Gateway

StoreFront を使用してCitrix Virtual Apps and Desktopsのリソースにアクセスする

組織にCitrix Virtual Apps and Desktops サイトがある場合は、NetScaler Gatewayを展開して、StoreFront を使用して公開アプリケーションと仮想デスクトップへの安全なインターネットアクセスを提供できます。

このような展開では、NetScaler GatewayはStoreFront とSecure Ticket Authority(STA)をサポートして、Citrix Virtual Delivery Agentソフトウェアを実行する仮想システムまたは物理システム上でホストされている公開アプリケーションおよび仮想デスクトップへの認証、承認、およびリダイレクトを行います。

この機能は、NetScaler GatewayをStoreFront およびCitrix Virtual Apps and Desktops 統合することによって実現されます。この統合により、StoreFront への高度な認証とアクセス制御オプションが提供されます。StoreFront について詳しくは、NetScalerドキュメンテーションライブラリのStoreFront ドキュメントを参照してください。

Citrix Virtual Apps and Desktopsサイトへのリモート接続には、Citrix Secure Accessクライアントは必要ありません。公開アプリケーションまたはデスクトップにアクセスするには、Citrix Workspace アプリを使用して接続します。

NetScaler Gateway をCitrix Virtual Apps and Desktops 統合する

ユーザー接続用にNetScaler Gatewayを構成するときは、Citrix Virtual Apps、Citrix Virtual Desktops、またはその両方へのネットワークトラフィックの設定を含めることができます。そのためには、NetScaler GatewayとStoreFront が相互に通信するように構成します。

これらの製品を統合するためのタスクは次のとおりです:

  • Citrix Virtual Apps and DesktopsサイトでStoreFront サイトを作成します。
  • ユーザー接続をNetScaler Gateway経由でルーティングするようにStoreFront 内で設定を構成します。
  • NetScaler GatewayがStoreFront およびSecure Ticket Authority(STA)と通信するように構成します。

また、NetScaler GatewayをダブルホップDMZに展開することで、Citrix Virtual Apps and Desktops 環境と通信するようにNetScaler Gatewayを構成することもできます。詳細については、「 ダブルホップDMZでのNetScaler Gateway の展開」を参照してください。

NetScaler GatewayとStoreFront は、STAとCitrix ブローカーサービスを使用してユーザー接続を確立します。STAとブローカーサービスは、Citrix Virtual Apps and Desktops環境のDelivery Controller上で実行されます。

セキュリティで保護された接続の確立 Citrix Virtual Apps and Desktops サイト

次の例は、DMZに展開されたNetScaler GatewayがどのようにStoreFront をサポートし、安全な企業ネットワークで利用可能な公開リソースへの安全な単一アクセスポイントを提供するかを示しています。

この例では、次の条件が存在します:

  • インターネットからのユーザーデバイスは、Citrix Workspaceアプリを使用してNetScaler Gateway に接続します。
  • StoreFront は、安全なネットワーク内のNetScaler Gatewayの背後にあります。ユーザーデバイスがNetScaler Gatewayに最初に接続し、接続がStoreFront に渡されます。
  • セキュアネットワークにはサーバーサイトが含まれています。このサーバーサイト内の1つのサーバーは、Secure Ticket Authority(STA)とCitrix Brokerサービスを実行します。STAとブローカーサービスは、Citrix Virtual Apps and Desktops で実行できます。

プロセスの概要:Citrix Virtual Apps and Desktops サイトの公開リソースへのユーザーアクセス

  1. リモートユーザーは、NetScaler Gatewayのアドレス(https://www.ag.wxyco.comなど)をWebブラウザーのアドレスフィールドに入力します。ユーザーデバイスはこの SSL 接続をポート 443 で試みます。接続を成功させるには、ファイアウォールを介してポートを開く必要があります。
  2. NetScaler Gateway は接続要求を受信し、ユーザーは資格情報を要求されます。資格情報はNetScaler Gatewayを介して返され、ユーザーは認証され、接続がStoreFront に渡されます。
  3. StoreFront は、Citrix Virtual Apps and DesktopsサイトのDelivery Controller 上で実行されているCitrix Brokerサービスにユーザー資格情報を送信します。
  4. ブローカーサービスはユーザー資格情報を認証し、ユーザーがアクセスを許可されている公開アプリケーションまたはデスクトップのリストをStoreFront に送信します。
  5. StoreFront は、ユーザーがアクセスを許可されている公開リソース(アプリケーションまたはデスクトップ)のリストをWebページに入力し、このWebページをユーザーデバイスに送信します。
  6. ユーザーが公開アプリケーションまたはデスクトップのリンクをクリックします。ユーザーがクリックした公開リソースを示すHTTPリクエストがStoreFront に送信されます。
  7. StoreFront はブローカーサービスと対話し、公開リソースが実行されているサーバーを示すチケットを受け取ります。
  8. StoreFront はセッションチケットリクエストをSTAに送信します。この要求は、公開リソースが実行されているサーバーの IP アドレスを指定します。STAはこのIPアドレスを保存し、要求されたセッションチケットをStoreFront に送信します。
  9. StoreFront は、STAによって発行されたチケットを含むICAファイルを生成し、ユーザーデバイスのWebブラウザーに送信します。StoreFront によって生成されたICAファイルには、NetScaler Gatewayの完全修飾ドメイン名(FQDN)またはドメインネームシステム(DNS)名が含まれています。要求されたリソースを実行しているサーバーの IP アドレスは、ユーザーに公開されることはありません。
  10. ICAファイルには、Citrix Workspace アプリを起動するようにWebブラウザーに指示するデータが含まれています。ユーザーデバイスは、ICAファイル内のNetScaler Gateway FQDNまたはDNS名を使用してNetScaler Gateway に接続します。最初のSSL/TLSハンドシェークは、NetScaler Gateway のアイデンティティを確立するために発生します。
  11. ユーザーデバイスはセッションチケットをNetScaler Gateway に送信し、NetScaler Gateway はチケット検証のためにSTAに接続します。
  12. STAは、要求されたアプリケーションが存在するサーバーのIPアドレスをNetScaler Gateway に返します。
  13. NetScaler Gateway は、サーバーへのTCP接続を確立します。
  14. NetScaler Gateway は、ユーザーデバイスとの接続ハンドシェイクを完了し、サーバーとの接続が確立されたことをユーザーデバイスに通知します。ユーザーデバイスとサーバー間のそれ以降のすべてのトラフィックは、NetScaler Gateway を介してプロキシされます。ユーザーデバイスとNetScaler Gateway 間のトラフィックは暗号化されます。NetScaler Gateway とサーバー間のトラフィックは個別に暗号化できますが、デフォルトでは暗号化されません。
StoreFront を使用してCitrix Virtual Apps and Desktopsのリソースにアクセスする