Gateway

ダブルホップ DMZ 展開での通信フロー

ダブルホップDMZ展開に関連する構成の問題を理解するには、ダブルホップDMZ展開内のさまざまなNetScaler Gateway およびCitrix Virtual Apps コンポーネントがユーザー接続をサポートするためにどのように通信するかについての基本的な理解が必要です。StoreFrontとWeb Interfaceの接続プロセスは同じです。

ユーザー接続プロセスは 1 つの連続したフローで行われますが、このプロセスには次の高レベルのステップが含まれます。

  • ユーザーを認証する
  • セッションチケットを作成する
  • Citrix Workspace アプリを起動する
  • 接続を完了する

次の図は、StoreFront またはWeb Interfaceへのユーザー接続プロセスで発生する手順を示しています。セキュリティで保護されたネットワークでは、Citrix Virtual Apps を実行しているコンピューターは、Secure Ticket Authority(STA)、XMLサービス、および公開アプリケーションも実行しています。

ダブルホップ DMZ での接続プロセス

接続プロセス

ユーザの認証は、ダブルホップ DMZ 展開におけるユーザ接続プロセスの最初のステップです。

次の図は、この展開でのユーザー接続プロセスを示しています。

ダブルホップ DMZ でのユーザ認証プロセス

ユーザー認証段階では、次の基本プロセスが発生します。

  1. ユーザーがNetScaler Gatewayのhttps://www.ng.wxyco.comなどのアドレスをWebブラウザーで入力して、最初のDMZでNetScaler Gateway に接続します。NetScaler Gateway でログオンページ認証を有効にした場合、NetScaler Gateway はユーザーを認証します。
  2. 最初のDMZのNetScaler Gateway が要求を受信します。
  3. NetScaler Gateway は、Webブラウザー接続をWeb Interfaceにリダイレクトします。
  4. Web Interfaceは、内部ネットワークのサーバーファームで実行されているCitrix XMLサービスにユーザー資格情報を送信します。
  5. Citrix XMLサービスはユーザーを認証します。
  6. XML サービスは、ユーザーがアクセスを許可されている公開アプリケーションのリストを作成し、このリストを Web Interface に送信します。

    注:

    • NetScaler Gateway で認証を有効にすると、アプライアンスはNetScaler Gateway のログオンページをユーザーに送信します。ユーザーがログオンページで認証情報を入力すると、アプライアンスがユーザーを認証します。その後、NetScaler Gateway はユーザーの資格情報をWeb Interfaceに返します。

    • 認証を有効にしない場合、NetScaler Gateway は認証を実行しません。アプライアンスは Web インターフェイスに接続し、Web インターフェイスのログオンページを取得し、Web インターフェイスのログオンページをユーザーに送信します。ユーザーはWeb Interfaceのログオンページで認証資格情報を入力し、NetScaler Gateway はユーザーの資格情報をWeb Interfaceに返します。

    セッションチケットの作成は、ダブルホップ DMZ 展開におけるユーザ接続プロセスの第 2 段階です。

    セッションチケットの作成段階では、次の基本プロセスが発生します。

  7. Web Interfaceは、内部ネットワーク内のXMLサービスおよびSecure Ticket Authority(STA)の両方と通信し、ユーザーがアクセスを許可されている公開アプリケーションごとにセッションチケットを生成します。セッションチケットには、公開アプリケーションをホストするCitrix Virtual Apps を実行しているコンピューターのエイリアスアドレスが含まれています。
  8. STA は、公開アプリケーションをホストするサーバーの IP アドレスを保存します。次に、STA は要求されたセッションチケットを Web Interface に送信します。各セッションチケットには、公開アプリケーションをホストするサーバーのIPアドレスを表すエイリアスが含まれていますが、実際のIPアドレスは含まれません。
  9. Web Interface は、公開アプリケーションごとに ICA ファイルを生成します。ICA ファイルには、STA によって発行されたチケットが含まれています。次に、Web Interface は、公開アプリケーションへのリンクの一覧を Web ページを作成して入力し、この Web ページをユーザーデバイス上の Web ブラウザに送信します。

    Citrix Workspace アプリの起動は、ダブルホップDMZ展開におけるユーザー接続プロセスの第3段階です。基本的なプロセスは次のとおりです。

  10. ユーザーが Web Interface で公開アプリケーションへのリンクをクリックします。Web Interfaceは、その公開アプリケーションのICAファイルをユーザーデバイスのブラウザに送信します。

    ICAファイルには、WebブラウザーにReceiverを起動するように指示するデータが含まれています。

    ICAファイルには、最初のDMZのNetScaler Gateway の完全修飾ドメイン名(FQDN)またはドメインネームシステム(DNS)名も含まれています。

  11. WebブラウザでReceiverが起動し、ユーザーはICAファイル内のNetScaler Gateway名を使用して、最初のDMZでNetScaler Gatewayに接続します。最初のSSL/TLSハンドシェークは、NetScaler Gateway を実行しているサーバーのアイデンティティを確立するために発生します。

    接続の完了は、ダブルホップ DMZ 展開におけるユーザ接続プロセスの第 4 段階であり、最後の段階です。

    接続完了段階では、次の基本プロセスが発生します。

    • ユーザーが Web Interface で公開アプリケーションへのリンクをクリックします。
    • Webブラウザーは、Web Interfaceによって生成されたICAファイルを受信し、Citrix Workspace アプリを起動します。 注:ICAファイルには、Citrix Workspace アプリを起動するようにWebブラウザーに指示するコードが含まれています。
    • Citrix Workspace アプリは、最初のDMZでNetScaler GatewayへのICA接続を開始します。
    • 最初のDMZのNetScaler Gatewayは、内部ネットワーク内のSecure Ticket Authority(STA)と通信して、セッションチケットのエイリアスアドレスを、Citrix Virtual Apps またはStoreFront を実行しているコンピューターの実際のIPアドレスに解決します。この通信は、NetScaler Gateway プロキシによって2番目のDMZを介してプロキシされます。
    • 最初のDMZのNetScaler Gatewayは、Citrix Workspace アプリへのICA接続を完了します。
    • Citrix Workspace アプリは、両方のNetScaler Gateway アプライアンスを介して、内部ネットワーク上のCitrix Virtual Apps を実行しているコンピューターと通信できるようになりました。

    ユーザー接続プロセスを完了するための詳細な手順は次のとおりです。

  12. Citrix Workspace アプリは、公開アプリケーションのSTAチケットを最初のDMZでNetScaler Gateway に送信します。
  13. 最初のDMZのNetScaler Gateway は、チケットの検証のために内部ネットワークのSTAに接続します。STAに接続するために、NetScaler Gatewayは、2番目のDMZのNetScaler GatewayプロキシへのSSL接続を備えたSOCKSまたはSOCKSを確立します。
  14. 2番目のDMZのNetScaler Gateway プロキシは、内部ネットワークのSTAにチケット検証要求を渡します。STAはチケットを検証し、公開アプリケーションをホストするCitrix Virtual Apps を実行しているコンピューターにチケットをマッピングします。
  15. STAは、2番目のDMZのNetScaler Gatewayプロキシに応答を送信します。この応答は、最初のDMZでNetScaler Gatewayに渡されます。この応答により、チケットの検証が完了し、公開アプリケーションをホストするコンピュータのIPアドレスが含まれます。
  16. 最初のDMZのNetScaler Gateway は、Citrix Virtual Apps サーバーのアドレスをユーザー接続パケットに組み込み、このパケットを2番目のDMZのNetScaler Gateway プロキシに送信します。
  17. 2番目のDMZのNetScaler Gateway プロキシは、接続パケットで指定されたサーバーに接続要求を行います。
  18. サーバーは、2番目のDMZのNetScaler Gateway プロキシに応答します。2番目のDMZのNetScaler Gateway プロキシは、この応答を最初のDMZのNetScaler Gateway に渡して、最初のDMZのサーバーとNetScaler Gatewayの間の接続を完了します。
  19. 最初のDMZのNetScaler Gateway は、最終的な接続パケットをユーザーデバイスに渡すことによって、ユーザーデバイスとのSSL/TLSハンドシェイクを完了します。ユーザーデバイスからサーバーへの接続が確立されます。
  20. ICAトラフィックは、最初のDMZのNetScaler Gatewayと2番目のDMZのNetScaler Gatewayプロキシを経由して、ユーザーデバイスとサーバーの間を流れます。
ダブルホップ DMZ 展開での通信フロー