Product Documentation

WorxWeb

Sep 13, 2016

WorxWeb 是一款移动 Web 浏览器,用于提供对内部和外部站点的安全访问。 可以将 WorxWeb 配置为当设备在 Worx Home 中注册时自动推送到用户设备,否则用户可以从 Worx Store 添加该应用程序。

可以从 http://www.citrix.com/downloads/xenmobile.html 下载 WorxWeb 以及其他 XenMobile 组件。

WorxWeb 的系统要求

WorxWeb 支持运行以下操作系统之一的任何设备:

iOS:8 - 10

Android:4.4.x、5.x、6.x 和 7。 应在设备上安装了最新版本的 Android WebView;用户可以从 Google Play Store 下载 Android WebView。

Windows Phone:8.1 - 10

Important

当前只有 XenMobile 10 和 10.3 支持 Windows Phone 10。  XenMobile 10.1 不支持 Windows Phone 10。  对于 XenMobile 9,必须安装面向应用程序的修补程序才能正确运行。  可以从 Citrix.com 下载页面下载此修补程序。

Citrix 在以下设备上测试了 WorxWeb。 本文并未列出所有受支持的设备。

  • iPhone 4s – iPhone 6 Plus
  • iPad 3
  • iPad Air 1 和 2
  • iPad mini 3 (touch ID)
  • Nexus
  • Samsung Note
  • Samsung Galaxy
  • Samsung Galaxy Tab
  • HTC One
  • Motorola
  • Nokia Lumia

WorxWeb 的新增功能

支持阿拉伯语。 WorxWeb 现在支持阿拉伯语。  

集成和交付 WorxWeb

要将 WorxWeb 与 XenMobile 进行集成并交付,请按照以下常规步骤进行操作:

  1. 要为内部网络启用 SSO,请配置 NetScaler Gateway。
    对于 HTTP 通信,NetScaler 可以为 NetScaler 支持的所有代理身份验证类型提供 SSO。 对于 HTTPS 流量,“Web password caching”(Web 密码缓存)策略允许 WorxWeb 进行身份验证并通过 MDX 提供对代理服务器的 SSO。 MDX 仅支持基本身份验证、摘要式身份验证和 NTLM 代理身份验证。 密码使用 MDX 缓存并存储在 Worx 共享保管库(用于存储敏感应用程序数据的安全存储区域)中。 有关 NetScaler Gateway 配置的详细信息,请参阅 NetScaler Gateway
  2. 下载 (http://www.citrix.com/downloads/xenmobile/product-software.html) 并打包 WorxWeb。 有关详细信息,请参阅关于 MDX Toolkit
  3. 确定如何配置与内部网络之间的用户连接。 有关详细信息,请参阅下文配置用户连接
  4. 使用与其他 MDX 应用程序相同的步骤将 WorxWeb 添加到 XenMobile 中,然后配置 MDX 策略。 有关 WorxWeb 特定策略的详细信息,请参阅关于 WorxWeb 策略

配置用户连接

WorxWeb 支持以下用户连接配置:

  • 安全浏览。 通过通道连接到内部网络的连接可以使用无客户端 VPN 的变体(称为“安全浏览”)。  这是为首选 VPN 模式策略指定的默认配置。 建议对需要单点登录 (SSO) 的连接使用 Secure browse(安全浏览)。  
  • 完整 VPN 通道。 通过通道连接到内部网络的连接可以使用首选 VPN 模式策略配置的完整 VPN 通道。 建议通过客户端证书或端到端 SSL 与内部网络中的资源进行连接时使用完整 VPN 通道。 完整 VPN 通道通过 TCP 处理任何协议,并且可以在 Windows 和 Mac 计算机以及 iOS 和 Android 设备上使用。

允许 VPN 模式切策略允许用户根据需要在完全 VPN 通道与安全浏览模式之间自动切换。 默认情况下,此策略设置为关。 如果此策略设置为“开”,则将在备选模式下尝试重新处理由于无法在首选 VPN 模式下处理身份验证请求而失败的网络请求。 例如,服务器对客户端证书的质询可以被完全 VPN 通道模式接受,但不被安全浏览模式接受。   同样,使用安全浏览模式时,通过 SSO 向 HTTP 身份验证质询提供服务的可能性更大。  

  • 使用 PAC 的完整 VPN 通道。 可以对 iOS 和 Android 设备的完整 VPN 通道部署使用代理自动配置 (PAC) 文件。 PAC 文件中包含的规则用于定义 Web 浏览器如何选择代理以访问指定 URL。 PAC 文件规则可以指定对外部和内部站点的处理方式。 WorxWeb 解析 PAC 文件规则并将代理服务器信息发送到 NetScaler Gateway。  
  • 使用 PAC 文件时,完整 VPN 通道的性能可以与安全浏览模式相媲美。 有关 PAC 配置的详细信息,请参阅使用 PAC 的完整 VPN 通道。 

下表概述了用户连接配置之间的差别。

安全浏览

完整 VPN 通道。

使用 PAC 文件的完整 VPN 通道

NetScaler 提供 SSO

对于 HTTP 流量,NetScaler 可以向 NetScaler 支持的所有代理身份验证类型提供 SSO。

对于 HTTPS 流量,“Web password caching”(Web 密码缓存)策略允许 WorxWeb 进行身份验证并通过 MDX 提供对代理服务器的 SSO。 MDX 仅支持基本身份验证、摘要式身份验证和 NTLM 代理身份验证。 密码使用 MDX 缓存并存储在 Worx 共享保管库(用于存储敏感应用程序数据的安全存储区域)中。

代理 HTTP 和 HTTPS 流量

代理 HTTP 和 HTTPS 流量

代理 HTTP 和 HTTPS 流量

通过通道发送 WorxWeb for iOS 和 WorxWeb for Android 发出的所有 TCP 和 DNS 流量。

NetScaler Gateway 答复 401 和 407 响应

o    MDX 答复针对 HTTPS 流量的 401 响应

o    NetScaler Gateway 答复针对 HTTP 流量的 401 响应

o    配置了代理服务器时,NetScaler Gateway 答复 407 响应

o    MDX 答复针对 HTTPS 流量的 401 响应

o    NetScaler Gateway 答复针对 HTTP 流量的 401 响应

o    配置了代理服务器时,NetScaler Gateway 答复 407 响应。 如果 NetScaler Gateway 无法答复,则会将请求传递到 MDX,MDX 负责缓存凭据

重新写入 URL

截获套接字

后端服务不支持客户端证书

提供客户端证书验证

iOS 和 Android 将验证客户端证书

NetScaler Gateway 执行名称解析,并且依赖于内部和外部站点的 DNS 后缀

DNS 服务器执行名称解析

HTTPS SSL 握手在 NetScaler Gateway 与后端服务器之间进行

HTTPS SSL 握手在 WorxWeb 与后端服务器之间进行


下表说明 WorxWeb 是否会基于配置和站点类型提示用户输入凭据:

连接模式

站点类型

缓存密码?

已为 NetScaler Gateway 配置 SSO?

WorxWeb 提示输入凭据?

在首次访问 Web 站点时

在之后访问 Web 站点时

在更改密码后

安全浏览

HTTP

安全浏览

HTTPS

完整 VPN

HTTP

完整 VPN

HTTPS

是 (1)

是 (2)

(1)  如果 WorxWeb MDX 策略启用 Web 密码缓存打开

(2)  在 WorxWeb 中缓存凭据时需使用。

使用 PAC 的完整 VPN 通道

Important

如果为 WorxWeb 配置了 PAC 文件,并且为代理操作配置了 NetScaler,WorxWeb 将超时。 使用“使用 PAC 的完整 VPN 通道”之前,必须删除为代理配置的 NetScaler Gateway 流量策略。

为 WorxWeb 配置使用 PAC 文件或代理服务器的完整 VPN 通道时,WorxWeb 通过 NetScaler Gateway 将所有流量发送到代理,代理随后根据代理配置规则路由流量。 在此配置中,NetScaler Gateway 无法识别 PAC 文件或代理服务器。 该流量流与不使用 PAC 文件的完整 VPN 通道的流量流相同。

下图显示了 WorxWeb 用户导航到某个 Web 站点时的流量流: 

localized image

在该示例中,流量规则指定以下内容:

  • NetScaler Gateway 直接连接到 Intranet 站点 example1.net。
  • 流向 Intranet 站点 example2.net 的流量通过内部代理服务器代理。
  • 外部流量通过内部代理服务器代理。 代理规则阻止流向 Facebook.com 的外部流量。

配置使用 PAC 的完整 VPN 通道

1. 验证并测试 PAC 文件:

注意

有关创建和使用 PAC 文件的详细信息,请参阅 http://findproxyforurl.com/

  • 使用 PAC 验证工具(如 Pacparser https://github.com/pacparser/pacparser)验证 PAC 文件。 读取 PAC 文件时,请确保 Pacparser 结果与您的预期相同。 如果 PAC 文件包含语法错误,移动设备会在无提示的情况下忽略 PAC 文件。 (PAC 文件仅存储在移动设备的内存中。)

    PAC 文件按照从上向下的顺序处理,遇到与当前查询匹配的规则时停止处理。
  • 请在将 PAC 文件 URL 输入 XenMobile Server 的 PAC/代理字段之前,在 Web 浏览器中测试此 URL。 确保计算机可以访问 PAC 文件所在的网络。

http://webserver.local/GenericPAC.pac
https://webserver.local/GenericPAC.pac

测试后的 PAC 文件扩展名为 .txt 或 .pac。

PAC 文件应该在 Web 浏览器中显示其内容。

Important

每次更新用于 WorxWeb 的 PAC 文件时,都会通知用户必须关闭并重新打开 WorxWeb。


2. 配置 NetScaler Gateway:

  • 禁用 NetScaler Gateway 拆分通道。 如果启用了拆分通道并且配置了 PAC 文件,PAC 文件规则将覆盖 NetScaler 拆分通道规则。 代理不会覆盖 NetScaler 拆分通道规则。
  • 删除为代理配置的 NetScaler Gateway 流量策略。 这是 WorxWeb 正常运行所必需配置的策略。 下图显示了要删除的策略规则示例。
localized image

3. 配置 WorxWeb 策略:

  • 将“Preferred VPN mode”(首选 VPN 模式)策略设置为 Full VPN tunnel(完整 VPN 通道)。
  • 将“Permit VPN mode switching”(允许 VPN 模式切换)策略设置为
  • 配置 PAC 文件 URL 或代理服务器策略。 WorxWeb 支持 HTTP 和 HTTPS 以及默认和非默认端口。 对于 HTTPS,如果证书为自签名证书或者不受信任,则必须在设备上安装根证书颁发机构。

    请确保在配置策略前,使用 Web 浏览器测试 URL 或代理服务器地址。


    PAC 文件 URL 示例:

    http[s]://example.com/proxy.pac
    http[s]://10.10.0.100/proxy.txt

    示例代理服务器(需要配置端口):

    myhost.example.com:port
    10.10.0.100:port

注意

如果配置了 PAC 文件或代理服务器,请不要在 WiFi 的系统代理设置中配置 PAC。

  • 将“启用 Web 密码缓存”策略设置为。 Web 密码缓存处理 HTTPS 站点的 SSO。

    如果代理支持相同的身份验证基础结构,NetScaler 可以为外部代理执行 SSO。
     

PAC 文件支持的限制

WorxWeb 不支持:

  • 从一台代理服务器故障转移到另一台代理服务器。 PAC 文件评估可以返回某个主机名对应的多台代理服务器。 WorxWeb 仅使用返回的第一台代理服务器。
  • PAC 文件中的协议(例如 ftp 和 gopher)
  • PAC 文件中的 SOCKS 代理服务器
  • Web 代理自动发现协议 (Web Proxy Autodiscovery Protocol, WPAD)

WorxWeb 忽略 PAC 文件功能 alert,以使 WorxWeb 能够解析不包括这些调用的 PAC 文件。

关于 WorxWeb 策略

添加 WorxWeb 时,请注意 WorxWeb 特定的 MDX 策略。

对于所有受支持的移动设备:

允许或阻止的 Web 站点
WorxWeb 通常不过滤 Web 链接。 您可以使用此策略配置特定的允许或阻止站点的列表。 可以对 URL 模式进行配置,以限制浏览器可以打开的 Web 站点,其格式为逗号分隔的列表。 列表中每种模式前面都带有一个加号 (+) 或减号 (-)。 浏览器按列出顺序将 URL 与模式进行比较,直至找到一个匹配项。 找到一个匹配项后,将执行前缀规定的操作,如下所示:
  • 减号 (-) 前缀指示浏览器阻止打开 URL。 在这种情况下,该 URL 被视为无法解析的 Web 服务器地址。
  • 加号 (+) 前缀允许按常规处理 URL。
  • 如果随模式提供 + 或 -,则会假定提供 +(允许)。
  • 如果 URL 与列表中的任何模式都不匹配,则允许打开该 URL。
要阻止所有其他 URL,请在列表结尾添加减号后跟星号 (-*)。 例如:
  • 策略值 +http://*.mycorp.com/*,-http://*,+https://*,+ftp://*,-* 允许在 mycorp.com 域中使用 HTTP URL,但在其他位置阻止这些 URL,同时在其他位置允许 HTTPS 和 FTP URL,但阻止所有其他 URL。
  • 策略值 +http://*.training.lab/*,+https://*.training.lab/*,-* 允许用户通过 HTTP 或 HTTPS 打开 Training.lab 域 (intranet) 中的任何站点,但不允许打开公用 URL,如 Facebook、Google、Hotmail 等,无论协议为何。

默认值为空(允许打开所有 URL)。

预加载的书签
为 WorxWeb 浏览器定义一组预加载的书签。 此策略是一组用逗号分隔的元组列表,包括文件夹名称、友好名称和 Web 地址。 每个元组都应使用格式 folder,name,url,其中 folder 和 name 可能会有选择地用双引号 (") 引起。

例如,策略值 ,"Mycorp, Inc. home page",http://www.mycorp.com, "MyCorp Links",Account logon,https://www.mycorp.com/Accounts "MyCorp Links/Investor Relations","Contact us",http://www.mycorp.com/IR/Contactus.aspx 定义三个书签。 第一个为主链接(无文件夹名称),标题为“Mycorp, Inc. home page”。 第二个链接将置于标题为“MyCorp Links”、标签为“Account logon”的文件夹中。 第三个链接将置于“MyCorp Links”文件夹的“Investor Relations”子文件夹中,显示为“Contact us”。

默认值为空。

主页 URL
定义 WorxWeb 在启动时加载的 Web 站点。 默认值为空(默认启动页面)。

仅限受支持的 Android 和 iOS 设备:

浏览器用户界面
规定 WorxWeb 的浏览器用户界面控件的行为和可见性。 通常情况下,所有浏览控件都可用。 这些控件包括前进、后退、地址栏和刷新/停止控件。 可以配置此策略以限制这些控件的使用和可见性。 默认值为所有控件都可见

选项:

  • 所有控件都可见。 所有控件都可见,并且不限制用户使用。
  • 只读地址栏。 所有控件都可见,但用户无法编辑浏览器地址字段。
  • 隐藏地址栏。 隐藏地址栏,但不隐藏其他控件。
  • 隐藏所有控件。 禁止显示整个工具栏以提供无框浏览体验。
启用 Web 密码缓存
当 WorxWeb 用户为访问或请求 Web 资源输入凭据时,此策略确定 WorxWeb 是否以无提示方式在设备上缓存密码。 此策略适用于在身份验证对话框中输入的密码,不适用于在 Web 表单中输入的密码。

如果选择,WorxWeb 将缓存用户在请求 Web 资源时输入的所有密码。 如果选择,WorxWeb 将不缓存密码并删除已缓存的现有密码。 默认值为

仅当您同时将“首选 VPN”策略设置为此应用程序的完整 VPN 通道时才能启用此策略。

代理服务器
在安全浏览模式下使用时,还可以为 WorxWeb 配置代理服务器。 有关详细信息,请参阅此博客文章
DNS 后缀
在 Android 上,如果未配置 DNS 后缀,VPN 可能会失败。 有关配置 DNS 后缀的详细信息,请参阅 Supporting DNS Queries by Using DNS Suffixes for Android Devices(支持使用面向 Android 设备的 DNS 后缀进行 DNS 查询)。

准备用于 WorxWeb 的 Intranet 站点

此部分面向 Web 站点开发人员,这些开发人员需要准备用于 WorxWeb for Android 和 WorxWeb for iOS 的 Intranet 站点。 旨在用于桌面浏览器的 Intranet 站点需要更改才能在 Android 和 iOS 设备上正常使用。

WorxWeb 依靠 Android WebView 和 iOS UIWebView 或 WKWebView 来提供 Web 技术支持。 WorxWeb 支持的一些 Web 技术包括:

  • AngularJS
  • ASP.NET
  • JavaScript
  • JQuery

WorxWeb 不支持的一些 Web 技术包括:

  • Flash
  • Java

下表显示了 WorxWeb 支持的 HTML 呈现功能和技术。 X 表示相应功能适用于某个平台、浏览器和组件组合。

技术iOS WorxWebAndroid 4.3 WorxWebAndroid 4.4 WorxWebAndroid 5.0 WorxWeb
Nitro 8  XX
LocalStorageXXXX
AppCacheXXXX
IndexedDB  XX
SPDY  XX
WebP  XX
srcset   X
WebGL   X
requestAnimationFrame APIX XX
Navigation Timing API XXX
Resource Timing API  XX

 

要确定用于 WorxWeb 的浏览器版本,可以查看其用户代理字符串。 从 WorxWeb,导航到 http://whatsmyuseragent.com/

Intranet 站点故障排除

要解决在 WorxWeb 中查看 Intranet 站点时遇到的呈现问题,请将此 Web 站点在 WorxWeb 上的呈现情况与在兼容的第三方浏览器中的呈现情况相比较。 

操作系统兼容的第三方浏览器
iOSChrome、Dolphin
AndroidDolphin
注意:Chrome 是 Android 上的本机浏览器。 请勿将其用于比较。

在 iOS 中,请确保浏览器支持设备级 VPN。   可以在设备上的设置 > VPN > 添加 VPN 配置中配置此选项。 

还可以使用 App Store 中提供的 VPN 客户端应用程序,例如 Citrix VPNCisco AnyConnectPulse Secure

  • 如果 Web 页面在两个浏览器上的呈现情况相同,则问题源于您的 Web 站点。 请更新此站点,并确保它可以很好地适用于操作系统。
  • 如果 Web 页面上的问题仅出现在 WorxWeb 中,请联系 Citrix 技术支持,以打开一个支持票证。 请提供您的故障排除步骤,包括测试的浏览器和操作系统类型。 如果 WorxWeb for iOS 出现呈现问题,请按以下步骤所述将该页面的 Web 存档包括在内。 这样可帮助 Citrix 更加快速地解决该问题。

创建 Web 存档文件

在 Mac OS X 10.9 或更高版本上使用 Safari 时,可以将 Web 页面另存为包括所有链接文件(包括图片、CSS 和 JavaScript)的 Web 存档文件(又称为“阅读列表”)。

  1. 在 Safari 中,清空“阅读列表”文件夹:在 Finder 中,单击菜单栏中的前往菜单,选择前往文件夹,键入路径名称 ~/Library/Safari/ReadingListArchives/,然后删除该位置下的所有文件夹。
  2. 在菜单栏中,转至 Safari > 偏好设置 > 高级并启用在菜单栏中显示“开发”菜单
  3. 在菜单栏中,转至开发 > 用户代理并输入 WorxWeb 用户代理:(Mozilla/5.0 (iPad; CPU OS 8_3 like Mac OS X) AppleWebKit/600.1.4 (KHTML, like Gecko) Mobile/12F69 WorxWeb/ 10.1.0(build 1.4.0) Safari/8536.25)
  4. 在 Safari 中,打开要另存为阅读列表(Web 存档文件)的 Web 站点。
  5. 在菜单栏中,转至书签 > 添加到阅读列表。 此操作可能需要几分钟时间。 存档在后台进行。
  6. 找到存档的阅读列表:在菜单栏中,转至查看 > 显示阅读列表边栏
  7. 验证存档文件:
    1. 关闭与 Mac 之间的网络连接。
    2. 打开阅读列表中的 Web 站点。

    该 Web 站点应完整呈现。

  8. 压缩存档文件:在 Finder 中,单击菜单栏中的前往菜单,选择前往文件夹,键入路径名称 ~/Library/Safari/ReadingListArchives/,然后压缩使用随机十六进制字符串作为文件名的文件夹。 打开支持票据时,可以将该文件发送给 Citrix 技术支持。

WorxWeb 功能

WorxWeb 利用移动数据交换技术为用户创建专用 VPN 通道,以在受贵公司的策略保护的环境中访问内部和外部 Web 站点以及所有其他 Web 站点(包含带有敏感信息的站点)。

WorxWeb 与 WorxMail 和 ShareFile 的集成在安全的 XenMobile 容器中提供完美的用户体验。 下面是集成功能的几个示例:

  • 用户轻按 mailto 链接时,将在 WorxMail 中打开一封新电子邮件,不需要进一步进行身份验证。
  • 在 iOS 中,用户可以在 WorxWeb 中从本机邮件应用程序打开链接,方法是在 URL 前插入 ctxmobilebrowser://。 例如,从本机邮件应用程序中打开 example.com,使用 URL ctxmobilebrowser://http://example.com。
  • 当用户单击电子邮件中的 Intranet 链接时,WorxWeb 会转到该站点而无需进行额外的身份验证。
  • 用户可以将在 WorxWeb 中从 Web 下载的文件上载到 ShareFile。

WorxWeb 用户还可以执行以下操作:

  • 阻止弹出窗口。
    注意:WorxWeb 的大多数内存用于呈现弹出窗口,因此,当用户在“设置”中阻止了弹出窗口时,性能通常会有所提高。 如果要默认阻止弹出窗口,请在 XenMobile 控制台中将阻止弹出窗口设置为。 如果在升级到 10.3.6 版本之前已将阻止弹出窗口设置为,则此设置仍会处于关闭状态。 否则,此设置为,并阻止弹出窗口。
     
  • 为收藏的站点添加书签。
  • 下载文件。
  • 脱机保存页面。
  • 自动保存密码。
  • 清除缓存/历史记录/cookie。
  • 禁用 Cookie 和 HTML5 本地存储。
  • 与其他用户安全地共享设备。
  • 在地址栏中搜索。
  • 允许在 WorxWeb 中运行的 Web 应用程序访问其位置。
  • 导出和导入设置。
  • 在 iOS 中,可使用 3D Touch 操作来打开新标签,并直接从 Springboard 访问脱机页面、收藏的站点和下载。
  • 直接在 ShareFile 中打开链接。 用户必须使用 ShareFile 4.0,并且您必须在 XenMobile 中将 ctx-sf: 添加到“允许的 URL”策略。
  • 在 iOS 中,下载任意大小的文件并在 ShareFile 或其他应用程序中打开。注意:将 WorxWeb 置于后台将导致下载停止。 
  • 使用在网页中查找在当前页面视图中搜索项目。
localized image

WorxWeb 也支持动态文本,所以可显示用户在其设备上设置的字体。

支持的文件格式

X 指示可以在 WorxWeb 中呈现和下载文件格式。

 iOSAndroid
视频
H.263 AMR NB codec_Mp4 X
H.263 AMR NB codec_3gp X
H.264 AAC codec_3gp X
H.264 AVC codec_mp4 X
WAVXX
MOVXX
MP4*XX
3GP X
*WorxWeb 在完整 VPN 模式下运行时,MP4 不受支持。
 
AUDIO
Flac X
AACXX
m4a X
3GP(AMR-NB) X
mp3XX
wavXX
wma X
 
图片
JPEGX 
PNGX 
 
文档
.DOTXX
PDFX仅下载;打开于
QuickEdit 或其他应用程序以进行预览。
PPTXX
PPTXXX
DOCXX
DOCXXX
XLSXX
XLSXXX
TXTXX