Product Documentation

Interaktion von lokal installiertem XenMobile mit Active Directory

Siddartha Vuppala

In diesem Artikel wird erläutert, auf welche Weise XenMobile Server mit Active Directory interagiert. Die Interaktion zwischen XenMobile Server und Active Directory erfolgt sowohl Inline als auch im Hintergrund. Die folgenden Abschnitte enthalten weitere Informationen zu Inline- und Hintergrundprozessen, die bei der Interaktion mit Active Directory ablaufen.

Hinweis:

Dieser Artikel bietet einen Überblick und beschreibt die Interaktionen nicht in jedem Detail. Weitere Informationen zum Konfigurieren von Active Directory und LDAP in der XenMobile-Konsole finden Sie unter Authentifizierung mit Domäne oder mit Domäne und Sicherheitstoken.

Inline-Interaktionen

Die Kommunikation zwischen XenMobile Server und Active Directory erfolgt über die vom Administrator konfigurierten LDAP-Einstellungen. Die Einstellungen dienen zum Abrufen von Informationen über Benutzer und Gruppen. Die folgenden Vorgänge führen zu einer Interaktion zwischen XenMobile Server und Active Directory.

  1. LDAP-Konfiguration. Die Konfiguration von Active Directory führt selbst zu einer Interaktion mit Active Directory. XenMobile Server versucht, die Informationen durch ihre Authentifizierung mit Active Directory zu überprüfen. Dazu werden das Internetprotokoll, der Port und die Anmeldeinformationen des Dienstkontos verwendet. Eine erfolgreich durchgeführte Bind-Operation gibt an, dass die Verbindung fehlerfrei konfiguriert ist.

  2. Gruppenbasierte Interaktionen

    1. Suche nach einer oder mehreren Gruppen während der Definition der rollenbasierten Zugriffssteuerung (RBAC) und der Bereitstellungsgruppe. Der XenMobile Server-Administrator gibt eine Suchtextzeichenfolge in der XenMobile-Konsole ein. XenMobile Server durchsucht die ausgewählte Domäne nach allen Gruppen, die die eingegebene Teilzeichenfolge enthalten. Anschließend werden für die bei der Suche identifizierten Gruppen die Attribute “objectGUID”, “sAMAccountName” und “Distinguished Name” abgerufen.

      Hinweis:

      Diese Informationen werden nicht in der Datenbank von XenMobile Server gespeichert.

    2. Hinzufügen oder Aktualisieren der RBAC- und Bereitstellungsgruppendefinition. Der XenMobile Server-Administrator wählt die Active Directory-Gruppen aus, die bei der vorherigen Suche gefunden wurden, und fügt sie in die Bereitstellungsgruppendefinition ein. XenMobile Server durchsucht Active Directory nacheinander nach den angegebenen Gruppen. XenMobile Server sucht nach dem Attribut “objectGUID” und ruft ausgewählte Attribute ab, darunter Angaben zur Gruppenmitgliedschaft. Die Angaben zur Gruppenmitgliedschaft erleichtern die Bestimmung der Zugehörigkeit vorhandener Benutzer oder Gruppen in der XenMobile Server-Datenbank zur abgerufenen Gruppe. Änderungen an der Gruppenmitgliedschaft führen zu einer RBAC- und Bereitstellungsgruppenableitung, mit Auswirkung auf Berechtigungen der betroffenen Benutzer in der Gruppe.

      Hinweis:

      Eine geänderte Bereitstellungsgruppendefinition kann zur Folge haben, dass sich App- oder Richtlinienberechtigungen für die betroffenen Benutzer ändern.

    3. Einladungen mit Einmal-PIN (OTP-Einladungen): Der XenMobile Server-Administrator wählt eine Gruppe aus der Liste der Active Directory-Gruppen in der XenMobile Server-Datenbank. Für diese Gruppe werden sämtliche Benutzer (direkte und indirekte Benutzer) aus Active Directory abgerufen. Dann werden OTP-Einladungen an die Benutzer gesendet, die im vorherigen Schritt identifiziert wurden.

      Hinweis:

      Die drei o. g. Interaktionen implizieren, dass gruppenbasierte Interaktionen durch Änderungen an der XenMobile Server-Konfiguration ausgelöst werden. Wird die Konfiguration nicht geändert, gibt es keine Interaktionen mit Active Directory. Weiterhin wird impliziert, dass die regelmäßige Aufzeichnung der gruppenseitigen Änderungen durch Hintergrundaufträge nicht erforderlich ist.

  3. Benutzerbasierte Interaktion:

    1. Benutzerauthentifizierung. Bei der Benutzerauthentifizierung kommt es zu zwei Interaktionen mit Active Directory:

      • Authentifizierung des Benutzers mit den bereitgestellten Anmeldeinformationen.
      • Hinzufügen oder Aktualisieren ausgewählter Benutzerattribute in der XenMobile Server-Datenbank, einschließlich “objectGUID”, “Distinguished Name”, “sAMAccountName” und direkter Gruppenmitgliedschaft. Änderungen an der Gruppenmitgliedschaft führen zu einer erneuten Evaluation der App-, Richtlinien- und Zugriffsberechtigungen.

      Der Benutzer authentifiziert sich entweder über das Gerät oder über die XenMobile Server-Konsole. In beiden Szenarien folgt die Interaktion mit Active Directory demselben Muster.

    2. Zugriff auf App-Store und Aktualisierung: Bei einer Aktualisierung des Stores werden auch die Benutzerattribute aktualisiert, einschließlich direkter Gruppenmitgliedschaften. Diese Aktion ermöglicht eine erneute Evaluation von Benutzerberechtigungen.

    3. Einchecken von Geräten. Administratoren können in der XenMobile-Konsole das regelmäßige Einchecken von Geräten konfigurieren. Bei jedem Einchecken eines Gerätes werden die entsprechenden Benutzerattribute einschließlich der direkten Gruppenmitgliedschaften aktualisiert. Dieses Einchecken ermöglicht eine erneute Evaluation der Benutzerberechtigungen.

    4. OTP-Einladungen nach Gruppe: Der XenMobile Server-Administrator wählt eine Gruppe aus der Liste der Active Directory-Gruppen in der XenMobile Server-Datenbank. Benutzer, die Mitglied der Gruppe sind (entweder direkt oder indirekt über eine Verschachtelung), werden von Active Directory abgerufen und in der XenMobile Server-Datenbank gespeichert. Dann werden OTP-Einladungen an die Benutzer gesendet, die im vorherigen Schritt als Mitglied identifiziert wurden.

    5. OTP-Einladungen nach Benutzer. Der Administrator gibt in der XenMobile-Konsole eine Suchtextzeichenfolge ein. XenMobile Server sendet eine Abfrage an Active Directory und erhält Benutzerdatensätze, die der eingegebenen Textzeichenfolge entsprechen. Der Administrator wählt dann den Benutzer aus, der eine OTP-Einladung erhalten soll. XenMobile Server ruft die Benutzerdetails aus Active Directory ab und aktualisiert diese Informationen in der Datenbank, bevor eine Einladung an den Benutzer gesendet wird.

Hintergrundinteraktionen

Eine Schlussfolgerung aus der Inlinekommunikation mit Active Directory ist, dass gruppenbasierte Interaktionen durch ausgewählte Änderungen an der XenMobile Server-Konfiguration ausgelöst werden. Wird die Konfiguration nicht geändert, gibt es keine Interaktionen mit Active Directory.

Für diese Interaktion sind Hintergrundaufträge erforderlich, die in regelmäßigen Abständen eine Synchronisierung mit Active Directory durchführen. Dabei werden Datensätze aktualisiert und relevante Änderungen an den Gruppen übernommen.

Die folgenden Hintergrundaufträge interagieren mit Active Directory.

  1. Gruppensynchronisierung: Mit diesem Auftrag wird für jede untersuchte Gruppe eine separate Abfrage an Active Directory zu Änderungen an den Attributen “Distinguished Name” oder “sAMAccountName” gesendet. Die Suchabfrage an Active Directory verwendet die ObjectGUID der Gruppe, um die aktuellen Werte der Attribute “Distinguished Name” und “sAMAccountName” abzurufen. Die geänderten Werte für “Distinguished Name” oder “sAMAccountName” werden dann in der Datenbank aktualisiert.

    Hinweis:

    Informationen zu Gruppenmitgliedschaften von Benutzern werden mit diesem Auftrag nicht aktualisiert.

  2. Synchronisierung verschachtelter Gruppen: Mit diesem Auftrag werden Änderungen an der Verschachtelungshierarchie der untersuchten Gruppen aktualisiert. XenMobile Server kann direkten und indirekten Mitgliedern einer Gruppe Berechtigungen zuweisen. Die direkte Mitgliedschaft der Benutzer wird bei benutzerbasierten Inline-Interaktionen aktualisiert. Dieser im Hintergrund ausgeführte Auftrag prüft indirekte Mitgliedschaften. Bei einer indirekten Mitgliedschaft ist ein Benutzer Mitglied einer Gruppe, die Mitglied der untersuchten Gruppe ist.

    Dieser Auftrag erstellt eine Liste der Active Directory-Gruppen aus der XenMobile Server-Datenbank. Diese Gruppen gehören entweder zur Bereitstellungsgruppen- oder RBAC-Definition. Für jede Gruppe in dieser Liste ruft XenMobile Server die Mitglieder der Gruppe ab. Die Liste mit Distinguished Names stellt Benutzer und Gruppen dar, die Mitglied einer Gruppe sind. XenMobile Server stellt eine weitere Abfrage an Active Directory, um nur die Benutzer zu erhalten, die Mitglied der gewünschten Gruppe sind. Der Unterschied zwischen beiden Listen stellt nur die Mitglieder dar, die Mitglied der Gruppe sind. Änderungen an Mitgliedsgruppen werden in der Datenbank aktualisiert. Dieser Vorgang wird für alle Gruppen in der Hierarchie wiederholt.

    Änderungen an einer Verschachtelung führen dazu, dass die Berechtigungen der betroffenen Benutzer angepasst werden.

  3. Prüfung auf deaktivierte Benutzer: Dieser Auftrag wird nur ausgeführt, wenn der XenMobile-Administrator eine Aktion zur Prüfung auf deaktivierte Benutzer erstellt. Der Auftrag läuft im Rahmen einer Gruppensynchronisierung ab. Für jeden untersuchten Benutzer wird eine Abfrage an Active Directory gesendet, um zu prüfen, ob der Benutzer deaktiviert wurde.

Häufig gestellte Fragen

Wie häufig werden Hintergrundaufträge standardmäßig ausgeführt?

  • Aufträge zur Gruppensynchronisierung starten alle fünf Stunden ab 02:00 Uhr Ortszeit.
  • Aufträge zur Synchronisierung verschachtelter Gruppen werden einmal täglich um 00:00 Uhr Ortszeit ausgeführt.

Warum ist eine Gruppensynchronisierung erforderlich?

  • Das Attribut “memberOf” im Datensatz eines Benutzers in Active Directory enthält eine Liste aller Gruppen, in denen der Benutzer ein direktes Mitglied ist. Wenn eine Gruppe aus einer Organisationseinheit in eine andere verschoben wird, stellt das Attribut “memberOf” den letzten Wert des “Distinguished Name” dar. In der XenMobile Server-Datenbank ist ebenfalls der zuletzt aktualisierte Wert gespeichert. Stimmen die “Distinguished Names” der Gruppe nicht überein, kann dies dazu führen, dass der Benutzer den Zugriff auf die Bereitstellungsgruppe verliert. Der Benutzer kann zudem den Zugriff auf Apps und Richtlinien verlieren, die der Bereitstellungsgruppe zugeordnet sind.
  • Der Hintergrundauftrag sorgt dafür, dass das Attribut “Distinguished Name” der Gruppe in der XenMobile Server-Datenbank aktualisiert wird, damit Berechtigungen von Benutzern erhalten bleiben.
  • Synchronisierungsaufträge werden planmäßig alle fünf Stunden durchgeführt, da davon ausgegangen wird, dass Gruppenänderungen in Active Directory selten sind.

Kann eine Gruppensynchronisierung deaktiviert werden?

  • Sie können Aufträge deaktivieren, wenn Sie wissen, dass die Gruppen nicht zwischen Organisationseinheiten wechseln.

Warum ist ein Hintergrundauftrag zur Verarbeitung verschachtelter Gruppen erforderlich?

  • Änderungen an der Verschachtelung von Gruppen in Active Directory treten nicht täglich auf. Wird die Verschachtelungshierarchie der Gruppen geändert, wirkt sich dies auch auf die Berechtigungen der betroffenen Benutzer aus. Wenn eine Gruppe der Hierarchie hinzugefügt wird, erhalten die Benutzer in der Gruppe Anspruch auf die jeweiligen Rollen. Wenn eine Gruppe verschoben und damit aus der Verschachtelung entfernt wird, können Benutzer, die Mitglied der Gruppe sind, ihren Zugriff auf rollenbasierte Berechtigungen verlieren.
  • Änderungen an der Verschachtelung werden bei der Aktualisierung des Benutzers nicht erfasst. Da Verschachtelungsänderungen nicht bedarfsgesteuert erfolgen können, werden diese Änderungen über einen Hintergrundauftrag erfasst.
  • Änderungen an der Verschachtelung gelten als selten, sodass der Hintergrundauftrag, der dies kontrolliert, nur einmal am Tag ausgeführt wird.

Kann die Verarbeitung verschachtelter Gruppen deaktiviert werden?

  • Sie können Aufträge deaktivieren, wenn Sie wissen, dass für die Gruppen keine Verschachtelungsänderungen auftreten.

Interaktion von lokal installiertem XenMobile mit Active Directory