Citrix Virtual Apps and Desktops

浏览器内容重定向策略设置

“浏览器内容重定向”部分包含用于配置此功能的策略设置。

浏览器内容重定向功能用于控制并优化 Citrix Virtual Apps and Desktops 为向用户提供任何 Web 浏览器内容(例如 HTML5)的方式。只有浏览器中显示有内容的可见区域会进行重定向。

HTML5 视频重定向和浏览器内容重定向是相互独立的功能。此功能不需要设置 HTML5 视频重定向策略即可运行,但浏览器内容重定向将使用 Citrix HDX HTML5 视频重定向服务。有关详细信息,请参阅浏览器内容重定向

策略设置:

以下策略设置适用于 Citrix Studio 中的浏览器内容重定向功能。可以在 VDA 上使用注册表项覆盖这些策略,但注册表项为可选。

浏览器内容重定向策略设置

TLS 和浏览器内容重定向

可以使用浏览器内容重定向来重定向 HTTPS Web 站点。注入到这些 Web 站点的 JavaScript 必须与 VDA 上运行的 Citrix HDX HTML5 视频重定向服务 (WebSocketService.exe) 建立 TLS 连接。为了实现此重定向并维护 Web 页面的 TLS 完整性,Citrix HDX HTML5 视频重定向服务将在 VDA 上的证书存储中生成两个自定义证书。

HdxVideo.js 使用 Secure Web 套接字与 VDA 上运行的 WebSocketService.exe 进行通信。此过程在本地系统中运行,并执行 SSL 终止和用户会话映射。

WebSocketService.exe 在 127.0.0.1 端口 9001 上进行侦听。

浏览器内容重定向

默认情况下,Citrix Workspace 应用程序将尝试进行客户端提取和客户端呈现。如果客户端提取和客户端呈现失败,则尝试进行服务器端呈现。如果您同时启用了浏览器内容重定向代理配置策略,则 Citrix Workspace 应用程序将仅尝试进行服务器提取和客户端呈现。

默认情况下,此设置设为允许。

浏览器内容重定向集成 Windows 社分验证支持设置

浏览器内容重定向启用使用协商方案进行身份验证的叠加。此增强功能提供了对与 VDA 位于同一域中且配置了集成 Windows 身份验证 (IWA) 的 Web 服务器的单点登录。

如果设置为允许,浏览器内容重定向叠加将使用用户的 VDA 凭据获取协商票证。然后,用户通过单点登录向 Web 服务器进行身份验证。

如果设置为禁止,浏览器内容重定向叠加不会请求 VDA 提供协商票证。用户使用基本身份验证方法向 Web 服务器进行身份验证,该方法要求用户在每次访问 Web 服务器时输入 VDA 凭据。

默认情况下,此设置为“禁止”。

浏览器内容重定向服务器提取 Web 代理身份验证设置

此设置通过下游 Web 代理路由来自叠加层的 HTTP 流量。下游 Web 代理通过协商身份验证方案使用 VDA 用户的域凭据对 HTTP 流量进行授权和身份验证。

必须使用“浏览器内容重定向代理配置”策略在 PAC 文件中为服务器提取模式配置浏览器内容重定向。在 PAC 脚本中,提供通过下游 Web 代理路由叠加流量的说明。然后将下游 Web 代理配置为通过协商身份验证方案对 VDA 用户进行身份验证。

如果设置为允许,Web 代理将以 407 协商质询进行响应,其中包含代理身份验证: 协商标题。然后,浏览器内容重定向将使用 VDA 用户的域凭据获取 Kerberos 服务票证,并将服务票证包含在对 Web 代理的后续请求中。

如果设置为禁止,浏览器内容重定向将代理叠加层与 Web 代理之间的所有 TCP 流量而不会产生干扰。叠加使用基本身份验证凭据或任何其他可用凭据向 Web 代理进行身份验证。

默认情况下,此设置为“禁止”。

浏览器内容重定向访问控制列表 (ACL) 策略设置

使用此设置可配置能够使用浏览器内容重定向或者被拒绝访问浏览器内容重定向的 URL 的访问控制列表 (ACL)。

获得授权的 URL 是指内容将重定向到客户端的允许列表中的 URL。

允许使用通配符 *,但在 URL 的协议或域地址部分中不允许使用此通配符。

允许:http://www.xyz.com/index.htmlhttps://www.xyz.com/*http://www.xyz.com/*videos*

不允许: http://*.xyz.com/

可以通过在 URL 中指定路径来实现更好的粒度。例如,如果指定 https://www.xyz.com/sports/index.html,则只重定向 index.html 页面。

默认情况下,此设置设为 https://www.youtube.com/*

有关详细信息,请参阅知识中心文章 CTX238236

浏览器内容重定向身份验证站点

可使用此设置来配置 URL 列表。通过使用浏览器内容重定向功能进行重定向的站点使用该列表对用户进行身份验证。此设置指定在离开允许列表中的 URL 时浏览器内容重定向保持活动状态(重定向)的 URL。

经典场景是依赖身份提供程序 (IdP) 进行身份验证的 Web 站点。例如,Web 站点 www.xyz.com 必须重定向到端点,但由第三方 IdP(如 Okta (www.xyz.okta.com))处理身份验证部分。管理员使用浏览器内容重定向 ACL 配置策略将 www.xyz.com 添加到允许列表,然后使用浏览器内容重定向身份验证站点将 www.xyz.okta.com 添加到允许列表。

有关详细信息,请参阅知识中心文章 CTX238236

浏览器内容重定向阻止列表设置

此设置与浏览器内容重定向 ACL 配置设置结合使用。如果 URL 存在于浏览器内容重定向 ACL 配置设置和阻止列表配置设置中,阻止列表配置将具有更高的优先级,并且不重定向 URL 的浏览器内容。

未经授权的 URL: 指定浏览器内容不重定向到客户端,但在服务器上呈现的阻止列表中的 URL。

允许使用通配符 *,但在 URL 的协议或域地址部分中不允许使用此通配符。

允许:http://www.xyz.com/index.htmlhttps://www.xyz.com/*http://www.xyz.com/*videos*

不允许: http://*.xyz.com/

可以通过在 URL 中指定路径来实现更好的粒度。例如,如果指定 https://www.xyz.com/sports/index.html,阻止列表中只有 index.html。

浏览器内容重定向代理设置

此设置用于为 VDA 上的浏览器内容重定向的代理设置提供配置选项。如果已使用有效的代理地址和端口号、PAC/WPAD URL 或直接/透明设置启用此设置,Citrix Workspace 应用程序将仅尝试进行服务器提取和客户端呈现。

如果已禁用或未配置此设置并使用默认值,则 Citrix Workspace 应用程序将尝试进行客户端提取和客户端呈现。

默认情况下,此设置为“禁止”。

显式代理允许的模式:

http://\<hostname/ip address\>:\<port\>

示例:

http://proxy.example.citrix.com:80 http://10.10.10.10:8080

PAC/WPAD 文件允许的模式:

http://<hostname/ip address>:<port>/<path>/<Proxy.pac>

示例: http://wpad.myproxy.com:30/configuration/pac/Proxy.pac

https://<hostname/ip address>:<port>/<path>/<wpad.dat>

示例: http://10.10.10.10/configuration/pac/wpad.dat

直接或透明代理允许的模式:

在策略文本框中键入单词 DIRECT

浏览器内容重定向注册表项覆盖

警告:

注册表编辑不当会导致严重问题,可能需要重新安装操作系统。Citrix 无法保证因注册表编辑器使用不当导致出现的问题能够得以解决。使用注册表编辑器需自担风险。在编辑注册表之前,请务必进行备份。

用于策略设置的注册表覆盖选项:

\HKEY_LOCAL_MACHINE\SOFTWARE\Citrix\HdxMediastream

名称 类型
WebBrowserRedirection DWORD 1 = 允许,0 = 禁止
WebBrowserRedirectionAcl REG_MULTI_SZ  
WebBrowserRedirectionAuthenticationSites REG_MULTI_SZ  
WebBrowserRedirectionProxyAddress REG_SZ http://myproxy.citrix.com:8080http://10.10.10.10:8888
WebBrowserRedirectionBlacklist REG_MULTI_SZ  

浏览器内容重定向策略 ACL 设置编辑

用于浏览器内容重定向的 HDXVideo.js 注入

浏览器内容重定向图片

HdxVideo.js 是使用浏览器内容重定向 Chrome 扩展程序或 Internet Explorer 浏览器帮助程序对象 (BHO) 在 Web 页面上注入的。BHO 是 Internet Explorer 的插件模型。它为浏览器 API 提供了挂钩,并可使插件访问页面的文档对象模型 (DOM) 以控制导航。

BHO 可决定是否在给定页面上注入 HdxVideo.js。此决策建立在上文流程图中所示的管理策略的基础之上。

在决定注入 JavaScript 并将浏览器内容重定向到客户端后,VDA 上 Internet Explorer 浏览器中的 Web 页面将被清空。将 document.body.innerHTML 设置为空将删除 VDA 上的 Web 页面的完整正文。此时,页面已准备好,可发送到客户端以显示在客户端上的叠加浏览器 (Hdxbrowser.exe) 中。