浏览器内容重定向策略设置
浏览器内容重定向部分包含配置此功能的策略设置。
浏览器内容重定向控制和优化Citrix虚拟应用和桌面向用户提供任何网页浏览器内容(例如HTML5)的方式。只有浏览器中显示内容的可见区域被重定向。
HTML5视频重定向和浏览器内容重定向是独立的特性。该功能不需要HTML5视频重定向策略,但Citrix HDX HTML5视频重定向服务用于浏览器内容重定向。有关更多信息,请参见浏览器内容重定向.
策略设置:
以下策略设置可用于Citrix Studio中的浏览器内容重定向特性。可以用VDA上的注册表项覆盖这些策略,但注册表项是可选的。
TLS和浏览器内容重定向
您可以使用浏览器内容重定向来重定向HTTPS网站。注入到这些网站的JavaScript必须与在VDA上运行的Citrix HDX HTML5视频重定向服务(WebSocketService.exe)建立TLS连接。为了实现此重定向并维护网页的TLS完整性,Citrix HDX HTML5视频重定向服务在VDA上的证书存储中生成两个自定义证书。
HdxVideo.js使用安全Web套接字与运行在VDA上的WebSocketService.exe进行通信。该进程在本地系统上运行,并执行SSL终止和用户会话映射。
WebSocketService.exe正在监听127.0.0.1端口9001。
浏览器内容重定向
默认情况下,Citrix工作区应用程序尝试客户端获取和客户端渲染。如果客户端获取客户端和呈现失败,则尝试服务器端呈现。如果您还启用了浏览器内容重定向代理配置策略,Citrix Workspace应用程序只尝试服务器获取和客户端呈现。
默认情况下,允许此设置。
浏览器内容重定向集成Windows身份验证支持设置
浏览器内容重定向启用使用Negotiate方案进行身份验证的覆盖。此增强提供了在与VDA相同域内配置了集成Windows身份验证(IWA)的web服务器的单点登录。
当设置为允许,浏览器内容重定向覆盖层通过使用用户的VDA凭据获得一个Negotiate票据。然后,用户通过单点登录向web服务器进行身份验证。
当设置为禁止,浏览器内容重定向覆盖不向VDA请求协商票。用户使用基本的身份验证方法向web服务器进行身份验证,该方法要求用户每次访问web服务器时都输入VDA凭据。
默认情况下,禁止此设置。
浏览器内容重定向服务器获取web代理认证设置
此设置通过下游Web代理来路由源自叠加的HTTP流量。下游Web代理通过协商身份验证方案使用VDA用户的域凭据授权并验证HTTP流量。
您必须使用浏览器内容重定向代理配置策略在PAC文件中为服务器获取模式配置浏览器内容重定向。在PAC脚本中,提供通过下游web代理路由覆盖流量的指令。然后配置下行web代理通过Negotiate认证方案对VDA用户进行认证。
当设置为允许时,web代理响应一个“407 Negotiate”挑战Proxy-Authenticate:谈判标题。浏览器内容重定向然后通过使用VDA用户的域凭据获取Kerberos服务票证,并在后续请求中包含对Web代理的服务票证。
当设置为禁止,浏览器内容重定向代理覆盖层和web代理之间的所有TCP流量不受干扰。覆盖使用基本身份验证凭据或任何其他可用凭据验证到web代理。
默认情况下,禁止此设置。
浏览器内容重定向ACL (Access Control List)策略设置
通过此设置,可以配置允许使用浏览器内容重定向或禁止访问浏览器内容重定向的url的访问控制列表(Access Control List, ACL)。
授权url是允许列表中的url,其内容被重定向到客户端。
通配符*是允许的,但在协议或URL的域地址部分中不允许使用。
允许:http://www.xyz.com/index.html,https://www.xyz.com/ *,http://www.xyz.com/ * *视频
不允许:http:// * .xyz.com/
您可以通过在URL中指定路径来实现更好的粒度。例如,如果指定https://www.xyz.com/sports/index.html,只有index.html页面被重定向。
默认情况下,此设置设置为https://www.youtube.com/ *
有关更多信息,请参阅知识中心的文章CTX238236.
浏览器内容重定向身份验证站点
使用此设置配置URL列表。使用浏览器内容重定向重定向的站点使用该列表来验证用户。该设置指定在远离允许列表中的URL中导航时浏览器内容重定向的URL仍然是活动(重定向)。
一个典型的场景是网站依赖身份验证提供商(IdP)进行身份验证。例如,一个网站www.xyz.com.必须重定向到端点,但第三方IdP,如Okta (www.xyz.okta.com.)处理身份验证部分。管理员使用浏览器内容重定向ACL配置策略添加www.xyz.com.到允许列表,然后使用浏览器内容重定向身份验证站点添加www.xyz.okta.com.到允许列表。
有关更多信息,请参阅知识中心的文章CTX238236.
浏览器内容重定向阻止列表设置
此设置与浏览器内容重定向ACL配置设置一起工作。如果浏览器内容重定向ACL配置和阻断列表配置中存在URL,则阻断列表配置优先,该URL的浏览器内容不被重定向。
未经授权的网址:指定块列表中的url,这些url的浏览器内容没有重定向到客户端,而是在服务器上呈现。
通配符*是允许的,但在协议或URL的域地址部分中不允许使用。
允许:http://www.xyz.com/index.html,https://www.xyz.com/ *,http://www.xyz.com/ * *视频
不允许:http:// * .xyz.com/
您可以通过在URL中指定路径来实现更好的粒度。例如,如果指定https://www.xyz.com/sports/index.html,只有index.html在块列表中。
浏览器内容重定向代理设置
此设置为浏览器内容重定向VDA上的代理设置提供配置选项。如果启用了有效的代理地址和端口号,PAC / WPAD URL,或直接/透明设置,Citrix工作区应用程序只尝试服务器获取和客户端呈现。
如果禁用或未配置和使用默认值,Citrix Workspace应用程序尝试客户端获取和客户端呈现。
默认情况下,禁止此设置。
用于显式代理的允许模式:
http:// \ <主机名或ip地址\ >:\ \ > <端口
例子:
http://proxy.example.citrix.com:80http://10.10.10.10:8080
允许的PAC/WPAD文件模式:
http:// <主机名或ip地址>:<端口> / <路径> / < Proxy.pac >
例子:http://wpad.myproxy.com:30/configuration/pac/Proxy.pac
https:// <主机名或ip地址>:<端口> / <路径> / < wpad.dat >
例子:http://10.10.10.10/configuration/pac/wpad.dat.
允许直接或透明代理模式:
输入的单词直接在策略文本框中。
浏览器内容重定向注册表键重写
警告:
不正确地编辑注册表可能会导致严重的问题,可能需要重新安装操作系统。Citrix不能保证由于不正确使用注册表编辑器而导致的问题能够得到解决。请自行承担使用注册表编辑器的风险。在编辑注册表之前,请务必备份注册表。
策略设置的注册表覆盖选项:
\ HKEY_LOCAL_MACHINE \ \ Citrix \ HdxMediastream软件
| 的名字 | 类型 | 价值 |
|---|---|---|
| WebBrowserRedirection | 双字 | 1 =允许,0 =禁止 |
| WebBrowserRedirectionAcl | REG_MULTI_SZ | |
| WebBrowserRedirectionAuthenticationSites | REG_MULTI_SZ | |
| WebBrowserRedirectionProxyAddress | reg_sz. | http://myproxy.citrix.com:8080或http://10.10.10.10:8888 |
| WebBrowserRedirectionBlacklist. | REG_MULTI_SZ |
HDXVideo.js插入浏览器内容重定向
使用浏览器内容重定向Chrome扩展或Internet Explorer浏览器辅助对象(BHO)注入网页上的HDXVIDEO.js。BHO是Internet Explorer的插件模型。它为浏览器API提供挂钩,并允许插件访问页面的文档对象模型(DOM)以控制导航。
BHO决定是否在给定页面上注入HdxVideo.js。决策基于上一个流程图中所示的管理策略。
当它决定注入JavaScript并将浏览器内容重定向到客户端后,VDA上的Internet Explorer浏览器上的网页将被删除。设置document.body.innerHTML要清空删除VDA上网页的整个主体。该页面已准备好将客户端发送到客户端上的客户端上显示在客户端上的覆盖浏览器(HDXbrowser.exe)上。