Configuración de directiva de redirección de contenido del explorador

La sección de redirección de contenido del explorador incluye la configuración de directiva para configurar esta función.

La redirección de contenido del explorador controla y optimiza la forma en que Citrix Virtual Apps and Desktops™ entrega cualquier contenido del explorador web (por ejemplo, HTML5) a los usuarios. Solo se redirige el área visible del explorador donde se muestra el contenido.

La redirección de vídeo HTML5 y la redirección de contenido del explorador son funciones independientes. Las directivas de redirección de vídeo HTML5 no son necesarias para que esta función funcione. Sin embargo, el servicio de redirección de vídeo HTML5 de Citrix HDX se utiliza para la redirección de contenido del explorador. Para obtener más información, consulte Redirección de contenido del explorador.

Nota:

La configuración de directiva disponible en Web Studio se puede anular con claves de registro en el VDA, pero las claves de registro son opcionales.

TLS y redirección de contenido del explorador

Puede usar la redirección de contenido del explorador para redirigir sitios web HTTPS. El JavaScript inyectado en esos sitios web debe establecer una conexión TLS con el servicio de redirección de vídeo HTML5 de Citrix HDX (WebSocketService.exe) que se ejecuta en el VDA. Para lograr esta redirección y mantener la integridad TLS de la página web, el servicio de redirección de vídeo HTML5 de Citrix HDX genera dos certificados personalizados en el almacén de certificados del VDA.

HdxVideo.js utiliza Secure Web sockets para comunicarse con WebSocketService.exe que se ejecuta en el VDA. Este proceso se ejecuta en el sistema local y realiza la terminación SSL y la asignación de sesiones de usuario.

WebSocketService.exe está escuchando en 127.0.0.1 puerto 9001.

Redirección de contenido del explorador

De forma predeterminada, la aplicación Citrix Workspace™ intenta la obtención y la representación del cliente. La representación del lado del servidor se intenta cuando la obtención y la representación del cliente fallan. Si también habilita la directiva de configuración de proxy de redirección de contenido del explorador, la aplicación Citrix Workspace solo intenta la obtención del servidor y la representación del cliente.

De forma predeterminada, esta configuración está Permitida.

Configuración de compatibilidad con la autenticación integrada de Windows para la redirección de contenido del explorador

La redirección de contenido del explorador habilita la superposición que utiliza el esquema Negotiate para la autenticación. Esta mejora proporciona inicio de sesión único a un servidor web configurado con autenticación integrada de Windows (IWA) dentro del mismo dominio que el VDA.

Cuando se establece en Permitido, la superposición de redirección de contenido del explorador obtiene un ticket Negotiate utilizando las credenciales de VDA del usuario. A continuación, el usuario se autentica en el servidor web con un inicio de sesión único.

Cuando se establece en Prohibido, la superposición de redirección de contenido del explorador no solicita un ticket Negotiate al VDA. El usuario se autentica en un servidor web mediante un método de autenticación básico. Este método de autenticación requiere que los usuarios introduzcan sus credenciales de VDA cada vez que acceden al servidor web.

De forma predeterminada, esta configuración está Prohibida.

Configuración de autenticación de proxy web de recuperación de servidor de redirección de contenido del explorador

Esta configuración enruta el tráfico HTTP que se origina en una superposición a través de un proxy web descendente. El proxy web descendente autoriza y autentica el tráfico HTTP utilizando las credenciales de dominio del usuario de VDA a través del esquema de autenticación Negotiate.

Debe configurar la redirección de contenido del explorador para el modo de recuperación de servidor en el archivo PAC utilizando la directiva de configuración de proxy de redirección de contenido del explorador. En el script PAC, proporcione instrucciones para enrutar el tráfico de superposición a través de un proxy web descendente. Luego, configure el proxy web descendente para autenticar a los usuarios de VDA a través del esquema de autenticación Negotiate.

Cuando se establece en Permitido, el proxy web responde con un desafío Negotiate 407, incluyendo un encabezado Proxy-Authenticate: Negotiate. La redirección de contenido del explorador obtiene entonces un ticket de servicio Kerberos utilizando las credenciales de dominio del usuario de VDA. Además, incluya el ticket de servicio en solicitudes posteriores al proxy web.

Cuando se establece en Prohibido, la redirección de contenido del explorador proxy todo el tráfico TCP entre la superposición y el proxy web sin interferir. La superposición utiliza credenciales de autenticación básicas o cualquier otra credencial disponible para autenticarse en el proxy web.

De forma predeterminada, esta configuración está Prohibida.

Configuración de la directiva de configuración de ACL (lista de control de acceso) de redirección de contenido del explorador

Utilice esta configuración para configurar una lista de control de acceso (ACL) de URL que pueden utilizar la redirección de contenido del explorador o a las que se les deniega el acceso a la redirección de contenido del explorador.

Las URL autorizadas son las URL de la lista de permitidos cuyo contenido se redirige al cliente.

El comodín * está permitido, pero no está permitido dentro del protocolo o la parte de la dirección de dominio de la URL. Sin embargo, a partir de Citrix Virtual Apps and Desktops 7 2206, el comodín * está permitido dentro de la parte de la dirección de subdominio de la URL.

Permitido: http://www.xyz.com/index.html, https://www.xyz.com/*, http://www.xyz.com/*videos*, http://*.xyz.com/

No permitido: http://*.*.com/

Puede lograr una mayor granularidad especificando rutas en la URL. Por ejemplo, si especifica https://www.xyz.com/sports/index.html, solo se redirige la página index.html.

De forma predeterminada, esta configuración está establecida en https://www.youtube.com/*

Para obtener más información, consulte el artículo del Knowledge Center CTX238236.

Nota:

Puede configurar la ACL para permitir que la redirección de contenido del explorador (BCR) redirija sitios web al punto final, y los sitios de autenticación se pueden configurar para permitir proveedores de identidades (IdP), como Okta y Duo, para la autenticación utilizada en la URL configurada.

Sitios de autenticación de redirección de contenido del explorador

Utilice esta configuración para configurar una lista de URL. Los sitios redirigidos mediante la redirección de contenido del explorador utilizan la lista para autenticar a un usuario. La configuración especifica las URL para las que la redirección de contenido del explorador permanece activa (redirigida) al navegar fuera de una URL de la lista de permitidos.

Un escenario clásico es un sitio web que depende de un proveedor de identidades (IdP) para la autenticación. Por ejemplo, un sitio web www.xyz.com debe redirigirse al punto final, pero un IdP de terceros, como Okta (www.xyz.okta.com), gestiona la parte de la autenticación. El administrador utiliza la directiva de configuración de ACL de redirección de contenido del explorador para añadir www.xyz.com a la lista de permitidos. Luego, utiliza los sitios de autenticación de redirección de contenido del explorador para añadir www.xyz.okta.com a la lista de permitidos.

Para obtener más información, consulte el artículo del Knowledge Center CTX238236.

Configuración de la lista de bloqueo de redirección de contenido del explorador

Esta configuración funciona junto con la configuración de ACL de redirección de contenido del explorador. Considere que las URL están presentes en la configuración de ACL de redirección de contenido del explorador y en la configuración de la lista de bloqueo. En este caso, la configuración de la lista de bloqueo tiene prioridad y el contenido del explorador de la URL no se redirige.

URL no autorizadas: Especifica las URL de la lista de bloqueo cuyo contenido del explorador no se redirige al cliente, sino que se renderiza en el servidor.

Se permite el comodín *, pero no se permite dentro del protocolo ni de la parte de la dirección de dominio de la URL.

Permitido: http://www.xyz.com/index.html, https://www.xyz.com/*, http://www.xyz.com/*videos*

No permitido: http://*.xyz.com/

Puede lograr una mayor granularidad especificando rutas en la URL. Por ejemplo, si especifica https://www.xyz.com/sports/index.html, solo index.html estará en la lista de bloqueo.

Configuración de proxy de redirección de contenido del explorador

Esta configuración proporciona opciones de configuración para los ajustes de proxy en el VDA para la redirección de contenido del explorador. Si está habilitada con una dirección de proxy y un número de puerto válidos, una URL PAC/WPAD o una configuración Directa/Transparente, la aplicación Citrix Workspace solo intenta la obtención del servidor y la representación del cliente.

Si está deshabilitada o no configurada y utiliza un valor predeterminado, la aplicación Citrix Workspace intenta la obtención del cliente y la representación del cliente.

De forma predeterminada, esta configuración está Prohibida.

Patrón permitido para un proxy explícito:

http://\<hostname/ip address\>:\<port\>

Ejemplo:

http://proxy.example.citrix.com:80 http://10.10.10.10:8080

Patrones permitidos para archivos PAC/WPAD:

http://<hostname/ip address>:<port>/<path>/<Proxy.pac>

Ejemplo: http://wpad.myproxy.com:30/configuration/pac/Proxy.pac

https://<hostname/ip address>:<port>/<path>/<wpad.dat>

Ejemplo: http://10.10.10.10/configuration/pac/wpad.dat

Patrones permitidos para proxies directos o transparentes:

Escriba la palabra DIRECT en el cuadro de texto de la directiva.

Anulaciones de clave de registro de redirección de contenido del explorador

Advertencia:

La modificación incorrecta del Registro puede causar problemas graves que pueden obligarle a reinstalar el sistema operativo. Citrix® no puede garantizar que los problemas derivados de la utilización incorrecta del Editor del Registro puedan resolverse. Utilice el Editor del Registro bajo su propia responsabilidad. Asegúrese de hacer una copia de seguridad del Registro antes de modificarlo.

Opciones de anulación de registros para la configuración de directivas:

\HKEY_LOCAL_MACHINE\SOFTWARE\Citrix\HdxMediastream

Inserción de HDXVideo.js para la redirección de contenido del explorador

HdxVideo.js se inyecta en la página web mediante la extensión de Chrome de redirección de contenido del explorador o el objeto auxiliar del explorador (BHO) de Internet Explorer. El BHO es un modelo de complemento para Internet Explorer. Proporciona enlaces para las API del explorador y permite que el complemento acceda al Modelo de objetos de documento (DOM) de la página para controlar la navegación.

El BHO decide si inyectar HdxVideo.js en una página determinada. La decisión se basa en las directivas administrativas que se muestran en el diagrama de flujo anterior.

Después de que decide inyectar el JavaScript y redirigir el contenido del explorador al cliente, la página web aparece en blanco en el explorador Internet Explorer del VDA. Al establecer document.body.innerHTML en vacío, se elimina todo el cuerpo de la página web del VDA. La página está lista para enviarse al cliente y mostrarse en el explorador superpuesto (Hdxbrowser.exe) del cliente.