Configuración de directiva de redirección de contenido del explorador
La sección de redirección de contenido del explorador incluye la configuración de directiva para configurar esta función.
La redirección de contenido del explorador controla y optimiza la forma en que Citrix Virtual Apps and Desktops™ entrega cualquier contenido del explorador web (por ejemplo, HTML5) a los usuarios. Solo se redirige el área visible del explorador donde se muestra el contenido.
La redirección de vídeo HTML5 y la redirección de contenido del explorador son funciones independientes. Las directivas de redirección de vídeo HTML5 no son necesarias para que esta función funcione. Sin embargo, el servicio de redirección de vídeo HTML5 de Citrix HDX se utiliza para la redirección de contenido del explorador. Para obtener más información, consulte Redirección de contenido del explorador.
Nota:
La configuración de directiva disponible en Web Studio se puede anular con claves de Registro en el VDA, pero las claves de Registro son opcionales.
TLS y redirección de contenido del explorador
Puede usar la redirección de contenido del explorador para redirigir sitios web HTTPS. El JavaScript inyectado en esos sitios web debe establecer una conexión TLS con el servicio de redirección de vídeo HTML5 de Citrix HDX (WebSocketService.exe) que se ejecuta en el VDA. Para lograr esta redirección y mantener la integridad TLS de la página web, el servicio de redirección de vídeo HTML5 de Citrix HDX genera dos certificados personalizados en el almacén de certificados del VDA.
HdxVideo.js utiliza sockets web seguros para comunicarse con WebSocketService.exe que se ejecuta en el VDA. Este proceso se ejecuta en el sistema local y realiza la terminación SSL y la asignación de sesiones de usuario.
WebSocketService.exe está escuchando en 127.0.0.1 puerto 9001.
Redirección de contenido del explorador
De forma predeterminada, la aplicación Citrix Workspace™ intenta la obtención y la representación del cliente. La representación del lado del servidor se intenta cuando la obtención y la representación del cliente fallan. Si también habilita la directiva de configuración de proxy de redirección de contenido del explorador, la aplicación Citrix Workspace solo intenta la obtención del servidor y la representación del cliente.
De forma predeterminada, esta configuración está Permitida.
Configuración de compatibilidad con la autenticación integrada de Windows para la redirección de contenido del explorador
La redirección de contenido del explorador habilita la superposición que utiliza el esquema Negotiate para la autenticación. Esta mejora proporciona inicio de sesión único a un servidor web configurado con la autenticación integrada de Windows (IWA) dentro del mismo dominio que el VDA.
Cuando se establece en Permitido, la superposición de redirección de contenido del explorador obtiene un ticket Negotiate utilizando las credenciales VDA del usuario. A continuación, el usuario se autentica en el servidor web con un inicio de sesión único.
Cuando se establece en Prohibido, la superposición de redirección de contenido del explorador no solicita un ticket Negotiate al VDA. El usuario se autentica en un servidor web mediante un método de autenticación básico. Este método de autenticación requiere que los usuarios introduzcan sus credenciales VDA cada vez que acceden al servidor web.
De forma predeterminada, esta configuración está Prohibida.
Configuración de autenticación de proxy web de recuperación de servidor de redirección de contenido del explorador
Esta configuración enruta el tráfico HTTP originado en una superposición a través de un proxy web descendente. El proxy web descendente autoriza y autentica el tráfico HTTP utilizando las credenciales de dominio del usuario de VDA a través del esquema de autenticación Negotiate.
Debe configurar la redirección de contenido del explorador para el modo de recuperación del servidor en el archivo PAC mediante la directiva de configuración de proxy de redirección de contenido del explorador. En el script PAC, proporcione instrucciones para enrutar el tráfico de superposición a través de un proxy web descendente. A continuación, configure el proxy web descendente para autenticar a los usuarios de VDA a través del esquema de autenticación Negotiate.
Cuando se establece en Permitido, el proxy web responde con un desafío 407 Negotiate, que incluye un encabezado Proxy-Authenticate: Negotiate. La redirección de contenido del explorador obtiene entonces un ticket de servicio Kerberos utilizando las credenciales de dominio del usuario de VDA. Además, incluya el ticket de servicio en las solicitudes posteriores al proxy web.
Cuando se establece en Prohibido, la redirección de contenido del explorador actúa como proxy para todo el tráfico TCP entre la superposición y el proxy web sin interferir. La superposición utiliza credenciales de autenticación básicas o cualquier otra credencial disponible para autenticarse en el proxy web.
De forma predeterminada, esta configuración está Prohibida.
Configuración de la directiva de configuración de ACL (lista de control de acceso) de redirección de contenido del explorador
Utilice esta configuración para configurar una lista de control de acceso (ACL) de URL que pueden usar la redirección de contenido del explorador o a las que se les deniega el acceso a la redirección de contenido del explorador.
Las URL autorizadas son las URL de la lista de permitidos cuyo contenido se redirige al cliente.
El comodín * está permitido, pero no está permitido dentro del protocolo o la parte de la dirección de dominio de la URL. Sin embargo, a partir de Citrix Virtual Apps and Desktops 7 2206, el comodín * está permitido dentro de la parte de la dirección del subdominio de la URL.
Permitido: http://www.xyz.com/index.html, https://www.xyz.com/*, http://www.xyz.com/*videos*, http://*.xyz.com/
No permitido: http://*.*.com/
Puede lograr una mayor granularidad especificando rutas en la URL. Por ejemplo, si especifica https://www.xyz.com/sports/index.html, solo se redirige la página index.html.
De forma predeterminada, esta configuración está establecida en https://www.youtube.com/*
Para obtener más información, consulte el artículo del Centro de conocimientos CTX238236.
Nota:
Puede configurar la ACL para permitir que BCR redirija sitios web al punto final y los sitios de autenticación se pueden configurar para permitir proveedores de identidad (IdP), como Okta y Duo, para la autenticación utilizada en la URL configurada.
Sitios de autenticación de redirección de contenido del explorador
Utilice esta configuración para configurar una lista de URL. Los sitios redirigidos mediante la redirección de contenido del explorador utilizan la lista para autenticar a un usuario. La configuración especifica las URL para las que la redirección de contenido del explorador permanece activa (redirigida) al navegar fuera de una URL en la lista de permitidos.
Un escenario clásico es un sitio web que depende de un proveedor de identidad (IdP) para la autenticación. Por ejemplo, un sitio web www.xyz.com debe redirigirse al punto final, pero un IdP de terceros, como Okta (www.xyz.okta.com), se encarga de la parte de autenticación. El administrador utiliza la directiva de configuración de ACL de redirección de contenido del explorador para agregar www.xyz.com a la lista de permitidos. Luego utiliza los sitios de autenticación de redirección de contenido del explorador para agregar www.xyz.okta.com a la lista de permitidos.
Para obtener más información, consulte el artículo del Centro de conocimientos CTX238236.
Configuración de la lista de bloqueo de redirección de contenido del explorador
Esta configuración funciona junto con la configuración de ACL de redirección de contenido del explorador. Considere que las URL están presentes en la configuración de ACL de redirección de contenido del explorador y en la configuración de la lista de bloqueo. En este caso, la configuración de la lista de bloqueo tiene prioridad y el contenido del explorador de la URL no se redirige.
URL no autorizadas: Especifica las URL de la lista de bloqueo cuyo contenido del explorador no se redirige al cliente, sino que se renderiza en el servidor.
Se permite el comodín *, pero no se permite dentro del protocolo o la parte de la dirección de dominio de la URL.
Permitido: http://www.xyz.com/index.html, https://www.xyz.com/*, http://www.xyz.com/*videos*
No permitido: http://*.xyz.com/
Puede lograr una mayor granularidad especificando rutas en la URL. Por ejemplo, si especifica https://www.xyz.com/sports/index.html, solo index.html estará en la lista de bloqueo.
Configuración de proxy de redirección de contenido del explorador
Esta configuración proporciona opciones de configuración para los ajustes de proxy en el VDA para la redirección de contenido del explorador. Si está habilitada con una dirección y un número de puerto de proxy válidos, una URL de PAC/WPAD o una configuración directa/transparente, la aplicación Citrix Workspace solo intenta la obtención del servidor y la representación del cliente.
Si está inhabilitada o no configurada y se utiliza un valor predeterminado, la aplicación Citrix Workspace intenta la obtención y la representación del cliente.
De forma predeterminada, esta configuración está Prohibida.
Patrón permitido para un proxy explícito:
http://\<hostname/ip address\>:\<port\>
Ejemplo:
http://proxy.example.citrix.com:80
http://10.10.10.10:8080
Patrones permitidos para archivos PAC/WPAD:
http://<hostname/ip address>:<port>/<path>/<Proxy.pac>
Ejemplo: http://wpad.myproxy.com:30/configuration/pac/Proxy.pac
https://<hostname/ip address>:<port>/<path>/<wpad.dat>
Ejemplo: http://10.10.10.10/configuration/pac/wpad.dat
Patrones permitidos para proxies directos o transparentes:
Escriba la palabra DIRECT en el cuadro de texto de la directiva.
Invalidaciones de clave de registro de redirección de contenido del explorador
Advertencia:
La edición incorrecta del registro puede causar problemas graves que podrían requerir la reinstalación del sistema operativo. Citrix® no puede garantizar que los problemas derivados del uso incorrecto del Editor del Registro puedan resolverse. Utilice el Editor del Registro bajo su propia responsabilidad. Asegúrese de hacer una copia de seguridad del registro antes de editarlo.
Opciones de invalidación de registros para la configuración de directivas:
\HKEY_LOCAL_MACHINE\SOFTWARE\Citrix\HdxMediastream
| Nombre | Tipo | Valor |
|---|---|---|
| WebBrowserRedirection | DWORD | 1=Permitido, 0=Prohibido |
| WebBrowserRedirectionAcl | REG_MULTI_SZ | |
| WebBrowserRedirectionAuthenticationSites | REG_MULTI_SZ | |
| WebBrowserRedirectionProxyAddress | REG_SZ |
http://myproxy.citrix.com:8080 o http://10.10.10.10:8888
|
| WebBrowserRedirectionBlacklist | REG_MULTI_SZ |
Inserción de HDXVideo.js para la redirección de contenido del explorador
HdxVideo.js se inyecta en la página web mediante la extensión de Chrome de redirección de contenido del explorador o el objeto auxiliar del explorador (BHO) de Internet Explorer. El BHO es un modelo de complemento para Internet Explorer. Proporciona enlaces para las API del explorador y permite que el complemento acceda al Modelo de objetos de documento (DOM) de la página para controlar la navegación.
El BHO decide si inyectar HdxVideo.js en una página determinada. La decisión se basa en las directivas administrativas que se muestran en el diagrama de flujo anterior.
Después de decidir inyectar el JavaScript y redirigir el contenido del explorador al cliente, la página web aparece en blanco en el explorador Internet Explorer del VDA. Al establecer document.body.innerHTML en vacío, se elimina todo el cuerpo de la página web del VDA. La página está lista para enviarse al cliente y mostrarse en el explorador superpuesto (Hdxbrowser.exe) del cliente.
En este artículo
- TLS y redirección de contenido del explorador
- Redirección de contenido del explorador
- Configuración de compatibilidad con la autenticación integrada de Windows para la redirección de contenido del explorador
- Configuración de autenticación de proxy web de recuperación de servidor de redirección de contenido del explorador
- Configuración de la directiva de configuración de ACL (lista de control de acceso) de redirección de contenido del explorador
- Sitios de autenticación de redirección de contenido del explorador
- Configuración de la lista de bloqueo de redirección de contenido del explorador
- Configuración de proxy de redirección de contenido del explorador
- Invalidaciones de clave de registro de redirección de contenido del explorador
- Inserción de HDXVideo.js para la redirección de contenido del explorador