Citrix Virtual Apps and Desktops

ブラウザーコンテンツリダイレクトのポリシー設定

[Webブラウザーコンテンツリダイレクト]には、この機能を構成するためのポリシー設定が含まれています。

Webブラウザーコンテンツのリダイレクトでは、Citrix Virtual Apps and DesktopsがWebブラウザーコンテンツ(HTML5など)をユーザーに配信する方法を制御し、最適化します。コンテンツが表示されているWebブラウザーの表示領域のみがリダイレクトされます。

HTML5ビデオリダイレクションとWebブラウザーコンテンツリダイレクトは、独立した機能です。この機能を使用するために、HTML5ビデオのリダイレクトのポリシーは不要です。ただし、WebブラウザーコンテンツのリダイレクトにはCitrix HDX HTML5ビデオリダイレクトサービスが使用されます。詳しくは、「ブラウザーコンテンツリダイレクト」を参照してください。

注:

Web Studioで利用可能なポリシー設定はVDA上でレジストリキーにより上書きできますが、レジストリキーはオプションです。

TLSおよびWebブラウザーコンテンツリダイレクト

Webブラウザーコンテンツリダイレクトを使用して、HTTPS Webサイトをリダイレクトできます。これらのWebサイトに挿入されたJavaScriptは、VDAで動作するCitrix HDX HTML5ビデオリダイレクションサービス(WebSocketService.exe)へのTLS接続を確立する必要があります。このリダイレクションを実現し、WebページのTLS整合性を維持するために、Citrix HDX HTML5ビデオリダイレクションサービスはVDAの証明書ストアで2つのカスタム証明書を生成します。

HdxVideo.jsは、Secure Webソケットを使用してVDAで動作するWebSocketService.exeと通信します。このプロセスはローカルシステムで動作し、SSLの終了とユーザーセッションマッピングを実行します。

WebSocketService.exeは127.0.0.1ポート9001でリスンします。

ブラウザーコンテンツリダイレクト

デフォルトでは、Citrix Workspaceアプリはクライアントフェッチとクライアントレンダリングを試行します。クライアントフェッチとクライアントレンダリングが失敗すると、サーバー側のレンダリングが試行されます。Webブラウザーコンテンツのリダイレクトプロキシ設定ポリシーも有効にすると、Citrix Workspaceアプリはサーバーフェッチとクライアントレンダリングだけを試みます。

デフォルトでは、[許可] に設定されています。

Webブラウザーコンテンツリダイレクト統合Windows認証サポート設定

Webブラウザーコンテンツリダイレクトにより、認証にNegotiateスキームを使用するオーバーレイが有効になります。この機能拡張は、VDAと同じドメイン内の統合Windows認証(IWA)で構成されたWebサーバーへのシングルサインオンを提供します。

Allowedに設定すると、Webブラウザーコンテンツリダイレクトオーバーレイは、ユーザーのVDA資格情報を使用してNegotiateチケットを取得します。次に、ユーザーはシングルサインオンでWebサーバーへの認証を行います。

Prohibitedに設定すると、Webブラウザーコンテンツリダイレクトオーバーレイは、VDAからのNegotiateチケットを要求しません。ユーザーは、基本認証方法を使用して、Webサーバーに対して認証を行います。この認証方法では、ユーザーはWebサーバーにアクセスするたびにVDA資格情報を入力する必要があります。

デフォルトでは、禁止に設定されています。

Webブラウザーコンテンツリダイレクトのサーバー側での取得のプロキシ認証設定

この設定では、オーバーレイから発信されたHTTPトラフィックをダウンストリームWebプロキシ経由でルーティングします。ダウンストリームWebプロキシは、Negotiate認証スキームによりVDAユーザーのドメイン資格情報を使用し、HTTPトラフィックを承認および認証します。

Webブラウザーコンテンツリダイレクトプロキシ設定ポリシーを使用して、PACファイルでサーバーフェッチモードのブラウザーコンテンツリダイレクトを設定する必要があります。PACスクリプトで、ダウンストリームWebプロキシを介してオーバーレイトラフィックをルーティングする手順を指定します。次に、ネゴシエート認証スキームを介してVDAユーザーを認証するようにダウンストリームWebプロキシを構成します。

[許可] に設定すると、WebプロキシはProxy-Authenticate: Negotiateヘッダーを含む407ネゴシエートチャレンジで応答します。次に、Webブラウザーコンテンツリダイレクトは、VDAユーザーのドメイン資格情報を使用して、Kerberosサービスチケットを取得します。また、Webプロキシへのその後の要求にサービスチケットを含めます。

[禁止] に設定すると、Webブラウザーコンテンツリダイレクトにより、オーバーレイとWebプロキシ間のすべてのTCPトラフィックが干渉することなくプロキシされます。オーバーレイは、基本認証資格情報またはその他の使用可能な資格情報を使用して、Webプロキシへの認証を行います。

デフォルトでは、禁止に設定されています。

Webブラウザーコンテンツのリダイレクトのアクセス制御リスト(ACL)のポリシー設定

Webブラウザーコンテンツリダイレクトを使用できるURL、またはブラウザーコンテンツリダイレクトへのアクセスを拒否するURLのアクセス制御リスト(ACL)を構成するには、この設定を使用します。

承認済みURLは許可リストに登録されたURLであり、このリストのコンテンツがクライアントにリダイレクトされます。

ワイルドカード文字「*」は使用可能ですが、この文字はURLのプロトコルおよびドメインアドレスには使用できません。ただし、Citrix Virtual Apps and Desktops 7 2206以降では、URLのサブドメインアドレス部分でワイルドカード「*」 を使用できます。

許可:http://www.xyz.com/index.htmlhttps://www.xyz.com/*http://www.xyz.com/*videos*http://*.xyz.com/

使用不可:http://*.*.com/

URLにパスを指定することにより、より細分化することができます。たとえば、https://www.xyz.com/sports/index.htmlを指定すると、index.htmlページのみがリダイレクトされます。

デフォルトでは、この設定はhttps://www.youtube.com/*に設定されています。

詳しくは、Knowledge CenterのCTX238236の記事を参照してください。

Webブラウザーコンテンツリダイレクト認証サイト

URLの一覧を構成するには、この設定を使用します。Webブラウザーコンテンツリダイレクトによりリダイレクトされたサイトは、この一覧を使用してユーザーを認証します。この設定では、許可リストに登録済みのURLから移動するときに、Webブラウザーコンテンツリダイレクトをアクティブ(リダイレクトあり)のままにするURLを指定します。

一般的なシナリオとしては、IDプロバイダー(IdP)を利用して認証を行うWebサイトが考えられます。たとえば、Webサイトwww.xyz.comをエンドポイントにする必要があるものの、Okta(www.xyz.okta.com)などのサードパーティIdPが認証を処理しているとします。管理者は、WebブラウザーコンテンツリダイレクトのACL構成ポリシーを使用して、www.xyz.comを許可リストに追加します。次に、Webブラウザーコンテンツリダイレクト認証サイトを使用して、許可リストにwww.xyz.okta.comを追加します。

詳しくは、Knowledge CenterのCTX238236の記事を参照してください。

Webブラウザーコンテンツリダイレクトの禁止リスト設定

この設定は、WebブラウザーコンテンツリダイレクトのACL構成の設定と連携しています。WebブラウザーコンテンツリダイレクトACL構成の設定と、禁止リスト構成の設定に、URLが存在することを考慮してください。この場合、禁止リストの構成が優先され、URLのWebブラウザーコンテンツはリダイレクトされません。

承認されていないURL: Webブラウザーコンテンツがクライアントにリダイレクトされずサーバーでレンダリングされる、禁止リストに登録するURLを指定します。

ワイルドカード文字「*」は使用可能ですが、この文字はURLのプロトコルおよびドメインアドレスには使用できません。

使用可能:http://www.xyz.com/index.htmlhttps://www.xyz.com/*http://www.xyz.com/*videos*

使用不可:http://*.xyz.com/

URLにパスを指定することにより、より細分化することができます。たとえば、https://www.xyz.com/sports/index.htmlを指定すると、index.htmlページのみが禁止リストに登録されます。

Webブラウザーコンテンツのリダイレクトのプロキシ設定

この設定は、Webブラウザーコンテンツリダイレクト用のVDAでのプロキシ設定のオプションです。有効なプロキシアドレスとポート番号、PAC/WPAD URL、または直接/透過型の設定を指定して有効にすると、Citrix Workspaceアプリはサーバーフェッチとクライアントレンダリングだけを試行します。

無効にするか構成しないで、デフォルト値を使用すると、Citrix Workspaceアプリはクライアントフェッチとクライアントレンダリングを試行します。

デフォルトでは、禁止に設定されています。

明示的なプロキシで許可されたパターン:

http://\<hostname/ip address\>:\<port\>

例:

http://proxy.example.citrix.com:80 http://10.10.10.10:8080

PAC/WPADファイルで許可されたパターン:

http://<hostname/ip address>:<port>/<path>/<Proxy.pac>

例: http://wpad.myproxy.com:30/configuration/pac/Proxy.pac

https://<hostname/ip address>:<port>/<path>/<wpad.dat>

例: http://10.10.10.10/configuration/pac/wpad.dat

直接または透過型のプロキシで許可されたパターン:

ポリシーテキストボックスに「DIRECT」と入力します。

Webブラウザーコンテンツリダイレクトのレジストリキーの上書き

警告:

レジストリエディターの使用を誤ると、深刻な問題が発生する可能性があり、オペレーティングシステムの再インストールが必要になる場合もあります。レジストリエディターの誤用による障害に対して、Citrixは一切責任を負いません。レジストリエディターは、お客様の責任と判断の範囲でご使用ください。また、レジストリファイルのバックアップを作成してから、レジストリを編集してください。

ポリシー設定を上書きするレジストリ設定を以下に示します:

\HKEY_LOCAL_MACHINE\SOFTWARE\Citrix\HdxMediastream

名前 種類
WebBrowserRedirection DWORD 1=許可、0=禁止
WebBrowserRedirectionAcl REG_MULTI_SZ  
WebBrowserRedirectionAuthenticationSites REG_MULTI_SZ  
WebBrowserRedirectionProxyAddress REG_SZ http://myproxy.citrix.com:8080 または http://10.10.10.10:8888
WebBrowserRedirectionBlacklist REG_MULTI_SZ  

WebブラウザーコンテンツのリダイレクトのポリシーにおけるACL設定の編集

Webブラウザーコンテンツのリダイレクト用のHDXVideo.js挿入

Webブラウザーコンテンツリダイレクトの画像

HdxVideo.jsは、ChromeのWebブラウザーコンテンツリダイレクト拡張機能またはInternet Explorer Browser Helper Object(BHO)を使用してWebページに挿入されます。BHOは、Internet Explorerのプラグインモデルです。WebブラウザーAPIのフックを提供し、プラグインがナビゲーションを制御するためにページのDOM(Document Object Model)にアクセスできるようにします。

BHOは、特定のページにHdxVideo.jsを挿入するかどうかを決定します。この決定は、上記のフローチャートに示した管理ポリシーに基づいています。

JavaScriptの挿入とクライアントへのWebブラウザーコンテンツのリダイレクトが決定されると、VDA上のInternet ExplorerブラウザーのWebページが消去されます。document.body.innerHTML を空に設定すると、VDA上ではWebページの本文全体が削除されます。ページがクライアントに送信され、クライアントのオーバーレイWebブラウザー(Hdxbrowser.exe)に表示される準備が整います。