Serveur XenMobile®

Interaction de XenMobile® local avec Active Directory

April 16, 2026

Cet article explique l’interaction entre XenMobile Server et Active Directory. XenMobile Server interagit avec Active Directory à la fois en ligne et en arrière-plan. Les sections suivantes fournissent plus d’informations sur les opérations en ligne et en arrière-plan qui impliquent une interaction avec Active Directory.

Remarque :

Cet article est un aperçu de l’interaction et ne couvre pas les détails granulaires. Pour plus d’informations sur la configuration d’Active Directory et de LDAP dans la console XenMobile, consultez Authentification par domaine ou par domaine plus jeton de sécurité.

Interactions en ligne

XenMobile Server communique avec Active Directory en utilisant les paramètres LDAP configurés par un administrateur. Ces paramètres récupèrent des informations sur les utilisateurs et les groupes. Voici les opérations qui entraînent une interaction entre XenMobile Server et Active Directory.

Configuration LDAP. La configuration d’Active Directory elle-même entraîne une interaction avec Active Directory. XenMobile Server tente de valider les informations en les authentifiant auprès d’Active Directory. Le serveur le fait en utilisant le protocole Internet, le port et les informations d’identification du compte de service fournis. Une liaison réussie indique que la connexion est configurée correctement.
Interactions basées sur les groupes.
1. Recherche d’un ou plusieurs groupes lors de la création de la définition du contrôle d’accès basé sur les rôles (RBAC) et du groupe de déploiement. L’administrateur XenMobile Server saisit une chaîne de texte de recherche dans la console XenMobile. XenMobile Server recherche dans le domaine sélectionné tous les groupes qui contiennent la sous-chaîne fournie. Ensuite, XenMobile Server récupère les attributs objectGUID, sAMAccountName et Distinguished Name des groupes identifiés dans la recherche.
  
  Remarque :
  
  Ces informations ne sont pas stockées dans la base de données XenMobile Server.
2. Ajout ou mise à jour de la définition du groupe de déploiement et du RBAC. L’administrateur XenMobile Server sélectionne les groupes Active Directory pertinents en fonction de la recherche précédente et les inclut dans la définition du groupe de déploiement. XenMobile Server recherche le groupe spécifique un par un dans Active Directory. XenMobile Server recherche l’attribut objectGUID et récupère les attributs sélectionnés, y compris les informations d’appartenance. Les informations d’appartenance au groupe aident à déterminer l’appartenance entre le groupe récupéré et les utilisateurs ou groupes existants dans la base de données XenMobile Server. Les modifications apportées à l’appartenance au groupe entraînent la dérivation du RBAC et du groupe de déploiement pour les membres utilisateurs affectés, ce qui se traduit par des droits d’utilisateur.
  
  Remarque :
  
  Les modifications apportées à la définition du groupe de déploiement peuvent entraîner une modification des droits d’application ou de stratégie pour les utilisateurs affectés.
3. Invitations par code PIN à usage unique (OTP). L’administrateur XenMobile Server sélectionne un groupe dans la liste des groupes Active Directory présents dans la base de données XenMobile Server. Pour ce groupe, tous les utilisateurs, directs et indirects, sont récupérés d’Active Directory. Les invitations OTP sont envoyées aux utilisateurs identifiés à l’étape précédente.
  
  Remarque :
  
  Les trois interactions précédentes impliquent que les interactions basées sur les groupes sont déclenchées en fonction des modifications de configuration de XenMobile Server. Lorsqu’il n’y a pas de modifications de configuration, les interactions impliquent qu’il n’y a pas d’interactions avec Active Directory. Elles impliquent également qu’il n’est pas nécessaire d’exécuter des tâches en arrière-plan pour capturer les modifications côté groupe de manière périodique.
Interaction basée sur l’utilisateur
1. Authentification de l’utilisateur : Le flux de travail d’authentification de l’utilisateur entraîne deux interactions avec Active Directory :
  - Utilisée pour authentifier l’utilisateur avec les informations d’identification fournies.
  - Ajouter ou mettre à jour certains attributs utilisateur dans la base de données XenMobile Server, y compris objectGUID, Distinguished Name, sAMAccountName et l’appartenance directe aux groupes. Les modifications apportées à l’appartenance au groupe entraînent la réévaluation des droits d’application, de stratégie et d’accès.
  L’utilisateur peut s’authentifier soit depuis l’appareil, soit depuis la console XenMobile Server. Dans les deux scénarios, l’interaction avec Active Directory respecte le même comportement.
2. Accès et actualisation de l’App Store : Une actualisation du magasin entraîne une actualisation des attributs utilisateur, y compris les appartenances directes aux groupes. Cette action permet une réévaluation des droits d’utilisateur.
3. Enregistrements d’appareils : Les administrateurs peuvent configurer dans la console XenMobile les enregistrements d’appareils sur une base périodique. Chaque fois qu’un appareil est enregistré, les attributs utilisateur correspondants sont actualisés, y compris les appartenances directes aux groupes. Ces enregistrements permettent une réévaluation des droits d’utilisateur.
4. Invitations OTP par groupe : L’administrateur XenMobile Server sélectionne un groupe dans la liste des groupes Active Directory présents dans la base de données XenMobile Server. Les membres utilisateurs directs et indirects (en raison de l’imbrication) sont récupérés d’Active Directory et enregistrés dans la base de données XenMobile Server. Les invitations OTP sont envoyées aux membres utilisateurs identifiés à l’étape précédente.
5. Invitations OTP par utilisateur : L’administrateur saisit une chaîne de texte de recherche dans la console XenMobile. XenMobile Server interroge Active Directory et renvoie les enregistrements utilisateur qui correspondent à la chaîne de texte saisie. L’administrateur sélectionne ensuite l’utilisateur auquel envoyer l’invitation OTP. XenMobile Server récupère les détails de l’utilisateur d’Active Directory et met à jour ces mêmes détails dans la base de données avant d’envoyer l’invitation à l’utilisateur.

Interactions en arrière-plan

Une conclusion de la communication en ligne avec Active Directory est que les interactions basées sur les groupes sont déclenchées lors de modifications sélectionnées de la configuration de XenMobile Server. Lorsqu’il n’y a pas de modifications de configuration, cela implique qu’il n’y a pas d’interactions avec Active Directory pour les groupes.

Cette interaction nécessite des tâches en arrière-plan qui se synchronisent périodiquement avec Active Directory et mettent à jour les modifications pertinentes pour les groupes concernés.

Voici les tâches en arrière-plan qui interagissent avec Active Directory.

Tâche de synchronisation de groupe. Le but de cette tâche est d’interroger Active Directory, groupe par groupe, sur les groupes concernés pour détecter les modifications des attributs distinguished name ou sAMAccountName. La requête de recherche vers Active Directory utilise l’objectGUID du groupe concerné pour obtenir les valeurs actuelles des attributs distinguished name et sAMAccountName. Les modifications des valeurs distinguished name ou sAMAccountName pour les groupes concernés sont mises à jour dans la base de données.

Remarque :

Cette tâche ne met pas à jour les informations d’appartenance de l’utilisateur au groupe.
Tâche de synchronisation des groupes imbriqués. Cette tâche met à jour les modifications dans la hiérarchie d’imbrication des groupes concernés. XenMobile Server permet aux membres directs et indirects d’un groupe concerné d’obtenir des droits. L’appartenance directe des utilisateurs est mise à jour lors des interactions en ligne basées sur l’utilisateur. Exécutée en arrière-plan, cette tâche suit les appartenances indirectes. Les appartenances indirectes se produisent lorsqu’un utilisateur est membre d’un groupe qui est lui-même membre d’un groupe concerné.

Cette tâche collecte la liste des groupes Active Directory à partir de la base de données XenMobile Server. Ces groupes font partie soit du groupe de déploiement, soit de la définition RBAC. Pour chaque groupe de cette liste, XenMobile Server obtient les membres du groupe. Les membres d’un groupe sont une liste de noms uniques qui représentent à la fois des utilisateurs et des groupes.

XenMobile Server effectue une autre requête vers Active Directory pour obtenir uniquement les membres utilisateurs du groupe concerné. La différence entre les deux listes ne donne que les membres du groupe pour le groupe concerné. Les modifications des groupes membres sont mises à jour dans la base de données. Le même processus est répété pour tous les groupes de la hiérarchie.

Les modifications d’imbrication entraînent le traitement des utilisateurs affectés pour les modifications de droits.
Vérification des utilisateurs désactivés. Cette tâche ne s’exécute que lorsque l’administrateur XenMobile crée une action pour vérifier les utilisateurs désactivés. La tâche s’exécute dans le cadre d’une tâche de synchronisation de groupe. La tâche interroge Active Directory pour vérifier le statut désactivé des utilisateurs concernés, un utilisateur à la fois.

FAQ

Quelle est la fréquence d’exécution des tâches en arrière-plan, par défaut ?

Les tâches de synchronisation de groupe s’exécutent toutes les cinq heures à partir de 02h00, heure locale.
Les tâches de synchronisation des groupes imbriqués s’exécutent une fois par jour à minuit, heure locale.

Pourquoi une tâche de synchronisation de groupe est-elle requise ?

L’attribut memberOf d’un enregistrement utilisateur dans Active Directory fournit la liste des groupes dont l’utilisateur est un membre direct. Si un groupe passe d’une unité d’organisation (OU) à une autre, l’attribut memberOf reflète la dernière valeur du nom unique. La base de données XenMobile Server contient également la dernière valeur actualisée. Toute non-concordance dans les noms uniques du groupe peut entraîner la perte d’accès de l’utilisateur au groupe de déploiement. L’utilisateur peut également perdre les applications et les stratégies associées à ce groupe de déploiement.
La tâche en arrière-plan maintient l’attribut de nom unique du groupe à jour dans la base de données XenMobile Server pour garantir que les utilisateurs ont accès à leurs droits.
Les tâches de synchronisation sont planifiées toutes les cinq heures car il est supposé que les modifications de groupe au sein d’Active Directory sont peu fréquentes.

Une tâche de synchronisation de groupe peut-elle être désactivée ?

Vous pouvez désactiver les tâches lorsque vous savez que les groupes concernés ne changent pas d’unité d’organisation (OU).

Pourquoi une tâche en arrière-plan de traitement des groupes imbriqués est-elle requise ?

Les modifications d’imbrication de groupes dans Active Directory ne sont pas quotidiennes. Les modifications apportées à la hiérarchie d’imbrication des groupes concernés entraînent des modifications des droits des utilisateurs affectés. Lorsqu’un groupe est ajouté à la hiérarchie, ses membres utilisateurs obtiennent les rôles respectifs. Lorsqu’un groupe est retiré de l’imbrication, les membres utilisateurs du groupe peuvent perdre l’accès aux droits basés sur les rôles.
Les modifications d’imbrication ne sont pas capturées lors de l’actualisation de l’utilisateur. Étant donné que les modifications d’imbrication ne peuvent pas être à la demande, elles sont capturées via une tâche en arrière-plan.
Les modifications d’imbrication sont supposées être peu fréquentes et, par conséquent, la tâche en arrière-plan s’exécute une fois par jour pour vérifier toute modification.

Une tâche de traitement des groupes imbriqués peut-elle être désactivée ?

Vous pouvez désactiver les tâches lorsque vous savez que les modifications d’imbrication ne se produisent pas pour les groupes concernés.

La version officielle de ce document est en anglais. Certains contenus de la documentation Cloud Software Group ont été traduits de façon automatique à des fins pratiques uniquement. Cloud Software Group n'exerce aucun contrôle sur le contenu traduit de façon automatique, qui peut contenir des erreurs, des imprécisions ou un langage inapproprié. Aucune garantie, explicite ou implicite, n'est fournie quant à l'exactitude, la fiabilité, la pertinence ou la justesse de toute traduction effectuée depuis l'anglais d'origine vers une autre langue, ou quant à la conformité de votre produit ou service Cloud Software Group à tout contenu traduit de façon automatique, et toute garantie fournie en vertu du contrat de licence de l'utilisateur final ou des conditions d'utilisation des services applicables, ou de tout autre accord avec Cloud Software Group, quant à la conformité du produit ou service à toute documentation ne s'applique pas dans la mesure où cette documentation a été traduite de façon automatique. Cloud Software Group ne pourra être tenu responsable de tout dommage ou problème dû à l'utilisation de contenu traduit de façon automatique.

Cela vous a-t-il été utile ?

Interaction de XenMobile® local avec Active Directory

April 16, 2026

Cela vous a-t-il été utile ?