Interação do XenMobile no local com o Active Directory

Siddartha Vuppala

Este artigo explica a interação entre o servidor XenMobile e do Active Directory. O XenMobile Server interage com o Active Directory em linha e em segundo plano. As seções a seguir fornecem mais informações sobre operações em linha e em segundo plano que envolvem a interação do Active Directory.

Nota:

Este artigo é uma visão geral da interação e não abrange os detalhes. Para obter mais informações sobre como configurar o Active Directory e LDAP no console XenMobile, consulte Autenticação de domínio ou de domínio mais token de segurança.

Interações em linha

O XenMobile Server se comunica com o Active Directory usando as configurações de LDAP que um administrador configura. As configurações recuperam informações sobre os usuários e grupos. A seguir estão as operações que resultam em interação entre o XenMobile Server e o Active Directory.

  1. Configuração de LDAP. A configuração do Active Directory em si resulta em uma interação com o Active Directory. XenMobile Server attempts to validate the information by authenticating the information with Active Directory. O servidor faz isso por meio do protocolo internet, porta e credenciais de conta de serviço fornecidas. Uma associação bem-sucedida indica que a conexão está configurada corretamente.

  2. Interações baseadas em grupo.

    1. Pesquisar um ou mais grupos durante o Controle de Acesso Baseado em Função (RBAC) e criação de definição de grupo de entrega. O administrador do servidor XenMobile insere uma cadeia de caracteres de texto de pesquisa no console XenMobile. O XenMobile Server pesquisa no domínio selecionado todos os grupos que contêm a subcadeia de caracteres que é fornecida. Em seguida, do servidor XenMobile recupera o objectGUID, sAMAccountName e atributos de nome distinto dos grupos identificados na pesquisa.

      Nota:

      Essas informações não são armazenadas no banco de dados do XenMobile Server.

    2. Adição ou atualização de RBAC ou de definição de grupo de implantação. O administrador do XenMobile Server seleciona grupos de interesse do Active Directory com base na pesquisa anterior e os inclui na definição de grupo de implantação. XenMobile Server searches for the specific group, one at a time, in Active Directory. XenMobile Server searches for the objectGUID attribute and retrieves selected attributes, including membership information. As informações de associação de grupo ajudam a determinar a associação entre o grupo recuperado e usuários ou grupos existentes no banco de dados do XenMobile Server. Alterações de associação de grupo resultam em RBAC e derivação de grupo de implantação para os membros de usuário afetados, o que resulta em direitos de usuário.

      Nota:

      As alterações na definição de grupo de implantação podem levar a alteração em direitos de aplicativos e política para usuários atingidos.

    3. Convites de PIN de uso único (OTP). O administrador do XenMobile Server seleciona um grupo da lista de grupos do Active Directory presentes no banco de dados do XenMobile Server. Para este grupo, todos os usuários, diretos e indiretos, são recuperados do Active Directory. Convites de OTP são enviadas para os usuários que foram identificados na etapa anterior.

      Nota:

      As três interações anteriores implicam que interações baseadas em grupo devem ser acionadas com base nas alterações de configuração do XenMobile Server. Quando não há nenhuma alteração de configuração, as interações implicam que não há nenhum interações com o Active Directory. Elas também implicam que não há nenhum requisito para os trabalhos de segundo plano para capturar do lado do grupo de alterações periodicamente.

  3. Interação com base no usuário.

    1. Autenticação do usuário. O fluxo de trabalho de autenticação de usuário resulta em duas interações com o Active Directory:

      • Usado para autenticar o usuário com as credenciais fornecidas.
      • Adicionar ou atualizar atributos de usuário selecionados no banco de dados do XenMobile Server, incluindo objectGUID, nome diferenciado, sAMAccountName e direta filiação a grupos. Alterações à filiação ao grupo resultam na nova avaliação do aplicativo, políticas e direitos de acesso.

      O usuário pode autenticar com o dispositivo ou no console do XenMobile Server. Em ambos os cenários a interação com o Active Directory segue o mesmo comportamento.

    2. Acesso e atualização do App Store. Uma atualização da loja resulta em uma atualização de atributos do usuário, incluindo associações de grupo diretas. Esta ação permite uma nova avaliação de direitos de usuário.

    3. Check-ins do dispositivo. Os administradores podem configurar no console XenMobile check-ins do dispositivo periodicamente. Toda vez que um dispositivo faz check-in, os atributos de usuário correspondentes são atualizados, incluindo associações de grupo diretas. Esses check-ins permitem uma nova avaliação dos direitos de usuário.

    4. Convites de OTP por grupo. O administrador do XenMobile Server seleciona um grupo da lista de grupos do Active Directory presentes no banco de dados do XenMobile Server. Membros de usuário, diretos e indiretos (por causa de aninhamento), são recuperados do Active Directory e salvos no banco de dados do XenMobile Server. Convites de OTP são enviados para os membros do usuário que foram identificados na etapa anterior.

    5. Convites de OTP por usuário. O administrador do XenMobile Server insere uma cadeia de caracteres de texto de pesquisa dentro do console XenMobile. O XenMobile Server consulta o Active Directory e retorna os registros de usuário que correspondem à cadeia de caracteres de texto de entrada. O administrador seleciona, em seguida, o usuário para enviar o convite OTP. O XenMobile Server recupera os detalhes do usuário do Active Directory e atualiza os mesmos detalhes no banco de dados antes de enviar o convite para o usuário.

Interações de segundo plano

Uma conclusão da comunicação em linha com o Active Directory é que interações baseadas em grupo são acionadas depois de alterações de seleção para a configuração do XenMobile Server. Quando não há nenhuma alteração de configuração, isso implica que não há interações com o Active Directory para grupos.

Essa interação requer trabalhos em segundo plano que periodicamente sincronizam com o Active Directory e as alterações relevantes de atualização para os grupos interessados.

A seguir estão os trabalhos de plano de fundo que interagem com o Active Directory.

  1. Trabalho de sincronização de grupo. O objetivo deste trabalho é consultar o Active Directory, um grupo por vez, em grupos interessados grupos quanto a alterações do nome distinto ou atributos sAMAccountName. A solicitação de pesquisa para o Active Directory usa o objectGUID do grupo de interessados para obter os valores atuais do nome diferenciado e atributos sAMAccountName. As alterações no nome distinto ou valores de sAMAccountName para grupos interessados são atualizadas para o banco de dados.

    Nota:

    Esta tarefa não atualiza o usuário às informações de associação ao grupo.

  2. Trabalho de sincronização de grupo aninhado. Esse trabalho atualiza as alterações na hierarquia de aninhamento de grupos interessados. O XenMobile Server permite diretos e indiretos membros de um grupo interessado para obter direitos. A associação direta dos usuários é atualizada durante interações de usuário incorporadas. Sendo executado em segundo plano, esse trabalho controla associações indiretas. Associações indiretas ocorrem quando um usuário é um membro de um grupo que é um membro de um grupo interessado.

    Este trabalho reúne a lista de grupos do Active Directory do banco de dados do XenMobile Server. Esses grupos fazem parte do grupo de implantação ou a definição de RBAC. Para cada grupo na lista, o XenMobile Server obtém os membros do grupo. Membros de um grupo são uma lista de nomes distintos que representam os usuários e grupos. O XenMobile Server faz outra consulta ao Active Directory para obter somente os membros de usuário do grupo interessado. A diferença entre as duas listas oferece somente os membros do grupo para o grupo interessado. As alterações em grupos membros são atualizadas no banco de dados. O mesmo processo é repetido para todos os grupos na hierarquia.

    As alterações de aninhamento resulta no processamento de usuários afetados quanto a alterações de direito.

  3. Verificação de usuário desativado. Esta tarefa é executada somente quando o administrador do XenMobile cria uma ação de verificação de usuários desativados. O trabalho é executado dentro do escopo de um trabalho de sincronização de grupo. O trabalho consulta o Active Directory para verificar o status de desativado de usuários interessados, um usuário por vez.

Perguntas frequentes

O que é a frequência padrão da execução de tarefas em segundo plano?

  • Trabalhos de sincronização de grupo executado a cada cinco horas, começando às 02:00h no horário local.
  • Os trabalhos de sincronização de grupo aninhado são executados uma vez por dia às meia-noite, horário local.

Por que é necessário um trabalho de sincronização de grupo?

  • O atributo memberOf de um registro de usuário no Active Directory fornece a lista de grupos, da qual o usuário é um membro direto. Se um grupo se move de uma unidade Organizacional para outra, o atributo memberOf reflete o valor mais recente do nome distinto. O banco de dados do XenMobile Server também tem o valor mais recente atualizado. Qualquer discrepância entre os nomes distintos do grupo pode resultar na perda de acesso ao grupo de implantação por parte do usuário. O usuário também pode perder os aplicativos e políticas associadas a esse grupo de implantação.
  • O trabalho em segundo plano mantém o atributo de nome distinto grupo atualizado no banco de dados do XenMobile Server para garantir que os usuários tenham acesso a seus direitos.
  • Os trabalhos de sincronização estão programados para cada cinco horas porque de presume que as alterações de grupo do Active Directory são incomuns.

Um trabalho de sincronização de grupo pode ser desativado?

  • Você pode desativar trabalhos quando sabe que grupos interessados não mudam de uma unidade Organizacional para outra.

Por que é necessário um trabalho de segundo plano de processamento de grupo aninhado?

  • As alterações de aninhamento de grupos do Active Directory não são uma ocorrência diária. Alterações à hierarquia de aninhamento de grupos interessados resultam em alterações direitos dos usuários afetados. Quando um grupo é adicionado à hierarquia, seus usuários membros passam a ter o direito às respectivas funções. Quando um grupo sai do aninhamento, os usuários membros do grupo podem perder o acesso aos direitos baseados em função.
  • As alterações de aninhamento não são capturadas durante a atualização do usuário. Como as alterações de aninhamento não podem ser sob demanda, as alterações são capturadas por meio de um trabalho em segundo plano.
  • As alterações de aninhamento são consideradas incomuns e, portanto, o trabalho em segundo plano executa uma vez por dia para verificar se existem alterações.

Um trabalho de processamento de grupo aninhado pode ser desativado?

  • Você pode desativar trabalhos quando sabe alterações de aninhamento não ocorrem em grupos interessados.

Interação do XenMobile no local com o Active Directory