1.2 Identity Manager
Identity Manager ermöglicht die Synchronisierung von Daten zwischen dem Identitätsdepot und dem verbundenen System. Das verbundene System besteht aus Anwendungen, Verzeichnissen, Datenbanken oder Dateien.
Identity Manager umfasst mehrere Komponenten. In der folgenden Abbildung sind die grundlegenden Komponenten und ihre Beziehungen abgebildet:
Abbildung 1-1 Identity Manager-Komponenten
Die Metaverzeichnis-Engine ist das wichtigste Modul in der Identity Manager-Architektur. Sie stellt die Schnittstelle zur Verfügung, über die Identity Manager-Treiber Informationen mit dem Identitätsdepot synchronisieren und über die verschiedenartigen Datensysteme eine Verbindung herstellen und Daten gemeinsam nutzen können.
Die Metaverzeichnis-Engine verarbeitet Identitätsdepotdaten und -ereignisse unter Verwendung von XML. Die Metaverzeichnis-Engine verwendet zur Bearbeitung des Datenflusses zwischen zwei Systemen einen Regelprozessor und eine Datentransformations-Engine:
- Sie liest den Filter für alle Identity Manager-Treiber.
- Sie registriert die Treiber für die entsprechenden Identitätsdepot-Ereignisse.
- Sie filtert die Daten gemäß den Spezifikationen der einzelnen Treiber.
- Sie richtet einen Cache für die Identitätsdepot-Ereignisse ein, die von den einzelnen Treibern übergeben werden.
Bei der Initialisierung des Identitätsdepots führt die Engine Folgendes aus:
- Nachdem ein Ereignis im Cache gespeichert wurde, wird es von dem Treiber gelesen, der Eigentümer des Cache ist.
- Der Treiber empfängt die Identitätsdepotdaten im nativen eDirectory-Format, übersetzt sie in das XDS-Format (das von Identity Manager verwendete XML-Vokabular, das durch eine Richtlinie transformiert werden kann) und sendet das Ereignis an die Metaverzeichnis-Engine. Die Engine liest alle Richtlinien im verbundenen Systemtreiber und erstellt gemäß diesen Richtlinien XML-formatierte Daten, die sie anschließend an den verbundenen Systemtreiber sendet. Dann werden die Daten an das verbundene System gesendet. Weitere Informationen zu Richtlinien finden Sie unter
Introduction to Policies
(Einführung zu Richtlinien) im Policy Builder and Driver Customization Guide (Handbuch zum Richtlinien-Builder und zur Treiberanpassung). - Das Erfassen und Senden von Aktualisierungen vom verbundenen System an das Identitätsdepot wird von der Herausgeberkomponente des Treibers ausgeführt. Wenn der Treiber des verbundenen Systems über Änderungen an den Informationen benachrichtigt wird, die die beiden Systeme gemeinsam nutzen, sammelt er diese Informationen und stellt sicher, dass sie in den richtigen Datensatz gefiltert wurden. Anschließend konvertiert er die Daten in das XDS-Format und sendet sie an die Engine.
1.2.1 Metaverzeichnis-Engine
Die Metaverzeichnis-Engine kann in zwei Komponenten aufgeteilt werden: die eDirectory-Schnittstelle und die Synchronisierungs-Engine.
eDirectory-Schnittstelle
Die in der Metaverzeichnis-Engine integrierte eDirectory-Schnittstelle wird zum Erkennen von Ereignissen verwendet, die in eDirectory auftreten. Diese Schnittstelle garantiert durch die Verwendung des Ereignis-Cache die Zustellung der Ereignisse an Identity Manager. Die eDirectory-Schnittstelle unterstützt das Laden mehrerer Treiber. Dies bedeutet, dass nur eine Instanz von Identity Manager für diesen eDirectory-Server ausgeführt wird, dieser aber mit mehreren verbundenen Systemen kommunizieren kann. Um Ereignis-Loops zwischen dem Identitätsdepot und dem verbundenen System zu verhindern, wurde die Loopback-Erkennung in diese Schnittstelle integriert. Obwohl die Schnittstelle mit einem Loopback-Schutz ausgestattet ist, sollten Entwickler die Loopback-Erkennung dennoch in die einzelnen Treiber der angeschlossenen Systeme integrieren.
Synchronisierungs-Engine
Die Synchronisierungs-Engine wendet die Identity Manager-Richtlinien auf alle Ereignisse an, die ihr präsentiert werden. Die Richtlinien werden unter Verwendung des DirXML-Skripts im Richtlinien-Builder erstellt. Mit dem Richtlinien-Builder können Sie Richtlinien über die GUI-Schnittstelle erstellen und müssen nicht XML-Dokumente oder XSLT-Formatvorlagen verwenden. Sie können diese Formatvorlagen zwar weiterhin nutzen, aber der Richtlinien-Builder ist einfacher zu verwenden. Weitere Informationen zum Richtlinien-Builder oder zum DirXML-Skript finden Sie im Policy Builder and Driver Customization Guide (Handbuch zum Richtlinien-Builder und zur Treiberanpassung).
Die Synchronisierungs-Engine wendet alle Richtlinientypen auf das Quelldokument an. Die Fähigkeit, diese Transformationen auszuführen, ist eine der leistungsstärksten Funktionen von Identity Manager. Die Transformation der Daten erfolgt in Echtzeit, während sie vom Identitätsdepot und den verbundenen Systemen gemeinsam genutzt werden.
1.2.2 Treiberkonfigurationsdateien
Bei den Treiberkonfigurationen handelt es sich um vorkonfigurierte XML-Dateien, die in Identity Manager enthalten sind. Sie können diese Konfigurationsdateien über die Assistenten in iManager und in Designer importieren.
Diese Treiberkonfigurationen enthalten Beispielrichtlinien. Sie sind nicht für die Verwendung in einer Produktionsumgebung vorgesehen, sondern dienen als Schablonen, die Sie ändern können.
1.2.3 Ereignis-Cache von Identity Manager
Alle über eDirectory generierten Ereignisse werden bis zu ihrer erfolgreichen Verarbeitung in einem Ereignis-Cache gespeichert. Dadurch ist gewährleistet, dass bei einer schlechten Verbindung, einem Verlust der Systemressourcen, der Nichtverfügbarkeit eines Treibers oder bei anderen Netzwerkfehlern keine Daten verloren gehen.
1.2.4 Treiberschnittstellenmodul
Das Treiberschnittstellenmodul dient als Kanal für den Austausch von Informationen zwischen dem verbundenen System und dem Identitätsdepot. Es wird in Java, C oder C++ programmiert.
Die Kommunikation zwischen der Metaverzeichnis-Engine und dem Treiberschnittstellenmodul erfolgt über XML-Dokumente, die Ereignisse, Abfragen und Ergebnisse beschreiben. Das Treiberschnittstellenmodul wird in der Regel als Treiber bezeichnet. Die Informationen zwischen dem verbundenen System und dem Identitätsdepot werden über diesen Kanal übermittelt.
Das Treiberschnittstellenmodul unterstützt folgende Objektereignisse:
- Hinzufügen (Erstellung)
- Ändern
- Löschen
- Umbenennen
- Verschieben
- Abfragen
Zusätzlich muss das Treiberschnittstellenmodul eine definierte Abfragefunktion unterstützen, sodass Identity Manager das verbundene System abfragen kann.
Wenn im Identitätsdepot ein Ereignis auftritt, das im verbundenen System eine Aktion auslöst, erstellt Identity Manager ein XML-Dokument mit einer Beschreibung des Identitätsdepot-Ereignisses und sendet es dann über den Abonnentenkanal an das Treiberschnittstellenmodul.
Wenn ein Ereignis im verbundenen System auftritt, generiert das Treiberschnittstellenmodul ein XML-Dokument mit einer Beschreibung dieses Ereignisses. Das Treiberschnittstellenmodul sendet das XML-Dokument anschließend über den Herausgeberkanal an Identity Manager. Im Anschluss an die Verarbeitung des Ereignisses durch bestimmte Herausgeberrichtlinien weist Identity Manager das Identitätsdepot an, die entsprechende Aktion auszuführen.
1.2.5 Treibersatz
Ein Treibersatz ist ein Containerobjekt, das Identity Manager-Treiber enthält. Ein Treibersatz kann immer nur einem Server zugeordnet sein. Aus diesem Grund müssen alle laufenden Treiber im selben Treibersatz zusammengefasst werden.
Da sich das Treibersatzobjekt auf jedem Server, der es verwendet, in einer vollwertigen Lese-/Schreibreproduktion befinden muss, wird empfohlen, den Treibersatz in einer separaten Partition abzulegen. Dies wird empfohlen, damit beim Verschieben von Benutzerreproduktionen auf einen anderen Server die Treiberobjekte nicht mit verschoben werden.
Die folgende Abbildung zeigt, wie der Treibersatz in Designer angezeigt wird.
Abbildung 1-2 Treibersatz in Designer
Die folgende Abbildung zeigt, wie der Treibersatz in iManager angezeigt wird.
Abbildung 1-3 Treibersatz in iManager
Im Modeler in Designer (siehe Abbildung 1-2) oder auf der Seite „Überblick“ in iManager (siehe Abbildung 1-3) können Sie Folgendes ausführen:
- Den Treibersatz und seine Eigenschaften anzeigen und ändern
- Die Treiber innerhalb des Treibersatzes anzeigen
- Den Status eines Treibers ändern
- Einen Treibersatz einem Server zuordnen
- Treiber hinzufügen oder entfernen
- Aktivierungsinformationen für den Treibersatz anzeigen
- Das Statusprotokoll für den Treibersatz anzeigen
1.2.6 Treiberobjekt
Ein Treiberobjekt stellt einen Treiber dar, der die Verbindung zu dem verbundenen System herstellt, das in das Identitätsdepot integriert wird. Das Treiberobjekt und seine Konfigurationsparameter bestehen aus folgenden Komponenten:
- Ein Treiberobjekt in der eDirectory-Baumstruktur, das in einem Treibersatzobjekt enthalten ist.
- Ein Abonnentenkanalobjekt, das im Treiberobjekt enthalten ist.
- Ein Herausgeberobjekt, das im Treiberobjekt enthalten ist.
- Mehrere Richtlinienobjekte, die von den Treiber-, Abonnenten- und Herausgeberobjekten referenziert werden.
- Ein ausführbares Treiberschnittstellenmodul, das vom Treiberobjekt referenziert wird.
- Schnittstellenmodulspezifische Parameter, die vom Administrator konfiguriert werden.
- Ein eDirectory-Passwort für das Treiberobjekt. Das Passwort kann vom Schnittstellenmodul zur Authentifizierung eines entfernten Teils des Schnittstellenmoduls verwendet werden.
- Authentifizierungsparameter, die verwendet werden, um eine Verbindung zum verbundenen System herzustellen und dieses zu authentifizieren.
- Berechtigungen, obwohl diese nicht in allen Treibern enthalten sind. Berechtigungen können beim Erstellen des Treibers oder zu einem späteren Zeitpunkt aktiviert werden.
- Eine Startoption für den Treiber, die folgende Auswahlmöglichkeiten bietet:
- Deaktiviert: Der Treiber wird nicht ausgeführt.
- Manuell: Der Treiber muss manuell über iManager gestartet werden.
- Autom. starten: Der Treiber wird beim Starten des Identitätsdepots automatisch gestartet.
- Eine Referenz auf eine Schemazuordnungsrichtlinie.
- Eine XML-Darstellung des verbundenen Systemschemas. Diese wird in der Regel automatisch vom verbundenen System über das Schnittstellenmodul zur Verfügung gestellt.
In iManager können Sie auf „Identity Manager - Treiberüberblick“ zugreifen und Parameter, Richtlinien, Formatvorlagen und Berechtigungen eines vorhandenen Treibers ändern. Der Identity Manager-Treiberüberblick ist im Folgenden dargestellt.
Abbildung 1-4 Identity Manager - Treiberüberblick
Das Treiberobjekt wird zudem für das Überprüfen von eDirectory-Rechten verwendet. Das Treiberobjekt muss ausreichende eDirectory-Rechte für alle Objekte besitzen, die es lesen bzw. schreiben muss. Diese Rechte können Sie gewähren, indem Sie das Treiberobjekt zu einem Trustee der eDirectory-Objekte machen, mit denen der Treiber synchronisiert wird, oder indem Sie dem Treiberobjekt Sicherheitsäquivalenzen gewähren.
Weitere Informationen zu Zugriffsrechten finden Sie unter eDirectory Rights (eDirectory-Rechte) im Novell eDirectory 8.8 Administration Guide (Novell eDirectory 8.8 Administrationshandbuch).
1.2.7 Herausgeber- und Abonnentenkanäle
Identity Manager-Treiber enthalten zwei Kanäle für die Verarbeitung von Daten: den Herausgeberkanal und den Abonnentenkanal. Der Herausgeberkanal sendet Ereignisse vom verbundenen System an das Identitätsdepot. Der Abonnentenkanal sendet Ereignisse vom Identitätsdepot an das verbundene System. Jeder Kanal enthält eigene Richtlinien für die Verarbeitung und Transformation von Daten.
Abbildung 1-5 Herausgeber- und Abonnentenkanäle in Designer
Abbildung 1-6 Herausgeber- und Abonnentenkanäle in iManager
1.2.8 Ereignisse und Befehle
Die Unterscheidung von Ereignissen und Befehlen in Identity Manager ist wichtig. Wenn ein Ereignis an einen Treiber gesendet wird, handelt es sich um einen Befehl. Wenn das Ereignis an Identity Manager gesendet wird, handelt es sich um eine Benachrichtigung. Wenn der Treiber eine Ereignisbenachrichtigung an Identity Manager sendet, informiert er Identity Manager über eine Änderung, die im verbundenen System aufgetreten ist. Die Metaverzeichnis-Engine ermittelt anschließend anhand konfigurierbarer Regeln, welche Befehle, sofern erforderlich, an das Identitätsdepot gesendet werden müssen.
Wenn Identity Manager einen Befehl an den Treiber sendet, hat Identity Manager bereits ein Identitätsdepot-Ereignis als Input verarbeitet, die entsprechenden Richtlinien angewendet und festgelegt, dass die durch den Befehl dargestellte Änderung im verbundenen System erforderlich ist.
1.2.9 Richtlinien und Filter
Mit Richtlinien und Filtern können Sie den Datenfluss von einem System zu einem anderen steuern. Über die Regeln in den Richtlinien legen Sie fest, wie verwaltungsrelevante Identitätsdepot-Klassen, -Attribute und -Ereignisse für die Verwendung im verbundenen System übersetzt werden (und umgekehrt) . Weitere Informationen zu Richtlinien und Filtern finden Sie im Policy Builder and Driver Customization Guide (Handbuch zum Richtlinien-Builder und zur Treiberanpassung).
1.2.10 Verknüpfungen
Die meisten anderen Identity Management-Produkte erfordern, dass das verbundene System eine ID beliebigen Typs speichert, um Objekte eines verbundenen Systems dem Verzeichnis zuzuordnen. Bei Identity Manager sind keine Änderungen des verbundenen Systems erforderlich. Jedes Objekt im Identitätsdepot enthält eine Verknüpfungstabelle, die das Identitätsdepot-Objekt einer eindeutigen ID in den verbundenen Systemen zuordnet. Die Tabelle ist umgekehrt indiziert, sodass das verbundene System bei der Aktualisierung des Identitätsdepots dem Treiber keine Identitätsdepot-ID (z. B. einen eindeutigen Namen) zur Verfügung stellen muss.
Das Erstellen einer Verknüpfung zwischen zwei Objekten erfolgt, wenn ein Ereignis für ein Objekt auftritt, das noch keinem anderen Objekt im Identitätsdepot zugeordnet ist. Damit eine Verknüpfung erstellt werden kann, muss eine Mindestanzahl definierbarer Kriterien zwischen den einzelnen Objekten übereinstimmen. Sie können beispielsweise eine Richtlinie erstellen, die besagt, dass, wenn bei zwei von vier Attributen eine Übereinstimmung von mehr als 90% vorliegt (Vollständiger Name, Telefonnummer, Mitarbeiter-ID und Email-Adresse), das Objekt zugeordnet wird.
In Übereinstimmungsrichtlinien sind die Kriterien definiert, die festlegen, ob zwei Objekte identisch sind. Wenn für das geänderte Objekt keine Übereinstimmung gefunden wird, kann ein neues Objekt erstellt werden. Hier müssen jedoch die Mindestkriterien für die Objekterstellung erfüllt sein. Diese Kriterien werden in einer Erstellungsrichtlinie definiert. In der Platzierungsrichtlinie wird schließlich definiert, an welcher Stelle das neue Objekt in der Benennungshierarchie erstellt werden soll.
Es gibt zwei Möglichkeiten, Verknüpfungen zu erstellen:
- Als Entsprechung zwischen Objekten
- Als neu erstelltes Objekt an einem bestimmten Speicherort
Nachdem eine Verknüpfung zwischen Objekten hergestellt wurde, bleibt diese gültig, bis die Objekte gelöscht werden oder die Verknüpfung von einem Administrator gelöscht wird.
Verknüpfungstabelle
Verknüpfungen in Identity Manager beziehen sich auf die Übereinstimmung von Objekten in eDirectory mit Objekten, die sich in verbundenen Systemen befinden. Bei der Erstinstallation von Identity Manager wird das eDirectory-Schema erweitert. Teil dieser Erweiterung ist ein neues Attribut, das an die Basisklasse aller eDirectory-Objekte gebunden wird. Dieses Attribut ist eine Verknüpfungstabelle. In Verknüpfungstabellen werden alle Objekte des verbundenen Systems protokolliert, mit denen ein eDirectory-Objekt verknüpft ist. Diese Tabelle wird automatisch erzeugt und gepflegt, sodass es selten notwendig ist, diese Informationen manuell zu bearbeiten. Es ist jedoch häufig hilfreich, sich diese Informationen anzusehen.
Das Verknüpfungsattribut des Objekts kann in iManager angezeigt werden.
-
Wählen Sie in der iManager-Symbolleiste das Symbol .
-
Wählen Sie ein Objekt aus und klicken Sie anschließend auf .
-
Wählen Sie die Registerkarte „Identity Manager“.
Das Verknüpfungsattribut wird in der Registerkarte „Identity Manager“ angezeigt.