ブラウザコンテンツリダイレクトポリシー設定
ブラウザコンテンツリダイレクトセクションには、この機能を構成するためのポリシー設定が含まれています。
ブラウザコンテンツリダイレクトは、Citrix Virtual Apps and Desktops™ があらゆるWebブラウザコンテンツ(HTML5など)をユーザーに配信する方法を制御し、最適化します。コンテンツが表示されるブラウザの可視領域のみがリダイレクトされます。
HTML5ビデオのリダイレクトとブラウザコンテンツのリダイレクトは独立した機能です。この機能が動作するためにHTML5ビデオのリダイレクトポリシーは必要ありません。ただし、Citrix HDX HTML5ビデオのリダイレクトサービスはブラウザコンテンツのリダイレクトに使用されます。詳細については、「ブラウザコンテンツリダイレクト」を参照してください。
ポリシー設定:
Citrix Studioのブラウザコンテンツリダイレクト機能には、以下のポリシー設定が利用可能です。これらのポリシーはVDA上のレジストリキーで上書きできますが、レジストリキーはオプションです。
TLSとブラウザコンテンツリダイレクト
ブラウザコンテンツリダイレクトを使用してHTTPS Webサイトをリダイレクトできます。これらのWebサイトに挿入されるJavaScriptは、VDA上で実行されているCitrix HDX HTML5ビデオのリダイレクトサービス(WebSocketService.exe)へのTLS接続を確立する必要があります。このリダイレクトを実現し、WebページのTLS整合性を維持するために、Citrix HDX HTML5ビデオのリダイレクトサービスはVDA上の証明書ストアに2つのカスタム証明書を生成します。
HdxVideo.jsは、セキュアなWebソケットを使用して、VDA上で実行されているWebSocketService.exeと通信します。このプロセスはローカルシステムで実行され、SSL終端とユーザーセッションマッピングを実行します。
WebSocketService.exeは127.0.0.1のポート9001でリッスンしています。
ブラウザコンテンツリダイレクト
デフォルトでは、Citrix Workspace™ アプリはクライアントフェッチとクライアントレンダリングを試行します。クライアントフェッチとクライアントレンダリングが失敗した場合、サーバー側レンダリングが試行されます。ブラウザコンテンツリダイレクトプロキシ構成ポリシーも有効にすると、Citrix Workspaceアプリはサーバーフェッチとクライアントレンダリングのみを試行します。
デフォルトでは、この設定は「許可」です。
ブラウザコンテンツリダイレクト統合Windows認証サポート設定
ブラウザコンテンツリダイレクトは、認証にNegotiateスキームを使用するオーバーレイを有効にします。この機能強化により、VDAと同じドメイン内で統合Windows認証 (IWA) が構成されたWebサーバーへのシングルサインオンが提供されます。
許可に設定すると、ブラウザコンテンツリダイレクトオーバーレイは、ユーザーのVDA資格情報を使用してNegotiateチケットを取得します。その後、ユーザーはシングルサインオンでWebサーバーに認証されます。
禁止に設定すると、ブラウザコンテンツリダイレクトオーバーレイは、VDAからNegotiateチケットを要求しません。ユーザーは基本認証方法を使用してWebサーバーに認証します。この認証方法では、ユーザーがWebサーバーにアクセスするたびにVDA資格情報を入力する必要があります。
デフォルトでは、この設定は禁止されています。
ブラウザコンテンツリダイレクトのサーバーフェッチWebプロキシ認証設定
この設定は、オーバーレイで発生するHTTPトラフィックをダウンストリームWebプロキシ経由でルーティングします。ダウンストリームWebプロキシは、Negotiate認証スキームを介してVDAユーザーのドメイン資格情報を使用してHTTPトラフィックを承認および認証します。
ブラウザコンテンツリダイレクトプロキシ構成ポリシーを使用して、PACファイルでサーバーフェッチモードのブラウザコンテンツリダイレクトを構成する必要があります。PACスクリプトで、オーバーレイのトラフィックをダウンストリームWebプロキシ経由でルーティングする手順を指定します。その後、ダウンストリームWebプロキシを構成して、Negotiate認証スキームを介してVDAユーザーを認証します。
許可に設定すると、Webプロキシは、Proxy-Authenticate: Negotiateヘッダーを含む407 Negotiateチャレンジで応答します。その後、ブラウザコンテンツリダイレクトは、VDAユーザーのドメイン資格情報を使用してKerberosサービスチケットを取得します。また、その後のWebプロキシへの要求にサービスチケットを含めます。
禁止に設定すると、ブラウザコンテンツリダイレクトは、オーバーレイとWebプロキシ間のすべてのTCPトラフィックを干渉することなくプロキシします。オーバーレイは、基本認証資格情報またはその他の利用可能な資格情報を使用してWebプロキシに認証します。
デフォルトでは、この設定は禁止されています。
ブラウザコンテンツリダイレクトのアクセス制御リスト (ACL) ポリシー設定
この設定を使用して、ブラウザコンテンツリダイレクトを使用できるURL、またはブラウザコンテンツリダイレクトへのアクセスが拒否されるURLのアクセス制御リスト (ACL) を構成します。
承認されたURLとは、コンテンツがクライアントにリダイレクトされる許可リスト内のURLです。
ワイルドカード * は許可されていますが、URLのプロトコルまたはドメインアドレス部分内では許可されていません。
許可: http://www.xyz.com/index.html、https://www.xyz.com/*、http://www.xyz.com/*videos*
許可されていません: http://*.xyz.com/
URLでパスを指定することで、より詳細な粒度を実現できます。たとえば、https://www.xyz.com/sports/index.html を指定した場合、index.html ページのみがリダイレクトされます。
デフォルトでは、この設定は https://www.youtube.com/* に設定されています。
詳細については、Knowledge Center の記事 CTX238236 を参照してください。
ブラウザコンテンツリダイレクト認証サイト
この設定を使用して、URL のリストを構成します。ブラウザコンテンツリダイレクトを使用してリダイレクトされたサイトは、このリストを使用してユーザーを認証します。この設定は、許可リスト内の URL から移動した場合に、ブラウザコンテンツリダイレクトがアクティブ(リダイレクトされた状態)のままになる URL を指定します。
典型的なシナリオは、認証に ID プロバイダー (IdP) を利用する Web サイトです。たとえば、Web サイト www.xyz.com はエンドポイントにリダイレクトされる必要がありますが、Okta (www.xyz.okta.com) のようなサードパーティ IdP が認証部分を処理します。管理者は、ブラウザコンテンツリダイレクト ACL 構成ポリシーを使用して、www.xyz.com を許可リストに追加します。その後、ブラウザコンテンツリダイレクト認証サイトを使用して、www.xyz.okta.com を許可リストに追加します。
詳細については、Knowledge Center の記事 CTX238236 を参照してください。
ブラウザコンテンツリダイレクトブロックリスト設定
この設定は、ブラウザコンテンツリダイレクト ACL 構成設定と連携して機能します。ブラウザコンテンツリダイレクト ACL 構成設定とブロックリスト構成設定の両方に URL が存在する場合を考えます。この場合、ブロックリスト構成が優先され、URL のブラウザコンテンツはリダイレクトされません。
未承認の URL: クライアントにリダイレクトされず、サーバーでレンダリングされる、ブロックリスト内の URL を指定します。
ワイルドカード * は許可されていますが、URL のプロトコルまたはドメインアドレス部分内では許可されていません。
許可: http://www.xyz.com/index.html, https://www.xyz.com/*, http://www.xyz.com/*videos*
許可されていません: http://*.xyz.com/
URLでパスを指定することで、より詳細な粒度を実現できます。たとえば、https://www.xyz.com/sports/index.html を指定した場合、index.html のみがブロックリストに含まれます。
ブラウザコンテンツリダイレクトプロキシ設定
この設定は、ブラウザコンテンツリダイレクト用のVDA上のプロキシ設定の構成オプションを提供します。有効なプロキシアドレスとポート番号、PAC/WPAD URL、またはDirect/Transparent設定で有効になっている場合、Citrix Workspaceアプリはサーバーフェッチとクライアントレンダリングのみを試行します。
無効になっているか、構成されておらず、デフォルト値を使用している場合、Citrix Workspaceアプリはクライアントフェッチとクライアントレンダリングを試行します。
デフォルトでは、この設定は禁止されています。
明示的なプロキシに許可されるパターン:
http://\<hostname/ip address\>:\<port\>
例:
http://proxy.example.citrix.com:80
http://10.10.10.10:8080
PAC/WPADファイルに許可されるパターン:
http://<hostname/ip address>:<port>/<path>/<Proxy.pac>
例: http://wpad.myproxy.com:30/configuration/pac/Proxy.pac
https://<hostname/ip address>:<port>/<path>/<wpad.dat>
例: http://10.10.10.10/configuration/pac/wpad.dat
直接または透過プロキシに許可されるパターン:
ポリシーテキストボックスにDIRECTと入力します。
ブラウザコンテンツリダイレクトのレジストリキーのオーバーライド
警告:
レジストリを誤って編集すると、オペレーティングシステムの再インストールが必要になるような深刻な問題が発生する可能性があります。レジストリエディターの誤った使用によって生じた問題が解決されることを、Citrixは保証できません。レジストリエディターの使用は、お客様ご自身の責任において行ってください。編集する前に、必ずレジストリをバックアップしてください。
ポリシー設定のレジストリのオーバーライドオプション:
\HKEY_LOCAL_MACHINE\SOFTWARE\Citrix\HdxMediastream
| 名前 | 種類 | 値 |
|---|---|---|
| ウェブブラウザリダイレクション | ディーワード | 1=許可, 0=禁止 |
| ウェブブラウザリダイレクションエーシーエル | レグマルチエスゼット | |
| ウェブブラウザリダイレクション認証サイト | レグマルチエスゼット | |
| ウェブブラウザリダイレクションプロキシアドレス | REG_SZ |
http://myproxy.citrix.com:8080 または http://10.10.10.10:8888
|
| ウェブブラウザリダイレクションブラックリスト | レグ_マルチ_SZ |
ブラウザコンテンツリダイレクトのためのHDXVideo.jsの挿入
HdxVideo.jsは、ブラウザコンテンツリダイレクトChrome拡張機能またはInternet Explorer Browser Helper Object (BHO) を使用してウェブページに挿入されます。BHOはInternet Explorer用のプラグインモデルです。ブラウザAPIのフックを提供し、プラグインがページのDocument Object Model (DOM) にアクセスしてナビゲーションを制御できるようにします。
BHOは、特定のページにHdxVideo.jsを挿入するかどうかを決定します。この決定は、前のフローチャートに示されている管理ポリシーに基づいています。
JavaScriptを挿入し、ブラウザコンテンツをクライアントにリダイレクトすることを決定した後、VDA上のInternet Explorerブラウザではウェブページが空白になります。document.body.innerHTMLを空に設定すると、VDA上のウェブページ全体の本文が削除されます。ページは、クライアント上のオーバーレイブラウザ (Hdxbrowser.exe) に表示するためにクライアントに送信される準備ができています。