Richtlinieneinstellungen für die Browserinhaltsumleitung
Der Abschnitt zur Browserinhaltsumleitung enthält Richtlinieneinstellungen zum Konfigurieren dieser Funktion.
Die Browserinhaltsumleitung steuert und optimiert die Art und Weise, wie Citrix Virtual Apps and Desktops™ Webinhalte (z. B. HTML5) an Benutzer liefert. Nur der sichtbare Bereich des Browsers, in dem Inhalte angezeigt werden, wird umgeleitet.
Die HTML5-Videoumleitung und die Browserinhaltsumleitung sind unabhängige Funktionen. Die Richtlinien für die HTML5-Videoumleitung sind für diese Funktion nicht erforderlich. Der Citrix HDX HTML5 Video Redirection Service wird jedoch für die Browserinhaltsumleitung verwendet. Weitere Informationen finden Sie unter Browserinhaltsumleitung.
Richtlinieneinstellungen:
Die folgenden Richtlinieneinstellungen sind für die Browserinhaltsumleitung in Citrix Studio verfügbar. Diese Richtlinien können mit Registrierungsschlüsseln auf dem VDA überschrieben werden, Registrierungsschlüssel sind jedoch optional.
TLS und Browserinhaltsumleitung
Sie können die Browserinhaltsumleitung verwenden, um HTTPS-Websites umzuleiten. Das in diese Websites injizierte JavaScript muss eine TLS-Verbindung zum Citrix HDX HTML5 Video Redirection Service (WebSocketService.exe) herstellen, der auf dem VDA ausgeführt wird. Um diese Umleitung zu erreichen und die TLS-Integrität der Webseite aufrechtzuerhalten, generiert der Citrix HDX HTML5 Video Redirection Service zwei benutzerdefinierte Zertifikate im Zertifikatspeicher auf dem VDA.
HdxVideo.js verwendet Secure Web Sockets zur Kommunikation mit WebSocketService.exe, das auf dem VDA ausgeführt wird. Dieser Prozess läuft auf dem lokalen System und führt die SSL-Terminierung und Benutzersitzungszuordnung durch.
WebSocketService.exe lauscht auf 127.0.0.1 Port 9001.
Browserinhaltsumleitung
Standardmäßig versucht die Citrix Workspace™-App Client-Abruf und Client-Rendering. Das serverseitige Rendering wird versucht, wenn Client-Abruf und Client-Rendering fehlschlagen. Wenn Sie auch die Richtlinie zur Proxykonfiguration der Browserinhaltsumleitung aktivieren, versucht die Citrix Workspace-App nur Server-Abruf und Client-Rendering.
Standardmäßig ist diese Einstellung „Zulässig“.
Einstellung für die Unterstützung der integrierten Windows-Authentifizierung bei der Browserinhaltsumleitung
Die Browserinhaltsumleitung ermöglicht das Overlay, das das Negotiate-Schema zur Authentifizierung verwendet. Diese Verbesserung bietet Single Sign-On zu einem Webserver, der mit integrierter Windows-Authentifizierung (IWA) innerhalb derselben Domäne wie der VDA konfiguriert ist.
Wenn auf Zulässig festgelegt, ruft das Browserinhaltsumleitungs-Overlay ein Negotiate-Ticket unter Verwendung der VDA-Anmeldeinformationen des Benutzers ab. Der Benutzer authentifiziert sich dann mit Single Sign-On beim Webserver.
Wenn auf Verboten festgelegt, fordert das Browserinhaltsumleitungs-Overlay kein Negotiate-Ticket vom VDA an. Der Benutzer authentifiziert sich bei einem Webserver mithilfe einer einfachen Authentifizierungsmethode. Diese Authentifizierungsmethode erfordert, dass Benutzer ihre VDA-Anmeldeinformationen jedes Mal eingeben, wenn sie auf den Webserver zugreifen.
Standardmäßig ist diese Einstellung auf „Verboten“ festgelegt.
Einstellung für die Webproxy-Authentifizierung beim Server-Fetch der Browserinhaltsumleitung
Diese Einstellung leitet HTTP-Datenverkehr, der von einem Overlay stammt, über einen nachgeschalteten Webproxy. Der nachgeschaltete Webproxy autorisiert und authentifiziert HTTP-Datenverkehr unter Verwendung der Domänenanmeldeinformationen des VDA-Benutzers über das Negotiate-Authentifizierungsschema.
Sie müssen die Browserinhaltsumleitung für den Server-Fetch-Modus in der PAC-Datei mithilfe der Richtlinie zur Proxykonfiguration der Browserinhaltsumleitung konfigurieren. Geben Sie im PAC-Skript Anweisungen zum Weiterleiten des Overlay-Datenverkehrs über einen nachgeschalteten Webproxy. Konfigurieren Sie dann den nachgeschalteten Webproxy so, dass er die VDA-Benutzer über das Negotiate-Authentifizierungsschema authentifiziert.
Wenn auf Zulässig festgelegt, antwortet der Webproxy mit einer 407 Negotiate-Challenge, einschließlich eines Headers Proxy-Authenticate: Negotiate. Die Browserinhaltsumleitung ruft dann ein Kerberos-Dienstticket unter Verwendung der Domänenanmeldeinformationen des VDA-Benutzers ab. Fügen Sie das Dienstticket auch in spätere Anfragen an den Webproxy ein.
Wenn auf Verboten festgelegt, leitet die Browserinhaltsumleitung den gesamten TCP-Datenverkehr zwischen dem Overlay und dem Webproxy ohne Beeinträchtigung weiter. Das Overlay verwendet grundlegende Authentifizierungsdaten oder andere verfügbare Anmeldeinformationen, um sich beim Webproxy zu authentifizieren.
Standardmäßig ist diese Einstellung auf „Verboten“ festgelegt.
Richtlinieneinstellungen für die Zugriffssteuerungsliste (ACL) der Browserinhaltsumleitung
Verwenden Sie diese Einstellung, um eine Zugriffssteuerungsliste (ACL) von URLs zu konfigurieren, die die Browserinhaltsumleitung verwenden können oder denen der Zugriff auf die Browserinhaltsumleitung verweigert wird.
Autorisierte URLs sind die URLs in der Positivliste, deren Inhalt an den Client umgeleitet wird.
Das Platzhalterzeichen * ist zulässig, jedoch nicht innerhalb des Protokolls oder des Domänenadressenteils der URL.
Zulässig: http://www.xyz.com/index.html, https://www.xyz.com/*, http://www.xyz.com/*videos*
Nicht zulässig: http://*.xyz.com/
Sie können eine bessere Granularität erreichen, indem Sie Pfade in der URL angeben. Wenn Sie beispielsweise https://www.xyz.com/sports/index.html angeben, wird nur die Seite index.html umgeleitet.
Standardmäßig ist diese Einstellung auf https://www.youtube.com/* festgelegt.
Weitere Informationen finden Sie im Knowledge Center-Artikel CTX238236.
Authentifizierungswebsites für die Browserinhaltsumleitung
Verwenden Sie diese Einstellung, um eine Liste von URLs zu konfigurieren. Websites, die mithilfe der Browserinhaltsumleitung umgeleitet werden, verwenden die Liste zur Authentifizierung eines Benutzers. Die Einstellung gibt die URLs an, für die die Browserinhaltsumleitung aktiv (umgeleitet) bleibt, wenn von einer URL in der Zulassungsliste weg navigiert wird.
Ein klassisches Szenario ist eine Website, die sich zur Authentifizierung auf einen Identitätsanbieter (IdP) verlässt. Beispielsweise muss eine Website www.xyz.com zum Endpunkt umgeleitet werden, aber ein Drittanbieter-IdP wie Okta (www.xyz.okta.com) übernimmt die Authentifizierung. Der Administrator verwendet die Richtlinie zur ACL-Konfiguration der Browserinhaltsumleitung, um www.xyz.com zur Zulassungsliste hinzuzufügen. Anschließend verwendet er die Authentifizierungswebsites für die Browserinhaltsumleitung, um www.xyz.okta.com zur Zulassungsliste hinzuzufügen.
Weitere Informationen finden Sie im Knowledge Center-Artikel CTX238236.
Einstellung der Blockierungsliste für die Browserinhaltsumleitung
Diese Einstellung funktioniert zusammen mit der Einstellung für die ACL-Konfiguration der Browserinhaltsumleitung. Angenommen, URLs sind in der Einstellung für die ACL-Konfiguration der Browserinhaltsumleitung und der Einstellung für die Blockierungsliste vorhanden. In diesem Fall hat die Blockierungslistenkonfiguration Vorrang, und der Browserinhalt der URL wird nicht umgeleitet.
Nicht autorisierte URLs: Gibt die URLs in der Blockierungsliste an, deren Browserinhalt nicht an den Client umgeleitet, sondern auf dem Server gerendert wird.
Das Platzhalterzeichen * ist zulässig, jedoch nicht innerhalb des Protokolls oder des Domänenadressenteils der URL.
Zulässig: http://www.xyz.com/index.html, https://www.xyz.com/*, http://www.xyz.com/*videos*
Nicht zulässig: http://*.xyz.com/
Sie können eine bessere Granularität erreichen, indem Sie Pfade in der URL angeben. Wenn Sie beispielsweise https://www.xyz.com/sports/index.html angeben, ist nur index.html in der Blockierungsliste.
Proxy-Einstellung für Browserinhaltsumleitung
Diese Einstellung bietet Konfigurationsoptionen für Proxy-Einstellungen auf dem VDA für die Browserinhaltsumleitung. Wenn diese Option mit einer gültigen Proxy-Adresse und Portnummer, PAC-/WPAD-URL oder einer Direct/Transparent-Einstellung aktiviert ist, versucht die Citrix Workspace-App nur das serverseitige Abrufen und clientseitige Rendern.
Wenn deaktiviert oder nicht konfiguriert und ein Standardwert verwendet wird, versucht die Citrix Workspace-App das clientseitige Abrufen und clientseitige Rendern.
Standardmäßig ist diese Einstellung verboten.
Zulässiges Muster für einen expliziten Proxy:
http://\<hostname/ip address\>:\<port\>
Beispiel:
http://proxy.example.citrix.com:80
http://10.10.10.10:8080
Zulässige Muster für PAC-/WPAD-Dateien:
http://<hostname/ip address>:<port>/<path>/<Proxy.pac>
Beispiel: http://wpad.myproxy.com:30/configuration/pac/Proxy.pac
https://<hostname/ip address>:<port>/<path>/<wpad.dat>
Beispiel: http://10.10.10.10/configuration/pac/wpad.dat
Zulässige Muster für direkte oder transparente Proxys:
Geben Sie das Wort DIRECT in das Richtlinientextfeld ein.
Überschreibungen von Registrierungsschlüsseln für die Browserinhaltsumleitung
Warnung:
Eine fehlerhafte Bearbeitung der Registrierung kann schwerwiegende Probleme verursachen, die eine Neuinstallation Ihres Betriebssystems erforderlich machen können. Citrix kann nicht garantieren, dass Probleme, die aus der falschen Verwendung des Registrierungs-Editors resultieren, behoben werden können. Verwenden Sie den Registrierungs-Editor auf eigenes Risiko. Sichern Sie die Registrierung unbedingt, bevor Sie sie bearbeiten.
Registrierungs-Überschreibungsoptionen für Richtlinieneinstellungen:
\HKEY_LOCAL_MACHINE\SOFTWARE\Citrix\HdxMediastream
| Name | Typ | Wert |
|---|---|---|
| WebBrowserRedirection | DWORD | 1=Zugelassen, 0=Verboten |
| WebBrowserRedirectionAcl | REG_MULTI_SZ | |
| WebBrowserRedirectionAuthenticationSites | REG_MULTI_SZ | |
| WebBrowserRedirectionProxyAddress | REG_SZ |
http://myproxy.citrix.com:8080 oder http://10.10.10.10:8888
|
| WebBrowserRedirectionBlacklist | REG_MULTI_SZ |
HDXVideo.js-Einfügung für die Browserinhaltsumleitung
HdxVideo.js wird mithilfe der Chrome-Erweiterung zur Browserinhaltsumleitung oder des Internet Explorer Browser Helper Object (BHO) in die Webseite eingefügt. Das BHO ist ein Plug-in-Modell für Internet Explorer. Es bietet Hooks für Browser-APIs und ermöglicht dem Plug-in den Zugriff auf das Document Object Model (DOM) der Seite, um die Navigation zu steuern.
Das BHO entscheidet, ob HdxVideo.js auf einer bestimmten Seite eingefügt werden soll. Die Entscheidung basiert auf den administrativen Richtlinien, die im vorherigen Flussdiagramm dargestellt sind.
Nachdem entschieden wurde, das JavaScript einzufügen und den Browserinhalt an den Client umzuleiten, ist die Webseite im Internet Explorer-Browser auf dem VDA leer. Das Leeren von document.body.innerHTML entfernt den gesamten Inhalt der Webseite auf dem VDA. Die Seite ist bereit, an den Client gesendet zu werden, um im Overlay-Browser (Hdxbrowser.exe) auf dem Client angezeigt zu werden.
In diesem Artikel
- TLS und Browserinhaltsumleitung
- Browserinhaltsumleitung
- Einstellung für die Unterstützung der integrierten Windows-Authentifizierung bei der Browserinhaltsumleitung
- Einstellung für die Webproxy-Authentifizierung beim Server-Fetch der Browserinhaltsumleitung
- Richtlinieneinstellungen für die Zugriffssteuerungsliste (ACL) der Browserinhaltsumleitung
- Authentifizierungswebsites für die Browserinhaltsumleitung
- Einstellung der Blockierungsliste für die Browserinhaltsumleitung
- Proxy-Einstellung für Browserinhaltsumleitung
- Überschreibungen von Registrierungsschlüsseln für die Browserinhaltsumleitung
- HDXVideo.js-Einfügung für die Browserinhaltsumleitung