XenMobile® Server

온프레미스 XenMobile®과 Active Directory의 상호 작용

이 문서에서는 XenMobile Server와 Active Directory 간의 상호 작용에 대해 설명합니다. XenMobile Server는 인라인 및 백그라운드에서 Active Directory와 상호 작용합니다. 다음 섹션에서는 Active Directory 상호 작용과 관련된 인라인 및 백그라운드 작업에 대한 자세한 정보를 제공합니다.

참고:

이 문서는 상호 작용에 대한 개요이며 세부적인 내용은 다루지 않습니다. XenMobile 콘솔에서 Active Directory 및 LDAP를 구성하는 방법에 대한 자세한 내용은 도메인 또는 도메인과 보안 토큰 인증을 참조하십시오.

인라인 상호 작용

XenMobile Server는 관리자가 구성하는 LDAP 설정을 사용하여 Active Directory와 통신합니다. 이 설정은 사용자 및 그룹에 대한 정보를 검색합니다. 다음은 XenMobile Server와 Active Directory 간의 상호 작용을 유발하는 작업입니다.

  1. LDAP 구성. Active Directory 자체를 구성하면 Active Directory와 상호 작용하게 됩니다. XenMobile Server는 Active Directory로 정보를 인증하여 정보를 검증하려고 시도합니다. 서버는 제공된 인터넷 프로토콜, 포트 및 서비스 계정 자격 증명을 사용하여 이를 수행합니다. 바인딩이 성공하면 연결이 올바르게 구성되었음을 나타냅니다.

  2. 그룹 기반 상호 작용.

    1. 역할 기반 액세스 제어(RBAC) 및 배포 그룹 정의 생성 중에 하나 이상의 그룹을 검색합니다. XenMobile Server 관리자는 XenMobile 콘솔에 검색 텍스트 문자열을 입력합니다. XenMobile Server는 제공된 부분 문자열을 포함하는 모든 그룹에 대해 선택된 도메인을 검색합니다. 그런 다음 XenMobile Server는 검색에서 식별된 그룹의 objectGUID, sAMAccountName 및 Distinguished Name 속성을 검색합니다.

      참고:

      이 정보는 XenMobile Server 데이터베이스에 저장되지 않습니다.

    2. RBAC 및 배포 그룹 정의 추가 또는 업데이트. XenMobile Server 관리자는 이전 검색을 기반으로 관심 있는 Active Directory 그룹을 선택하고 배포 그룹 정의에 포함합니다. XenMobile Server는 Active Directory에서 특정 그룹을 한 번에 하나씩 검색합니다. XenMobile Server는 objectGUID 속성을 검색하고 멤버십 정보를 포함하여 선택된 속성을 검색합니다. 그룹 멤버십 정보는 검색된 그룹과 XenMobile Server 데이터베이스의 기존 사용자 또는 그룹 간의 멤버십을 결정하는 데 도움이 됩니다. 그룹 멤버십 변경은 영향을 받는 사용자 멤버에 대한 RBAC 및 배포 그룹 파생을 유발하며, 이는 사용자 권한으로 이어집니다.

      참고:

      배포 그룹 정의 변경은 영향을 받는 사용자의 앱 또는 정책 권한 변경으로 이어질 수 있습니다.

    3. 일회용 PIN(OTP) 초대. XenMobile Server 관리자는 XenMobile Server 데이터베이스에 있는 Active Directory 그룹 목록에서 그룹을 선택합니다. 이 그룹에 대해 직접 및 간접 사용자 모두 Active Directory에서 검색됩니다. OTP 초대는 이전 단계에서 식별된 사용자에게 전송됩니다.

      참고:

      이전 세 가지 상호 작용은 그룹 기반 상호 작용이 XenMobile Server 구성 변경을 기반으로 트리거됨을 의미합니다. 구성 변경이 없는 경우 상호 작용은 Active Directory와의 상호 작용이 없음을 의미합니다. 또한 주기적으로 그룹 측 변경 사항을 캡처하기 위한 백그라운드 작업이 필요하지 않음을 의미합니다.

  3. 사용자 기반 상호 작용

    1. 사용자 인증: 사용자 인증 워크플로는 Active Directory와의 두 가지 상호 작용을 유발합니다.

      • 제공된 자격 증명으로 사용자를 인증하는 데 사용됩니다.
      • objectGUID, Distinguished Name, sAMAccountName 및 그룹에 대한 직접 멤버십을 포함하여 선택된 사용자 속성을 XenMobile Server 데이터베이스에 추가하거나 업데이트합니다. 그룹 멤버십 변경은 앱, 정책 및 액세스 권한의 재평가를 유발합니다.

      사용자는 장치 또는 XenMobile Server 콘솔에서 인증할 수 있습니다. 두 시나리오 모두에서 Active Directory와의 상호 작용은 동일한 동작을 따릅니다.

    2. 앱 스토어 액세스 및 새로 고침: 스토어를 새로 고치면 직접 그룹 멤버십을 포함한 사용자 속성이 새로 고쳐집니다. 이 작업은 사용자 권한의 재평가를 허용합니다.

    3. 장치 체크인: 관리자는 XenMobile 콘솔에서 주기적으로 장치 체크인을 구성할 수 있습니다. 장치가 체크인될 때마다 직접 그룹 멤버십을 포함한 해당 사용자 속성이 새로 고쳐집니다. 이러한 체크인은 사용자 권한의 재평가를 허용합니다.

    4. 그룹별 OTP 초대: XenMobile Server 관리자는 XenMobile Server 데이터베이스에 있는 Active Directory 그룹 목록에서 그룹을 선택합니다. 직접 및 간접(중첩으로 인해) 사용자 멤버는 Active Directory에서 검색되어 XenMobile Server 데이터베이스에 저장됩니다. OTP 초대는 이전 단계에서 식별된 사용자 멤버에게 전송됩니다.

    5. 사용자별 OTP 초대: 관리자는 XenMobile 콘솔 내에 검색 텍스트 문자열을 입력합니다. XenMobile Server는 Active Directory를 쿼리하고 입력 텍스트 문자열과 일치하는 사용자 레코드를 반환합니다. 그런 다음 관리자는 OTP 초대를 보낼 사용자를 선택합니다. XenMobile Server는 Active Directory에서 사용자 세부 정보를 검색하고 사용자에게 초대를 보내기 전에 데이터베이스의 동일한 세부 정보를 업데이트합니다.

백그라운드 상호 작용

Active Directory와의 인라인 통신에서 얻은 한 가지 결론은 그룹 기반 상호 작용이 XenMobile Server 구성에 대한 선택된 변경 사항에 따라 트리거된다는 것입니다. 구성 변경이 없는 경우 그룹에 대한 Active Directory와의 상호 작용이 없음을 의미합니다.

이 상호 작용에는 Active Directory와 주기적으로 동기화하고 관심 있는 그룹에 대한 관련 변경 사항을 업데이트하는 백그라운드 작업이 필요합니다.

다음은 Active Directory와 상호 작용하는 백그라운드 작업입니다.

  1. 그룹 동기화 작업. 이 작업의 목적은 관심 있는 그룹에 대해 Active Directory를 한 번에 한 그룹씩 쿼리하여 distinguished name 또는 sAMAccountName 속성 변경 사항을 확인하는 것입니다. Active Directory에 대한 검색 쿼리는 관심 있는 그룹의 objectGUID를 사용하여 distinguished name 및 sAMAccountName 속성의 현재 값을 가져옵니다. 관심 있는 그룹의 distinguished name 또는 sAMAccountName 값 변경 사항은 데이터베이스에 업데이트됩니다.

    참고:

    이 작업은 사용자-그룹 멤버십 정보를 업데이트하지 않습니다.

  2. 중첩 그룹 동기화 작업. 이 작업은 관심 있는 그룹의 중첩 계층 구조 변경 사항을 업데이트합니다. XenMobile Server는 관심 있는 그룹의 직접 및 간접 멤버 모두에게 권한을 부여합니다. 사용자의 직접 멤버십은 사용자 기반 인라인 상호 작용 중에 업데이트됩니다. 백그라운드에서 실행되는 이 작업은 간접 멤버십을 추적합니다. 간접 멤버십은 사용자가 관심 있는 그룹의 멤버인 그룹의 멤버인 경우입니다.

    이 작업은 XenMobile Server 데이터베이스에서 Active Directory 그룹 목록을 수집합니다. 이 그룹은 배포 그룹 또는 RBAC 정의의 일부입니다. 이 목록의 각 그룹에 대해 XenMobile Server는 그룹의 멤버를 가져옵니다. 그룹의 멤버는 사용자 및 그룹을 모두 나타내는 distinguished name 목록입니다.

    XenMobile Server는 관심 있는 그룹의 사용자 멤버만 가져오기 위해 Active Directory에 다시 쿼리를 수행합니다. 두 목록 간의 차이는 관심 있는 그룹에 대한 그룹 멤버만 제공합니다. 멤버 그룹의 변경 사항은 데이터베이스에 업데이트됩니다. 동일한 프로세스가 계층 구조의 모든 그룹에 대해 반복됩니다.

    중첩 변경은 권한 변경에 대해 영향을 받는 사용자를 처리하는 결과를 가져옵니다.

  3. 비활성화된 사용자 확인. 이 작업은 XenMobile 관리자가 비활성화된 사용자를 확인하는 작업을 생성할 때만 실행됩니다. 이 작업은 그룹 동기화 작업 범위 내에서 실행됩니다. 이 작업은 Active Directory를 쿼리하여 관심 있는 사용자의 비활성화 상태를 한 번에 한 사용자씩 확인합니다.

FAQ

백그라운드 작업은 기본적으로 얼마나 자주 실행됩니까?

  • 그룹 동기화 작업은 현지 시간 02:00부터 5시간마다 실행됩니다.
  • 중첩 그룹 동기화 작업은 현지 시간 자정에 하루에 한 번 실행됩니다.

그룹 동기화 작업이 필요한 이유는 무엇입니까?

  • Active Directory의 사용자 레코드에 있는 memberOf 속성은 사용자가 직접 멤버인 그룹 목록을 제공합니다. 그룹이 한 OU에서 다른 OU로 이동하면 memberOf 속성은 distinguished name의 최신 값을 반영합니다. XenMobile Server 데이터베이스에도 마지막으로 새로 고쳐진 값이 있습니다. 그룹의 distinguished name이 일치하지 않으면 사용자가 배포 그룹에 대한 액세스 권한을 잃을 수 있습니다. 사용자는 해당 배포 그룹과 연결된 앱 및 정책도 잃을 수 있습니다.
  • 백그라운드 작업은 XenMobile Server 데이터베이스에서 그룹 distinguished name 속성을 최신 상태로 유지하여 사용자가 권한에 액세스할 수 있도록 합니다.
  • Active Directory 내의 그룹 변경이 흔하지 않다고 가정하므로 동기화 작업은 5시간마다 예약됩니다.

그룹 동기화 작업을 끌 수 있습니까?

  • 관심 있는 그룹이 한 OU에서 다른 OU로 변경되지 않는다는 것을 아는 경우 작업을 끌 수 있습니다.

중첩 그룹 처리 백그라운드 작업이 필요한 이유는 무엇입니까?

  • Active Directory에서 그룹 중첩 변경은 매일 발생하는 일이 아닙니다. 관심 있는 그룹의 중첩 계층 구조 변경은 영향을 받는 사용자의 권한 변경을 유발합니다. 그룹이 계층 구조에 추가되면 해당 멤버 사용자는 각 역할에 대한 권한을 갖게 됩니다. 그룹이 중첩에서 벗어나면 그룹의 멤버 사용자는 역할 기반 권한에 대한 액세스 권한을 잃을 수 있습니다.
  • 중첩 변경은 사용자 새로 고침 중에 캡처되지 않습니다. 중첩 변경은 온디맨드로 수행될 수 없으므로 백그라운드 작업을 통해 변경 사항이 캡처됩니다.
  • 중첩 변경은 흔하지 않다고 가정하므로 백그라운드 작업은 하루에 한 번 실행되어 변경 사항을 확인합니다.

중첩 그룹 처리 작업을 끌 수 있습니까?

  • 관심 있는 그룹에 중첩 변경이 발생하지 않는다는 것을 아는 경우 작업을 끌 수 있습니다.
온프레미스 XenMobile®과 Active Directory의 상호 작용