Product Documentation

本地 XenMobile 与 Active Directory 的交互

Siddartha Vuppala

本文解释 XenMobile Server 与 Active Directory 之间的交互。XenMobile Server 与 Active Directory 可以进行内联交互,也可以在后台交互。以下各节将详细介绍涉及到 Active Directory 交互的内联操作和后台操作。

注意:

本文是对交互的概述,不提供具体细节。有关在 XenMobile 控制台中配置 Active Directory 和 LDAP 的详细信息,请参阅域或域加安全令牌身份验证

内联交互

XenMobile Server 使用管理员配置的 LDAP 与 Active Directory 通信。这些设置会检索用户和组的有关信息。以下是会导致 XenMobile Server 与 Active Directory 之间发生交互的操作。

  1. LDAP 配置。配置 Active Directory 本身会导致与 Active Directory 交互。XenMobile Server 会尝试通过使用 Active Directory 进行身份验证来验证信息。服务器通过使用 Internet 协议、端口和提供的服务帐户凭据完成此操作。成功绑定表示已正确配置连接。

  2. 基于组的交互。

    1. 在创建基于角色的访问控制 (RBAC) 和交付组定义期间搜索一个或多个组。XenMobile Server 管理员在 XenMobile 控制台中输入搜索文本字符串。XenMobile Server 在选定的域中搜索包含所提供子字符串的所有组。然后,XenMobile Server 检索通过搜索识别出的组的 objectGUID、sAMAccountName 和标识名属性。

      注意:

      此信息存储在 XenMobile Server 数据库中。

    2. RBAC 和部署组定义添加或更新。XenMobile Server 管理员根据之前的搜索选择感兴趣的 Active Directory 组并将其包含在部署组定义中。XenMobile Server 在 Active Directory 中搜索特定组,每次搜索一个。XenMobile Server 搜索 objectGUID 属性并检索选定的属性,其中包括成员身份信息。组成员身份信息可帮助在检索到的组与 XenMobile Server 数据库的现有用户或组之间确定成员身份。更改组成员身份会导致受影响的用户成员发生 RBAC 和部署组派生,从而导致用户授权。

      注意:

      更改部署组定义可能会导致受影响用户的应用程序或策略授权发生变化。

    3. 一次性 PIN (OTP) 邀请。XenMobile Server 管理员从 XenMobile Server 数据库中的 Active Directory 组列表中选择某个组。对于此组,所有用户(包括直接用户和间接用户)均检索自 Active Directory。OTP 邀请发送给在上述步骤中识别出的用户。

      注意:

      上述三个交互说明基于组的交互因 XenMobile Server 配置更改而触发。如果配置没有发生更改,则意味着不包含与 Active Directory 的交互。它们也说明后台作业无需定期捕获组的变化。

  3. 基于用户的交互。

    1. 用户身份验证。用户身份验证工作流会产生与 Active Directory 的两种交互:

      • 用于使用提供的凭据对用户进行身份验证。
      • 将所选用户属性添加或更新到 XenMobile Server 数据库,这些属性包括 objectGUID、标识名、sAMAccountName 和组的直接成员身份。更改组成员身份会导致重新评估应用程序、策略和访问授权。

      用户可以从设备或 XenMobile Server 控制台进行身份验证。在这两种情况下,与 Active Directory 的交互都遵循相同的行为。

    2. 应用商店访问和刷新。刷新应用商店会导致刷新用户属性,其中包括直接组成员身份。此操作会引起重新评估用户授权。

    3. 设备签入。管理员可以在 XenMobile 控制台中定期配置设备签入。每次签入设备时,都会刷新相应的用户属性,其中包括直接组成员身份。这些签入会引起重新评估用户授权。

    4. 按组进行 OTP 邀请。XenMobile Server 管理员从 XenMobile Server 数据库中的 Active Directory 组列表中选择某个组。包括直接和间接(缘于嵌套)在内的用户成员均检索自 Active Directory 并保存在 XenMobile Server 数据库中。OTP 邀请会发送给在上述步骤中识别出的用户成员。

    5. 按用户进行 OTP 邀请。管理员在 XenMobile 控制台中输入搜索文本字符串。XenMobile Server 查询 Active Directory 并返回与输入的文本字符串匹配的用户记录。然后,管理员选择要向其发送 OTP 邀请的用户。在向用户发送邀请前,XenMobile Server 会从 Active Directory 检索用户的详细信息,并在数据库中更新同样的详细信息。

后台交互

从与 Active Directory 的内联通信可以得出一个结论,即基于组的交互因更改 XenMobile Server 配置而触发。如果配置没有发生更改,则意味着不包含与 Active Directory 的交互。

这种交互需要后台作业:与 Active Directory 定期同步并将相关更改更新到感兴趣的组。

以下是与 Active Directory 交互的后台作业。

  1. 组同步作业。此作业的目的是查询 Active Directory,每次针对一个感兴趣的组,以获取标识名或 sAMAccountName 属性的更改情况。对 Active Directory 的搜索查询使用感兴趣组的 objectGUID,以获取标识名和 sAMAccountName 属性的当前值。感兴趣组的标识名或 sAMAccountName 值的变化将更新到数据库中。

    注意:

    此作业不更新用户相对于组的成员身份信息。

  2. 嵌套组同步作业。此作业更新感兴趣组的嵌套层次结构中发生的变化。XenMobile Server 允许感兴趣组的直接成员和间接成员获得授权。用户的直接成员身份在基于用户的内联交互过程中更新。此作业在后台运行,跟踪间接成员身份。如果用户所属的组是感兴趣组的成员,则形成间接成员身份。

    此作业从 XenMobile Server 数据库搜集 Active Directory 组的列表。这些组属于部署组或 RBAC 定义。对于此列表中的每个组,XenMobile Server 会获取该组的成员。组的成员是代表用户和组的标识名列表。XenMobile Server 再查询 Active Directory,以获取感兴趣组的用户成员。这两个列表的差异仅针对感兴趣组的组成员。成员组中的变化将更新到数据库。会针对层次结构中的所有组重复相同的过程。

    嵌套更改会导致处理受影响的用户以执行授权更改。

  3. 禁用的用户检查。仅当 XenMobile 管理员创建用于检查被禁用用户的操作时才会运行此作业。此作业在组同步作业的范围内运行。此作业查询 Active Directory 以检查感兴趣用户的禁用状态,每次一个用户。

常见问题解答

默认情况下,后台作业运行的频率是多少?

  • 组同步作业从本地时间 02:00 开始,每五小时运行一次。
  • 嵌套组同步作业每天在本地时间的午夜运行一次。

为什么需要执行组同步作业?

  • Active Directory 中用户记录的 memberOf 属性提供用户直接归属的组的列表。如果组从一个 OU 移动到另一个 OU, memberOf 属性将反映标识名的最新值。XenMobile Server 数据库还包含最近刷新的值。组标识名中的任何错误都可能会导致用户失去部署组的访问权限。用户还可能会丢失与该部署组关联的应用程序和策略。
  • 后台作业会使 XenMobile Server 数据库中的组标识名属性保持在最新状态,以确保用户拥有其授权的访问权限。
  • 将同步作业安排为五小时一次是基于 Active Directory 中发生组更改的情况并不常见这一假设。

是否可以关闭组同步作业?

  • 如果您知道感兴趣的组不会从一个 OU 更改为另一个 OU,则可以关闭这些作业。

为什么需要嵌套组处理后台作业?

  • 在 Active Directory 中,组嵌套并不是每天都会发生变化。感兴趣组的嵌套层次结构发生变化会导致受影响用户的授权改变。将某个组添加到层次结构中时,其成员用户将被授予相应的角色。当某个组移出嵌套时,该组的成员用户将丢失基于角色的授权的访问权限。
  • 用户刷新过程中不会捕获嵌套更改。由于嵌套更改无法按需进行,这些更改通过后台作业捕获。
  • 基于嵌套更改并不常见的假设,后台作业每天运行一次,以查找更改。

是否可以关闭嵌套组处理作业?

  • 如果您知道感兴趣的组不会发生嵌套变化,则可以关闭这些作业。

本地 XenMobile 与 Active Directory 的交互