Definições de política de redirecionamento de conteúdo do navegador
A seção de redirecionamento de conteúdo do navegador inclui definições de política para configurar este recurso.
O redirecionamento de conteúdo do navegador controla e otimiza a forma como o Citrix Virtual Apps and Desktops™ entrega qualquer conteúdo de navegador da web (por exemplo, HTML5) aos usuários. Apenas a área visível do navegador onde o conteúdo é exibido é redirecionada.
O redirecionamento de vídeo HTML5 e o redirecionamento de conteúdo do navegador são recursos independentes. As políticas de redirecionamento de vídeo HTML5 não são necessárias para que este recurso funcione. No entanto, o Serviço de Redirecionamento de Vídeo HTML5 do Citrix HDX é usado para o redirecionamento de conteúdo do navegador. Para obter mais informações, consulte Redirecionamento de conteúdo do navegador.
Definições de política:
As seguintes definições de política estão disponíveis para o recurso de redirecionamento de conteúdo do navegador no Citrix Studio. Essas políticas podem ser substituídas por chaves de registro no VDA, mas as chaves de registro são opcionais.
TLS e redirecionamento de conteúdo do navegador
Você pode usar o redirecionamento de conteúdo do navegador para redirecionar sites HTTPS. O JavaScript injetado nesses sites deve estabelecer uma conexão TLS com o Serviço de Redirecionamento de Vídeo HTML5 do Citrix HDX (WebSocketService.exe) em execução no VDA. Para conseguir este redirecionamento e manter a integridade TLS da página da web, o Serviço de Redirecionamento de Vídeo HTML5 do Citrix HDX gera dois certificados personalizados no armazenamento de certificados no VDA.
HdxVideo.js usa Web sockets seguros para se comunicar com WebSocketService.exe em execução no VDA. Este processo é executado no Sistema Local e realiza a terminação SSL e o mapeamento da sessão do usuário.
WebSocketService.exe está escutando na porta 9001 de 127.0.0.1.
Redirecionamento de conteúdo do navegador
Por padrão, o aplicativo Citrix Workspace™ tenta a busca no cliente e a renderização no cliente. A renderização no lado do servidor é tentada quando a busca no cliente e a renderização no cliente falham. Se você também habilitar a política de configuração de proxy de redirecionamento de conteúdo do navegador, o aplicativo Citrix Workspace tentará apenas a busca no servidor e a renderização no cliente.
Por padrão, esta definição está Permitida.
Definição de suporte à Autenticação Integrada do Windows para redirecionamento de conteúdo do navegador
O redirecionamento de conteúdo do navegador habilita a sobreposição que usa o esquema Negotiate para autenticação. Este aprimoramento fornece logon único a um servidor web configurado com Autenticação Integrada do Windows (IWA) dentro do mesmo domínio do VDA.
Quando definida como Permitida, a sobreposição de redirecionamento de conteúdo do navegador obtém um tíquete Negotiate usando as credenciais do VDA do usuário. O usuário então se autentica no servidor web com logon único.
Quando definida como Proibida, a sobreposição de redirecionamento de conteúdo do navegador não solicita um tíquete Negotiate do VDA. O usuário se autentica em um servidor web usando um método de autenticação básico. Este método de autenticação exige que os usuários insiram suas credenciais do VDA cada vez que acessam o servidor web.
Por padrão, esta definição está Proibida.
Definição de autenticação de proxy da web de busca no servidor para redirecionamento de conteúdo do navegador
Esta definição roteia o tráfego HTTP originado em uma sobreposição através de um proxy da web downstream. O proxy da web downstream autoriza e autentica o tráfego HTTP usando as credenciais de domínio do usuário do VDA através do esquema de autenticação Negotiate.
Você deve configurar o redirecionamento de conteúdo do navegador para o modo de busca no servidor no arquivo PAC usando a política de configuração de proxy de redirecionamento de conteúdo do navegador. No script PAC, forneça instruções para rotear o tráfego de sobreposição através de um proxy da web downstream. Em seguida, configure o proxy da web downstream para autenticar os usuários do VDA através do esquema de autenticação Negotiate.
Quando definida como Permitida, o proxy da web responde com um desafio Negotiate 407, incluindo um cabeçalho Proxy-Authenticate: Negotiate. O redirecionamento de conteúdo do navegador então obtém um tíquete de serviço Kerberos usando as credenciais de domínio do usuário do VDA. Além disso, inclua o tíquete de serviço em solicitações posteriores ao proxy da web.
Quando definida como Proibida, o redirecionamento de conteúdo do navegador faz proxy de todo o tráfego TCP entre a sobreposição e o proxy da web sem interferir. A sobreposição usa credenciais de autenticação básicas ou quaisquer outras credenciais disponíveis para se autenticar no proxy da web.
Por padrão, esta definição está Proibida.
Definições de política da Lista de Controle de Acesso (ACL) para redirecionamento de conteúdo do navegador
Use esta definição para configurar uma Lista de Controle de Acesso (ACL) de URLs que podem usar o redirecionamento de conteúdo do navegador ou que têm o acesso negado ao redirecionamento de conteúdo do navegador.
URLs autorizadas são as URLs na lista de permissões cujo conteúdo é redirecionado para o cliente.
O caractere curinga * é permitido, mas não é permitido dentro do protocolo ou da parte do endereço de domínio da URL.
Permitido: http://www.xyz.com/index.html, https://www.xyz.com/*, http://www.xyz.com/*videos*
Não permitido: http://*.xyz.com/
Você pode obter uma granularidade melhor especificando caminhos na URL. Por exemplo, se você especificar https://www.xyz.com/sports/index.html, apenas a página index.html será redirecionada.
Por padrão, esta definição está definida como https://www.youtube.com/*
Para obter mais informações, consulte o artigo da Central de Conhecimento CTX238236.
Sites de autenticação de redirecionamento de conteúdo do navegador
Use esta definição para configurar uma lista de URLs. Os sites redirecionados usando o redirecionamento de conteúdo do navegador usam a lista para autenticar um usuário. A definição especifica as URLs para as quais o redirecionamento de conteúdo do navegador permanece ativo (redirecionado) ao navegar para fora de uma URL na lista de permissões.
Um cenário clássico é um site que depende de um Provedor de Identidade (IdP) para autenticação. Por exemplo, um site www.xyz.com deve ser redirecionado para o endpoint, mas um IdP de terceiros, como Okta (www.xyz.okta.com), lida com a parte da autenticação. O administrador usa a política de configuração de ACL de redirecionamento de conteúdo do navegador para adicionar www.xyz.com à lista de permissões. Em seguida, usa os sites de autenticação de redirecionamento de conteúdo do navegador para adicionar www.xyz.okta.com à lista de permissões.
Para obter mais informações, consulte o artigo da Central de Conhecimento CTX238236.
Definição de lista de bloqueio de redirecionamento de conteúdo do navegador
Esta definição funciona em conjunto com a definição de configuração de ACL de redirecionamento de conteúdo do navegador. Considere que as URLs estão presentes na definição de configuração de ACL de redirecionamento de conteúdo do navegador e na definição de configuração de lista de bloqueio. Neste caso, a configuração da lista de bloqueio tem precedência e o conteúdo do navegador da URL não é redirecionado.
URLs não autorizadas: Especifica as URLs na lista de bloqueio cujo conteúdo do navegador não é redirecionado para o cliente, mas renderizado no servidor.
O caractere curinga * é permitido, mas não é permitido dentro do protocolo ou da parte do endereço de domínio da URL.
Permitido: http://www.xyz.com/index.html, https://www.xyz.com/*, http://www.xyz.com/*videos*
Não permitido: http://*.xyz.com/
Você pode obter uma granularidade melhor especificando caminhos na URL. Por exemplo, se você especificar https://www.xyz.com/sports/index.html, apenas index.html estará na lista de bloqueio.
Definição de proxy de redirecionamento de conteúdo do navegador
Esta definição fornece opções de configuração para definições de proxy no VDA para redirecionamento de conteúdo do navegador. Se habilitado com um endereço de proxy e número de porta válidos, URL PAC/WPAD ou definição Direta/Transparente, o aplicativo Citrix Workspace tenta apenas a busca no servidor e a renderização no cliente.
Se desabilitado ou não configurado e usando um valor padrão, o aplicativo Citrix Workspace tenta a busca no cliente e a renderização no cliente.
Por padrão, esta definição está Proibida.
Padrão permitido para um proxy explícito:
http://\<hostname/ip address\>:\<port\>
Exemplo:
http://proxy.example.citrix.com:80
http://10.10.10.10:8080
Padrões permitidos para arquivos PAC/WPAD:
http://<hostname/ip address>:<port>/<path>/<Proxy.pac>
Exemplo: http://wpad.myproxy.com:30/configuration/pac/Proxy.pac
https://<hostname/ip address>:<port>/<path>/<wpad.dat>
Exemplo: http://10.10.10.10/configuration/pac/wpad.dat
Padrões permitidos para proxies diretos ou transparentes:
Digite a palavra DIRECT na caixa de texto da política.
Substituições de chave de registro para redirecionamento de conteúdo do navegador
Aviso:
Editar o registro incorretamente pode causar problemas sérios que podem exigir a reinstalação do seu sistema operacional. A Citrix não pode garantir que os problemas resultantes do uso incorreto do Editor do Registro possam ser resolvidos. Use o Editor do Registro por sua conta e risco. Certifique-se de fazer backup do registro antes de editá-lo.
As entradas de registro substituem as opções para as definições de política:
\HKEY_LOCAL_MACHINE\SOFTWARE\Citrix\HdxMediastream
| Nome | Tipo | Valor |
|---|---|---|
| WebBrowserRedirection | DWORD | 1=Permitido, 0=Proibido |
| WebBrowserRedirectionAcl | REG_MULTI_SZ | |
| WebBrowserRedirectionAuthenticationSites | REG_MULTI_SZ | |
| WebBrowserRedirectionProxyAddress | REG_SZ |
http://myproxy.citrix.com:8080 ou http://10.10.10.10:8888
|
| WebBrowserRedirectionBlacklist | REG_MULTI_SZ |
Inserção de HDXVideo.js para redirecionamento de conteúdo do navegador
HdxVideo.js é injetado na página da web usando a extensão do Chrome de redirecionamento de conteúdo do navegador ou o Objeto Auxiliar de Navegador (BHO) do Internet Explorer. O BHO é um modelo de plug-in para o Internet Explorer. Ele fornece ganchos para APIs do navegador e permite que o plug-in acesse o Modelo de Objeto de Documento (DOM) da página para controlar a navegação.
O BHO decide se injeta HdxVideo.js em uma determinada página. A decisão é baseada nas políticas administrativas mostradas no fluxograma anterior.
Depois que ele decide injetar o JavaScript e redirecionar o conteúdo do navegador para o cliente, a página da web fica em branco no navegador Internet Explorer no VDA. Definir document.body.innerHTML como vazio remove todo o corpo da página da web no VDA. A página está pronta para ser enviada ao cliente para ser exibida no navegador de sobreposição (Hdxbrowser.exe) no cliente.
Neste artigo
- TLS e redirecionamento de conteúdo do navegador
- Redirecionamento de conteúdo do navegador
- Definição de suporte à Autenticação Integrada do Windows para redirecionamento de conteúdo do navegador
- Definição de autenticação de proxy da web de busca no servidor para redirecionamento de conteúdo do navegador
- Definições de política da Lista de Controle de Acesso (ACL) para redirecionamento de conteúdo do navegador
- Sites de autenticação de redirecionamento de conteúdo do navegador
- Definição de lista de bloqueio de redirecionamento de conteúdo do navegador
- Definição de proxy de redirecionamento de conteúdo do navegador
- Substituições de chave de registro para redirecionamento de conteúdo do navegador
- Inserção de HDXVideo.js para redirecionamento de conteúdo do navegador