Citrix Gateway

ダブルホップ DMZ 展開での通信フロー

ダブルホップDMZ展開に関連する構成の問題を理解するには、ダブルホップDMZ展開内のさまざまなCitrix Gateway およびCitrix Virtual Apps コンポーネントがユーザー接続をサポートするためにどのように通信するかについての基本的な理解が必要です。StoreFrontとWebインターフェイスの接続プロセスは同じです。

ユーザー接続プロセスは 1 つの連続したフローで行われますが、このプロセスには次の高レベルのステップが含まれます。

  • ユーザーを認証する
  • セッションチケットを作成する
  • Citrix Workspace アプリを起動する
  • 接続を完了する

次の図は、StoreFront またはWeb Interfaceへのユーザー接続プロセスで発生する手順を示しています。セキュリティで保護されたネットワークでは、Citrix Virtual Apps を実行しているコンピューターは、Secure Ticket Authority(STA)、XMLサービス、および公開アプリケーションも実行しています。

ダブルホップ DMZ での接続プロセス

接続プロセス

ユーザの認証は、ダブルホップ DMZ 展開におけるユーザ接続プロセスの最初のステップです。

次の図は、この展開でのユーザー接続プロセスを示しています。

ダブルホップ DMZ でのユーザ認証プロセス

ユーザー認証段階では、次の基本プロセスが発生します。

  1. ユーザーがCitrix Gatewayのhttps://www.ng.wxyco.comなどのアドレスをWebブラウザーで入力して、最初のDMZでCitrix Gateway に接続します。Citrix Gateway でログオンページ認証を有効にした場合、Citrix Gateway はユーザーを認証します。
  2. 最初のDMZのCitrix Gateway が要求を受信します。
  3. Citrix Gateway は、Webブラウザー接続をWebインターフェイスにリダイレクトします。
  4. Web Interfaceは、内部ネットワークのサーバーファームで実行されているCitrix XMLサービスにユーザー資格情報を送信します。
  5. Citrix XMLサービスはユーザーを認証します。
  6. XML サービスは、ユーザーがアクセスを許可されている公開アプリケーションのリストを作成し、このリストを Web Interface に送信します。

    注:

    • Citrix Gateway で認証を有効にすると、アプライアンスはCitrix Gateway のログオンページをユーザーに送信します。ユーザーがログオンページで認証情報を入力すると、アプライアンスがユーザーを認証します。その後、Citrix Gateway はユーザーの資格情報をWebインターフェイスに返します。

    • 認証を有効にしない場合、Citrix Gateway は認証を実行しません。アプライアンスは Web インターフェイスに接続し、Web インターフェイスのログオンページを取得し、Web インターフェイスのログオンページをユーザーに送信します。ユーザーはWebインターフェイスのログオンページで認証資格情報を入力し、Citrix Gateway はユーザーの資格情報をWebインターフェイスに返します。

    セッションチケットの作成は、ダブルホップ DMZ 展開におけるユーザ接続プロセスの第 2 段階です。

    セッションチケットの作成段階では、次の基本プロセスが発生します。

  7. Web Interfaceは、内部ネットワーク内のXMLサービスおよびSecure Ticket Authority(STA)の両方と通信し、ユーザーがアクセスを許可されている公開アプリケーションごとにセッションチケットを生成します。セッションチケットには、公開アプリケーションをホストするCitrix Virtual Apps を実行しているコンピューターのエイリアスアドレスが含まれています。
  8. STA は、公開アプリケーションをホストするサーバーの IP アドレスを保存します。次に、STA は要求されたセッションチケットを Web Interface に送信します。各セッションチケットには、公開アプリケーションをホストするサーバーのIPアドレスを表すエイリアスが含まれていますが、実際のIPアドレスは含まれません。
  9. Web Interface は、公開アプリケーションごとに ICA ファイルを生成します。ICA ファイルには、STA によって発行されたチケットが含まれています。次に、Web Interface は、公開アプリケーションへのリンクの一覧を Web ページを作成して入力し、この Web ページをユーザーデバイス上の Web ブラウザに送信します。

    Citrix Workspace アプリの起動は、ダブルホップDMZ展開におけるユーザー接続プロセスの第3段階です。基本的なプロセスは次のとおりです。

  10. ユーザーが Web Interface で公開アプリケーションへのリンクをクリックします。Web Interfaceは、その公開アプリケーションのICAファイルをユーザーデバイスのブラウザに送信します。

    ICAファイルには、WebブラウザーにReceiverを起動するように指示するデータが含まれています。

    ICAファイルには、最初のDMZのCitrix Gateway の完全修飾ドメイン名(FQDN)またはドメインネームシステム(DNS)名も含まれています。

  11. WebブラウザでReceiverが起動し、ユーザーはICAファイル内のCitrix Gateway名を使用して、最初のDMZでCitrix Gatewayに接続します。最初のSSL/TLSハンドシェークは、Citrix Gateway を実行しているサーバーのアイデンティティを確立するために発生します。

    接続の完了は、ダブルホップ DMZ 展開におけるユーザ接続プロセスの第 4 段階であり、最後の段階です。

    接続完了段階では、次の基本プロセスが発生します。

    • ユーザーが Web Interface で公開アプリケーションへのリンクをクリックします。
    • Webブラウザーは、Webインターフェイスによって生成されたICAファイルを受信し、Citrix Workspace アプリを起動します。 注:ICAファイルには、Citrix Workspace アプリを起動するようにWebブラウザーに指示するコードが含まれています。
    • Citrix Workspace アプリは、最初のDMZでCitrix GatewayへのICA接続を開始します。
    • 最初のDMZのCitrix Gatewayは、内部ネットワーク内のSecure Ticket Authority(STA)と通信して、セッションチケットのエイリアスアドレスを、Citrix Virtual Apps またはStoreFront を実行しているコンピューターの実際のIPアドレスに解決します。この通信は、Citrix Gateway プロキシによって2番目のDMZを介してプロキシされます。
    • 最初のDMZのCitrix Gatewayは、Citrix Workspace アプリへのICA接続を完了します。
    • Citrix Workspace アプリは、両方のCitrix Gateway アプライアンスを介して、内部ネットワーク上のCitrix Virtual Apps を実行しているコンピューターと通信できるようになりました。

    ユーザー接続プロセスを完了するための詳細な手順は次のとおりです。

  12. Citrix Workspace アプリは、公開アプリケーションのSTAチケットを最初のDMZでCitrix Gateway に送信します。
  13. 最初のDMZのCitrix Gateway は、チケットの検証のために内部ネットワークのSTAに接続します。STAに接続するために、Citrix Gatewayは、2番目のDMZのCitrix GatewayプロキシへのSSL接続を備えたSOCKSまたはSOCKSを確立します。
  14. 2番目のDMZのCitrix Gateway プロキシは、内部ネットワークのSTAにチケット検証要求を渡します。STAはチケットを検証し、公開アプリケーションをホストするCitrix Virtual Apps を実行しているコンピューターにチケットをマッピングします。
  15. STAは、2番目のDMZのCitrix Gatewayプロキシに応答を送信します。この応答は、最初のDMZでCitrix Gatewayに渡されます。この応答により、チケットの検証が完了し、公開アプリケーションをホストするコンピュータのIPアドレスが含まれます。
  16. 最初のDMZのCitrix Gateway は、Citrix Virtual Apps サーバーのアドレスをユーザー接続パケットに組み込み、このパケットを2番目のDMZのCitrix Gateway プロキシに送信します。
  17. 2番目のDMZのCitrix Gateway プロキシは、接続パケットで指定されたサーバーに接続要求を行います。
  18. サーバーは、2番目のDMZのCitrix Gateway プロキシに応答します。2番目のDMZのCitrix Gateway プロキシは、この応答を最初のDMZのCitrix Gateway に渡して、最初のDMZのサーバーとCitrix Gatewayの間の接続を完了します。
  19. 最初のDMZのCitrix Gateway は、最終的な接続パケットをユーザーデバイスに渡すことによって、ユーザーデバイスとのSSL/TLSハンドシェイクを完了します。ユーザーデバイスからサーバーへの接続が確立されます。
  20. ICAトラフィックは、ユーザーデバイスとサーバーの間で、最初のDMZのCitrix Gateway、2番目のDMZのCitrix Gatewayプロキシを介して流れます。
ダブルホップ DMZ 展開での通信フロー

この記事の概要