Benutzermanagement in heterogenen Umgebungen

Präsentation zum Thema: "Benutzermanagement in heterogenen Umgebungen"—  Präsentation transkript:

1 Benutzermanagement in heterogenen Umgebungen
Jörg Schanko Technologieberater Forschung & Lehre Microsoft Deutschland GmbH

2 Agenda Ziele der Microsoft Metadirectory Services Die Architektur
Beispielszenarien Weitere Entwicklung

3 Warum Metadirectory? Jedes Unternehmen pflegt in der Regel mehrere Verzeichnisse mit gleichen oder ähnlichen Informationen Personalverzeichnis -Verzeichnis Telefonverzeichnis Benutzerverzeichnisse für unterschiedliche Betriebssysteme …

4 Probleme Daten müssen mehrfach gepflegt werden
Die Qualität der Daten ist nicht immer sichergestellt Doppelte Einträge Falsche oder unvollständige Informationen Keine einheitliche Sicht auf alle relevanten Informationen Hohe Administrationskosten

5 Ziele der Microsoft Metadirectory Services
Erstellen und verwalten einer “Identität” für jeden Benutzer (Objekt) Wer ist wer in welchem Verzeichnis Daten zusammenführen Management von Veränderungen Management der Datenintegrität Abbildung automatisierter Prozesse Hire-Fire Szenarien Zentrales Passwort-Management

6 Ziele der Microsoft Metadirectory Services
Verbessern der Datenqualität Vereinfachung des Zugriffs Senkung der Administrationskosten Kein Ziel der Metadirectory Services : Single-Sign-On

7 Metadirectory Konzepte
iPlanet Oracle SQL Exchange 5.5 Connected Directories Metaverse User Connector Space Connected Directory Quelle und / oder Ziel der zu synchronisierenden Objekte und Attribute Connector Space (CS) “Staging area” für ein- und ausgehende Daten Metaverse (MV) Zentraler Speicher der Identitäts-informationen

8 Zusammenführen “Join” Sam Davis Synchronization Identity Management
SD Sam sdavis Davis SD Sam sdavis Sam Davis Davis SD Sam sdavis

9 1. Herstellen der Identität
Directory Service Sfine Logon name Phone # Suzanf alias Mailbox HR Database Suzan Fine Title Employee # Metadirectory MMS erstellt eine Identität durch: Kombination von Informationen aus verschiedenen Verzeichnissen Präsentation einer Ansicht auf alle relevanten Objektdaten Zentrale Informations- und Administrations- schnittstelle

10 2. Wahren der Identität MMS wahrt die Identität durch:
Directory Susan Fine alias HR Database Suzan Fine Title Service Sue Fine Logon name Metadirectory MMS wahrt die Identität durch: Durchreichen von Identitätsinformationen zwischen Verzeichnissen Synchronisation dieser Daten zwischen Verzeichnissen Erstellen von Regeln und Authoritäten Suzan Fine Suzan Fine

11 3. Abbilden von Geschäftsregeln
‘Add User’ Add User Provision Create Mailbox Add User Grant Rights Add User Event SAP, Baan Applications HR App Database Active Directory / Application Mode (AD/AM) Database RAS QoS MMS Windows 2000 Geschäftsregeln Transformation Daten Integrität Directory AD Zentrale Administration durch automatisierte Geschäftsregeln

12 Die Architektur (how it works)

13 Architektur MMS läuft als NT service
Management Agents (MA) verbinden die Systeme Metadirectory Daten werden im SQL Server gehalten Admin-Client verbindet sich via DCOM MMS Admin Client MMS Store MA Controller iPlanet MA AD Oracle … MMS Service DCOM iPlanet AD/E2K Oracle

14 Die Rolle der Management Agents
Bewegen der Daten von und nach MMS Verbínden der Verzeichnisse mit MMS Synchronisieren der Daten zwischen Verzeichnissen Synchronisation der Verzeichnis-Objekte Synchronisation der Objekt-Attribute Steuerung der MAs über Konfigurationsdaten und Erweiterung durch beliebige .NET Programmier-sprache MMS stellt vordefinierte MAs für gängige Verzeichnisse zur Verfügung

15 Geplante Management Agents
(RTM) AD/Exchange 2000 ADAM iPlanet SQL Oracle DSML 2.0 LDAP Directory Interchange Format (LDIF) Delimited Text Fixed-Width Text Attribute-Value Pair Text NT4 Exchange 5.5 Lotus Notes Novell eDirectory

16 Geplante Management Agents
Web-Release Simple XML Critical Path IBM DB/2 Windows PKI MMS 3.1 OpenLDAP DirX SecureWay Access Sybase Informix GAL Sync V2.0 Management Agent SDK

17 Vorgehensweise Verbinden der Objekte Festlegen des Attribut-Flusses
Erweiterung der Regeln / Automatisierung

18 Verbinden der Objekte (Join)

19 Der MMS „Joiner“

20 “Joins” verbinden die Objekte im Connected Directory mit der Metaverse
Attributfluß “Joins” verbinden die Objekte im Connected Directory mit der Metaverse Metaverse Namespace Connector Namespace Connector Namespace Join James Smith Title Employee # Address Join Jamessmith Title Employee # Jasmith Title Address Flußregeln legen fest, wie sich Attributwerte “bewegen” James Smith Title Employee # Address Jamessmith Jasmith

21 Attributfluß festlegen

22 Extension Model Erweiterungen (Extensions) ermöglichen es, die Arbeitsweise von MMS zu steuern MMS ruft die Erweiterungsfunktionen als Reaktion auf interne Ereignisse auf Das Modell definiert ein “Managed Interface” Konfigurationseinstellungen im UI legen fest, welche Funktionen aufgerufen werden Erweiterungen sind managed Code und können in einer beliebigen Programmier-sprache für die CLR erstellt werden MMS generiert automatisch Visual Studio Projekte in VB oder C#

23 Extension Model MVEntry CSEntry Connector Metaverse Space MVEntry
Access attributes mventry[“displayName”].Value Get an MA mventry.ConnectedMAs[“ADMA”] Add a connector mventry.ConnectedMAs[“ADMA”]. Connectors.StartNewConnector() CSEntry Access attributes csentry[“displayName”].Value See how connected csentry.ConnectionRule

24 Extension Model For management agents void MapAttributesForImport()
void MapAttributesForExport () void MapAttributesForJoin () DeprovisionAction Deprovision () void IMASynchronization.MapAttributesForImport( string FlowRuleName, CSEntry csentry, MVEntry mventry) { switch (FlowRuleName) { case "cd.person:GivenName,Surname->mv.person:displayName": mventry[“displayName”].Value = csentry[“GivenName”].Value + “ “ + csentry[“Surname”].Value; break; … }

25 Extension Model For provisioning void Provision ()
bool ShouldDeleteFromMV () void IMVSynchronization.Provision (MVEntry mventry) { ConnectedMA adamMa = mventry.ConnectedMAs[“ADAM”]; if (adamMa.Connectors.Count == 0) { string rdn = "CN=" + mventry["cn"].Value; try { ReferenceValue dn = adamMa.EscapeDNComponent(rdn).Concat("OU=users,O=mms"); CSEntry adamCsEntry = adamMa.Connectors.StartNewConnector("user"); adamCsEntry.DN = dn; adamCsEntry.CommitNewConnector(); } catch (ObjectAlreadyExistsException) { }

26 Beispielszenarien

27 AD Interforest Synchronisation

28 Klassisches Metadirectory
AD/E2K Identity Management Verbindung zu mehreren Datenquellen Sichern der Datenintegrität Attribute-level control Kostenreduktion GAL Management VL/Gruppen Management Helpdesk Password reset User self-service iPlanet Exchange 5.5 MMS Notes SQL Oracle

29 Provisioning HR-Datenbank Active Directory Active Ereigniss Directory
Resource Ereigniss Claims Flore Sales Trent MoneyDept HR-Datenbank Claims Flore Sales Trent MoneyDept Connector Namespace Marketing Flore Trent Recipients Used Cars Active Directory Account Profile neues Objekt Metaverse Namespace

30 Password Management Initiales setzen von Passworten
Kernfunktionalität Natives MMS Password Management Web-basierende Beispielanwendungen für HelpDesk und Self-Service NT Helpdesk App AD WMI MMS iPlanet Self-serve App Notes

31 Provisioning/Workflow
Einfaches Provisioning/Deprovisioning Erstellen von neuen Konten in angeschlossenen Verzeichnissen, ausgehend vom führenden Verzeichnis Setzen der initialen Werte aller Attribute (incl. Password) Löschen oder deaktivieren von Konten, ausgehend vom fühenden Verzeichnis Komplexer Workflow Anstossen externer Systeme (ex: BizTalk Orchestration) für asynchronen oder komplexen Workflow SPML Unterstützung geplant Integration mit Business Layers, WaveSet, Access360, etc.

32 Visualisierung Für unterschiedliche Anwendungsgebiete werden verschiedene Hierarchien benötigt Die Informationen über die Hierarchien sind in den Objektattributen enthalten Polyarchy eliminiert den Bedarf für eine fest vorgegebene Hierarchie Polyarchy stellt mehrfache hierarchische Ansichten zur Verfügung und bietet so beliebige Ansichten auf Infrastruktur-Informationen

33 Polyarchy

34 MA scalability testing
ADMA 2 million objects (import/export). Tested 10K group members (import and export). iPlanet 2 iPlanet MAs X 4,250,000 objects/MA tests underway 2,000,000 objects project 250,000 object joins 2,000,000 objects provisioned out

35 MA scalability testing
Exchange 5.5 1,500,000 objects imported 1,000,000 objects exported (provisioned out) ADAM (pre-release) 250,000 import (RTM goal: 1,000,000) 250,000 exports (RTM goal: 1,000,000)

36 MA scalability testing
XML MA Imported 2,000,000 for FW Imported 1,000,000 for CSV (5,000,000 by RTM) Imported 1,000,000 for LDIF, AVP Exported 1,000,000 for FW, CSV, LDIF, AVP Will do 1,000,000 for DSML by RTM NT4 MA Import: 100,000 user, 60,000 groups (membership up to 1000) Export: 100,000 (by RTM)

37 MA scalability testing
SQL MA 2,000,000 export/import for RTM Oracle MA

38 Rules testing – RTM goals
Connector count for an MV object – 1000 Attribute precedence – 1000 Join candidates – 500 Join attribute mapping elements – 50 Projection, class mappings – 100 Provision from 1 MV object – 1000 Per object deltas during a run – (via flat files)

39 Other MAs count – 1000 GAL Sync MAs – 30 (dataset: 10,000 master objects/forest) Password Set/Change – 500,000 per MA type without restarting the server.

40 Zusammenfassung Microsoft Metadirectory Services (MMS) bietet…
Eine Plattform für Identitäts-Management, incl. Implementation von Geschäftsregeln, Management von Globalen Adresslisten (GAL), Verteilerlisten (DL) und Kennworten, sowie Visualisierung von Infrastruktur-Informationen Eine flexible Synchronisations-Engine für Infrastrukturdaten zwischen mehreren, heterogenen Systemen

41 Zusammenfassung MMS 3.0 ist eine vollständige Lösung, die es Ihnen erlaubt: Einfach auf ein Verzeichnis zuzugreifen Eine Sicht auf mehrere Verzeichnisse zu haben Administrationskosten zu vermeiden, die durch doppelte, falsche oder unvollständige Verzeichnisdaten entstehen Die Qualität und Integrität von Verzeichnisdaten zu steigern, die Ihre Geschäftsprozesse definieren Geschäftsprozesse für die Benutzerverwaltung zu automatisieren

42 Zeitplan MMS 2003 (V 3.0) MMS 3.1 “Fairbanks” Polyarchy
JDP Release 8 May JDP Refresh 28 June Beta Release 25 September Release Candidate 26 February Downloadable for MSDN Universal customers RTM .NET Server + 90 days MMS 3.1 “Fairbanks” RTM Q2/Q3 2004 Polyarchy Technology Preview in MMS 2003 Final Release in MMS “Fairbanks” We are here!

43 Pricing/Availability current plan - subject to change
MMS “Standard” Kostenloser Download über Internet AD und AD/AM nur Management Agents, adressiert Multi-Forest Szenarien MMS “Enterprise” “Volume” channel: Open and Select Alle Management Agents + Polyarchy Listenpreis € 25K per CPU (Academia € 7k)

44 Resources With the product Outside the product
Whitepaper walk-throughs für die Szenarien: “Classic” Metadirectory, Simple Provisioning, Multi-forest AD, Group/DL Management und Password Set/Reset CD-basierter MMS Planning and Deployment Workshop Outside the product In 2003: Microsoft Official Curriculum (MOC) courseware Unterstützung bei Planung und Implementierung durch Microsoft Consulting Services (MCS) und 45 zertifizierte Partner Peer-to-peer User Group (MMSUG) Regelmässige Meetings (nächster Termin 5./6. Juni in Reading/UK) Kick-Off Workshop (nur Academia) 1-3 tägiger kostenloser Workshop zur Implentierung von MMS2003 Bei Interesse

45 © 2003 Microsoft Corporation. All rights reserved.
This presentation is for informational purposes only. MICROSOFT MAKES NO WARRANTIES, EXPRESS OR IMPLIED, IN THIS SUMMARY.