Citrix Virtual Apps and Desktops

Configuración de directiva Redirección de contenido de explorador web

La sección “Redirección de contenido de explorador web” incluye configuraciones para definir esta función.

Con la redirección de contenido del explorador web, puede controlar y optimizar el modo en que Citrix Virtual Apps and Desktops entregan contenido de los exploradores web (por ejemplo, contenido HTML5) a los usuarios. Solo se redirige el área visible del explorador web donde se muestra el contenido.

La Redirección de vídeo HTML5 y la Redirección de contenido del explorador web son funciones independientes. No se necesitan directivas de redirección de vídeos HTML5 para que esta característica funcione. Sin embargo, el servicio Citrix HDX HTML5 Video Redirection Service se utiliza para la redirección de contenido del explorador web. Para obtener más información, consulte Redirección de contenido de explorador web.

Configuraciones de directivas:

En Citrix Studio, están disponibles las siguientes configuraciones de directiva para la función Redirección de contenido de explorador web. Estas directivas pueden anularse con claves de Registro en el VDA, aunque esas claves de Registro son opcionales.

Configuración de directiva Redirección de contenido de explorador web

TLS y la redirección de contenido del explorador web

Puede usar la redirección contenido del explorador web para redirigir los sitios web HTTPS. El JavaScript insertado en esos sitios web debe establecer una conexión TLS al servicio Citrix HDX HTML5 Video Redirection Service (WebSocketService.exe) que se ejecuta en el VDA. Para conseguir esta redirección y mantener la integridad TLS de la página web, el servicio Citrix HDX HTML5 Video Redirection Service genera dos certificados personalizados en el almacén de certificados del VDA.

HdxVideo.js utiliza sockets de Secure Web para comunicarse con WebSocketService.exe que se ejecuta en el VDA. Este proceso se ejecuta en el sistema local y realiza la terminación SSL y la asignación de sesiones de usuario.

WebSocketService.exe escucha en 127.0.0.1 en el puerto 9001.

Redirección de contenido de explorador web

De forma predeterminada, la aplicación Citrix Workspace intenta obtener y generar el contenido en el cliente. Se intenta la generación en el lado del servidor cuando la obtención y generación en el cliente fallan. Si también habilita la directiva “Configuración de proxy para redirección de contenido de explorador web”, la aplicación Citrix Workspace solo intenta la opción de obtener contenido en el servidor y generar contenido en el cliente.

De forma predeterminada, esta configuración está permitida.

Configuración de redirección de contenido del explorador compatible con autenticación de Windows integrada

La redirección de contenido del explorador habilita la superposición que utiliza el esquema Negotiate para la autenticación. Esta mejora proporciona inicio de sesión único (SSO) en un servidor web configurado con Autenticación de Windows integrada (IWA) incluido en el mismo dominio que el VDA.

Cuando se establece en Permitido, la superposición de redirección de contenido del explorador obtiene un tíquet Negotiate con las credenciales del VDA del usuario. A continuación, el usuario se autentica en el servidor web con Single Sign-On.

Cuando se establece en Prohibido, la superposición de redirección de contenido del explorador web no solicita un tíquet Negotiate del VDA. El usuario se autentica en un servidor web por medio de un método de autenticación básico. Este método de autenticación requiere que los usuarios introduzcan sus credenciales del VDA cada vez que acceden al servidor web.

De forma predeterminada, esta configuración está prohibida.

Configuración Autenticación de proxies web de la obtención del servidor de redirección de contenido del explorador

Este parámetro redirige el tráfico HTTP procedente de una superposición a través de un proxy web descendente. El proxy web que sigue en la cadena autoriza y autentica el tráfico HTTP mediante las credenciales de dominio del usuario del VDA a través del esquema de autenticación Negotiate.

Debe configurar la redirección de contenido del explorador para el modo de obtención del servidor en el archivo PAC mediante la directiva de configuración Proxy de redirección de contenido del explorador. En el script PAC, proporcione instrucciones para redirigir el tráfico de la superposición a través de un proxy web descendente. A continuación, configure el proxy web descendente para autenticar a los usuarios de los VDA mediante el esquema de autenticación Negotiate.

Cuando se establece en Permitido, el proxy web responde con un desafío 407 Negotiate, que incluye un encabezado Proxy-Authenticate: Negotiate. A continuación, la redirección de contenido del explorador obtiene un tíquet de servicio Kerberos mediante las credenciales de dominio del usuario del VDA. Además, se incluye el tíquet de servicio en solicitudes posteriores al proxy web

Cuando se establece en Prohibido, la redirección de contenido del explorador hace de intermediaria de todo el tráfico TCP entre la superposición y el proxy web sin interferir. La superposición utiliza credenciales de autenticación básicas o cualquier otra credencial disponible para autenticarse en el proxy web.

De forma predeterminada, esta configuración está prohibida.

Configuraciones de directiva para la lista de control de acceso (ACL) en la redirección de contenido de explorador web

Use esta configuración para definir una lista de control de acceso (ACL) con las direcciones URL que pueden utilizar la redirección de contenido del explorador web y las direcciones URL a las que se deniega el acceso a la redirección de contenido del explorador web.

Las direcciones URL autorizadas son las URL en lista de permitidas cuyo contenido se redirige al cliente.

Se permite el carácter comodín *, salvo en el protocolo o en la parte de dirección de dominio de la URL. Sin embargo, a partir de Citrix Virtual Apps and Desktops 7 2206, el carácter comodín * se permite en la parte de la dirección del subdominio de la URL.

Permitido: http://www.xyz.com/index.html, https://www.xyz.com/*, http://www.xyz.com/*videos*, http://*.xyz.com/

No permitido: http://*.*.com/

Puede lograr una mayor granularidad si especifica rutas en la URL. Por ejemplo, si especifica https://www.xyz.com/sports/index.html, solo se redirige la página index.html.

De forma predeterminada, esta configuración está establecida en https://www.youtube.com/*

Para obtener más información, consulte el artículo CTX238236 de Knowledge Center.

Sitios de autenticación para la Redirección de contenido de explorador web

Use esta configuración para definir una lista de direcciones URL. Los sitios redirigidos mediante la Redirección de contenido de explorador web utilizan esa lista para autenticar usuarios. La configuración especifica las URL para las que la Redirección de contenido de explorador web permanece activa (se redirige el contenido) cuando se navega de una URL incluida en una lista de permitidas a otra que no lo está.

Un ejemplo típico es un sitio web que relega la autenticación a un proveedor de identidades (IdP). Por ejemplo, un sitio web www.xyz.com debe redirigirse al dispositivo de punto final, pero un IdP de terceros, como Okta (www.xyz.okta.com), gestiona la parte de autenticación. El administrador utiliza la directiva Configuración de lista ACL para redirección de contenido del explorador web para incluir www.xyz.com en la lista de permitidos. A continuación, utiliza los sitios de autenticación de Redirección de contenido de explorador web para incluir www.xyz.okta.com en la lista de permitidos.

Para obtener más información, consulte el artículo CTX238236 de Knowledge Center.

Configuración de lista de bloqueados para la redirección de contenido del explorador web

Esta configuración funciona junto con la configuración de la lista ACL de redirección de contenido del explorador web. Tenga en cuenta si las URL están presentes en la configuración de la ACL de redirección de contenido del explorador web y en la configuración de la lista de bloqueados. En este caso, la configuración de la lista de bloqueados tiene prioridad y el contenido del explorador web de la URL no se redirige.

Direcciones URL no autorizadas: Especifica las URL incluidas en la lista de bloqueados cuyo contenido del explorador web no se redirige al cliente, sino que se genera en el servidor.

Se permite el carácter comodín *, salvo en el protocolo o en la parte de dirección de dominio de la URL.

Permitido: http://www.xyz.com/index.html, https://www.xyz.com/*, http://www.xyz.com/*videos*

No permitido: http://*.xyz.com/

Puede lograr una mayor granularidad si especifica rutas en la URL. Por ejemplo, si especifica https://www.xyz.com/sports/index.html, solo se incluye index.html en la lista de bloqueados.

Configuraciones de directiva de redirección de contenido de explorador web

Esta configuración ofrece opciones para definir un proxy en el VDA y redirigir el contenido del explorador web. Si está habilitada y tiene una dirección proxy y un número de puerto, una dirección URL PAC/WPAD o un parámetro Directo/transparente, la aplicación Citrix Workspace solo intenta obtener contenido en el servidor y generarlo en el cliente.

Si está inhabilitada o no configurada y se utiliza un valor predeterminado, la aplicación Citrix Workspace intenta obtener contenido en el cliente y generarlo en el cliente.

De forma predeterminada, esta configuración está prohibida.

Patrón permitido para un proxy explícito:

http://\<hostname/ip address\>:\<port\>

Ejemplo:

http://proxy.example.citrix.com:80 http://10.10.10.10:8080

Patrones permitidos para archivos PAC/WPAD:

http://<hostname/ip address>:<port>/<path>/<Proxy.pac>

Ejemplo: http://wpad.myproxy.com:30/configuration/pac/Proxy.pac

https://<hostname/ip address>:<port>/<path>/<wpad.dat>

Ejemplo: http://10.10.10.10/configuration/pac/wpad.dat

Patrones permitidos para proxies directos o transparentes:

Escriba la palabra DIRECT en el cuadro de texto de directiva.

Anulaciones de claves de Registro para la redirección de contenido del explorador web

Advertencia:

Si se modifica el Registro de forma incorrecta, pueden producirse problemas graves que obliguen a reinstalar el sistema operativo. Citrix no puede garantizar que los problemas derivados de la utilización inadecuada del Editor del Registro puedan resolverse. Use el Editor del Registro bajo su propia responsabilidad. Haga una copia de seguridad del Registro antes de modificarlo.

Opciones de anulación de los Registros para configuraciones de directiva:

\HKEY_LOCAL_MACHINE\SOFTWARE\Citrix\HdxMediastream

Nombre Tipo Valor
WebBrowserRedirection DWORD 1 = Permitido, 0 = Prohibido
WebBrowserRedirectionAcl REG_MULTI_SZ  
WebBrowserRedirectionAuthenticationSites REG_MULTI_SZ  
WebBrowserRedirectionProxyAddress REG_SZ http://myproxy.citrix.com:8080 o http://10.10.10.10:8888
WebBrowserRedirectionBlacklist REG_MULTI_SZ  

Modificación de las configuraciones de listas ACL de directiva de Redirección de contenido de explorador web

Insertar HDXVideo.js para redirigir contenido del explorador web

Imagen de la redirección de contenido de explorador web

HdxVideo.js se inserta en la página web mediante la redirección de contenido de la extensión de Chrome o el Objeto Auxiliar de Explorador (BHO) de Internet Explorer. El objeto BHO es un modelo de plug-in para Internet Explorer. Ofrece enlaces para las API de explorador web y permite que el plug-in acceda a Document Object Model (DOM) de la página para controlar la navegación.

El objeto BHO decide si insertar HdxVideo.js en una página determinada. La decisión se basa en directivas administrativas mostradas en el gráfico anterior.

Después de que se haya decidido insertar JavaScript y redirigir el contenido del explorador web al cliente, la página web del Internet Explorer presente en el VDA se queda en blanco. Dejar vacío document.body.innerHTML elimina el cuerpo entero de la página web en el VDA. La página está lista para enviarse al cliente, donde se verá en el explorador superpuesto (Hdxbrowser.exe).