A.1. Architecture de SGD Gateway

Cette section aborde l'architecture de SGD Gateway et comprend une description des connexions établies lorsque vous accédez à SGD via la passerelle SGD Gateway.

La Figure A.1, « Architecture de SGD Gateway » présente l'architecture de la passerelle SGD Gateway.

Figure A.1. Architecture de SGD Gateway

Schéma de réseau représentant l'architecture de SGD

La procédure suivante décrit les connexions établies lorsque vous accédez à SGD via la passerelle SGD Gateway. Les étapes couvertes vont de la connexion initiale à SGD depuis un navigateur, la connexion à SGD, jusqu'au démarrage d'une application.

  1. Le navigateur du périphérique client opère une connexion HTTPS (HTTP over Secure Sockets Layer) à la passerelle SGD Gateway sur le port TCP 443.

    • Dans le cas d'un déploiement classique, les utilisateurs peuvent accéder à SGD en saisissant l'URL de la passerelle SGD Gateway.

    • Le port TCP 443 est le port par défaut de la passerelle SGD Gateway. Les ports utilisés par la passerelle SGD Gateway sont définis dans le fichier de configuration du proxy de routage, gateway.xml. Ce fichier est créé automatiquement lors de l'installation de la passerelle SGD Gateway. Il est mis à jour lorsque la commande gateway config est utilisée pour modifier la configuration de la passerelle SGD Gateway.

    • La passerelle SGD Gateway présente une certificat SSL. Ce certificat est la seule entrée contenue dans le keystore keystore.client stocké sur la passerelle SGD Gateway.

    • L'emplacement et les mots de passes des keystores utilisés par la passerelle SGD Gateway sont définis dans le fichier de configuration du proxy de routage, gateway.xml.

  2. Le proxy de routage reconnaît une connexion HTTPS, déchiffre le flux de données et transfère les données HTTP sur le proxy inverse Apache.

    • Les données HTTP sont envoyées en interne sur le premier port disponible au delà du port TCP 8080.

    • La configuration du proxy inverse Apache est définie par le fichier httpd.conf. Ce fichier et les fichiers de configuration du proxy inverse associés sont créés automatiquement lors de l'installation de la passerelle SGD Gateway. Les fichiers sont mis à jour lorsque la commande gateway config est utilisée pour modifier la configuration de la passerelle SGD Gateway.

  3. Le proxy inverse se base sur l'équilibrage de charge HTTP pour sélectionner un serveur Web SGD dans le groupe de serveurs.

    • Les connexions entre le proxy inverse et le serveur Web SGD sont sécurisées via HTTPS sur le port TCP 443.

    • Le proxy inverse Apache définit un cookie d'équilibrage de charge dans le navigateur. Par la suite, toutes les demandes HTTP envoyées par le navigateur utiliseront ce serveur Web.

  4. Le serveur Web SGD fournit du contenu HTML au navigateur Web sur le périphérique client.

    • Le contenu HTML est envoyé sous forme de données HTTPS sur la connexion établie au port TCP 443 sur la passerelle SGD Gateway.

    • La passerelle SGD Gateway transfère les données HTTPS au navigateur.

  5. L'utilisateur se connecte à SGD.

    • Le serveur SGD authentifie l'utilisateur, sélectionne un serveur SGD pour gérer la session utilisateur et démarre une nouvelle session.

    • Le client SGD est téléchargé, installé et démarré sur le périphérique client.

    • Un jeton de routage est inclus dans le contenu HTML envoyé au navigateur Web. Le jeton de routage contient l'adresse du serveur SGD sélectionné pour gérer la session utilisateur. Ces informations sont utilisées pour acheminer les données AIP (Adaptive Internet Protocol) vers le bon serveur SGD.

    • Le jeton de routage est signé à l'aide de la clé privée du serveur SGD. Il est ensuite chiffré à l'aide du certificat SGD Gateway sur le serveur SGD.

    • Le jeton de routage est transmis au client SGD.

    • Les connexions au périphérique client sont basées sur le protocole HTTPS.

  6. Le client SGD se connecte à la passerelle SGD Gateway sur le port TCP 443.

    • La connexion de données entre le client SGD et la passerelle SGD Gateway est basée sur le protocole AIP sur SSL (Secure Sockets Layer).

    • Le certificat SSL de la passerelle SGD Gateway est présentée pour établir la connexion.

    • Le proxy de routage reconnaît les données AIP sur SSL entrantes.

    • Le flux de données SSL est déchiffré et le jeton de routage est extrait du flux de données AIP.

    • Le jeton de routage est déchiffré avec la clé privée de SGD Gateway, puis vérifié à l'aide du certificat AC du serveur SGD.

    • La clé privée de la passerelle SGD Gateway et le certificat AC du serveur SGD sont stockés dans le keystore SGD Gateway, keystore.

    • L'horodatage du jeton de routage fait l'objet d'une vérification ayant pour but de confirmer sa validité.

    • Le flux de données AIP est rechiffré à l'aide du protocole SSL.

  7. Les données AIP sur SSL sont acheminées via le proxy de routage vers le serveur SGD indiqué par le jeton de routage.

    • La connexion de données AIP sur SSL utilise le port TCP 5307.

    • Le jeton de routage AIP n'est pas inclus dans le flux de données AIP.

  8. L'utilisateur démarre une application sur le bureau Web de SGD.

    • La demande de lancement d'application est envoyée à la passerelle SGD Gateway via le protocole HTTPS.

    • Le proxy de routage reconnaît et déchiffre les données HTTPS et transfère le trafic HTTP au proxy inverse Apache.

    • Le proxy de routage détecte le cookie d'équilibrage de charge et utilise le serveur Web SGD indiqué par le cookie.

    • L'équilibrage de charge des sessions de l'application SGD sélectionne le même serveur SGD pour gérer la session d'application.

    • Un nouveau jeton de routage est créé sur le serveur SGD. Le jeton de routage est utilisé pour acheminer les données AIP vers le serveur SGD sélectionné pour gérer la session d'application.

    • Le serveur SGD envoie le jeton de routage au client SGD. Le jeton de routage est inclus avec le flux de données AIP existant.

  9. Le client SGD se connecte à la passerelle SGD Gateway sur le port TCP 443.

    • Le certificat SSL de la passerelle SGD Gateway est présentée pour établir la connexion.

    • Le proxy de routage reconnaît les données AIP sur SSL entrantes.

    • Le jeton de routage est déchiffré, vérifié et validé.

    • Les données AIP sur SSL sont acheminées via le proxy de routage vers le serveur SGD indiqué par le jeton de routage.

    • Le jeton de routage AIP n'est pas inclus dans le flux de données AIP.

  10. Le serveur SGD gère la session d'application.

    • L'application exécute un serveur d'applications situé sur le réseau local.