Virtuální adresář - Virtual directory - Wikipedia

v výpočetní, termín virtuální adresář má několik významů. Může jednoduše určit (například v IIS ) a složku který se objeví v a cesta ale který ve skutečnosti není podsložkou předchozí složky v cestě. Tento článek však pojednává o tomto pojmu v kontextu adresářové služby a správa identit.

Virtuální adresář nebo virtuální adresářový server (VDS) je v této souvislosti softwarová vrstva, která poskytuje jediný přístupový bod pro správa identit aplikace a servisní platformy. Virtuální adresář funguje jako vysoce výkonná a lehká abstrakční vrstva, která se nachází mezi klientskými aplikacemi a různorodými typy úložišť údajů o totožnosti, jako jsou proprietární a standardní adresáře, databáze, webové služby a aplikace.

Virtuální adresář přijímá dotazy a směruje je do příslušných zdrojů dat abstrahováním a virtualizací dat. Virtuální adresář integruje data identity z více heterogenních úložišť dat a prezentuje je, jako by pocházeli z jednoho zdroje. Díky této schopnosti oslovit různá úložiště je technologie virtuálních adresářů ideální pro konsolidaci dat uložených v distribuovaném prostředí.

Od roku 2011^{[Aktualizace]}, servery virtuálních adresářů nejčastěji používají LDAP protokol, ale mohou také podporovat propracovanější virtuální adresáře SQL stejně jako DSML a SPML.

Odborníci v oboru předznamenali význam virtuálního adresáře při modernizaci infrastruktury identit. Podle Dave Kearns ze společnosti Network World „Virtualization is hot and a virtual directory is the building block, or foundation, you should be looking at for your next identity management project.“^[1] Kromě toho analytik společnosti Gartner, Bob Blakley^[2] uvedl, že virtuální adresáře hrají stále důležitější roli. Ve své zprávě „The Emerging Architecture of Identity Management“ Blakley napsal: „V první fázi bude výroba identit oddělena od spotřeby identit zavedením rozhraní virtuálních adresářů.“

Schopnosti

Virtuální adresáře mohou mít některé nebo všechny z následujících funkcí:^[3]

Agregujte data identity mezi zdroji a vytvořte jediný přístupový bod.
Vytvořte vysokou dostupnost pro autoritativní úložiště dat.
Chraňte se jako brána identity pomocí prevence útoky odmítnutí služby na primárních úložištích dat prostřednictvím další virtuální vrstvy.
Podporujte společný prohledávatelný jmenný prostor pro centralizované ověřování.
Představte jednotný virtuální pohled na informace o uživateli uložené ve více systémech.
Delegujte ověřování na zdroje back-endu pomocí prostředků zabezpečení specifických pro zdroj.
Virtualizujte zdroje dat, abyste podpořili migraci ze starších úložišť dat, aniž byste museli upravovat aplikace, které se na ně spoléhají.
Obohaťte identity o atributy vytažené z více úložišť dat na základě odkazu mezi položkami uživatelů.

Některé pokročilé virtualizační platformy pro identitu mohou také:

Povolte přizpůsobená zobrazení údajů o totožnosti pro konkrétní aplikaci, aniž byste porušili interní nebo externí předpisy upravující údaje o totožnosti. Odhalte kontextové vztahy mezi objekty prostřednictvím hierarchických struktur adresářů.
Vyvíjejte pokročilou korelaci napříč různými zdroji pomocí pravidel korelace.
Vytvořte globální identitu uživatele pomocí korelace jedinečných uživatelských účtů napříč různými datovými úložišti a obohacte identity o atributy vytažené z více datových úložišť na základě propojení mezi položkami uživatelů.
Povolte neustálé obnovování dat pro aktualizace v reálném čase prostřednictvím trvalé mezipaměti.

Výhody

Virtuální adresáře:

Povolte rychlejší nasazení, protože uživatelé nemusí přidávat a synchronizovat další zdroje dat specifické pro aplikaci
Využijte stávající infrastrukturu identity a investice do zabezpečení k nasazení nových služeb
Poskytují vysokou dostupnost zdrojů dat
Poskytněte pohledy na data identity specifické pro aplikaci, které vám pomohou vyhnout se potřebě vyvinout hlavní podnikové schéma
Povolte jediný pohled na údaje o totožnosti, aniž byste porušili interní nebo externí předpisy upravující údaje o totožnosti
Působte jako brány firewall identity tím, že zabráníte útokům odmítnutí služby na primární úložiště dat a poskytnete další zabezpečení přístupu k citlivým datům
Dokáže odrážet změny provedené v autoritativních zdrojích v reálném čase
Prezentujte jednotný virtuální pohled na informace o uživateli z více systémů, takže se zdá, že jsou umístěny v jednom systému
Může zabezpečit všechna umístění back-endových úložišť pomocí jediné zásady zabezpečení

Nevýhody

Původní nevýhodou je veřejné vnímání „push & pull technologií“, což je obecná klasifikace „virtuálních adresářů“ v závislosti na povaze jejich nasazení. Virtuální adresáře byly původně navrženy a později nasazeny s ohledem na „push technologie“, což také bylo v rozporu zákony USA na ochranu soukromí. To již neplatí. Současné technologie však mají i další nevýhody.

Klasický virtuální adresář založený na serveru proxy nemůže upravovat podkladové datové struktury ani vytvářet nová zobrazení na základě vztahů dat z více systémů. Takže pokud aplikace vyžaduje jinou strukturu, například zploštělý seznam identit nebo hlubší hierarchii pro delegovanou správu, virtuální adresář je omezený.
Mnoho virtuálních adresářů nemůže v případě duplicitních uživatelů korelovat stejné uživatele napříč různými zdroji
Virtuální adresáře bez pokročilých technologií ukládání do mezipaměti nelze škálovat na heterogenní velkoobjemová prostředí.

Ukázková terminologie

Unify metadata: Extract schemas from the local data source, map them to a common format, and link the same identities from different data silos based on a unique identifier.
Spojení jmenného prostoru: Vytvořte jeden velký adresář spojením více adresářů na úrovni jmenného prostoru. Pokud má například jeden adresář jmenný prostor „ou = internal, dc = doména, dc = com“ a druhý adresář má jmenný prostor „ou = external, dc = doména, dc = com“, vytvoří se virtuální adresář s oběma namespaces je příkladem spojení jmenného prostoru.
Spojování identit: Obohaťte identity o atributy vytažené z více úložišť dat na základě propojení mezi položkami uživatelů. Například pokud uživatel joeuser existuje v adresáři jako "cn = joeuser, ou = users" a v databázi s uživatelským jménem "joeuser", pak může být identita "joeuser" vytvořena jak z adresáře, tak z databáze.
Přemapování dat: Překlad dat uvnitř virtuálního adresáře. Například mapování „uid“ na „samaccountname“, takže klientská aplikace, která podporuje pouze standardní zdroj dat kompatibilní s LDAP, může také prohledávat obor názvů služby Active Directory.
Směrování dotazů: Směřujte požadavky na základě určitých kritérií, například „operace zápisu směřující na hlavní server, zatímco operace čtení jsou předávány replikám.“
Směrování identity: Virtuální adresáře mohou podporovat směrování požadavků na základě určitých kritérií (například operace zápisu vedoucí k hlavnímu serveru, zatímco operace čtení jsou předávány replikám).
Autoritativní zdroj: „Virtualizované“ úložiště dat, například adresář nebo databáze, kterému virtuální adresář může pro uživatelská data důvěřovat.
Skupiny serverů: Seskupte jeden nebo více serverů obsahujících stejná data a funkce. Typickou implementací je prostředí s více hlavami a více replikami, ve kterém repliky zpracovávají požadavky na „čtení“ a jsou v jedné skupině serverů, zatímco mistři zpracovávají požadavky na „zápis“ a jsou v jiné, takže servery jsou seskupeny podle jejich odpovědi na podněty, i když všichni sdílejí stejná data.

Případy užití

Následuje ukázka příkladů použití virtuálních adresářů:

Integrace více jmenných prostorů adresářů k vytvoření centrálního podnikového adresáře.
Podpora integrace infrastruktury po fúzích a akvizicích.
Centralizace ukládání identit napříč infrastrukturou a zpřístupňování informací o identitě aplikacím prostřednictvím různých protokolů (včetně LDAP, JDBC a webových služeb).
Vytvoření jediného přístupového bodu pro správa přístupu na web (WAM) nástroje.
Aktivace webu jednotné přihlášení (SSO) napříč různými zdroji nebo doménami.
Podpora jemně zrnitých zásad autorizace na základě rolí
Povolení ověřování napříč různými doménami zabezpečení pomocí konkrétní metody kontroly pověření každé domény.
Zlepšení zabezpečeného přístupu k informacím uvnitř i vně brány firewall.

Reference

^ Kearns, Dave (7. srpna 2006). „Virtuální adresář konečně získává uznání“. NetworkWorld. Citováno 14. července 2014.
^ Rozvíjející se architektura správy identit, Bob Blakley, 16. dubna 2010.
^ „Úvod do virtuálních adresářů“. Optimální Idm. Citováno 15. července 2014.

[1] Kearns, Dave (7. srpna 2006). „Virtuální adresář konečně získává uznání“. NetworkWorld. Citováno 14. července 2014.

[2] Rozvíjející se architektura správy identit, Bob Blakley, 16. dubna 2010.

[3] „Úvod do virtuálních adresářů“. Optimální Idm. Citováno 15. července 2014.

[1]

[2]

[3]