Richtlinieneinstellungen für die Browserinhaltsumleitung
Der Abschnitt zur Browserinhaltsumleitung enthält Richtlinieneinstellungen zum Konfigurieren dieser Funktion.
Die Browserinhaltsumleitung steuert und optimiert die Art und Weise, wie Citrix Virtual Apps and Desktops™ Webinhalte (z. B. HTML5) an Benutzer liefert. Nur der sichtbare Bereich des Browsers, in dem Inhalte angezeigt werden, wird umgeleitet.
Die HTML5-Videoumleitung und die Browserinhaltsumleitung sind unabhängige Funktionen. Die HTML5-Videoumleitungsrichtlinien sind für diese Funktion nicht erforderlich. Der Citrix HDX HTML5 Video Redirection Service wird jedoch für die Browserinhaltsumleitung verwendet. Weitere Informationen finden Sie unter Browserinhaltsumleitung.
Hinweis:
In Web Studio verfügbare Richtlinieneinstellungen können durch Registrierungsschlüssel auf dem VDA überschrieben werden, Registrierungsschlüssel sind jedoch optional.
TLS und Browserinhaltsumleitung
Sie können die Browserinhaltsumleitung verwenden, um HTTPS-Websites umzuleiten. Das in diese Websites injizierte JavaScript muss eine TLS-Verbindung zum Citrix HDX HTML5 Video Redirection Service (WebSocketService.exe) herstellen, der auf dem VDA ausgeführt wird. Um diese Umleitung zu erreichen und die TLS-Integrität der Webseite aufrechtzuerhalten, generiert der Citrix HDX HTML5 Video Redirection Service zwei benutzerdefinierte Zertifikate im Zertifikatspeicher auf dem VDA.
HdxVideo.js verwendet Secure Web Sockets zur Kommunikation mit WebSocketService.exe, das auf dem VDA ausgeführt wird. Dieser Prozess läuft unter dem lokalen System und führt die SSL-Terminierung und die Zuordnung von Benutzersitzungen durch.
WebSocketService.exe lauscht auf 127.0.0.1 Port 9001.
Browserinhaltsumleitung
Standardmäßig versucht die Citrix Workspace™-App Client-Abruf und Client-Rendering. Das serverseitige Rendering wird versucht, wenn Client-Abruf und Client-Rendering fehlschlagen. Wenn Sie auch die Richtlinie zur Proxykonfiguration der Browserinhaltsumleitung aktivieren, versucht die Citrix Workspace-App nur Server-Abruf und Client-Rendering.
Standardmäßig ist diese Einstellung „Zulässig“.
Einstellung für die Unterstützung der integrierten Windows-Authentifizierung bei der Browserinhaltsumleitung
Die Browserinhaltsumleitung ermöglicht das Overlay, das das Negotiate-Schema für die Authentifizierung verwendet. Diese Verbesserung bietet Single Sign-On zu einem Webserver, der mit der integrierten Windows-Authentifizierung (IWA) innerhalb derselben Domäne wie der VDA konfiguriert ist.
Wenn auf Zulässig festgelegt, ruft das Browser Content Redirection-Overlay ein Negotiate-Ticket unter Verwendung der VDA-Anmeldeinformationen des Benutzers ab. Der Benutzer authentifiziert sich dann mit einer Einmalanmeldung beim Webserver.
Wenn auf Verboten festgelegt, fordert das Browser Content Redirection-Overlay kein Negotiate-Ticket vom VDA an. Der Benutzer authentifiziert sich bei einem Webserver mithilfe einer einfachen Authentifizierungsmethode. Diese Authentifizierungsmethode erfordert, dass Benutzer ihre VDA-Anmeldeinformationen jedes Mal eingeben, wenn sie auf den Webserver zugreifen.
Standardmäßig ist diese Einstellung auf Verboten festgelegt.
Einstellung für die Webproxy-Authentifizierung beim Server-Abruf für die Browserinhaltsumleitung
Diese Einstellung leitet HTTP-Datenverkehr, der von einem Overlay stammt, über einen nachgeschalteten Webproxy. Der nachgeschaltete Webproxy autorisiert und authentifiziert den HTTP-Datenverkehr unter Verwendung der Domänenanmeldeinformationen des VDA-Benutzers über das Negotiate-Authentifizierungsschema.
Sie müssen die Browserinhaltsumleitung für den Server-Abrufmodus in der PAC-Datei mithilfe der Richtlinie zur Proxykonfiguration der Browserinhaltsumleitung konfigurieren. Geben Sie im PAC-Skript Anweisungen, um den Overlay-Datenverkehr über einen nachgeschalteten Webproxy zu leiten. Konfigurieren Sie dann den nachgeschalteten Webproxy so, dass er die VDA-Benutzer über das Negotiate-Authentifizierungsschema authentifiziert.
Wenn auf Zulässig festgelegt, antwortet der Webproxy mit einer 407 Negotiate-Challenge, einschließlich eines Proxy-Authenticate: Negotiate-Headers. Die Browserinhaltsumleitung ruft dann ein Kerberos-Dienstticket unter Verwendung der Domänenanmeldeinformationen des VDA-Benutzers ab. Fügen Sie das Dienstticket auch in spätere Anfragen an den Webproxy ein.
Wenn auf Verboten festgelegt, leitet die Browserinhaltsumleitung den gesamten TCP-Datenverkehr zwischen dem Overlay und dem Webproxy ohne Beeinträchtigung weiter. Das Overlay verwendet einfache Authentifizierungsanmeldeinformationen oder andere verfügbare Anmeldeinformationen, um sich beim Webproxy zu authentifizieren.
Standardmäßig ist diese Einstellung auf Verboten festgelegt.
Richtlinieneinstellungen für die Browserinhaltsumleitung ACL (Access Control List)
Verwenden Sie diese Einstellung, um eine Zugriffssteuerungsliste (ACL) von URLs zu konfigurieren, die die Browserinhaltsumleitung verwenden können oder denen der Zugriff auf die Browserinhaltsumleitung verweigert wird.
Autorisierte URLs sind die URLs in der Zulassungsliste, deren Inhalt an den Client umgeleitet wird.
Der Platzhalter * ist zulässig, jedoch nicht innerhalb des Protokolls oder des Domänenadressenteils der URL. Ab Citrix Virtual Apps and Desktops 7 2206 ist der Platzhalter * jedoch innerhalb des Subdomänenadressenteils der URL zulässig.
Zulässig: http://www.xyz.com/index.html, https://www.xyz.com/*, http://www.xyz.com/*videos*, http://*.xyz.com/
Nicht zulässig: http://*.*.com/
Sie können eine bessere Granularität erreichen, indem Sie Pfade in der URL angeben. Wenn Sie beispielsweise https://www.xyz.com/sports/index.html angeben, wird nur die Seite index.html umgeleitet.
Standardmäßig ist diese Einstellung auf https://www.youtube.com/* festgelegt.
Weitere Informationen finden Sie im Knowledge Center-Artikel CTX238236.
Hinweis:
Sie können ACL so konfigurieren, dass BCR Websites zum Endpunkt umleiten darf, und Authentifizierungs-Sites können so konfiguriert werden, dass Identitätsanbieter (IdP) wie Okta und Duo für die auf der konfigurierten URL verwendete Authentifizierung zugelassen werden.
Authentifizierungs-Sites für Browserinhaltsumleitung
Verwenden Sie diese Einstellung, um eine Liste von URLs zu konfigurieren. Sites, die mithilfe der Browserinhaltsumleitung umgeleitet werden, verwenden die Liste zur Authentifizierung eines Benutzers. Die Einstellung gibt die URLs an, für die die Browserinhaltsumleitung aktiv (umgeleitet) bleibt, wenn von einer URL in der Zulassungsliste weg navigiert wird.
Ein klassisches Szenario ist eine Website, die für die Authentifizierung auf einen Identitätsanbieter (IdP) angewiesen ist. Beispielsweise muss eine Website www.xyz.com zum Endpunkt umgeleitet werden, aber ein Drittanbieter-IdP wie Okta (www.xyz.okta.com) übernimmt den Authentifizierungsteil. Der Administrator verwendet die Richtlinie zur Konfiguration der Browserinhaltsumleitungs-ACL, um www.xyz.com zur Zulassungsliste hinzuzufügen. Anschließend werden die Authentifizierungs-Sites für die Browserinhaltsumleitung verwendet, um www.xyz.okta.com zur Zulassungsliste hinzuzufügen.
Weitere Informationen finden Sie im Knowledge Center-Artikel CTX238236.
Einstellung der Sperrliste für die Browserinhaltsumleitung
Diese Einstellung funktioniert zusammen mit der Einstellung zur Konfiguration der Browserinhaltsumleitungs-ACL. Angenommen, URLs sind in der Einstellung zur Konfiguration der Browserinhaltsumleitungs-ACL und in der Einstellung zur Konfiguration der Sperrliste vorhanden. In diesem Fall hat die Konfiguration der Sperrliste Vorrang, und der Browserinhalt der URL wird nicht umgeleitet.
Nicht autorisierte URLs: Gibt die URLs in der Sperrliste an, deren Browserinhalt nicht an den Client umgeleitet, sondern auf dem Server gerendert wird.
Das Platzhalterzeichen * ist zulässig, jedoch nicht innerhalb des Protokolls oder des Domänenadressenteils der URL.
Zulässig: http://www.xyz.com/index.html, https://www.xyz.com/*, http://www.xyz.com/*videos*
Nicht zulässig: http://*.xyz.com/
Sie können eine bessere Granularität erreichen, indem Sie Pfade in der URL angeben. Wenn Sie beispielsweise https://www.xyz.com/sports/index.html angeben, ist nur index.html in der Sperrliste.
Proxy-Einstellung für die Browserinhaltsumleitung
Diese Einstellung bietet Konfigurationsoptionen für Proxy-Einstellungen auf dem VDA für die Browserinhaltsumleitung. Wenn sie mit einer gültigen Proxy-Adresse und Portnummer, PAC-/WPAD-URL oder der Einstellung „Direkt/Transparent“ aktiviert ist, versucht die Citrix Workspace-App nur den Serverabruf und das Client-Rendering.
Wenn deaktiviert oder nicht konfiguriert und ein Standardwert verwendet wird, versucht die Citrix Workspace-App den Clientabruf und das Client-Rendering.
Standardmäßig ist diese Einstellung verboten.
Zulässiges Muster für einen expliziten Proxy:
http://\<hostname/ip address\>:\<port\>
Beispiel:
http://proxy.example.citrix.com:80
http://10.10.10.10:8080
Zulässige Muster für PAC-/WPAD-Dateien:
http://<hostname/ip address>:<port>/<path>/<Proxy.pac>
Beispiel: http://wpad.myproxy.com:30/configuration/pac/Proxy.pac
https://<hostname/ip address>:<port>/<path>/<wpad.dat>
Beispiel: http://10.10.10.10/configuration/pac/wpad.dat
Zulässige Muster für direkte oder transparente Proxys:
Geben Sie das Wort DIRECT in das Richtlinientextfeld ein.
Registrierungsschlüssel-Überschreibungen für die Browserinhaltsumleitung
Warnung:
Eine falsche Bearbeitung der Registrierung kann schwerwiegende Probleme verursachen, die eine Neuinstallation Ihres Betriebssystems erforderlich machen können. Citrix® kann nicht garantieren, dass Probleme, die aus der falschen Verwendung des Registrierungs-Editors resultieren, behoben werden können. Verwenden Sie den Registrierungs-Editor auf eigenes Risiko. Sichern Sie die Registrierung unbedingt, bevor Sie sie bearbeiten.
Registrierungs-Überschreibungsoptionen für Richtlinieneinstellungen:
\HKEY_LOCAL_MACHINE\SOFTWARE\Citrix\HdxMediastream
| Name | Typ | Wert |
|---|---|---|
| WebBrowserRedirection | DWORD | 1=Zugelassen, 0=Verboten |
| WebBrowserRedirectionAcl | REG_MULTI_SZ | |
| WebBrowserRedirectionAuthenticationSites | REG_MULTI_SZ | |
| WebBrowserRedirectionProxyAddress | REG_SZ |
http://myproxy.citrix.com:8080 oder http://10.10.10.10:8888
|
| WebBrowserRedirectionBlacklist | REG_MULTI_SZ |
Einfügen von HDXVideo.js für die Browserinhaltsumleitung
HdxVideo.js wird mithilfe der Chrome-Erweiterung zur Browserinhaltsumleitung oder des Internet Explorer Browser Helper Object (BHO) in die Webseite eingefügt. Das BHO ist ein Plug-in-Modell für Internet Explorer. Es bietet Hooks für Browser-APIs und ermöglicht dem Plug-in den Zugriff auf das Document Object Model (DOM) der Seite, um die Navigation zu steuern.
Das BHO entscheidet, ob HdxVideo.js auf einer bestimmten Seite eingefügt werden soll. Die Entscheidung basiert auf den administrativen Richtlinien, die im vorherigen Flussdiagramm dargestellt sind.
Nachdem entschieden wurde, das JavaScript einzufügen und den Browserinhalt an den Client umzuleiten, ist die Webseite im Internet Explorer-Browser auf dem VDA leer. Das Leeren von document.body.innerHTML entfernt den gesamten Inhalt der Webseite auf dem VDA. Die Seite ist bereit, an den Client gesendet zu werden, um auf dem Overlay-Browser (Hdxbrowser.exe) auf dem Client angezeigt zu werden.
In diesem Artikel
- TLS und Browserinhaltsumleitung
- Browserinhaltsumleitung
- Einstellung für die Unterstützung der integrierten Windows-Authentifizierung bei der Browserinhaltsumleitung
- Einstellung für die Webproxy-Authentifizierung beim Server-Abruf für die Browserinhaltsumleitung
- Richtlinieneinstellungen für die Browserinhaltsumleitung ACL (Access Control List)
- Authentifizierungs-Sites für Browserinhaltsumleitung
- Einstellung der Sperrliste für die Browserinhaltsumleitung
- Proxy-Einstellung für die Browserinhaltsumleitung
- Registrierungsschlüssel-Überschreibungen für die Browserinhaltsumleitung
- Einfügen von HDXVideo.js für die Browserinhaltsumleitung