Product Documentation

Interaction de XenMobile sur site avec Active Directory

Siddartha Vuppala

Cet article décrit l’interaction entre XenMobile Server et Active Directory. XenMobile Server interagit avec Active Directory à la fois en ligne et en arrière-plan. Les sections suivantes fournissent plus d’informations sur les opérations en ligne et en arrière-plan qui impliquent une interaction avec Active Directory.

Remarque :

Cet article est une vue d’ensemble de l’interaction et ne couvre pas tous les détails. Pour plus d’informations sur la configuration d’Active Directory et de LDAP dans la console XenMobile, consultez Authentification domaine ou domaine + jeton de sécurité.

Interactions en ligne

XenMobile Server communique avec Active Directory à l’aide des paramètres LDAP configurés par un administrateur. Les paramètres récupèrent les informations sur les utilisateurs et les groupes. Vous trouverez ci-après les opérations résultant de l’interaction entre XenMobile Server et Active Directory.

  1. Configuration LDAP. La configuration d’Active Directory entraîne une interaction avec Active Directory. XenMobile Server tente de valider les informations en authentifiant les informations auprès d’Active Directory. Pour ce faire, le serveur utilise le protocole Internet, le port et les informations d’identification du compte de service fournis. Une liaison réussie indique que la connexion est correctement configurée.

  2. Interactions basées sur des groupes.

    1. Recherchez un ou plusieurs groupes lors de la création de la définition du contrôle d’accès basé sur rôle (RBAC) et de groupes de distribution. L’administrateur de XenMobile Server entre une chaîne à rechercher dans la console XenMobile. XenMobile Server recherche dans le domaine sélectionné tous les groupes qui contiennent la sous-chaîne fournie. Ensuite, XenMobile Server récupère les attributs objectGUID, sAMAccountName et de nom unique des groupes identifiés dans la recherche.

      Remarque :

      Ces informations ne sont pas stockées dans la base de données de XenMobile Server.

    2. Ajout ou mise à jour de la définition du groupe de déploiement et de RBAC. L’administrateur de XenMobile Server sélectionne les groupes Active Directory d’intérêt en fonction de la recherche précédente et les inclut dans la définition du groupe de déploiement. XenMobile Server recherche le groupe spécifique, un à la fois, dans Active Directory. XenMobile Server recherche l’attribut objectGUID et récupère les attributs sélectionnés, y compris les informations d’appartenance. Les informations d’appartenance à un groupe vous permettent de déterminer l’appartenance entre le groupe récupéré et les utilisateurs ou groupes existants dans la base de données de XenMobile Server. Les modifications apportées à l’appartenance à un groupe entraînent la dérivation de groupe de déploiement et RBAC pour les membres utilisateurs affectés, qui se traduit par des droits d’utilisateurs.

      Remarque :

      Les modifications apportées à la définition du groupe de déploiement peuvent entraîner des modifications dans les droits des applications ou des stratégies pour les utilisateurs affectés.

    3. Invitations avec code PIN à usage unique (OTP). L’administrateur de XenMobile Server sélectionne un groupe dans la liste des groupes Active Directory présents dans la base de données de XenMobile Server. Pour ce groupe, tous les utilisateurs, directs et indirects, sont extraits d’Active Directory. Les invitations avec code PIN à usage unique (OTP) sont envoyées aux utilisateurs qui ont été identifiés à l’étape précédente.

      Remarque :

      Les trois interactions précédentes impliquent que les interactions basées sur des groupes sont déclenchées en fonction des modifications apportées à la configuration de XenMobile Server. Lorsqu’aucune modification n’est apportée à la configuration, les interactions impliquent qu’il n’y a aucune interaction avec Active Directory. Elles supposent également qu’il n’est pas nécessaire pour les tâches en arrière-plan de capturer les modifications du côté du groupe de façon périodique.

  3. Interaction basée sur l’utilisateur.

    1. L’authentification utilisateur. Le workflow d’authentification utilisateur implique deux interactions avec Active Directory :

      • Utilisé pour authentifier l’utilisateur avec les informations d’identification fournies.
      • Ajouter ou mettre à jour les attributs utilisateur sur la base de données de XenMobile Server, y compris objectGUID, sAMAccountName, le nom unique et l’appartenance directe aux groupes. Les modifications apportées à l’appartenance au groupe entraînent la réévaluation des droits des applications, des stratégies et d’accès.

      L’utilisateur peut s’authentifier à partir du périphérique ou de la console XenMobile Server. Dans les deux cas, l’interaction avec Active Directory respecte le même comportement.

    2. Accès et actualisation de l’App Store. Une actualisation du magasin entraîne une actualisation des attributs utilisateur, y compris les appartenances directes à des groupes. Cette action permet de réévaluer les droits des utilisateurs.

    3. Archivages de périphérique. Les administrateurs peuvent configurer des archivages de périphérique de manière périodique dans la console XenMobile. Chaque fois qu’un périphérique est archivé, les attributs utilisateur correspondants sont actualisés, y compris les appartenances directes aux groupes. Ces archivages permettent de réévaluer les droits des utilisateurs.

    4. Invitations OTP par groupe. L’administrateur de XenMobile Server sélectionne un groupe dans la liste des groupes Active Directory présents dans la base de données de XenMobile Server. Les membres utilisateurs, directs et indirects (en raison de l’imbrication), sont extraits d’Active Directory et enregistrés dans la base de données de XenMobile Server. Les invitations avec code PIN à usage unique (OTP) sont envoyées aux membres utilisateurs identifiés à l’étape précédente.

    5. Invitations OTP par utilisateur. L’administrateur entre une chaîne à rechercher dans la console XenMobile. XenMobile Server interroge Active Directory et renvoie les enregistrements utilisateur qui correspondent à la chaîne de texte. L’administrateur sélectionne ensuite l’utilisateur auquel envoyer l’invitation OTP. XenMobile Server récupère les informations utilisateur à partir d’Active Directory et met à jour les mêmes détails dans la base de données avant d’envoyer l’invitation à l’utilisateur.

Interactions en arrière-plan

Une des conclusions à tirer de la communication en ligne avec Active Directory est que les interactions basées sur des groupes sont déclenchées suite à des modifications apportées à la configuration de XenMobile Server. Lorsqu’aucune modification n’est apportée à la configuration, cela signifie qu’il n’existe aucune interaction avec Active Directory pour les groupes.

Cette interaction requiert des tâches en arrière-plan qui se synchronisent régulièrement avec Active Directory et mettent à jour les modifications pertinentes sur les groupes intéressés.

Vous trouverez ci-après les tâches en arrière-plan qui interagissent avec Active Directory.

  1. Tâche de synchronisation de groupe. Cette tâche vise à interroger Active Directory, un seul groupe à la fois, à propos des groupes intéressés afin d’identifier les modifications apportées aux attributs sAMAccountName et de nom unique. La requête de recherche dans Active Directory utilise l’attribut objectGUID du groupe intéressé pour obtenir les valeurs actuelles des attributs de nom unique et sAMAccountName. Les modifications apportées aux valeurs de nom unique ou sAMAccountName pour les groupes intéressés sont mises à jour sur la base de données.

    Remarque :

    Cette tâche n’actualise pas les informations d’appartenance d’utilisateurs à des groupes.

  2. Tâche de synchronisation de groupes imbriqués. Cette tâche met à jour les modifications dans la hiérarchie imbriquée des groupes intéressés. XenMobile Server permet à la fois aux membres directs et indirects d’un groupe intéressé d’obtenir les droits. L’appartenance directe des utilisateurs est mise à jour lors des interactions en ligne des utilisateurs. Cette tâche, exécutée en arrière-plan, effectue le suivi des appartenances indirectes. Les appartenances indirectes correspondent à un utilisateur qui est membre d’un groupe qui est lui-même membre d’un groupe intéressé.

    Cette tâche recueille la liste des groupes Active Directory de la base de données de XenMobile Server. Ces groupes font partie de la définition du groupe déploiement ou de RBAC. Pour chaque groupe dans cette liste, XenMobile Server obtient les membres du groupe. Les membres d’un groupe sont une liste de noms uniques qui représentent à la fois des utilisateurs et des groupes. XenMobile Server interroge de nouveau Active Directory pour obtenir uniquement les membres utilisateurs du groupe intéressé. La différence entre les deux listes donne uniquement les membres du groupe pour le groupe intéressé. Les modifications apportées aux groupes de membres sont mises à jour sur la base de données. Le même processus est répété pour tous les groupes dans la hiérarchie.

    Les modifications apportées à l’imbrication entraînent le traitement des utilisateurs affectés pour les modifications de droits.

  3. Vérification des utilisateurs désactivés. Cette tâche est exécutée uniquement lorsque l’administrateur XenMobile crée une action afin de vérifier les utilisateurs désactivés. La tâche s’exécute dans le cadre d’une tâche de synchronisation de groupe. La tâche interroge Active Directory pour vérifier l’état désactivé des utilisateurs intéressés, un seul utilisateur à la fois.

Questions fréquentes

Quelle est la fréquence d’exécution par défaut des tâches en arrière-plan ?

  • Les tâches de synchronisation de groupes s’exécutent toutes les cinq heures et commencent à 02:00 heure locale.
  • Les tâches de synchronisation de groupes imbriqués s’exécutent une fois par jour à minuit heure locale.

Pourquoi une tâche de synchronisation de groupe est-elle nécessaire ?

  • L’attribut memberOf d’un enregistrement utilisateur dans Active Directory fournit la liste des groupes auxquels l’utilisateur est un membre direct. Si un groupe est déplacé d’une unité d’organisation à une autre, l’attribut memberOf reflète la dernière valeur du nom unique. La base de données de XenMobile Server utilise également la dernière valeur actualisée. S’il existe des différences dans les noms uniques du groupe, les utilisateurs peuvent perdre l’accès au groupe de déploiement. Les utilisateurs peuvent également perdre les applications et les stratégies associées à ce groupe de déploiement.
  • La tâche d’arrière-plan conserve l’attribut de nom unique du groupe à jour dans la base de données de XenMobile Server pour s’assurer que les utilisateurs ont accès à leurs droits.
  • Les tâches de synchronisation sont planifiées toutes les cinq heures parce qu’il est supposé que les modifications de groupes dans Active Directory sont rares.

Est-il possible de désactiver une tâche de synchronisation de groupe ?

  • Vous pouvez désactiver les tâches lorsque vous savez que les groupes intéressés ne sont pas modifiés pas d’une unité d’organisation à l’autre.

Pourquoi une tâche en arrière-plan de traitement d’un groupe imbriqué est-elle nécessaire ?

  • Les modifications apportées aux groupes imbriqués dans Active Directory ne sont pas effectuées quotidiennement. Les modifications de la hiérarchie d’imbrication de groupes intéressés entraînent des modifications des droits des utilisateurs concernés. Lorsqu’un groupe est ajouté à la hiérarchie, ses utilisateurs membres se voient accorder l’accès aux rôles respectifs. Lorsqu’un groupe est retiré de l’imbrication, les utilisateurs membres du groupe peuvent perdre l’accès aux droits basés sur les rôles.
  • Les modifications apportées à l’imbrication ne sont pas capturées lors de l’actualisation utilisateur. Étant donné que les modifications d’imbrication ne peuvent pas être effectuées à la demande, les modifications sont capturées via une tâche en arrière-plan.
  • Les modifications de l’imbrication étant supposées être rares, la tâche en arrière-plan s’exécute une fois par jour pour vérifier les modifications.

Est-il possible de désactiver une tâche de traitement d’un groupe imbriqué ?

  • Vous pouvez désactiver les tâches lorsque vous savez que les modifications d’imbrication ne s’appliquent pas aux groupes intéressés.

Interaction de XenMobile sur site avec Active Directory