Das Identitätsdepot enthält alle Informationen, die für Identity Manager erforderlich sind. Das Identitätsdepot dient als Metaverzeichnis der Daten, die zwischen den verbundenen Systemen synchronisiert werden sollen. Zum Beispiel werden Daten, die von einem PeopleSoft-System nach Lotus Notes synchronisiert werden, zuerst zum Identitätsdepot hinzugefügt, bevor sie an das Lotus Notes-System gesendet werden. Im Identitätsdepot werden außerdem besondere Informationen für Identity Manager gespeichert, z. B. Treiberkonfigurationen, Parameter und Richtlinien.
Das Identitätsdepot nutzt eine NetIQ-eDirectory-Datenbank. Weitere Informationen zur Verwendung von eDirectory finden Sie im NetIQ eDirectory 8.8-Administrationshandbuch.
Die Identity Manager-Engine verarbeitet die Datenänderungen, die im Identitätsdepot oder in einer verbundenen Anwendung vorgenommen werden. Bei Ereignissen, die im Identitätsdepot auftreten, verarbeitet die Engine die Änderungen und sendet über den Treiber Befehle an die Anwendung. Bei Ereignissen, die in der Anwendung auftreten, empfängt die Engine die Änderungen vom Treiber, verarbeitet diese und sendet Befehle an das Identitätsdepot. Die Identity Manager-Engine ist über Treiber mit den Anwendungen verbunden. Ein Treiber hat zwei grundlegende Aufgaben: Er meldet Datenänderungen (Ereignissen) in der Anwendung an die Identity Manager-Engine und führt Datenänderungen (Befehle) aus, die von der Identity Manager-Engine an die Anwendung gesendet werden. Die Treiber müssen auf demselben Server wie die verbundene Anwendung installiert werden.
Die Identity Manager-Engine wurde bislang auch als Metaverzeichnis-Engine bezeichnet. Der Server, auf dem die Identity Manager-Engine ausgeführt wird, wird als Identity Manager-Server bezeichnet. Je nach Serverauslastung können Sie mehrere Identity Manager-Server in Ihrer Umgebung betreiben.
Der Identity Manager Remote Loader lädt die Treiber, die auf den Remote-Servern installiert sind, und kommuniziert an deren Stelle mit der Identity Manager-Engine. Wenn die Anwendung auf demselben Server wie die Identity Manager-Engine ausgeführt wird, können Sie den Treiber auf diesem Server installieren. Wird die Anwendung dagegen nicht auf demselben Server wie die Identity Manager-Engine ausgeführt, müssen Sie den Treiber auf dem Anwendungsserver installieren. Zur Erleichterung der Auslastung und der Konfiguration der Umgebung können Sie den Remote Loader auf einem separaten Server installieren, also nicht auf demselben Server wie die Anwendungsserver oder der Identity Manager-Server.
Weitere Informationen zum Remote Loader finden Sie in Abschnitt 16.2, Erläuterungen zum Remote Loader.
Das Identitätsinformations-Warehouse in Identity Manager bildet ein intelligentes Repository mit Angaben zum aktuellen und gewünschten Status des Identitätsdepots und der verwalteten Systeme in Ihrer Organisation. Mit dem Identitätsinformations-Warehouse erhalten Sie einen Gesamtüberblick über alle Geschäftsberechtigungen, und es wird ersichtlich, welche Autorisierungen und Berechtigungen den Identitäten in Ihrer Organisation in der Vergangenheit und Gegenwart erteilt wurden.
Beim Abfragen dieses Identitätsinformations-Warehouse erhalten Sie alle Informationen, die für die Einhaltung der für Ihre Organisation geltenden geschäftlichen Regeln und Richtlinien erforderlich sind. Somit haben Sie die Gewissheit, dass Sie für die Einhaltung selbst anspruchsvollster GRC-Richtlinien gerüstet sind.
Für die Infrastruktur des Identitätsinformations-Warehouse sind die folgenden Komponenten erforderlich:
Die Daten des Identitätsinformations-Warehouse werden in der SIEM-Datenbank des Ereignisrevisionsdienstes gespeichert. Mit der Identitätsberichterstellung in Identity Manager können Sie die Identity Manager-Lösung prüfen und Berichte dazu erstellen. Die Berichte können Ihnen dabei helfen, die Einhaltung etwaiger für Ihre Branche geltender Vorschriften zu gewährleisten. Mithilfe von vordefinierten Berichten können Sie die Konformität mit den Geschäfts-, IT- und Unternehmensrichtlinien nachweisen. Sie können auch benutzerdefinierte Berichte erstellen, falls die vordefinierten Berichte für Ihre Anforderungen nicht geeignet sind. Mit der Identitätsberichterstellung können Sie Berichte generieren, die unternehmenskritische Informationen zu verschiedenen Aspekten Ihrer Identity Manager-Konfiguration liefern, z. B. Informationen, die zu Identitätsdepots und zu den verbundenen Systemen erfasst wurden. Über die Benutzeroberfläche des Berichterstellungsmoduls können Sie schnell und einfach festlegen, dass die Berichtgenerierung außerhalb der Hauptgeschäftszeit erfolgt und somit die Systemleistung nicht beeinträchtigt wird. Weitere Informationen zur Identitätsberichterstellung finden Sie im NetIQ Identity Reporting Module Guide (Handbuch zum Identitätsberichterstellungsmodul).
Der Datenerfassungsdienst erfasst mithilfe des DCS-Treibers Änderungen an Objekten, die in einem Identitätsdepot gespeichert sind, z. B. Konten, Rolle, Ressourcen, Gruppen und Teammitgliedschaften. Der Treiber registriert sich beim Dienst und gibt Änderungsereignisse (z. B. Datensynchronisierung sowie Hinzufügungs-, Änderungs- und Löschungsereignisse) an den Dienst weiter.
Der Dienst ist in drei Unterdienste unterteilt:
Berichtsdatenkollektor: Verwendet ein Pull-Modell zum Abrufen von Daten aus einer oder mehreren Identitätsdepot-Datenquellen. Die Sammlung der Daten wird regelmäßig auf Grundlage der festgelegten Konfigurationsparameter durchgeführt. Der Kollektor ruft zum Abrufen der Daten den Treiber „Verwaltetes System – Gateway“ auf.
Ereignisgesteuerter Datenkollektor: Verwendet ein Push-Modell zum Sammeln von Ereignisdaten, die vom Datenerfassungsdiensttreiber erfasst wurden.
Datenkollektor für nicht verwaltete Anwendungen: Ruft Daten von einer oder mehreren nicht verwalteten Anwendungen ab, indem er einen speziell für jede Anwendung geschriebenen REST-Endpunkt aufruft. Nicht verwaltete Anwendungen sind Anwendungen in Ihrem Unternehmen, die nicht mit dem Identitätsdepot verbunden sind.
Der MCS-Treiber („Verwaltetes System – Gateway“) fragt die folgenden Arten von Informationen für die verwalteten Systeme aus dem Identitätsdepot ab:
Liste aller verwalteten Systeme
Liste mit allen Konten für die verwalteten Systeme
Berechtigungstypen, Werte und Zuweisungen sowie Benutzerkontenprofile für die verwalteten Systeme
Wenn Revisions- und Berichterstellungsfunktionen in der Identity Manager-Lösung bereitstehen sollen, benötigen Sie einen Sicherheitsinformations- und Ereignisverwaltungsdienst, beispielsweise NetIQ Event Auditing Service oder NetIQ Sentinel. Das Installationspaket für die Identitätsberichterstellung umfasst den Event Auditing Service (EAS). EAS erfasst die folgenden Protokollereignisse, die mit den nachstehenden Arten von Aktionen verbunden sind:
Aktionen im RBPM und den Rollenverwaltungskomponenten
Aktionen in der Identitätsberichterstellung, z. B. Importieren, Ändern, Löschen oder Planen von Berichten