NetIQ Documentation: Identity Manager 4.0.2 Übersichtshandbuch

6.1 Identitätsdepot

Das Identitätsdepot ist ein Repository von Identitätsinformationen. Es wird auch als Novell eDirectory-Baum bezeichnet. Im Identitätsdepot werden Identity Manager-spezifische Informationen gespeichert, z. B. Treiberkonfigurationen, Parameter und Richtlinien.

Das Identitätsdepot kann im engeren Sinn als privater Datenspeicher für Identity Manager gesehen werden, im weiteren Sinn als Metaverzeichnis mit Unternehmensdaten, die auf verschiedenen Anwendungen synchronisiert werden sollen, einschließlich verschiedenen Verzeichnissen, Datenbanken, Telefonsystemen, Betriebssystemen und HR-Systemen. Das Identitätsdepot verfügt über ein umfangreiches Schema, das angepasst werden kann. Die Daten im Depot stehen für alle Protokolle zur Verfügung, die von eDirectory unterstützt werden, einschließlich NCP (NetWare Core Protocol), LDAP und DSML. Identity Manager bietet keine zentrale Verwaltungsmöglichkeit und löst auch nicht das Problem mehrerer Administratoren mit einem eigenen Administrator für jede Anwendung. Das Programm löst allerdings das Problem doppelter, inkonsistenter Daten in den einzelnen Anwendungen. Beispielsweise werden Daten, die von einem PeopleSoft-System zu Lotus Notes synchronisiert wurden, zunächst dem Identitätsdepot hinzugefügt und dann an das Lotus Notes-System gesendet. In einer typischen Identitätsdepotumgebung befindet sich ein Identitätsdepot im Zentrum, an das andere Anwendungen angeschlossen sind. Die Identity Manager-Architektur kann man sich als mehrere Eins-zu-Eins-Beziehungen oder als Speichennetz vorstellen. Jede einzelne Beziehung besteht zwischen dem Identity Manager-Identitätsdepot und einer bestimmten verbundenen Anwendung.

Abbildung 6-1 Fehlerbaumanalyse

Ein Treiber ist ein Anwendungsschnittstellenmodul, das mit Richtlinien kombiniert ist und Identity Manager die Kommunikation mit einer externen Anwendung ermöglicht, um Daten zwischen der Anwendung und dem Identitätsdepot zu synchronisieren. Beachten Sie, dass die Begriffe „Treiber“ und „Schnittstellenmodul“ synonym sind. In Abbildung 6-1 befindet sich das Schnittstellenmodul oben, verknüpft mit einer externen Anwendung und dem Identitätsdepot. Zwischen dem Treiberschnittstellenmodul und dem Identitätsdepot bestehen Regeln, die die Daten verwalten.

Datenflüsse durch ein Identity Manager-System in Form von XML-Dokumenten In Identity Manager gibt es ein XML-Vokabular namens XDS, das zur Darstellung des Status von Objekten und Datenvorgängen mit den entsprechenden Attributwerten verwendet wird.

Die Identity Manager-Engine ruft über das Schnittstellenmodul Informationen von einem verbundenen System ab und stellt Informationen in ein verbundenes System ein. Anhand der Treiberkonfigurationsregeln entscheidet sie, was zu tun ist und wie.

Treiber stellen eine Verbindung zur Anwendung her, um Objekte und Entitäten zu verwalten. Ein Treiber ist hauptsächlich für zwei Aufgaben zuständig:

Er meldet Datenänderungen (Ereignisse) in der Anwendung an die Identity Manager-Engine.
Er führt die Datenänderungen (Befehle), die von der Identity Manager-Engine übermittelt wurden, in der Anwendung aus.

Die Kombination aus dem Treiber des verbundenen Systems, den Anwendungsverbindungsinformationen und einem Satz von Richtlinien wird als Treiberkonfiguration bezeichnet. Treiberkonfigurationen werden in einem Satz von Verzeichnisobjekten im Identitätsdepot gespeichert. Das DirXML-Treiberobjekt enthält andere Objekte, die die Richtlinien und Parameter definieren, die mit der Konfiguration verknüpft sind.

Die Treiberkonfiguration definiert eine Daten-Pipeline zwischen einer Anwendung und dem Identitätsdepot. Die Treiberkonfiguration definiert, was synchronisiert werden kann und wie das eDirectory-Schema einem verbundenen Anwendungsschema oder Metadaten zugeordnet werden soll. Beispielsweise könnte der Vorname eines Benutzers in einer HR-Anwendung als „Rufname“ bezeichnet werden, im Identitätsdepot dagegen als „Vorname“. Im Namespace der Anwendung nennen Sie ihn „Rufname“, im Namespace des Identitätsdepots dagegen „Vorname“. In Identity Manager arbeiten Sie normalerweise mit den Attributnamen in der Namespace des Identitätsdepots.

Zwischen einem Identitätsdepotobjekt und einem Anwendungsobjekt wird eine Beziehung aufgebaut, wenn die beiden Objekte dieselbe Entität darstellen. Diese Beziehung wird als Verknüpfung bezeichnet und im Identitätsdepot im verknüpften Identitätsdepotobjekt gespeichert. Die Verknüpfung baut eine Beziehung zwischen dem Identitätsdepotobjekt und dem Objekt im verknüpften System auf. Schlüsselwerte, die einmalig Objekte in verbundenen Systemen erkennen: Globale eindeutige Bezeichner (GUIDs), DNs, Primärschlüssel in Datenbanken etc. Jeder Treiber ist kodiert und verwendet einen spezifischen Schlüssel.