Die Präsentation wird geladen. Bitte warten

Die Präsentation wird geladen. Bitte warten

Benutzermanagement in heterogenen Umgebungen Jörg Schanko Technologieberater Forschung & Lehre Microsoft Deutschland GmbH.

Ähnliche Präsentationen


Präsentation zum Thema: "Benutzermanagement in heterogenen Umgebungen Jörg Schanko Technologieberater Forschung & Lehre Microsoft Deutschland GmbH."—  Präsentation transkript:

1 Benutzermanagement in heterogenen Umgebungen Jörg Schanko Technologieberater Forschung & Lehre Microsoft Deutschland GmbH

2 Agenda Ziele der Microsoft Metadirectory Services Die Architektur Beispielszenarien Weitere Entwicklung

3 Warum Metadirectory? Jedes Unternehmen pflegt in der Regel mehrere Verzeichnisse mit gleichen oder ähnlichen Informationen Personalverzeichnis -VerzeichnisTelefonverzeichnis Benutzerverzeichnisse für unterschiedliche Betriebssysteme …

4 Probleme Daten müssen mehrfach gepflegt werden Die Qualität der Daten ist nicht immer sichergestellt Doppelte Einträge Falsche oder unvollständige Informationen Keine einheitliche Sicht auf alle relevanten Informationen Hohe Administrationskosten

5 Ziele der Microsoft Metadirectory Services Erstellen und verwalten einer Identität für jeden Benutzer (Objekt) Wer ist wer in welchem Verzeichnis Daten zusammenführen Management von Veränderungen Management der Datenintegrität Abbildung automatisierter Prozesse Hire-Fire Szenarien Zentrales Passwort-Management

6 Ziele der Microsoft Metadirectory Services Verbessern der Datenqualität Vereinfachung des Zugriffs Senkung der Administrationskosten Kein Ziel der Metadirectory Services : Single-Sign-On

7 Metadirectory Konzepte Connected Directory Quelle und / oder Ziel der zu synchronisierend en Objekte und Attribute Connector Space (CS) Staging area für ein- und ausgehende Daten Metaverse (MV) Zentraler Speicher der Identitäts- informationen iPlanetiPlanet OracleOracle SQLSQL Exchange5.5Exchange5.5 ConnectedDirectories Metaverse User ConnectorSpace

8 Zusammenführen Synchronization Identity Management Davis SD Sam sdavis Davis SD Sam sdavis Davis SD Sam sdavis Sam Davis Join

9 1. Herstellen der Identität MMS erstellt eine Identität durch: Kombination von Informationen aus verschiedenen Verzeichnissen Präsentation einer Ansicht auf alle relevanten Objektdaten Zentrale Informations- und Administrations- schnittstelle DirectoryServiceDirectoryService Sfine Logon name Phone # Sfine Logon name Phone # Directory Directory Suzanf alias Mailbox Suzanf alias Mailbox HRDatabaseHRDatabase Suzan Fine Title Employee # Suzan Fine Title Employee # Metadirectory Suzan Fine alias Mailbox Logon name Phone # Title Employee # Suzan Fine alias Mailbox Logon name Phone # Title Employee #

10 2. Wahren der Identität MMS wahrt die Identität durch: Durchreichen von Identitätsinformationen zwischen Verzeichnissen Synchronisation dieser Daten zwischen Verzeichnissen Erstellen von Regeln und Authoritäten Directory Directory Susan Fine alias Susan Fine alias HRDatabaseHRDatabase Suzan Fine Title Suzan Fine Title DirectoryServiceDirectoryService Sue Fine Logon name Sue Fine Logon name Metadirectory Title alias Logon name Title alias Logon name Suzan Fine

11 3. Abbilden von Geschäftsregeln Zentrale Administration durch automatisierte Geschäftsregeln ApplicationsHR App SAP, Baan Database MMS Active Directory / Application Mode (AD/AM) Database Add User Event Directory Add User Provision Create Mailbox Add User Grant Rights Add User GeschäftsregelnGeschäftsregeln TransformationTransformation Daten IntegritätDaten Integrität Windows 2000 AD RASQoS

12 Die Architektur (how it works)

13 Architektur MMS läuft als NT service Management Agents (MA) verbinden die Systeme Metadirectory Daten werden im SQL Server gehalten Admin-Client verbindet sich via DCOM MA Controller iPlanetMAiPlanetMA ADMAADMA OracleMAOracleMA …MA…MA MMS Service AD/E2KAD/E2K iPlanetiPlanet OracleOracle MMS Admin Client DCOM MMSStoreMMSStore

14 Die Rolle der Management Agents Bewegen der Daten von und nach MMS Verbínden der Verzeichnisse mit MMS Synchronisieren der Daten zwischen Verzeichnissen Synchronisation der Verzeichnis-Objekte Synchronisation der Objekt-Attribute Steuerung der MAs über Konfigurationsdaten und Erweiterung durch beliebige.NET Programmier- sprache MMS stellt vordefinierte MAs für gängige Verzeichnisse zur Verfügung

15 Geplante Management Agents AD/Exchange 2000 ADAMiPlanetSQLOracle DSML 2.0 LDAP Directory Interchange Format (LDIF) Delimited Text Fixed-Width Text Attribute-Value Pair Text NT4 Exchange 5.5 Lotus Notes Novell eDirectory (RTM)

16 Geplante Management Agents Web-Release Simple XML Critical Path IBM DB/2 Windows PKI MMS 3.1 OpenLDAPDirXSecureWayAccessSybaseInformix GAL Sync V2.0 Management Agent SDK

17 Vorgehensweise Verbinden der Objekte Festlegen des Attribut-Flusses Erweiterung der Regeln / Automatisierung

18 Verbinden der Objekte (Join)

19 Der MMS Joiner

20 Attributfluß Joins verbinden die Objekte im Connected Directory mit der Metaverse Metaverse Namespace James Smith Title Employee # Address James Smith Title Employee # Address Connector Namespace Jamessmith Title Employee # Jamessmith Title Employee # Connector Namespace Jasmith Title Address Jasmith Title Address Join Flußregeln legen fest, wie sich Attributwerte bewegen James Smith Title Employee # Address James Smith Title Employee # Address Jamessmith Title Employee # Jamessmith Title Employee # Jasmith Title Address Jasmith Title Address Join

21 Attributfluß festlegen

22 Extension Model Erweiterungen (Extensions) ermöglichen es, die Arbeitsweise von MMS zu steuern MMS ruft die Erweiterungsfunktionen als Reaktion auf interne Ereignisse auf Das Modell definiert ein Managed Interface Konfigurationseinstellungen im UI legen fest, welche Funktionen aufgerufen werden Erweiterungen sind managed Code und können in einer beliebigen Programmier- sprache für die CLR erstellt werden MMS generiert automatisch Visual Studio Projekte in VB oder C#

23 Extension Model MVEntry Access attributes mventry[displayName].Value Get an MAmventry.ConnectedMAs[ADMA] Add a connector mventry.ConnectedMAs[ADMA]. Connectors.StartNewConnector()CSEntry Access attributescsentry[displayName].Value See how connectedcsentry.ConnectionRule Metaverse ConnectorSpace MVEntryCSEntry

24 Extension Model For management agents void MapAttributesForImport() void MapAttributesForExport () void MapAttributesForJoin () DeprovisionAction Deprovision () void IMASynchronization.MapAttributesForImport( string FlowRuleName, CSEntry csentry, MVEntry mventry) string FlowRuleName, CSEntry csentry, MVEntry mventry){ switch (FlowRuleName) { switch (FlowRuleName) { case "cd.person:GivenName,Surname->mv.person:displayName": case "cd.person:GivenName,Surname->mv.person:displayName": mventry[displayName].Value = csentry[GivenName].Value mventry[displayName].Value = csentry[GivenName].Value + + csentry[Surname].Value; + + csentry[Surname].Value; break; break; … }}

25 Extension Model void IMVSynchronization.Provision (MVEntry mventry) { ConnectedMA adamMa = mventry.ConnectedMAs[ADAM]; ConnectedMA adamMa = mventry.ConnectedMAs[ADAM]; if (adamMa.Connectors.Count == 0) { if (adamMa.Connectors.Count == 0) { string rdn = "CN=" + mventry["cn"].Value; string rdn = "CN=" + mventry["cn"].Value; try { try { ReferenceValue dn = ReferenceValue dn = adamMa.EscapeDNComponent(rdn).Concat("OU=users,O=mms"); adamMa.EscapeDNComponent(rdn).Concat("OU=users,O=mms"); CSEntry adamCsEntry = CSEntry adamCsEntry = adamMa.Connectors.StartNewConnector("user"); adamMa.Connectors.StartNewConnector("user"); adamCsEntry.DN = dn; adamCsEntry.DN = dn; adamCsEntry.CommitNewConnector(); adamCsEntry.CommitNewConnector(); } catch (ObjectAlreadyExistsException) { } catch (ObjectAlreadyExistsException) { } }} For provisioning void Provision () bool ShouldDeleteFromMV ()

26 Beispielszenarien

27 AD Interforest Synchronisation

28 MMSMMS AD/E2KAD/E2K iPlanetiPlanet SQLSQL OracleOracle Exchange5.5Exchange5.5 NotesNotes Identity Management Verbindung zu mehreren Datenquellen Sichern der Datenintegrität Attribute-level control Kostenreduktion GAL Management VL/Gruppen Management Helpdesk Password reset User self-service Klassisches Metadirectory

29 Provisioning Connector Namespace Metaverse Namespace Active Directory Resource Ereigniss Marketing Used Cars Claims Flore Sales Trent MoneyDept Account Profile neues Objekt Flore Trent Recipients HR-Datenbank Active Directory Claims Flore Sales Trent MoneyDept

30 Password Management 1. Initiales setzen von Passworten Kernfunktionalität Kernfunktionalität 2. Natives MMS Password Management Web-basierende Beispielanwendungen für HelpDesk und Self-Service Web-basierende Beispielanwendungen für HelpDesk und Self-Service WMIWMI MMSMMS iPlanetiPlanet ADAD HelpdeskAppHelpdeskApp Self-serveAppSelf-serveApp NTNT NotesNotes

31 Provisioning/Workflow 1. Einfaches Provisioning/Deprovisioning Erstellen von neuen Konten in angeschlossenen Verzeichnissen, ausgehend vom führenden Verzeichnis Erstellen von neuen Konten in angeschlossenen Verzeichnissen, ausgehend vom führenden Verzeichnis Setzen der initialen Werte aller Attribute (incl. Password) Setzen der initialen Werte aller Attribute (incl. Password) Löschen oder deaktivieren von Konten, ausgehend vom fühenden Verzeichnis Löschen oder deaktivieren von Konten, ausgehend vom fühenden Verzeichnis 2. Komplexer Workflow Anstossen externer Systeme (ex: BizTalk Orchestration) für asynchronen oder komplexen Workflow Anstossen externer Systeme (ex: BizTalk Orchestration) für asynchronen oder komplexen Workflow SPML Unterstützung geplant SPML Unterstützung geplant Integration mit Business Layers, WaveSet, Access360, etc. Integration mit Business Layers, WaveSet, Access360, etc.

32 Visualisierung Für unterschiedliche Anwendungsgebiete werden verschiedene Hierarchien benötigt Die Informationen über die Hierarchien sind in den Objektattributen enthalten Polyarchy eliminiert den Bedarf für eine fest vorgegebene Hierarchie Polyarchy stellt mehrfache hierarchische Ansichten zur Verfügung und bietet so beliebige Ansichten auf Infrastruktur-Informationen

33 Polyarchy

34 MA scalability testing ADMA 2 million objects (import/export). Tested 10K group members (import and export). iPlanet 2 iPlanet MAs X 4,250,000 objects/MA tests underway 2,000,000 objects project 250,000 object joins 2,000,000 objects provisioned out

35 MA scalability testing Exchange 5.5 1,500,000 objects imported 1,000,000 objects exported (provisioned out) ADAM (pre-release) 250,000 import (RTM goal: 1,000,000) 250,000 exports (RTM goal: 1,000,000)

36 MA scalability testing XML MA Imported 2,000,000 for FW Imported 1,000,000 for CSV (5,000,000 by RTM) Imported 1,000,000 for LDIF, AVP Exported 1,000,000 for FW, CSV, LDIF, AVP Will do 1,000,000 for DSML by RTM NT4 MA Import: 100,000 user, 60,000 groups (membership up to 1000) Export: 100,000 (by RTM)

37 MA scalability testing SQL MA 2,000,000 export/import for RTM Oracle MA 2,000,000 export/import for RTM

38 Rules testing – RTM goals Connector count for an MV object – 1000 Attribute precedence – 1000 Join candidates – 500 Join attribute mapping elements – 50 Projection, class mappings – 100 Provision from 1 MV object – 1000 Per object deltas during a run – (via flat files)

39 Other MAs count – 1000 GAL Sync MAs – 30 (dataset: 10,000 master objects/forest) Password Set/Change – 500,000 per MA type without restarting the server.

40 Zusammenfassung Microsoft Metadirectory Services (MMS) bietet… Eine Plattform für Identitäts-Management, incl. Implementation von Geschäftsregeln, Management von Globalen Adresslisten (GAL), Verteilerlisten (DL) und Kennworten, sowie Visualisierung von Infrastruktur-Informationen Eine flexible Synchronisations-Engine für Infrastrukturdaten zwischen mehreren, heterogenen Systemen

41 Zusammenfassung MMS 3.0 ist eine vollständige Lösung, die es Ihnen erlaubt: Einfach auf ein Verzeichnis zuzugreifen Eine Sicht auf mehrere Verzeichnisse zu haben Administrationskosten zu vermeiden, die durch doppelte, falsche oder unvollständige Verzeichnisdaten entstehen Die Qualität und Integrität von Verzeichnisdaten zu steigern, die Ihre Geschäftsprozesse definieren Geschäftsprozesse für die Benutzerverwaltung zu automatisieren

42 Zeitplan MMS 2003 (V 3.0) JDP Release8 May JDP Refresh28 June Beta Release25 September Release Candidate26 February Downloadable for MSDN Universal customers RTM.NET Server + 90 days MMS 3.1 Fairbanks RTMQ2/Q Polyarchy Technology Previewin MMS 2003 Final Releasein MMS Fairbanks We are here!

43 Pricing/Availability current plan - subject to change MMS Standard Kostenloser Download über Internet AD und AD/AM nur Management Agents, adressiert Multi-Forest Szenarien MMS Enterprise Volume channel: Open and Select Alle Management Agents + Polyarchy Listenpreis 25K per CPU (Academia 7k)

44 Resources With the product Whitepaper walk-throughs für die Szenarien: Classic Metadirectory, Simple Provisioning, Multi-forest AD, Group/DL Management und Password Set/Reset CD-basierter MMS Planning and Deployment Workshop Outside the product In 2003: Microsoft Official Curriculum (MOC) courseware Unterstützung bei Planung und Implementierung durch Microsoft Consulting Services (MCS) und 45 zertifizierte Partner Peer-to-peer User Group (MMSUG) Regelmässige Meetings (nächster Termin 5./6. Juni in Reading/UK) Kick-Off Workshop (nur Academia) 1-3 tägiger kostenloser Workshop zur Implentierung von MMS2003 Bei Interesse

45 © 2003 Microsoft Corporation. All rights reserved. This presentation is for informational purposes only. MICROSOFT MAKES NO WARRANTIES, EXPRESS OR IMPLIED, IN THIS SUMMARY.


Herunterladen ppt "Benutzermanagement in heterogenen Umgebungen Jörg Schanko Technologieberater Forschung & Lehre Microsoft Deutschland GmbH."

Ähnliche Präsentationen


Google-Anzeigen