Richtlinieneinstellungen für die Browserinhaltsumleitung
Der Abschnitt zur Browserinhaltsumleitung enthält Richtlinieneinstellungen zum Konfigurieren dieser Funktion.
Die Browserinhaltsumleitung steuert und optimiert die Art und Weise, wie Citrix Virtual Apps and Desktops™ Webinhalte (z. B. HTML5) an Benutzer liefert. Nur der sichtbare Bereich des Browsers, in dem Inhalte angezeigt werden, wird umgeleitet.
Die HTML5-Videoumleitung und die Browserinhaltsumleitung sind unabhängige Funktionen. Die Richtlinien für die HTML5-Videoumleitung sind für diese Funktion nicht erforderlich. Der Citrix HDX HTML5 Video Redirection Service wird jedoch für die Browserinhaltsumleitung verwendet. Weitere Informationen finden Sie unter Browserinhaltsumleitung.
Hinweis:
In Web Studio verfügbare Richtlinieneinstellungen können durch Registrierungsschlüssel auf dem VDA überschrieben werden, Registrierungsschlüssel sind jedoch optional.
TLS und Browserinhaltsumleitung
Sie können die Browserinhaltsumleitung verwenden, um HTTPS-Websites umzuleiten. Das in diese Websites injizierte JavaScript muss eine TLS-Verbindung zum Citrix HDX HTML5 Video Redirection Service (WebSocketService.exe) herstellen, der auf dem VDA ausgeführt wird. Um diese Umleitung zu erreichen und die TLS-Integrität der Webseite aufrechtzuerhalten, generiert der Citrix HDX HTML5 Video Redirection Service zwei benutzerdefinierte Zertifikate im Zertifikatspeicher auf dem VDA.
HdxVideo.js verwendet sichere Web-Sockets, um mit WebSocketService.exe zu kommunizieren, das auf dem VDA ausgeführt wird. Dieser Prozess läuft auf dem lokalen System und führt die SSL-Terminierung und die Zuordnung von Benutzersitzungen durch.
WebSocketService.exe lauscht auf 127.0.0.1 Port 9001.
Browserinhaltsumleitung
Standardmäßig versucht die Citrix Workspace™-App Client-Fetch und Client-Render. Das serverseitige Rendering wird versucht, wenn Client-Fetch und Client-Render fehlschlagen. Wenn Sie auch die Richtlinie zur Proxykonfiguration der Browserinhaltsumleitung aktivieren, versucht die Citrix Workspace-App nur Server-Fetch und Client-Render.
Standardmäßig ist diese Einstellung „Zulässig“.
Einstellung für die Unterstützung der integrierten Windows-Authentifizierung bei der Browserinhaltsumleitung
Die Browserinhaltsumleitung ermöglicht das Overlay, das das Negotiate-Schema für die Authentifizierung verwendet. Diese Verbesserung bietet Single Sign-On zu einem Webserver, der mit der integrierten Windows-Authentifizierung (IWA) innerhalb derselben Domäne wie der VDA konfiguriert ist.
Wenn auf Zulässig festgelegt, ruft das Browserinhaltsumleitungs-Overlay ein Negotiate-Ticket unter Verwendung der VDA-Anmeldeinformationen des Benutzers ab. Der Benutzer authentifiziert sich dann mit Single Sign-On beim Webserver.
Wenn auf Verboten festgelegt, fordert das Browserinhaltsumleitungs-Overlay kein Negotiate-Ticket vom VDA an. Der Benutzer authentifiziert sich bei einem Webserver mithilfe einer einfachen Authentifizierungsmethode. Diese Authentifizierungsmethode erfordert, dass Benutzer ihre VDA-Anmeldeinformationen jedes Mal eingeben, wenn sie auf den Webserver zugreifen.
Standardmäßig ist diese Einstellung Verboten.
Einstellung für die Webproxy-Authentifizierung beim Server-Abruf der Browserinhaltsumleitung
Diese Einstellung leitet HTTP-Datenverkehr, der von einem Overlay stammt, über einen nachgeschalteten Webproxy. Der nachgeschaltete Webproxy autorisiert und authentifiziert HTTP-Datenverkehr unter Verwendung der Domänenanmeldeinformationen des VDA-Benutzers über das Negotiate-Authentifizierungsschema.
Sie müssen die Browserinhaltsumleitung für den Server-Abrufmodus in der PAC-Datei mithilfe der Richtlinie zur Proxykonfiguration der Browserinhaltsumleitung konfigurieren. Geben Sie im PAC-Skript Anweisungen an, um den Overlay-Datenverkehr über einen nachgeschalteten Webproxy zu leiten. Konfigurieren Sie dann den nachgeschalteten Webproxy so, dass er die VDA-Benutzer über das Negotiate-Authentifizierungsschema authentifiziert.
Wenn auf Zulässig festgelegt, antwortet der Webproxy mit einer 407 Negotiate-Challenge, einschließlich eines Proxy-Authenticate: Negotiate-Headers. Die Browserinhaltsumleitung ruft dann ein Kerberos-Dienstticket unter Verwendung der Domänenanmeldeinformationen des VDA-Benutzers ab. Fügen Sie das Dienstticket auch in späteren Anfragen an den Webproxy ein.
Wenn auf Verboten festgelegt, leitet die Browserinhaltsumleitung den gesamten TCP-Datenverkehr zwischen dem Overlay und dem Webproxy ohne Beeinträchtigung weiter. Das Overlay verwendet grundlegende Authentifizierungsanmeldeinformationen oder andere verfügbare Anmeldeinformationen zur Authentifizierung beim Webproxy.
Standardmäßig ist diese Einstellung Verboten.
Richtlinieneinstellungen für die Zugriffssteuerungsliste (ACL) der Browserinhaltsumleitung
Verwenden Sie diese Einstellung, um eine Zugriffssteuerungsliste (ACL) von URLs zu konfigurieren, die die Browserinhaltsumleitung verwenden können oder denen der Zugriff auf die Browserinhaltsumleitung verweigert wird.
Autorisierte URLs sind die URLs in der Positivliste, deren Inhalt an den Client umgeleitet wird.
Der Platzhalter * ist zulässig, aber nicht innerhalb des Protokolls oder des Domänenadressenteils der URL. Ab Citrix Virtual Apps and Desktops 7 2206 ist der Platzhalter * jedoch innerhalb des Subdomänenadressenteils der URL zulässig.
Zulässig: http://www.xyz.com/index.html, https://www.xyz.com/*, http://www.xyz.com/*videos*, http://*.xyz.com/
Nicht zulässig: http://*.*.com/
Sie können eine bessere Granularität erzielen, indem Sie Pfade in der URL angeben. Wenn Sie beispielsweise https://www.xyz.com/sports/index.html angeben, wird nur die Seite index.html umgeleitet.
Standardmäßig ist diese Einstellung auf https://www.youtube.com/* festgelegt.
Weitere Informationen finden Sie im Knowledge Center-Artikel CTX238236.
Authentifizierungswebsites für die Browserinhaltsumleitung
Verwenden Sie diese Einstellung, um eine Liste von URLs zu konfigurieren. Websites, die mithilfe der Browserinhaltsumleitung umgeleitet werden, verwenden die Liste zur Authentifizierung eines Benutzers. Die Einstellung gibt die URLs an, für die die Browserinhaltsumleitung aktiv (umgeleitet) bleibt, wenn von einer URL in der Zulassungsliste weg navigiert wird.
Ein klassisches Szenario ist eine Website, die sich zur Authentifizierung auf einen Identitätsanbieter (IdP) verlässt. Zum Beispiel muss eine Website www.xyz.com zum Endpunkt umgeleitet werden, aber ein Drittanbieter-IdP, wie Okta (www.xyz.okta.com), übernimmt den Authentifizierungsteil. Der Administrator verwendet die Richtlinie zur Konfiguration der Browserinhaltsumleitung-ACL, um www.xyz.com zur Zulassungsliste hinzuzufügen. Anschließend werden die Authentifizierungswebsites für die Browserinhaltsumleitung verwendet, um www.xyz.okta.com zur Zulassungsliste hinzuzufügen.
Weitere Informationen finden Sie im Knowledge Center-Artikel CTX238236.
Einstellung der Blockierungsliste für die Browserinhaltsumleitung
Diese Einstellung funktioniert zusammen mit der Einstellung für die ACL-Konfiguration der Browserinhaltsumleitung. Angenommen, URLs sind in der Einstellung für die ACL-Konfiguration der Browserinhaltsumleitung und der Einstellung für die Blockierungsliste vorhanden. In diesem Fall hat die Konfiguration der Blockierungsliste Vorrang, und der Browserinhalt der URL wird nicht umgeleitet.
Nicht autorisierte URLs: Gibt die URLs in der Blockierungsliste an, deren Browserinhalt nicht an den Client umgeleitet, sondern auf dem Server gerendert wird.
Das Platzhalterzeichen * ist zulässig, jedoch nicht innerhalb des Protokolls oder des Domänenadressenteils der URL.
Zulässig: http://www.xyz.com/index.html, https://www.xyz.com/*, http://www.xyz.com/*videos*
Nicht zulässig: http://*.xyz.com/
Sie können eine bessere Granularität erzielen, indem Sie Pfade in der URL angeben. Wenn Sie beispielsweise https://www.xyz.com/sports/index.html angeben, ist nur index.html in der Blockierungsliste enthalten.
Proxyeinstellung für die Browserinhaltsumleitung
Diese Einstellung bietet Konfigurationsoptionen für Proxyeinstellungen auf dem VDA für die Browserinhaltsumleitung. Wenn sie mit einer gültigen Proxyadresse und Portnummer, PAC-/WPAD-URL oder einer direkten/transparenten Einstellung aktiviert ist, versucht die Citrix Workspace-App nur Server-Abruf und Client-Rendering.
Wenn sie deaktiviert oder nicht konfiguriert ist und ein Standardwert verwendet wird, versucht die Citrix Workspace-App Client-Abruf und Client-Rendering.
Standardmäßig ist diese Einstellung Verboten.
Zulässiges Muster für einen expliziten Proxy:
http://\<hostname/ip address\>:\<port\>
Beispiel:
http://proxy.example.citrix.com:80
http://10.10.10.10:8080
Zulässige Muster für PAC-/WPAD-Dateien:
http://<hostname/ip address>:<port>/<path>/<Proxy.pac>
Beispiel: http://wpad.myproxy.com:30/configuration/pac/Proxy.pac
https://<hostname/ip address>:<port>/<path>/<wpad.dat>
Beispiel: http://10.10.10.10/configuration/pac/wpad.dat
Zulässige Muster für direkte oder transparente Proxys:
Geben Sie das Wort DIRECT in das Richtlinientextfeld ein.
Registrierungsschlüssel-Überschreibungen für die Browserinhaltsumleitung
Warnung:
Eine fehlerhafte Bearbeitung der Registrierung kann schwerwiegende Probleme verursachen, die eine Neuinstallation Ihres Betriebssystems erforderlich machen können. Citrix® kann nicht garantieren, dass Probleme, die aus der falschen Verwendung des Registrierungs-Editors resultieren, behoben werden können. Verwenden Sie den Registrierungs-Editor auf eigenes Risiko. Sichern Sie die Registrierung unbedingt, bevor Sie sie bearbeiten.
Registrierungseinstellungen überschreiben Optionen für Richtlinieneinstellungen:
\HKEY_LOCAL_MACHINE\SOFTWARE\Citrix\HdxMediastream
| Name | Typ | Wert |
|---|---|---|
| WebBrowserRedirection | DWORD | 1=Zulässig, 0=Verboten |
| WebBrowserRedirectionAcl | REG_MULTI_SZ | |
| WebBrowserRedirectionAuthenticationSites | REG_MULTI_SZ | |
| WebBrowserRedirectionProxyAddress | REG_SZ |
http://myproxy.citrix.com:8080 oder http://10.10.10.10:8888
|
| WebBrowserRedirectionBlacklist | REG_MULTI_SZ |
Bearbeitung der ACL-Einstellungen für die Browserinhaltsumleitung(/de-de/citrix-virtual-apps-desktops/2311/media/bcr_policy_acl.png)
HDXVideo.js-Einfügung für die Browserinhaltsumleitung
Bild zur Browserinhaltsumleitung(/de-de/citrix-virtual-apps-desktops/2311/media/browsercontentredirectionflowchart-blacklist.png)
HdxVideo.js wird auf der Webseite injiziert, indem die Chrome-Erweiterung zur Browserinhaltsumleitung oder das Internet Explorer Browser Helper Object (BHO) verwendet wird. Das BHO ist ein Plug-in-Modell für Internet Explorer. Es bietet Hooks für Browser-APIs und ermöglicht dem Plug-in den Zugriff auf das Document Object Model (DOM) der Seite, um die Navigation zu steuern.
Das BHO entscheidet, ob HdxVideo.js auf einer bestimmten Seite injiziert werden soll. Die Entscheidung basiert auf den administrativen Richtlinien, die im vorherigen Flussdiagramm dargestellt sind.
Nachdem entschieden wurde, das JavaScript zu injizieren und Browserinhalte an den Client umzuleiten, ist die Webseite im Internet Explorer-Browser auf dem VDA leer. Das Leeren von document.body.innerHTML entfernt den gesamten Inhalt der Webseite auf dem VDA. Die Seite ist bereit, an den Client gesendet zu werden, um im Overlay-Browser (Hdxbrowser.exe) auf dem Client angezeigt zu werden.
In diesem Artikel
- TLS und Browserinhaltsumleitung
- Browserinhaltsumleitung
- Einstellung für die Unterstützung der integrierten Windows-Authentifizierung bei der Browserinhaltsumleitung
- Einstellung für die Webproxy-Authentifizierung beim Server-Abruf der Browserinhaltsumleitung
- Richtlinieneinstellungen für die Zugriffssteuerungsliste (ACL) der Browserinhaltsumleitung
- Authentifizierungswebsites für die Browserinhaltsumleitung
- Einstellung der Blockierungsliste für die Browserinhaltsumleitung
- Proxyeinstellung für die Browserinhaltsumleitung
- Registrierungsschlüssel-Überschreibungen für die Browserinhaltsumleitung
- HDXVideo.js-Einfügung für die Browserinhaltsumleitung