Établissement d’une connexion sécurisée à la batterie de serveurs

L’exemple suivant montre comment Citrix Gateway déployé dans la zone DMZ fonctionne avec l’interface Web pour fournir un point d’accès unique et sécurisé aux ressources publiées disponibles dans un réseau d’entreprise sécurisé.

Dans cet exemple, toutes les conditions suivantes existent :

  • Les machines utilisateur d’Internet se connectent à Citrix Gateway à l’aide de Citrix Receiver.
  • L’interface Web réside derrière Citrix Gateway dans le réseau sécurisé. La machine utilisateur établit la connexion initiale à Citrix Gateway et la connexion est transmise à l’interface Web.
  • Le réseau sécurisé contient une batterie de serveurs. Un serveur de cette batterie de serveurs exécute le Secure Ticket Authority (STA) et le service XML Citrix. Le STA et le service XML peuvent s’exécuter sur Citrix Virtual Apps and Desktops.

Vue d’ensemble du processus : Accès utilisateur aux ressources publiées dans la batterie de serveurs

  1. Un utilisateur distant tape l’adresse de Citrix Gateway, par exemplehttps://www.ag.wxyco.com, dans le champ Adresse d’un navigateur Web. La machine utilisateur tente cette connexion SSL sur le port 443, qui doit être ouvert via le pare-feu pour que la connexion réussisse.
  2. Citrix Gateway reçoit la demande de connexion et les utilisateurs sont invités à fournir leurs informations d’identification. Les informations d’identification sont transmises via Citrix Gateway, les utilisateurs sont authentifiés et la connexion est transmise à l’interface Web.
  3. L’interface Web envoie les informations d’identification utilisateur au service XML Citrix exécuté dans la batterie de serveurs.
  4. Le service XML authentifie les informations d’identification de l’utilisateur et envoie à l’interface Web une liste des applications ou postes de travail publiés auxquels l’utilisateur est autorisé à accéder.
  5. L’interface Web remplit une page Web avec la liste des ressources publiées (applications ou postes de travail) auxquelles l’utilisateur est autorisé à accéder et envoie cette page Web à la machine utilisateur.
  6. L’utilisateur clique sur une application publiée ou un lien de bureau. Une requête HTTP est envoyée à l’interface Web indiquant la ressource publiée sur laquelle l’utilisateur a cliqué.
  7. L’interface Web interagit avec le service XML et reçoit un ticket indiquant le serveur sur lequel la ressource publiée s’exécute.
  8. L’interface Web envoie une demande de ticket de session au STA. Cette requête spécifie l’adresse IP du serveur sur lequel la ressource publiée s’exécute. Le STA enregistre cette adresse IP et envoie le ticket de session demandé à l’interface Web.
  9. L’interface Web génère un fichier ICA contenant le ticket émis par la STA et l’envoie au navigateur Web sur la machine utilisateur. Le fichier ICA généré par l’interface Web contient le nom de domaine complet (FQDN) ou le nom DNS (Domain Name System) de Citrix Gateway. Notez que l’adresse IP du serveur exécutant la ressource demandée n’est jamais révélée aux utilisateurs.
  10. Le fichier ICA contient des données demandant au navigateur Web de démarrer Citrix Receiver. La machine utilisateur se connecte à Citrix Gateway à l’aide du nom de domaine complet ou du nom DNS Citrix Gateway dans le fichier ICA. La manipulation initiale SSL/TLS se produit pour établir l’identité de Citrix Gateway.
  11. La machine utilisateur envoie le ticket de session à Citrix Gateway, puis Citrix Gateway contacte le STA pour la validation des tickets.
  12. Le STA renvoie l’adresse IP du serveur sur lequel réside l’application demandée dans Citrix Gateway.
  13. Citrix Gateway établit une connexion TCP au serveur.
  14. Citrix Gateway termine la négociation de connexion avec la machine utilisateur et indique à la machine utilisateur que la connexion est établie avec le serveur. Tout le trafic supplémentaire entre la machine utilisateur et le serveur est transmis par proxy via Citrix Gateway. Le trafic entre la machine utilisateur et Citrix Gateway est chiffré. Le trafic entre Citrix Gateway et le serveur peut être chiffré indépendamment, mais n’est pas chiffré par défaut.

Établissement d’une connexion sécurisée à la batterie de serveurs