Impostazioni dei criteri di reindirizzamento del contenuto del browser
La sezione di reindirizzamento del contenuto del browser include le impostazioni dei criteri per configurare questa funzionalità.
Il reindirizzamento del contenuto del browser controlla e ottimizza il modo in cui Citrix Virtual Apps and Desktops™ distribuisce qualsiasi contenuto del browser web (ad esempio, HTML5) agli utenti. Viene reindirizzata solo l’area visibile del browser in cui viene visualizzato il contenuto.
Il reindirizzamento video HTML5 e il reindirizzamento del contenuto del browser sono funzionalità indipendenti. I criteri di reindirizzamento video HTML5 non sono necessari per il funzionamento di questa funzionalità. Tuttavia, il servizio di reindirizzamento video HTML5 Citrix HDX viene utilizzato per il reindirizzamento del contenuto del browser. Per ulteriori informazioni, consultare Reindirizzamento del contenuto del browser.
Nota:
Le impostazioni dei criteri disponibili in Web Studio possono essere sovrascritte con chiavi di registro sul VDA, ma le chiavi di registro sono facoltative.
TLS e reindirizzamento del contenuto del browser
È possibile utilizzare il reindirizzamento del contenuto del browser per reindirizzare i siti web HTTPS. Il JavaScript iniettato in tali siti web deve stabilire una connessione TLS al servizio di reindirizzamento video HTML5 Citrix HDX (WebSocketService.exe) in esecuzione sul VDA. Per ottenere questo reindirizzamento e mantenere l’integrità TLS della pagina web, il servizio di reindirizzamento video HTML5 Citrix HDX genera due certificati personalizzati nell’archivio certificati sul VDA.
HdxVideo.js utilizza Secure Web sockets per comunicare con WebSocketService.exe in esecuzione sul VDA. Questo processo viene eseguito sul sistema locale ed esegue la terminazione SSL e la mappatura delle sessioni utente.
WebSocketService.exe è in ascolto su 127.0.0.1 porta 9001.
Reindirizzamento del contenuto del browser
Per impostazione predefinita, l’app Citrix Workspace™ tenta il recupero lato client e il rendering lato client. Il rendering lato server viene tentato quando il recupero lato client e il rendering lato client falliscono. Se si abilita anche il criterio di configurazione del proxy di reindirizzamento del contenuto del browser, l’app Citrix Workspace tenta solo il recupero lato server e il rendering lato client.
Per impostazione predefinita, questa impostazione è Consentita.
Impostazione del supporto dell’autenticazione integrata di Windows per il reindirizzamento del contenuto del browser
Il reindirizzamento del contenuto del browser abilita l’overlay che utilizza lo schema Negotiate per l’autenticazione. Questo miglioramento fornisce il single sign-on a un server web configurato con l’autenticazione integrata di Windows (IWA) all’interno dello stesso dominio del VDA.
Quando impostato su Consentito, l’overlay di reindirizzamento del contenuto del browser ottiene un ticket Negotiate utilizzando le credenziali VDA dell’utente. L’utente si autentica quindi al server web con un single sign-on.
Quando impostato su Proibito, l’overlay di reindirizzamento del contenuto del browser non richiede un ticket Negotiate dal VDA. L’utente si autentica a un server web utilizzando un metodo di autenticazione di base. Questo metodo di autenticazione richiede agli utenti di inserire le proprie credenziali VDA ogni volta che accedono al server web.
Per impostazione predefinita, questa impostazione è Proibita.
Impostazione dell’autenticazione del proxy web per il recupero lato server del reindirizzamento del contenuto del browser
Questa impostazione instrada il traffico HTTP originato da un overlay attraverso un proxy web a valle. Il proxy web a valle autorizza e autentica il traffico HTTP utilizzando le credenziali di dominio dell’utente VDA tramite lo schema di autenticazione Negotiate.
È necessario configurare il reindirizzamento del contenuto del browser per la modalità di recupero lato server nel file PAC utilizzando il criterio di configurazione del proxy di reindirizzamento del contenuto del browser. Nello script PAC, fornire istruzioni per instradare il traffico dell’overlay attraverso un proxy web a valle. Quindi configurare il proxy web a valle per autenticare gli utenti VDA tramite lo schema di autenticazione Negotiate.
Quando impostato su Consentito, il proxy web risponde con una challenge 407 Negotiate, includendo un’intestazione Proxy-Authenticate: Negotiate. Il reindirizzamento del contenuto del browser ottiene quindi un ticket di servizio Kerberos utilizzando le credenziali di dominio dell’utente VDA. Inoltre, includere il ticket di servizio nelle richieste successive al proxy web.
Quando impostato su Proibito, il reindirizzamento del contenuto del browser esegue il proxy di tutto il traffico TCP tra l’overlay e il proxy web senza interferire. L’overlay utilizza le credenziali di autenticazione di base o qualsiasi altra credenziale disponibile per autenticarsi al proxy web.
Per impostazione predefinita, questa impostazione è Proibita.
Impostazioni dei criteri di configurazione ACL (Access Control List) del reindirizzamento del contenuto del browser
Utilizzare questa impostazione per configurare un elenco di controllo degli accessi (ACL) di URL che possono utilizzare il reindirizzamento del contenuto del browser o a cui viene negato l’accesso al reindirizzamento del contenuto del browser.
Gli URL autorizzati sono gli URL nell’elenco consentiti il cui contenuto viene reindirizzato al client.
Il carattere jolly * è consentito, ma non è consentito all’interno del protocollo o della parte dell’indirizzo di dominio dell’URL. Tuttavia, a partire da Citrix Virtual Apps and Desktops 7 2206, il carattere jolly * è consentito all’interno della parte dell’indirizzo del sottodominio dell’URL.
Consentito: http://www.xyz.com/index.html, https://www.xyz.com/*, http://www.xyz.com/*videos*, http://*.xyz.com/
Non consentito: http://*.*.com/
È possibile ottenere una granularità migliore specificando i percorsi nell’URL. Ad esempio, se si specifica https://www.xyz.com/sports/index.html, viene reindirizzata solo la pagina index.html.
Per impostazione predefinita, questa impostazione è impostata su https://www.youtube.com/*
Per ulteriori informazioni, consultare l’articolo del Knowledge Center CTX238236.
Nota:
È possibile configurare l’ACL per consentire al BCR di reindirizzare i siti web all’endpoint e i siti di autenticazione possono essere configurati per consentire ai provider di identità (IdP), come Okta e Duo, per l’autenticazione utilizzata sull’URL configurato.
Siti di autenticazione del reindirizzamento del contenuto del browser
Utilizzare questa impostazione per configurare un elenco di URL. I siti reindirizzati utilizzando il reindirizzamento del contenuto del browser utilizzano l’elenco per autenticare un utente. L’impostazione specifica gli URL per i quali il reindirizzamento del contenuto del browser rimane attivo (reindirizzato) quando si naviga lontano da un URL nell’elenco consentiti.
Uno scenario classico è un sito web che si basa su un provider di identità (IdP) per l’autenticazione. Ad esempio, un sito web www.xyz.com deve essere reindirizzato all’endpoint, ma un IdP di terze parti, come Okta (www.xyz.okta.com), gestisce la parte di autenticazione. L’amministratore utilizza il criterio di configurazione ACL del reindirizzamento del contenuto del browser per aggiungere www.xyz.com all’elenco consentiti. Quindi utilizza i siti di autenticazione del reindirizzamento del contenuto del browser per aggiungere www.xyz.okta.com all’elenco consentiti.
Per ulteriori informazioni, consultare l’articolo del Knowledge Center CTX238236.
Impostazione dell’elenco bloccati del reindirizzamento del contenuto del browser
Questa impostazione funziona insieme all’impostazione di configurazione ACL del reindirizzamento del contenuto del browser. Si consideri che gli URL sono presenti nell’impostazione di configurazione ACL del reindirizzamento del contenuto del browser e nell’impostazione di configurazione dell’elenco bloccati. In questo caso, la configurazione dell’elenco bloccati ha la precedenza e il contenuto del browser dell’URL non viene reindirizzato.
URL non autorizzati: Specifica gli URL nell’elenco bloccati il cui contenuto del browser non viene reindirizzato al client, ma renderizzato sul server.
Il carattere jolly * è consentito, ma non è consentito all’interno del protocollo o della parte dell’indirizzo di dominio dell’URL.
Consentito: http://www.xyz.com/index.html, https://www.xyz.com/*, http://www.xyz.com/*videos*
Non consentito: http://*.xyz.com/
È possibile ottenere una granularità migliore specificando i percorsi nell’URL. Ad esempio, se si specifica https://www.xyz.com/sports/index.html, solo index.html è nell’elenco bloccati.
Impostazione del proxy di reindirizzamento del contenuto del browser
Questa impostazione fornisce opzioni di configurazione per le impostazioni del proxy sul VDA per il reindirizzamento del contenuto del browser. Se abilitata con un indirizzo proxy e un numero di porta validi, un URL PAC/WPAD o un’impostazione Diretta/Trasparente, l’app Citrix Workspace tenta solo il recupero lato server e il rendering lato client.
Se disabilitata o non configurata e si utilizza un valore predefinito, l’app Citrix Workspace tenta il recupero lato client e il rendering lato client.
Per impostazione predefinita, questa impostazione è Proibita.
Pattern consentito per un proxy esplicito:
http://\<nomehost/indirizzo IP\>:\<porta\>
Esempio:
http://proxy.example.citrix.com:80
http://10.10.10.10:8080
Pattern consentiti per i file PAC/WPAD:
http://<nomehost/indirizzo IP>:<porta>/<percorso>/<Proxy.pac>
Esempio: http://wpad.myproxy.com:30/configuration/pac/Proxy.pac
https://<nomehost/indirizzo IP>:<porta>/<percorso>/<wpad.dat>
Esempio: http://10.10.10.10/configuration/pac/wpad.dat
Pattern consentiti per proxy diretti o trasparenti:
Digitare la parola DIRECT nella casella di testo del criterio.
Override delle chiavi di registro del reindirizzamento del contenuto del browser
Avvertenza:
La modifica errata del registro può causare seri problemi che potrebbero richiedere la reinstallazione del sistema operativo. Citrix® non può garantire che i problemi derivanti dall’uso errato dell’Editor del Registro di sistema possano essere risolti. Utilizzare l’Editor del Registro di sistema a proprio rischio. Assicurarsi di eseguire il backup del registro prima di modificarlo.
Le opzioni di override del registro per le impostazioni dei criteri:
\HKEY_LOCAL_MACHINE\SOFTWARE\Citrix\HdxMediastream
| Nome | Tipo | Valore |
|---|---|---|
| WebBrowserRedirection | DWORD | 1=Consentito, 0=Proibito |
| WebBrowserRedirectionAcl | REG_MULTI_SZ | |
| WebBrowserRedirectionAuthenticationSites | REG_MULTI_SZ | |
| WebBrowserRedirectionProxyAddress | REG_SZ |
http://myproxy.citrix.com:8080 o http://10.10.10.10:8888
|
| WebBrowserRedirectionBlacklist | REG_MULTI_SZ |
Inserimento di HDXVideo.js per il reindirizzamento del contenuto del browser
HdxVideo.js viene iniettato nella pagina web utilizzando l’estensione Chrome per il reindirizzamento del contenuto del browser o il Browser Helper Object (BHO) di Internet Explorer. Il BHO è un modello di plug-in per Internet Explorer. Fornisce hook per le API del browser e consente al plug-in di accedere al Document Object Model (DOM) della pagina per controllare la navigazione.
Il BHO decide se iniettare HdxVideo.js su una data pagina. La decisione si basa sui criteri amministrativi mostrati nel diagramma di flusso precedente.
Dopo aver deciso di iniettare il JavaScript e reindirizzare il contenuto del browser al client, la pagina web è vuota nel browser Internet Explorer sul VDA. L’impostazione di document.body.innerHTML su vuoto rimuove l’intero corpo della pagina web sul VDA. La pagina è pronta per essere inviata al client per essere visualizzata nel browser overlay (Hdxbrowser.exe) sul client.
In questo articolo
- TLS e reindirizzamento del contenuto del browser
- Reindirizzamento del contenuto del browser
- Impostazione del supporto dell’autenticazione integrata di Windows per il reindirizzamento del contenuto del browser
- Impostazione dell’autenticazione del proxy web per il recupero lato server del reindirizzamento del contenuto del browser
- Impostazioni dei criteri di configurazione ACL (Access Control List) del reindirizzamento del contenuto del browser
- Siti di autenticazione del reindirizzamento del contenuto del browser
- Impostazione dell’elenco bloccati del reindirizzamento del contenuto del browser
- Impostazione del proxy di reindirizzamento del contenuto del browser
- Override delle chiavi di registro del reindirizzamento del contenuto del browser
- Inserimento di HDXVideo.js per il reindirizzamento del contenuto del browser