Interacción del XenMobile instalado localmente con Active Directory
En este artículo, se explica la interacción entre XenMobile Server y Active Directory. XenMobile Server interactúa con Active Directory tanto en línea como en segundo plano. En las siguientes secciones, se ofrece más información sobre las operaciones en línea y en segundo plano que implican la interacción con Active Directory.
Nota:
Este artículo es una descripción general de la interacción, no es una explicación detallada. Para obtener más información sobre la configuración de Active Directory y LDAP en la consola de XenMobile, consulte Autenticación de dominio o dominio y token de seguridad.
Interacciones en línea
XenMobile Server se comunica con Active Directory a través de los parámetros de LDAP que define un administrador. Los parámetros recuperan información sobre usuarios y grupos. A continuación, dispone de las operaciones que resultan de la interacción entre XenMobile Server y Active Directory.
-
Configuración de LDAP. La configuración de Active Directory en sí resulta en una interacción con Active Directory. XenMobile Server intenta validar la información cotejándola con Active Directory. El servidor lo logra mediante el protocolo de Internet, el puerto y las credenciales suministradas de cuenta de servicio. Una comunicación satisfactoria indica que la conexión se ha configurado correctamente.
-
Interacciones basadas en grupos.
-
Buscar uno o varios grupos durante la creación del control de acceso basado en roles (RBAC) y la definición de grupos de entrega. El administrador de XenMobile Server introduce una cadena de texto de búsqueda en la consola de XenMobile. XenMobile Server busca todos los grupos que contienen la subcadena indicada en el dominio seleccionado. A continuación, XenMobile Server recupera los atributos objectGUID, sAMAccountName y nombre distintivo de los grupos identificados en la búsqueda.
Nota:
Esta información no se almacena en la base de datos de XenMobile Server.
-
Agregar o actualizar RBAC y la definición del grupo de implementación. El administrador de XenMobile Server selecciona los grupos de interés de Active Directory en función de la búsqueda anterior y los incluye en la definición del grupo de implementación. XenMobile Server busca el grupo específico, uno por uno, en Active Directory. XenMobile Server busca el atributo objectGUID y recupera los atributos seleccionados, incluida la información de pertenencia a grupos. La información de miembros del grupo ayuda a determinar la pertenencia entre el grupo recuperado y los usuarios o grupos existentes en la base de datos de XenMobile Server. Realizar cambios en la pertenencia a grupos genera una derivación del RBAC y el grupo de implementación para los usuarios miembros afectados, lo que resulta en derechos de usuario.
Nota:
Realizar cambios en la definición del grupo de implementación puede generar cambios en los derechos de aplicaciones o directivas para los usuarios afectados.
-
Invitaciones de PIN de un solo uso (OTP). El administrador de XenMobile Server selecciona un grupo de la lista de grupos de Active Directory presentes en la base de datos de XenMobile Server. Para este grupo, todos los usuarios, tanto directos como indirectos, se recuperan de Active Directory. Las invitaciones OTP se envían a los usuarios que se identificaron en el paso anterior.
Nota:
Las tres interacciones mencionadas implican que las interacciones basadas en grupos se desencadenan en función de los cambios de configuración de XenMobile Server. Cuando no hay cambios en la configuración, las interacciones implican que no hay interacciones con Active Directory. También implican que no hay ningún requisito para que los trabajos en segundo plano capturen el lado grupal de los cambios de forma periódica.
-
-
Interacción basada en el usuario
-
Autenticación de usuarios: El flujo de trabajo de autenticación de un usuario conlleva dos interacciones con Active Directory:
- Se usa para autenticar al usuario con las credenciales proporcionadas.
- Agregar o actualizar atributos específicos de usuario en la base de datos de XenMobile Server, incluidos objectGUID, el nombre distintivo, sAMAccountName y pertenencia directa a grupos. Los cambios en la pertenencia a grupos generan una reevaluación de los derechos que tengan los miembros de grupo a la aplicación, la directiva y el acceso.
El usuario puede autenticarse desde el dispositivo o desde la consola de XenMobile Server. En ambos casos, la interacción con Active Directory tiene el mismo comportamiento.
-
Acceso y actualización de la tienda de aplicaciones: Una actualización de la tienda da como resultado una actualización de los atributos del usuario, incluida su pertenencia directa al grupo. Esta acción permite una reevaluación de los derechos del usuario.
-
Comprobaciones del dispositivo: Los administradores pueden configurar en la consola de XenMobile una comprobación periódica del dispositivo. Cada vez que se comprueba un dispositivo, los atributos de usuario correspondientes se actualizan, incluida la pertenencia directa al grupo. Esas comprobaciones permiten una reevaluación de los derechos del usuario.
-
Invitaciones de PIN de un solo uso (OTP): El administrador de XenMobile Server selecciona un grupo de la lista de grupos de Active Directory presentes en la base de datos de XenMobile Server. Los usuarios miembros, directos e indirectos (por anidamiento), se obtienen de Active Directory y se guardan en la base de datos de XenMobile Server. Las invitaciones OTP se envían a los usuarios miembros que se identificaron en el paso anterior.
-
Invitaciones OTP por usuario: El administrador introduce una cadena de texto de búsqueda en la consola de XenMobile. XenMobile Server consulta Active Directory y devuelve registros de usuario que coinciden con la cadena de texto de entrada. El administrador selecciona al usuario para enviarle la invitación OTP. XenMobile Server obtiene la información de usuario de Active Directory y actualiza los mismos datos en la base de datos antes de enviar la invitación al usuario.
-
Interacciones en segundo plano
Una conclusión de la comunicación en línea con Active Directory es que las interacciones basadas en grupos se activan al seleccionar cambios en la configuración de XenMobile Server. Cuando no hay cambios en la configuración, no hay interacciones con Active Directory para grupos.
Esta interacción requiere trabajos en segundo plano que se sincronicen periódicamente con Active Directory y actualicen los cambios relevantes en los grupos pertinentes.
A continuación, dispone de los trabajos en segundo plano que interactúan con Active Directory.
-
Trabajo de sincronización de grupos. El objetivo de este trabajo es consultar a Active Directory, un grupo a la vez, sobre grupos relevantes para cambios en los atributos de nombre distintivo o sAMAccountName. La consulta de búsqueda en Active Directory usa el atributo objectGUID del grupo relevante para obtener los valores actuales de los atributos de nombre distintivo y sAMAccountName. Los cambios en los valores de nombre distintivo o sAMAccountName de los grupos relevantes se actualizan en la base de datos.
Nota:
Este trabajo no actualiza la información de pertenencia del usuario al grupo.
-
Trabajo de sincronización de grupos anidados. Este trabajo actualiza los cambios en la jerarquía de anidamiento de los grupos relevantes. XenMobile Server permite que los miembros directos e indirectos de un grupo relevante obtengan derechos. La pertenencia directa de los usuarios se actualiza durante las interacciones en línea basadas en el usuario. En segundo plano, este trabajo rastrea las pertenencias indirectas. La pertenencia indirecta es cuando un usuario es miembro de un grupo que es miembro, a su vez, de un grupo relevante.
Este trabajo recopila la lista de grupos de Active Directory desde la base de datos de XenMobile Server. Esos grupos forman parte de la definición del grupo de implementación o de la definición de RBAC. Para cada grupo en esta lista, XenMobile Server obtiene los miembros del grupo. Los miembros de un grupo son una lista de nombres distintivos que representan usuarios y grupos.
XenMobile Server realiza otra consulta a Active Directory para obtener solo los usuarios del grupo relevante. La diferencia entre las dos listas ofrece solo los miembros del grupo relevante. Los cambios en los grupos de miembros se actualizan a la base de datos. Se repite el mismo proceso para todos los grupos de la jerarquía.
Los cambios en el anidamiento provocan el procesamiento de los usuarios afectados para los cambios de derechos.
-
Verificación de usuario inhabilitado. Este trabajo solo se ejecuta cuando el administrador de XenMobile crea una acción para verificar si hay usuarios inhabilitados. El trabajo se ejecuta dentro del ámbito de un trabajo de sincronización de grupos. El trabajo consulta a Active Directory para comprobar el estado inhabilitado de los usuarios relevantes, un usuario a la vez.
Preguntas frecuentes
¿Con qué frecuencia predeterminada se ejecutan los trabajos en segundo plano?
- Los trabajos de sincronización de grupos se ejecutan cada cinco horas a partir de las 02:00 (hora local).
- Los trabajos de sincronización de los grupos anidados se ejecutan una vez al día a medianoche (hora local).
¿Para qué se necesita un trabajo de sincronización de grupos?
- El atributo memberOf de un registro de usuario en Active Directory presenta una lista de los grupos donde el usuario es un miembro directo. Si un grupo se mueve de una unidad organizativa a otra, el atributo memberOf refleja el último valor del nombre distintivo. La base de datos de XenMobile Server también tiene el último valor actualizado. Cualquier discrepancia entre los nombres distintivos de un grupo puede ocasionar que el usuario pierda acceso al grupo de implementación. El usuario también puede perder las aplicaciones y las directivas asociadas a ese grupo de implementación.
- El trabajo en segundo plano mantiene actualizado el atributo de nombre distintivo del grupo en la base de datos de XenMobile Server para garantizar que los usuarios tengan acceso a lo que les corresponde.
- Los trabajos de sincronización están programados para ejecutarse cada cinco horas porque se asume que los cambios de grupo en Active Directory son poco frecuentes.
¿Se puede desactivar un trabajo de sincronización de grupos?
- Puede desactivar los trabajos cuando sabe que los grupos relevantes no pasan de una unidad organizativa a otra.
¿Para qué se necesita un trabajo en segundo plano de procesamiento de grupos anidados?
- En Active Directory, los cambios en el anidamiento de grupos no son diarios. Los cambios en la jerarquía de anidamiento de los grupos relevantes producen cambios en los derechos de los usuarios afectados. Cuando se agrega un grupo a la jerarquía, sus usuarios miembros obtienen el derecho a los roles respectivos. Cuando un grupo abandona una estructura anidada, los usuarios miembros del grupo pueden perder el acceso a los derechos basados en roles.
- Los cambios en el anidamiento no se capturan durante la actualización de usuarios. Como los cambios de anidamiento no pueden realizarse a demanda, esos cambios se capturan a través de un trabajo en segundo plano.
- Se asume que los cambios de anidamiento son poco frecuentes y, por lo tanto, el trabajo en segundo plano se ejecuta una vez al día para comprobar si hay cambios.
¿Se puede desactivar un trabajo de procesamiento de grupos anidados?
- Puede desactivar los trabajos cuando sepa que no hay cambios de anidamiento en los grupos relevantes.