Definições de política de redirecionamento de conteúdo do navegador
A seção de redirecionamento de conteúdo do navegador contém configurações de política para configurar esse recurso.
O redirecionamento de conteúdo do navegador controla e otimiza a maneira como o Citrix Virtual Apps and Desktops fornece qualquer conteúdo de navegador da Web (por exemplo, HTML5) aos usuários. Somente a área visível do navegador onde o conteúdo é exibido é redirecionada.
O redirecionamento de vídeo HTML5 e o redirecionamento de conteúdo do navegador são recursos independentes. As políticas de redirecionamento de vídeo HTML5 não são necessárias para que esse recurso funcione, mas o Serviço de Redirecionamento de Vídeo Citrix HDX HTML5 é usado para redirecionamento de conteúdo do navegador. Para obter mais informações, consulte Redirecionamento de conteúdo do navegador.
Configurações de política:
As seguintes configurações de política estão disponíveis para o recurso de redirecionamento de conteúdo do navegador no Citrix Studio. Essas políticas podem ser substituídas por chaves de registro no VDA, mas as chaves de registro são opcionais.
TLS e redirecionamento de conteúdo do navegador
Você pode usar o redirecionamento de conteúdo do navegador para redirecionar sites HTTPS. O JavaScript injetado nesses sites deve estabelecer uma conexão TLS com o serviço de redirecionamento de vídeo Citrix HTML5 (WebSocketService.exe) em execução no VDA. Para obter esse redirecionamento e manter a integridade de TLS da página da Web, o serviço de redirecionamento de vídeo HTML5 Citrix HDX gera dois certificados personalizados no repositório de certificados no VDA.
HdxVideo.js usa soquetes Secure Web para se comunicar com o WebSocketService.exe em execução no VDA. Este processo é executado no sistema local, e realiza a terminação SSL e o mapeamento da sessão do usuário.
WebSocketService.exe está ouvindo em 127.0.0.1 na porta 9001.
Browser content redirection
Por padrão, o aplicativo Citrix Workspace tenta a busca do cliente e a renderização do cliente. Se ocorrer falha na busca do cliente e renderização do cliente, ocorrerá a tentativa de renderização do lado do servidor será tentada. Se você também habilitar a política de configuração do proxy de redirecionamento de conteúdo do navegador, o aplicativo Citrix Workspace tentará somente a busca do servidor e a renderização do cliente.
Por padrão, essa configuração é Allowed.
Configuração de suporte a Autenticação Integrada do Windows para redirecionamento de conteúdo do navegador
O redirecionamento de conteúdo do navegador permite a sobreposição que usa o esquema Negociar para autenticação. Este aprimoramento fornece logon único para um servidor Web configurado com a Autenticação Integrada do Windows (IWA) dentro do mesmo domínio que o VDA.
Quando definida como Allowed, a sobreposição de redirecionamento de conteúdo do navegador obtém um ticket Negociar usando as credenciais VDA do usuário. Em seguida, o usuário se autentica no servidor da Web com logon único.
Quando definida como Prohibited, a sobreposição de redirecionamento de conteúdo do navegador não solicita um ticket Negociar do VDA. O usuário se autentica em um servidor da Web usando um método de autenticação básico que exige que os usuários insiram suas credenciais VDA sempre que acessarem o servidor da Web.
Por padrão, essa configuração é Prohibited.
Configuração de autenticação de proxy web do servidor de redirecionamento de conteúdo do navegador (Browser content redirection server fetch web proxy authentication setting)
Essa configuração roteia o tráfego HTTP que se origina em uma sobreposição através de um proxy da Web downstream. O proxy web downstream autoriza e autentica o tráfego HTTP usando as credenciais de domínio do usuário VDA através do esquema de autenticação Negociar.
Você deve configurar o redirecionamento de conteúdo do navegador para o modo de busca do servidor no arquivo PAC usando a política de configuração do proxy de redirecionamento de conteúdo do navegador. No script PAC, forneça instruções para distribuir o tráfego de sobreposição através de um proxy da Web downstream. Configure então o proxy da Web downstream para autenticar os usuários VDA através do esquema de autenticação Negociar.
Quando definido como Allowed, o proxy da Web responde com um desafio 407 Negotiate, que contém um cabeçalho Proxy-Authenticate: Negotiate . O redirecionamento de conteúdo do navegador obtém um tíquete de serviço Kerberos usando as credenciais de domínio do usuário VDA e inclui o ticket de serviço nas solicitações subsequentes ao proxy da Web.
Quando definido como Prohibited, o redirecionamento de conteúdo do navegador proxies todo o tráfego TCP entre a sobreposição e o proxy da Web sem interferir. A sobreposição usa credenciais básicas de autenticação ou quaisquer outras credenciais disponíveis para autenticar no proxy da Web.
Por padrão, essa configuração é Prohibited.
Configurações da política da lista de controle de acesso (ACL) de redirecionamento de conteúdo do navegador (Browser content redirection Access Control List (ACL) policy settings)
Use essa configuração para configurar uma Lista de Controle de Acesso (ACL) de URLs que podem usar o redirecionamento de conteúdo do navegador ou que tenham acesso negado ao redirecionamento de conteúdo do navegador.
URLs autorizados são os URLs na lista de permissões cujo conteúdo é redirecionado para o cliente.
O curinga * é permitido, mas não é permitido dentro do protocolo ou na parte do endereço de domínio da URL.
Permitido: http://www.xyz.com/index.html
, https://www.xyz.com/*
, http://www.xyz.com/*videos*
Não permitido: http://*.xyz.com/
Você pode obter melhor granularidade especificando caminhos na URL. Por exemplo, se você especificar https://www.xyz.com/sports/index.html
, somente a página index.html será redirecionada.
Por padrão, essa configuração é definida como https://www.youtube.com/*
Para obter mais informações, consulte o artigo do Knowledge Center CTX238236.
Browser content redirection authentication sites
Use essa configuração para configurar uma lista de URLs. Sites redirecionados por meio do redirecionamento de conteúdo do navegador usam a lista para autenticar um usuário. A configuração especifica os URLs para os quais o redirecionamento de conteúdo do navegador permanece ativo (redirecionado) ao navegar para fora de um URL na lista de permissões.
Um cenário clássico é um site que depende de um provedor de identidade (IdP) para autenticação. Por exemplo, um site www.xyz.com
deve ser redirecionado para o endpoint, mas um IdP de terceiros, como Okta (www.xyz.okta.com
) lida com a parte de autenticação. O administrador usa a política de configuração ACL de redirecionamento de conteúdo do navegador para adicionar www.xyz.com
à lista de permissões e, em seguida, usa sites de autenticação de redirecionamento de conteúdo do navegador para adicionar www.xyz.okta.com
à lista de permissões.
Para obter mais informações, consulte o artigo do Knowledge Center CTX238236.
Browser content redirection block list setting
Essa configuração funciona junto com a configuração de configuração ACL de redirecionamento de conteúdo do navegador. Se as URLs estiverem presentes na definição da configuração ACL da reorientação de conteúdo do navegador e na configuração da lista de bloqueio, a configuração da lista de bloqueio tem precedência e o conteúdo do navegador da URL não é reorientado.
Unauthorized URLs: especifica as URLs na lista de bloqueio cujo conteúdo do navegador não é redirecionado para o cliente, mas renderizado no servidor.
O curinga * é permitido, mas não é permitido dentro do protocolo ou na parte do endereço de domínio da URL.
Permitido: http://www.xyz.com/index.html
, https://www.xyz.com/*
, http://www.xyz.com/*videos*
Não permitido: http://*.xyz.com/
Você pode obter melhor granularidade especificando caminhos na URL. Por exemplo, se você especificar https://www.xyz.com/sports/index.html
, somente index.html estará na lista de bloqueio.
Browser content redirection proxy setting
Essa configuração fornece opções de configuração para configurações de proxy no VDA para redirecionamento de conteúdo do navegador. Se habilitada com um endereço proxy válido e número de porta, URL PAC/WPAD ou configuração Direct/Transparente, o aplicativo Citrix Workspace tentará somente a busca do servidor e a renderização do cliente.
Se estiver desativada ou não configurada e usando um valor padrão, o aplicativo Citrix Workspace tentará a busca do cliente e a renderização do cliente.
Por padrão, essa configuração é Prohibited.
Padrão permitido para um proxy explícito:
http://\<hostname/ip address\>:\<port\>
Exemplo:
http://proxy.example.citrix.com:80
http://10.10.10.10:8080
Padrões permitidos para arquivos PAC/WPAD:
http://<hostname/ip address>:<port>/<path>/<Proxy.pac>
Exemplo: http://wpad.myproxy.com:30/configuration/pac/Proxy.pac
https://<hostname/ip address>:<port>/<path>/<wpad.dat>
Exemplo: http://10.10.10.10/configuration/pac/wpad.dat
Padrões permitidos para proxies diretos ou transparentes:
Digite a palavra DIRECT na caixa de texto de política.
Substituições de chave de registro de redirecionamento de conteúdo do navegador
Aviso:
Editar o registro incorretamente pode causar sérios problemas que podem exigir que você reinstale seu sistema operacional. A Citrix não pode garantir que os problemas resultantes do uso incorreto do Editor do Registro possam ser resolvidos. Use o Editor do Registro por sua conta e risco. Tenha o cuidado de fazer backup do registro antes de editá-lo.
Opções de substituição do registro para configurações de política:
\HKEY_LOCAL_MACHINE\SOFTWARE\Citrix\HdxMediastream
Nome | Tipo | Valor |
---|---|---|
WebBrowserRedirection | DWORD | 1=Allowed, 0=Prohibited |
WebBrowserRedirectionAcl | REG_MULTI_SZ | |
WebBrowserRedirectionAuthenticationSites | REG_MULTI_SZ | |
WebBrowserRedirectionProxyAddress | REG_SZ |
http://myproxy.citrix.com:8080 ou http://10.10.10.10:8888
|
WebBrowserRedirectionBlacklist | REG_MULTI_SZ |
Inserção HDXVideo.js para redirecionamento de conteúdo do navegador
HdxVideo.js é injetado na página da Web usando o redirecionamento de conteúdo do navegador extensão Chrome ou o Internet Explorer Browser Helper Object (BHO). O BHO é um modelo de plug-in para o Internet Explorer. Ele fornece ganchos para APIs do navegador e permite que o plug-in acesse o Document Object Model (DOM) da página para controlar a navegação.
O BHO decide se deve injetar HdxVideo.js em uma determinada página. A decisão baseia-se nas políticas administrativas apresentadas no fluxograma anterior.
Depois que decide injetar o JavaScript e redirecionar o conteúdo do navegador para o cliente, a página da Web no navegador do Internet Explorer no VDA é apagada. Definir o Document.body.innerHTML como vazio remove todo o corpo da página da Web no VDA. A página está pronta para ser enviada ao cliente para ser exibida no navegador de sobreposição (Hdxbrowser.exe) no cliente.
Neste artigo
- TLS e redirecionamento de conteúdo do navegador
- Browser content redirection
- Configuração de suporte a Autenticação Integrada do Windows para redirecionamento de conteúdo do navegador
- Configuração de autenticação de proxy web do servidor de redirecionamento de conteúdo do navegador (Browser content redirection server fetch web proxy authentication setting)
- Configurações da política da lista de controle de acesso (ACL) de redirecionamento de conteúdo do navegador (Browser content redirection Access Control List (ACL) policy settings)
- Browser content redirection authentication sites
- Browser content redirection block list setting
- Browser content redirection proxy setting
- Substituições de chave de registro de redirecionamento de conteúdo do navegador
- Inserção HDXVideo.js para redirecionamento de conteúdo do navegador