ブラウザコンテンツリダイレクトポリシー設定
ブラウザコンテンツリダイレクトセクションには、この機能を構成するためのポリシー設定が含まれています。
ブラウザコンテンツリダイレクトは、Citrix Virtual Apps and Desktops™ があらゆるWebブラウザコンテンツ(HTML5など)をユーザーに配信する方法を制御し、最適化します。コンテンツが表示されるブラウザの可視領域のみがリダイレクトされます。
HTML5ビデオのリダイレクトとブラウザコンテンツのリダイレクトは独立した機能です。この機能が動作するためにHTML5ビデオのリダイレクトポリシーは必要ありません。ただし、Citrix HDX HTML5ビデオのリダイレクトサービスはブラウザコンテンツのリダイレクトに使用されます。詳細については、「ブラウザコンテンツリダイレクト」を参照してください。
注:
Web Studioで利用可能なポリシー設定は、VDA上のレジストリキーで上書きできますが、レジストリキーはオプションです。
TLSとブラウザコンテンツリダイレクト
ブラウザコンテンツリダイレクトを使用してHTTPS Webサイトをリダイレクトできます。これらのWebサイトに挿入されるJavaScriptは、VDAで実行されているCitrix HDX HTML5ビデオのリダイレクトサービス(WebSocketService.exe)へのTLS接続を確立する必要があります。このリダイレクトを実現し、WebページのTLS整合性を維持するために、Citrix HDX HTML5ビデオのリダイレクトサービスは、VDA上の証明書ストアに2つのカスタム証明書を生成します。
HdxVideo.jsは、セキュアWebソケットを使用して、VDAで実行されているWebSocketService.exeと通信します。このプロセスはローカルシステムで実行され、SSL終端とユーザーセッションマッピングを実行します。
WebSocketService.exeは127.0.0.1ポート9001でリッスンしています。
ブラウザコンテンツリダイレクト
デフォルトでは、Citrix Workspace™アプリはクライアントフェッチとクライアントレンダリングを試行します。クライアントフェッチとクライアントレンダリングが失敗した場合、サーバー側レンダリングが試行されます。ブラウザコンテンツリダイレクトプロキシ構成ポリシーも有効にすると、Citrix Workspaceアプリはサーバーフェッチとクライアントレンダリングのみを試行します。
デフォルトでは、この設定は許可されています。
ブラウザコンテンツリダイレクト統合Windows認証サポート設定
ブラウザコンテンツリダイレクトは、認証にNegotiateスキームを使用するオーバーレイを有効にします。この機能強化により、VDAと同じドメイン内で統合Windows認証(IWA)で構成されたWebサーバーへのシングルサインオンが提供されます。
「許可」に設定されている場合、ブラウザコンテンツリダイレクトオーバーレイは、ユーザーのVDA資格情報を使用してNegotiateチケットを取得します。その後、ユーザーはシングルサインオンでWebサーバーに認証します。
「禁止」に設定されている場合、ブラウザコンテンツリダイレクトオーバーレイはVDAからNegotiateチケットを要求しません。ユーザーは基本認証方法を使用してWebサーバーに認証します。この認証方法では、ユーザーはWebサーバーにアクセスするたびにVDA資格情報を入力する必要があります。
デフォルトでは、この設定は禁止されています。
ブラウザコンテンツリダイレクトサーバーフェッチWebプロキシ認証設定
この設定は、オーバーレイで発生するHTTPトラフィックをダウンストリームWebプロキシ経由でルーティングします。ダウンストリームWebプロキシは、Negotiate認証スキームを介してVDAユーザーのドメイン資格情報を使用してHTTPトラフィックを承認および認証します。
Browser content redirection proxy configuration policyを使用して、PACファイルでサーバーフェッチモードのブラウザコンテンツリダイレクトを構成する必要があります。PACスクリプトで、オーバーレイトラフィックをダウンストリームWebプロキシ経由でルーティングする手順を指定します。その後、ダウンストリームWebプロキシを構成して、Negotiate認証スキームを介してVDAユーザーを認証します。
「許可」に設定されている場合、WebプロキシはProxy-Authenticate: Negotiateヘッダーを含む407 Negotiateチャレンジで応答します。その後、ブラウザコンテンツリダイレクトは、VDAユーザーのドメイン資格情報を使用してKerberosサービスチケットを取得します。また、その後のWebプロキシへの要求にサービスチケットを含めます。
「禁止」に設定されている場合、ブラウザコンテンツリダイレクトは、オーバーレイとWebプロキシ間のすべてのTCPトラフィックを干渉することなくプロキシします。オーバーレイは、基本認証資格情報またはその他の利用可能な資格情報を使用してWebプロキシに認証します。
デフォルトでは、この設定は禁止されています。
ブラウザコンテンツリダイレクトACL (アクセス制御リスト) 構成ポリシー設定
この設定を使用して、ブラウザコンテンツリダイレクトを使用できる、またはブラウザコンテンツリダイレクトへのアクセスを拒否されるURLのアクセス制御リスト (ACL) を構成します。
承認されたURLは、コンテンツがクライアントにリダイレクトされる許可リスト内のURLです。
ワイルドカード * は許可されていますが、URLのプロトコルまたはドメインアドレス部分では許可されていません。ただし、Citrix Virtual Apps and Desktops 7 2206以降では、ワイルドカード * はURLのサブドメインアドレス部分で許可されています。
許可されているもの: http://www.xyz.com/index.html, https://www.xyz.com/*, http://www.xyz.com/*videos*, http://*.xyz.com/
許可されていません: http://*.*.com/
URLでパスを指定することで、より詳細な粒度を実現できます。たとえば、https://www.xyz.com/sports/index.htmlを指定した場合、index.htmlページのみがリダイレクトされます。
デフォルトでは、この設定はhttps://www.youtube.com/*に設定されています。
詳細については、Knowledge Centerの記事CTX238236を参照してください。
注:
ACLを構成して、BCRがWebサイトをエンドポイントにリダイレクトすることを許可し、認証サイトを構成して、設定されたURLで使用される認証のために、OktaやDuoなどのIDプロバイダー(IdP)を許可することができます。
ブラウザコンテンツリダイレクト認証サイト
この設定を使用して、URLのリストを構成します。ブラウザコンテンツリダイレクトを使用してリダイレクトされたサイトは、このリストを使用してユーザーを認証します。この設定は、許可リスト内のURLから移動したときに、ブラウザコンテンツリダイレクトがアクティブ(リダイレクトされた状態)のままになるURLを指定します。
典型的なシナリオは、認証にIDプロバイダー(IdP)に依存するWebサイトです。たとえば、Webサイトwww.xyz.comはエンドポイントにリダイレクトされる必要がありますが、Okta (www.xyz.okta.com)のようなサードパーティのIdPが認証部分を処理します。管理者は、ブラウザコンテンツリダイレクトACL構成ポリシーを使用してwww.xyz.comを許可リストに追加します。次に、ブラウザコンテンツリダイレクト認証サイトを使用してwww.xyz.okta.comを許可リストに追加します。
詳細については、Knowledge Centerの記事CTX238236を参照してください。
ブラウザコンテンツリダイレクトブロックリスト設定
この設定は、ブラウザコンテンツリダイレクトACL構成設定と連携して機能します。ブラウザコンテンツリダイレクトACL構成設定とブロックリスト構成設定の両方にURLが存在する場合、ブロックリスト構成が優先され、そのURLのブラウザコンテンツはリダイレクトされません。
不正なURL: ブロックリスト内のURLのうち、ブラウザコンテンツがクライアントにリダイレクトされず、サーバー上でレンダリングされるURLを指定します。
ワイルドカード * は許可されていますが、プロトコルまたはURLのドメインアドレス部分内では許可されていません。
許可されるもの: http://www.xyz.com/index.html, https://www.xyz.com/*, http://www.xyz.com/*videos*
許可されないもの: http://*.xyz.com/
URL にパスを指定することで、より詳細な粒度を実現できます。たとえば、https://www.xyz.com/sports/index.html を指定した場合、index.html のみがブロックリストに含まれます。
ブラウザコンテンツリダイレクトプロキシ設定
この設定は、ブラウザコンテンツリダイレクト用の VDA 上のプロキシ設定の構成オプションを提供します。有効なプロキシアドレスとポート番号、PAC / WPAD URL、または Direct/Transparent 設定で有効になっている場合、Citrix Workspace アプリはサーバーフェッチとクライアントレンダリングのみを試行します。
無効になっているか、構成されていない場合、またはデフォルト値を使用している場合、Citrix Workspace アプリはクライアントフェッチとクライアントレンダリングを試行します。
デフォルトでは、この設定は禁止されています。
明示的なプロキシの許可パターン:
http://\<hostname/ip address\>:\<port\>
例:
http://proxy.example.citrix.com:80
http://10.10.10.10:8080
PAC/WPAD ファイルの許可パターン:
http://<hostname/ip address>:<port>/<path>/<Proxy.pac>
例: http://wpad.myproxy.com:30/configuration/pac/Proxy.pac
https://<hostname/ip address>:<port>/<path>/<wpad.dat>
例: http://10.10.10.10/configuration/pac/wpad.dat
直接または透過プロキシの許可パターン:
ポリシーテキストボックスにDIRECTと入力します。
ブラウザコンテンツリダイレクトのレジストリキーのオーバーライド
警告:
レジストリを誤って編集すると、オペレーティングシステムの再インストールが必要になるような深刻な問題が発生する可能性があります。Citrix®は、レジストリエディターの誤った使用によって生じる問題が解決されることを保証できません。レジストリエディターの使用は、お客様ご自身の責任において行ってください。編集する前に、必ずレジストリをバックアップしてください。
ポリシー設定のレジストリのオーバーライドオプション:
\HKEY_LOCAL_MACHINE\SOFTWARE\Citrix\HdxMediastream
| 名前 | 種類 | 値 |
|---|---|---|
| ウェブブラウザリダイレクション | ディーワード | 1=許可、0=禁止 |
| ウェブブラウザリダイレクションACL | レグ・マルチ・エスゼット | |
| ウェブブラウザリダイレクション認証サイト | レグ・マルチ・エス・ゼット | |
| ウェブブラウザリダイレクションプロキシアドレス | レグエスゼット |
http://myproxy.citrix.com:8080 または http://10.10.10.10:8888
|
| ウェブブラウザリダイレクトブラックリスト | レグ_マルチ_エスゼット |
ブラウザコンテンツリダイレクトのためのHDXVideo.jsの挿入
HdxVideo.jsは、ブラウザコンテンツリダイレクトのChrome拡張機能またはInternet Explorer Browser Helper Object (BHO) を使用して、ウェブページに挿入されます。BHOはInternet Explorer用のプラグインモデルです。ブラウザAPIのフックを提供し、プラグインがページのDocument Object Model (DOM) にアクセスしてナビゲーションを制御できるようにします。
BHOは、特定のページにHdxVideo.jsを挿入するかどうかを決定します。この決定は、前のフローチャートに示されている管理ポリシーに基づいています。
JavaScriptを挿入し、ブラウザコンテンツをクライアントにリダイレクトすることを決定した後、VDA上のInternet Explorerブラウザではウェブページが空白になります。document.body.innerHTMLを空に設定すると、VDA上のウェブページ全体の本文が削除されます。ページはクライアントに送信され、クライアント上のオーバーレイブラウザ (Hdxbrowser.exe) に表示される準備が整います。