IdM

Материал из Xgu.ru

Перейти к: навигация, поиск
stub.png
Данная страница находится в разработке.
Эта страница ещё не закончена. Информация, представленная здесь, может оказаться неполной или неверной.

Если вы считаете, что её стоило бы доработать как можно быстрее, пожалуйста, скажите об этом.


Автор: Сергей Черепенин

Содержание

[править] Введение в Novell Identity Manager

Novell Identity Manager – это решение, предназначенное для упрощения совместного использования данных и их синхронизации. Оно позволяет внести кардинальные изменения в процесс управления вашими данными. Этот сервис использует центральное хранилище данных – Identity Vault (eDirectory) – для синхронизации, трансформации и предоставления информации посредством приложений, баз данных и каталогов.

Для выполнения поставленных задач в состав Novell Identity Manager входит семь составляющих:

  1. Password synchronization
  2. Password self-service
  3. Logging and auditing services
  4. User management through the User Application
  5. Workflow provisioning
  6. Email notification
  7. Designing drivers and policies through the Designer utility

Novell Identity Manager позволяет соединенным системам (таким как SAP, PeopleSoft, Lotus Notes, Microsoft Exchange, Active Directory, и другим) выполнять следующее:

  1. Организация совместного использования данных с хранилищем eDirectory (Identity Vault)
  2. Синхронизация и трансформация совместно используемых данных с хранилищем Identity Vault при модификации данных соединенной системой
  3. Синхронизация и трансформация коллективных данных с соединенными системами, когда данные модифицированы в хранилище Identity Vault


Identity Manager делает это с помощью обеспечения двунаправленной инфраструктуры, которая определяет данные, извлекаемые из Identity Vault в приложение и от приложения к Identity Vault. Эта инфраструктура использует язык XML для перевода данных и событий исходящих от Identity Vault в определенный специализированный формат, и наоборот – преобразовывает специализированные форматы в формат, который может быть понят Identity Vault. Все взаимодействие с приложением происходит с использованием API.

[править] Основные понятия

Identity Manager предназначен для синхронизации данных между Identity Vault и соединенной системой. Соединённая система состоит из приложений, директориев, баз данных, или файлов. Identity Manager включает нескольких компонентов. Следующая иллюстрация показывает основные компоненты и их связь:

Flow a.gif Рисунок 1 Компоненты Identity Manager

[править] Metadirectory engine

Metadirectory engine является ключевым модулем в архитектуре Identity Manager. Он обеспечивает интерфейс, который позволяет драйверам Identity Manager синхронизировать информацию с Identity Vault.

Metadirectory engine обрабатывает данные и события Identity Vault используя формат XML. Metadirectory engine применяет набор правил и механизмов преобразования данных для манипулирования ними в потоке между двумя системами:

  • Читает фильтр для всех драйверов Identity Manager.
  • Регистрирует драйверы для подходящих событий Identity Vault.
  • Фильтрует данные согласно каждой драйверной спецификации.
  • Устанавливает кеш для событий Identity Vault для каждого драйвера.


Инициализация Identity Vault происходит следующим образом:

  • В тот момент, когда событие закешировано, драйвер, владеющий этим кешем, читает событие.
  • Канал Subscriber Channel драйвера получает данные из Identity Vault в родном формате eDirectory, переводит в формат XDS ( язык XML используется Identity Manager для обеспечения возможности трансформации данных политиками) и посылает эти данные в Metadirectory engine. Engine читает все политики на драйвере соединенной системы и создает форматированные данные XML согласно указанным политикам и затем посылает данные на эти драйверы. Далее драйвер посылает данные в связанную систему
  • Канал Publisher Channel драйвера выполняет сбор и отправку обновлений от соединенной системы к Identity Vault. Когда драйвер соединенной системы оповещён о изменениях, он начинает собирать информацию, проверяет правильность модификации фильтрами данных, преобразует в формат XDS и посылает данные на Metadirectory engine

Metadirectory Engine может быть разделен на две состовляющие:

  • Интерфейс eDirectory

Интерфейс eDirectory, встроенный в Metadirectory Engine, используется для определения событий, происходящих в eDirectory. Этот интерфейс гарантирует доставку событий через кеш событий в Identity Manager. Интерфейс eDirectory поддерживает многодрайверную загрузку. Это означает, что только один экземпляр Identity Manager выполняется на этом сервере eDirectory, но он может связаться с множеством соединенных систем.

  • Механизм синхронизации

Механизм синхронизации применяет политики Identity Manager к каждому событию. Политики создаются в Policy Builder с использованием DirXML скипта. Policy Builder позволяет создавать политики через GUI интерфейс вместо использования XML документов или таблиц стилей, записанных в XSLT. Механизм сихронизации применяет каждый тип политики к исходному документу. Способность завершать эти преобразования - одна из наиболее сильных возможностей Identity Manager. Данные преобразовываются в реальном времени между Identity Vault и соединенными системами.

[править] Driver Configuration Files

Заранее сконфигурированные XML файлы, которые могут устанавливаться вместе с Identity Manager. Администратор может импортировать их с помощью мастера iManager или Designer в качестве шаблона для дальнейшей конфигурации драйвера.

[править] Identity Manager Event Cache

Все события, проходящие через eDirectory, загружаются в кеш события Event Cache, и сохраняются там до их полного выполнения. Такая технология гарантирует, что никакие данные не будут потеряны из-за сбоев связи, нехватки системных ресурсов, неготовность драйвера, или любой другой сетевой проблеме.

[править] Driver Shim

Драйверная прокладка Driver Shim (или просто драйвер), служит в качестве информационного канала для связи между соединённой системой и Identity Vault. Driver Shim написана на Java, C, или C++.

Связь между Metadirectory Engine и Driver Shim осуществляется в форме документов XML, описывающие события, запросы и результаты. Это – канал, через который информация передаётся между Identity Vault и соединенной системой. Ниже перечислены объектные события, которые поддерживаются Driver Shim:

  • Добавление(создание)
  • Модификация
  • Удаление
  • Переименование
  • Перемещение
  • Постановка в очередь

Кроме этого, Driver Shim должен поддерживать запросы определённых форматов, чтобы Identity Manager мог передать запрос соединенной системе.

Когда событие происходит в Identity Vault, которое вызывает действие в соединённой системе, Identity Manager создает документ XML, описывающий это событие в Identity Vault и передает его это через канал Subscriber Channel в Driver Shim.

Когда событие происходит в соединённой системе, Driver Shim генерирует документ XML, который описывает это системное событие. Далее Driver Shim через канал Publisher Channel пересылает документ XML на Identity Manager. После обработки события через политики Publisher Channel, Identity Manager заставляет Identity Vault выполнять необходимые действия.

[править] Driver Set

Driver Set является контейнерным объектом, который содержит драйверы Identity Manager. Driver Set может быть связан только с одним сервером за один раз. В результате, все работающие с определённой соединённой системой драйверы должны быть сгруппирированы на тот же установленный Driver Set

ххххх

Объект Driver Set должен находиться полностью с прававми чтения/записи реплики на любом сервере, который использует его, так что мы рекомендуеразделять установленный драйвер. Это рекомендован чтобы если копии пользователей перемещены на другой сервер, драйверные объекты – не.

ххххххххххххх


Следующий рисунок показывает как Driver Set отображен в Designer.



Driverset designer.gif

Рисунок 2 Driver Set в Designer

Следующий рисунок показывает как Driver Set отображен в iManager.

Iman driverset.png

Рисунок 3 Driver Set в iManager

Из Modeler в Designer (показанное над Figure 1-2 на странице 14) или страница Overview в iManager (показанное над Figure 1-3 на странице 15), существует возможность:

  • Просмотра и модификации Driver Set и его свойств
  • Просмотра драйверов в пределах Driver Set
  • Изменение статуса драйвера
  • Ассоциация Driver Set с сервером
  • Добавление или удаление драйверов в Driver Set
  • Просмотр информации об активации для Driver Set
  • Просмотр журналов работы Driver Set

[править] Driver Object

Driver Object представляет собой драйвер, подключающийся к интергрируемой в Identity Vault соединённой системе. Следующие компоненты входят в состав Driver Object и в его параметры конфигурации:

  • Driver Object в дереве eDirectory находится в Driver Set контейнере.
  • Канал Subscriber Channel находиться в Driver Object.
  • Канал Publisher Channel нахидиться в Driver Object.
  • Некоторые политики, на которые ссылается Driver Object, Subscriber и Publisher Channel.
  • Выполняемая Driver Shim на которую ссылается Driver Object.
  • Специфические параметры Driver Shim, которые сконфигурированы администратором.
  • Пароль eDirectory для Driver Object. Пароль может быть использован Driver Shim, чтобы подключаться к удалённой её части (напрмер Remote Loader для MS Windows).
  • Параметры аутентификации используемые для подключения и авторизации в соединённой системе.


ХХХХХХХХ

  • Entitlements, Хотя они не разделять каждого драйвера. Entitlements Может быть настроен в процессе создания драйвера или добавлен позже.

ХХХХХХХХ

  • Варианты опций запуска драйвера:
    • Disabled: драйвер не запущен.
    • Manual: драйвер запускается вручную через iManager.
    • Auto: драйвер запускается автоматически при старте Identity Vault.
  • Ссылка на политики соответствия схем Schema Mapping.
  • XML представление схемы соединённой системы. Обычно получается автоматически из соединённой системы через Driver Shim.

В iManager существует возможность доступа к Identity Manager Driver Overview и модификациисуществующих параметров драйвера, политик, титульных листов, и entitlements.


Identity Manager Driver Overview Показан ниже

DriversOverview.gif

Рисунок 4 Identity Manager Driver Overview



Кроме того, Driver Object используется для проверки прав eDirectory. Driver Object должен предоставлять достаточные права на доступ к eDirectory любому объекту, который выполняет чтение/запись. Существует возможность сделать опекунство Driver Object над объектами eDirectory или определить Security Equivalences для Driver Object.

Подробнее о eDirectory Rights смотрите в Novell eDirectory 8.8 Administration Guide

[править] Publisher и Subscriber Channels

Драйверы Identity Manager содержат два канала для обработки данных: канал Publisher Channel канал Subscriber Channel.

Канал Publisher Channel посылает события от соединённой системы к Identity Vault. Канал Subscriber Channel посылает события от Identity Vault к соединённой системе.

Каждый канал содержит свои собственные политики, которые определяют, каким образом, будут обрабатываться, и трансформироваться данные в потоке.

Policies Designer.gif

Рисунок 5 Publisher и Subscriber Channels в Designer

Plices im.gif

Рисунок 6 The Publisher и Subscriber Channles в iManager

[править] События и Команды

Различие между событиями и командами в Identity Manager важное.

Если событие посылается на драйвер, событие является командой. Если событие посылается на Identity Manager, событие является уведомлением.

Когда драйвер посылает событию уведомление на Identity Manager, драйвер сообщает Identity Manager какие изменения происходили в соединенной системе.

Затем, основанный на конфигурируемых правилах, Metadirectory Engine определяет какие команды, если имеются в наличии, должны быть посланы на Identity Vault.

Когда Identity Manager посылает команду на драйвер, он уже взял событие Identity Vault как ввод, применил необходимые политики и определил, какие изменения в соединённой системе представленной командой необходимо выполнить.

[править] Политики и Фильтры

Политики и фильтры дают возможность управлять потоком данных между системами посредством правил в политиках, которыми Вы определяете как управлять классами Identity Vault, атрибутами, и события, предназначенные для использования в соединённой системе, и visa-versa.

Для подробной информации о политиках и фильтрах, обратитесь на страницу Understanding Policies для Identity Manager

[править] Ассоциации

Большинство других продуктов управления требуют от соединённой системы сохранение идентификаторов в определённом порядке для сопоставления объектов с соединённых систем в свой каталог. При использовании Identity Manager, никаких изменений не требуется к соединённой системе. Каждый объект в Identity Vault содержит таблицу ассоциации, которая отображает объект Identity Vault с уникальным идентификатором в связанных системах. Таблица реверсивно проиндексирована, чтобы соединённой системе не нужно предоставлять идентификатор Identity Vault (как например, distinguished name) на драйвер при обновлении Identity Vault.

Создание ассоциации между двумя объектами происходит при появлении события на объект, который ещё не связан другим объектом в Identity Vault. Для вновь создающихся ассоциаций минимум установленных критериев должен сочетаться между каждым объектом.

Например, Вы можете создать политику, устанавливающую, что если любые два из четырёх атрибутов сочетаются более, чем 90% (полное имя, телефонный номер, служебный ID, и адрес электронной почты), объект будет связан.

Политики сопоставления Matching policies определяют критерии для определения идентичности двух объектов.

Если никакое сопоставление не обнаружено для изменённого объекта – будет создан новый объект.

Для такого случая все минимальные критерии создания должны быть определены. Эти критерии определены политикой Create policy. Наконец, политика Placement policy определяет где, в присваивании имён иерархии, новый объект будет создан.

Ассоциации могут создаваться одним из двух способов:

  • Как сопоставление между объектами
  • Как новое создание объекта в специфической позиции

После того, как ассоциация между объектами сформирована, она в силе, пока объекты не будут удалены или ассоциация не будет удалена администратором.


[править] Таблицы ассоциаций

В Identity Manager, ассоциации ссылаются на сопоставление объектов в eDirectory с объектами, находящимися в соединённых системах. Когда Identity Manager первоначально установлен, схема eDirectory расширена. Часть этого расширения является новым атрибутом связанным в базовый класс всех объектов eDirectory. Этот атрибут является таблицей ассоциации. Таблицы Ассоциации следят за всеми связанными системными объектами. Эта таблица создаётся и поддерживается автоматически, так что редко возникает причина вручную редактировать эту информацию.

Атрибут ассоциации на объекте может быть просмотрен в iManager.

1 В iManager выбираются иконку View Objects в зоне средства. 2 Просмотра и выбор объека, затем выбираться Modify Object. 3 Выбор Identity Manager tab. Атрибут ассоциации отображен в Identity Manager tab

[править] User Application

User Application - решение provisioning. Это - продукт расширения для Identity Manager. В User Application включается мощная поддержка workflow в Identity Manager. Это позволяет принимать решения, основанные на человеческом вводе дополнительно к автоматизированным правилам где никакое ручное вмешательство не потребовалось.

Для более подробной информации, смотрите User Application Documentation

[править] Designer

Designer является автономным приложением клиента. Он состоит из пространства Modeler, Palette, views , Policy Builder, генератор документов, и другого функционала назначения для обеспечения возможности разработки, тестирования, подтверждения, и развёртывания Identity Manager основанных решений в высоко продуктивной среде. Для информации о Designer, смотрите Designer для Identity Manager: Administration Guide

[править] Дополнительная информация


[править] Дополнительная информация о Novell Identity Manager на Xgu.ru

Драйвер Identity Manager для синхронизации с Acrive Directory:

Источник — «http://xgu.ru/wiki/IdM»