Identity Managerユーザアプリケーションを理解するために重要な概念は、データの抽象化、つまり、ディレクトリ抽象化レイヤ定義のインスタンスを定義、表示、および操作できるということです。
従来のストレージ技術では、リレーショナルデータベース、X.500ディレクトリなど、どのリポジトリを使用する場合でも、通常、データエントリ(データベースの行、X.500ディレクトリのオブジェクトなど)は、詳細に定義されたスキーマに厳密に従う必要がありました。保存されているデータのクエリは、(理論上は)いくらでも複雑にすることができ、またデータはインデックスやバックリンクを含んでいてもかまいませんが、実際のデータエントリ自体は固定された定義に従うことが求められます。さらに、適用されるスキーマは、時間が経っても著しく変更されることはないことが前提になっています。
これは、異なるデータソース上の異なるスキーマに依存する情報を統合して、新しい(場合によっては一時的な)スキーマに準拠するデータオブジェクトを作成するような場合、問題になります。識別情報は複合的で変化する傾向があることから、識別データはその典型的な例といえます。識別情報の基になる各データはさまざまなソースから取得されており、各データには(当然ながら)それを保護しようとする管理者がいる場合があります。
スキーマ定義が厳格な(または規則で制限されている)場合、識別データの分散は識別情報管理の上で難題となります。この問題に取り組む1つの方法としては、識別データを1つの論理ボールトに集約し(1つのディレクトリとして実装し)、必要に応じてソースデータから論理識別情報を集めるという方法があります。これは、たとえば、従来のLDAPオブジェクトと属性を任意の抽象化レイヤの定義と属性にマップする1つ以上の論理スキーマに従って行います。これにより、識別データは高度に複合的で動的になります。識別情報の定義を変更してもLDAPスキーマを変更する必要はありません。特定のアプリケーション、または特定のアプリケーションを使用する特定のユーザに合わせて、識別情報オブジェクトを自由に再定義できます。
この総合的なアプローチはデータ抽象化と呼ばれます。つまり、識別情報は必要に応じて必要な形式で表現されます。
識別データの抽象化には、次のような多くの利点があります。
Identity Managerでは、抽象化を利用して、これらすべての目標を(およびその他の目標も)達成できます。