浏览器内容重定向

本节概述

浏览器内容重定向 (BCR) 增强了在 Citrix Virtual Apps and Desktops™ 环境中网页浏览的用户体验。通过将网页渲染卸载到用户的本地计算机，BCR 减少了服务器负载并提高了性能，特别是对于复杂或资源密集型网站。

工作原理

BCR 利用 Citrix Workspace™ 应用程序在用户设备上创建安全的浏览环境。当用户访问允许的网页时，浏览器窗口的视口会重定向到客户端。客户端浏览器引擎随后利用本地计算机的资源来渲染页面，从而实现更快的加载时间和更流畅的交互。

请注意，只有浏览器视口被重定向。视口是浏览器中显示内容的矩形区域。视口不包括地址栏、收藏夹工具栏或状态栏等内容。这些项目位于用户界面中，该界面仍在 VDA 中的浏览器上运行。

新增功能

浏览器内容重定向中的浏览器配置文件共享（技术预览版）

BCR 现在通过新的配置文件共享功能提供简化的用户体验，实现了 VDA 侧的身份验证和 Cookie 共享。此增强功能消除了冗余登录，通过在 BCR 会话中保持身份验证和 Cookie 的持久性来提高工作效率，即使在 BCR 窗口关闭后也是如此。这种无缝体验通过确保身份验证源自 VDA 而非客户端，进一步增强了安全性。

示例：

• 以前的体验： 以前，在 BCR 中打开经过身份验证的页面时，用户每次都需要重新输入凭据，从而破坏了 SSO 的持久性。SSO 仅在 BCR 窗口保持打开状态时才得以维持。关闭并重新打开窗口会强制用户重复登录过程。

• 新体验： 借助配置文件共享，系统不再提示用户输入凭据。SSO 从 VDA 浏览器无缝保留，提供了显著改进且不间断的体验。

注意：

此功能不受特定提供商的限制。因此，它也可以与其他提供商（例如 Microsoft 身份验证、PingID 等）配合使用。但是，当前的验证是针对上述提供商进行的。

技术预览版的要求

• 思杰虚拟应用和桌面 2503
• 思杰工作区应用 2503
• 浏览器重定向扩展 25.3.4 或更高版本
  • 微软 Edge 扩展
  • 谷歌浏览器扩展程序

反馈表

配置说明

在引入此功能之前，浏览器内容重定向身份验证站点策略用于指定网站用于身份验证的 URL。通过配置身份验证站点，管理员允许将身份验证（或）中间登录页面重定向到客户端。随着配置文件共享的引入，BCR 将利用 VDA 端浏览器上的身份验证 Cookie，因此，身份验证站点策略中的 URL 现在需要配置在浏览器内容重定向阻止列表策略中。这确保了身份验证通过 VDA 进行。

• Enable the feature in the VDA by creating the following registry value in the HKEY_LOCAL_MACHINE\SOFTWARE\Citrix\HDXMediaStream key: Dword BrowserProfileSharing value 1
• 使用要重定向的网站配置浏览器内容重定向 ACL 配置策略。这方面配置没有变化。
• 如果您已在身份验证站点策略中配置了 URL，请将其复制到浏览器内容重定向阻止列表策略中，并禁用身份验证站点策略。
• 如果您之前未配置身份验证/中间站点，请按照以下过程识别需要在阻止列表中配置的中间 URL。在未安装 BCR 扩展的 Chrome 或 Edge 浏览器中使用开发人员工具来识别中间登录页面。

示例 1：

这是一个 github.com 的示例。此方法可用于您希望通过 BCR 重定向的任何网站，并确保您拥有正确的配置

• 打开 Chrome，然后按 CTRL+SHIFT+I 调出其开发者工具。
• 单击“网络”选项卡。
• 勾选“保留日志”设置。
• 单击“文档”过滤器以简化网络日志。
• 右键单击“名称”旁边并添加“URL”列。
• 在开发者工具仍打开的情况下，浏览到 github.com。
• 前往 github.com 网站并登录
• 记录 github.com 初始页面与登录后最终目标之间的所有中间跳转。
• 这些中间 URL 将进入浏览器内容重定向阻止列表策略。

• 其他非登录页面将进入浏览器内容重定向 ACL 策略。

  

示例 2：

这是一个使用 meet.google.com 和 Okta 的示例。在这种情况下，我们遵循了前面的示例来找出 URL，然后使用通配符来消除冗余配置。

• 浏览器内容重定向 ACL 策略
  • https://meet.google.com/*
  • https://workspace.google.com/products/meet/*
• 浏览器内容重定向阻止列表
  • https://accounts.google.com/*
  • https://sso.xyzcompany.com/* - 此 URL 将根据 SSO 页面的配置方式特定于您的环境
  • https://www.google.com/a/xyzcompany.com/* - This URL would be specific to your environment based on how SSO pages are configured

主要优势

浏览器内容重定向智能地管理 Web 流量，为您的用户提供卓越体验，同时减轻基础设施的压力。

以下是它们如何使您的组织受益：

• 节省成本： 将资源密集型网页卸载到用户设备，释放宝贵的服务器资源并减少带宽消耗。这可降低硬件和网络成本。

• 增强用户体验： 即使是图形密集型网站，也能为您的用户提供更流畅、响应更快的浏览体验。提供类似本机的性能，消除延迟并提高工作效率。

• 提高安全性： 在允许访问内部和外部资源的同时，保持安全环境。

• 提高灵活性： 支持广泛的用例，从基本网页浏览到需要代理遍历或 SSO 身份验证的复杂 Web 应用程序。通过 Citrix Web Studio™ 中的精细策略控制轻松管理重定向设置。

系统必备条件

服务器端组件

Citrix 虚拟应用和桌面

• 长期服务发行版
  • 最低要求 - 任何尚未达到生命周期终止的 LTSR 思杰虚拟应用和桌面 版本
  • 推荐 - 思杰虚拟应用和桌面 2402 或更高版本
• 当前版本
  • 最低要求 - 任何未达到生命周期终止的 Citrix Virtual Apps and Desktops 当前版本
  • 推荐 - 最新的 思杰虚拟应用和桌面 版本

浏览器组件

• 浏览器
  • 微软艾吉
  • 谷歌克罗米

• 浏览器重定向扩展

  • 谷歌浏览器网上应用店

  • 微软 Edge 网上应用店

• 为获得最佳体验，建议使用最新版本的浏览器

注意：

要启用浏览器内容重定向或双向内容重定向，如果您打算使用 Microsoft Edge 附加组件商店中的浏览器重定向扩展，请确保您拥有虚拟投递代理 (VDA) 版本 2503。对于较旧的 VDA 版本，您可以通过在您的 Microsoft Edge 浏览器中从 Chrome 网上应用店安装扩展来实现相同的功能。

上面提供的扩展链接是正式发布 (GA) 的，适用于生产级部署。除了 GA 扩展之外，Citrix 还专门在 Google Chrome 商店 发布了 Beta (GA + 1) 扩展。

Citrix 建议客户使用 Beta 版本进行测试，以便测试即将推出的更新并及早报告任何问题。这可确保 GA 扩展正式推出时流程顺畅。

扩展版本通常与 Citrix Workspace 应用程序版本匹配。

客户端侧的组件

视窗

• 视窗 10 或 11
• 思杰工作区应用程序
  • 最低要求 - 任何未终止支持的 Citrix Workspace 应用程序
  • 推荐配置
    • 长期服务版本 - Citrix Workspace 应用程序 2402 最新 CU
    • 当前版本 - Citrix Workspace 应用程序 2405 或更高版本

  注意：

  • Citrix Workspace 应用程序 Windows LTSR 1912 和 2203.1 版本不支持浏览器内容重定向

  • 浏览器内容重定向所需的客户端浏览器引擎在 Citrix Workspace 应用程序当前版本中默认安装

  • 浏览器内容重定向所需的客户端浏览器引擎在 Citrix Workspace App 2402 LTSR 版本中默认不安装。管理员可以利用 ADDLOCAL 开关在 Citrix Workspace App 之上安装 BCR 浏览器组件。

  • 从适用于 Windows 的 Citrix Workspace app 2507 开始，浏览器内容重定向 (BCR) 作为模块化组件进行管理，但仍与 Citrix Workspace App 打包在一起。BCR 组件现在也在 LTSR 版本上默认安装，确保了 CR 和 LTSR 之间的一致性。此外，还将发布独立的 BCR 软件包，以应对需要在常规 Citrix Workspace app 发布周期之外进行独立更新或临时修补程序的情况。有关更多详细信息，请参阅 Citrix Workspace App Windows documentation。

Linux 操作系统

• Citrix 工作区应用程序
  • 最低要求 - 任何非生命周期结束的 Citrix Workspace App
  • 推荐 - Citrix Workspace 应用程序 2408 或更高版本 有关更多详细信息，请参阅 Citrix Workspace 应用程序 Linux 文档。

注意：

从适用于 Linux 的 Citrix Workspace app 2601 开始，浏览器内容重定向 (BCR) 作为模块化组件进行管理。BCR 组件将继续随适用于 Linux 的 Citrix Workspace app 默认打包和安装，以确保一致的用户体验。此外，还将发布独立的 BCR 软件包，以应对需要在常规 Citrix Workspace app 发布周期之外进行独立更新或临时修补程序的情况。有关更多详细信息，请参阅 Citrix Workspace App Linux documentation。

Chrome 操作系统

• 思杰工作区应用程序
  • 来自 Chrome 网上应用店的最新版本

Mac操作系统

• Mac操作系统 11 大瑟尔
• macOS 12 蒙特雷操作系统
• macOS 13 Ventura
• macOS 14 索诺玛（最高支持 14.2.1）
• 思杰工作区应用程序
  • 最低要求 - Citrix Workspace 应用程序 2411 或更高版本

注意：

• 对于 macOS，浏览器内容重定向包独立于 Citrix Workspace 应用程序，并且始终是最新版本。因此，该包将与高于指定最低版本的多个 CWA 版本兼容

• 由于不依赖于 Citrix Workspace 应用程序 Mac，浏览器内容重定向的版本号将与 Citrix Workspace 应用程序 Mac 版本不匹配

• 客户端浏览器引擎未与 Citrix Workspace 应用程序 Mac 打包。请在 Citrix 下载 上下载并安装适用于 Mac 的客户端。

• Intel 和 ARM 包是独立的。因此，您需要安装适合 macOS 端点的相应版本。
• 从适用于 Mac 的 Citrix Workspace 应用程序 2511.1 开始，模块化 BCR 组件默认安装，但未与 Citrix Workspace 应用程序打包，从而无需从 Citrix 下载手动下载和安装该组件。独立的 BCR 包将发布，以应对需要在常规 Citrix Workspace 应用程序发布周期之外进行独立更新或临时修补的情况。有关更多详细信息，请参阅 Citrix Workspace 应用程序 Mac 文档。

配置操作步骤

1. 请根据系统要求，安装客户端和服务器端的所有必要组件。
   • 有关扩展部署的详细信息，请参阅“扩展部署”部分
2. 配置 Studio 策略
   • Web Studio 策略提供了一种精细的方式来配置浏览器内容重定向，以适应各种用例
   • 基本策略允许管理员配置需要通过浏览器内容重定向允许/不允许的 URL
   • URL 可以使用通配符进行配置
3. 打开受支持的 Web 浏览器并导航到允许的 URL
   • 如果在允许列表中找到匹配项，则网站将被重定向到客户端
   • Citrix Workspace 应用程序将视口融合到 VDA 侧浏览器上，以实现无缝体验
4. 扩展程序徽标的颜色指定了内容重定向的状态
   • 绿色：活动且已连接
   • 灰色：在当前选项卡上不活动/空闲
   • 红色：损坏/不工作

注意：

• HTML5 视频重定向和浏览器内容重定向是独立的功能。此功能不需要 HTML5 视频重定向策略即可工作。但是，Citrix HDX™ HTML5 视频重定向服务用于浏览器内容重定向。

• 我们建议通过 Web Studio 进行所有配置，而不是使用注册表项。

配置相关选项

浏览器内容重定向提供了多种配置方式，以适应各种客户环境的使用场景。有关策略设置的详细信息，请参阅浏览器内容重定向策略设置。

重定向实现机制

客户端获取客户端渲染

默认情况下，浏览器内容重定向在此模式下运行，即客户端浏览器引擎直接访问网页。这需要客户端网络对网页的必要访问。客户端获取客户端渲染方案将所有网络、CPU 和 RAM 使用量从 Citrix VDA 卸载到客户端，并且是配置浏览器内容重定向的最佳方式。

策略配置的选项

• 浏览器内容重定向：允许

• 浏览器内容重定向 ACL 配置

  • 指定需要重定向的 URL。默认情况下，YouTube 是唯一配置为重定向的网站。

• 浏览器内容重定向阻止列表配置

  • 可选配置，用于阻止任何特定 URL/子 URL 进行重定向。将此选项与上述选项结合使用，以实现最大程度的自定义。

服务器获取客户端渲染

在这种情况下，客户端浏览器引擎通过虚拟通道联系 VDA 并从 Web 服务器获取内容。当客户端没有 Internet 访问权限时（例如，瘦客户端），此选项很有用。VDA 上的 CPU 和 RAM 消耗较低，但带宽消耗在 ICA® 虚拟通道上。

在此场景中有三种操作模式。术语“代理”是指 VDA 访问以获取 Internet 访问权限的代理设备。

策略配置的选项

• 除了“客户端获取客户端渲染”部分中指定的策略外，还配置以下内容

• 浏览器内容重定向代理配置

  • 直接或透明： 如果您想利用服务器获取客户端渲染，并且您从 VDA 对网页具有直接访问或透明代理访问权限，请配置此项。策略中应配置关键字“DIRECT”。
  • 显式代理： 如果您想利用服务器获取客户端渲染，并且您可以通过 VDA 显式代理访问网页，请配置此项。
  • PAC 文件： 如果您依赖 PAC 文件，请配置此项，VDA 中的浏览器可以自动选择合适的代理服务器来获取指定的 URL。

回退模式

客户端重定向有时会失败。例如，如果客户端计算机没有直接的互联网访问权限，则错误响应可能会返回到 VDA。在这种情况下，VDA 上的浏览器可以重新加载并在服务器上渲染页面。

您可以使用现有的 Windows Media 回退预防策略来抑制视频元素的服务器渲染。将此策略设置为“仅在客户端播放所有内容”或“仅在客户端播放客户端可访问内容”。如果客户端重定向失败，这些设置会阻止视频元素在服务器上播放。此策略仅在您启用浏览器内容重定向且访问控制列表策略包含回退 URL 时生效。该 URL 不能在阻止列表策略中。

身份验证处理

身份验证站点

在浏览器内容重定向的当前实现中，无论重定向机制如何，都需要配置身份验证站点，以便浏览器内容重定向能够处理网站登录。

示例：

1. 当浏览器内容重定向 ACL 配置中仅配置了 https://www.youtube.com/* 且未配置身份验证站点时，BCR 在登录网站时将回退到服务器端渲染，并将在那里继续。

2. 在这种情况下，为了让 BCR 处理身份验证站点，请根据需要配置 https://www.accounts.google.com/* 和任何其他身份验证站点（例如 IdP 网站）。每个网站的登录方式不同，因此请务必列出

3. 配置后，BCR 将处理身份验证。例如，通过客户端获取客户端渲染，身份验证也将从客户端浏览器引擎进行，以实现无缝登录体验。

策略配置的选项

除了重定向机制部分中提到的策略之外，还要配置浏览器内容重定向身份验证站点策略

注意：

• BCR 客户端浏览器在重定向窗口关闭后不会保留 Cookie（包括身份验证）。这表现为当 BCR 窗口完全关闭并重新打开时，需要重新登录网站。

• BCR 客户端浏览器不会从 VDA 端浏览器读取 Cookie。因此，用户个性化设置和首选项不会与 VDA 浏览器同步。

集成 Windows 身份验证

当在与 VDA 相同的域中配置了集成 Windows 身份验证 (IWA) 时，浏览器内容重定向可以提供一种无缝的方式来对网站进行身份验证。

策略的配置选项

• 配置浏览器内容重定向集成 Windows 身份验证支持策略

在启用单点登录之前，请完成以下操作：

• 配置 Kerberos 基础结构以颁发服务主体名称 (SPN) 的票证，这些 SPN 是根据主机名构建的。例如，HTTP/serverhostname.com。

• 对于服务器提取客户端呈现：当您在服务器提取模式下使用浏览器内容重定向时，请确保在 VDA 上正确配置了 DNS。

• 对于客户端提取客户端呈现：当您在客户端提取模式下使用浏览器内容重定向时，请确保在客户端设备上正确配置了 DNS，并且允许从覆盖层到 Web 服务器 IP 地址的 TCP 连接。

代理身份验证

当从服务器提取内容时，浏览器内容重定向可以提供一种无缝的方式来对您的 Web 代理进行身份验证。启用后，浏览器内容重定向将自动获取并使用 Kerberos 服务票证来对代理进行身份验证

策略的配置选项

• 配置浏览器内容重定向服务器提取代理身份验证策略

在启用服务器获取代理身份验证策略之前，请完成以下操作：

• 您需要配置 PAC 文件以通过下游 Web 代理路由流量，并设置代理以使用 Kerberos 身份验证

使用场景

浏览器内容重定向 (BCR) 可用于各种网站，特别是那些资源密集型且企业频繁访问的网站。这包括 YouTube 等视频流平台，通过将渲染卸载到端点设备，可以显著减少服务器负载并节省成本。此外，BCR 非常适合统一通信应用程序，例如视频会议和协作工具（Google Meet、Teams Web、Zoom Web）以及联络中心应用程序（Genesys Cloud），确保流畅的性能和增强的用户体验。通过利用 BCR，企业可以优化其资源并提高各种基于 Web 的应用程序的效率。有关如何配置特定网站的信息，请参阅 CTX238236。

扩展程序的部署

手动部署

浏览器重定向扩展程序已在 Chrome 和 Edge 网上应用店发布。该扩展程序仅在 VDA 上的浏览器中需要，而不需要在客户端。要安装该扩展程序，请导航到 Chrome / Edge 网上应用店，搜索浏览器重定向扩展程序并将其添加到相应的浏览器。此方法适用于单个用户。要将扩展程序部署到大量用户，请使用组策略部署扩展程序

使用组策略部署

先决条件

• 访问权限： 您需要对将配置组策略的计算机或 Active Directory 环境拥有管理员权限。

• ADMX 文件： 下载适用于您的 Chrome 版本的 Google Chrome ADMX 文件（管理模板）。您可以在 Google Chrome 企业版帮助 页面上找到这些文件。

• Edge 浏览器模板： 从 Microsoft Edge 企业版登陆 页面下载 Microsoft Edge 浏览器管理模板 (ADMX 文件)。

• 扩展 ID 和更新 URL： Citrix 浏览器内容重定向扩展程序的扩展 ID 和更新 URL。

谷歌浏览器步骤

1. 导入 ADMX 文件：
   • 将 Chrome ADMX 文件复制到您的管理模板中央存储区。这通常是域控制器上的 %SystemRoot%\PolicyDefinitions。
2. 打开组策略管理：
   • 启动组策略管理控制台 (gpmc.msc)。
3. 创建或编辑 GPO：
   • 创建新的组策略对象 (GPO) 或编辑现有对象，以应用于要部署扩展的用户或计算机。
4. 导航到扩展设置：
   • 在 GPO 编辑器中，转到：
     • 用户配置 > 管理模板 > 经典管理模板 (ADM) > Google > Google Chrome > 扩展程序
5. 启用“配置强制安装的应用和扩展程序列表”：
   • 双击此策略设置并选择“已启用”。
   • 如果“配置强制安装的应用和扩展程序列表”设置设为“已禁用”，则扩展程序将自动从 Chrome 中为所有用户删除。
6. 添加扩展 ID 和更新 URL：
   • 单击“显示”按钮。
   • Enter the extension ID and update URL in the format: ;
   • Value: hdppkjifljbdpckfajcmlblbchhledln; https://clients2.google.com/service/update2/crx (Update URL)
7. 应用 GPO:
   • 将 GPO 链接到 Active Directory 结构中相应的组织单位 (OU)。
8. 更新组策略:
   • 在目标计算机上，运行 gpupdate /force 以立即应用策略，或等待策略自动更新。

微软 Edge 的操作步骤

1. 导入 ADMX 文件:
   • Copy the Edge ADMX files to your central store for administrative templates (%SystemRoot%\PolicyDefinitions).
2. 打开组策略管理:
   • 启动组策略管理控制台 (gpmc.msc)。
3. 创建或编辑 GPO:
   • 创建新的 GPO 或编辑现有 GPO。
4. 导航到扩展设置:
   • 在 GPO 编辑器中，转到:
     • 计算机配置 > 策略 > 管理模板 > Microsoft Edge > 扩展
5. 启用“控制哪些扩展程序以静默方式安装”：
   • 双击此策略设置并选择“已启用”。
6. 添加扩展程序 ID 和更新 URL：
   • 单击“显示”按钮。
   • 输入扩展标识符和更新统一资源定位符，格式为：;
   • Value: hdppkjifljbdpckfajcmlblbchhledln; https://clients2.google.com/service/update2/crx (Update URL)
7. 应用 GPO：
   • 将 GPO 链接到 Active Directory 结构中相应的组织单位 (OU)。
8. 更新组策略：
   • 在目标计算机上，运行 gpupdate /force 或等待自动更新。

故障排除

有关故障排除信息，请参阅知识中心文章 如何对浏览器内容重定向进行故障排除。

浏览器内容重定向限制

服务器端限制 (VDA)

浏览器内容重定向不支持以下用例。如果需要针对任何提及的场景或新场景进行增强，请联系 Citrix 产品团队。

• 使用浏览器内容重定向时，不支持弹出窗口。
• 不支持会话 Cookie 持久性。
• 当浏览器内容重定向正在使用时，必须禁用 HTML5 视频重定向策略。
• 在会话断开/重新连接的场景中，VDA 浏览器窗口需要刷新，以便 BCR 再次生效。
• 不支持从 BCR 窗口打印和下载文件。

客户端限制 (CWA)

• ARMhf 框架不支持浏览器内容重定向。
• BCR 在一个浏览器上最多支持 25 个重定向选项卡，并在两个浏览器中总共支持 30 个重定向选项卡。