Richtlinieneinstellungen für die Browserinhaltsumleitung

Der Abschnitt zur Browserinhaltsumleitung enthält Richtlinieneinstellungen zum Konfigurieren dieser Funktion.

Browser content redirection controls and optimizes the way Citrix Virtual Apps and Desktops™ deliver any web browser content (for example, HTML5) to users. Only the visible area of the browser where content is displayed is redirected.

Die HTML5-Videoumleitung und die Browserinhaltsumleitung sind unabhängige Funktionen. Die Richtlinien für die HTML5-Videoumleitung sind für diese Funktion nicht erforderlich. Der Citrix HDX HTML5 Video Redirection Service wird jedoch für die Browserinhaltsumleitung verwendet. Weitere Informationen finden Sie unter Browserinhaltsumleitung.

Hinweis:

In Web Studio verfügbare Richtlinieneinstellungen können durch Registrierungsschlüssel auf dem VDA überschrieben werden, aber Registrierungsschlüssel sind optional.

TLS und Browserinhaltsumleitung

Sie können die Browserinhaltsumleitung verwenden, um HTTPS-Websites umzuleiten. Das in diese Websites injizierte JavaScript muss eine TLS-Verbindung zum Citrix HDX HTML5 Video Redirection Service (WebSocketService.exe) herstellen, der auf dem VDA ausgeführt wird. Um diese Umleitung zu erreichen und die TLS-Integrität der Webseite aufrechtzuerhalten, generiert der Citrix HDX HTML5 Video Redirection Service zwei benutzerdefinierte Zertifikate im Zertifikatspeicher auf dem VDA.

HdxVideo.js verwendet Secure Web Sockets, um mit WebSocketService.exe zu kommunizieren, das auf dem VDA ausgeführt wird. Dieser Prozess wird auf dem lokalen System ausgeführt und führt die SSL-Terminierung und die Zuordnung von Benutzersitzungen durch.

WebSocketService.exe lauscht auf 127.0.0.1 Port 9001.

Browserinhaltsumleitung

By default, Citrix Workspace™ app tries client fetch and client render. The server-side rendering is tried when client fetch and client render fail. If you also enable the browser content redirection proxy configuration policy, Citrix Workspace app tries only server fetch and client render.

Standardmäßig ist diese Einstellung Zulässig.

Einstellung für die Unterstützung der integrierten Windows-Authentifizierung bei der Browserinhaltsumleitung

Die Browserinhaltsumleitung aktiviert das Overlay, das das Negotiate-Schema für die Authentifizierung verwendet. Diese Verbesserung ermöglicht Single Sign-On zu einem Webserver, der mit integrierter Windows-Authentifizierung (IWA) innerhalb derselben Domäne wie der VDA konfiguriert ist.

Wenn auf Zulässig festgelegt, ruft das Browserinhaltsumleitungs-Overlay ein Negotiate-Ticket unter Verwendung der VDA-Anmeldeinformationen des Benutzers ab. Der Benutzer authentifiziert sich dann mit Single Sign-On beim Webserver.

Wenn auf Verboten festgelegt, fordert das Browserinhaltsumleitungs-Overlay kein Negotiate-Ticket vom VDA an. Der Benutzer authentifiziert sich bei einem Webserver mithilfe einer einfachen Authentifizierungsmethode. Diese Authentifizierungsmethode erfordert, dass Benutzer ihre VDA-Anmeldeinformationen jedes Mal eingeben, wenn sie auf den Webserver zugreifen.

Standardmäßig ist diese Einstellung Verboten.

Browserinhaltsumleitung: Einstellung für die Webproxy-Authentifizierung beim Serverabruf

Diese Einstellung leitet HTTP-Datenverkehr, der von einem Overlay stammt, über einen nachgeschalteten Webproxy. Der nachgeschaltete Webproxy autorisiert und authentifiziert HTTP-Datenverkehr unter Verwendung der Domänenanmeldeinformationen des VDA-Benutzers über das Negotiate-Authentifizierungsschema.

Sie müssen die Browserinhaltsumleitung für den Serverabrufmodus in der PAC-Datei mithilfe der Richtlinie zur Proxykonfiguration der Browserinhaltsumleitung konfigurieren. Geben Sie im PAC-Skript Anweisungen an, um den Overlay-Datenverkehr über einen nachgeschalteten Webproxy zu leiten. Konfigurieren Sie dann den nachgeschalteten Webproxy, um die VDA-Benutzer über das Negotiate-Authentifizierungsschema zu authentifizieren.

Wenn auf Zulässig festgelegt, antwortet der Webproxy mit einer 407 Negotiate-Challenge, einschließlich eines Proxy-Authenticate: Negotiate-Headers. Die Browserinhaltsumleitung ruft dann ein Kerberos-Dienstticket unter Verwendung der Domänenanmeldeinformationen des VDA-Benutzers ab. Fügen Sie das Dienstticket auch in späteren Anfragen an den Webproxy ein.

Wenn auf Verboten festgelegt, leitet die Browserinhaltsumleitung den gesamten TCP-Datenverkehr zwischen dem Overlay und dem Webproxy ohne Einmischung weiter. Das Overlay verwendet einfache Authentifizierungsanmeldeinformationen oder andere verfügbare Anmeldeinformationen, um sich beim Webproxy zu authentifizieren.

Standardmäßig ist diese Einstellung Verboten.

Browserinhaltsumleitung: ACL (Access Control List)-Konfigurationsrichtlinieneinstellungen

Verwenden Sie diese Einstellung, um eine Zugriffssteuerungsliste (ACL) von URLs zu konfigurieren, die die Browserinhaltsumleitung verwenden können oder denen der Zugriff auf die Browserinhaltsumleitung verweigert wird.

Autorisierte URLs sind die URLs in der Zulassungsliste, deren Inhalt an den Client umgeleitet wird.

Der Platzhalter * ist zulässig, aber nicht innerhalb des Protokolls oder des Domänenadressenteils der URL. Ab Citrix Virtual Apps and Desktops 7 2206 ist jedoch der Platzhalter * innerhalb des Subdomänenadressenteils der URL zulässig.

Zulässig: http://www.xyz.com/index.html, https://www.xyz.com/*, http://www.xyz.com/*videos*, http://*.xyz.com/

Nicht zulässig: http://*.*.com/

Sie können eine bessere Granularität erreichen, indem Sie Pfade in der URL angeben. Wenn Sie beispielsweise https://www.xyz.com/sports/index.html angeben, wird nur die Seite index.html umgeleitet.

Standardmäßig ist diese Einstellung auf https://www.youtube.com/* festgelegt.

Weitere Informationen finden Sie im Knowledge Center-Artikel CTX238236.

Hinweis:

Sie können ACL so konfigurieren, dass BCR Websites an den Endpunkt umleiten kann, und Authentifizierungs-Sites können so konfiguriert werden, dass Identitätsanbieter (IdP) wie Okta und Duo für die Authentifizierung auf der konfigurierten URL zugelassen werden.

Authentifizierungs-Sites für Browserinhaltsumleitung

Verwenden Sie diese Einstellung, um eine Liste von URLs zu konfigurieren. Sites, die mithilfe der Browserinhaltsumleitung umgeleitet werden, verwenden die Liste zur Authentifizierung eines Benutzers. Die Einstellung gibt die URLs an, für die die Browserinhaltsumleitung aktiv (umgeleitet) bleibt, wenn von einer URL in der Zulassungsliste weg navigiert wird.

Ein klassisches Szenario ist eine Website, die zur Authentifizierung auf einen Identitätsanbieter (IdP) angewiesen ist. Beispielsweise muss eine Website www.xyz.com an den Endpunkt umgeleitet werden, aber ein Drittanbieter-IdP wie Okta (www.xyz.okta.com) übernimmt den Authentifizierungsteil. Der Administrator verwendet die Konfigurationsrichtlinie für die Browserinhaltsumleitung (ACL), um www.xyz.com zur Zulassungsliste hinzuzufügen. Anschließend verwendet er die Authentifizierungs-Sites für die Browserinhaltsumleitung, um www.xyz.okta.com zur Zulassungsliste hinzuzufügen.

Weitere Informationen finden Sie im Knowledge Center-Artikel CTX238236.

Einstellung für die Sperrliste der Browserinhaltsumleitung

Diese Einstellung funktioniert zusammen mit der Konfigurationseinstellung für die Browserinhaltsumleitung (ACL). Angenommen, URLs sind in der Konfigurationseinstellung für die Browserinhaltsumleitung (ACL) und der Konfigurationseinstellung für die Sperrliste vorhanden. In diesem Fall hat die Sperrlistenkonfiguration Vorrang, und der Browserinhalt der URL wird nicht umgeleitet.

Nicht autorisierte URLs: Gibt die URLs in der Sperrliste an, deren Browserinhalt nicht an den Client umgeleitet, sondern auf dem Server gerendert wird.

Das Platzhalterzeichen * ist zulässig, aber nicht innerhalb des Protokolls oder des Domänenadressenteils der URL.

Zulässig: http://www.xyz.com/index.html, https://www.xyz.com/*, http://www.xyz.com/*videos*

Nicht zulässig: http://*.xyz.com/

Sie können eine bessere Granularität erreichen, indem Sie Pfade in der URL angeben. Wenn Sie beispielsweise https://www.xyz.com/sports/index.html angeben, befindet sich nur index.html in der Sperrliste.

Proxyeinstellung für Browserinhaltsumleitung

Diese Einstellung bietet Konfigurationsoptionen für Proxyeinstellungen auf dem VDA für die Browserinhaltsumleitung. Wenn diese Einstellung mit einer gültigen Proxyadresse und Portnummer, PAC-/WPAD-URL oder der Einstellung „Direkt/Transparent“ aktiviert ist, versucht die Citrix Workspace-App nur den Serverabruf und das Client-Rendering.

Wenn die Einstellung deaktiviert oder nicht konfiguriert ist und ein Standardwert verwendet wird, versucht die Citrix Workspace-App den Clientabruf und das Client-Rendering.

Standardmäßig ist diese Einstellung verboten.

Zulässiges Muster für einen expliziten Proxy:

http://\<hostname/ip address\>:\<port\>

Beispiel:

http://proxy.example.citrix.com:80 http://10.10.10.10:8080

Zulässige Muster für PAC-/WPAD-Dateien:

http://<hostname/ip address>:<port>/<path>/<Proxy.pac>

Beispiel: http://wpad.myproxy.com:30/configuration/pac/Proxy.pac

https://<hostname/ip address>:<port>/<path>/<wpad.dat>

Beispiel: http://10.10.10.10/configuration/pac/wpad.dat

Zulässige Muster für direkte oder transparente Proxys:

Geben Sie das Wort DIRECT in das Richtlinien-Textfeld ein.

Überschreibungen von Registrierungsschlüsseln für die Browserinhaltsumleitung

Warnung:

Eine falsche Bearbeitung der Registrierung kann schwerwiegende Probleme verursachen, die eine Neuinstallation Ihres Betriebssystems erforderlich machen könnten. Citrix® kann nicht garantieren, dass Probleme, die durch die falsche Verwendung des Registrierungs-Editors entstehen, behoben werden können. Verwenden Sie den Registrierungs-Editor auf eigenes Risiko. Sichern Sie die Registrierung unbedingt, bevor Sie sie bearbeiten.

Registrierungs-Überschreibungsoptionen für Richtlinieneinstellungen:

\HKEY_LOCAL_MACHINE\SOFTWARE\Citrix\HdxMediastream

HDXVideo.js-Einfügung für Browserinhaltsumleitung

HdxVideo.js wird auf der Webseite mithilfe der Browserinhaltsumleitungs-Chrome-Erweiterung oder des Internet Explorer Browser Helper Object (BHO) injiziert. Das BHO ist ein Plug-in-Modell für Internet Explorer. Es bietet Hooks für Browser-APIs und ermöglicht dem Plug-in den Zugriff auf das Document Object Model (DOM) der Seite, um die Navigation zu steuern.

Das BHO entscheidet, ob HdxVideo.js auf einer bestimmten Seite injiziert werden soll. Die Entscheidung basiert auf den administrativen Richtlinien, die im vorherigen Flussdiagramm dargestellt sind.

Nachdem entschieden wurde, das JavaScript zu injizieren und Browserinhalte an den Client umzuleiten, ist die Webseite im Internet Explorer-Browser auf dem VDA leer. Das Leeren von document.body.innerHTML entfernt den gesamten Inhalt der Webseite auf dem VDA. Die Seite ist bereit, an den Client gesendet zu werden, um im Overlay-Browser (Hdxbrowser.exe) auf dem Client angezeigt zu werden.