ブラウザコンテンツリダイレクトポリシー設定
ブラウザコンテンツリダイレクトセクションには、この機能を構成するためのポリシー設定が含まれています。
ブラウザコンテンツリダイレクトは、Citrix Virtual Apps and Desktops™が任意のWebブラウザコンテンツ(例: HTML5)をユーザーに配信する方法を制御および最適化します。コンテンツが表示されるブラウザの可視領域のみがリダイレクトされます。
HTML5ビデオリダイレクトとブラウザコンテンツリダイレクトは独立した機能です。この機能が動作するためにHTML5ビデオリダイレクトポリシーは必要ありません。ただし、Citrix HDX HTML5ビデオリダイレクトサービスはブラウザコンテンツリダイレクトに使用されます。詳細については、ブラウザコンテンツリダイレクトを参照してください。
注:
Web Studioで利用可能なポリシー設定は、VDA上のレジストリキーで上書きできますが、レジストリキーはオプションです。
TLSとブラウザコンテンツリダイレクト
ブラウザコンテンツリダイレクトを使用してHTTPS Webサイトをリダイレクトできます。それらのWebサイトに挿入されたJavaScriptは、VDAで実行されているCitrix HDX HTML5ビデオリダイレクトサービス(WebSocketService.exe)へのTLS接続を確立する必要があります。このリダイレクトを実現し、WebページのTLS整合性を維持するために、Citrix HDX HTML5ビデオリダイレクトサービスは、VDA上の証明書ストアに2つのカスタム証明書を生成します。
HdxVideo.jsは、セキュアWebソケットを使用して、VDAで実行されているWebSocketService.exeと通信します。このプロセスはローカルシステムで実行され、SSL終端とユーザーセッションマッピングを実行します。
WebSocketService.exeは127.0.0.1ポート9001でリッスンしています。
ブラウザコンテンツリダイレクト
デフォルトでは、Citrix Workspace™アプリはクライアントフェッチとクライアントレンダリングを試行します。クライアントフェッチとクライアントレンダリングが失敗した場合、サーバー側レンダリングが試行されます。ブラウザコンテンツリダイレクトプロキシ構成ポリシーも有効にすると、Citrix Workspaceアプリはサーバーフェッチとクライアントレンダリングのみを試行します。
デフォルトでは、この設定は許可されています。
ブラウザコンテンツリダイレクト統合Windows認証サポート設定
ブラウザコンテンツリダイレクトは、認証にNegotiateスキームを使用するオーバーレイを有効にします。この機能強化により、VDAと同じドメイン内で統合Windows認証(IWA)が構成されたWebサーバーへのシングルサインオンが提供されます。
「Allowed」に設定すると、ブラウザコンテンツリダイレクトオーバーレイは、ユーザーのVDA資格情報を使用してNegotiateチケットを取得します。その後、ユーザーはシングルサインオンでWebサーバーに認証します。
「Prohibited」に設定すると、ブラウザコンテンツリダイレクトオーバーレイはVDAからNegotiateチケットを要求しません。ユーザーは基本認証方法を使用してWebサーバーに認証します。この認証方法では、ユーザーがWebサーバーにアクセスするたびにVDA資格情報を入力する必要があります。
デフォルトでは、この設定は「Prohibited」です。
ブラウザコンテンツリダイレクトサーバーフェッチWebプロキシ認証設定
この設定は、オーバーレイで発生するHTTPトラフィックをダウンストリームWebプロキシ経由でルーティングします。ダウンストリームWebプロキシは、Negotiate認証スキームを介して、VDAユーザーのドメイン資格情報を使用してHTTPトラフィックを承認および認証します。
PACファイルで、ブラウザコンテンツリダイレクトプロキシ構成ポリシーを使用して、サーバーフェッチモードのブラウザコンテンツリダイレクトを構成する必要があります。PACスクリプトで、オーバーレイトラフィックをダウンストリームWebプロキシ経由でルーティングする手順を指定します。次に、ダウンストリームWebプロキシを構成して、Negotiate認証スキームを介してVDAユーザーを認証します。
「Allowed」に設定すると、Webプロキシは「Proxy-Authenticate: Negotiate」ヘッダーを含む407 Negotiateチャレンジで応答します。その後、ブラウザコンテンツリダイレクトは、VDAユーザーのドメイン資格情報を使用してKerberosサービスチケットを取得します。また、その後のWebプロキシへの要求にはサービスチケットを含めます。
「Prohibited」に設定すると、ブラウザコンテンツリダイレクトは、オーバーレイとWebプロキシ間のすべてのTCPトラフィックを干渉することなくプロキシします。オーバーレイは、基本認証資格情報またはその他の利用可能な資格情報を使用してWebプロキシに認証します。
デフォルトでは、この設定は「Prohibited」です。
ブラウザコンテンツリダイレクトアクセス制御リスト(ACL)ポリシー設定
この設定を使用して、ブラウザコンテンツリダイレクトを使用できる、またはブラウザコンテンツリダイレクトへのアクセスが拒否されるURLのアクセス制御リスト(ACL)を構成します。
承認されたURLとは、コンテンツがクライアントにリダイレクトされる許可リスト内のURLです。
ワイルドカード*は許可されていますが、URLのプロトコルまたはドメインアドレス部分内では許可されていません。ただし、Citrix Virtual Apps and Desktops 7 2206以降、ワイルドカード*はURLのサブドメインアドレス部分内で許可されています。
許可されている設定: http://www.xyz.com/index.html、https://www.xyz.com/*、http://www.xyz.com/*videos*、http://*.xyz.com/
不許可: http://*.*.com/
URLでパスを指定することで、よりきめ細かな設定が可能です。たとえば、https://www.xyz.com/sports/index.htmlを指定した場合、index.htmlページのみがリダイレクトされます。
デフォルトでは、この設定はhttps://www.youtube.com/*に設定されています。
詳しくは、Knowledge Centerの記事CTX238236を参照してください。
ブラウザーコンテンツリダイレクト認証サイト
この設定を使用して、URLのリストを構成します。ブラウザーコンテンツリダイレクトを使用してリダイレクトされたサイトは、このリストを使用してユーザーを認証します。この設定は、許可リスト内のURLから移動した場合でも、ブラウザーコンテンツリダイレクトがアクティブ(リダイレクトされた状態)のままになるURLを指定します。
典型的なシナリオは、認証にIDプロバイダー(IdP)に依存するWebサイトです。たとえば、Webサイトwww.xyz.comはエンドポイントにリダイレクトされる必要がありますが、Okta (www.xyz.okta.com)のようなサードパーティのIdPが認証部分を処理します。管理者は、ブラウザーコンテンツリダイレクトACL構成ポリシーを使用してwww.xyz.comを許可リストに追加します。次に、ブラウザーコンテンツリダイレクト認証サイトを使用してwww.xyz.okta.comを許可リストに追加します。
詳しくは、Knowledge Centerの記事CTX238236を参照してください。
ブラウザーコンテンツリダイレクトブロックリスト設定
この設定は、ブラウザーコンテンツリダイレクトACL構成設定と連携して機能します。ブラウザーコンテンツリダイレクトACL構成設定とブロックリスト構成設定の両方にURLが存在する場合、ブロックリスト構成が優先され、URLのブラウザーコンテンツはリダイレクトされません。
承認されていないURL: ブロックリスト内のURLのうち、ブラウザーコンテンツがクライアントにリダイレクトされず、サーバーでレンダリングされるURLを指定します。
ワイルドカード「*」は許可されていますが、プロトコルまたはURLのドメインアドレス部分内では許可されていません。
許可されるもの: http://www.xyz.com/index.html, https://www.xyz.com/*, http://www.xyz.com/*videos*
許可されないもの: http://*.xyz.com/
URLでパスを指定することで、よりきめ細かな設定が可能です。たとえば、https://www.xyz.com/sports/index.htmlを指定した場合、index.htmlのみがブロックリストに含まれます。
ブラウザーコンテンツリダイレクトプロキシ設定
この設定は、ブラウザコンテンツリダイレクト用のVDA上のプロキシ設定の構成オプションを提供します。有効なプロキシアドレスとポート番号、PAC / WPAD URL、またはDirect/Transparent設定で有効になっている場合、Citrix Workspaceアプリはサーバーフェッチとクライアントレンダリングのみを試行します。
無効になっているか、構成されておらず、デフォルト値を使用している場合、Citrix Workspaceアプリはクライアントフェッチとクライアントレンダリングを試行します。
デフォルトでは、この設定は禁止されています。
明示的なプロキシの許可パターン:
http://\<hostname/ip address\>:\<port\>
例:
http://proxy.example.citrix.com:80
http://10.10.10.10:8080
PAC/WPADファイルの許可パターン:
http://<hostname/ip address>:<port>/<path>/<Proxy.pac>
例: http://wpad.myproxy.com:30/configuration/pac/Proxy.pac
https://<hostname/ip address>:<port>/<path>/<wpad.dat>
例: http://10.10.10.10/configuration/pac/wpad.dat
直接または透過プロキシの許可パターン:
ポリシーテキストボックスに「DIRECT」と入力します。
ブラウザコンテンツリダイレクトのレジストリキーのオーバーライド
警告:
レジストリを誤って編集すると、オペレーティングシステムの再インストールが必要になるような深刻な問題が発生する可能性があります。Citrix®は、レジストリエディターの誤った使用によって生じる問題が解決されることを保証できません。レジストリエディターの使用は、お客様ご自身の責任において行ってください。編集する前に、必ずレジストリをバックアップしてください。
ポリシー設定のレジストリ上書きオプション:
\HKEY_LOCAL_MACHINE\SOFTWARE\Citrix\HdxMediastream
| 名前 | 種類 | 値 |
|---|---|---|
| ウェブブラウザリダイレクション | ディーワード | 1=許可、0=禁止 |
| ウェブブラウザリダイレクションエーシーエル | レグマルチエスゼット | |
| ウェブブラウザリダイレクション認証サイト | レグマルチエスゼット | |
| ウェブブラウザリダイレクションプロキシアドレス | レグ_エスゼット |
http://myproxy.citrix.com:8080 または http://10.10.10.10:8888
|
| ウェブブラウザリダイレクションブラックリスト | レグ・マルチ・エスゼット |
ブラウザコンテンツリダイレクトでのHDXVideo.jsの挿入
HdxVideo.jsは、ブラウザコンテンツリダイレクトChrome拡張機能またはInternet Explorerブラウザヘルパーオブジェクト (BHO) を使用して、Webページに挿入されます。BHOはInternet Explorer用のプラグインモデルです。ブラウザAPIのフックを提供し、プラグインがページのドキュメントオブジェクトモデル (DOM) にアクセスしてナビゲーションを制御できるようにします。
BHOは、特定のページにHdxVideo.jsを挿入するかどうかを決定します。この決定は、前のフローチャートに示されている管理ポリシーに基づいています。
JavaScriptを挿入し、ブラウザコンテンツをクライアントにリダイレクトすることを決定した後、VDA上のInternet ExplorerブラウザではWebページが空白になります。document.body.innerHTMLを空に設定すると、VDA上のWebページの本文全体が削除されます。ページはクライアントに送信される準備ができており、クライアント上のオーバーレイブラウザ (Hdxbrowser.exe) に表示されます。