XenMobile® Server

Interaktion von On-Premises XenMobile® mit Active Directory

April 29, 2026

Dieser Artikel erläutert die Interaktion zwischen XenMobile Server und Active Directory. XenMobile Server interagiert sowohl inline als auch im Hintergrund mit Active Directory. Die folgenden Abschnitte enthalten weitere Informationen zu den Inline- und Hintergrundoperationen, die eine Active Directory-Interaktion beinhalten.

Hinweis:

Dieser Artikel bietet einen Überblick über die Interaktion und behandelt keine detaillierten Einzelheiten. Weitere Informationen zum Konfigurieren von Active Directory und LDAP in der XenMobile-Konsole finden Sie unter Authentifizierung mit Domäne oder Domäne plus Sicherheitstoken.

Inline-Interaktionen

XenMobile Server kommuniziert mit Active Directory über die LDAP-Einstellungen, die ein Administrator konfiguriert. Die Einstellungen rufen Informationen über Benutzer und Gruppen ab. Die folgenden Operationen führen zu einer Interaktion zwischen XenMobile Server und Active Directory.

LDAP-Konfiguration. Die Konfiguration von Active Directory selbst führt zu einer Interaktion mit Active Directory. XenMobile Server versucht, die Informationen durch Authentifizierung mit Active Directory zu validieren. Der Server verwendet dazu das bereitgestellte Internetprotokoll, den Port und die Anmeldeinformationen des Dienstkontos. Eine erfolgreiche Bindung zeigt an, dass die Verbindung korrekt konfiguriert ist.
Gruppenbasierte Interaktionen.
1. Suchen nach einer oder mehreren Gruppen während der Erstellung von Role-Based Access Control (RBAC)- und Bereitstellungsgruppendefinitionen. Der XenMobile Server-Administrator gibt eine Suchtextzeichenfolge in die XenMobile-Konsole ein. XenMobile Server durchsucht die ausgewählte Domäne nach allen Gruppen, die die angegebene Teilzeichenfolge enthalten. Anschließend ruft XenMobile Server die Attribute objectGUID, sAMAccountName und Distinguished Name der in der Suche identifizierten Gruppen ab.
  
  Hinweis:
  
  Diese Informationen werden nicht in der XenMobile Server-Datenbank gespeichert.
2. Hinzufügen oder Aktualisieren von RBAC- und Bereitstellungsgruppendefinitionen. Der XenMobile Server-Administrator wählt die relevanten Active Directory-Gruppen basierend auf der vorherigen Suche aus und fügt sie der Bereitstellungsgruppendefinition hinzu. XenMobile Server sucht einzeln nach der spezifischen Gruppe in Active Directory. XenMobile Server sucht nach dem Attribut objectGUID und ruft ausgewählte Attribute ab, einschließlich Mitgliedschaftsinformationen. Gruppenmitgliedschaftsinformationen helfen, die Mitgliedschaft zwischen der abgerufenen Gruppe und bestehenden Benutzern oder Gruppen in der XenMobile Server-Datenbank zu bestimmen. Änderungen an der Gruppenmitgliedschaft führen zur Ableitung von RBAC- und Bereitstellungsgruppen für die betroffenen Benutzermitglieder, was zu Benutzerberechtigungen führt.
  
  Hinweis:
  
  Änderungen an der Bereitstellungsgruppendefinition können zu Änderungen der App- oder Richtlinienberechtigungen für betroffene Benutzer führen.
3. Einmal-PIN (OTP)-Einladungen. Der XenMobile Server-Administrator wählt eine Gruppe aus der Liste der in der XenMobile Server-Datenbank vorhandenen Active Directory-Gruppen aus. Für diese Gruppe werden alle direkten und indirekten Benutzer aus Active Directory abgerufen. OTP-Einladungen werden an die im vorhergehenden Schritt identifizierten Benutzer gesendet.
  
  Hinweis:
  
  Die vorangegangenen drei Interaktionen bedeuten, dass gruppenbasierte Interaktionen aufgrund von Änderungen an der XenMobile Server-Konfiguration ausgelöst werden. Wenn keine Änderungen an der Konfiguration vorgenommen werden, bedeutet dies, dass keine Interaktionen mit Active Directory stattfinden. Dies bedeutet auch, dass keine Hintergrundaufträge erforderlich sind, um die gruppenbezogenen Änderungen regelmäßig zu erfassen.
Benutzerbasierte Interaktion
1. Benutzerauthentifizierung: Der Benutzerauthentifizierungs-Workflow führt zu zwei Interaktionen mit Active Directory:
  - Wird zur Authentifizierung des Benutzers mit den bereitgestellten Anmeldeinformationen verwendet.
  - Ausgewählte Benutzerattribute zur XenMobile Server-Datenbank hinzufügen oder aktualisieren, einschließlich objectGUID, Distinguished Name, sAMAccountName und direkter Gruppenmitgliedschaft. Änderungen an der Gruppenmitgliedschaft führen zu einer Neubewertung der App-, Richtlinien- und Zugriffsrechte.
  Der Benutzer kann sich entweder vom Gerät oder von der XenMobile Server-Konsole aus authentifizieren. In beiden Szenarien folgt die Interaktion mit Active Directory dem gleichen Verhalten.
2. App Store-Zugriff und -Aktualisierung: Eine Aktualisierung des Stores führt zu einer Aktualisierung der Benutzerattribute, einschließlich direkter Gruppenmitgliedschaften. Diese Aktion ermöglicht eine Neubewertung der Benutzerberechtigungen.
3. Geräte-Check-ins: Administratoren können in der XenMobile-Konsole die Geräte-Check-ins regelmäßig konfigurieren. Jedes Mal, wenn ein Gerät eingecheckt wird, werden die entsprechenden Benutzerattribute aktualisiert, einschließlich direkter Gruppenmitgliedschaften. Diese Check-ins ermöglichen eine Neubewertung der Benutzerberechtigungen.
4. OTP-Einladungen nach Gruppe: Der XenMobile Server-Administrator wählt eine Gruppe aus der Liste der in der XenMobile Server-Datenbank vorhandenen Active Directory-Gruppen aus. Direkte und indirekte Benutzermitglieder (aufgrund von Verschachtelung) werden aus Active Directory abgerufen und in der XenMobile Server-Datenbank gespeichert. OTP-Einladungen werden an die im vorhergehenden Schritt identifizierten Benutzermitglieder gesendet.
5. OTP-Einladungen nach Benutzer: Der Administrator gibt eine Suchtextzeichenfolge in die XenMobile-Konsole ein. XenMobile Server fragt Active Directory ab und gibt Benutzerdatensätze zurück, die der eingegebenen Textzeichenfolge entsprechen. Der Administrator wählt dann den Benutzer aus, an den die OTP-Einladung gesendet werden soll. XenMobile Server ruft die Benutzerdetails aus Active Directory ab und aktualisiert dieselben Details in der Datenbank, bevor die Einladung an den Benutzer gesendet wird.

Hintergrundinteraktionen

Eine Schlussfolgerung aus der Inline-Kommunikation mit Active Directory ist, dass gruppenbasierte Interaktionen bei ausgewählten Änderungen an der XenMobile Server-Konfiguration ausgelöst werden. Wenn keine Änderungen an der Konfiguration vorgenommen werden, bedeutet dies, dass keine Interaktionen mit Active Directory für Gruppen stattfinden.

Diese Interaktion erfordert Hintergrundaufträge, die sich regelmäßig mit Active Directory synchronisieren und relevante Änderungen an den interessierten Gruppen aktualisieren.

Im Folgenden sind die Hintergrundaufträge aufgeführt, die mit Active Directory interagieren.

Gruppensynchronisierungsauftrag. Der Zweck dieses Auftrags ist es, Active Directory Gruppe für Gruppe nach Änderungen an den Attributen Distinguished Name oder sAMAccountName für interessierte Gruppen abzufragen. Die Suchabfrage an Active Directory verwendet die objectGUID der interessierten Gruppe, um die aktuellen Werte der Attribute Distinguished Name und sAMAccountName zu erhalten. Änderungen an den Werten von Distinguished Name oder sAMAccountName für interessierte Gruppen werden in der Datenbank aktualisiert.

Hinweis:

Dieser Auftrag aktualisiert nicht die Informationen zur Benutzer-Gruppen-Mitgliedschaft.
Synchronisierungsauftrag für verschachtelte Gruppen. Dieser Auftrag aktualisiert Änderungen in der Verschachtelungshierarchie interessierter Gruppen. XenMobile Server ermöglicht sowohl direkten als auch indirekten Mitgliedern einer interessierten Gruppe, Berechtigungen zu erhalten. Die direkte Mitgliedschaft der Benutzer wird während benutzerbasierter Inline-Interaktionen aktualisiert. Dieser im Hintergrund ausgeführte Auftrag verfolgt indirekte Mitgliedschaften. Indirekte Mitgliedschaften liegen vor, wenn ein Benutzer Mitglied einer Gruppe ist, die wiederum Mitglied einer interessierten Gruppe ist.

Dieser Auftrag sammelt die Liste der Active Directory-Gruppen aus der XenMobile Server-Datenbank. Diese Gruppen sind Teil der Bereitstellungsgruppe oder der RBAC-Definition. Für jede Gruppe in dieser Liste ruft XenMobile Server die Mitglieder der Gruppe ab. Mitglieder einer Gruppe sind eine Liste von Distinguished Names, die sowohl Benutzer als auch Gruppen repräsentieren.

XenMobile Server stellt eine weitere Abfrage an Active Directory, um nur die Benutzermitglieder der interessierten Gruppe zu erhalten. Die Differenz zwischen den beiden Listen ergibt nur die Gruppenmitglieder für die interessierte Gruppe. Änderungen in den Mitgliedsgruppen werden in der Datenbank aktualisiert. Derselbe Prozess wird für alle Gruppen in der Hierarchie wiederholt.

Änderungen an der Verschachtelung führen zur Verarbeitung der betroffenen Benutzer hinsichtlich Berechtigungsänderungen.
Prüfung deaktivierter Benutzer. Dieser Auftrag wird nur ausgeführt, wenn der XenMobile-Administrator eine Aktion zum Überprüfen deaktivierter Benutzer erstellt. Der Auftrag wird im Rahmen eines Gruppensynchronisierungsauftrags ausgeführt. Der Auftrag fragt Active Directory ab, um den Deaktivierungsstatus interessierter Benutzer einzeln zu überprüfen.

Häufig gestellte Fragen

Wie oft werden Hintergrundaufträge standardmäßig ausgeführt?

Gruppensynchronisierungsaufträge werden alle fünf Stunden ab 02:00 Uhr Ortszeit ausgeführt.
Synchronisierungsaufträge für verschachtelte Gruppen werden einmal täglich um Mitternacht Ortszeit ausgeführt.

Warum ist ein Gruppensynchronisierungsauftrag erforderlich?

Das Attribut memberOf eines Benutzerdatensatzes in Active Directory liefert die Liste der Gruppen, deren direktes Mitglied der Benutzer ist. Wenn eine Gruppe von einer OU in eine andere verschoben wird, spiegelt das Attribut memberOf den neuesten Wert des Distinguished Name wider. Die XenMobile Server-Datenbank enthält ebenfalls den zuletzt aktualisierten Wert. Eine Diskrepanz in den Distinguished Names der Gruppe kann dazu führen, dass der Benutzer den Zugriff auf die Bereitstellungsgruppe verliert. Der Benutzer kann auch die Apps und Richtlinien verlieren, die mit dieser Bereitstellungsgruppe verbunden sind.
Der Hintergrundauftrag hält das Attribut Distinguished Name der Gruppe in der XenMobile Server-Datenbank auf dem neuesten Stand, um sicherzustellen, dass Benutzer Zugriff auf ihre Berechtigungen haben.
Synchronisierungsaufträge werden alle fünf Stunden geplant, da davon ausgegangen wird, dass Gruppenänderungen innerhalb von Active Directory selten sind.

Kann ein Gruppensynchronisierungsauftrag deaktiviert werden?

Sie können Aufträge deaktivieren, wenn Sie wissen, dass sich interessierte Gruppen nicht von einer OU in eine andere ändern.

Warum ist ein Hintergrundauftrag zur Verarbeitung verschachtelter Gruppen erforderlich?

Änderungen an der Verschachtelung von Gruppen in Active Directory sind kein tägliches Ereignis. Änderungen an der Verschachtelungshierarchie interessierter Gruppen führen zu Änderungen der Berechtigungen der betroffenen Benutzer. Wenn eine Gruppe zur Hierarchie hinzugefügt wird, erhalten ihre Mitgliedsbenutzer die entsprechenden Rollenberechtigungen. Wenn eine Gruppe aus der Verschachtelung entfernt wird, können die Mitgliedsbenutzer der Gruppe den Zugriff auf die rollenbasierten Berechtigungen verlieren.
Änderungen an der Verschachtelung werden während der Benutzeraktualisierung nicht erfasst. Da Verschachtelungsänderungen nicht bedarfsgesteuert erfolgen können, werden die Änderungen durch einen Hintergrundauftrag erfasst.
Verschachtelungsänderungen werden als selten angenommen, und daher wird der Hintergrundauftrag einmal täglich ausgeführt, um nach Änderungen zu suchen.

Kann ein Auftrag zur Verarbeitung verschachtelter Gruppen deaktiviert werden?

Sie können Aufträge deaktivieren, wenn Sie wissen, dass bei interessierten Gruppen keine Verschachtelungsänderungen auftreten.

Die offizielle Version dieses Inhalts ist auf Englisch. Für den einfachen Einstieg wird Teil des Inhalts der Cloud Software Group Dokumentation maschinell übersetzt. Cloud Software Group hat keine Kontrolle über maschinell übersetzte Inhalte, die Fehler, Ungenauigkeiten oder eine ungeeignete Sprache enthalten können. Es wird keine Garantie, weder ausdrücklich noch stillschweigend, für die Genauigkeit, Zuverlässigkeit, Eignung oder Richtigkeit von Übersetzungen aus dem englischen Original in eine andere Sprache oder für die Konformität Ihres Cloud Software Group Produkts oder Ihres Diensts mit maschinell übersetzten Inhalten gegeben, und jegliche Garantie, die im Rahmen der anwendbaren Endbenutzer-Lizenzvereinbarung oder der Vertragsbedingungen oder einer anderen Vereinbarung mit Cloud Software Group gegeben wird, dass das Produkt oder den Dienst mit der Dokumentation übereinstimmt, gilt nicht in dem Umfang, in dem diese Dokumentation maschinell übersetzt wurde. Cloud Software Group kann nicht für Schäden oder Probleme verantwortlich gemacht werden, die durch die Verwendung maschinell übersetzter Inhalte entstehen können.

War dieser Artikel hilfreich?

Interaktion von On-Premises XenMobile® mit Active Directory

April 29, 2026

War dieser Artikel hilfreich?