13 VIEWS

Penrose inside

19.11.2006

Im Umfeld des Identity & Access Managements begegnet man immer mehr der Forderung nach Integration. So ist es wichtig, dass eine Vielzahl an verstreuten und existierenden Identitätsspeichern „unter einen Hut“ gebracht werden. Dies erlaubt den Aufbau einer zentralen und gemeinsamen Identitätsschicht in einem Unternehmen. Diese Forderung wird noch verstärkt, wenn der Austausch von Identitätsinformationen über Unternehmensgrenzen hinweg erfolgen soll. Hierfür hat sich auch der Begriff Federated Identity breit gemacht.

Penrose inside

Der Forderung nach Integration kann mittels unterschiedlichen Lösungen und Ansätzen begegnet werden. In der Vergangenheit sind hierfür aber vermehrt virtuelle Directories eingesetzt worden.
Sie erlauben eine Verknüpfung und Aggregation von Identitätsinformationen unterschiedlicher Herkunft. Darüberhinaus lässt sich die Datenstruktur der angebundenen Identitätsspeicher nahezu beliebig und flexibel organisieren.

Gerade aus diesen Gründen haben wir bei der Entwicklung eines zentralen Identity & Access Management Systems auf den Einsatz eines virtuellen Directory gesetzt: Konkret auf das Projekt Penrose.

Der Kern des Systems besteht bereits aus mehreren Services, welche die Verwaltung der Identitätsinformationen über CORBA ermöglichen. Um nun zusätzlich weitere akzeptierte und gängige Protokolle zu unterstützen, kommt die Anbindung des virtuellen Directory Penrose ins Spiel. Dieses ist als weiterer Service in das System integriert worden. Diese Tatsache erlaubt nun eine Kommunikation über das Lightweight Directory Access Protocol (LDAP) mit dem IAM System.

Aus technischer Sicht ist hierfür ein Adapter auf Basis der Penrose API entwickelt worden. Dieser Adapter ist somit die Schnittstelle zwischen dem virtuellen Directory Penrose sowie dem zentralen Identity & Access Management Systems. Jedoch stellt für Letzteres Penrose lediglich ein zusätzlicher „Service“ dar. Dieser kann individuell konfiguriert und betrieben werden.

Der daraus entstehende Vorteil liegt nun auf der Hand. Zum einen ist das IAM System mit dem „Penrose-Service“ in der Lage per LDAP zu kommunizieren. Andererseits kann dieser Dienst aber noch zusätzlich in seiner Eigenschaft als virtuelles Directory agieren: Also mehrere andere bestehende Identitätsspeicher zu aggregieren und integrieren. Gerade dies stellt erfahrungsgemäß ein wichtiges Merkmal dar.

Zurück zur Übersicht

Ein Kommentar zur “Penrose inside

  1. Zur Ergänzung noch folgende Hinweise.

    Homepage von Penrose: http://docs.safehaus.org/display/PENROSE/Home

    Aktuelle Versionen
    * Penrose Server 1.1.1
    * Penrose Studio 1.1.1
    * OpenLDAP Java Backend 2.3.19

    Aktuelle technische Features:
    * Open-source.
    * 100% Java.
    * Läuft stand-alone im Backend für ApacheDS oder OpenLDAP.
    * Läuft embedded in einer Anwendung
    * Flexible Access Control
    * Conversion und Manipulation der Attribute values
    * High performance Join und Cache Engine
    * Data encryption durch Bouncy Castle
    * Unterstützt Didirektionale Synchronisation (Polling Connector and LDAP Sync)
    * Beinhaltet Konnectoren für JDBC/SQL, JNDI/LDAP, Active Directory.
    * Remote management via JMX.
    * Extensible via plug-ins.

Kommentar verfassen

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

*Pflichtfelder

*