Paramètres de stratégie de redirection de contenu de navigateur

La section de redirection de contenu de navigateur inclut des paramètres de stratégie pour configurer cette fonctionnalité.

La redirection de contenu de navigateur contrôle et optimise la manière dont Citrix Virtual Apps and Desktops™ fournit tout contenu de navigateur web (par exemple, HTML5) aux utilisateurs. Seule la zone visible du navigateur où le contenu est affiché est redirigée.

La redirection vidéo HTML5 et la redirection de contenu de navigateur sont des fonctionnalités indépendantes. Les stratégies de redirection vidéo HTML5 ne sont pas nécessaires pour que cette fonctionnalité fonctionne. Cependant, le service de redirection vidéo HTML5 Citrix HDX est utilisé pour la redirection de contenu de navigateur. Pour plus d’informations, consultez Redirection de contenu de navigateur.

Remarque :

Les paramètres de stratégie disponibles dans Web Studio peuvent être remplacés par des clés de registre sur le VDA, mais les clés de registre sont facultatives.

TLS et redirection de contenu de navigateur

Vous pouvez utiliser la redirection de contenu de navigateur pour rediriger les sites web HTTPS. Le JavaScript injecté dans ces sites web doit établir une connexion TLS au service de redirection vidéo HTML5 Citrix HDX (WebSocketService.exe) exécuté sur le VDA. Pour réaliser cette redirection et maintenir l’intégrité TLS de la page web, le service de redirection vidéo HTML5 Citrix HDX génère deux certificats personnalisés dans le magasin de certificats sur le VDA.

HdxVideo.js utilise des sockets web sécurisés pour communiquer avec WebSocketService.exe exécuté sur le VDA. Ce processus s’exécute sur le système local et effectue la terminaison SSL et le mappage de session utilisateur.

WebSocketService.exe écoute sur 127.0.0.1 port 9001.

Redirection de contenu de navigateur

Par défaut, l’application Citrix Workspace™ tente la récupération côté client et le rendu côté client. Le rendu côté serveur est tenté lorsque la récupération côté client et le rendu côté client échouent. Si vous activez également la stratégie de configuration du proxy de redirection de contenu de navigateur, l’application Citrix Workspace tente uniquement la récupération côté serveur et le rendu côté client.

Par défaut, ce paramètre est Autorisé.

Paramètre de prise en charge de l’authentification Windows intégrée pour la redirection de contenu de navigateur

La redirection de contenu de navigateur active la superposition qui utilise le schéma Negotiate pour l’authentification. Cette amélioration offre une authentification unique à un serveur web configuré avec l’authentification Windows intégrée (IWA) au sein du même domaine que le VDA.

Lorsque défini sur Autorisé, la superposition de redirection de contenu de navigateur obtient un ticket Negotiate en utilisant les informations d’identification VDA de l’utilisateur. L’utilisateur s’authentifie ensuite auprès du serveur web avec une authentification unique.

Lorsque défini sur Interdit, la superposition de redirection de contenu de navigateur ne demande pas de ticket Negotiate au VDA. L’utilisateur s’authentifie auprès d’un serveur web en utilisant une méthode d’authentification de base. Cette méthode d’authentification exige que les utilisateurs saisissent leurs informations d’identification VDA chaque fois qu’ils accèdent au serveur web.

Par défaut, ce paramètre est Interdit.

Paramètre d’authentification du proxy web de récupération côté serveur de redirection de contenu de navigateur

Ce paramètre achemine le trafic HTTP provenant d’une superposition via un proxy web en aval. Le proxy web en aval autorise et authentifie le trafic HTTP en utilisant les informations d’identification de domaine de l’utilisateur VDA via le schéma d’authentification Negotiate.

Vous devez configurer la redirection de contenu de navigateur pour le mode de récupération côté serveur dans le fichier PAC à l’aide de la politique de configuration du proxy de redirection de contenu de navigateur. Dans le script PAC, fournissez des instructions pour acheminer le trafic de superposition via un proxy web en aval. Configurez ensuite le proxy web en aval pour authentifier les utilisateurs VDA via le schéma d’authentification Negotiate.

Lorsque défini sur Autorisé, le proxy web répond avec un défi 407 Negotiate, incluant un en-tête Proxy-Authenticate: Negotiate. La redirection de contenu de navigateur obtient ensuite un ticket de service Kerberos en utilisant les informations d’identification de domaine de l’utilisateur VDA. Incluez également le ticket de service dans les requêtes ultérieures au proxy web.

Lorsque défini sur Interdit, la redirection de contenu de navigateur proxyfie tout le trafic TCP entre la superposition et le proxy web sans interférer. La superposition utilise des informations d’identification d’authentification de base ou toute autre information d’identification disponible pour s’authentifier auprès du proxy web.

Par défaut, ce paramètre est Interdit.

Paramètres de la politique de configuration de la liste de contrôle d’accès (ACL) de redirection de contenu de navigateur

Utilisez ce paramètre pour configurer une liste de contrôle d’accès (ACL) d’URL qui peuvent utiliser la redirection de contenu de navigateur ou se voient refuser l’accès à la redirection de contenu de navigateur.

Les URL autorisées sont les URL de la liste d’autorisation dont le contenu est redirigé vers le client.

Le caractère générique * est autorisé, mais il n’est pas autorisé dans la partie protocole ou adresse de domaine de l’URL. Cependant, à partir de Citrix Virtual Apps and Desktops 7 2206, le caractère générique * est autorisé dans la partie adresse de sous-domaine de l’URL.

Autorisé : http://www.xyz.com/index.html, https://www.xyz.com/*, http://www.xyz.com/*videos*, http://*.xyz.com/

Non autorisé : http://*.*.com/

Vous pouvez obtenir une meilleure granularité en spécifiant des chemins dans l’URL. Par exemple, si vous spécifiez https://www.xyz.com/sports/index.html, seule la page index.html est redirigée.

Par défaut, ce paramètre est défini sur https://www.youtube.com/*

Pour plus d’informations, consultez l’article du centre de connaissances CTX238236.

Remarque :

Vous pouvez configurer l’ACL pour permettre à la BCR de rediriger les sites web vers le point de terminaison, et les sites d’authentification peuvent être configurés pour autoriser les fournisseurs d’identité (IdP), tels qu’Okta et Duo, pour l’authentification utilisée sur l’URL configurée.

Sites d’authentification de la redirection de contenu de navigateur

Utilisez ce paramètre pour configurer une liste d’URL. Les sites redirigés à l’aide de la redirection de contenu de navigateur utilisent cette liste pour authentifier un utilisateur. Le paramètre spécifie les URL pour lesquelles la redirection de contenu de navigateur reste active (redirigée) lors de la navigation à partir d’une URL figurant dans la liste d’autorisation.

Un scénario classique est un site web qui s’appuie sur un fournisseur d’identité (IdP) pour l’authentification. Par exemple, un site web www.xyz.com doit être redirigé vers le point de terminaison, mais un IdP tiers, comme Okta (www.xyz.okta.com), gère la partie authentification. L’administrateur utilise la stratégie de configuration ACL de la redirection de contenu de navigateur pour ajouter www.xyz.com à la liste d’autorisation. Il utilise ensuite les sites d’authentification de la redirection de contenu de navigateur pour ajouter www.xyz.okta.com à la liste d’autorisation.

Pour plus d’informations, consultez l’article du centre de connaissances CTX238236.

Paramètre de liste de blocage de la redirection de contenu de navigateur

Ce paramètre fonctionne conjointement avec le paramètre de configuration ACL de la redirection de contenu de navigateur. Si des URL sont présentes à la fois dans le paramètre de configuration ACL de la redirection de contenu de navigateur et dans le paramètre de configuration de la liste de blocage, la configuration de la liste de blocage a la priorité et le contenu du navigateur de l’URL n’est pas redirigé.

URL non autorisées : Spécifie les URL de la liste de blocage dont le contenu du navigateur n’est pas redirigé vers le client, mais rendu sur le serveur.

Le caractère générique * est autorisé, mais il n’est pas autorisé dans le protocole ou la partie adresse de domaine de l’URL.

Autorisé : http://www.xyz.com/index.html, https://www.xyz.com/*, http://www.xyz.com/*videos*

Non autorisé : http://*.xyz.com/

Vous pouvez obtenir une meilleure granularité en spécifiant des chemins dans l’URL. Par exemple, si vous spécifiez https://www.xyz.com/sports/index.html, seul index.html figure dans la liste de blocage.

Paramètre de proxy de redirection de contenu de navigateur

Ce paramètre fournit des options de configuration pour les paramètres de proxy sur le VDA pour la redirection de contenu de navigateur. S’il est activé avec une adresse de proxy et un numéro de port valides, une URL PAC/WPAD ou un paramètre Direct/Transparent, l’application Citrix Workspace tente uniquement la récupération côté serveur et le rendu côté client.

S’il est désactivé ou non configuré et utilise une valeur par défaut, l’application Citrix Workspace tente la récupération côté client et le rendu côté client.

Par défaut, ce paramètre est Interdit.

Modèle autorisé pour un proxy explicite :

http://\<hostname/ip address\>:\<port\>

Exemple :

http://proxy.example.citrix.com:80 http://10.10.10.10:8080

Modèles autorisés pour les fichiers PAC/WPAD :

http://<hostname/ip address>:<port>/<path>/<Proxy.pac>

Exemple : http://wpad.myproxy.com:30/configuration/pac/Proxy.pac

https://<hostname/ip address>:<port>/<path>/<wpad.dat>

Exemple : http://10.10.10.10/configuration/pac/wpad.dat

Modèles autorisés pour les proxys directs ou transparents :

Tapez le mot DIRECT dans la zone de texte de la stratégie.

Remplacements de clé de registre pour la redirection de contenu de navigateur

Avertissement :

Toute modification incorrecte du registre peut entraîner de graves problèmes qui pourraient vous obliger à réinstaller votre système d’exploitation. Citrix® ne peut garantir que les problèmes résultant d’une utilisation incorrecte de l’Éditeur du Registre puissent être résolus. Utilisez l’Éditeur du Registre à vos propres risques. Assurez-vous de sauvegarder le registre avant de le modifier.

Options de remplacement du registre pour les paramètres de stratégie :

\HKEY_LOCAL_MACHINE\SOFTWARE\Citrix\HdxMediastream

Insertion de HDXVideo.js pour la redirection de contenu de navigateur

HdxVideo.js est injecté sur la page web à l’aide de l’extension Chrome de redirection de contenu de navigateur ou de l’objet d’assistance de navigateur (BHO) d’Internet Explorer. Le BHO est un modèle de plug-in pour Internet Explorer. Il fournit des points d’ancrage pour les API de navigateur et permet au plug-in d’accéder au modèle d’objet de document (DOM) de la page pour contrôler la navigation.

Le BHO décide s’il doit injecter HdxVideo.js sur une page donnée. La décision est basée sur les stratégies administratives présentées dans l’organigramme précédent.

Après avoir décidé d’injecter le JavaScript et de rediriger le contenu du navigateur vers le client, la page web est vide sur le navigateur Internet Explorer du VDA. Définir document.body.innerHTML sur vide supprime l’intégralité du corps de la page web sur le VDA. La page est prête à être envoyée au client pour être affichée sur le navigateur superposé (Hdxbrowser.exe) sur le client.