双向内容重定向策略设置
双向内容重定向部分包含用于启用或禁用客户端到 VDA 和 VDA 到客户端 URL 重定向的策略设置。
服务器策略是在 Web Studio 中设置的。自 Citrix Workspace 应用程序版本 2311 起,此设置取代了 Web Studio 中以下三个已弃用的旧设置:
- 允许双向内容重定向
- 允许重定向到 VDA 的 URL
- 允许重定向到客户端的 URL
它还取代了 Windows 客户端上的以下三个本地组策略对象 (GPO) 设置:
- 双向内容重定向
- 双向内容重定向覆盖
- OAuth 重定向
如果启用了此设置,客户端到 VDA 设置将在连接到已发布的应用程序或桌面时发送到客户端,以配置双向内容重定向。
如果配置了此设置,此设置将优先于 Web Studio 和客户端中的旧设置。Citrix 建议仅使用新策略设置并删除所有旧版设置,以避免出现意外行为。
如果 VDA 和 DDC 运行的是 2311 或更高版本,则不得设置客户端策略。否则,客户端策略将在 Citrix Workspace 应用程序组策略对象管理模板中设置。
Citrix 为客户端到 URL 重定向提供主机到客户端重定向和本地应用程序访问。但是,Citrix 建议您对加入了域的 Windows 客户端使用双向内容重定向。
Citrix 建议使用 Web Studio 中的新用户界面来配置该功能,而非使用 Desktop Studio。
通配符重定向
双向内容重定向支持在定义要重定向的 URL 时使用通配符。有关更多详细信息以及要配置双向内容重定向,请参阅配置说明。
在 Web Studio 中,通过将 JSON 字符串编辑为 hostToClientUrls 阵列或 clientToHostUrls 阵列中的 url 键中的值来设置通配符 URL。
注意:
- 请不要在
hostToClientUrls和clientToHostUrls中设置相同的 URL,以避免无限循环。- 不支持顶级域。例如,https://www.citrix.* 或 http://www.citrix.co* 未重定向。
双向内容重定向配置
请将此策略设置为 Enabled 以开始配置该功能,然后单击 Manage URLs(管理 URL)。设置以下配置:
- VDA 到客户端重定向
- 客户端到 VDA 重定向
VDA 到客户端重定向
要将 URL 从 VDA 重定向到客户端,请每行输入一个 URL。允许使用通配符。 通过 OAuth 重定向功能,您将能够使用客户端端点上的浏览器执行身份验证并将令牌发送回 VDA。
优势:
- 可以避免将这些凭据存储在托管环境中。
- 可以使用端点上提供的生物特征识别功能,而非 VDA 上提供的生物特征识别功能。
配置:
要为 URL 配置 VDA 到客户端重定向,请指定以下内容:
- URL(必填)添加必须从 VDA 重定向才能在客户端上打开的 URL。对于 OAuth 重定向,请在客户端上设置身份验证方案和模式,以将会话重定向回主机。
- 模式:(可选)URL 正则表达式,通过 VDA 到客户端 URL 重定向功能重定向到客户端时,会像 OAuth 身份验证流程开始一样进行跟踪;当流程完成时(由正在打开的最终架构或重定向 URL 模式进行检测),生成的 URL 将被重定向回启动该流程的主机 VDA。
-
方案:(可选)如果指定了方案,则终止 URL 的格式应为:
<scheme>://<something>。假定未指定“方案”(空)。在这种情况下,将通过正则表达式捕获组(必须在“模式”中指定)从模式中提取原始的最终 URL 模式,并将原始 URL 重写为使用citrix-oauth-redir://重定向 URL。流程完成后,原始重定向 URL 将被重定向回主机 (VDA)。在这种情况下,必须将任何 OAuth 授权服务器配置为允许citrix-oauth-redir://byIndex/1 (2, 3, ... N)重定向 URL。
注意:
尽管模式和方案都是可选项,但如果指定了模式,还必须指定方案。
客户端到 VDA 重定向
要将 URL 从客户端重定向到 VDA,请完成以下步骤:
- 配置客户端 URL 的目标位置。
- 选择“已发布的应用程序”或“已发布的桌面”。
- 指定该资源的名称。
- 添加必须重定向到该资源的所有 URL。 可以通过添加新应用程序或桌面,然后指定要重定向到该资源的 URL 来覆盖此默认资源。
Desktop Studio
注意:
Citrix 建议使用 Web Studio 从 Citrix Virtual Apps and Desktops 版本 2402 及更高版本配置此功能。
要为 2311 配置双向内容重定向,请使用以下格式创建 JSON 字符串:
{
"version": 1,
"hostToClientConfig": [
{
"hostToClientUrls": [
{
"url": "http://www.citrix.com/*"
},
{
"url": "www.example.com"
},
{
"url": "https://login.example.org/*",
"oAuthRedirectionPattern": "https://login.example.org/oauth2?.*",
"oAuthScheme": "idm.desktop-authentication"
}
]
}
],
"clientToHostConfig": [
{
"publishedAppOrDesktopNameType": "Desktop",
"publishedAppOrDesktopName": "Win11Desktop",
"clientToHostUrls": [
"https://www.example.net",
"https://*.citrix.example"
]
},
{
"publishedAppOrDesktopNameType": "Application",
"publishedAppOrDesktopName": "Chrome",
"clientToHostUrls": [
"https://tibco.example"
]
}
]
}
<!--NeedCopy-->
必须设置以下参数:
-
版本:(必需)设置为 1。
-
对于 VDA 到客户端 URL 重定向,请创建一个
hostToClientConfig。 -
hostToClientUrls:(必需)要从主机 (VDA) 重定向到客户端的 URL 列表。允许使用通配符。
OAuth 重定向
通过 OAuth 重定向功能,您将能够使用客户端端点浏览器进行身份验证并将令牌发送回 VDA。
优势:
- 可以避免将这些凭据存储在托管环境中。
- 可以使用端点上提供的生物特征识别功能,而非 VDA 上提供的生物特征识别功能。
要为 URL 配置 OAuth 重定向,请指定以下参数:
- oAuthRedirectionPattern:(可选)URL 正则表达式,通过 VDA 到客户端 URL 重定向功能重定向到客户端时,会像 OAuth 身份验证流程开始一样进行跟踪;当流程完成时(由正在打开的最终架构或重定向 URL 模式进行检测),生成的 URL 将被重定向回启动该流程的主机 VDA。
-
oAuthScheme:(可选)如果指定了方案,则终止 URL 的格式应为:
<scheme>://<something>。假定未指定“方案”(空)。在这种情况下,将通过正则表达式捕获组(必须在“模式”中指定)从模式中提取原始的最终 URL 模式,并将原始 URL 重写为使用citrix-oauth-redir://重定向 URL。流程完成后,原始重定向 URL 将被重定向回主机 (VDA)。在这种情况下,必须将任何 OAuth 授权服务器配置为允许citrix-oauth-redir://byIndex/1 (2, 3, ... N)重定向 URL。
对于客户端到 VDA 重定向,请为每个要重定向的资源创建 clientToHostConfig。 对于每种资源,请包括以下参数:
- publishedAppOrDesktopNameType:(必需)在 Web Studio 中配置的已发布桌面(下称“桌面”)或已发布的应用程序(下称“应用程序”)。如果资源无效,则重定向无法正常运行。
- publishedAppOrDesktopName:(必填)在 Web Studio 中配置的资源名称。
- clientToHostUrls:(必需)要从客户端重定向到主机 (VDA) 的 URL 列表。允许使用通配符。
已知限制
当您使用带有自定义 URL 方案(非 HTTP 或 HTTPS)的 PowerShell 启动浏览器时,自定义 URL 不会重定向到客户端。