Bei der integrierten Installation wird eine standardmäßige Struktur für das Identitätsdepot angelegt, die sich für die meisten Identity Manager-Bereitstellungen eignet.
Abbildung 1-1 Standardmäßige Identitätsdepot-Struktur
Tabelle 1-1 Beschreibung der Objekte im Identitätsdepot
Objekt |
Beschreibung |
---|---|
t=idv |
Der Standardname des eDirectory-Baums lautet „idv“. |
o=system |
Alle Systemobjekte für Identity Manager befinden sich in der Systemorganisation. Der Zugriff auf diesen Container und alle Untercontainer soll ausschließlich auf Administratoren beschränkt werden. Weitere Informationen finden Sie in Abschnitt 1.3.1, Systemcontainer. |
ou=sa.o=system |
Der Container „ou=sa.o=system“ enthält alle Systembenutzer. Zu den Systembenutzern gehören die Administratoren, die Treiberadministratoren und andere Administratoren. |
cn=admin.ou=sa.o=system |
Dies ist das Administratorkonto für den Baum. |
ou=servers.o=system |
Dieser Container enthält die Serverobjekte und alle mit den Servern verknüpften Objekte. Damit ist es möglich, die Serverobjekte von den anderen Systemobjekten zu trennen. |
cn=driverset1.o=system |
Das Treibersatzobjekt enthält alle Treiberobjekte. Die Treibersatzobjekte werden direkt im Systemcontainer abgelegt. |
cn=User Application Driver.cn=driverset1.o=system |
Der Benutzeranwendungstreiber verwaltet alle Aufgaben im Zusammenhang mit der Benutzeranwendung. |
cn=Role and Resource Service Driver.cn=driverset1.o=system |
Der Rollen- und Ressourcenservice-Treiber verwaltet alle Aufgaben im Zusammenhang mit dem rollenbasierten Bereitstellungsmodul. |
cn=Data Collection Service Driver.cn=driverset1.o=system |
Der DCS-Treiber verwaltet Aufgaben im Zusammenhang mit dem Identitätsberichterstellungsmodul. |
cn=Managed System Gateway Driver.cn=driverset1.o=system |
Der MSGW-Treiber verwaltet Aufgaben im Zusammenhang mit dem Identitätsberichterstellungsmodul. |
cn=Role Based Service 2.o=system |
Dieser Container enthält Objekte, die für die Zusammenarbeit von iManager und Identity Manager sorgen. |
o=data |
Alle Datenobjekte für Identity Manager befinden sich in der Datenorganisation. Die Administratoren sollen allen Benutzern den Zugriff auf diesen Container und alle Untercontainer ermöglichen. Weitere Informationen finden Sie in Abschnitt 1.3.2, Datencontainer. |
ou=users.o=data |
Standardcontainer für alle Benutzerobjekte im Identitätsdepot. |
ou=groups.o=data |
Standardcontainer für alle Gruppenobjekte im Identitätsdepot. |
ou=sa.o=data |
Standardcontainer für den Rollenadministratorbenutzer, den Superuser und die Dienstkonten für die Benutzeranwendung, das rollenbasierte Bereitstellungsmodul und das Identitätsberichterstellungsmodul. |
cn=uaadmin.ou=sa.o=data |
Benutzeranwendungs-Administratorobjekt. |
ou=Devices.o=data |
Standardcontainer für Geräte. |
cn=security |
Der Sicherheitscontainer enthält alle Sicherheitsobjekte für den Baum und für Identity Manager. Der Zugriff auf diesen Container und alle Untercontainer soll ausschließlich auf Administratoren beschränkt werden. Weitere Informationen finden Sie in Abschnitt 1.3.3, Sicherheitscontainer. |
Diese Standardstruktur ist hauptsächlich für eine Installation in einer einzelnen Umgebung von Vorteil. Beispielsweise ist diese Identitätsdepotstruktur gut für kleine und mittlere Identity Manager-Bereitstellungen geeignet. Multi-Tenant-Umgebungen besitzen möglicherweise eine etwas andere Struktur. Außerdem ist es nicht möglich, große und verteilte Bäume auf diese Weise zu organisieren.
In Identity Manager 4.0 (und höher) werden überwiegend Organisationscontainer verwendet, sodass Benutzer, Gruppen und Dienstadministratoren in denselben Container platziert werden. Verwenden Sie Organisationen (o=), wenn dies möglich ist, und organisatorische Einheiten (ou=), wo dies sinnvoll ist. Die Identity Manager-Struktur ist durch ihre drei Hauptkomponenten (Systemcontainer, Datencontainer und Sicherheitscontainer) auf die spätere Skalierbarkeit ausgerichtet.
Der Systemcontainer ist eine Organisation. Standardmäßig wird dieser Container als o=system bezeichnet. Dieser Container enthält alle technischen Informationen und Konfigurationsinformationen für Ihr Identitätsdepot und für das Identity Manager-System. Der Systemcontainer enthält die folgenden Haupt-Untercontainer:
Der Service-Admins-Container enthält administrative Objekte für das Identitätsdepot und die Treiber. Nur Admin-Benutzer können auf den System-Teilbaum zugreifen. Der standardmäßige Identitätsdepot-Admin ist admin.sa.system. Die Objekte in diesem Container werden als „sa“ oder Dienstadministratorbenutzer, Superuser oder Dienstkonten bezeichnet.
Den Serverobjekten sind viele verschiedene Objekte zugeordnet, die sich in demselben Container befinden müssen wie das Serverobjekt. Wenn Sie weitere Server zu Ihrem Baum hinzufügen, kann es letztlich sehr mühsam werden, durch all diese Objekte zu blättern.
Sie sollten alle Serverobjekte unter dem servers.system-Container anordnen. Ein Administrator kann jedoch einzelne Servercontainer für jeden der in der Umgebung bereitgestellten Server erstellen. Der Name des Containers ist der Name des Serverobjekts.
Diese Struktur ist auf die spätere Skalierbarkeit ausgerichtet. Alle dem Server zugeordneten Objekte (Volumes, Lizenzen, Zertifikate) befinden sich an der richtigen Stelle, sodass die erforderlichen Objekte rasch aufgefunden werden.
Treibersätze werden während der Konfiguration der Identity Manager-Engine als separate Partition erstellt. Im Identitätsdepot werden die Treibersatzobjekte im Systemcontainer gespeichert. Diese Struktur ermöglicht Ihnen das Skalieren, indem Sie weitere Treibersätze zum Systemcontainer hinzufügen. Rollenbasierte Services für iManager werden ebenfalls im Systemcontainer gespeichert.
Der Datencontainer enthält Gruppen, Benutzer, Rollenadministratoren, Geräte und andere Objekte. Dies sind die Daten, aus denen Ihr System besteht. Die Gruppen, Benutzer und sa-Container sind organisatorische Einheiten. Sie können zusätzliche organisatorische Einheiten verwenden, um Ihre Daten entsprechend Ihren Organisationsmethoden zu strukturieren. Der Dienstadministrator-container (ou=sa) enthält beispielsweise alle Benutzeranwendungsadministrator-Objekte und Dienstadministratorkonten.
Der Sicherheitscontainer ist ein spezieller Container, der während der Installation des Identitätsdepots erstellt wird. Er wird als cn=security anstelle von dc, o oder ou bezeichnet. Dieser Container enthält alle Sicherheitsobjekte für das Identitätsdepot. Er enthält beispielsweise die Zertifizierungsstelle und die Passwortrichtlinien.