온-프레미스 XenMobile과 Active Directory 상호 작용

Siddartha Vuppala

이 문서에서는 XenMobile Server와 Active Directory의 상호 작용에 대해 설명합니다. XenMobile Server는 인라인과 백그라운드에서 Active Directory와 상호 작용합니다. Active Directory 상호 작용과 관련된 인라인 및 백그라운드 작업에 대한 자세한 내용은 이후 섹션에 나와 있습니다.

참고:

이 문서는 상호 작용의 개요로, 상세한 내용은 다루지 않습니다. XenMobile 콘솔에서 Active Directory 및 LDAP를 구성하는 것에 대한 자세한 내용은 도메인 인증 또는 도메인 및 보안 토큰 인증을 참조하십시오.

인라인 상호 작용

XenMobile Server는 관리자가 구성한 LDAP 설정을 사용하여 Active Directory와 통신합니다. 이 설정은 사용자 및 그룹에 대한 정보를 검색합니다. 다음 작업을 수행하면 XenMobile Server와 Active Directory가 상호 작용합니다.

  1. LDAP 구성. Active Directory를 구성하면 Active Directory와의 상호 작용이 발생합니다. XenMobile Server는 정보의 유효성을 검사하기 위해 Active Directory를 통해 정보를 인증합니다. 서버는 제공된 인터넷 프로토콜, 포트 및 서비스 계정 자격 증명을 사용하여 인증을 수행합니다. 바인딩에 성공하면 연결이 올바르게 구성된 것입니다.

  2. 그룹 기반 상호 작용.

    1. RBAC(역할 기반 액세스 제어) 및 배달 그룹 정의 생성 시 하나 이상의 그룹 검색. XenMobile Server 관리자가 XenMobile 콘솔에서 검색 텍스트 문자열을 입력하면 XenMobile Server가 선택된 도메인에서 관리자가 입력한 하위 문자열을 포함하는 모든 그룹을 검색합니다. 그런 다음 검색에서 식별된 그룹의 objectGUID, sAMAccountName 및 고유 이름 특성을 검색합니다.

      참고:

      이 정보는 XenMobile Server 데이터베이스에 저장되지 않습니다.

    2. RBAC 및 배포 그룹 정의 추가 또는 업데이트. XenMobile Server 관리자가 이전 검색 결과에서 해당하는 Active Directory 그룹을 선택하고 배포 그룹 정의에 포함하면 XenMobile Server가 Active Directory에서 한 번에 하나씩 특정 그룹을 검색합니다. XenMobile Server는 objectGUID 특성을 검색하고 구성원 자격을 포함하여 관리자가 선택한 특성을 검색합니다. 그룹 구성원 자격 정보는 검색된 그룹의 구성원 자격과 XenMobile Server 데이터베이스의 기존 사용자 또는 그룹의 구성원 자격을 확인하는 데 도움이 됩니다. 그룹 구성원 자격이 변경된 경우 영향받은 사용자 구성원에 대한 RBAC 및 배포 그룹이 파생되고 사용자에게 권한이 부여됩니다.

      참고:

      배포 그룹 정의가 변경된 경우 영향받은 사용자의 앱 또는 정책 권한 부여가 변경될 수 있습니다.

    3. OTP(일회용 PIN) 초대. XenMobile Server 관리자가 XenMobile Server 데이터베이스에 있는 Active Directory 그룹 목록에서 그룹을 선택하면 이 그룹의 모든 직접 및 간접 사용자가 Active Directory에서 검색됩니다. 이전 단계에서 식별된 사용자에게 OTP 초대가 전송됩니다.

      참고:

      이전의 세 가지 상호 작용은 XenMobile Server 구성 변경에 따라 그룹 기반 상호 작용이 트리거되었음을 나타냅니다. 구성이 변경되지 않은 경우 Active Directory와의 상호 작용이 발생하지 않습니다. 또한 그룹 측 변경 사항을 주기적으로 캡처하는 백그라운드 작업을 수행하지 않아도 됩니다.

  3. 사용자 기반 상호 작용.

    1. 사용자 인증. 사용자 인증 워크플로에서는 Active Directory와의 상호 작용이 두 번 발생합니다.

      • 제공된 자격 증명을 사용하여 사용자를 인증합니다.
      • objectGUID, Distinguished Name, sAMAccountName 및 그룹에 대한 직접 구성원 자격을 포함한 선별된 사용자 특성을 XenMobile Server 데이터베이스에 추가하거나 업데이트합니다. 그룹 구성원 자격이 변경된 경우 앱, 정책 및 액세스 권한 부여가 재평가됩니다.

      사용자는 장치 또는 XenMobile Server 콘솔에서 인증을 수행할 수 있습니다. 두 시나리오에서 Active Directory와의 상호 작용은 동일한 동작을 따릅니다.

    2. App Store 액세스 및 새로 고침. 스토어를 새로 고치면 직접 그룹 구성원 자격을 포함한 사용자 특성이 새로 고쳐집니다. 이 동작을 수행하면 사용자 권한 부여를 재평가할 수 있습니다.

    3. 장치 체크인. 관리자는 XenMobile 콘솔에서 주기적 장치 체크인을 구성할 수 있습니다. 장치가 체크인될 때마다 직접 그룹 구성원 자격을 포함한 해당하는 사용자 특성이 새로 고쳐집니다. 이러한 체크인을 통해 사용자 권한 부여를 재평가할 수 있습니다.

    4. 그룹별 OTP 초대. XenMobile Server 관리자가 XenMobile Server 데이터베이스에 있는 Active Directory 그룹 목록에서 그룹을 선택하면 Active Directory에서 직접 및 간접(중첩) 사용자 구성원이 검색되고 XenMobile Server 데이터베이스에 저장됩니다. 이전 단계에서 식별된 사용자 구성원에게 OTP 초대가 전송됩니다.

    5. 사용자별 OTP 초대. 관리자가 XenMobile 콘솔에서 검색 텍스트 문자열을 입력하면 XenMobile Server가 Active Directory를 쿼리하여 입력 텍스트 문자열과 일치하는 사용자 레코드를 반환합니다. 관리자가 OTP 초대를 보낼 사용자를 선택합니다. XenMobile Server는 Active Directory에서 사용자 세부 정보를 검색하고 데이터베이스에 이 세부 정보를 업데이트한 후 사용자에게 초대를 전송합니다.

백그라운드 상호 작용

Active Directory와의 인라인 통신에서는 XenMobile Server 구성이 변경되면 그룹 기반 상호 작용이 트리거됩니다. 구성이 변경되지 않은 경우 그룹에 대해 Active Directory와의 상호 작용이 발생하지 않습니다.

이 그룹 기반 상호 작용에는 Active Directory와 주기적으로 동기화하고 관심 그룹에 대한 변경 내용을 업데이트하는 백그라운드 작업이 필요합니다.

다음은 Active Directory와 상호 작용하는 백그라운드 작업입니다.

  1. 그룹 동기화 작업. 이 작업의 목적은 Active Directory를 통해 관심 그룹의 고유 이름 또는 sAMAccountName 특성에 대한 변경 내용을 한 번에 하나씩 쿼리하는 것입니다. Active Directory에 검색 쿼리를 수행하면 관심 그룹의 objectGUID를 사용하여 고유 이름 및 sAMAccountName 특성의 현재 값이 확인되고 관심 그룹의 고유 이름 또는 sAMAccountName 값에 대한 변경 내용이 데이터베이스에 업데이트됩니다.

    참고:

    이 작업은 사용자-그룹 구성원 자격 정보를 업데이트하지 않습니다.

  2. 중첩 그룹 동기화 작업. 이 작업은 관심 그룹의 중첩 계층에 대한 변경 내용을 업데이트합니다. XenMobile Server에서는 관심 그룹의 직접 구성원과 간접 구성원에게 권한을 부여할 수 있습니다. 사용자의 직접 구성원 자격은 사용자 기반 인라인 상호 작용에서 업데이트됩니다. 백그라운드에서 실행되는 경우 이 작업은 간접 구성원 자격을 추적합니다. 간접 구성원 자격은 관심 그룹의 구성원인 그룹에 사용자가 포함되는 경우를 말합니다.

    이 작업은 XenMobile Server 데이터베이스에서 Active Directory 그룹 목록을 수집합니다. 이러한 그룹은 배포 그룹 또는 RBAC 정의에 포함되어 있는 그룹입니다. XenMobile Server는 이 목록에 있는 각 그룹의 구성원을 가져옵니다. 그룹의 구성원은 사용자 및 그룹을 나타내는 고유 이름의 목록으로 표시됩니다. XenMobile Server는 Active Directory를 다시 쿼리하여 관심 그룹의 사용자 구성원만 가져옵니다. 두 목록의 차이점을 바탕으로 관심 그룹에만 포함되는 그룹 구성원을 확인한 후 구성원 그룹의 변경 내용을 데이터베이스에 업데이트합니다. 계층의 모든 그룹에 대해 동일한 프로세스가 반복됩니다.

    중첩 그룹이 변경된 경우 영향받은 사용자에 대한 권한 부여 변경 프로세스가 실행됩니다.

  3. 사용하지 않는 사용자 확인. 이 작업은 XenMobile 관리자가 사용하지 않는 사용자를 확인하는 동작을 생성한 경우에만 실행됩니다. 이 작업은 그룹 동기화 작업의 범위 내에서 실행됩니다. Active Directory를 쿼리하여 사용 안 함 상태의 관심 사용자를 한 번에 하나씩 확인합니다.

FAQ

백그라운드 작업은 기본적으로 얼마의 빈도로 실행됩니까?

  • 현지 시간으로 02:00부터 5시간에 한 번씩 그룹 동기화 작업이 실행됩니다.
  • 중첩 그룹 동기화 작업은 현지 시간으로 자정부터 하루에 한 번 실행됩니다.

그룹 동기화 작업이 필요한 이유는 무엇입니까?

  • Active Directory에 있는 사용자 레코드의 memberOf 특성에는 사용자가 직접 구성원인 그룹 목록이 나와 있습니다. 그룹의 OU가 변경되면 memberOf 특성에 고유 이름의 최신 값이 반영됩니다. XenMobile Server 데이터베이스도 마지막으로 새로 고쳐진 값으로 업데이트됩니다. 그룹의 고유 이름이 일치하지 않으면 사용자가 배포 그룹에 액세스할 수 없게 됩니다. 또한 해당 배포 그룹에 연결된 앱 및 정책에도 액세스하지 못할 수 있습니다.
  • 백그라운드 작업은 XenMobile Server 데이터베이스에 포함되는 그룹의 고유 이름 특성을 최신 상태로 유지하여 사용자가 부여받은 권한에 따라 액세스할 수 있도록 합니다.
  • 동기화 작업은 Active Directory 내 그룹이 자주 변경되지 않을 것으로 가정하여 5시간마다 실행되도록 예약됩니다.

그룹 동기화 작업을 끌 수 있습니까?

  • 관심 그룹의 OU가 변경되지 않은 것을 알고 있다면 이 작업을 꺼도 됩니다.

중첩된 그룹을 처리하는 백그라운드 작업이 필요한 이유는 무엇입니까?

  • Active Directory에서 그룹 중첩에 대한 변경은 일상적으로 발생하는 작업이 아닙니다. 관심 그룹의 중첩 계층이 변경되면 영향받는 사용자의 권한 부여가 변경됩니다. 그룹이 계층에 추가되면 구성원 사용자에게 해당하는 역할이 부여됩니다. 그룹을 중첩 계층 밖으로 이동하면 그룹의 구성원 사용자가 역할 기반 권한에 액세스하지 못할 수 있습니다.
  • 중첩에 대한 변경 내용은 사용자를 새로 고칠 때 캡처되지 않습니다. 중첩 변경 내용은 주문형으로 캡처할 수 없으며 백그라운드 작업을 통해 캡처됩니다.
  • 중첩 변경은 자주 발생하지 않는다는 전제에 따라 변경 내용을 확인하는 백그라운드 작업은 하루에 한 번 실행됩니다.

중첩된 그룹을 처리하는 작업을 끌 수 있습니까?

  • 관심 그룹의 중첩이 변경되지 않은 것을 알고 있다면 이 작업을 꺼도 됩니다.

온-프레미스 XenMobile과 Active Directory 상호 작용