-
-
-
-
本地 XenMobile 与 Active Directory 的交互
-
This content has been machine translated dynamically.
Dieser Inhalt ist eine maschinelle Übersetzung, die dynamisch erstellt wurde. (Haftungsausschluss)
Cet article a été traduit automatiquement de manière dynamique. (Clause de non responsabilité)
Este artículo lo ha traducido una máquina de forma dinámica. (Aviso legal)
此内容已经过机器动态翻译。 放弃
このコンテンツは動的に機械翻訳されています。免責事項
이 콘텐츠는 동적으로 기계 번역되었습니다. 책임 부인
Este texto foi traduzido automaticamente. (Aviso legal)
Questo contenuto è stato tradotto dinamicamente con traduzione automatica.(Esclusione di responsabilità))
This article has been machine translated.
Dieser Artikel wurde maschinell übersetzt. (Haftungsausschluss)
Ce article a été traduit automatiquement. (Clause de non responsabilité)
Este artículo ha sido traducido automáticamente. (Aviso legal)
この記事は機械翻訳されています.免責事項
이 기사는 기계 번역되었습니다.책임 부인
Este artigo foi traduzido automaticamente.(Aviso legal)
这篇文章已经过机器翻译.放弃
Questo articolo è stato tradotto automaticamente.(Esclusione di responsabilità))
Translation failed!
本地 XenMobile® 与 Active Directory 的交互
本文解释了 XenMobile Server 与 Active Directory 之间的交互。XenMobile Server 以内联和后台两种方式与 Active Directory 进行交互。以下部分提供了有关涉及 Active Directory 交互的内联和后台操作的更多信息。
注意:
本文概述了交互,并未涵盖详细信息。有关在 XenMobile 控制台中配置 Active Directory 和 LDAP 的更多信息,请参阅域或域加安全令牌身份验证。
内联交互
XenMobile Server 使用管理员配置的 LDAP 设置与 Active Directory 进行通信。这些设置用于检索有关用户和组的信息。以下是导致 XenMobile Server 与 Active Directory 交互的操作。
-
LDAP 配置。 Active Directory 本身的配置会导致与 Active Directory 的交互。XenMobile Server 尝试通过使用 Active Directory 验证信息来验证信息。服务器通过使用提供的 Internet 协议、端口和服务帐户凭据来执行此操作。成功的绑定表示连接已正确配置。
-
基于组的交互。
-
在创建基于角色的访问控制(RBAC)和交付组定义期间搜索一个或多个组。XenMobile Server 管理员在 XenMobile 控制台中输入搜索文本字符串。XenMobile Server 在选定的域中搜索所有包含所提供子字符串的组。然后,XenMobile Server 检索在搜索中标识的组的 objectGUID、sAMAccountName 和 Distinguished Name 属性。
注意:
此信息未存储在 XenMobile Server 数据库中。
-
RBAC 和部署组定义添加或更新。XenMobile Server 管理员根据之前的搜索选择感兴趣的 Active Directory 组,并将其包含在部署组定义中。XenMobile Server 在 Active Directory 中逐个搜索特定组。XenMobile Server 搜索 objectGUID 属性并检索选定的属性,包括成员资格信息。组的成员资格信息有助于确定检索到的组与 XenMobile Server 数据库中现有用户或组之间的成员资格。组的成员资格更改会导致受影响用户成员的 RBAC 和部署组派生,从而产生用户权限。
注意:
部署组定义的更改可能导致受影响用户的应用程序或策略权限发生更改。
-
一次性 PIN(OTP)邀请。 XenMobile Server 管理员从 XenMobile Server 数据库中存在的 Active Directory 组列表中选择一个组。对于此组,将从 Active Directory 中检索所有直接和间接用户。OTP 邀请将发送给在上一步中标识的用户。
注意:
前面三项交互意味着基于组的交互是根据 XenMobile Server 配置更改触发的。当配置没有更改时,这些交互意味着与 Active Directory 没有交互。它们还意味着不需要后台作业来定期捕获组方面的更改。
-
-
基于用户的交互
-
用户身份验证: 用户身份验证工作流导致与 Active Directory 的两次交互:
- 用于使用提供的凭据对用户进行身份验证。
- 向 XenMobile Server 数据库添加或更新选定的用户属性,包括 objectGUID、Distinguished Name、sAMAccountName 以及对组的直接成员资格。组的成员资格更改会导致应用程序、策略和访问权限的重新评估。
用户可以从设备或 XenMobile Server 控制台进行身份验证。在这两种情况下,与 Active Directory 的交互都遵循相同的行为。
-
应用商店访问和刷新: 商店刷新会导致用户属性(包括直接组成员资格)的刷新。此操作允许重新评估用户权限。
-
设备签入: 管理员可以在 XenMobile 控制台中配置定期设备签入。每次设备签入时,都会刷新相应的用户属性,包括直接组成员资格。这些签入允许重新评估用户权限。
-
按组发送 OTP 邀请: XenMobile Server 管理员从 XenMobile Server 数据库中存在的 Active Directory 组列表中选择一个组。将从 Active Directory 中检索直接和间接(由于嵌套)用户成员,并将其保存到 XenMobile Server 数据库中。OTP 邀请将发送给在上一步中标识的用户成员。
-
按用户发送 OTP 邀请: 管理员在 XenMobile 控制台中输入搜索文本字符串。XenMobile Server 查询 Active Directory 并返回与输入文本字符串匹配的用户记录。然后,管理员选择要发送 OTP 邀请的用户。XenMobile Server 从 Active Directory 中检索用户详细信息,并在向用户发送邀请之前更新数据库中的相同详细信息。
-
后台交互
与 Active Directory 进行内联通信的一个结论是,基于组的交互是在 XenMobile Server 配置发生选定更改时触发的。当配置没有更改时,这意味着与 Active Directory 没有组的交互。
此交互需要后台作业,这些作业会定期与 Active Directory 同步,并更新感兴趣组的相关更改。
以下是与 Active Directory 交互的后台作业。
-
组同步作业。 此作业的目的是逐个查询 Active Directory 中感兴趣的组,以查找 distinguished name 或 sAMAccountName 属性的更改。对 Active Directory 的搜索查询使用感兴趣组的 objectGUID 来获取 distinguished name 和 sAMAccountName 属性的当前值。感兴趣组的 distinguished name 或 sAMAccountName 值中的更改将更新到数据库。
注意:
此作业不更新用户到组的成员资格信息。
-
嵌套组同步作业。 此作业更新感兴趣组的嵌套层次结构中的更改。XenMobile Server 允许感兴趣组的直接和间接成员获取权限。用户的直接成员资格在基于用户的内联交互期间更新。此作业在后台运行,跟踪间接成员资格。间接成员资格是指用户是某个组的成员,而该组又是感兴趣组的成员。
此作业从 XenMobile Server 数据库中收集 Active Directory 组列表。这些组是部署组或 RBAC 定义的一部分。对于此列表中的每个组,XenMobile Server 获取该组的成员。组的成员是表示用户和组的 distinguished name 列表。
XenMobile Server 再次查询 Active Directory,以仅获取感兴趣组的用户成员。两个列表之间的差异仅提供感兴趣组的组成员。成员组中的更改将更新到数据库。对层次结构中的所有组重复相同的过程。
嵌套更改会导致处理受影响用户的权限更改。
-
禁用用户检查。 此作业仅在 XenMobile 管理员创建检查禁用用户的操作时运行。该作业在组同步作业的范围内运行。该作业逐个查询 Active Directory,以检查感兴趣用户的禁用状态。
常见问题
后台作业默认运行频率是多少?
- 组同步作业每五小时运行一次,从当地时间 02:00 开始。
- 嵌套组同步作业每天在当地时间午夜运行一次。
为什么需要组同步作业?
- Active Directory 中用户记录的 memberOf 属性提供了用户直接所属的组列表。如果一个组从一个 OU 移动到另一个 OU,memberOf 属性会反映 distinguished name 的最新值。XenMobile Server 数据库也具有上次刷新的值。组的 distinguished name 中的任何不匹配都可能导致用户失去对部署组的访问权限。用户还可能失去与该部署组关联的应用程序和策略。
- 后台作业使 XenMobile Server 数据库中的组 distinguished name 属性保持最新,以确保用户可以访问其权限。
- 同步作业每五小时调度一次,因为假定 Active Directory 中的组更改不常见。
可以关闭组同步作业吗?
- 当您知道感兴趣的组不会从一个 OU 更改到另一个 OU 时,可以关闭作业。
为什么需要嵌套组处理后台作业?
- Active Directory 中组的嵌套更改并非每天都会发生。对感兴趣组的嵌套层次结构的更改会导致受影响用户的权限发生更改。当一个组添加到层次结构中时,其成员用户将获得相应的角色权限。当一个组从嵌套中移出时,该组的成员用户可能会失去对基于角色的权限的访问权限。
- 用户刷新期间不会捕获嵌套更改。由于嵌套更改无法按需进行,因此通过后台作业捕获这些更改。
- 假定嵌套更改不常见,因此后台作业每天运行一次以检查任何更改。
可以关闭嵌套组处理作业吗?
- 当您知道感兴趣的组不会发生嵌套更改时,可以关闭作业。
This Preview product documentation is Citrix Confidential.
You agree to hold this documentation confidential pursuant to the terms of your Citrix Beta/Tech Preview Agreement.
The development, release and timing of any features or functionality described in the Preview documentation remains at our sole discretion and are subject to change without notice or consultation.
The documentation is for informational purposes only and is not a commitment, promise or legal obligation to deliver any material, code or functionality and should not be relied upon in making Citrix product purchase decisions.
If you do not agree, select I DO NOT AGREE to exit.