Dotaz: Identity manager - jak funguje propojení konektor / cache / vyhledávání

Treba Tivoli Identity Manager (TIM) ma na svem LDAP serveru ulozene kompletni obrazy uctu na cilovych systemech a vuci temto obrazum provadi veskere hledani a porovnavani. V pravidelnych intervalech je spousten proces "reconciliation", ktery ziska aktualni stav uctu z ciloveho systemu a zapise na svuj LDAP server.

Co se tyce konektoru, TIM ma sadu vlastnich konektoru (napr. AD, SAP) a API knihovny slouzici pro tvorbu libovolneho konektoru v prostredi Tivoli Directory Integrator produktu.

Třeba Sun IDM má vlastní databázi účtů, kterou je možné naimportovat třeba z AD. Vlastní databázi účtů pak syncuje s ostatními db. Účty může mít uloženo v LDAPu, nebo třeba v mysql, nebo jinde.
Obsahuje connector pro AD, nebo pro přístup k účtům na Netware. Není problém dopsat primitivních řádků třeba pro případ, že má někdo účty v nějaké db v tabulkách (Oracle, MSSQL apod.)
OSS verze Sun IDM (8.1) je ještě podporováno a vychází na něj aktualizace, nicméně možná bych se zkusil podívat i na jeho fork : OpenIDM, který vznikl po převzetí Sunu Oraclem.
Ovšem třeba Sun IDM mi přijde jako docela moloch :-/.
Zdar Max

Ahoj, popíšu způsob, jak tuto problematiku řeší naše CzechIdM a také Sun IdM (Oracle Waveset).

Při konfiguraci každého systému se definuje mapování skutečných názvů atributů účtu na "abstraktní" názvy, se kterými pracuje IdM. Pokud k IdM připojíme například LDAP, který bude mít účty s atributem "group" a také nějakou relační databázi, kde se bude odpovídající atribut jmenovat "skupina", můžeme každý z nich namapovat na stejný název "userGroup".

Identity manager se pak bude snažit tyto atributy synchronizovat tak, aby měli stejnou hodnotu. Samozřejmě záleží na tom, který z obou systému je pro tento atribut autoritativním zdrojem a tedy svojí hodnotou přepíše ten druhý.

Pokud tyto atributy nemají mít stejnou hodnotu, tak musí být každý z nich namapován na rozdílný název. Napříkalad "group" -> "ldap_userGroup" a "skupina" na "db_userGroup". Pak lze tyto atributy nastavovat nezávisle na sobě.

Pokud jde o keš, tak CzechIdM ani Sun IdM nestahují atributy do svého úložiště. Všechny data nechávají na systémech a pouze propagují změny z jednoho systému na jiný (tomu se říká provisioning). Jediné, co si tyhle Identity Managery uchovávají je informace o tom, které identitě (uživateli) patří který účet a dále pak jméno a email. Tyto informace je ale možné rozšířit o tzv. extended atributes. Pokud tedy víte, že budete často vyhledávat podle atributy "homeDirectory" v systému AD, tak nastavíte IdM tak, aby si tento atribut ukládal ve své repository. Pak je možné pomocí něho snadno vyhledávat.

Vyhledávat je možné i podle atributů, které nejsou kešované v IdM. Ale tam hodně záleží na tom, zda to konkrétní konektor nebo adaptér použitý pro připojení k systému umožňuje.

Například v Sun IdM lze za tímto účelem použí metodu ze třídy com.waveset.ui.FormUtils

public static java.util.List getResourceObjects(
         com.waveset.object.LighthouseContext session,
         java.lang.String objectType,
         java.lang.String resourceId,
         java.util.Map options)

Do parametru "options" se pak nadefinuje patřičný "searchFilter".

O tom jak si napsat vlastní konektor, který používá jak CzechIdM tak Sun IdM, se lze dočíst v tomto článku, který napsal kolega: Vývoj identity konektoru pro systém CzechIdM. Pro rychlou informaci jen napíšu, že binární data nejsou nejmenší problém.

V případě zájmu se na mne neváhej obrátit. Rád zodpovím dotazy.

Kontakt na mě nebo mé kolegy naleznete na stránce věnované CzechIdM