サーバファームへのセキュアな接続の確立

以下の例は、DMZにデプロイされたCitrix Gateway がWeb Interfaceと連携して、セキュアなエンタープライズネットワークで使用可能な公開リソースへのセキュアな単一アクセスポイントを提供する方法を示しています。

この例では、次のすべての条件が存在します。

  • インターネットからのユーザーデバイスは、Citrix Workspaceアプリを使用してCitrix Gatewayに接続します。
  • Web Interfaceは、安全なネットワーク内のCitrix Gateway の背後に存在します。ユーザーデバイスによってCitrix Gateway への初期接続が確立され、その接続がWeb Interfaceに渡されます。
  • セキュアネットワークには、サーバファームが含まれています。このサーバーファーム内の1つのサーバーが、Secure Ticket Authority(STA)とCitrix XMLサービスを実行します。STAとXMLサービスは、Citrix Virtual Apps and Desktops のいずれかで実行できます。

プロセスの概要:サーバーファームで公開されたリソースへのユーザーアクセス

  1. リモートユーザーは、Citrix Gateway のアドレス(例:https://www.ag.wxyco.com)をWebブラウザのアドレスフィールドに入力します。ユーザーデバイスは、ポート443でこのSSL接続を試行します。接続が成功するには、ファイアウォールを介して開かれている必要があります。
  2. Citrix Gateway は接続要求を受信し、ユーザーに資格情報の入力を求められます。資格情報はCitrix Gateway 経由で戻され、ユーザーが認証され、接続がWeb Interfaceに渡されます。
  3. Web Interfaceは、サーバーファームで実行されているCitrix XMLサービスにユーザーの資格情報を送信します。
  4. XML サービスは、ユーザーの資格情報を認証し、ユーザーがアクセスを許可されている公開アプリケーションまたはデスクトップのリストをWeb Interfaceに送信します。
  5. Web Interfaceでは、ユーザーがアクセスを許可されている公開リソース(アプリケーションまたはデスクトップ)のリストがWebページに入力され、このWebページをユーザーデバイスに送信します。
  6. ユーザーが公開アプリケーションまたはデスクトップリンクをクリックします。ユーザーがクリックした公開リソースを示す HTTP リクエストが Web Interfaceに送信されます。
  7. Webインタフェースは、XMLサービスと対話し、公開されたリソースが実行されているサーバーを示すチケットを受け取ります。
  8. Web Interfaceは、セッション・チケット要求をSTAに送信します。この要求は、公開リソースが実行されるサーバーの IP アドレスを指定します。STAがこのIPアドレスを保存し、要求されたセッションチケットをWeb Interfaceに送信します。
  9. Web Interfaceにより、STAが発行したチケットを含むICAファイルが生成され、ユーザーデバイスのWebブラウザに送信されます。Web Interfaceによって生成されたICAファイルには、Citrix Gateway の完全修飾ドメイン名(FQDN)またはドメインネームシステム(DNS)名が含まれています。要求されたリソースを実行しているサーバーの IP アドレスがユーザーに公開されることはありません。
  10. ICAファイルには、WebブラウザにCitrix Workspace アプリを起動するように指示するデータが含まれています。 ユーザーデバイスは、ICAファイル内のCitrix GatewayのFQDNまたはDNS名を使用してCitrix Gatewayに接続します。初期SSL/TLSハンドシェイクが実行され、Citrix Gateway のアイデンティティが確立されます。
  11. ユーザーデバイスがセッションチケットをCitrix Gatewayに送信し、Citrix GatewayがSTAに接続してチケットの検証を行います。
  12. STAは、要求されたアプリケーションが存在するサーバーのIPアドレスをCitrix Gateway に返します。
  13. Citrix Gateway は、サーバーへのTCP接続を確立します。
  14. Citrix Gateway はユーザーデバイスとの接続ハンドシェイクを完了し、サーバーとの接続が確立されたことをユーザーデバイスに通知します。ユーザーデバイスとサーバー間のトラフィックはすべて、Citrix Gateway を介してプロキシされます。ユーザーデバイスとCitrix Gateway の間のトラフィックは暗号化されます。Citrix Gateway とサーバー間のトラフィックは個別に暗号化できますが、デフォルトでは暗号化されません。