了解 Identity Manager 用户应用程序的关键概念是数据提取,它指的是能够定义、查看和处理目录提取层定义实例。
传统的储存技术(不论是关系数据库、X.500 目录还是其它储存库)通常要求数据项(数据库中的行、X.500 目录中的对象等)严格符合定义良好的纲要。 对储存数据的查询在复杂性方面不受限制(理论上),数据可包含索引和/或回指链接,但实际的数据项本身必须符合固定的定义。 另外,前提是适用的纲要不会随时间发生明显的变化。
如果要将信息(可能有完全不同的数据来源,取决于不同的纲要)聚在一起来创建符合任意新(并且可能是临时)纲要的复合数据对象,这可能是个问题。 身份数据是个经典示例,因为身份是合成且非静态的。 另外,构成某个身份的数据块也可来自不同的来源,每个来源都理所应当由管理员来适时地保护信息。
身份数据的分布式特征给身份管理造成了一些困难,在严格(且受政治限制)的纲要定义中很难解决这一问题。 解决此问题的一个方法是将所有身份数据都聚到逻辑库(已实施为目录)中,并根据将传统 LDAP 对象和特性等映射到任意提取层定义和特性的一个或多个逻辑纲要,按需要组合源数据中的逻辑身份。 这样一来,身份数据就变得高度合成和动态。 更改身份定义并不要求更改 LDAP 纲要。 可随意重定义身份对象,以适合特定的应用程序或特定应用程序的特定用户。
这一总体方法通常称为数据提取,意思是按照需要将身份具体化为所需的格式。
身份数据提取具有很多优点:
Identity Manager 通过提取实现所有上述目的和更多目的。