ブラウザコンテンツリダイレクトポリシー設定
ブラウザコンテンツリダイレクトセクションには、この機能を構成するためのポリシー設定が含まれています。
ブラウザコンテンツリダイレクトは、Citrix Virtual Apps and Desktops™が任意のWebブラウザコンテンツ(HTML5など)をユーザーに配信する方法を制御し、最適化します。コンテンツが表示されるブラウザの可視領域のみがリダイレクトされます。
HTML5ビデオのリダイレクトとブラウザコンテンツのリダイレクトは独立した機能です。この機能が動作するためにHTML5ビデオのリダイレクトポリシーは必要ありません。ただし、Citrix HDX HTML5ビデオのリダイレクトサービスはブラウザコンテンツのリダイレクトに使用されます。詳細については、ブラウザコンテンツリダイレクトを参照してください。
注:
Web Studioで利用可能なポリシー設定は、VDA上のレジストリキーで上書きできますが、レジストリキーはオプションです。
TLSとブラウザコンテンツリダイレクト
ブラウザコンテンツリダイレクトを使用してHTTPSウェブサイトをリダイレクトできます。これらのウェブサイトに挿入されるJavaScriptは、VDA上で実行されているCitrix HDX HTML5ビデオのリダイレクトサービス(WebSocketService.exe)へのTLS接続を確立する必要があります。このリダイレクトを実現し、ウェブページのTLS整合性を維持するために、Citrix HDX HTML5ビデオのリダイレクトサービスはVDA上の証明書ストアに2つのカスタム証明書を生成します。
HdxVideo.jsは、セキュアWebソケットを使用して、VDA上で実行されているWebSocketService.exeと通信します。このプロセスはローカルシステムで実行され、SSL終端とユーザーセッションマッピングを実行します。
WebSocketService.exeは127.0.0.1のポート9001でリッスンしています。
ブラウザコンテンツリダイレクト
デフォルトでは、Citrix Workspace™アプリはクライアントフェッチとクライアントレンダリングを試行します。クライアントフェッチとクライアントレンダリングが失敗した場合、サーバーサイドレンダリングが試行されます。ブラウザコンテンツリダイレクトプロキシ構成ポリシーも有効にすると、Citrix Workspaceアプリはサーバーフェッチとクライアントレンダリングのみを試行します。
デフォルトでは、この設定は許可されています。
ブラウザコンテンツリダイレクト統合Windows認証サポート設定
ブラウザコンテンツリダイレクトは、認証にNegotiateスキームを使用するオーバーレイを有効にします。この機能強化により、VDAと同じドメイン内で統合Windows認証(IWA)が構成されたWebサーバーへのシングルサインオンが提供されます。
Allowed に設定すると、ブラウザコンテンツリダイレクトオーバーレイは、ユーザーの VDA 資格情報を使用して Negotiate チケットを取得します。その後、ユーザーはシングルサインオンで Web サーバーに対して認証を行います。
Prohibited に設定すると、ブラウザコンテンツリダイレクトオーバーレイは VDA から Negotiate チケットを要求しません。ユーザーは基本認証方法を使用して Web サーバーに対して認証を行います。この認証方法では、ユーザーは Web サーバーにアクセスするたびに VDA 資格情報を入力する必要があります。
デフォルトでは、この設定は Prohibited です。
ブラウザコンテンツリダイレクトサーバーフェッチ Web プロキシ認証設定
この設定は、オーバーレイで発生する HTTP トラフィックをダウンストリーム Web プロキシ経由でルーティングします。ダウンストリーム Web プロキシは、Negotiate 認証スキームを介して VDA ユーザーのドメイン資格情報を使用して HTTP トラフィックを承認および認証します。
ブラウザコンテンツリダイレクトプロキシ構成ポリシーを使用して、PAC ファイルでサーバーフェッチモードのブラウザコンテンツリダイレクトを構成する必要があります。PAC スクリプトで、オーバーレイトラフィックをダウンストリーム Web プロキシ経由でルーティングする手順を指定します。次に、Negotiate 認証スキームを介して VDA ユーザーを認証するようにダウンストリーム Web プロキシを構成します。
Allowed に設定すると、Web プロキシは「Proxy-Authenticate: Negotiate」ヘッダーを含む 407 Negotiate チャレンジで応答します。ブラウザコンテンツリダイレクトは、VDA ユーザーのドメイン資格情報を使用して Kerberos サービスチケットを取得します。また、その後の Web プロキシへの要求にはサービスチケットを含めます。
Prohibited に設定すると、ブラウザコンテンツリダイレクトは、オーバーレイと Web プロキシ間のすべての TCP トラフィックを干渉することなくプロキシします。オーバーレイは、基本認証資格情報またはその他の利用可能な資格情報を使用して Web プロキシに対して認証を行います。
デフォルトでは、この設定は Prohibited です。
ブラウザコンテンツリダイレクト ACL (アクセス制御リスト) 構成ポリシー設定
この設定を使用して、ブラウザコンテンツリダイレクトを使用できる、またはブラウザコンテンツリダイレクトへのアクセスが拒否される URL のアクセス制御リスト (ACL) を構成します。
承認済み URL は、コンテンツがクライアントにリダイレクトされる許可リスト内の URL です。
ワイルドカード * は許可されていますが、プロトコルまたは URL のドメインアドレス部分内では許可されていません。ただし、Citrix Virtual Apps and Desktops 7 2206 以降、ワイルドカード * は URL のサブドメインアドレス部分内で許可されています。
許可されるもの: http://www.xyz.com/index.html, https://www.xyz.com/*, http://www.xyz.com/*videos*, http://*.xyz.com/
許可されないもの: http://*.*.com/
URLにパスを指定することで、より詳細な粒度を実現できます。例えば、https://www.xyz.com/sports/index.htmlを指定した場合、index.htmlページのみがリダイレクトされます。
デフォルトでは、この設定はhttps://www.youtube.com/*に設定されています。
詳細については、Knowledge Centerの記事CTX238236を参照してください。
注:
ACLを構成して、BCRがWebサイトをエンドポイントにリダイレクトできるようにし、認証サイトを構成して、構成されたURLで使用される認証のためにOktaやDuoなどのIDプロバイダー(IdP)を許可できます。
ブラウザコンテンツリダイレクト認証サイト
この設定を使用して、URLのリストを構成します。ブラウザコンテンツリダイレクトを使用してリダイレクトされたサイトは、このリストを使用してユーザーを認証します。この設定は、許可リスト内のURLから移動した場合でも、ブラウザコンテンツリダイレクトがアクティブ(リダイレクトされた状態)のままになるURLを指定します。
典型的なシナリオは、認証にIDプロバイダー(IdP)に依存するWebサイトです。例えば、Webサイトwww.xyz.comはエンドポイントにリダイレクトされる必要がありますが、Okta (www.xyz.okta.com) のようなサードパーティのIdPが認証部分を処理します。管理者はブラウザコンテンツリダイレクトACL構成ポリシーを使用してwww.xyz.comを許可リストに追加します。次に、ブラウザコンテンツリダイレクト認証サイトを使用してwww.xyz.okta.comを許可リストに追加します。
詳細については、Knowledge Centerの記事CTX238236を参照してください。
ブラウザコンテンツリダイレクトブロックリスト設定
この設定は、ブラウザコンテンツリダイレクトACL構成設定と連携して機能します。ブラウザコンテンツリダイレクトACL構成設定とブロックリスト構成設定の両方にURLが存在する場合、ブロックリスト構成が優先され、URLのブラウザコンテンツはリダイレクトされません。
許可されていないURL: ブロックリスト内のURLのうち、ブラウザコンテンツがクライアントにリダイレクトされず、サーバー上でレンダリングされるURLを指定します。
ワイルドカード「*」は許可されていますが、プロトコルまたはURLのドメインアドレス部分内では許可されていません。
許可される例: http://www.xyz.com/index.html, https://www.xyz.com/*, http://www.xyz.com/*videos*
許可されない例: http://*.xyz.com/
URLでパスを指定することで、より詳細な粒度を実現できます。たとえば、https://www.xyz.com/sports/index.html を指定した場合、index.html のみがブロックリストに含まれます。
ブラウザコンテンツリダイレクトプロキシ設定
この設定は、ブラウザコンテンツリダイレクト用のVDA上のプロキシ設定の構成オプションを提供します。有効なプロキシアドレスとポート番号、PAC/WPAD URL、または直接/透過設定で有効になっている場合、Citrix Workspaceアプリはサーバーフェッチとクライアントレンダリングのみを試行します。
無効になっているか、構成されておらず、デフォルト値を使用している場合、Citrix Workspaceアプリはクライアントフェッチとクライアントレンダリングを試行します。
デフォルトでは、この設定は禁止されています。
明示的なプロキシで許可されるパターン:
http://\<hostname/ip address\>:\<port\>
例:
http://proxy.example.citrix.com:80
http://10.10.10.10:8080
PAC/WPADファイルで許可されるパターン:
http://<hostname/ip address>:<port>/<path>/<Proxy.pac>
例: http://wpad.myproxy.com:30/configuration/pac/Proxy.pac
https://<hostname/ip address>:<port>/<path>/<wpad.dat>
例: http://10.10.10.10/configuration/pac/wpad.dat
直接または透過プロキシで許可されるパターン:
ポリシーテキストボックスに「DIRECT」と入力します。
ブラウザコンテンツリダイレクトのレジストリキーのオーバーライド
警告:
レジストリを誤って編集すると、オペレーティングシステムの再インストールが必要になるような深刻な問題が発生する可能性があります。Citrix®は、レジストリエディタの誤った使用によって生じる問題が解決できることを保証できません。レジストリエディタの使用は、お客様ご自身の責任において行ってください。編集する前に必ずレジストリをバックアップしてください。
ポリシー設定のレジストリオーバーライドオプション:
\HKEY_LOCAL_MACHINE\SOFTWARE\Citrix\HdxMediastream
| 名前 | 種類 | 値 |
|---|---|---|
| WebBrowserRedirection | DWORD | 1=許可, 0=禁止 |
| ウェブブラウザリダイレクションACL | レグ_マルチ_エスゼット | |
| Webブラウザリダイレクション認証サイト | レグ・マルチ・エス・ゼット | |
| ウェブブラウザリダイレクションプロキシアドレス | レグ_エスゼット |
http://myproxy.citrix.com:8080 または http://10.10.10.10:8888
|
| ウェブブラウザリダイレクトブラックリスト | REG_MULTI_SZ |
ブラウザコンテンツリダイレクトポリシーACL設定の編集(/ja-jp/citrix-virtual-apps-desktops/2402-ltsr/media/bcr_policy_acl.png)
ブラウザコンテンツリダイレクトのためのHDXVideo.jsの挿入
ブラウザコンテンツリダイレクトの画像(/ja-jp/citrix-virtual-apps-desktops/2402-ltsr/media/browsercontentredirectionflowchart-blacklist.png)
HdxVideo.jsは、ブラウザコンテンツリダイレクトChrome拡張機能またはInternet Explorer Browser Helper Object (BHO)を使用してウェブページに挿入されます。BHOはInternet Explorer用のプラグインモデルです。ブラウザAPIのフックを提供し、プラグインがページのDocument Object Model (DOM)にアクセスしてナビゲーションを制御できるようにします。
BHOは、特定のページにHdxVideo.jsを挿入するかどうかを決定します。この決定は、前のフローチャートに示されている管理ポリシーに基づいています。
JavaScriptを挿入し、ブラウザコンテンツをクライアントにリダイレクトすることを決定した後、VDA上のInternet Explorerブラウザではウェブページが空白になります。document.body.innerHTMLを空に設定すると、VDA上のウェブページの本文全体が削除されます。ページはクライアントに送信され、クライアント上のオーバーレイブラウザ (Hdxbrowser.exe) に表示される準備ができています。