理环境中执行身份验证的证书。
端点管理支持对第三方证书颁发机构使用证书吊销列表(CRL)。如果您配置了微软CA,端点管理将使用Citrix网关管理吊销。配置基于客户端证书的身份验证时,请考虑是否需要配置Citrix网关证书吊销列表(CRL)设置启用CRL自动刷新启用CRL自动刷新)。此步骤可确保使用在仅妈妈模式下注册的设备的用户无法使用设备上的现有证书进行身份验证。端点管理将重新颁发新证书,因为吊销用户证书后,端点管理不会限制用户生成用户证书。此设置提高了CRL检查过期的pki实体时pki实体的安全性。
专用或共享的思杰网关VIP
决策详细信息:
- 您目前是否为Citrix虚拟应用程序和桌面使用Citrix网关?
- 端点管理是否使用与Citrix虚拟应用程序和桌面相同的Citrix网关?
- 两种通信流的身份验证要求是什么?
设计指导:
如果您的Citrix环境包含端点管理以及虚拟应用程序和桌面,两者可以使用相同的Citrix网关虚拟服务器。由于可能存在版本控制冲突和环境隔离,建议每个端点管理环境使用专用Citrix网关。
如果您使用LDAP身份验证,Citrix工作区和安全中心可以向同一Citrix网关进行身份验证,不会有任何问题。如果您使用基于证书的身份验证,端点管理将推送MDX容器中的证书,安全中心将使用该证书向Citrix网关进行身份验证。工作区应用程序与安全中心是分开的,无法与安全中心使用同一证书向同一Citrix网关进行身份验证。
您可以考虑以下解决方法,这样,您可以对两个Citrix网关VIP使用同一FQDN。您可以创建两个具有相同IP地址的思杰网关VIP。用于安全Hub的VIP使用标准443端口,用于Citrix虚拟应用程序和桌面(部署Citrix工作区应用程序)的VIP使用端口444。然后,一个FQDN解析为相同的IP地址。对于此解决方法,您可能需要将店面配置为返回端口444年而不是默认端口443的ICA文件。此解决方法不需要用户输入端口号。
Citrix Gateway超时
决策详细信息:
- 您要如何配置端点管理流量的Citrix网关超时?
设计指南:
Citrix Gateway包括"会话超时"和"强制超时"设置。有关详细信息,请参阅建议的配置。请谨记,后台服务,Citrix Gateway以及脱机时访问应用程序的超时值不同。
注册FQDN
重要:
要更改注册,FQDN需要一个新的SQL Server数据库和端点管理服务器重新构建。
安全网页流量
决策详细信息:
- 安全Web是否仅限制于内部Web浏览?
- 是否启用安全Web进行内部Web浏览和外部Web浏览?
设计指导:
如果您计划仅使用安全Web进行内部网页浏览,Citrix网关配置将非常简单。但是,如果默认情况下安全Web无法访问所有内部站点,您可能需要配置防火墙和代理服务器。
如果您计划将安全Web用于外部浏览和内部浏览,则必须启用剪断以便具有出站网络访问权限。它通常将注册的设备(使用MDX容器)视为企业网络的扩展。因此,通常希望安全Web连接恢复到Citrix网关,通过代理服务器,然后转到互联网。默认情况下,安全Web访问通过通道连接到内部网络。安全Web对所有网络访问使用返回到内部网络的PerApp VPN通道,并且Citrix网关使用拆分通道设置。
有关安全Web连接的讨论,请参阅配置用户连接。
安全邮件的推送通知
决策详细信息:
- 是否使用推送通知?
适用于iOS的设计指导:
如果Citrix Gateway配置包括Secure Ticket Authority (STA),并且拆分通道已关闭,Citrix Gateway必须允许从Secure Mail到Citrix侦听器服务URL的流量。这些URL在iOS安全邮件的推送通知中指定。
适用于Android的设计指导:
请使用Firebase云消息(FCM)控制Android设备需要连接到端点管理的方式和时间。配置了FCM后,任何安全操作或部署命令都将触发向安全中心推送通知,以提示用户重新连接到端点管理服务器。
HDX STA
决策详细信息:
- 如果集成HDX应用程序访问,要使用什么sta ?
设计指导:
HDX STA必须匹配StoreFront中的STA,并且必须对虚拟应用程序和桌面站点有效。
Citrix Files和Citrix Content Collaboration
决策详细信息:
- 您是否会在环境中使用存储区域控制器?
- 将使用什么Citrix Files VIP URL?
设计指导:
如果您将在环境中包含存储区域控制器,请确保正确配置以下对象:
- Citrix文件内容交换机VIP (Citrix文件控制平面用于与存储区域控制器服务器通信)
- Citrix Files负载平衡VIP
- 所有必需的策略和配置文件
有关信息,请参阅存储区域控制器的文档。
SAML国内流离失所者
决策详细信息:
- 如果Citrix Files需要SAML,您是否要将Endpoint Management用作SAML IdP?
设计指导:
推荐的最佳做法是,将Citrix文件与端点管理集成,这样做比配置基于SAML的联合身份验证更简单。端点管理为Citrix文件提供:
- Citrix移动生产力应用程序用户的单点登录(SSO)身份验证
- 基于活动目录的用户帐户预配
- 全面的访问控制策略。
通过端点管理控制台,可以执行Citrix文件配置以及监视服务级别和许可证使用情况。
有两种类型的Citrix文件客户端:适用于端点管理的Citrix文件(又称为打包的Citrix文件)和Citrix文件移动客户端(又称为未打包的Citrix文件)。要了解差别,请参阅Citrix文件用于端点管理客户端与Citrix文件移动客户端之间的差别。
可以将端点管理和Citrix文件配置为使用SAML提供对以下内容的SSO访问:
- 使用MDX Toolkit启用或封装MAM SDK的Citrix Files应用程序
- 未封装的Citrix Files客户端,例如Web站点,Outlook插件或同步客户端
如果要将端点管理用的SAML IdP作Citrix文件,请确保已实施合适的配置。有关详细信息,请参阅SAML SSO与Citrix文件。
ShareConnect直接连接
决策详细信息:
- 用户是否从运行使用直接连接的ShareConnect的计算机或移动设备访问主机计算机?
设计指导:
借助ShareConnect,用户可以通过iPad, Android平板电脑和安卓手机安全地连接到其计算机,以访问文件和应用程序。对于直接连接,端点管理使用Citrix网关提供对本地网络外部的资源的安全访问。有关配置详细信息,请参阅ShareConnect。
每个管理模式的注册FQDN
| 管理模式 | 注册FQDN |
|---|---|
| 采用强制MDM注册的MDM+ mam | 终端管理服务器FQDN |
| 采用可选MDM注册的MDM+ mam | Endpoint Management服务器FQDN或Citrix Gateway FQDN |
| 仅老妈 | 终端管理服务器FQDN |
| 仅妈妈(旧版) | Citrix Gateway FQDN |
部署摘要
如果您有多个端点管理实例(例如,用于测试,开发和生产环境),则必须手动为其他环境配置Citrix网关。您有工作环境时,请先记下设置,然后再尝试手动为端点管理配置Citrix网关。
一个主要决定是对与端点管理服务器的通信使用HTTPS还是HTTP。HTTPS提供安全的后端通信,因为 Citrix Gateway 与 Endpoint Management 之间的流量已加密。重新加密会影响 Endpoint Management 服务器性能。HTTP 提供了更好的 Endpoint Management 服务器性能。Citrix Gateway 与 Endpoint Management 之间的流量未加密。以下各表显示了 Citrix Gateway 和 Endpoint Management 的 HTTP 和 HTTPS 端口要求。
HTTPS
Citrix通常建议对Citrix Gateway MDM虚拟服务器配置使用SSL桥接。如果对MDM虚拟服务器使用Citrix网关SSL卸载,端点管理仅支持后端服务使用端口80。
| 管理模式 | Citrix Gateway负载平衡方法 | SSL重新加密 | 端点管理服务器端口 |
|---|---|---|---|
| 老妈 | SSL卸载 | 已启用 | 8443 |
| MDM +老妈 | Mdm: ssl桥接 | 不适用 | 443、8443 |
| MDM +老妈 | 女士:ssl卸载 | 已启用 | 8443 |
HTTP
| 管理模式 | Citrix Gateway负载平衡方法 | SSL重新加密 | 端点管理服务器端口 |
|---|---|---|---|
| 老妈 | SSL卸载 | 已启用 | 8443 |
| MDM +老妈 | Mdm: ssl卸载 | 不支持 | 80 |
| MDM +老妈 | 女士:ssl卸载 | 已启用 | 8443 |
有关终端管理部署中的Citrix网关图表,请参阅体系结构。