浏览器内容重定向策略设置
浏览器内容重定向部分包含用于配置此功能的策略设置。
浏览器内容重定向控制并优化了 Citrix Virtual Apps and Desktops™ 向用户交付任何 Web 浏览器内容(例如 HTML5)的方式。只有浏览器中显示内容的可见区域才会被重定向。
HTML5 视频重定向和浏览器内容重定向是独立的功能。此功能不需要 HTML5 视频重定向策略即可工作。但是,Citrix HDX HTML5 视频重定向服务用于浏览器内容重定向。有关详细信息,请参阅浏览器内容重定向。
注意:
Web Studio 中可用的策略设置可以通过 VDA 上的注册表项覆盖,但注册表项是可选的。
TLS 和浏览器内容重定向
您可以使用浏览器内容重定向来重定向 HTTPS 网站。注入到这些网站中的 JavaScript 必须与 VDA 上运行的 Citrix HDX HTML5 视频重定向服务 (WebSocketService.exe) 建立 TLS 连接。为了实现此重定向并保持网页的 TLS 完整性,Citrix HDX HTML5 视频重定向服务会在 VDA 上的证书存储中生成两个自定义证书。
HdxVideo.js 使用安全 Web 套接字与 VDA 上运行的 WebSocketService.exe 进行通信。此进程在本地系统上运行,并执行 SSL 终止和用户会话映射。
WebSocketService.exe is listening on 127.0.0.1 port 9001.
浏览器内容重定向
默认情况下,Citrix Workspace™ 应用程序会尝试客户端获取和客户端渲染。当客户端获取和客户端渲染失败时,会尝试服务器端渲染。如果您还启用了浏览器内容重定向代理配置策略,Citrix Workspace 应用程序将仅尝试服务器获取和客户端渲染。
默认情况下,此设置为“允许”。
浏览器内容重定向集成 Windows 身份验证支持设置
浏览器内容重定向启用使用协商方案进行身份验证的覆盖。此增强功能为与 VDA 位于同一域中配置了集成 Windows 身份验证 (IWA) 的 Web 服务器提供单点登录。
当设置为“允许”时,浏览器内容重定向叠加层会使用用户的 VDA 凭据获取 Negotiate 票证。用户随后通过单点登录向 Web 服务器进行身份验证。
当设置为“禁止”时,浏览器内容重定向叠加层不会从 VDA 请求 Negotiate 票证。用户使用基本身份验证方法向 Web 服务器进行身份验证。此身份验证方法要求用户每次访问 Web 服务器时都输入其 VDA 凭据。
默认情况下,此设置为“禁止”。
浏览器内容重定向服务器提取 Web 代理身份验证设置
此设置通过下游 Web 代理路由源自叠加层的 HTTP 流量。下游 Web 代理使用 VDA 用户的域凭据通过 Negotiate 身份验证方案授权和验证 HTTP 流量。
您必须使用“浏览器内容重定向代理配置”策略在 PAC 文件中配置服务器提取模式的浏览器内容重定向。在 PAC 脚本中,提供将叠加层流量通过下游 Web 代理路由的说明。然后配置下游 Web 代理以通过 Negotiate 身份验证方案对 VDA 用户进行身份验证。
当设置为“允许”时,Web 代理会响应 407 Negotiate 质询,其中包括 Proxy-Authenticate: Negotiate 标头。浏览器内容重定向随后使用 VDA 用户的域凭据获取 Kerberos 服务票证。此外,在后续对 Web 代理的请求中包含该服务票证。
当设置为“禁止”时,浏览器内容重定向会在不干扰的情况下代理叠加层和 Web 代理之间的所有 TCP 流量。叠加层使用基本身份验证凭据或任何其他可用凭据向 Web 代理进行身份验证。
默认情况下,此设置为“禁止”。
浏览器内容重定向 ACL(访问控制列表)配置策略设置
使用此设置配置 URL 的访问控制列表 (ACL),这些 URL 可以使用浏览器内容重定向,或者被拒绝访问浏览器内容重定向。
授权 URL 是允许列表中的 URL,其内容被重定向到客户端。
允许使用通配符 *,但不允许在 URL 的协议或域地址部分中使用。但是,从 Citrix Virtual Apps and Desktops 7 2206 开始,允许在 URL 的子域地址部分中使用通配符 *。
Allowed: http://www.xyz.com/index.html, https://www.xyz.com/*, http://www.xyz.com/*videos*, http://*.xyz.com/
不允许:http://*.*.com/
您可以通过在 URL 中指定路径来获得更好的粒度。例如,如果您指定 https://www.xyz.com/sports/index.html,则只有 index.html 页面会被重定向。
默认情况下,此设置设置为 https://www.youtube.com/*
有关详细信息,请参阅知识中心文章 CTX238236。
注意:
您可以配置 ACL 以允许 BCR 将网站重定向到端点,并且可以配置身份验证站点以允许身份提供程序 (IdP)(例如 Okta 和 Duo)对配置的 URL 上使用的身份验证进行处理。
浏览器内容重定向身份验证站点
使用此设置配置 URL 列表。通过浏览器内容重定向重定向的站点使用此列表对用户进行身份验证。此设置指定当从允许列表中的 URL 导航离开时,浏览器内容重定向保持活动(重定向)状态的 URL。
一个典型的场景是依赖身份提供程序 (IdP) 进行身份验证的网站。例如,网站 www.xyz.com 必须重定向到端点,但第三方 IdP(如 Okta (www.xyz.okta.com))处理身份验证部分。管理员使用浏览器内容重定向 ACL 配置策略将 www.xyz.com 添加到允许列表。然后使用浏览器内容重定向身份验证站点将 www.xyz.okta.com 添加到允许列表。
有关详细信息,请参阅知识中心文章 CTX238236。
浏览器内容重定向阻止列表设置
此设置与浏览器内容重定向 ACL 配置设置协同工作。如果 URL 同时存在于浏览器内容重定向 ACL 配置设置和阻止列表配置设置中,则阻止列表配置优先,并且 URL 的浏览器内容不会被重定向。
未经授权的 URL: 指定阻止列表中的 URL,其浏览器内容不会重定向到客户端,而是在服务器上呈现。
允许使用通配符 *,但不允许在协议或 URL 的域地址部分中使用。
允许:http://www.xyz.com/index.html、https://www.xyz.com/*、http://www.xyz.com/*videos*
不允许:http://*.xyz.com/
您可以通过在 URL 中指定路径来获得更好的粒度。例如,如果您指定 https://www.xyz.com/sports/index.html,则只有 index.html 在阻止列表中。
浏览器内容重定向代理设置
此设置提供了 VDA 上用于浏览器内容重定向的代理设置的配置选项。如果启用并使用有效的代理地址和端口号、PAC / WPAD URL 或直接/透明设置,Citrix Workspace 应用程序将仅尝试服务器获取和客户端呈现。
如果禁用或未配置并使用默认值,Citrix Workspace 应用程序将尝试客户端获取和客户端呈现。
默认情况下,此设置为“禁止”。
显式代理的允许模式:
http://\<hostname/ip address\>:\<port\>
示例:
http://proxy.example.citrix.com:80
http://10.10.10.10:8080
PAC/WPAD 文件的允许模式:
http://<hostname/ip address>:<port>/<path>/<Proxy.pac>
示例: http://wpad.myproxy.com:30/configuration/pac/Proxy.pac
https://<hostname/ip address>:<port>/<path>/<wpad.dat>
示例: http://10.10.10.10/configuration/pac/wpad.dat
直接或透明代理的允许模式:
在策略文本框中输入单词 DIRECT。
浏览器内容重定向注册表项覆盖
警告:
不正确地编辑注册表可能会导致严重问题,甚至可能需要重新安装操作系统。Citrix® 无法保证可以解决因不正确使用注册表编辑器而导致的问题。请自行承担使用注册表编辑器的风险。在编辑注册表之前,请务必备份注册表。
策略设置的注册表覆盖选项:
\HKEY_LOCAL_MACHINE\SOFTWARE\Citrix\HdxMediastream
| 名称 | 类型 | 值 |
|---|---|---|
| 网页浏览器重定向 | 双字 | 1=允许, 0=禁止 |
| WebBrowserRedirectionAcl | REG_MULTI_SZ | |
| 浏览器内容重定向身份验证站点 | 多字符串值 | |
| 网页浏览器重定向代理地址 | 字符串值 |
http://myproxy.citrix.com:8080 或 http://10.10.10.10:8888
|
| 浏览器内容重定向黑名单 | 多字符串值 |
用于浏览器内容重定向的 HDXVideo.js 插入
HdxVideo.js 通过浏览器内容重定向 Chrome 扩展程序或 Internet Explorer 浏览器帮助对象 (BHO) 注入到网页中。BHO 是 Internet Explorer 的插件模型。它为浏览器 API 提供挂钩,并允许插件访问页面的文档对象模型 (DOM) 以控制导航。
BHO 决定是否在给定页面上注入 HdxVideo.js。该决定基于前面流程图中显示的管理策略。
在决定注入 JavaScript 并将浏览器内容重定向到客户端后,VDA 上的 Internet Explorer 浏览器中的网页将显示为空白。将 document.body.innerHTML 设置为空会删除 VDA 上网页的整个正文。该页面已准备好发送到客户端,以便在客户端上的叠加浏览器 (Hdxbrowser.exe) 中显示。