Documentación de productos
XenMobile® Server
Ver PDF

Interacción de XenMobile® local con Active Directory

April 16, 2026

Este artículo explica la interacción entre XenMobile Server y Active Directory. XenMobile Server interactúa con Active Directory tanto en línea como en segundo plano. Las siguientes secciones proporcionan más información sobre las operaciones en línea y en segundo plano que implican la interacción con Active Directory.

Nota:

Este artículo es una descripción general de la interacción y no cubre los detalles granulares. Para obtener más información sobre cómo configurar Active Directory y LDAP en la consola de XenMobile, consulta Autenticación de dominio o de dominio más token de seguridad.

Interacciones en línea

XenMobile Server se comunica con Active Directory mediante el uso de la configuración LDAP que un administrador configura. La configuración recupera información sobre usuarios y grupos. Las siguientes son las operaciones que resultan en la interacción entre XenMobile Server y Active Directory.

  1. Configuración de LDAP. La configuración de Active Directory en sí misma resulta en una interacción con Active Directory. XenMobile Server intenta validar la información autenticándola con Active Directory. El servidor lo hace utilizando el protocolo de Internet, el puerto y las credenciales de la cuenta de servicio proporcionados. Una vinculación correcta indica que la conexión está configurada correctamente.

  2. Interacciones basadas en grupos.

    1. Búsqueda de uno o más grupos durante la creación de la definición de grupos de entrega y Control de acceso basado en roles (RBAC). El administrador de XenMobile Server introduce una cadena de texto de búsqueda en la consola de XenMobile. XenMobile Server busca en el dominio seleccionado todos los grupos que contienen la subcadena proporcionada. Luego, XenMobile Server recupera los atributos objectGUID, sAMAccountName y Distinguished Name de los grupos identificados en la búsqueda.

      Nota:

      Esta información no se almacena en la base de datos de XenMobile Server.

    2. Adición o actualización de la definición de grupos de implementación y RBAC. El administrador de XenMobile Server selecciona los grupos de Active Directory de interés basándose en la búsqueda anterior y los incluye en la definición del grupo de implementación. XenMobile Server busca el grupo específico uno por uno en Active Directory. XenMobile Server busca el atributo objectGUID y recupera los atributos seleccionados, incluida la información de pertenencia. La información de pertenencia a grupos ayuda a determinar la pertenencia entre el grupo recuperado y los usuarios o grupos existentes en la base de datos de XenMobile Server. Los cambios en la pertenencia a grupos dan como resultado la derivación de RBAC y grupos de implementación para los miembros de usuario afectados, lo que a su vez genera los derechos de usuario.

      Nota:

      Los cambios en la definición del grupo de implementación pueden provocar cambios en los derechos de aplicaciones o políticas para los usuarios afectados.

    3. Invitaciones de PIN de un solo uso (OTP). El administrador de XenMobile Server selecciona un grupo de la lista de grupos de Active Directory presentes en la base de datos de XenMobile Server. Para este grupo, todos los usuarios, tanto directos como indirectos, se recuperan de Active Directory. Las invitaciones de OTP se envían a los usuarios identificados en el paso anterior.

      Nota:

      Las tres interacciones anteriores implican que las interacciones basadas en grupos se activan en función de los cambios de configuración de XenMobile Server. Cuando no hay cambios en la configuración, las interacciones implican que no hay interacciones con Active Directory. También implican que no es necesario que los trabajos en segundo plano capturen los cambios del lado del grupo de forma periódica.

  3. Interacción basada en usuarios

    1. Autenticación de usuario: El flujo de trabajo de autenticación de usuario da como resultado dos interacciones con Active Directory:

      • Se utiliza para autenticar al usuario con las credenciales proporcionadas.
      • Agrega o actualiza atributos de usuario seleccionados en la base de datos de XenMobile Server, incluidos objectGUID, Distinguished Name, sAMAccountName y la pertenencia directa a grupos. Los cambios en la pertenencia a grupos dan como resultado la reevaluación de los derechos de aplicaciones, políticas y acceso.

      El usuario puede autenticarse desde el dispositivo o desde la consola de XenMobile Server. En ambos escenarios, la interacción con Active Directory se adhiere al mismo comportamiento.

    2. Acceso y actualización de App Store: Una actualización de la tienda da como resultado una actualización de los atributos de usuario, incluidas las pertenencias directas a grupos. Esta acción permite una reevaluación de los derechos de usuario.

    3. Registros de dispositivos: Los administradores pueden configurar en la consola de XenMobile los registros de dispositivos de forma periódica. Cada vez que se registra un dispositivo, los atributos de usuario correspondientes se actualizan, incluidas las pertenencias directas a grupos. Estos registros permiten una reevaluación de los derechos de usuario.

    4. Invitaciones de OTP por grupo: El administrador de XenMobile Server selecciona un grupo de la lista de grupos de Active Directory presentes en la base de datos de XenMobile Server. Los miembros de usuario, tanto directos como indirectos (debido al anidamiento), se recuperan de Active Directory y se guardan en la base de datos de XenMobile Server. Las invitaciones de OTP se envían a los miembros de usuario identificados en el paso anterior.

    5. Invitaciones de OTP por usuario: El administrador introduce una cadena de texto de búsqueda en la consola de XenMobile. XenMobile Server consulta Active Directory y devuelve los registros de usuario que coinciden con la cadena de texto de entrada. Luego, el administrador selecciona al usuario para enviar la invitación de OTP. XenMobile Server recupera los detalles del usuario de Active Directory y actualiza los mismos detalles en la base de datos antes de enviar la invitación al usuario.

Interacciones en segundo plano

Una conclusión de la comunicación en línea con Active Directory es que las interacciones basadas en grupos se activan ante cambios seleccionados en la configuración de XenMobile Server. Cuando no hay cambios en la configuración, esto implica que no hay interacciones con Active Directory para los grupos.

Esta interacción requiere trabajos en segundo plano que se sincronicen periódicamente con Active Directory y actualicen los cambios relevantes en los grupos de interés.

Los siguientes son los trabajos en segundo plano que interactúan con Active Directory.

  1. Trabajo de sincronización de grupos. El propósito de este trabajo es consultar Active Directory, un grupo a la vez, sobre los grupos de interés para detectar cambios en los atributos distinguished name o sAMAccountName. La consulta de búsqueda a Active Directory utiliza el objectGUID del grupo de interés para obtener los valores actuales de los atributos distinguished name y sAMAccountName. Los cambios en los valores de distinguished name o sAMAccountName para los grupos de interés se actualizan en la base de datos.

    Nota:

    Este trabajo no actualiza la información de pertenencia de usuario a grupo.

  2. Trabajo de sincronización de grupos anidados. Este trabajo actualiza los cambios en la jerarquía de anidamiento de los grupos de interés. XenMobile Server permite que tanto los miembros directos como los indirectos de un grupo de interés obtengan derechos. La pertenencia directa de los usuarios se actualiza durante las interacciones en línea basadas en el usuario. Ejecutándose en segundo plano, este trabajo rastrea las pertenencias indirectas. Las pertenencias indirectas se dan cuando un usuario es miembro de un grupo que, a su vez, es miembro de un grupo de interés.

    Este trabajo recopila la lista de grupos de Active Directory de la base de datos de XenMobile Server. Estos grupos forman parte de la definición del grupo de implementación o de RBAC. Para cada grupo de esta lista, XenMobile Server obtiene los miembros del grupo. Los miembros de un grupo son una lista de nombres distintivos que representan tanto a usuarios como a grupos.

    XenMobile Server realiza otra consulta a Active Directory para obtener solo los miembros de usuario del grupo de interés. La diferencia entre las dos listas proporciona solo los miembros del grupo para el grupo de interés. Los cambios en los grupos de miembros se actualizan en la base de datos. El mismo proceso se repite para todos los grupos de la jerarquía.

    Los cambios en el anidamiento dan como resultado el procesamiento de los usuarios afectados para los cambios de derechos.

  3. Comprobación de usuarios deshabilitados. Este trabajo se ejecuta solo cuando el administrador de XenMobile crea una acción para buscar usuarios deshabilitados. El trabajo se ejecuta dentro del alcance de un trabajo de sincronización de grupos. El trabajo consulta Active Directory para verificar el estado de deshabilitación de los usuarios de interés, un usuario a la vez.

Preguntas frecuentes

¿Cuál es la frecuencia de ejecución de los trabajos en segundo plano, por defecto?

  • Los trabajos de sincronización de grupos se ejecutan cada cinco horas a partir de las 02:00, hora local.
  • Los trabajos de sincronización de grupos anidados se ejecutan una vez al día a medianoche, hora local.

¿Por qué se requiere un trabajo de sincronización de grupos?

  • El atributo memberOf de un registro de usuario en Active Directory proporciona la lista de grupos de los que el usuario es miembro directo. Si un grupo se mueve de una OU a otra, el atributo memberOf refleja el valor más reciente del nombre distintivo. La base de datos de XenMobile Server también tiene el último valor actualizado. Cualquier discrepancia en los nombres distintivos del grupo puede provocar que el usuario pierda el acceso al grupo de implementación. El usuario también puede perder las aplicaciones y políticas asociadas con ese grupo de implementación.
  • El trabajo en segundo plano mantiene actualizado el atributo de nombre distintivo del grupo en la base de datos de XenMobile Server para garantizar que los usuarios tengan acceso a sus derechos.
  • Los trabajos de sincronización se programan cada cinco horas porque se asume que los cambios de grupo dentro de Active Directory son poco comunes.

¿Se puede desactivar un trabajo de sincronización de grupos?

  • Puedes desactivar los trabajos cuando sepas que los grupos de interés no cambian de una OU a otra.

¿Por qué se requiere un trabajo en segundo plano de procesamiento de grupos anidados?

  • Los cambios en el anidamiento de grupos en Active Directory no son algo que ocurra a diario. Los cambios en la jerarquía de anidamiento de los grupos de interés dan como resultado cambios en los derechos de los usuarios afectados. Cuando se agrega un grupo a la jerarquía, sus usuarios miembros obtienen los derechos de los roles respectivos. Cuando un grupo sale del anidamiento, los usuarios miembros del grupo pueden perder el acceso a los derechos basados en roles.
  • Los cambios en el anidamiento no se capturan durante la actualización del usuario. Dado que los cambios de anidamiento no pueden ser bajo demanda, los cambios se capturan a través de un trabajo en segundo plano.
  • Se asume que los cambios de anidamiento son poco comunes y, por lo tanto, el trabajo en segundo plano se ejecuta una vez al día para verificar si hay cambios.

¿Se puede desactivar un trabajo de procesamiento de grupos anidados?

  • Puedes desactivar los trabajos cuando sepas que no se producen cambios de anidamiento en los grupos de interés.
Interacción de XenMobile® local con Active Directory
April 16, 2026
April 16, 2026

En este artículo

Comentarios sobre el sitio | Your privacy choices footer linkSus opciones de privacidad | Condiciones legales y de privacidad | Preferencias de cookies | Parámetros de consentimiento | docs.cloud.com
© 1999- Cloud Software Group, Inc. All rights reserved.