abclinuxu.cz AbcLinuxu.cz itbiz.cz ITBiz.cz HDmag.cz HDmag.cz abcprace.cz AbcPráce.cz
Inzerujte na AbcPráce.cz od 950 Kč
Rozšířené hledání
×
    včera 23:22 | Zajímavý software

    BreadboardOS je firmware pro Raspberry Pi Pico (RP2040) umožňující s tímto MCU komunikovat pomocí řádkového rozhraní (CLI). Využívá FreeRTOS a Microshell.

    Ladislav Hagara | Komentářů: 0
    včera 16:55 | Nová verze

    Vývojáři KDE oznámili vydání balíku aplikací KDE Gear 24.05. Přehled novinek i s náhledy a videi v oficiálním oznámení. Do balíku se dostalo 5 nových aplikací: Audex, Accessibility Inspector, Francis, Kalm a Skladnik.

    Ladislav Hagara | Komentářů: 1
    včera 12:55 | Nová verze

    Byla vydána (𝕏) nová verze 18.0.0 open source webového aplikačního frameworku Angular (Wikipedie). Přehled novinek v příspěvku na blogu.

    Ladislav Hagara | Komentářů: 0
    22.5. 23:44 | Pozvánky

    V neděli 26. května lze navštívit Maker Faire Rychnov nad Kněžnou, festival plný workshopů, interaktivních činností a především nadšených a zvídavých lidí.

    Ladislav Hagara | Komentářů: 0
    22.5. 16:33 | Nová verze

    Byla vydána nová stabilní verze 3.20.0, tj. první z nové řady 3.20, minimalistické linuxové distribuce zaměřené na bezpečnost Alpine Linux (Wikipedie) postavené na standardní knihovně jazyka C musl libc a BusyBoxu. Z novinek lze vypíchnou počáteční podporu 64bitové architektury RISC-V.

    Ladislav Hagara | Komentářů: 0
    22.5. 14:11 | IT novinky

    Společnost Jolla na akci s názvem Jolla Love Day 2 - The Jolla comeback představila telefon se Sailfish OS 5.0 Jolla Community Phone (ve spolupráci se společností Reeder) a počítač Jolla Mind2 Community Edition AI Computer.

    Ladislav Hagara | Komentářů: 5
    22.5. 12:33 | Nová verze

    LibreOffice 24.8 bude vydán jako finální v srpnu 2024, přičemž LibreOffice 24.8 Alpha1 je první předběžnou verzí od začátku vývoje verze 24.8 v prosinci 2023. Od té doby bylo do úložiště kódu odesláno 4448 commitů a více než 667 chyb bylo v Bugzille nastaveno jako opravené. Nové funkce obsažené v této verzi LibreOffice najdete v poznámkách k vydání.

    ZCR | Komentářů: 0
    21.5. 23:33 | Nová verze

    Nová čísla časopisů od nakladatelství Raspberry Pi: MagPi 141 (pdf) a HackSpace 78 (pdf).

    Ladislav Hagara | Komentářů: 0
    21.5. 21:22 | Nová verze

    Byla vydána verze 2.0.0 programovacího jazyka Kotlin (Wikipedie, GitHub). Oficiálně bude představena ve čtvrtek na konferenci KotlinConf 2024 v Kodani. Livestream bude možné sledovat na YouTube.

    Ladislav Hagara | Komentářů: 2
    21.5. 12:55 | Nová verze

    Byla vydána nová major verze 27.0 programovacího jazyka Erlang (Wikipedie) a související platformy OTP (Open Telecom Platform, Wikipedie). Přehled novinek v příspěvku na blogu.

    Ladislav Hagara | Komentářů: 0
    Podle hypotézy Mrtvý Internet mj. tvoří většinu online interakcí boti.
     (82%)
     (4%)
     (7%)
     (7%)
    Celkem 517 hlasů
     Komentářů: 16, poslední 14.5. 11:05
    Rozcestník

    Dotaz: Identity manager - jak funguje propojení konektor / cache / vyhledávání

    4.4.2011 23:21 firemADmin
    Identity manager - jak funguje propojení konektor / cache / vyhledávání
    Přečteno: 584×
    Ahoj. Začínám se docela zamýšlet nad Identity Managery. Není mi ale jasné jak to vevnitř vlastně pořádně funguje. Dejme tomu že mám uživatele v Active Directory či nějaké SQL databázi. Každý uživatel může mít několikrát definován nějaký atribut (třeba skupina). Když k tomu budu chtít připojit Identity Manager - jak se s těmito atributy vypořádá? Pokud budu chtít vyhledávat podle nějakého atributu tak musí mít IdM vlastní keš (což by ale byla obrovská zátěž mít takovou keš v normální SQL databázi). Vytváří si IdM takovou keš nebo kešuje jen "neduplicitní" atributy příp. jak umí vyhledávat v záznamech bez keše (dejme tomu že chci najít uživatele kteří jsou v Active Directory jejichž jméno je *zivatel a kteří zároveň existují v jiné db, chci jich zobrazit N a seřadit podle atributu v Active Directory - umí to IdM)? Dále pokud bych si potřeboval napsat vlastní konektor - jaké datové typy to obecně podporuje? Co kdyby byl nějaký binární atribut - třeba certifikát či uživatelská fotka uložená v blob v SQL db - umí to přečíst, nakešovat a zobrazit? Díky za každou odpověď.

    Odpovědi

    4.4.2011 23:24 firemADmin
    Rozbalit Rozbalit vše Re: Identity manager - jak funguje propojení konektor / cache / vyhledávání
    A ještě např. zde v http://www.abclinuxu.cz/blog/zdenduv_blog/2006/9/sprava-uzivatelu-v-siti#id3032066 v sekci Spravované systémy jsou rozepsané různé relační databáze. Dá se nakonfigurovat IdM na správu nějaké struktury které je např. v 3NF? Něco jako seznam uživatelů v jedné tabulce, skupiny ve druhé, vazební tabulka ... nebo to podporuje jen 1 tabulku? A co duplicitní záznamy - umí?
    5.4.2011 05:47 MMichal | skóre: 21
    Rozbalit Rozbalit vše Re: Identity manager - jak funguje propojení konektor / cache / vyhledávání
    Treba Tivoli Identity Manager (TIM) ma na svem LDAP serveru ulozene kompletni obrazy uctu na cilovych systemech a vuci temto obrazum provadi veskere hledani a porovnavani. V pravidelnych intervalech je spousten proces "reconciliation", ktery ziska aktualni stav uctu z ciloveho systemu a zapise na svuj LDAP server.

    Co se tyce konektoru, TIM ma sadu vlastnich konektoru (napr. AD, SAP) a API knihovny slouzici pro tvorbu libovolneho konektoru v prostredi Tivoli Directory Integrator produktu.
    Max avatar 5.4.2011 07:19 Max | skóre: 72 | blog: Max_Devaine
    Rozbalit Rozbalit vše Re: Identity manager - jak funguje propojení konektor / cache / vyhledávání
    Třeba Sun IDM má vlastní databázi účtů, kterou je možné naimportovat třeba z AD. Vlastní databázi účtů pak syncuje s ostatními db. Účty může mít uloženo v LDAPu, nebo třeba v mysql, nebo jinde.
    Obsahuje connector pro AD, nebo pro přístup k účtům na Netware. Není problém dopsat primitivních řádků třeba pro případ, že má někdo účty v nějaké db v tabulkách (Oracle, MSSQL apod.)
    OSS verze Sun IDM (8.1) je ještě podporováno a vychází na něj aktualizace, nicméně možná bych se zkusil podívat i na jeho fork : OpenIDM, který vznikl po převzetí Sunu Oraclem.
    Ovšem třeba Sun IDM mi přijde jako docela moloch :-/.
    Zdar Max
    Měl jsem sen ... :(
    5.4.2011 08:22 firemADmin
    Rozbalit Rozbalit vše Re: Identity manager - jak funguje propojení konektor / cache / vyhledávání
    Jak funguje ta vlastní databáze účtů? Je tam všechno nebo jen některé informace? Máte zkušenosti jakým způsobem to ukládá tu vlastní databázi třeba do mysql (ty vícenásobné atributy by vedly na složitou db časově náročnou na přístup v případě mysql). A jsou tam nějakým způsobem řešena práva jednotlivých administrátorů (admin1 má právo přidávat uživatele odpovídající masce, spravovat to a to ...).
    Max avatar 5.4.2011 09:12 Max | skóre: 72 | blog: Max_Devaine
    Rozbalit Rozbalit vše Re: Identity manager - jak funguje propojení konektor / cache / vyhledávání
    To nevím. My jsme to řešili hlavně pro sync "uživatel:heslo", další atributy nás nezajímají.
    Zdar Max
    Měl jsem sen ... :(
    5.4.2011 11:52 firemADmin
    Rozbalit Rozbalit vše Re: Identity manager - jak funguje propojení konektor / cache / vyhledávání
    Mohl byste mi alespoň prosím napsat jakou strukturu má ta vytvořená IdM db (tedy jestli nepoužíváte ldap). I ze samotné struktury db mohu leccos vyčíst.
    Max avatar 5.4.2011 14:28 Max | skóre: 72 | blog: Max_Devaine
    Rozbalit Rozbalit vše Re: Identity manager - jak funguje propojení konektor / cache / vyhledávání
    Příloha:
    Dump struktury db "waveset" viz příloha.
    Zdar Max
    Měl jsem sen ... :(
    5.4.2011 18:09 firemADmin
    Rozbalit Rozbalit vše Re: Identity manager - jak funguje propojení konektor / cache / vyhledávání
    Díky moc. Ze struktury mi připadá že musí docela špatně fungovat vyhledávání a řazení záznamů. Lze záznamy v tomto IdM řadit např. podle vícenásobných sloupců a provádět filtrování výpisu uživatelů?
    6.4.2011 17:46 firemADmin
    Rozbalit Rozbalit vše Re: Identity manager - jak funguje propojení konektor / cache / vyhledávání
    Po přečtení dokumentace a shlédnutí několika obrázků mi není jisté, zdali tento IdM umí vyhledávat podle "atributů synchronizovaných systémů". Dejme tomu že bych chtěl zobrazit uživatele, jejichž home adresář (uložený v nějakém ze spravovaných systémů) začíná na /home a seřadit je podle kvóty definované v jiném spravovaném systému. Tyto požadavky jsou pro mě docela důležité. Umí to?
    5.4.2011 12:36 kub
    Rozbalit Rozbalit vše Re: Identity manager - jak funguje propojení konektor / cache / vyhledávání
    Novell IDM, se kterým jsem se zběžně setkal, funguje tak, že nad eDirectory (fungující jako centrální úložiště identit) vytvoří ještě jakýsi metaadresář obsahující všechny potřebné údaje k synchronizaci (celé se to nazývá Identity Vault). Po připojení systémů prochází data během synchronizaci různými filtry, převodníky, maskami apod. (přes XSLT transformace) aby se synchronizovaly a správně mapovaly(což je asi ta vaše "keš") všechny atributy. A to buď jenom do eDirectory, jen do připojeného systému nebo oboustranně. Hledat nad eDir můžete potom klasicky přes LDAP a bude obsahovat i atributy, které jste nechal synchronizovat z databáze. IDM JDBC konektor by měl být rozšiřitelný podle vašich potřeb, ale zatím jsem s tím nedělal, tak konkrétněji neporadím.
    5.4.2011 14:41 kub
    Rozbalit Rozbalit vše Re: Identity manager - jak funguje propojení konektor / cache / vyhledávání
    Příloha:
    Že jste to vy tak i s obrázkem :)
    22.6.2011 10:31 honzag
    Rozbalit Rozbalit vše Re: Identity manager - jak funguje propojení konektor / cache / vyhledávání
    Ahoj, popíšu způsob, jak tuto problematiku řeší naše CzechIdM a také Sun IdM (Oracle Waveset).

    Při konfiguraci každého systému se definuje mapování skutečných názvů atributů účtu na "abstraktní" názvy, se kterými pracuje IdM. Pokud k IdM připojíme například LDAP, který bude mít účty s atributem "group" a také nějakou relační databázi, kde se bude odpovídající atribut jmenovat "skupina", můžeme každý z nich namapovat na stejný název "userGroup".

    Identity manager se pak bude snažit tyto atributy synchronizovat tak, aby měli stejnou hodnotu. Samozřejmě záleží na tom, který z obou systému je pro tento atribut autoritativním zdrojem a tedy svojí hodnotou přepíše ten druhý.

    Pokud tyto atributy nemají mít stejnou hodnotu, tak musí být každý z nich namapován na rozdílný název. Napříkalad "group" -> "ldap_userGroup" a "skupina" na "db_userGroup". Pak lze tyto atributy nastavovat nezávisle na sobě.

    Pokud jde o keš, tak CzechIdM ani Sun IdM nestahují atributy do svého úložiště. Všechny data nechávají na systémech a pouze propagují změny z jednoho systému na jiný (tomu se říká provisioning). Jediné, co si tyhle Identity Managery uchovávají je informace o tom, které identitě (uživateli) patří který účet a dále pak jméno a email. Tyto informace je ale možné rozšířit o tzv. extended atributes. Pokud tedy víte, že budete často vyhledávat podle atributy "homeDirectory" v systému AD, tak nastavíte IdM tak, aby si tento atribut ukládal ve své repository. Pak je možné pomocí něho snadno vyhledávat.

    Vyhledávat je možné i podle atributů, které nejsou kešované v IdM. Ale tam hodně záleží na tom, zda to konkrétní konektor nebo adaptér použitý pro připojení k systému umožňuje.

    Například v Sun IdM lze za tímto účelem použí metodu ze třídy com.waveset.ui.FormUtils
    public static java.util.List getResourceObjects(
             com.waveset.object.LighthouseContext session,
             java.lang.String objectType,
             java.lang.String resourceId,
             java.util.Map options)
    
    Do parametru "options" se pak nadefinuje patřičný "searchFilter".

    O tom jak si napsat vlastní konektor, který používá jak CzechIdM tak Sun IdM, se lze dočíst v tomto článku, který napsal kolega: Vývoj identity konektoru pro systém CzechIdM. Pro rychlou informaci jen napíšu, že binární data nejsou nejmenší problém.

    V případě zájmu se na mne neváhej obrátit. Rád zodpovím dotazy.

    Kontakt na mě nebo mé kolegy naleznete na stránce věnované CzechIdM

    První Identity Management, který umí česky: CzechIdM

    Založit nové vláknoNahoru

    Tiskni Sdílej: Linkuj Jaggni to Vybrali.sme.sk Google Del.icio.us Facebook

    ISSN 1214-1267   www.czech-server.cz
    © 1999-2015 Nitemedia s. r. o. Všechna práva vyhrazena.