Виртуальный каталог
В вычислительной технике термин виртуальный каталог имеет несколько значений. Он может просто обозначать (например, в IIS ) папку , которая появляется в пути , но на самом деле не является подпапкой предыдущей папки в пути. Однако в этой статье этот термин будет обсуждаться в контексте служб каталогов и управления идентификацией .
Виртуальный каталог или сервер виртуальных каталогов (VDS) в этом контексте представляет собой программный уровень, который предоставляет единую точку доступа для приложений управления идентификацией и сервисных платформ. Виртуальный каталог работает как высокопроизводительный и легкий уровень абстракции, который находится между клиентскими приложениями и различными типами хранилищ идентификационных данных, такими как собственные и стандартные каталоги, базы данных, веб-службы и приложения.
Виртуальный каталог получает запросы и направляет их в соответствующие источники данных путем абстрагирования и виртуализации данных. Виртуальный каталог объединяет идентификационные данные из нескольких разнородных хранилищ данных и представляет их так, как будто они поступают из одного источника. Эта возможность доступа к разрозненным репозиториям делает технологию виртуальных каталогов идеальной для консолидации данных, хранящихся в распределенной среде.
По состоянию на 2011 год [update]Серверы виртуальных каталогов чаще всего используют протокол LDAP , но более сложные виртуальные каталоги также могут поддерживать SQL , а также DSML и SPML .
Эксперты отрасли заявили о важности виртуального каталога для модернизации инфраструктуры идентификации. По словам Дэйва Кернса из Network World, «Виртуализация пользуется популярностью, а виртуальный каталог — это строительный блок или фундамент, на который вам следует обратить внимание в своем следующем проекте управления идентификацией». [1] Кроме того, аналитик Gartner Боб Блейкли [2] сказал, что виртуальные каталоги играют все более важную роль. В своем докладе «Новая архитектура управления идентификацией» Блейкли написал: «На первом этапе производство удостоверений будет отделено от потребления удостоверений посредством внедрения интерфейса виртуального каталога».
Возможности
[ редактировать ]Виртуальные каталоги могут иметь некоторые или все из следующих возможностей: [3]
- Объедините идентификационные данные из разных источников, чтобы создать единую точку доступа.
- Обеспечьте высокую доступность авторитетных хранилищ данных.
- Действуйте как брандмауэр идентификации, предотвращая атаки типа «отказ в обслуживании» на основные хранилища данных через дополнительный виртуальный уровень.
- Поддержка общего пространства имен с возможностью поиска для централизованной аутентификации.
- Предоставьте единое виртуальное представление пользовательской информации, хранящейся в нескольких системах.
- Делегируйте аутентификацию внутренним источникам с помощью средств безопасности, специфичных для источника.
- Виртуализируйте источники данных для поддержки миграции из устаревших хранилищ данных без изменения приложений, которые от них зависят.
- Обогащайте удостоверения атрибутами, полученными из нескольких хранилищ данных, на основе связи между записями пользователей.
Некоторые продвинутые платформы виртуализации удостоверений также могут:
- Обеспечьте возможность индивидуального просмотра идентификационных данных для конкретного приложения, не нарушая внутренних или внешних правил, регулирующих идентификационные данные. Выявите контекстуальные связи между объектами через иерархические структуры каталогов.
- Разработайте расширенную корреляцию между различными источниками, используя правила корреляции.
- Создавайте глобальную идентификацию пользователя, сопоставляя уникальные учетные записи пользователей в различных хранилищах данных, и обогащайте удостоверения атрибутами, полученными из нескольких хранилищ данных, на основе связи между записями пользователей.
- Включите постоянное обновление данных для обновлений в реальном времени через постоянный кеш.
Преимущества
[ редактировать ]Виртуальные каталоги:
- Обеспечьте более быстрое развертывание, поскольку пользователям не нужно добавлять и синхронизировать дополнительные источники данных для конкретных приложений.
- Используйте существующую инфраструктуру идентификации и инвестиции в безопасность для развертывания новых услуг.
- Обеспечьте высокую доступность источников данных
- Предоставьте представления идентификационных данных для конкретного приложения, что поможет избежать необходимости разработки основной схемы предприятия.
- Разрешить единое представление идентификационных данных без нарушения внутренних или внешних правил, регулирующих идентификационные данные.
- Действуйте как брандмауэры идентификации, предотвращая атаки типа «отказ в обслуживании» на основные хранилища данных и обеспечивая дополнительную безопасность при доступе к конфиденциальным данным.
- Может отражать изменения, внесенные в авторитетные источники, в режиме реального времени.
- Использует существующие процессы обновления авторитетных источников, поэтому не требуется отдельный (иногда ручной) процесс обновления центрального каталога.
- Предоставьте единое виртуальное представление пользовательской информации из нескольких систем, чтобы она выглядела как находящаяся в одной системе.
- Может защитить все внутренние хранилища с помощью единой политики безопасности.
Недостатки
[ редактировать ]Первоначальным недостатком является общественное восприятие «технологий push & pull», которые представляют собой общую классификацию «виртуальных каталогов» в зависимости от характера их применения. Виртуальные каталоги изначально были разработаны, а затем развернуты с учетом «технологий push», что также противоречило законам США о конфиденциальности . Это уже не так. Однако у нынешних технологий есть и другие недостатки.
- Классический виртуальный каталог, основанный на прокси-сервере, не может изменять базовые структуры данных или создавать новые представления на основе взаимосвязей данных из нескольких систем. Поэтому, если приложению требуется другая структура, например плоский список удостоверений или более глубокая иерархия для делегированного администрирования, виртуальный каталог ограничен.
- Многие виртуальные каталоги не могут сопоставлять одних и тех же пользователей из нескольких разных источников в случае дублирования пользователей.
- Виртуальные каталоги без передовых технологий кэширования не могут масштабироваться в гетерогенных средах большого объема.
Пример терминологии
[ редактировать ]Эта статья может содержать чрезмерное количество сложных деталей, которые могут заинтересовать только определенную аудиторию . ( Июль 2014 г. ) |
- Унифицируйте метаданные: извлекайте схемы из локального источника данных, сопоставляйте их с общим форматом и связывайте одни и те же идентификаторы из разных хранилищ данных на основе уникального идентификатора.
- Объединение пространств имен. Создайте один большой каталог, объединив несколько каталогов на уровне пространства имен. Например, если один каталог имеет пространство имен «ou=internal,dc=domain,dc=com», а второй каталог имеет пространство имен «ou=external,dc=domain,dc=com», то создается виртуальный каталог с обоими пространства имен — это пример объединения пространств имен.
- Объединение идентификаторов: обогащайте идентификаторы атрибутами, полученными из нескольких хранилищ данных, на основе связи между записями пользователей. Например, если пользователь joeuser существует в каталоге как «cn=joeuser,ou=users» и в базе данных с именем пользователя «joeuser», то идентификатор «joeuser» может быть создан как из каталога, так и из базы данных.
- Перераспределение данных: перевод данных внутри виртуального каталога. Например, сопоставление «uid» с «samaccountname», чтобы клиентское приложение, поддерживающее только стандартный источник данных, совместимый с LDAP, также могло выполнять поиск в пространстве имен Active Directory.
- Маршрутизация запросов: маршрутизация запросов на основе определенных критериев, таких как «операции записи отправляются на мастер, а операции чтения перенаправляются на реплики».
- Маршрутизация удостоверений. Виртуальные каталоги могут поддерживать маршрутизацию запросов на основе определенных критериев (например, операции записи, идущие к ведущему устройству, в то время как операции чтения пересылаются на реплики).
- Авторитетный источник: «виртуализированное» хранилище данных, например каталог или база данных, которому виртуальный каталог может доверять в отношении пользовательских данных.
- Группы серверов. Сгруппируйте один или несколько серверов, содержащих одинаковые данные и функциональные возможности. Типичной реализацией является среда с несколькими мастерами и множеством реплик, в которой реплики обрабатывают запросы «чтения» и находятся в одной группе серверов, тогда как мастера обрабатывают запросы «записи» и находятся в другой, так что серверы группируются по их реакции на внешние запросы. стимулы, хотя все они имеют одни и те же данные.
Варианты использования
[ редактировать ]Ниже приведены примеры использования виртуальных каталогов:
- Интеграция нескольких пространств имен каталогов для создания центрального каталога предприятия.
- Поддержка инфраструктурной интеграции после слияний и поглощений.
- Централизация хранения идентификационных данных во всей инфраструктуре, предоставление идентификационной информации приложениям через различные протоколы (включая LDAP, JDBC и веб-сервисы).
- Создание единой точки доступа для инструментов управления веб-доступом (WAM).
- Включение единого входа в Интернет (SSO) для различных источников или доменов.
- Поддержка детальных политик авторизации на основе ролей.
- Включение аутентификации в разных доменах безопасности с использованием конкретного метода проверки учетных данных каждого домена.
- Улучшение безопасного доступа к информации как внутри, так и за пределами межсетевого экрана.
Ссылки
[ редактировать ]- ^ Кернс, Дэйв (7 августа 2006 г.). «Виртуальный каталог наконец-то получил признание» . Сетевой Мир . Проверено 14 июля 2014 г.
- ^ Новая архитектура управления идентификацией, Боб Блейкли, 16 апреля 2010 г.
- ^ «Введение в виртуальные каталоги» . Оптимальный Идм . Проверено 15 июля 2014 г.