Lösungen zur Verwaltung der Unternehmensidentität

Werbung
Lösungen zur
Verwaltung der
Unternehmensidentität
mit Windows 2000 und
Active Directory
Betriebssystem
Strategische Hintergrundinformationen
Zusammenfassung
Identität bezeichnet alle
Informationen über Personen,
Anwendungen und Ressourcen, die
in den Verzeichnissen und
Datenbanken fast aller ITUnternehmen verstreut sind. Das
vorliegende Dokument erläutert die
Anforderungen an Lösungen mit
Microsoft® Windows® 2000 und
Active Directory™ zur Verwaltung
verstreuter Identitätsinformationen.
Dazu gehört die gemeinsame
Nutzung von
Identitätsinformationen durch
unterschiedliche Ressourcen, die
Weitergabe von
Identitätsänderungen an
unterschiedliche Ressourcen und die
Gewährleistung, dass alle Daten im
gesamten Unternehmen konsistent
bleiben.
Übersicht
Die Informationen über Personen,
Anwendungen und Ressourcen sind
in den meisten IT-Unternehmen
verstreut und wachsen
kontinuierlich an. Zunehmend
werden Identitätsdaten in
standardisierten Verzeichnisdiensten
gespeichert, der größte Teil befindet
sich jedoch nach wie vor in
Datenbanken und anderen
spezialisierten Formaten. Die
Verwaltung von
Identitätsinformationen stellt für
unsere Kunden in vielerlei Hinsicht
eine Herausforderung dar:
 Einmalige
Anmeldung.
Plattformübergreif
endes Verwalten
von
Benutzernamen,
Kennwörtern und
Zugriffsrechten.
 Globale
Adressbuchanw
endungen.
Synchronisieren
von
Postfachinformati
onen zwischen
unterschiedlichen
E-MailVerzeichnissen,
die im
Unternehmen
eingesetzt
werden.
 Lösungen für
Personaleinstell
ungen und entlassungen.
Schnelles
Verbreiten von
Informationen
über neue
Mitarbeiter und
Entlassungen von
Mitarbeitern in
allen Systemen,
die
Identitätsdaten
benötigen.
 E-CommerceAnwendungen.
Synchronisieren
von
Informationen,
wie z. B. digitale
Zertifikate, für
Lieferanten und
ExtranetBenutzer mit ECommerceVerzeichnissen,
die sich außerhalb
von Firewalls
befinden.
Mit jeder Anwendung und Plattform,
die ein Kunde zusätzlich einsetzt,
steigt die Anzahl der Stellen, an
denen Identitätsdaten verwaltet
werden müssen. Dies zwingt
Unternehmen zur Verwaltung einer
enormen Menge duplizierter und
miteinander verknüpfter
Informationen an vielen
unterschiedlichen Stellen.
Die einfachste Lösung ist
theoretisch gesehen ein einzelnes
Firmenverzeichnis, das alle
Informationen über Benutzer,
Computer, Netzwerke und
Anwendungen im Unternehmen
enthält. Es gibt jedoch viele Gründe,
darunter auch politische Grenzen,
die bei den meisten Unternehmen
den Einsatz eines einzigen
Verzeichnisses unmöglich machen.
Dies führt dazu, dass Unternehmen
nach konsistenten Lösungen
suchen, die unterschiedliche
Verzeichnisdienste und
Anwendungen miteinander
verknüpfen und damit die
Möglichkeit bieten, Informationen
konsistent zu speichern, konsistent
auf diese zuzugreifen und deren
Identitätsdaten konsistent zu
verwalten. Dies setzt voraus, dass
die Identitätsdaten weiterhin an
vielen verschiedenen Stellen zur
Verfügung stehen. Eine Lösung
muss daher Folgendes bieten:
 Konnektivität,
um
Identitätsinformat
ionen mit vielen
verschiedenen
Verzeichnisdienst
en, Datenbanken
und
Anwendungen
gemeinsam
nutzen zu
können.
 BrokeringFunktionalität,
um Änderungen,
die in einem
Verzeichnis oder
einer Anwendung
erfolgen, in
anderen
Repositorys von
Identitätsinformat
ionen zu
verteilen, für die
die Änderungen
relevant sind.
 Integritätsmech
anismen, die
sicherstellen,
dass die
miteinander
verknüpften
Daten im
gesamten
Unternehmen
konsistent bleiben
und dass sowohl
Besitzrechte als
auch die
referenzielle
Integrität gewahrt
werden.
Es gibt wahrscheinlich keine
Lösung, die allen
Herausforderungen gerecht wird,
die die Verwaltung von
Identitätsinformationen birgt. Ein
Unternehmen sollte daher in der
Regel mehrere unterschiedliche
Ansätze verwenden:
 Zugriffstechnol
ogien für
mehrere
Verzeichnisse,
die Entwicklern
mithilfe einer
einheitlichen
Programmierschni
ttstelle das
Schreiben von
Anwendungen
und
Verwaltungsskript
s für mehrere
Verzeichnisdienst
e und
Datenbanktechnol
ogien
vereinfachen.
 Connectoren für
die
Synchronisierun
g von
Informationen,
die die
Verwaltung mit
Hilfe von
Verzeichnisdienst
paaren
vereinfachen, die
automatisch
gegenseitig
synchronisiert
werden.
 Metaverzeichnis
technologien,
die Unternehmen
erweiterte
Konnektivität,
BrokeringFunktionen und
Funktionen zur
Verwaltung der
Datenintegrität
bieten.
 Strategien zur
Verzeichniskons
olidierung, die
Firmen
ermöglichen, im
Laufe der Zeit die
Gesamtzahl der
zu verwaltenden
Verzeichnisse zu
reduzieren.
Microsoft hat erkannt, wie wichtig
es ist, diese Herausforderung von
Seiten der Identitätsverwaltung zu
lösen. Dazu wurde eine umfassende
Gruppe von Lösungen entwickelt,
die auf dem Verzeichnisdienst
Active Directory und dem
Betriebssystem Windows 2000
basiert.
 ADSI (Active
Directory
Service
Interfaces).
ADSI ist ein


Gruppe
erweiterbarer,
benutzerfreundlic
her
Programmierschni
ttstellen, die auf
dem Microsoft
COM-Modell
(Component
Object Model)
basieren.
ADC (Active
Directory
Connector) und
DirSynch. ADC
ermöglicht DropInSynchronisierung
sdienste zwischen
Active Directory
und Microsoft
Exchange Server,
Version 5.0
und 5.5. Damit
kann der
Administrator
redundante
Verwaltungsschrit
te eliminieren.
ADC bietet
außerdem
Unterstützung für
andere E-MailVerzeichnisse und
LDAP-kompatible
Verzeichnisse.
DirSynch ist ein
flexibles LDAPbasiertes Tool,
mit dem
Entwickler
Synchronisierung
sconnectoren für
Active Directory
erstellen können.
Metaverzeichnis
technologien.
Durch die
Integration und
Erweiterung von
Metaverzeichnisto
ols, über die
Microsoft jetzt
durch den Kauf
der Zoomit
Corporation
verfügt, liefert
Microsoft eine
umfassende
Gruppe von
Technologien für
Metaverzeichnisse
und für die
Verwaltung der
Identitätsinformat
ionen eines
Unternehmens
auf der Basis von
Active Directory.
 Möglichkeiten
zur
Verzeichniskons
olidierung.
Microsoft
aktualisiert
zurzeit viele
Produkte,
darunter
Exchange Server,
so dass diese
Active Directory
anstatt anderer
Repositorys
verwenden.
Darüber hinaus
gibt es
Partnerschaften
mit anderen
führenden
unabhängigen
Softwareherstelle
rn, die ihre
Produkte
ebenfalls
entsprechend
aktualisieren.
Angesichts der Komplexität und
Bandbreite dieser Lösungen ist
Microsoft überzeugt, dass Active
Directory die ideale Plattform zum
Implementieren von
Verwaltungslösungen für
Identitätsinformationen eines
Unternehmens ist.
Verwaltung der Unternehmensidentität
Identität bezeichnet alle
Informationen über Personen,
Anwendungen und Ressourcen, die
in den meisten IT-Unternehmen
über viele Verzeichnisse und
Datenbanken verstreut sind. Zu den
Identitätsdaten für Personen
gehören z. B. Name, Postfach,
Gehalt und Position im
Unternehmen. Zu den
Identitätsdaten für Anwendungen
sind z. B. Netzwerkadressen, an
denen Clients Server und Listen der
Dienste finden , die Anwendungen
bereitstellen. Netzwerkressourcen,
wie z. B. Drucker, haben ebenfalls
Identitätsattribute. Dazu gehören
u. a. ihre Position im Netzwerk oder
die Druckfunktionalität, die sie
unterstützen.
Die Herausforderung der Identitätsverwaltung
Die Vielfalt der Identitätsdaten und
der Vielzahl der Stellen, an denen
diese sich befinden, bergen eine
Reihe von Herausforderungen für
deren Verwaltung:
 Nicht alle
Identitätsdaten
werden in
Verzeichnissen
gespeichert oder
mithilfe einer
Verzeichnisdienst
schnittstelle, wie
z. B. LDAP,
veröffentlicht.
Viele Systeme
stellen
Identitätsinformat
ionen nur unter
Verwendung
spezialisierter
APIs
(Anwendungsprog
rammierschnittste
llen) zur
Verfügung.
 Identitätsinformat
ionen werden oft
an
unterschiedliche
Stellen dupliziert
und stimmen im
Laufe der Zeit
nicht mehr
miteinander
überein, wenn sie
nicht regelmäßig
überprüft werden.
 In der Regel gibt
es keine zentrale
Stelle, an der
Administratoren
auf alle
Identitätsinformat
ionen eines
Unternehmens in
Form einer
Gesamtansicht
zugreifen oder
diese verwalten
können.
 Die Anzahl der
Stellen, an der
Unternehmen
Identitätsdaten
verwalten
müssen, steigt
mit jeder
zusätzlichen
Anwendung und
Plattform.
Dies erschwert es Unternehmen,
umfassende und integrierte
Identitätsverwaltungslösungen zu
implementieren und erhöht
gleichzeitig Kosten und Komplexität.
Lösungsanforderungen
Bisher haben viele Unternehmen
versucht, alle
Identitätsinformationen in einem
einzigen Verzeichnis zu speichern.
Die meisten dieser Versuche
scheiterten jedoch aus
verschiedenen einfachen Gründen:
 Viele
Anwendungen
können nicht so
ohne weiteres
geändert werden,
damit sie
Verzeichnisse
verwenden.
 Es gibt
nachvollziehbare
Gründe, wie z. B.
hohe
Sicherheitsanford
erungen, warum
einige
Anwendungen
Identitätsinformat
ionen in ihrem
eigenen Format
halten.
 Auch politische
Grenzen
verhindern oft,
unabhängig von
den technischen
Möglichkeiten,
eine vollständige
Konsolidierung
aller
Informationen.
Dies führt dazu, dass
Identitätsdaten weiterhin an vielen
Stellen vorhanden sind und
Unternehmen Lösungen brauchen,
die unterschiedliche
Verzeichnisdienste und
Anwendungsrepositorys "zusammen
bringen". Wenn es mehrere
Repositorys für
Identitätsinformationen gibt,
müssen diese Lösungen
Konnektivität für viele
unterschiedliche Arten von
Identitätsdaten und BrokeringFunktionalität zur Verwaltung des
Informationsflusses zwischen den
Repositorys und Mechanismen zur
Wahrung der Datenintegrität in der
gesamten Infrastruktur der
Identitätsverwaltung bieten.
Konnektivitätsanforderungen
Die Anforderungen an die
Konnektivität sind einfach: Je mehr
Verzeichnisdienste, Datenbanken
und Anwendungen es gibt, zu denen
Identitätsverwaltungslösungen ein
Verbindung herstellen können,
desto wertvoller sind die
Verwaltungslösungen für das
Unternehmen. Eine
Identitätsverwaltungslösung kann
eine Verbindung zu einem
bestimmten Repository herstellen,
wenn Folgendes gegeben ist:
 Sie kann
Informationen
über Änderungen
im Repository
abrufen.
 Sie kann neue
Objekte zum
Repository
hinzufügen.
 Sie kann Objekte
aus dem
Repository
löschen.
 Sie kann die
Werte für die
Attribute eines
vorhandenen
Objekts ändern.
Eine Lösung ist dann umfassend,
wenn sie Technologien enthält, die
die Daten in folgenden
Repositorytypen miteinander
verbinden können:
 Standardisierte
Verzeichnisdienst
e unter
Verwendung von
LDAP, Version 3
 Datenbanken
unter
Verwendung von
Zugriffsmethoden
wie SQL
 Anwendungen,
die
Identitätsinformat
ionen mithilfe von
APIs zur
Verfügung stellen,
wenn keine
Verzeichnisschnitt
stelle verfügbar
ist.
Brokering bezeichnet den
Verwaltungsprozess des Flusses der
Identitätsinformationen zwischen
verschiedenen Repositorys. Die
Brokering-Funktionalität muss zu
Folgendem in der Lage sein:
 Erkennen von
Änderungen an
Identitätsdaten
und Replizieren
von
Aktualisierungen
in andere
Repositorys.
 Zusammenfassen
von Daten aus
unterschiedlichen
Repositorys in
Metaverzeichnisse
, die eine
Gesamtansicht
der
Identitätsdaten
des gesamten
Unternehmens
enthalten können.
 Nachverfolgen
verknüpfter
Objekte, deren
Position sich in
Verzeichnisstrukt
uren und anderen
Repositorys, z. B.
durch eine
Reorganisation,
geändert hat.
Verarbeitung von Änderungsereignissen
Verarbeitung von Änderungsereignissen
Änderungsereignisse treten immer
dann ein, wenn Administratoren,
Benutzer oder Anwendungen
Identitätsdaten zu einem Repository
hinzufügen, löschen oder ändern.
Wenn Änderungen nicht erkannt
und verarbeitet werden können,
verlieren Identitätsdaten schnell
ihre Ordnung.
Identitätsverwaltungslösungen
müssen daher Features zum
Löschen, Durchführen von
Datenformatkonvertierungen und
Aktualisieren für alle Repositorys
haben, die die Änderung
widerspiegeln müssen. Wenn ein
Administrator z. B. einen neuen
Mitarbeiter zur Personaldatenbank
hinzufügt, muss dieses
Änderungsereignis auf allen
Systemen widergespiegelt werden,
die diese Person verwenden.
Zusammenfassen von Daten in einem Metaverzeichnis
Funktionen für Datenzusammenfassung
Da Identitätsinformationen in den
meisten Unternehmen weit
verstreut sind, können
Metaverzeichnisse mit einer
Gesamtansicht der Identitätsdaten
aus vielen anderen Repositorys sehr
hilfreich sein. Anwendungen können
z. B. auf eine Vielzahl von
Informationen zentral unter
Verwendung einer einheitlichen
Zugriffsmethode und eines
Sicherheitsmodells zugreifen, ohne
direkt mit den einzelnen
Quellrepositorys kommunizieren zu
müssen. Metaverzeichnisse tragen
außerdem zu einer
Leistungsverbesserung bei, da die
Daten indiziert gespeichert werden
können und nicht zur Laufzeit aus
Datenquellen geholt werden
müssen, für die WAN-Verbindungen
erforderlich sind. Optimalerweise
bieten die Funktionen für die
Datenzusammenfassung Folgendes:
 Sammeln und
Integrieren von
Informationen
aus vielen
verschiedenen
Quellen, darunter
Verzeichnisse,
Datenbanken und
Anwendungen.
 Gruppieren
verknüpfter

Informationen,
auch wenn diese
an
unterschiedlichen
Stellen
gespeichert sind.
Es könnte z. B.
für einen
Benutzer namens
Hans Schmidt in
unterschiedlichen
Systemen Daten
unter dem Namen
Hans Schmidt,
unter hschmidt
und unter
schmidth geben.
Rückübertragen
von Änderungen
in die Quellen,
wenn Benutzer
oder
Anwendungen in
der
Gesamtansicht
Änderungen
vornehmen.
Metaverzeichnisse
müssen also in
die
Infrastrukturen
für
Änderungsereigni
sse integriert
werden.
Nachverfolgen verknüpfter Objekte
Nachverfolgen verknüpfter Objekte
Wenn Administratoren zum ersten
Mal mit der Bereitstellung von
Identitätsverwaltungslösungen
beginnen, müssen sie in der Lage
sein, Brokering-Features
bereitzustellen, mit denen
Verbindungen zwischen miteinander
verknüpften Identitätsdaten
hergestellt werden können, die in
unterschiedlichen Repositorys
abgelegt sind. Der Administrator
muss z. B. dem Broker mitteilen
können, dass Hans Schmidt,
hschmidt und schmidth dieselbe
Person ist. Anschließend muss der
Broker die Beziehungen
nachverfolgen können, da die Daten
gelegentlich umstrukturiert werden.
Verwaltungslösungen dürfen die
"Spur" eines Benutzers nicht
verlieren, nur weil er z. B. eine
andere Position in der
Verzeichnisstruktur erhält, da er
von der Buchhaltung in den Vertrieb
gewechselt ist.
Integritätsverwaltung dient zur
Gewährleistung der Datenintegrität
und Datensynchronität auch bei
Änderungen in Repositorys und bei
Brokering-Prozessen. Die
Integritätsverwaltung muss die
folgenden Aufgaben erfüllen:
 Verwalten von
Besitzbeziehunge
n für
Identitätsdaten
 Angemessene
Reaktion bei
Auftreten von
Fehlern
 Verwalten der
referenziellen
Integrität
zwischen
Identitätsdaten
Verwalten von Besitzbeziehungen
Besitzrechte
Ein wichtiger Aspekt der
Unternehmensidentitätsverwaltung
ist die Anerkennung der
Besitzbeziehungen, die zwischen
Anwendungen und Daten vorhanden
sind und gewahrt werden müssen.
Der Postfachname einer Person
gehört z. B. dem Mailsystem, in
dem sich das Postfach befindet. In
den meisten Firmen "besitzt" das
Mitarbeitersystem die betreffenden
Daten, unabhängig davon, ob es
sich um einen aktiven Mitarbeiter
handelt. Wenn keine Infrastruktur
zur Verwaltung der
Unternehmensidentität zur
Verfügung steht, werden diese
Besitzbeziehungen automatisch
gewahrt, da andere Anwendungen
auf E-Mail- und Personaldaten nicht
zugreifen und diese nicht
aktualisieren können. Mit
Connectoren zum Synchronisieren
und bei Einsatz eines Brokers
ändert sich die Situation jedoch.
Betrachten Sie z. B. den Fall, in
dem Postfachinformationen mithilfe
eines Connectors im
Personalverzeichnis synchronisiert
werden. Wenn der Connector nicht
ordnungsgemäß konfiguriert ist,
könnte ein Benutzer das
Postfachattribut im
Mitarbeitersystem ändern, und der
Connector würde den Postfachwert
im E-Mail-Verzeichnis
überschreiben, was zu großen
Verwirrungen führen würde.
Dieses Problem kann nicht einfach
nur dadurch gelöst werden, dass
verhindert wird, dass Änderungen
zurück zum E-Mail-Verzeichnis
übermittelt werden. Das
Mitarbeitersystem kann der Besitzer
von Informationen sein, z. B. der
Name des Vorgesetzten eines
Mitarbeiters, die in das Verzeichnis
des E-Mail-Systems
zurückübertragen werden müssen.
Für andere Attribute, z. B. die
Büronummer einer Person, sind u.U.
die Besitzrechte nicht klar definiert
und sollten von jedem Benutzer
aktualisiert werden können.
Die Lösung muss ermöglichen, dass
Connectoren und Broker
Administratoren in der Lage sind,
Besitzbeziehungen auf
Attributebene zu definieren. So
können Connectoren oder Broker
Änderungen, die Besitzregeln
einhalten, passieren lassen. Wenn
ein Administrator versehentlich im
Personalverzeichnis ein
Postfachattribut ändert, würde die
Identitätsverwaltungslösung das
Attribut einfach auf den im E-MailVerzeichnis enthaltenen Wert
zurücksetzen.
Fehlerverwaltung
Die Fähigkeit zum Verbreiten einer
Änderung in mehreren Repositorys
ist eine der wichtigsten
Anforderungen, die BrokeringTechnologien erfüllen müssen.
Dennoch besteht immer die
Möglichkeit, wenn ein Broker
mehrere Aktualisierungen
gleichzeitig durchführt, dass eine
oder mehrere Aktualisierungen
fehlschlagen und Daten in
unterschiedlichen Repositorys
inkonsistent werden. Wenn z. B.
eine Person zum Mitarbeitersystem
hinzugefügt wird und der Broker
keine Verbindung zum E-MailSystem herstellen kann, um ein
Postfach hinzuzufügen, kann es zu
Inkonsistenzen und damit zu
Verwirrungen kommen. Das
bedeutet normalerweise, dass ein
Administrator die Situation
untersuchen und die Korrekturen
manuell vornehmen muss.
Verwalten von Fehlern und Wahren der referenziellen Integrität
In Datenbanksystemen gibt es in
der Regel Mechanismen, z. B.
Transaktionen, die sicherstellen,
dass alle Aktualisierungen
ordnungsgemäß durchgeführt
werden oder der gesamte Inhalt im
Ganzen zurückgesetzt wird. Leider
unterstützen die meisten
Verzeichnisdienste und
Anwendungsprogrammierschnittstell
en keine Transaktionen. Daher
müssen
Identitätsverwaltungslösungen
andere Wege finden, z. B. einen
protokollbasierten Mechanismus des
erwünschten Zustands, der
Aktualisierungen kontinuierlich
anfordert, bis diese bestätigt sind
und damit sicherstellt, dass zum
Schluss alle Repositorys die von
Brokern angeforderten Änderungen
widerspiegeln.
Referenzielle Integrität
Ein weiteres Problem, das sowohl
Identitätsverwaltungslösungen als
auch Datenbanken meistern
müssen, ist die Wahrung der
referenziellen Integrität zwischen
Verzeichnissen. Referenzielle
Integrität fordert, dass Beziehungen
zwischen den Werten verknüpfter
Daten an unterschiedlichen Stellen
nicht verloren gehen.
Identitätsverwaltungslösungen
müssen z. B. gewährleisten können,
dass die Position eines Mitarbeiters
im Mitarbeitersystem konsistent mit
dem für diesen Mitarbeiter im
Einkaufssystem festgelegten Budget
ist. Datenbanken lösen dies durch
Bereitstellung gespeicherter
Prozeduren und Trigger-Features,
mit denen Administratoren bei jeder
Datenwertänderung
Unternehmensregeln anwenden
können. Weil Verzeichnisdienste
derartige Features momentan noch
nicht unterstützen, müssen
Identitätsverwaltungslösungen
daher in Brokering-Modulen die
Ausführung von
Unternehmensregeln ermöglichen
und Änderungen zurückweisen
können, die die referenzielle
Integrität nicht wahren.
Alternative Lösungen
Die optimale Lösung
Es wäre sehr einfach, wenn es ein
Produkt gäbe, das Verzeichnisse,
Datenbanken und verbreitete
Anwendungsrepositorys in einem
"Hauptverzeichnis" einkapseln und
alle oben erläuterten Probleme
eliminieren könnte. Angesichts der
Komplexität der
Identitätsverwaltung wird es ein
solches Produkt jedoch niemals
geben. Stattdessen sollten die
Unternehmen einplanen, dass sie
mehrere
Identitätsverwaltungstechniken
implementieren müssen.
Zugriff auf mehrere Verzeichnisse
Eine Möglichkeit zur Verwaltung
mehrere Quellen mit Identitätsdaten
sind Anwendungen, die direkt mit
jedem der Speicher kommunizieren,
die die für eine bestimmte
Verwaltungsaufgabe erforderlichen
Identitätsdaten enthalten.
Administratoren könnten z. B. ein
Skript als Lösung für
Personaleinstellungen und entlassungen schreiben, dass die
entsprechenden
Identitätsinformationen zum
Mitarbeitersystem, zu den
NetzwerkbetriebssystemVerzeichnissen und zu allen
Anwendungen, die der jeweilige
Mitarbeiter verwendet, hinzufügt.
Hauptvorteil dieses Ansatzes ist die
Einfachheit. Entwickler müssen sich
nur mit einem Datenzugriffskonzept
vertraut machen. Anwendungen und
Skripts können Unternehmensregeln
zum Aktualisieren von Daten und
zur speicherübergreifenden
Wahrung der Konsistenz enthalten.
Die Fehlerprüfung ist sehr direkt,
und da Skripts und Anwendungen
alle Repositorys direkt überwachen,
müssen Änderungen nicht
synchronisiert werden.
Dieser Ansatz des Zugriffs auf
mehrere Verzeichnisse hat jedoch
folgende Nachteile:
 Es wird kein
Metaverzeichnis


erstellt, in dem
Anwendungen,
Benutzer und
Administratoren
eine
Gesamtansicht
über alle
Identitätsdaten
erhalten können
Wenn andere
Anwendungen
Änderungen in
einzelnen
Repositorys
vornehmen, gibt
es keinen
Mechanismus
zum Verbreiten
der Änderungen
in den anderen
Verzeichnissen,
Datenbanken und
Anwendungen,
die von der
Änderung
betroffen sind.
Dieser Ansatz
bietet keinen
automatischen
Mechanismus zur
Wahrung der
Konsistenz
verwandter
Informationen,
die an
unterschiedlichen
Repositorys
gespeichert sind.
Synchronisierungsconnectoren
Synchronisierungsconnectoren sind
Anwendungen, die Änderungen in
einem Repository erkennen und in
ein anderes Repository replizieren.
Connectoren verwenden in der
Regel 1:1-Beziehungen, und das
Unternehmen benötigt für jedes
Paar von Repositorys, das verwaltet
werden soll, einen speziellen
Connector. Connectoren können
auch sehr flexibel sein und mit
Situationen umgehen, in denen die
eine Seite ein Verzeichnis und die
andere eine Datenbank oder eine
Anwendung ist.
Synchronisierungsconnectoren
vereinfachen die Verwaltung durch
Definieren bestimmter Verzeichnisse
als Hauptverwaltungspunkte, in
denen Änderungen durchgeführt
werden und die Änderungen mithilfe
von Connectoren in andere
Verzeichnisse replizieren. Da sie
lediglich installiert und konfiguriert
werden müssen, können
Synchronisierungsconnectoren
problemlos bereitgestellt werden.
Wie die Techniken für den Zugriff
auf mehrere Verzeichnisse erstellen
jedoch auch Connectoren keine
Metaverzeichnisse. Mit Connectoren
ist es außerdem auch nicht möglich,
Unternehmensregeln zu
implementieren, die für bestimmte
Aufgaben wie Datenkonvertierung
und referenzielle Integrität von
Daten in verschiedenen
Verzeichnissen erforderlich sein
können. Sie eignen sich in erster
Linie dann, wenn die Beziehungen
zwischen Verzeichnissen
unkompliziert sind.
LDAP-Proxyschnittstellen
Ein LDAP-Proxy ist ein Dienst mit
einer LDAP-kompatiblen
Benutzeroberfläche, der mit
mehreren Verzeichnissen
kommunizieren kann, um Abfragen
und Aktualisierungen zur Laufzeit
aufzulösen. Ein LDAP-Proxy könnte
z. B. Abfrageanforderungen für ein
Benutzerobjekt mit dem Namen
Hans Schmidt Informationen aus
der Personaldatenbank, andere
Informationen aus einem
Betriebssystemverzeichnis und den
Rest der Informationen aus einer
ERP-Anwendung
(Unternehmensressourcenplanung)
abrufen. Der Proxy gibt dann die
Daten als einzelnes Objekt zurück,
das scheinbar aus nur einer Quelle
abgerufen wurde. Aktualisierungen
an den Daten erfolgen auf ähnliche
Weise in umgekehrter Richtung.
Proxys können unter Verwendung
von Metadatenverzeichnissen eine
Vielzahl von Objekttypen
unterstützen.
LDAP-Proxys bieten den Vorteil
einer einzigen, virtuellen
Schnittstelle zu einer breiten Palette
an Informationen. Mithilfe von
Aktualisierungsfunktionen können
Proxys auch als virtuelle
Metaverzeichnisse fungieren. Trotz
aller Vorteile haben Proxys auch
eine Reihe von Nachteilen:
 Da die
Objektdaten zur
Laufzeit
abgerufen
werden, kann es
zu
Leistungsproblem
en kommen. Die
Leistung nimmt
ab, wenn Daten
über WANVerbindungen
abgerufen werden
müssen, wenn
Anwendungen
Attribute
abfragen, die
nicht indiziert
sind bzw. sich in
verschiedenen
Repositorys
befinden und


wenn große
Datenmengen
abgerufen
werden.
Außerdem richtet
sich die
Geschwindigkeit
von Abfragen und
Aktualisierungen
nach der
langsamsten
Ressource, die
jeweils abgefragt
wird.
Änderungen von
Anwendungen,
die die
Proxyschnittstelle
umgehen und
direkt auf
Identitätsreposito
rys zugreifen,
können mit
Proxys nicht
synchronisiert
werden.
Aufgrund der
Vielzahl von
Sicherheitsmodell
en, die die
unterschiedlichen
Identitätsreposito
rys verwenden,
müssen
Proxyschnittstelle
n normalerweise
mit
Administratorrech
ten ausgeführt
werden und ein
eigenes
Zugriffssteuerung
smodell
implementieren.
Hub- und Spoke-Architekturen
Hub- and Spoke-Architekturen
stellen Verbindungen zu vielen
Repositorys her, rufen Änderungen
an Identitätsdaten ab und
verwenden ein Brokering- und
Regelmodul zum Replizieren der
Änderungen in allen Repositorys, für
die die Änderungen relevant sind. In
einer solchen Architektur kann das
Hinzufügen eines Mitarbeiters zu
einem Mitarbeitersystem den Broker
starten, um Benutzerkonten zu
erstellen, ein E-Mail-Postfach
einzurichten und Rechte im ERPSystem zu vergeben.
Hub- und Spoke-Architekturen
bieten eine Reihe von Vorteilen:
 Im Rahmen des
BrokeringProzesses kann
problemlos ein
Metaverzeichnis
erstellt werden,
dass einfach als
weitere Quelle für
Änderungsinform
ationen
interpretiert wird.
Dieses
Metaverzeichnis
kann als zentraler
Punkt für
Abfragen und
Aktualisierungen
fungieren.
 Das BrokeringModul unterstützt
unterschiedliche
Datenformate,
verfolgt die
Position von
Objekten und
verwaltet
Besitzbeziehunge
n von Attributen.
Damit lässt sich
die Hub- und
Spoke-Architektur
problemlos in
vorhandene
Geschäftsprozess
e integrieren.
 Mit den
Funktionen zur
Regelverarbeitung
können
Unternehmen
Schutzmaßnahme
n zur Wahrung
der referenziellen
Integrität
implementieren
und damit den
Wert der im
Metaverzeichnis
gespeicherten
Daten erhöhen.
Die größte Einschränkung der Hubund Spoke-Architektur ist darin zu
sehen, dass Unternehmen optimale
Geschäftsergebnisse nur dann
erzielen, wenn sie Regeln
entwickeln, die den Datenfluss im
Hub steuern. Diese Einschränkung
kann in gewissem Sinn mithilfe von
Produkten gemindert werden, die
Vorlagen oder vordefinierte Regeln
bereitstellen.
Verzeichniskonsolidierung
Als letzte
Identitätsverwaltungstechnik
werden konsolidierte Verzeichnisse
implementiert, in denen mehrere
Anwendungen dasselbe Verzeichnis
verwenden. Zwar werden die
meisten Unternehmen es nicht so
bald schaffen, sich auf einen
Verzeichnisdienst zu beschränken,
dennoch werden sie mit jedem
einzelnen Verzeichnis, das sie
entfernen können, die Komplexität
der Identitätsverwaltung
reduzieren. Für das konsolidierte
Verzeichnis ist z. B. keine
Synchronisierung erforderlich, und
es ist eine einheitliche Semantik
vorhanden. Wenn dies von Seite der
Anwendungen her möglich ist, ist
Konsolidierung der einfachste
Ansatz, da weder Connectoren noch
Unternehmensregeln implementiert
werden müssen. Die einzige
Einschränkung für diesen Ansatz
liegt darin, dass
Anwendungsentwickler
Administratoren ermöglichen
müssen, anstatt des jeweiligen
anwendungsspezifischen
Verzeichnisses das konsolidierte
Verzeichnis zu verwenden.
Lösungen von Microsoft
Microsoft ist sich der Komplexität
und Bandbreite der
Herausforderungen bewusst, die die
Verwaltung von
Unternehmensidentitätsdaten birgt
und stellt eine umfassende Gruppe
von Lösungen bereit, die auf dem
Active Directory-Dienst von
Windows 2000 Server basieren.
ADSI (Active Directory Service-Schnittstellen)
Um das Schreiben von
Anwendungen und Skripts zu
erleichtern, die auf eine Vielzahl von
Verzeichnisdiensten und anderen
Identitätsrepositorys zugreifen, hat
Microsoft ADSI (Active Directory
Service Interfaces) entwickelt. ADSI
basiert auf dem COM-Modell
(Component Object Model) von
Microsoft und stellt Entwicklern
erweiterbare, leicht
programmierbare Schnittstellen
zum Schreiben von Anwendungen
für Zugriff und Verwaltung bereit:
 Die
Sicherheitskonten
verwaltung
(Security Account
Manager = SAM)
unter
Windows NT®
Server 4.0
 Der
Active DirectoryDienst unter
Windows 2000 Se
rver
 NDS von Novell
 Jedes beliebige
LDAP-basierte
Verzeichnis
ADSI unterstützt außerdem Klassen,
die allgemeine
Verzeichnisprogrammieraufgaben
erleichtern (z. B. Hinzufügen neuer
Benutzer, Verwalten von Druckern
und Suchen nach Ressourcen in
einer verteilten
Computerumgebung). Ein
Administrator kann z. B. mithilfe
von Microsoft Visual Basic® (oder
einem anderen Tool, das COM
unterstützt) eine Anwendung
schreiben, die die Kennwörter aller
Benutzer in einem ausgewählten
Container innerhalb von Active
Directory zurücksetzt.
Zur weiteren Vereinfachung der
Verwaltung hat Microsoft ADSI in
das allgemeine
Datenzugriffskonzept Microsoft
OLE DB integriert. Damit können
Millionen von Entwicklern, die mit
datenbankzentrierten
Client/Serverprogrammiertechniken
vertraut sind, Anwendungen mit
Verzeichnisfunktionalität schreiben,
ohne neue Programmiertechniken
lernen zu müssen. Aufgrund der
Integration in OLE DB können
Entwickler unter Verwendung von
SQL anstatt von LDAP auf
verzeichnisbasierte Daten zugreifen
und für SQL-Daten erweiterte
Features, wie z. B. heterogene
Verknüpfungen, verwenden.
Microsoft wird zwei Gruppen von
Connectortechnologien für
Active Directory zur Verfügung
stellen. Dazu gehört zunächst der
Active Directory-Connector (ADC).
ADC synchronisiert Active Directory
mit verbreiteten E-Mail-Systemen
wie Exchange Server, Versionen 5.0
und 5.5, Lotus Notes und Novell
GroupWise. ADC unterstützt
außerdem Verzeichnisdienste mit
einer LDAP-kompatiblen (LDAP,
Version 3) Schnittstelle. Microsoft
wird ADC zusammen mit
Windows 2000 Server ausliefern.
ADC und DirSynch
Die zweite Technologie, die
Microsoft zusammen mit
Windows 2000 Server bereitstellen
wird, synchronisiert Daten zwischen
Active Directory und Novell NDS.
Diese Technologien basieren auf
einem flexiblen LDAP-basierten
Tool, DirSync, das Informationen
zwischen heterogenen
Verzeichnissen und Active Diretory
effektiv synchronisiert.
Mit DirSync erleichtert Microsoft
Entwicklern das Erstellen von
Synchronisierungsprodukten, die
Änderungen aus dem Active
Directory abrufen und automatisch
in andere Verzeichnisse replizieren.
Das DirSync-Tool von Microsoft ist
ein echter Fortschritt im Bereich der
Synchronisierungstechnologien:
 DirSynch
unterstützt das
Abrufen von
Änderungen auf
Attributebene.
Der Entwickler
kann
Hochleistungsver
bindungen zu
Active Directory
herstellen.
 DirSynch ist
kompatibel mit
den meisten
replizierten
Verzeichnisdienst
en.
 DirSynch
ermöglicht eine
effiziente
Neusynchronisier
ung nach Fehlern.
DirSync wird branchenweit in
großem Umfang unterstützt. Es gibt
z. B. bereits eine Reihe führender
Hersteller von Metaverzeichnissen
und Synchronisierungsprodukten,
die angekündigt haben, für die
Integration ihrer Produkte in
Active Directory das DirSync-Tool zu
verwenden. Damit wird der Kunde
aus einer Vielzahl von
Synchronisierungsconnectoren für
Active Directory wählen können.
LDAP-Proxyschnittstellen sind für
Unternehmen interessant, weil sie
den Zugriff auf eine Vielzahl
unterschiedlicher
Identitätsinformationen in Form
eines virtuellen Replikats
versprechen - ohne den Aufwand,
die Daten tatsächlich replizieren und
Änderungen im Netzwerk verbreiten
zu müssen. Wie jedoch bereits
vorher erwähnt, geht Microsoft
davon aus, dass die
Einschränkungen beim LDAPProxyansatz nicht zu unterschätzen
sind. Microsoft konzentriert sich
daher nicht in erster Linie direkt auf
LDAP-Proxylösungen, sondern wird
mit führenden, unabhängigen
Softwareherstellern
zusammenarbeiten, die sich auf
diesen Bereich spezialisiert haben,
um Active Directory-Konnektivität
zu gewährleisten.
Microsoft hält die Hub- und SpokeArchitektur für den besten Ansatz
zum Erstellen umfassender
Lösungen für die Verwaltung von
Unternehmensidentitätsdaten.
Microsoft hat vor kurzem Zoomit
Corporation, den Marktführer im
Bereich
Metaverzeichnistechnologien
erworben, und unterstreicht damit
diese Strategie. Das Hauptprodukt
von Zoomit, Via, implementiert eine
Hub- und Spoke-Architektur.
Microsoft wird Via in
Active Directory integrieren und es
Unternehmen somit ermöglichen,
mithilfe von Active Directory
Identitätsinformationen zu
verwalten, die in heterogenen
Verzeichnisdiensten gespeichert
sind. Microsoft wird darüber hinaus
Active Directory erweitern.
Active Directory wird damit die
branchenweit erste
Identitätsverwaltungsplattform mit
Unterstützung für viele weit
verbreitete Anwendungen und
Netzwerkdienste, die
Identitätsinformationen an anderen
Stellen als Verzeichnissen
speichern.
Hub- und Spoke-Architekturen mit Zoomit-Technologien
Die Integration von Zoomit-
Technologien in Active Directory
wird für Unternehmen viele Vorteile
haben:
 Es können leicht
Metaverzeichnisse
auf der Basis von
Active Directory
erstellt werden,
die
Anwendungen,
Benutzer und
Administratoren
als zentrale Stelle
für Abfragen und
Aktualisierungen
verwenden
können.
 Mit den
BrokeringTechnologien von
Zoomit können
Unternehmen
Daten
konvertieren, die
Position von
Objekten
verfolgen und
Besitzbeziehunge
n für Attribute
verzeichnis- und
speicherübergreif
end verwalten.
 Unter
Verwendung der
Technologien von
Zoomit werden
Unternehmen in
der Lage sein,
Schutzmaßnahme
n für referenzielle
Integrität zu
implementieren
und damit den
Wert der in
Active Directory
gespeicherten
Informationen zu
erhöhen.
Und schließlich der wichtigste
Aspekt: Microsoft wird die
Technologien von Zoomit erweitern
und vereinfachen, damit
Unternehmen beliebiger Größe die
Vorteile von Metaverzeichnissen
sowie Hub- und SpokeArchitekturen verwenden können.
Verzeichniskonsolidierung mit Active Directory
Bemühungen von Microsoft im
Hinblick auf
Verzeichniskonsolidierung
konzentrieren sich auf die
Anpassung der Produkte von
Microsoft. Außerdem unterstützt
Microsoft führende, unabhängige
Softwarehersteller dabei, ihre
Produkte so zu ändern, dass sie
zum Speichern von Identitätsdaten
Active Directory ebenfalls
verwenden. Das beste Beispiel für
ein Produkt von Microsoft mit
Active Directory-Funktionalität ist
die nächste Version von Microsoft
Exchange Server (mit dem
Codenamen "Platinum"). Platinum
wird die erste Version von
Exchange Server sein, die keinen
eigenen Verzeichnisdienst
verwendet, sondern vollständig auf
Active Directory zurückgreift. Durch
den Einsatz von Active Directory
zusammen mit Platinum wird der
Kunde Postfächer und
Benutzerkonten an einer zentralen
Stelle verwalten können und die
Informationen nicht mehr mit
Windows 2000 synchronisieren
müssen. Microsoft unterstützt
produktgruppenübergreifende
Zusammenarbeit, damit die
Produktteams für Microsoft
SQL Server, Microsoft Office,
Microsoft Site Server (Commerce
Edition) und COM ähnliche Vorteile
erzielen.
Microsoft arbeitet außerdem mit
führenden, unabhängigen
Softwareherstellern zusammen, um
die Integration von Active Directory
in deren Produkte zu unterstützen.
So haben z. B. sowohl SAP als auch
Baan Clients, die Dienste durch
Suchen nach
Anwendungsidentitätsinformationen
(d. h. die Position von Servern)
auffinden, die in Active Directory
gespeichert sind. Cisco Systems
erweitert eine Reihe der eigenen
Produkte dahingehend, dass diese
in Active Directory gespeicherte
Benutzeridentitätsinformationen
zum Personalisieren von
Netzwerkdiensten verwenden. Und
da Microsoft fest davon überzeugt
ist, dass diese Integration wichtige
Vorteile bietet, hat Microsoft die
Anforderungen zur Active DirectoryIntegration für
Windows 2000 Server GoldLogospezifikation hinzugefügt.
Kunden, die das Gold-Logo sehen,
werden wissen, dass die betreffende
Anwendung zur
Verzeichniskonsolidierung beiträgt.
Zusammenfassung
Rücklauf von Investitionen
Angesichts der Komplexität der
Verwaltung von
Unternehmensidentitätsdaten
werden die meisten Unternehmen
zunächst mehrere der im
vorliegenden Whitepaper
beschriebenen unterschiedlichen
Techniken implementieren müssen.
Jede dieser Techniken birgt ein
spezielles Kosten/Nutzen-Verhältnis.
Ein Unternehmen muss sich die
vorher dargestellten Vor- und
Nachteile bewusst machen, um im
Laufe der Zeit den Nutzen
optimieren zu können.
Manuelles Aktualisieren aller
Verzeichnisse und Repositorys ist
mit Sicherheit der schwierigste
Ansatz für die Identitätsverwaltung,
der gleichzeitig den geringsten Wert
für das Unternehmen bringt.
Synchronisierungsconnectoren
bieten mehr Wert für das
Unternehmen, besonders dann,
wenn die
Synchronisierungsanforderungen
weniger komplex sind, und sind
über die Zeit gesehen deutlich
kostengünstiger. Anwendungen und
Skripts, die mit Technologien für
Zugriff auf mehrere Verzeichnisse
geschrieben werden, können noch
größeren Wert für das Unternehmen
bieten, weil sie benutzerdefinierte
Unternehmensregeln enthalten
können. Die Implementierung von
Anwendungen und Skripts ist jedoch
aufwendiger als der Einsatz von
Connectoren, da sie programmiert
und nicht nur konfiguriert werden
müssen.
Hub- und Spoke-Architekturen
bieten extrem viel Funktionalität
und Flexibilität und damit die größte
Chance, auch komplexe
Herausforderungen der
Identitätsverwaltung lösen zu
können. Sie sind jedoch heute noch
schwerer zu implementieren als
Lösungen, die auf dem Zugriff auf
mehrere Verzeichnisse basieren, da
die Entwickler sich mit speziellen
Techniken zur Wahrung der
Datenintegrität und zur
Implementierung von
Unternehmensregeln vertraut
machen müssen. Im Laufe der Zeit
wird das Implementieren von Hubund Spoke-Architekturen leichter
werden, da Microsoft für weit
verbreitete Anwendungen erweiterte
Funktionen wie Vorlagen,
vereinfachte Regelsprachen und
vordefinierte Connectoren
bereitstellen wird.
Letztendlich wird der Rücklauf von
Investitionen am größten sein,
wenn die Identitätsdaten auf der
Basis strategischer
Verzeichnisdienste konsolidiert
werden. Denn nur mit dieser Lösung
wird die Anzahl der Verzeichnisse,
in die Administratoren speichern
müssen, und damit die Menge der
zu verwaltenden Identitätsdaten
abnehmen. Synchronisierung wird
überflüssig. Als Zielmarke wird die
Anzahl der Anwendungen gelten,
die anstatt eigener Repositorys
einen bestimmten Verzeichnisdienst
unterstützen.
Aufgrund der Komplexität und der
Bandbreite der Lösungen von
Microsoft, ist Microsoft überzeugt,
dass der Active Directory-Dienst
von Windows 2000 der ideale
Verzeichnisdienst für jeden Weg der
Identitätsverwaltung ist, den ein
Unternehmen beschreiten kann.
© 1999 Microsoft Corporation. Alle
Rechte vorbehalten.
Die im vorliegenden Dokument
enthaltenen Informationen geben
die Ansicht der Microsoft
Corporation zu den besprochenen
Punkten zum Zeitpunkt der
Veröffentlichung dieses Dokuments
wieder. Da Microsoft auf wechselnde
Marktbedingungen reagieren muss,
ist dieses Dokument nicht als
Verpflichtung seitens Microsoft zu
interpretieren, und Microsoft
übernimmt nach dem Datum der
Veröffentlichung keine Garantie für
die Richtigkeit der Informationen.
Dieses Whitepaper dient
ausschließlich informativen
Zwecken. MICROSOFT ÜBERNIMMT
IN DIESEM DOKUMENT KEINERLEI
GARANTIE, WEDER AUSDRÜCKLICH
NOCH IMPLIZIT.
Microsoft, Active Directory, das
BackOffice-Logo, Visual Basic,
Windows und Windows NT sind
eingetragene Marken oder Marken
der Microsoft Corporation in den
USA und/oder anderen Ländern.
Andere in diesem Dokument
genannte Produkt- oder
Firmennamen sind möglicherweise
Marken der jeweiligen Inhaber.
Microsoft Corporation • One
Microsoft Way • Redmond, WA
98052-6399 • USA
0799
Herunterladen
Explore flashcards