Documentação de produtos
XenMobile® Server
Ver PDF

Interação do XenMobile® local com o Active Directory

April 16, 2026

Este artigo explica a interação entre o XenMobile Server e o Active Directory. O XenMobile Server interage com o Active Directory tanto de forma direta (inline) quanto em segundo plano. As seções a seguir fornecem mais informações sobre as operações diretas e em segundo plano que envolvem a interação com o Active Directory.

Observação:

Este artigo é uma visão geral da interação e não aborda os detalhes granulares. Para obter mais informações sobre como configurar o Active Directory e o LDAP no console do XenMobile, consulte Autenticação de domínio ou domínio mais token de segurança.

Interações diretas

O XenMobile Server se comunica com o Active Directory usando as configurações de LDAP que um administrador configura. As configurações recuperam informações sobre usuários e grupos. A seguir, estão as operações que resultam na interação entre o XenMobile Server e o Active Directory.

  1. Configuração de LDAP. A própria configuração do Active Directory resulta em uma interação com o Active Directory. O XenMobile Server tenta validar as informações autenticando-as com o Active Directory. O servidor faz isso usando o protocolo de internet, a porta e as credenciais da conta de serviço fornecidos. Uma vinculação bem-sucedida indica que a conexão está configurada corretamente.

  2. Interações baseadas em grupo.

    1. Pesquisa por um ou mais grupos durante a criação da definição de Controle de Acesso Baseado em Função (RBAC) e de grupo de entrega. O administrador do XenMobile Server insere uma cadeia de caracteres de pesquisa no console do XenMobile. O XenMobile Server pesquisa no domínio selecionado todos os grupos que contêm a subcadeia de caracteres fornecida. Em seguida, o XenMobile Server recupera os atributos objectGUID, sAMAccountName e Distinguished Name dos grupos identificados na pesquisa.

      Observação:

      Essas informações não são armazenadas no banco de dados do XenMobile Server.

    2. Adição ou atualização da definição de RBAC e grupo de implantação. O administrador do XenMobile Server seleciona os grupos do Active Directory de interesse com base na pesquisa anterior e os inclui na definição do grupo de implantação. O XenMobile Server pesquisa o grupo específico um por um no Active Directory. O XenMobile Server pesquisa o atributo objectGUID e recupera atributos selecionados, incluindo informações de associação. As informações de associação de grupo ajudam a determinar a associação entre o grupo recuperado e os usuários ou grupos existentes no banco de dados do XenMobile Server. As alterações na associação de grupo resultam na derivação de RBAC e grupo de implantação para os membros de usuário afetados, o que resulta em direitos de usuário.

      Observação:

      Alterações na definição do grupo de implantação podem levar a mudanças nos direitos de aplicativo ou política para os usuários afetados.

    3. Convites de PIN único (OTP). O administrador do XenMobile Server seleciona um grupo da lista de grupos do Active Directory presentes no banco de dados do XenMobile Server. Para este grupo, todos os usuários, diretos e indiretos, são recuperados do Active Directory. Os convites OTP são enviados aos usuários identificados na etapa anterior.

      Observação:

      As três interações anteriores implicam que as interações baseadas em grupo são acionadas com base em alterações na configuração do XenMobile Server. Quando não há alterações na configuração, as interações implicam que não há interações com o Active Directory. Elas também implicam que não há necessidade de trabalhos em segundo plano para capturar as alterações do lado do grupo periodicamente.

  3. Interação baseada em usuário

    1. Autenticação de usuário: O fluxo de trabalho de autenticação de usuário resulta em duas interações com o Active Directory:

      • Usado para autenticar o usuário com as credenciais fornecidas.
      • Adicionar ou atualizar atributos de usuário selecionados no banco de dados do XenMobile Server, incluindo objectGUID, Distinguished Name, sAMAccountName e associação direta a grupos. As alterações na associação de grupo resultam na reavaliação dos direitos de aplicativo, política e acesso.

      O usuário pode se autenticar a partir do dispositivo ou do console do XenMobile Server. Em ambos os cenários, a interação com o Active Directory segue o mesmo comportamento.

    2. Acesso e atualização da App Store: Uma atualização da loja resulta em uma atualização dos atributos do usuário, incluindo associações diretas a grupos. Essa ação permite uma reavaliação dos direitos do usuário.

    3. Check-ins de dispositivo: Os administradores podem configurar no console do XenMobile os check-ins de dispositivo periodicamente. Cada vez que um dispositivo é verificado, os atributos de usuário correspondentes são atualizados, incluindo associações diretas a grupos. Esses check-ins permitem uma reavaliação dos direitos do usuário.

    4. Convites OTP por Grupo: O administrador do XenMobile Server seleciona um grupo da lista de grupos do Active Directory presentes no banco de dados do XenMobile Server. Os membros usuários, diretos e indiretos (devido ao aninhamento), são recuperados do Active Directory e salvos no banco de dados do XenMobile Server. Os convites OTP são enviados aos membros usuários identificados na etapa anterior.

    5. Convites OTP por usuário: O administrador insere uma cadeia de caracteres de pesquisa no console do XenMobile. O XenMobile Server consulta o Active Directory e retorna os registros de usuário que correspondem à cadeia de caracteres de entrada. O administrador então seleciona o usuário para enviar o convite OTP. O XenMobile Server recupera os detalhes do usuário do Active Directory e atualiza os mesmos detalhes no banco de dados antes de enviar o convite ao usuário.

Interações em segundo plano

Uma conclusão da comunicação direta com o Active Directory é que as interações baseadas em grupo são acionadas mediante alterações selecionadas na configuração do XenMobile Server. Quando não há alterações na configuração, isso implica que não há interações com o Active Directory para grupos.

Essa interação requer trabalhos em segundo plano que sincronizam periodicamente com o Active Directory e atualizam as alterações relevantes para os grupos de interesse.

A seguir, estão os trabalhos em segundo plano que interagem com o Active Directory.

  1. Trabalho de sincronização de grupo. O objetivo deste trabalho é consultar o Active Directory, um grupo por vez, sobre os grupos de interesse para verificar alterações nos atributos distinguished name ou sAMAccountName. A consulta de pesquisa ao Active Directory usa o objectGUID do grupo de interesse para obter os valores atuais dos atributos distinguished name e sAMAccountName. As alterações nos valores de distinguished name ou sAMAccountName para os grupos de interesse são atualizadas no banco de dados.

    Observação:

    Este trabalho não atualiza as informações de associação de usuário a grupo.

  2. Trabalho de sincronização de grupo aninhado. Este trabalho atualiza as alterações na hierarquia de aninhamento dos grupos de interesse. O XenMobile Server permite que membros diretos e indiretos de um grupo de interesse obtenham direitos. A associação direta dos usuários é atualizada durante as interações diretas baseadas em usuário. Executado em segundo plano, este trabalho rastreia as associações indiretas. Associações indiretas ocorrem quando um usuário é membro de um grupo que é membro de um grupo de interesse.

    Este trabalho coleta a lista de grupos do Active Directory do banco de dados do XenMobile Server. Esses grupos fazem parte da definição do grupo de implantação ou do RBAC. Para cada grupo nesta lista, o XenMobile Server obtém os membros do grupo. Os membros de um grupo são uma lista de distinguished names que representam usuários e grupos.

    O XenMobile Server faz outra consulta ao Active Directory para obter apenas os membros usuários do grupo de interesse. A diferença entre as duas listas fornece apenas os membros do grupo para o grupo de interesse. As alterações nos grupos membros são atualizadas no banco de dados. O mesmo processo é repetido para todos os grupos na hierarquia.

    Alterações no aninhamento resultam no processamento dos usuários afetados para alterações de direitos.

  3. Verificação de usuário desabilitado. Este trabalho é executado apenas quando o administrador do XenMobile cria uma ação para verificar usuários desabilitados. O trabalho é executado no escopo de um trabalho de sincronização de grupo. O trabalho consulta o Active Directory para verificar o status de desabilitado dos usuários de interesse, um usuário por vez.

Perguntas Frequentes

Qual é a frequência de execução dos trabalhos em segundo plano, por padrão?

  • Os trabalhos de sincronização de grupo são executados a cada cinco horas, começando às 02:00, horário local.
  • Os trabalhos de sincronização de grupo aninhado são executados uma vez por dia à meia-noite, horário local.

Por que um trabalho de sincronização de grupo é necessário?

  • O atributo memberOf de um registro de usuário no Active Directory fornece a lista de grupos dos quais o usuário é membro direto. Se um grupo se move de uma OU para outra, o atributo memberOf reflete o valor mais recente do distinguished name. O banco de dados do XenMobile Server também possui o último valor atualizado. Qualquer incompatibilidade nos distinguished names do grupo pode resultar na perda de acesso do usuário ao grupo de implantação. O usuário também pode perder os aplicativos e políticas associados a esse grupo de implantação.
  • O trabalho em segundo plano mantém o atributo distinguished name do grupo atualizado no banco de dados do XenMobile Server para garantir que os usuários tenham acesso aos seus direitos.
  • Os trabalhos de sincronização são agendados a cada cinco horas porque se assume que as alterações de grupo no Active Directory são incomuns.

Um trabalho de sincronização de grupo pode ser desativado?

  • Você pode desativar os trabalhos quando souber que os grupos de interesse não mudam de uma OU para outra.

Por que um trabalho em segundo plano de processamento de grupo aninhado é necessário?

  • Alterações no aninhamento de grupos no Active Directory não são uma ocorrência diária. Alterações na hierarquia de aninhamento de grupos de interesse resultam em alterações nos direitos dos usuários afetados. Quando um grupo é adicionado à hierarquia, seus membros usuários passam a ter direito às respectivas funções. Quando um grupo sai do aninhamento, os membros usuários do grupo podem perder o acesso aos direitos baseados em função.
  • As alterações no aninhamento não são capturadas durante a atualização do usuário. Como as alterações de aninhamento não podem ser sob demanda, as alterações são capturadas por meio de um trabalho em segundo plano.
  • As alterações de aninhamento são consideradas incomuns e, portanto, o trabalho em segundo plano é executado uma vez por dia para verificar se há alguma alteração.

Um trabalho de processamento de grupo aninhado pode ser desativado?

  • Você pode desativar os trabalhos quando souber que as alterações de aninhamento não ocorrem nos grupos de interesse.
Interação do XenMobile® local com o Active Directory
April 16, 2026
April 16, 2026

Neste artigo

Feedback do site | Your privacy choices footer linkSuas escolhas de privacidade | Privacidade e termos legais | Preferências de cookies | Configurações de consentimento | docs.cloud.com
© 1999- Cloud Software Group, Inc. All rights reserved.