Novell Doc: Identity Manager 3.6.1 Installationshandbuch

3.3 eDirectory-Richtlinien

eDirectory ist das Identitätsdepot, in dem die Objekte gespeichert werden, die anhand der Identity Manager-Lösung synchronisiert werden. Die folgenden Abschnitte behandeln die Richtlinien, mit deren Hilfe Sie die Bereitstellung von eDirectory planen können.

Abschnitt 3.3.1, Identity Manager-Objekte in eDirectory
Abschnitt 3.3.2, Replizierung der von Identity Manager auf dem Server benötigten Objekte
Abschnitt 3.3.3, Verwendung der Bereichsfilterung zum Verwalten von Benutzern auf verschiedenen Servern

3.3.1 Identity Manager-Objekte in eDirectory

Die folgende Liste enthält die wesentlichen Identity Manager-Objekte, die in eDirectory gespeichert sind, und deren Verhalten zueinander . Während der Installation von Identity Manager werden keine Objekte erstellt. Die Identity Manager-Objekte werden im Rahmen der Konfiguration der Identity Manager-Lösung erstellt.

Treibersatz: Ein Treibersatz ist ein Container, der Identity Manager-Treiber und Bibliotheksobjekte enthält. Auf einem Server kann immer nur ein Treibersatz aktiv sein. Sie können einen Treibersatz jedoch mit mehreren Servern verknüpfen. Ein Treiber kann auch mehreren Servern gleichzeitig zugeordnet werden. Er sollte jedoch immer nur auf einem Server gleichzeitig ausgeführt werden. Auf den anderen Servern muss der Treiber deaktiviert sein. Auf jedem mit einem Treibersatz verknüpften Server muss die Metaverzeichnis-Engine installiert sein.
Bibliothek: Das Bibliotheksobjekt ist ein Repository mit häufig verwendeten Richtlinien, das von mehreren Positionen aus referenziert werden kann. Die Bibliothek wird im Treibersatz gespeichert. In der Bibliothek können Sie eine Richtlinie ablegen, auf die jeder Treiber im Treibersatz zugreifen kann.
Treiber: Ein Treiber stellt die Verbindung zwischen einer Anwendung und dem Identitätsdepot her. Der Treiber ist das Verbindungsstück, das die Datensynchronisierung und die Freigabe zwischen Systemen ermöglicht. Der Treiber wird im Treibersatz abgelegt.
Auftrag: Der Zweck eines Auftrags besteht darin, eine Aufgabe zu erledigen, die häufig ausgeführt werden muss. Ein Auftrag kann beispielsweise ein System konfigurieren, um ein Konto an einem bestimmten Tag zu deaktivieren oder um einen Workflow zu starten, mit dem eine Erweiterung der Zugriffsrechte einer Person auf eine Unternehmensressource angefordert wird. Der Auftrag wird im Treibersatz abgelegt.

3.3.2 Replizierung der von Identity Manager auf dem Server benötigten Objekte

Wenn in Ihrer Identity Manager-Umgebung mehrere Server benötigt werden, damit mehrere Identity Manager-Treiber ausgeführt werden können, sollten Sie dies in Ihrem Plan berücksichtigen und sicherstellen, dass bestimmte eDirectory-Objekte auf Servern repliziert werden, auf denen die Identity Manager-Treiber ausgeführt werden sollen.

Sie können gefilterte Reproduktionen verwenden, sofern alle Objekte und Attribute, die der Treiber lesen oder synchronisieren muss, Teil der gefilterten Reproduktion sind.

Denken Sie daran, dem Identity Manager-Treiberobjekt ausreichende eDirectory-Rechte für die zu synchronisierenden Objekte zu erteilen. Gewähren Sie diese Rechte entweder explizit oder definieren Sie das Treiberobjekt als sicherheitsäquivalent mit einem Objekt, das über die gewünschten Rechte verfügt.

Ein eDirectory-Server, auf dem ein Identity Manager-Treiber ausgeführt wird (oder auf den der Treiber verweist, falls Sie den Remote Loader verwenden), muss eine Masterreproduktion oder eine Lese-/Schreibreproduktion der folgenden Elemente enthalten:

Das Treibersatzobjekt für den Server.

Für jeden Server, auf dem Identity Manager läuft, muss ein Treibersatzobjekt vorhanden sein. Sofern Sie keine speziellen Anforderungen haben, ordnen Sie nicht mehrere Server demselben Treibersatzobjekt zu.

HINWEIS:Beim Erstellen eines Treibersatzobjekts wird standardmäßig eine separate Partition erstellt. Novell® empfiehlt, für das Treibersatzobjekt eine separate Partition zu erstellen. Damit Identity Manager funktioniert, muss der Server eine vollständige Reproduktion des Treibersatzobjekts enthalten. Wenn dem Server eine vollständige Reproduktion des Speicherorts zur Verfügung steht, an dem das Treibersatzobjekt installiert ist, wird keine Partition benötigt.
Das Serverobjekt für den Treiber.

Das Serverobjekt wird benötigt, damit der Treiber Schlüsselpaare für Objekte erstellen kann. Außerdem ist es wichtig für die Authentifizierung des Remote Loaders.
Die Objekte, die diese Instanz des Treibers synchronisieren soll.

Der Treiber kann nur Objekte synchronisieren, sofern sich eine Reproduktion dieser Objekte auf demselben Server befindet wie der Treiber. Der Identity Manager-Treiber synchronisiert die Objekte in allen Containern, die auf dem betreffenden Server repliziert sind, sofern Sie keine anderen Regeln für die Bereichsfilterung festgelegt haben.

Wenn ein Treiber beispielsweise alle Benutzerobjekte synchronisieren soll, geschieht dies am einfachsten durch die Instanz eines Treibers auf dem Server, auf dem sich eine Lese-/Schreibreproduktion aller Benutzer befindet.

In vielen Umgebungen gibt es jedoch keinen Einzelserver, der eine Reproduktion aller Benutzer enthält. Stattdessen sind die Benutzer-Datensätze auf mehrere Server verteilt. In diesem Fall stehen Ihnen drei Möglichkeiten zur Auswahl:
- Kumulierung aller Benutzer auf einem Server. Sie können einen Server erstellen, der alle Benutzer enthält, indem Sie zu einem vorhandenen Server Reproduktionen hinzufügen. Sofern erforderlich können gefilterte Reproduktionen verwendet werden, was die Größe der eDirectory-Datenbank verringert. Die erforderlichen Benutzerobjekte und -attribute müssen jedoch Teil der gefilterten Reproduktion sein.
- Verwendung mehrerer Instanzen des Treibers auf mehreren Servern mit Bereichsfilterung. Wenn Sie die Benutzer nicht auf einem Server kumulieren möchten, müssen Sie festlegen, welche Server alle Benutzer enthalten, und anschließend auf jedem dieser Treiber eine Instanz des Identity Manager-Treibers einrichten.
  
  Damit keine separaten Instanzen eines Treibers versuchen, dieselben Benutzer zu synchronisieren, müssen Sie in der Bereichsfilterung definieren, welche Benutzer von den einzelnen Instanzen des Treibers synchronisiert werden sollen. Mithilfe der Bereichsfilterung können Sie jedem Treiber Regeln hinzufügen, damit die Aktionen des Treibers auf bestimmte Container beschränkt werden. Siehe Verwendung der Bereichsfilterung zum Verwalten von Benutzern auf verschiedenen Servern.
- Verwendung mehrerer Instanzen des Treibers auf mehreren Servern ohne Bereichsfilterung. Wenn mehrere Instanzen eines Treibers auf mehreren Servern ohne die Verwendung gefilterter Reproduktionen laufen sollen, müssen Sie für die verschiedenen Treiberinstanzen Richtlinien definieren, auf deren Basis der Treiber im selben Identitätsdepot unterschiedliche Objektsätze verarbeiten kann.
Die Schablonenobjekte, die vom Treiber bei der Erstellung von Benutzern verwendet werden sollen, sofern die Verwendung von Schablonen ausgewählt ist.

Identity Manager-Treiber erfordern nicht, dass eDirectory-Schablonenobjekte für die Benutzererstellung festgelegt werden. Wenn Sie jedoch festlegen, dass ein Treiber eine Schablone für die Erstellung von Benutzern in eDirectory verwenden soll, muss das Schablonenobjekt auf dem Server repliziert werden, auf dem der Treiber läuft.
Alle Container, die der Identity Manager-Treiber zur Benutzerverwaltung verwenden soll.

Wenn Sie beispielweise einen Container namens „Inaktive Benutzer“ erstellt haben, der deaktivierte Benutzerkonten enthält, benötigen Sie eine Master- oder eine Lese-/Schreibreproduktion (vorzugsweise eine Masterreproduktion) für diesen Container auf dem Server, auf dem der Treiber läuft.
Alle anderen Objekte, auf die sich der Treiber beziehen muss (z. B. Auftragsobjekte für den Avaya^* PBX-Treiber).

Wenn die anderen Objekte vom Treiber nur gelesen und nicht geändert werden müssen, ist für diese Objekte auf dem Server eine Lesereproduktion ausreichend.

3.3.3 Verwendung der Bereichsfilterung zum Verwalten von Benutzern auf verschiedenen Servern

Mithilfe der Bereichsfilterung können Sie jedem Treiber Regeln hinzufügen, wodurch die Aktionen des Treibers auf bestimmte Container beschränkt werden. Die Bereichsfilterung sollte beispielsweise in den folgenden Situationen verwendet werden:

Der Treiber soll nur die Benutzer in einem bestimmten Container synchronisieren.

In der Standardeinstellung synchronisiert der Identity Manager-Treiber die Objekte in allen Containern, die auf dem Server repliziert sind, auf denen er läuft. Sie können diesen Bereich einschränken, indem Sie Regeln für die Bereichsfilterung erstellen.
Ein Identity Manager-Treiber soll alle Benutzer synchronisieren, aber Sie möchten nicht, dass alle Benutzer auf demselben Server repliziert werden.

Zur Synchronisierung von Benutzern, die nicht auf einem einzelnen Server repliziert sind, müssen Sie die Server festlegen, die alle Benutzer enthalten. Anschließend müssen Sie auf jedem dieser Server eine Instanz des Identity Manager-Treibers erstellen. Damit nicht zwei Instanzen eines Treibers versuchen, dieselben Benutzer zu synchronisieren, müssen Sie in der Bereichsfilterung definieren, welche Benutzer von den einzelnen Instanzen des Treibers synchronisiert werden sollen.

HINWEIS:Sie sollten die Bereichsfilterung auch dann verwenden, wenn sich die Reproduktionen der Server gegenwärtig nicht überschneiden. Es könnte sein, dass zu einem späteren Zeitpunkt Reproduktionen auf die Server übertragen werden, sodass eine unbeabsichtigte Überschneidung entsteht. Bei Verwendung der Bereichsfilterung versuchen die Identity Manager-Treiber nicht, dieselben Benutzer zu synchronisieren, selbst wenn zu einem späteren Zeitpunkt Reproduktionen auf die Server übertragen werden.

Im Folgenden finden Sie ein Beispiel für die Verwendung der Bereichsfilterung:

Die folgende Abbildung zeigt ein Identitätsdepot mit drei Containern, in denen folgende Benutzer gespeichert sind: „Marketing“, „Finanzen“ und „Entwicklung“. Sie zeigt auch einen Identitätsmanagement-Container, in dem die Treibersätze gespeichert sind. Jeder dieser Container ist eine separate Partition.

Abbildung 3-4 Beispielbaum für die Bereichsfilterung

In diesem Beispiel verfügt der Identity Manager-Administrator über zwei Identitätsdepot-Server, Server A und Server B (siehe Abbildung 3-5). Keiner der beiden Server enthält eine Kopie aller Benutzer. Jeder Server enthält zwei der drei Partitionen, sodass sich die auf den Servern gespeicherten Bereiche überschneiden.

Der Administrator möchte, dass alle Benutzer im Baum vom GroupWise®-Treiber synchronisiert werden, aber es sollen keine Reproduktionen der Benutzer auf einem einzelnen Server zusammengefasst werden. Stattdessen verwendet er zwei Instanzen des GroupWise-Treibers, von denen sich eine auf Server A, die andere auf Server B befindet. Er installiert Identity Manager und richtet auf beiden Identity Manager-Servern den GroupWise-Treiber ein.

Server A enthält Reproduktionen der Container „Marketing“ und „Finanzen“. Außerdem befindet sich auf dem Server eine Reproduktion des Identity Management-Containers, der den Treibersatz und das GroupWise-Treiberobjekt für Server A enthält.

Auf Server B befinden sich Reproduktionen der Container „Entwicklung“ und „Finanzen“ sowie der Identity Manager-Container, in dem sich der Treibersatz und das GroupWise-Treiberobjekt für Server B befinden.

Da sich sowohl auf Server A als auch auf Server B eine Reproduktion des Containers „Finanzen“ befindet, ist auf beiden Servern der Benutzer „JBassad“ gespeichert, der sich im Container „Finanzen“ befindet. Ohne Bereichsfilterung nimmt sowohl GroupWise-Treiber A als auch GroupWise-Treiber B die Synchronisierung von „JBassad“ vor.

Abbildung 3-5 Zwei Server mit sich überschneidenden Reproduktionen, ohne Bereichsfilterung.

Die folgende Abbildung zeigt, dass durch die Bereichsfilterung verhindert wird, dass die zwei Instanzen des Treibers denselben Benutzer verwalten, weil definiert wird, welche Treiber die einzelnen Container synchronisieren.

Abbildung 3-6 Die Bereichsfilterung definiert, welche Treiber die einzelnen Container synchronisieren

In Identity Manager 3.6.1 sind vordefinierte Regeln enthalten. Zwei dieser Regeln dienen der Bereichsfilterung. Weitere Informationen zu den beiden Regeln Ereignistransformation - Bereichsfilterung - Teilbäume einbeziehen und Ereignistransformation - Bereichsfilterung - Teilbäume ausschließen finden Sie in Understanding Policies for Identity Manager 3.6 (Richtlinien für Identity Manager 3.6).

Für dieses Beispiel sollte die vordefinierte Regel „Teilbäume einbeziehen“ für Server A und Server B verwendet werden. Der Bereich muss für jeden Treiber unterschiedlich definiert sein, sodass sie nur die Benutzer in den angegebenen Containern synchronisieren. Server A würde die Container „Marketing“ und „Finanzen“ synchronisieren und Server B den Container „Entwicklung“.