1.3 Erläuterungen zur standardmäßigen Identitätsdepot-Struktur

Bei der integrierten Installation wird eine standardmäßige Struktur für das Identitätsdepot angelegt, die sich für die meisten Identity Manager-Bereitstellungen eignet.

Abbildung 1-1 Standardmäßige Identitätsdepot-Struktur

Tabelle 1-1 Beschreibung der Objekte im Identitätsdepot

Objekt	Beschreibung
t=idv	Der Standardname des eDirectory-Baums lautet „idv“.
o=system	Alle Systemobjekte für Identity Manager befinden sich in der Systemorganisation. Der Zugriff auf diesen Container und alle Untercontainer soll ausschließlich auf Administratoren beschränkt werden. Weitere Informationen finden Sie in Abschnitt 1.3.1, Systemcontainer.
ou=sa.o=system	Der Container „ou=sa.o=system“ enthält alle Systembenutzer. Zu den Systembenutzern gehören die Administratoren, die Treiberadministratoren und andere Administratoren.
cn=admin.ou=sa.o=system	Dies ist das Administratorkonto für den Baum.
ou=servers.o=system	Dieser Container enthält die Serverobjekte und alle mit den Servern verknüpften Objekte. Damit ist es möglich, die Serverobjekte von den anderen Systemobjekten zu trennen.
cn=driverset1.o=system	Das Treibersatzobjekt enthält alle Treiberobjekte. Die Treibersatzobjekte werden direkt im Systemcontainer abgelegt.
cn=User Application Driver.cn=driverset1.o=system	Der Benutzeranwendungstreiber verwaltet alle Aufgaben im Zusammenhang mit der Benutzeranwendung.
cn=Role and Resource Service Driver.cn=driverset1.o=system	Der Rollen- und Ressourcenservice-Treiber verwaltet alle Aufgaben im Zusammenhang mit dem rollenbasierten Bereitstellungsmodul.
cn=Data Collection Service Driver.cn=driverset1.o=system	Der DCS-Treiber verwaltet Aufgaben im Zusammenhang mit dem Identitätsberichterstellungsmodul.
cn=Managed System Gateway Driver.cn=driverset1.o=system	Der MSGW-Treiber verwaltet Aufgaben im Zusammenhang mit dem Identitätsberichterstellungsmodul.
cn=Role Based Service 2.o=system	Dieser Container enthält Objekte, die für die Zusammenarbeit von iManager und Identity Manager sorgen.
o=data	Alle Datenobjekte für Identity Manager befinden sich in der Datenorganisation. Die Administratoren sollen allen Benutzern den Zugriff auf diesen Container und alle Untercontainer ermöglichen. Weitere Informationen finden Sie in Abschnitt 1.3.2, Datencontainer.
ou=users.o=data	Standardcontainer für alle Benutzerobjekte im Identitätsdepot.
ou=groups.o=data	Standardcontainer für alle Gruppenobjekte im Identitätsdepot.
ou=sa.o=data	Standardcontainer für den Rollenadministratorbenutzer, den Superuser und die Dienstkonten für die Benutzeranwendung, das rollenbasierte Bereitstellungsmodul und das Identitätsberichterstellungsmodul.
cn=uaadmin.ou=sa.o=data	Benutzeranwendungs-Administratorobjekt.
ou=Devices.o=data	Standardcontainer für Geräte.
cn=security	Der Sicherheitscontainer enthält alle Sicherheitsobjekte für den Baum und für Identity Manager. Der Zugriff auf diesen Container und alle Untercontainer soll ausschließlich auf Administratoren beschränkt werden. Weitere Informationen finden Sie in Abschnitt 1.3.3, Sicherheitscontainer.

Diese Standardstruktur ist hauptsächlich für eine Installation in einer einzelnen Umgebung von Vorteil. Beispielsweise ist diese Identitätsdepotstruktur gut für kleine und mittlere Identity Manager-Bereitstellungen geeignet. Multi-Tenant-Umgebungen besitzen möglicherweise eine etwas andere Struktur. Außerdem ist es nicht möglich, große und verteilte Bäume auf diese Weise zu organisieren.

In Identity Manager 4.0 (und höher) werden überwiegend Organisationscontainer verwendet, sodass Benutzer, Gruppen und Dienstadministratoren in denselben Container platziert werden. Verwenden Sie Organisationen (o=), wenn dies möglich ist, und organisatorische Einheiten (ou=), wo dies sinnvoll ist. Die Identity Manager-Struktur ist durch ihre drei Hauptkomponenten (Systemcontainer, Datencontainer und Sicherheitscontainer) auf die spätere Skalierbarkeit ausgerichtet.

1.3.1 Systemcontainer

Der Systemcontainer ist eine Organisation. Standardmäßig wird dieser Container als o=system bezeichnet. Dieser Container enthält alle technischen Informationen und Konfigurationsinformationen für Ihr Identitätsdepot und für das Identity Manager-System. Der Systemcontainer enthält die folgenden Haupt-Untercontainer:

ou=sa

Der Service-Admins-Container enthält administrative Objekte für das Identitätsdepot und die Treiber. Nur Admin-Benutzer können auf den System-Teilbaum zugreifen. Der standardmäßige Identitätsdepot-Admin ist admin.sa.system. Die Objekte in diesem Container werden als „sa“ oder Dienstadministratorbenutzer, Superuser oder Dienstkonten bezeichnet.

Server

Den Serverobjekten sind viele verschiedene Objekte zugeordnet, die sich in demselben Container befinden müssen wie das Serverobjekt. Wenn Sie weitere Server zu Ihrem Baum hinzufügen, kann es letztlich sehr mühsam werden, durch all diese Objekte zu blättern.

Sie sollten alle Serverobjekte unter dem servers.system-Container anordnen. Ein Administrator kann jedoch einzelne Servercontainer für jeden der in der Umgebung bereitgestellten Server erstellen. Der Name des Containers ist der Name des Serverobjekts.

Diese Struktur ist auf die spätere Skalierbarkeit ausgerichtet. Alle dem Server zugeordneten Objekte (Volumes, Lizenzen, Zertifikate) befinden sich an der richtigen Stelle, sodass die erforderlichen Objekte rasch aufgefunden werden.

Treibersätze

Treibersätze werden während der Konfiguration der Identity Manager-Engine als separate Partition erstellt. Im Identitätsdepot werden die Treibersatzobjekte im Systemcontainer gespeichert. Diese Struktur ermöglicht Ihnen das Skalieren, indem Sie weitere Treibersätze zum Systemcontainer hinzufügen. Rollenbasierte Services für iManager werden ebenfalls im Systemcontainer gespeichert.

1.3.2 Datencontainer

Der Datencontainer enthält Gruppen, Benutzer, Rollenadministratoren, Geräte und andere Objekte. Dies sind die Daten, aus denen Ihr System besteht. Die Gruppen, Benutzer und sa-Container sind organisatorische Einheiten. Sie können zusätzliche organisatorische Einheiten verwenden, um Ihre Daten entsprechend Ihren Organisationsmethoden zu strukturieren. Der Dienstadministrator-container (ou=sa) enthält beispielsweise alle Benutzeranwendungsadministrator-Objekte und Dienstadministratorkonten.

1.3.3 Sicherheitscontainer

Der Sicherheitscontainer ist ein spezieller Container, der während der Installation des Identitätsdepots erstellt wird. Er wird als cn=security anstelle von dc, o oder ou bezeichnet. Dieser Container enthält alle Sicherheitsobjekte für das Identitätsdepot. Er enthält beispielsweise die Zertifizierungsstelle und die Passwortrichtlinien.