Configurações de política de redirecionamento de conteúdo do navegador
A seção de redirecionamento de conteúdo do navegador inclui configurações de política para configurar este recurso.
O redirecionamento de conteúdo do navegador controla e otimiza a forma como o Citrix Virtual Apps and Desktops™ entrega qualquer conteúdo de navegador da web (por exemplo, HTML5) aos usuários. Apenas a área visível do navegador onde o conteúdo é exibido é redirecionada.
O redirecionamento de vídeo HTML5 e o redirecionamento de conteúdo do navegador são recursos independentes. As políticas de redirecionamento de vídeo HTML5 não são necessárias para que este recurso funcione. No entanto, o Serviço de Redirecionamento de Vídeo HTML5 do Citrix HDX é usado para o redirecionamento de conteúdo do navegador. Para obter mais informações, consulte Redirecionamento de conteúdo do navegador.
Nota:
As configurações de política disponíveis no Web Studio podem ser substituídas por chaves de registro no VDA, mas as chaves de registro são opcionais.
TLS e redirecionamento de conteúdo do navegador
Você pode usar o redirecionamento de conteúdo do navegador para redirecionar sites HTTPS. O JavaScript injetado nesses sites deve estabelecer uma conexão TLS com o Serviço de Redirecionamento de Vídeo HTML5 do Citrix HDX (WebSocketService.exe) em execução no VDA. Para conseguir este redirecionamento e manter a integridade TLS da página da web, o Serviço de Redirecionamento de Vídeo HTML5 do Citrix HDX gera dois certificados personalizados no armazenamento de certificados no VDA.
O HdxVideo.js usa Web sockets seguros para se comunicar com o WebSocketService.exe em execução no VDA. Este processo é executado no Sistema Local e realiza a terminação SSL e o mapeamento de sessão do usuário.
O WebSocketService.exe está escutando na porta 9001 de 127.0.0.1.
Redirecionamento de conteúdo do navegador
Por padrão, o aplicativo Citrix Workspace™ tenta a busca do cliente e a renderização do cliente. A renderização do lado do servidor é tentada quando a busca do cliente e a renderização do cliente falham. Se você também habilitar a política de configuração de proxy de redirecionamento de conteúdo do navegador, o aplicativo Citrix Workspace tentará apenas a busca do servidor e a renderização do cliente.
Por padrão, esta configuração é Permitida.
Configuração de suporte à Autenticação Integrada do Windows para redirecionamento de conteúdo do navegador
O redirecionamento de conteúdo do navegador habilita a sobreposição que usa o esquema Negotiate para autenticação. Este aprimoramento fornece logon único a um servidor web configurado com Autenticação Integrada do Windows (IWA) dentro do mesmo domínio do VDA.
Quando definido como Permitido, a sobreposição de redirecionamento de conteúdo do navegador obtém um ticket Negotiate usando as credenciais do VDA do usuário. O usuário então se autentica no servidor web com um logon único.
Quando definido como Proibido, a sobreposição de redirecionamento de conteúdo do navegador não solicita um ticket Negotiate do VDA. O usuário se autentica em um servidor web usando um método de autenticação básico. Este método de autenticação exige que os usuários insiram suas credenciais do VDA cada vez que acessam o servidor web.
Por padrão, esta configuração é Proibida.
Configuração de autenticação de proxy web de busca do servidor de redirecionamento de conteúdo do navegador
Esta configuração roteia o tráfego HTTP originado em uma sobreposição através de um proxy web downstream. O proxy web downstream autoriza e autentica o tráfego HTTP usando as credenciais de domínio do usuário do VDA através do esquema de autenticação Negotiate.
Você deve configurar o redirecionamento de conteúdo do navegador para o modo de busca do servidor no arquivo PAC usando a política de configuração de proxy de redirecionamento de conteúdo do navegador. No script PAC, forneça instruções para rotear o tráfego da sobreposição através de um proxy web downstream. Em seguida, configure o proxy web downstream para autenticar os usuários do VDA através do esquema de autenticação Negotiate.
Quando definido como Permitido, o proxy web responde com um desafio 407 Negotiate, incluindo um cabeçalho Proxy-Authenticate: Negotiate. O redirecionamento de conteúdo do navegador então obtém um ticket de serviço Kerberos usando as credenciais de domínio do usuário do VDA. Além disso, inclua o ticket de serviço em solicitações posteriores ao proxy web.
Quando definido como Proibido, o redirecionamento de conteúdo do navegador faz proxy de todo o tráfego TCP entre a sobreposição e o proxy web sem interferir. A sobreposição usa credenciais de autenticação básica ou quaisquer outras credenciais disponíveis para se autenticar no proxy web.
Por padrão, esta configuração é Proibida.
Configurações de política de configuração de ACL (Lista de Controle de Acesso) de redirecionamento de conteúdo do navegador
Use esta configuração para configurar uma Lista de Controle de Acesso (ACL) de URLs que podem usar o redirecionamento de conteúdo do navegador ou que têm o acesso negado ao redirecionamento de conteúdo do navegador.
URLs autorizadas são as URLs na lista de permissões cujo conteúdo é redirecionado para o cliente.
O curinga * é permitido, mas não é permitido dentro do protocolo ou da parte do endereço de domínio da URL. No entanto, a partir do Citrix Virtual Apps and Desktops 7 2206, o curinga * é permitido dentro da parte do endereço de subdomínio da URL.
Permitido: http://www.xyz.com/index.html, https://www.xyz.com/*, http://www.xyz.com/*videos*, http://*.xyz.com/
Não permitido: http://*.*.com/
Você pode obter maior granularidade especificando caminhos na URL. Por exemplo, se você especificar https://www.xyz.com/sports/index.html, apenas a página index.html será redirecionada.
Por padrão, esta configuração é definida como https://www.youtube.com/*
Para obter mais informações, consulte o artigo da Central de Conhecimento CTX238236.
Nota:
Você pode configurar a ACL para permitir que o BCR redirecione sites para o endpoint e os sites de autenticação podem ser configurados para permitir Provedores de Identidade (IdP), como Okta e Duo, para autenticação usada na URL configurada.
Sites de autenticação de redirecionamento de conteúdo do navegador
Use esta configuração para configurar uma lista de URLs. Sites redirecionados usando o redirecionamento de conteúdo do navegador usam a lista para autenticar um usuário. A configuração especifica as URLs para as quais o redirecionamento de conteúdo do navegador permanece ativo (redirecionado) ao navegar para fora de uma URL na lista de permissões.
Um cenário clássico é um site que depende de um Provedor de Identidade (IdP) para autenticação. Por exemplo, um site www.xyz.com deve ser redirecionado para o endpoint, mas um IdP de terceiros, como Okta (www.xyz.okta.com), lida com a parte da autenticação. O administrador usa a política de configuração de ACL de redirecionamento de conteúdo do navegador para adicionar www.xyz.com à lista de permissões. Em seguida, usa os sites de autenticação de redirecionamento de conteúdo do navegador para adicionar www.xyz.okta.com à lista de permissões.
Para obter mais informações, consulte o artigo da Central de Conhecimento CTX238236.
Configuração da lista de bloqueio de redirecionamento de conteúdo do navegador
Esta configuração funciona em conjunto com a configuração de ACL de redirecionamento de conteúdo do navegador. Considere que as URLs estão presentes na configuração de ACL de redirecionamento de conteúdo do navegador e na configuração da lista de bloqueio. Neste caso, a configuração da lista de bloqueio tem precedência e o conteúdo do navegador da URL não é redirecionado.
URLs não autorizadas: Especifica as URLs na lista de bloqueio cujo conteúdo do navegador não é redirecionado para o cliente, mas renderizado no servidor.
O curinga * é permitido, mas não é permitido dentro do protocolo ou da parte do endereço de domínio da URL.
Permitido: http://www.xyz.com/index.html, https://www.xyz.com/*, http://www.xyz.com/*videos*
Não permitido: http://*.xyz.com/
Você pode obter maior granularidade especificando caminhos na URL. Por exemplo, se você especificar https://www.xyz.com/sports/index.html, apenas index.html estará na lista de bloqueio.
Configuração de proxy de redirecionamento de conteúdo do navegador
Esta configuração fornece opções de configuração para as configurações de proxy no VDA para o redirecionamento de conteúdo do navegador. Se habilitado com um endereço de proxy e número de porta válidos, URL PAC / WPAD ou configuração Direta/Transparente, o aplicativo Citrix Workspace tenta apenas a busca do servidor e a renderização do cliente.
Se desabilitado ou não configurado e usando um valor padrão, o aplicativo Citrix Workspace tenta a busca do cliente e a renderização do cliente.
Por padrão, esta configuração é Proibida.
Padrão permitido para um proxy explícito
http://<hostname/ip address>:<port>
Exemplo
http://proxy.example.citrix.com:80
http://10.10.10.10:8080
Padrões permitidos para arquivos PAC/WPAD
http://<hostname/ip address>:<port>/<path>/<Proxy.pac>
Exemplo: http://wpad.myproxy.com:30/configuration/pac/Proxy.pac
https://<hostname/ip address>:<port>/<path>/<wpad.dat>
Exemplo: http://10.10.10.10/configuration/pac/wpad.dat
Padrões permitidos para proxies diretos ou transparentes
Digite a palavra DIRECT na caixa de texto da política.
Substituições de chave de registro de redirecionamento de conteúdo do navegador
Aviso:
A edição incorreta do registro pode causar problemas sérios que podem exigir a reinstalação do seu sistema operacional. A Citrix® não pode garantir que os problemas resultantes do uso incorreto do Editor do Registro possam ser resolvidos. Use o Editor do Registro por sua conta e risco. Certifique-se de fazer backup do registro antes de editá-lo.
As opções de substituição de registros para configurações de política:
\HKEY_LOCAL_MACHINE\SOFTWARE\Citrix\HdxMediastream
| Nome | Tipo | Valor |
|---|---|---|
| WebBrowserRedirection | DWORD | 1=Permitido, 0=Proibido |
| WebBrowserRedirectionAcl | REG_MULTI_SZ | |
| WebBrowserRedirectionAuthenticationSites | REG_MULTI_SZ | |
| WebBrowserRedirectionProxyAddress | REG_SZ |
http://myproxy.citrix.com:8080 ou http://10.10.10.10:8888
|
| WebBrowserRedirectionBlacklist | REG_MULTI_SZ |
Inserção de HDXVideo.js para redirecionamento de conteúdo do navegador
O HdxVideo.js é injetado na página da web usando a extensão do Chrome de redirecionamento de conteúdo do navegador ou o Objeto Auxiliar do Navegador (BHO) do Internet Explorer. O BHO é um modelo de plug-in para o Internet Explorer. Ele fornece ganchos para APIs do navegador e permite que o plug-in acesse o Modelo de Objeto de Documento (DOM) da página para controlar a navegação.
O BHO decide se injeta o HdxVideo.js em uma determinada página. A decisão é baseada nas políticas administrativas mostradas no fluxograma anterior.
Depois que ele decide injetar o JavaScript e redirecionar o conteúdo do navegador para o cliente, a página da web fica em branco no navegador Internet Explorer no VDA. Definir o document.body.innerHTML como vazio remove todo o corpo da página da web no VDA. A página está pronta para ser enviada ao cliente para ser exibida no navegador de sobreposição (Hdxbrowser.exe) no cliente.
Neste artigo
- TLS e redirecionamento de conteúdo do navegador
- Redirecionamento de conteúdo do navegador
- Configuração de suporte à Autenticação Integrada do Windows para redirecionamento de conteúdo do navegador
- Configuração de autenticação de proxy web de busca do servidor de redirecionamento de conteúdo do navegador
- Configurações de política de configuração de ACL (Lista de Controle de Acesso) de redirecionamento de conteúdo do navegador
- Sites de autenticação de redirecionamento de conteúdo do navegador
- Configuração da lista de bloqueio de redirecionamento de conteúdo do navegador
- Configuração de proxy de redirecionamento de conteúdo do navegador
- Substituições de chave de registro de redirecionamento de conteúdo do navegador
- Inserção de HDXVideo.js para redirecionamento de conteúdo do navegador