Виртуальный каталог - Virtual directory
В вычисление, период, термин виртуальный каталог имеет несколько значений. Он может просто обозначать (например, в IIS ) а папка который появляется в дорожка но который на самом деле не является подпапкой предыдущей папки в пути. Однако в этой статье этот термин будет обсуждаться в контексте справочные службы и управление идентификацией.
Виртуальный каталог или сервер виртуальных каталогов (VDS) в данном контексте - это программный уровень, который обеспечивает единую точку доступа для управление идентификацией приложения и сервисные платформы. Виртуальный каталог работает как высокопроизводительный и легкий уровень абстракции, который находится между клиентскими приложениями и различными типами репозиториев идентификационных данных, такими как проприетарные и стандартные каталоги, базы данных, веб-службы и приложения.
Виртуальный каталог получает запросы и направляет их к соответствующим источникам данных путем абстрагирования и виртуализации данных. Виртуальный каталог объединяет идентификационные данные из нескольких разнородных хранилищ данных и представляет их так, как будто они поступают из одного источника. Возможность доступа к разрозненным репозиториям делает технологию виртуальных каталогов идеальной для консолидации данных, хранящихся в распределенной среде.
По состоянию на 2011 г.[Обновить], серверы виртуальных каталогов чаще всего используют LDAP протокол, но более сложные виртуальные каталоги также могут поддерживать SQL а также DSML и SPML.
Эксперты отрасли заявили о важности виртуального каталога для модернизации инфраструктуры идентификации. По словам Дэйва Кернса из Network World, «виртуализация - популярный продукт, и виртуальный каталог является строительным блоком или фундаментом, на который вы должны обратить внимание в своем следующем проекте по управлению идентификацией».[1] Кроме того, аналитик Gartner Боб Блейкли[2] сказал, что виртуальные каталоги играют все более важную роль. В своем отчете «Новая архитектура управления идентификацией» Блейкли написал: «На первом этапе производство идентификационных данных будет отделено от потребления идентификационных данных посредством введения интерфейса виртуального каталога».
Возможности
Виртуальные каталоги могут иметь некоторые или все следующие возможности:[3]
- Объедините идентификационные данные из разных источников для создания единой точки доступа.
- Обеспечьте высокую доступность авторитетных хранилищ данных.
- Действовать как брандмауэр идентификации, предотвращая атаки отказа в обслуживании на первичных хранилищах данных через дополнительный виртуальный слой.
- Поддержка общего пространства имен с возможностью поиска для централизованной аутентификации.
- Представьте единое виртуальное представление информации о пользователях, хранящейся в нескольких системах.
- Делегируйте аутентификацию внутренним источникам с помощью специальных средств безопасности.
- Виртуализируйте источники данных для поддержки миграции из устаревших хранилищ данных без изменения приложений, которые на них полагаются.
- Расширяйте идентификаторы с помощью атрибутов, извлеченных из нескольких хранилищ данных, на основе связи между записями пользователей.
Некоторые расширенные платформы виртуализации удостоверений также могут:
- Обеспечение настраиваемых представлений идентификационных данных для конкретных приложений без нарушения внутренних или внешних правил, регулирующих идентификационные данные. Выявите контекстные отношения между объектами через иерархические структуры каталогов.
- Разработайте расширенную корреляцию между различными источниками, используя правила корреляции.
- Создайте глобальную идентификацию пользователя, сопоставив уникальные учетные записи пользователей в различных хранилищах данных, и дополните идентификаторы атрибутами, извлеченными из нескольких хранилищ данных, на основе связи между записями пользователей.
- Включите постоянное обновление данных для обновлений в реальном времени через постоянный кеш.
Преимущества
Виртуальные каталоги:
- Обеспечьте более быстрое развертывание, поскольку пользователям не нужно добавлять и синхронизировать дополнительные источники данных для конкретных приложений.
- Используйте существующую инфраструктуру идентификации и инвестиции в безопасность для развертывания новых услуг
- Обеспечьте высокую доступность источников данных
- Предоставление специфических представлений идентификационных данных для конкретного приложения, которые могут помочь избежать необходимости разрабатывать основную схему предприятия.
- Обеспечение единого представления идентификационных данных без нарушения внутренних или внешних правил, регулирующих идентификационные данные
- Действовать как брандмауэры идентификации, предотвращая атаки типа "отказ в обслуживании" на основные хранилища данных и обеспечивая дополнительную безопасность при доступе к конфиденциальным данным.
- Может отражать изменения, внесенные в авторитетные источники, в режиме реального времени
- Представьте единое виртуальное представление информации о пользователях из нескольких систем, чтобы она казалась находящейся в одной системе.
- Может защитить все внутренние хранилища с помощью единой политики безопасности
Недостатки
Первоначальным недостатком является общественное восприятие «технологий push & pull», которое является общей классификацией «виртуальных каталогов» в зависимости от характера их развертывания. Виртуальные каталоги изначально разрабатывались, а затем развертывались с учетом «push-технологий», что также противоречило законы о конфиденциальности США. Это уже не так. Однако у существующих технологий есть и другие недостатки.
- Классический виртуальный каталог, основанный на прокси, не может изменять базовые структуры данных или создавать новые представления на основе отношений данных из нескольких систем. Поэтому, если приложению требуется другая структура, такая как упорядоченный список идентификаторов или более глубокая иерархия для делегированного администрирования, виртуальный каталог ограничен.
- Многие виртуальные каталоги не могут сопоставлять одних и тех же пользователей из нескольких разных источников в случае дублирования пользователей.
- Виртуальные каталоги без передовых технологий кэширования не могут масштабироваться до гетерогенных сред большого объема.
Образец терминологии
Эта статья может содержать чрезмерное количество сложных деталей, которые могут заинтересовать только определенную аудиторию.Июль 2014 г.) (Узнайте, как и когда удалить этот шаблон сообщения) ( |
- Унифицировать метаданные: извлекать схемы из локального источника данных, отображать их в общий формат и связывать одни и те же идентификаторы из разных хранилищ данных на основе уникального идентификатора.
- Объединение пространств имен: создайте один большой каталог, объединив несколько каталогов на уровне пространства имен. Например, если один каталог имеет пространство имен «ou = internal, dc = domain, dc = com», а второй каталог имеет пространство имен «ou = external, dc = domain, dc = com», то создание виртуального каталога с обоими namespaces - это пример объединения пространств имен.
- Объединение идентификаторов: обогащение идентификаторов атрибутами, извлеченными из нескольких хранилищ данных на основе связи между записями пользователей. Например, если пользователь joeuser существует в каталоге как «cn = joeuser, ou = users» и в базе данных с именем пользователя «joeuser», то идентификатор «joeuser» может быть создан как из каталога, так и из базы данных.
- Переназначение данных: перевод данных внутри виртуального каталога. Например, сопоставление «uid» с «samaccountname», чтобы клиентское приложение, которое поддерживает только стандартный источник данных, совместимый с LDAP, могло также выполнять поиск в пространстве имен Active Directory.
- Маршрутизация запросов: маршрутизируйте запросы на основе определенных критериев, таких как «операции записи отправляются на главный сервер, а операции чтения - на реплики».
- Маршрутизация удостоверений: виртуальные каталоги могут поддерживать маршрутизацию запросов на основе определенных критериев (например, операции записи, идущие к мастеру, в то время как операции чтения перенаправляются на реплики).
- Авторитетный источник: «виртуализированный» репозиторий данных, например каталог или база данных, которому виртуальный каталог может доверять в отношении пользовательских данных.
- Группы серверов: группируйте один или несколько серверов, содержащих одинаковые данные и функции. Типичной реализацией является среда с несколькими главными и множественными репликами, в которой реплики обрабатывают запросы «чтения» и находятся в одной группе серверов, в то время как мастера обрабатывают запросы «записи» и находятся в другой, так что серверы группируются по их ответам на внешние стимулы, хотя все они имеют одни и те же данные.
Сценарии использования
Ниже приведены примеры использования виртуальных каталогов:
- Интеграция нескольких пространств имен каталогов для создания центрального каталога предприятия.
- Сопровождение интеграции инфраструктуры после слияний и поглощений.
- Централизация хранилища удостоверений в инфраструктуре, делая информацию об удостоверениях доступной для приложений через различные протоколы (включая LDAP, JDBC и веб-службы).
- Создание единой точки доступа для управление доступом в Интернет (WAM) инструменты.
- Включение Интернета Единая точка входа (SSO) из разных источников или доменов.
- Поддержка детализированных политик авторизации на основе ролей
- Включение аутентификации в разных доменах безопасности с использованием специального метода проверки учетных данных для каждого домена.
- Улучшение безопасного доступа к информации как внутри, так и за пределами межсетевого экрана.
Рекомендации
- ^ Кернс, Дэйв (7 августа 2006 г.). «Виртуальный каталог наконец-то получил признание». NetworkWorld. Получено 14 июля 2014.
- ^ Новая архитектура управления идентификацией, Боб Блейкли, 16 апреля 2010 г.
- ^ «Введение в виртуальные каталоги». Оптимальный Idm. Получено 15 июля 2014.