Paramètres de stratégie de redirection de contenu de navigateur
La section de redirection de contenu de navigateur inclut des paramètres de stratégie pour configurer cette fonctionnalité.
La redirection de contenu de navigateur contrôle et optimise la manière dont Citrix Virtual Apps and Desktops™ fournit tout contenu de navigateur web (par exemple, HTML5) aux utilisateurs. Seule la zone visible du navigateur où le contenu est affiché est redirigée.
La redirection vidéo HTML5 et la redirection de contenu de navigateur sont des fonctionnalités indépendantes. Les stratégies de redirection vidéo HTML5 ne sont pas nécessaires au fonctionnement de cette fonctionnalité. Cependant, le service de redirection vidéo HTML5 Citrix HDX est utilisé pour la redirection de contenu de navigateur. Pour plus d’informations, consultez Redirection de contenu de navigateur.
Remarque :
Les paramètres de stratégie disponibles dans Web Studio peuvent être remplacés par des clés de registre sur le VDA, mais les clés de registre sont facultatives.
TLS et redirection de contenu de navigateur
Vous pouvez utiliser la redirection de contenu de navigateur pour rediriger les sites web HTTPS. Le JavaScript injecté dans ces sites web doit établir une connexion TLS avec le service de redirection vidéo HTML5 Citrix HDX (WebSocketService.exe) exécuté sur le VDA. Pour réaliser cette redirection et maintenir l’intégrité TLS de la page web, le service de redirection vidéo HTML5 Citrix HDX génère deux certificats personnalisés dans le magasin de certificats sur le VDA.
HdxVideo.js utilise des sockets Web sécurisées pour communiquer avec WebSocketService.exe exécuté sur le VDA. Ce processus s’exécute sur le système local et effectue la terminaison SSL et le mappage des sessions utilisateur.
WebSocketService.exe écoute sur le port 9001 de 127.0.0.1.
Redirection de contenu de navigateur
Par défaut, l’application Citrix Workspace™ tente la récupération côté client et le rendu côté client. Le rendu côté serveur est tenté lorsque la récupération côté client et le rendu côté client échouent. Si vous activez également la stratégie de configuration du proxy de redirection de contenu de navigateur, l’application Citrix Workspace ne tente que la récupération côté serveur et le rendu côté client.
Par défaut, ce paramètre est Autorisé.
Paramètre de prise en charge de l’authentification Windows intégrée pour la redirection de contenu de navigateur
La redirection de contenu de navigateur active la superposition qui utilise le schéma Negotiate pour l’authentification. Cette amélioration permet une authentification unique à un serveur web configuré avec l’authentification Windows intégrée (IWA) au sein du même domaine que le VDA.
Lorsque ce paramètre est défini sur Autorisé, la superposition de redirection de contenu de navigateur obtient un ticket Negotiate en utilisant les informations d’identification VDA de l’utilisateur. L’utilisateur s’authentifie ensuite auprès du serveur web avec une authentification unique.
Lorsque ce paramètre est défini sur Interdit, la superposition de redirection de contenu de navigateur ne demande pas de ticket Negotiate au VDA. L’utilisateur s’authentifie auprès d’un serveur web à l’aide d’une méthode d’authentification de base. Cette méthode d’authentification exige que les utilisateurs saisissent leurs informations d’identification VDA chaque fois qu’ils accèdent au serveur web.
Par défaut, ce paramètre est Interdit.
Paramètre d’authentification du proxy web de récupération côté serveur de redirection de contenu de navigateur
Ce paramètre achemine le trafic HTTP provenant d’une superposition via un proxy web en aval. Le proxy web en aval autorise et authentifie le trafic HTTP à l’aide des informations d’identification de domaine de l’utilisateur VDA via le schéma d’authentification Negotiate.
Vous devez configurer la redirection de contenu de navigateur pour le mode de récupération côté serveur dans le fichier PAC à l’aide de la stratégie de configuration du proxy de redirection de contenu de navigateur. Dans le script PAC, fournissez des instructions pour acheminer le trafic de superposition via un proxy web en aval. Configurez ensuite le proxy web en aval pour authentifier les utilisateurs VDA via le schéma d’authentification Negotiate.
Lorsque ce paramètre est défini sur Autorisé, le proxy web répond avec un défi Negotiate 407, incluant un en-tête Proxy-Authenticate: Negotiate. La redirection de contenu de navigateur obtient ensuite un ticket de service Kerberos en utilisant les informations d’identification de domaine de l’utilisateur VDA. Incluez également le ticket de service dans les requêtes ultérieures au proxy web.
Lorsque ce paramètre est défini sur Interdit, la redirection de contenu de navigateur proxyfie tout le trafic TCP entre la superposition et le proxy web sans interférence. La superposition utilise des informations d’identification d’authentification de base ou toute autre information d’identification disponible pour s’authentifier auprès du proxy web.
Par défaut, ce paramètre est Interdit.
Paramètres de stratégie de configuration de la liste de contrôle d’accès (ACL) de redirection de contenu de navigateur
Utilisez ce paramètre pour configurer une liste de contrôle d’accès (ACL) d’URL qui peuvent utiliser la redirection de contenu de navigateur ou dont l’accès à la redirection de contenu de navigateur est refusé.
Les URL autorisées sont les URL de la liste d’autorisation dont le contenu est redirigé vers le client.
Le caractère générique * est autorisé, mais il n’est pas autorisé dans le protocole ou la partie d’adresse de domaine de l’URL. Cependant, à partir de Citrix Virtual Apps and Desktops 7 2206, le caractère générique * est autorisé dans la partie d’adresse de sous-domaine de l’URL.
Autorisé : http://www.xyz.com/index.html, https://www.xyz.com/*, http://www.xyz.com/*videos*, http://*.xyz.com/
Non autorisé : http://*.*.com/
Vous pouvez obtenir une meilleure granularité en spécifiant des chemins dans l’URL. Par exemple, si vous spécifiez https://www.xyz.com/sports/index.html, seule la page index.html est redirigée.
Par défaut, ce paramètre est défini sur https://www.youtube.com/*
Pour plus d’informations, consultez l’article de la base de connaissances CTX238236.
Remarque :
Vous pouvez configurer l’ACL pour permettre à la redirection du contenu du navigateur (BCR) de rediriger les sites web vers le point de terminaison, et les sites d’authentification peuvent être configurés pour autoriser les fournisseurs d’identité (IdP), tels qu’Okta et Duo, pour l’authentification utilisée sur l’URL configurée.
Sites d’authentification de la redirection du contenu du navigateur
Utilisez ce paramètre pour configurer une liste d’URL. Les sites redirigés à l’aide de la redirection du contenu du navigateur utilisent cette liste pour authentifier un utilisateur. Le paramètre spécifie les URL pour lesquelles la redirection du contenu du navigateur reste active (redirigée) lors de la navigation en dehors d’une URL de la liste d’autorisation.
Un scénario classique est un site web qui s’appuie sur un fournisseur d’identité (IdP) pour l’authentification. Par exemple, un site web www.xyz.com doit être redirigé vers le point de terminaison, mais un IdP tiers, comme Okta (www.xyz.okta.com), gère la partie authentification. L’administrateur utilise la stratégie de configuration ACL de la redirection du contenu du navigateur pour ajouter www.xyz.com à la liste d’autorisation. Ensuite, il utilise les sites d’authentification de la redirection du contenu du navigateur pour ajouter www.xyz.okta.com à la liste d’autorisation.
Pour plus d’informations, consultez l’article de la base de connaissances CTX238236.
Paramètre de la liste de blocage de la redirection du contenu du navigateur
Ce paramètre fonctionne conjointement avec le paramètre de configuration ACL de la redirection du contenu du navigateur. Si des URL sont présentes dans le paramètre de configuration ACL de la redirection du contenu du navigateur et dans le paramètre de configuration de la liste de blocage, la configuration de la liste de blocage a priorité et le contenu du navigateur de l’URL n’est pas redirigé.
URL non autorisées : Spécifie les URL de la liste de blocage dont le contenu du navigateur n’est pas redirigé vers le client, mais rendu sur le serveur.
Le caractère générique * est autorisé, mais il n’est pas autorisé dans le protocole ou la partie adresse de domaine de l’URL.
Autorisé : http://www.xyz.com/index.html, https://www.xyz.com/*, http://www.xyz.com/*videos*
Non autorisé : http://*.xyz.com/
Vous pouvez obtenir une meilleure granularité en spécifiant des chemins dans l’URL. Par exemple, si vous spécifiez https://www.xyz.com/sports/index.html, seul index.html est dans la liste de blocage.
Paramètre de proxy de redirection de contenu de navigateur
Ce paramètre fournit des options de configuration pour les paramètres de proxy sur le VDA pour la redirection de contenu de navigateur. S’il est activé avec une adresse de proxy et un numéro de port valides, une URL PAC / WPAD ou un paramètre Direct/Transparent, l’application Citrix Workspace tente uniquement la récupération côté serveur et le rendu côté client.
S’il est désactivé ou non configuré et utilise une valeur par défaut, l’application Citrix Workspace tente la récupération côté client et le rendu côté client.
Par défaut, ce paramètre est Interdit.
Modèle autorisé pour un proxy explicite :
http://\<hostname/ip address\>:\<port\>
Exemple :
http://proxy.example.citrix.com:80
http://10.10.10.10:8080
Modèles autorisés pour les fichiers PAC/WPAD :
http://<hostname/ip address>:<port>/<path>/<Proxy.pac>
Exemple : http://wpad.myproxy.com:30/configuration/pac/Proxy.pac
https://<hostname/ip address>:<port>/<path>/<wpad.dat>
Exemple : http://10.10.10.10/configuration/pac/wpad.dat
Modèles autorisés pour les proxys directs ou transparents :
Tapez le mot DIRECT dans la zone de texte de la stratégie.
Remplacements de clé de registre de redirection du contenu du navigateur
Avertissement :
La modification incorrecte du registre peut entraîner de graves problèmes susceptibles de nécessiter la réinstallation de votre système d’exploitation. Citrix® ne peut garantir que les problèmes résultant d’une utilisation incorrecte de l’Éditeur du Registre pourront être résolus. Utilisez l’Éditeur du Registre à vos propres risques. Assurez-vous de sauvegarder le registre avant de le modifier.
Options de remplacement du registre pour les paramètres de stratégie :
\HKEY_LOCAL_MACHINE\SOFTWARE\Citrix\HdxMediastream
| Nom | Type | Valeur |
|---|---|---|
| WebBrowserRedirection | DWORD | 1=Allowed, 0=Prohibited |
| WebBrowserRedirectionAcl | REG_MULTI_SZ | |
| WebBrowserRedirectionAuthenticationSites | REG_MULTI_SZ | |
| WebBrowserRedirectionProxyAddress | REG_SZ |
http://myproxy.citrix.com:8080 ou http://10.10.10.10:8888
|
| WebBrowserRedirectionBlacklist | REG_MULTI_SZ |
Insertion de HDXVideo.js pour la redirection de contenu de navigateur
HdxVideo.js est injecté sur la page web en utilisant l’extension Chrome de redirection de contenu de navigateur ou l’objet d’assistance de navigateur (BHO) d’Internet Explorer. Le BHO est un modèle de plug-in pour Internet Explorer. Il fournit des points d’extension pour les API de navigateur et permet au plug-in d’accéder au Document Object Model (DOM) de la page pour contrôler la navigation.
Le BHO décide s’il doit injecter HdxVideo.js sur une page donnée. La décision est basée sur les stratégies administratives présentées dans l’organigramme précédent.
Après avoir décidé d’injecter le JavaScript et de rediriger le contenu du navigateur vers le client, la page web est vide dans le navigateur Internet Explorer sur le VDA. Définir document.body.innerHTML sur vide supprime l’intégralité du corps de la page web sur le VDA. La page est prête à être envoyée au client pour être affichée sur le navigateur superposé (Hdxbrowser.exe) sur le client.
Dans cet article
- TLS et redirection de contenu de navigateur
- Redirection de contenu de navigateur
- Paramètre de prise en charge de l’authentification Windows intégrée pour la redirection de contenu de navigateur
- Paramètre d’authentification du proxy web de récupération côté serveur de redirection de contenu de navigateur
- Paramètres de stratégie de configuration de la liste de contrôle d’accès (ACL) de redirection de contenu de navigateur
- Sites d’authentification de la redirection du contenu du navigateur
- Paramètre de la liste de blocage de la redirection du contenu du navigateur
- Paramètre de proxy de redirection de contenu de navigateur
- Remplacements de clé de registre de redirection du contenu du navigateur
- Insertion de HDXVideo.js pour la redirection de contenu de navigateur