Gateway

Établissement d’une connexion sécurisée à la batterie de serveurs

L’exemple suivant montre comment Citrix Gateway déployé dans la zone démilitarisée est compatible avec l’interface Web afin de fournir un point d’accès unique et sécurisé aux ressources publiées disponibles sur un réseau d’entreprise sécurisé.

Dans cet exemple, les conditions suivantes sont réunies :

  • Les appareils utilisateur via Internet se connectent à Citrix Gateway à l’aide de Citrix Receiver.
  • L’interface Web se trouve derrière Citrix Gateway dans le réseau sécurisé. La machine utilisateur établit la connexion initiale à Citrix Gateway et la connexion est transmise à l’interface Web.
  • Le réseau sécurisé contient une batterie de serveurs. Un serveur de cette batterie de serveurs exécute la Secure Ticket Authority (STA) et Citrix XML Service. La STA et le service XML peuvent s’exécuter sur Citrix Virtual Apps and Desktops.

Présentation du processus : accès utilisateur aux ressources publiées dans la batterie de serveurs

  1. Un utilisateur distant tape l’adresse de Citrix Gateway, par exemple,https://www.ag.wxyco.com dans le champ d’adresse d’un navigateur Web. La machine utilisateur tente cette connexion SSL sur le port 443, qui doit être ouvert via le pare-feu pour que la connexion réussisse.
  2. Citrix Gateway reçoit la demande de connexion et les utilisateurs sont invités à entrer leurs informations d’identification. Les informations d’identification sont renvoyées via Citrix Gateway, les utilisateurs sont authentifiés et la connexion est transmise à l’interface Web.
  3. L’interface Web envoie les informations d’identification de l’utilisateur au service XML Citrix exécuté dans la batterie de serveurs.
  4. Le service XML authentifie les informations d’identification de l’utilisateur et envoie à l’interface Web une liste des applications ou bureaux publiés auxquels l’utilisateur est autorisé à accéder.
  5. L’interface Web remplit une page Web avec la liste des ressources publiées (applications ou bureaux) auxquelles l’utilisateur est autorisé à accéder et envoie cette page Web à la machine utilisateur.
  6. L’utilisateur clique sur un lien vers une application ou un bureau publié. Une demande HTTP est envoyée à l’interface Web indiquant la ressource publiée sur laquelle l’utilisateur a cliqué.
  7. L’interface Web interagit avec le service XML et reçoit un ticket indiquant le serveur sur lequel la ressource publiée est exécutée.
  8. L’interface Web envoie une demande de ticket de session à la STA. Cette demande spécifie l’adresse IP du serveur sur lequel la ressource publiée est exécutée. La STA enregistre cette adresse IP et envoie le ticket de session demandé à l’interface Web.
  9. L’interface Web génère un fichier ICA contenant le ticket émis par la STA et l’envoie au navigateur Web de la machine utilisateur. Le fichier ICA généré par l’interface Web contient le nom de domaine complet (FQDN) ou le nom DNS (Domain Name System) de Citrix Gateway. L’adresse IP du serveur exécutant la ressource demandée n’est jamais révélée aux utilisateurs.
  10. Le fichier ICA contient des données demandant au navigateur Web de démarrer Citrix Receiver. La machine utilisateur se connecte à Citrix Gateway à l’aide du nom de domaine complet ou DNS Citrix Gateway figurant dans le fichier ICA. La connexion SSL/TLS initiale a lieu pour établir l’identité de Citrix Gateway.
  11. La machine utilisateur envoie le ticket de session à Citrix Gateway, puis Citrix Gateway contacte la STA pour la validation du ticket.
  12. La STA renvoie l’adresse IP du serveur sur lequel réside l’application demandée à Citrix Gateway.
  13. Citrix Gateway établit une connexion TCP au serveur.
  14. Citrix Gateway termine l’établissement de liaison de connexion avec la machine utilisateur et indique à la machine utilisateur que la connexion est établie avec le serveur. Tout trafic supplémentaire entre la machine utilisateur et le serveur est acheminé par proxy via Citrix Gateway. Le trafic entre la machine utilisateur et Citrix Gateway est chiffré. Le trafic entre Citrix Gateway et le serveur peut être chiffré indépendamment, mais il n’est pas chiffré par défaut.
Établissement d’une connexion sécurisée à la batterie de serveurs