This content has been machine translated dynamically.
Dieser Inhalt ist eine maschinelle Übersetzung, die dynamisch erstellt wurde. (Haftungsausschluss)
Cet article a été traduit automatiquement de manière dynamique. (Clause de non responsabilité)
Este artículo lo ha traducido una máquina de forma dinámica. (Aviso legal)
此内容已经过机器动态翻译。 放弃
このコンテンツは動的に機械翻訳されています。免責事項
이 콘텐츠는 동적으로 기계 번역되었습니다. 책임 부인
Este texto foi traduzido automaticamente. (Aviso legal)
Questo contenuto è stato tradotto dinamicamente con traduzione automatica.(Esclusione di responsabilità))
This article has been machine translated.
Dieser Artikel wurde maschinell übersetzt. (Haftungsausschluss)
Ce article a été traduit automatiquement. (Clause de non responsabilité)
Este artículo ha sido traducido automáticamente. (Aviso legal)
この記事は機械翻訳されています.免責事項
이 기사는 기계 번역되었습니다.책임 부인
Este artigo foi traduzido automaticamente.(Aviso legal)
这篇文章已经过机器翻译.放弃
Questo articolo è stato tradotto automaticamente.(Esclusione di responsabilità))
Translation failed!
オンプレミス XenMobile® と Active Directory の連携
この記事では、XenMobile Server と Active Directory の連携について説明します。XenMobile Server は、インラインとバックグラウンドの両方で Active Directory と連携します。以下のセクションでは、Active Directory との連携を伴うインライン操作とバックグラウンド操作について詳しく説明します。
注:
この記事は連携の概要であり、詳細な内容は含まれていません。XenMobile コンソールでの Active Directory および LDAP の構成の詳細については、「ドメインまたはドメインとセキュリティトークン認証」を参照してください。
インライン連携
XenMobile Server は、管理者が構成する LDAP 設定を使用して Active Directory と通信します。この設定により、ユーザーとグループに関する情報が取得されます。以下は、XenMobile Server と Active Directory の連携をもたらす操作です。
-
LDAP 構成。 Active Directory 自体の構成により、Active Directory との連携が発生します。XenMobile Server は、Active Directory で情報を認証することにより、その情報の検証を試みます。サーバーは、提供されたインターネットプロトコル、ポート、およびサービスアカウントの資格情報を使用してこれを行います。バインドが成功すると、接続が正しく構成されていることを示します。
-
グループベースの連携。
-
ロールベースのアクセス制御 (RBAC) および配信グループ定義の作成中に、1 つ以上のグループを検索します。XenMobile Server 管理者は、XenMobile コンソールで検索テキスト文字列を入力します。XenMobile Server は、指定されたサブストリングを持つすべてのグループについて、選択されたドメインを検索します。その後、XenMobile Server は、検索で識別されたグループの objectGUID、sAMAccountName、および Distinguished Name 属性を取得します。
注:
この情報は XenMobile Server データベースには保存されません。
-
RBAC および展開グループ定義の追加または更新。XenMobile Server 管理者は、以前の検索に基づいて対象の Active Directory グループを選択し、それらを展開グループ定義に含めます。XenMobile Server は、Active Directory 内で特定のグループを一度に 1 つずつ検索します。XenMobile Server は objectGUID 属性を検索し、メンバーシップ情報を含む選択された属性を取得します。グループメンバーシップ情報は、取得されたグループと XenMobile Server データベース内の既存のユーザーまたはグループとの間のメンバーシップを判断するのに役立ちます。グループメンバーシップの変更は、影響を受けるユーザーメンバーの RBAC および展開グループの派生をもたらし、ユーザーの資格につながります。
注:
展開グループ定義の変更は、影響を受けるユーザーのアプリまたはポリシーの資格の変更につながる可能性があります。
-
ワンタイム PIN (OTP) 招待。 XenMobile Server 管理者は、XenMobile Server データベースに存在する Active Directory グループのリストからグループを選択します。このグループについて、直接的および間接的なすべてのユーザーが Active Directory から取得されます。OTP 招待は、前の手順で識別されたユーザーに送信されます。
注:
前述の 3 つの連携は、グループベースの連携が XenMobile Server の構成変更に基づいてトリガーされることを意味します。構成に変更がない場合、連携は Active Directory との連携がないことを意味します。また、定期的にグループ側の変更をキャプチャするためのバックグラウンドジョブの要件がないことも意味します。
-
-
ユーザーベースの連携
-
ユーザー認証: ユーザー認証ワークフローは、Active Directory との 2 つの連携をもたらします。
- 提供された資格情報でユーザーを認証するために使用されます。
- objectGUID、Distinguished Name、sAMAccountName、およびグループへの直接メンバーシップを含む、選択されたユーザー属性を XenMobile Server データベースに追加または更新します。グループメンバーシップの変更は、アプリ、ポリシー、およびアクセス資格の再評価をもたらします。
ユーザーは、デバイスから、または XenMobile Server コンソールから認証できます。どちらのシナリオでも、Active Directory との連携は同じ動作に従います。
-
App Store アクセスと更新: ストアの更新により、直接グループメンバーシップを含むユーザー属性が更新されます。このアクションにより、ユーザーの資格の再評価が可能になります。
-
デバイスのチェックイン: 管理者は、XenMobile コンソールでデバイスの定期的なチェックインを構成できます。デバイスがチェックインされるたびに、直接グループメンバーシップを含む対応するユーザー属性が更新されます。これらのチェックインにより、ユーザーの資格の再評価が可能になります。
-
グループによる OTP 招待: XenMobile Server 管理者は、XenMobile Server データベースに存在する Active Directory グループのリストからグループを選択します。直接的および間接的 (ネストのため) なユーザーメンバーの両方が Active Directory から取得され、XenMobile Server データベースに保存されます。OTP 招待は、前の手順で識別されたユーザーメンバーに送信されます。
-
ユーザーによる OTP 招待: 管理者は、XenMobile コンソール内で検索テキスト文字列を入力します。XenMobile Server は Active Directory を照会し、入力されたテキスト文字列に一致するユーザーレコードを返します。管理者は、OTP 招待を送信するユーザーを選択します。XenMobile Server は、Active Directory からユーザーの詳細を取得し、ユーザーに招待を送信する前に同じ詳細をデータベースで更新します。
-
バックグラウンド連携
Active Directory とのインライン通信から導き出される結論の 1 つは、グループベースの連携が XenMobile Server 構成の選択された変更時にトリガーされるということです。構成に変更がない場合、グループに対する Active Directory との連携がないことを意味します。
この連携には、Active Directory と定期的に同期し、対象グループへの関連する変更を更新するバックグラウンドジョブが必要です。
以下は、Active Directory と連携するバックグラウンドジョブです。
-
グループ同期ジョブ。 このジョブの目的は、対象グループの distinguished name または sAMAccountName 属性の変更について、Active Directory を一度に 1 つのグループずつ照会することです。Active Directory への検索クエリは、対象グループの objectGUID を使用して、distinguished name および sAMAccountName 属性の現在の値を取得します。対象グループの distinguished name または sAMAccountName 値の変更は、データベースに更新されます。
注:
このジョブは、ユーザーからグループへのメンバーシップ情報を更新しません。
-
ネストされたグループ同期ジョブ。 このジョブは、対象グループのネスト階層の変更を更新します。XenMobile Server は、対象グループの直接的および間接的なメンバーの両方が資格を取得できるようにします。ユーザーの直接メンバーシップは、ユーザーベースのインライン連携中に更新されます。バックグラウンドで実行されるこのジョブは、間接メンバーシップを追跡します。間接メンバーシップとは、ユーザーが対象グループのメンバーであるグループのメンバーである場合です。
このジョブは、XenMobile Server データベースから Active Directory グループのリストを収集します。これらのグループは、展開グループまたは RBAC 定義の一部です。このリストの各グループについて、XenMobile Server はグループのメンバーを取得します。グループのメンバーは、ユーザーとグループの両方を表す distinguished name のリストです。
XenMobile Server は、対象グループのユーザーメンバーのみを取得するために、Active Directory に別のクエリを実行します。2 つのリスト間の違いは、対象グループのグループメンバーのみを提供します。メンバーグループの変更はデータベースに更新されます。同じプロセスが階層内のすべてのグループに対して繰り返されます。
ネストの変更は、資格の変更について影響を受けるユーザーを処理することをもたらします。
-
無効なユーザーの確認。 このジョブは、XenMobile 管理者が無効なユーザーを確認するアクションを作成した場合にのみ実行されます。このジョブは、グループ同期ジョブの範囲内で実行されます。このジョブは、対象ユーザーの無効なステータスを確認するために、Active Directory を一度に 1 人のユーザーずつ照会します。
よくある質問
バックグラウンドジョブの実行頻度は、デフォルトでどのくらいですか?
- グループ同期ジョブは、現地時間の午前 2 時から 5 時間ごとに実行されます。
- ネストされたグループ同期ジョブは、現地時間の深夜に 1 日 1 回実行されます。
グループ同期ジョブが必要なのはなぜですか?
- Active Directory のユーザーレコードの memberOf 属性は、ユーザーが直接メンバーであるグループのリストを提供します。グループが 1 つの OU から別の OU に移動すると、memberOf 属性は distinguished name の最新の値を反映します。XenMobile Server データベースにも最後に更新された値があります。グループの distinguished name の不一致は、ユーザーが展開グループへのアクセスを失う原因となる可能性があります。ユーザーは、その展開グループに関連付けられているアプリやポリシーも失う可能性があります。
- バックグラウンドジョブは、ユーザーが資格にアクセスできるように、XenMobile Server データベースでグループの distinguished name 属性を最新の状態に保ちます。
- Active Directory 内のグループ変更はまれであると想定されているため、同期ジョブは 5 時間ごとにスケジュールされます。
グループ同期ジョブをオフにできますか?
- 対象グループが 1 つの OU から別の OU に変更されないことがわかっている場合は、ジョブをオフにできます。
ネストされたグループ処理バックグラウンドジョブが必要なのはなぜですか?
- Active Directory でのグループのネストの変更は、日常的に発生するものではありません。対象グループのネスト階層の変更は、影響を受けるユーザーの資格の変更をもたらします。グループが階層に追加されると、そのメンバーユーザーはそれぞれのロールの資格を取得します。グループがネストから外れると、そのグループのメンバーユーザーはロールベースの資格へのアクセスを失う可能性があります。
- ネストの変更は、ユーザーの更新中にはキャプチャされません。ネストの変更はオンデマンドではできないため、変更はバックグラウンドジョブを通じてキャプチャされます。
- ネストの変更はまれであると想定されているため、バックグラウンドジョブは 1 日に 1 回実行され、変更がないか確認されます。
ネストされたグループ処理ジョブをオフにできますか?
- 対象グループにネストの変更が発生しないことがわかっている場合は、ジョブをオフにできます。
共有
共有
この記事の概要
This Preview product documentation is Citrix Confidential.
You agree to hold this documentation confidential pursuant to the terms of your Citrix Beta/Tech Preview Agreement.
The development, release and timing of any features or functionality described in the Preview documentation remains at our sole discretion and are subject to change without notice or consultation.
The documentation is for informational purposes only and is not a commitment, promise or legal obligation to deliver any material, code or functionality and should not be relied upon in making Citrix product purchase decisions.
If you do not agree, select I DO NOT AGREE to exit.