浏览器内容重定向

功能概述

浏览器内容重定向 (BCR) 增强了 Citrix Virtual Apps and Desktops™ 环境中 Web 浏览的用户体验。通过将网页渲染卸载到用户的本地计算机，BCR 减少了服务器负载并提高了性能，特别是对于复杂或资源密集型网站。

工作原理

BCR 利用 Citrix Workspace™ 应用程序在用户设备上创建安全的浏览环境。当用户访问允许的网页时，浏览器窗口的视口会重定向到客户端。客户端浏览器引擎随后利用本地计算机的资源渲染页面，从而实现更快的加载时间和更流畅的交互。

请注意，只有浏览器视口被重定向。视口是浏览器中显示内容的矩形区域。视口不包括地址栏、收藏夹工具栏或状态栏等内容。这些项目位于用户界面中，该界面仍在 VDA 中的浏览器上运行。

新增功能

模块化浏览器内容重定向

从适用于 Windows 的 Citrix Workspace 应用程序 2507 开始，浏览器内容重定向 (BCR) 组件现在作为模块化组件进行管理，与主 Workspace 应用程序安装程序分离。

这种新的模块化和常青模型意味着浏览器内容重定向组件可以独立更新、独立卸载，从而提供以下几个主要优势：

• 增强的安全性： BCR Chromium Embedded Framework 组件将在安全补丁和更新可用时立即接收它们，而无需等待完整的 Workspace 应用程序发布。

• 简化的管理： 客户不再需要更新整个 Citrix Workspace 应用程序即可获取 Citrix 浏览器内容重定向的最新功能。

• 加速创新： 现在可以更快地部署新的 BCR 功能、增强功能和错误修复，从而为客户提供持续的价值。

为确保一致的用户体验，模块化 BCR 组件在 CR 和 LTSR 版本中都随 Citrix Workspace 应用程序默认安装。有关更多详细信息，请参阅 Citrix Workspace 应用程序 BCR 文档中的 浏览器内容重定向 部分。

浏览器内容重定向中的浏览器配置文件共享 (技术预览版)

BCR 现在通过新的配置文件共享功能提供简化的用户体验，支持 VDA 侧身份验证和 Cookie 共享。此增强功能消除了重复登录，通过在 BCR 会话中（即使在 BCR 窗口关闭后）保持身份验证和 Cookie 持久性来提高工作效率。这种无缝体验通过确保身份验证源自 VDA 而非客户端，进一步增强了安全性。

示例：

• 以前的体验： 以前，在 BCR 中打开经过身份验证的页面时，用户每次都需要重新输入凭据，从而破坏了 SSO 持久性。SSO 仅在 BCR 窗口保持打开状态时才得以维持。关闭并重新打开窗口会强制用户重复登录过程。

• 新体验： 通过配置文件共享，用户不再需要输入凭据。SSO 从 VDA 浏览器无缝保留，提供了显著改进且不间断的体验。

注意：

此功能不受特定身份提供商的限制。支持任何基于 SAML 2.0 的身份提供商。对 OpenID Connect 的支持有限。对于独特的用户工作流，请联系 Citrix 产品团队。

浏览器配置文件共享证书验证支持

浏览器内容重定向通过证书共享支持得到进一步增强。当从客户端访问网站时，客户端浏览器可能不信任来自服务器或 MitM 代理的证书。在这种情况下，BCR 可能会根据 VDA 的证书存储验证主机或代理证书。

技术预览版的要求

• Citrix 虚拟应用和桌面 2507
• 适用于 Windows 的 思杰 工作区 应用程序 2507
• 适用于 Linux 的思杰工作区应用程序 2508
• Citrix 浏览器重定向扩展
  • 微软 Edge 扩展
  • 谷歌浏览器扩展程序(https://chromewebstore.google.com/detail/browser-redirection-exten/hdppkjifljbdpckfajcmlblbchhledln)

反馈表单

配置说明

在此功能推出之前，浏览器内容重定向身份验证站点策略用于指定网站用于身份验证的 URL。通过配置身份验证站点，管理员允许将身份验证（或）中间登录页面重定向到客户端。随着配置文件共享的引入，BCR 将利用 VDA 端浏览器上的身份验证 Cookie，因此，身份验证站点策略中的 URL 现在需要配置在浏览器内容重定向阻止列表策略中。这确保了身份验证通过 VDA 进行。

• Enable the feature in the VDA by creating the following registry value in the HKEY_LOCAL_MACHINE\SOFTWARE\Citrix\HDXMediaStream key: Dword BrowserProfileSharing value 1
• 使用要重定向的网站配置浏览器内容重定向 ACL 配置策略。这方面无需更改配置。
• 如果您已在身份验证站点策略中配置了 URL，请将其复制到浏览器内容重定向阻止列表策略中，并禁用身份验证站点策略。
• 如果您之前未配置身份验证/中间站点，请按照以下过程识别需要在阻止列表中配置的中间 URL。在未安装 BCR 扩展程序的 Chrome 或 Edge 浏览器中使用开发人员工具来识别中间登录页面。

示例 1：

这是一个 github.com 的示例。此方法可用于您希望通过 BCR 重定向的任何网站，并确保您拥有正确的配置。

• 打开 Chrome，然后按 CTRL+SHIFT+I 调出其开发人员工具。
• 单击“网络”选项卡。
• 勾选“保留日志”设置。
• 单击“文档”筛选器以简化网络日志。
• 右键单击“名称”旁边并添加“URL”列
• 在开发者工具仍处于打开状态时，浏览 github.com。
• Sign in to github.com
• 记录 github.com 初始页面与登录发生后的最终目标之间的所有中间跳转。
• 这些中间 URL 将进入浏览器内容重定向阻止列表策略

• 其他非登录页面将进入浏览器内容重定向 ACL 策略

  

示例 2：

这是一个使用 meet.google.com 和 Okta 的示例。在此示例中，我们遵循了上一个示例来找出 URL，然后使用通配符消除了冗余配置。

• 浏览器内容重定向 ACL 策略
  • https://meet.google.com/*
  • https://workspace.google.com/products/meet/*
• 浏览器内容重定向阻止列表
  • https://accounts.google.com/*
  • https://sso.xyzcompany.com/* - 此 URL 将根据 SSO 页面的配置方式特定于您的环境
  • https://www.google.com/a/xyzcompany.com/* - This URL would be specific to your environment based on how SSO pages are configured

主要优势

浏览器内容重定向智能地管理网络流量，为您的用户提供卓越的体验，同时减轻基础设施的压力。

以下是它们如何使您的组织受益：

• 节省成本： 将资源密集型网页卸载到用户设备，释放宝贵的服务器资源并减少带宽消耗。这转化为更低的硬件和网络成本。

• 增强用户体验： 为您的用户提供更流畅、响应更快的浏览体验，即使是图形密集型网站也不例外。提供类似本机的性能，消除延迟并提高生产力。

• 提高安全性： 在允许访问内部和外部资源的同时，保持安全环境。

• 提高灵活性： 支持广泛的用例，从基本网页浏览到需要代理遍历或SSO身份验证的复杂Web应用程序。在Citrix Web Studio™中通过精细的策略控制轻松管理重定向设置。

系统配置要求

服务器端组件

Citrix 虚拟应用和桌面

• 长期服务发布版本
  • 最低要求 - 任何非生命周期终止的LTSR Citrix 虚拟应用和桌面版本
  • 推荐 - Citrix 虚拟应用和桌面 2402 或更高版本
• 当前版本
  • 最低要求 - 任何非生命周期终止的CR Citrix 虚拟应用和桌面版本
  • 推荐 - 最新版 Citrix 虚拟应用和桌面 版本

浏览器组件

• 浏览器
  • 微软 Edge 浏览器
  • 谷歌浏览器
  • 微软 Edge 浏览器

  • 谷歌浏览器

    注意：

    对于 Microsoft Edge，要启用浏览器内容重定向或双向内容重定向，如果您打算使用 Microsoft Edge 附加组件商店中的浏览器重定向扩展，请确保您拥有 Virtual Delivery Agent (VDA) 2503 版。对于较旧的 VDA 版本，您可以通过在 Microsoft Edge 浏览器中从 Chrome 网上应用店安装扩展来实现相同的功能。

• 浏览器重定向扩展：在 Chrome 和 Edge 网上应用店中发布
• 我们建议使用最新版本的浏览器以获得最佳体验

注意：

要启用浏览器内容重定向或双向内容重定向，如果您打算使用 Microsoft Edge 附加组件商店中的浏览器重定向扩展，请确保您拥有 Virtual Delivery Agent (VDA) 2503 版。对于较旧的 VDA 版本，您可以通过在 Microsoft Edge 浏览器中从 Chrome 网上应用店安装扩展来实现相同的功能。

客户端的组件

视窗

• Windows 10 或 11 操作系统
• 思杰工作区应用程序
  • 最低要求 - 任何非生命周期结束的 Citrix Workspace 应用程序
  • 推荐使用
    • 长期服务版本 - 适用于 Windows 的思杰工作区应用程序 2402 CU4 或更高版本，适用于 Windows 的思杰工作区应用程序 2507
    • 当前版本 - Citrix Workspace 应用程序 2405 或更高版本

  注意：

  • Citrix Workspace 应用程序 Windows LTSR 版本 1912 和 2203.1 不支持浏览器内容重定向。

  • 浏览器内容重定向所需的客户端浏览器引擎默认安装在 Citrix Workspace 应用程序当前版本中。

  • 浏览器内容重定向所需的客户端浏览器引擎默认未安装在 Citrix Workspace 应用程序 2402 LTSR 版本中。管理员可以利用 ADDLOCAL 开关在 Citrix Workspace 应用程序之上安装 BCR 浏览器组件。

有关更多详细信息，请参阅 Citrix Workspace 应用程序 Windows 文档。

Linux 操作系统

• 思杰工作区应用程序
  • 最低要求 - 任何非生命周期结束的 Citrix Workspace 应用程序
  • 推荐 - Citrix Workspace 应用程序 2408 或更高版本 有关更多详细信息，请参阅 适用于 Linux 的 Citrix Workspace 应用程序 文档

Chrome 操作系统

• 思杰工作区应用程序
  • Chrome 网上应用店的最新版本

macOS 操作系统

• 思杰工作区应用
  • 最低要求 - 适用于 Mac 的 Citrix Workspace 应用程序 2411 或更高版本

注意：

• 对于 macOS，浏览器内容重定向包独立于 Citrix Workspace 应用程序，并且始终是最新版本。因此，该软件包将与高于指定最低版本的多个 CWA 版本兼容。

• 由于不依赖于 Citrix Workspace 应用程序 Mac，浏览器内容重定向的版本号将与 Citrix Workspace 应用程序 Mac 版本不匹配。

• 客户端浏览器引擎未与 Citrix Workspace 应用程序 Mac 打包。请在 Citrix 下载 上下载并安装适用于 Mac 的客户端。

• Intel 和 ARM 软件包是独立的。因此，您需要安装适合 macOS 端点的相应版本。

配置的步骤

1. 请根据系统要求，安装客户端和服务器端的所有必要组件
   • 有关扩展部署的详细信息，请参阅“扩展部署”部分
2. 配置 Studio 策略
   • Web Studio 策略提供了一种精细的方式来配置浏览器内容重定向，以适应各种用例。
   • 基本策略允许管理员配置需要通过浏览器内容重定向允许/不允许的 URL。
   • URL 可以使用通配符进行配置。
3. 打开受支持的 Web 浏览器并导航到允许的 URL。
   • 如果在允许列表中找到匹配项，则网站将被重定向到客户端。
   • Citrix Workspace 应用程序将视口融合到 VDA 侧浏览器上，以提供无缝体验。
4. 扩展程序徽标的颜色指示内容重定向的状态。
   • 绿色：活动且已连接
   • 灰色：在当前选项卡上不活动/空闲
   • 红色：损坏/不工作

注意：

• HTML5 视频重定向和浏览器内容重定向是独立的功能。此功能不需要 HTML5 视频重定向策略即可工作。但是，Citrix HDX™ HTML5 视频重定向服务用于浏览器内容重定向。

• 我们建议通过 Web Studio 而不是注册表项进行所有配置。

配置相关的选项

浏览器内容重定向提供了多种配置方式，以适应各种客户环境的使用场景。有关策略设置的详细信息，请参阅浏览器内容重定向策略设置。

重定向的机制

客户端获取客户端渲染

默认情况下，浏览器内容重定向在此模式下运行，即客户端浏览器引擎直接访问网页。这需要客户端网络对网页的必要访问。客户端获取客户端渲染场景将所有网络、CPU 和 RAM 使用量从 Citrix VDA 卸载到客户端，是配置浏览器内容重定向的最佳方式。

策略的配置选项

• 浏览器内容重定向：允许

• 浏览器内容重定向 ACL 配置

  • 指定需要重定向的 URL。默认情况下，YouTube 是唯一配置为重定向的网站。

• 浏览器内容重定向阻止列表配置

  • 可选配置选项，用于阻止任何特定 URL/子 URL 进行重定向。结合上述选项使用此功能可实现最大程度的自定义。

服务器获取客户端渲染

在这种情况下，客户端浏览器引擎通过虚拟通道，通过 VDA 联系并从 Web 服务器获取内容。当客户端没有互联网访问权限时（例如，瘦客户端），此选项非常有用。VDA 上的 CPU 和 RAM 消耗较低，但 ICA® 虚拟通道会消耗带宽。

在此场景中有三种操作模式。术语“代理”是指 VDA 访问以获取互联网访问权限的代理设备。

策略的配置选项

• 除了“客户端获取客户端渲染”部分中指定的策略外，还需配置以下内容

• 浏览器内容重定向代理配置

  • 直接或透明： 如果您希望利用服务器获取客户端渲染，并且您可以从 VDA 直接访问或通过透明代理访问网页，请配置此项。策略中应配置关键字“DIRECT”。
  • 显式代理： 如果您希望利用服务器获取客户端渲染，并且您可以从 VDA 通过显式代理访问网页，请配置此项。
  • PAC 文件： 如果您依赖 PAC 文件，请配置此项，VDA 中的浏览器可以自动选择合适的代理服务器来获取指定的 URL。

回退模式

客户端重定向有时可能会失败。例如，如果客户端计算机没有直接 Internet 访问权限，则错误响应可能会返回到 VDA。在这种情况下，VDA 上的浏览器可以重新加载并在服务器上渲染页面。

您可以使用现有的 Windows Media 回退预防策略来抑制视频元素的服务器渲染。将此策略设置为“Play all content only on client”或“Play only client-accessible content on client”。如果客户端重定向失败，这些设置会阻止视频元素在服务器上播放。此策略仅在您启用浏览器内容重定向且访问控制列表策略包含回退 URL 时生效。该 URL 不能在阻止列表策略中。

身份验证处理

身份验证站点

在浏览器内容重定向的当前实现中，无论重定向机制如何，都需要配置身份验证站点，以便浏览器内容重定向能够处理网站登录。

示例：

1. 当浏览器内容重定向 ACL 配置中仅配置了 https://www.youtube.com/* 且未配置身份验证站点时，BCR 在登录网站时将回退到服务器端渲染，并将在那里继续。

2. 在这种情况下，为了让 BCR 处理身份验证站点，请根据需要配置 https://www.accounts.google.com/* 和任何其他身份验证站点（例如 IdP 网站）。每个网站的登录方式都不同，因此请务必列出

3. 配置后，BCR 将处理身份验证。例如，通过客户端获取客户端渲染，身份验证也将从客户端浏览器引擎进行，以实现无缝登录体验。

策略配置的选项

除了重定向机制部分中提及的策略之外，还要配置浏览器内容重定向身份验证站点策略

注意：

• 重定向窗口关闭后，BCR 客户端浏览器不会保留 Cookie（包括身份验证）。这表现为当 BCR 窗口完全关闭并重新打开时，需要重新登录网站。

• BCR 客户端浏览器不会从 VDA 端浏览器读取 Cookie。因此，用户个性化设置和首选项不会与 VDA 浏览器同步。

集成 Windows 身份验证

当在与 VDA 相同的域中配置集成 Windows 身份验证 (IWA) 时，浏览器内容重定向可以提供一种无缝的方式来对网站进行身份验证。

策略配置的选项

• 配置浏览器内容重定向集成 Windows 身份验证支持策略

在启用单点登录之前，请完成以下操作：

• 配置 Kerberos 基础结构，以颁发由主机名构成的服务主体名称 (SPN) 的票证。例如，HTTP/serverhostname.com。

• 对于服务器提取客户端呈现：当您在服务器提取模式下使用浏览器内容重定向时，请确保在 VDA 上正确配置了 DNS。

• 对于客户端提取客户端呈现：当您在客户端提取模式下使用浏览器内容重定向时，请确保在客户端设备上正确配置了 DNS，并且允许从覆盖层到 Web 服务器 IP 地址的 TCP 连接。

代理身份验证

当从服务器提取内容时，浏览器内容重定向可以提供一种无缝的方式来对您的 Web 代理进行身份验证。启用后，浏览器内容重定向将自动获取并使用 Kerberos 服务票证来对代理进行身份验证。

策略配置的选项

• 配置浏览器内容重定向服务器获取代理身份验证策略

在启用服务器获取代理身份验证策略之前，请完成以下操作：

• 您需要配置 PAC 文件以通过下游 Web 代理路由流量，并设置代理以使用 Kerberos 身份验证

使用场景

浏览器内容重定向 (BCR) 可用于各种网站，特别是那些资源密集型且企业频繁访问的网站。这包括 YouTube 等视频流平台，它们可以通过将渲染卸载到端点设备而显著受益，从而减少服务器负载并节省成本。此外，BCR 非常适用于统一通信应用程序，例如视频会议和协作工具（Google Meet、Teams Web、Zoom Web）以及联络中心应用程序（Genesys Cloud），可确保流畅的性能和增强的用户体验。通过利用 BCR，企业可以优化其资源并提高各种基于 Web 的应用程序的效率。有关如何配置特定网站的信息，请参阅 CTX238236。

扩展程序部署

手动部署

浏览器重定向扩展程序已在 Chrome 和 Edge 网上应用店发布。该扩展程序仅在 VDA 上的浏览器中需要，而不在客户端上。要安装该扩展程序，请导航到 Chrome / Edge 网上应用店，搜索“浏览器重定向扩展程序”，然后将其添加到相应的浏览器。此方法适用于个人用户。要将扩展程序部署到大量用户，请使用组策略部署扩展程序

使用组策略部署

先决条件

• 访问权限： 您需要对将配置组策略的计算机或 Active Directory 环境拥有管理员权限。

• ADMX Files: Download the Google Chrome ADMX files (administrative templates) for your version of Chrome. You can find these on the Google Chrome Enterprise Help page.

• Edge Templates: Download the Microsoft Edge administrative templates (ADMX files) from the Microsoft Edge Enterprise landing page.

• 扩展 ID 和更新 URL： Citrix 浏览器内容重定向扩展的扩展 ID 和更新 URL。

谷歌浏览器 的步骤

1. 导入 ADMX 文件：
   • 将 Chrome ADMX 文件复制到管理模板的中央存储。这通常是域控制器上的 %SystemRoot%\PolicyDefinitions。
2. 打开组策略管理：
   • 启动组策略管理控制台 (gpmc.msc)。
3. 创建或编辑 GPO：
   • 创建新的组策略对象 (GPO)，或编辑一个适用于要部署扩展的用户或计算机的现有 GPO。
4. 导航到扩展设置：
   • 在 GPO 编辑器中，转到：
     • 用户配置 > 管理模板 > 经典管理模板 (ADM) > Google > Google Chrome > 扩展程序
5. 启用“配置强制安装的应用和扩展程序列表”：
   • 双击此策略设置并选择“已启用”。
   • 如果“配置强制安装的应用和扩展程序列表”设置被禁用，则该扩展程序将自动从所有用户的 Chrome 中删除。
6. 添加扩展 ID 和更新 URL：
   • 点击“显示”按钮。
   • Enter the extension ID and update URL in the format: ;
   • Value: hdppkjifljbdpckfajcmlblbchhledln; https://clients2.google.com/service/update2/crx (Update URL)
7. 应用 GPO：
   • 将 GPO 链接到 Active Directory 结构中相应的组织单位 (OU)。
8. 更新组策略：
   • 在目标计算机上，运行 gpupdate /force 以立即应用策略，或等待策略自动更新。

针对 Microsoft Edge 的配置和使用步骤

1. 导入 ADMX 文件：
   • 请将 Edge ADMX 文件复制到您用于管理模板的中央存储位置，该位置通常是 (%SystemRoot%\PolicyDefinitions)。
2. 打开组策略管理：
   • 启动组策略管理控制台 (gpmc.msc)。
3. 创建或编辑 GPO：
   • 创建新的 GPO 或编辑现有 GPO。
4. 导航到扩展设置：
   • 在 GPO 编辑器中，转到：
     • 计算机配置 > 策略 > 管理模板 > Microsoft Edge > 扩展
5. 启用“控制以静默方式安装哪些扩展”：
   • 双击此策略设置并选择“已启用”。
6. 添加扩展 ID 和更新 URL：
   • 单击“显示”按钮。
   • Enter the extension ID and update URL in the format: ;
   • Value: hdppkjifljbdpckfajcmlblbchhledln; https://clients2.google.com/service/update2/crx (Update URL)
7. 应用 GPO：
   • 将 GPO 链接到 Active Directory 结构中相应的组织单位 (OU)。
8. 更新组策略：
   • 在目标计算机上，运行 gpupdate /force 或等待自动更新。

故障排除

有关故障排除信息，请参阅知识中心文章《如何排查浏览器内容重定向故障》。

浏览器内容重定向限制

服务器端限制 (VDA)

浏览器内容重定向不支持以下用例。如果需要对任何提及的场景或新场景进行增强，请联系 Citrix 产品团队。

• 在使用浏览器内容重定向时，不支持弹出窗口。
• 使用浏览器内容重定向时，必须禁用 HTML5 视频重定向策略。
• 在会话断开/重新连接的场景中，需要刷新 VDA 浏览器窗口，以便 BCR 再次生效。
• 不支持从 BCR 重定向的窗口进行打印和文件下载。
• 将浏览器内容重定向与浏览器配置文件共享结合使用时，不支持具有多个配置文件的 SSO 持久性。

客户端限制 (CWA)

• ARMhf 框架不支持浏览器内容重定向。
• ARMhf 框架不支持浏览器内容重定向。
• BCR 在一个浏览器中最多支持 25 个重定向选项卡，在两个浏览器中总共支持 30 个重定向选项卡。