ActiveEntry

ActiveEntry 4 - Fortschrittliche Identity Management Architektur

Die Zukunft hat begonnen – mit der neuesten Version von ActiveEntry. Out of the box bietet es Funktionen, die andere auch morgen noch nicht anbieten werden. Verschlanken Sie endlich die Einführung von Identity Management-Systemen für die Verwaltung von Benutzern und deren IT-Berechtigungen! Vereinfachen Sie das Management von Sicherheitsrichtlinien. Und zwar an einer Stelle, über viele Anwendungen hinweg.

Raus aus dem Labyrinth: bauen Sie auf eine überlegene Architektur!

Unsere Vision: Möglichst viele Routineprozesse zu automatisieren. Der Schlüssel für die sichere und effiziente Verarbeitung aller relevanten Unternehmensdaten, Accounts, Berechtigungen und anderer IT Assets ist eine zentrale Datenbank, in der gleichzeitig alle Policies und Prozessdaten abgelegt sind. Der Zugriff auf diese Datenbank erfolgt über eine Objektschicht, die alle Geschäftsprozesse u.a. über Webservices zur Verfügung stellt und damit auch SOA-tauglich ist. Zusätzlich schafft diese Architektur ein durchgängiges Sicherheitskonzept: ActiveEntry managed nicht nur die Zugriffsberechtigungen der angeschlossenen Systeme, sondern auch die auf ActiveEntry selbst. So ist sicher gestellt, dass jeder Mitarbeiter nur die Rechte hat, die er braucht, egal ob es um Reporting-Berechtigungen geht oder administrative Zugänge: Jeder sieht nur die für ihn zugelassenen Daten und Systeme.

ActiveEntry Funktionsblöcke

ActiveEntry besteht intern aus zwei Hauptfunktionsblöcken: Die Geschäftsprozesse liegen im Business Process Layer und zielsystemspezifische Prozesse in der Prozessautomations- und Provisioningschicht.

ActiveEntry Business Process Layer

Das ActiveEntry Business Process Layer enthält alle Funktionen für die Pflege der Daten sowie für die Definition und Ausführung der Geschäftsprozesse, die umgesetzt werden müssen:

  • Das Enterprise Directory für alle Identitäten (Personen) im Unternehmen und die Organisationsstrukturen
  • Rollenmanagement mit integrierter RBAC Funktion (Role Based Access Control)
  • Der IT Shop, einschließlich der zugehörigen Antrags- und Genehmigungsworkflows (Employee Self Service)
  • IT Compliance Automatisierung für Segregation of Duties, einschließlich der zugehörigen verbeugenden und aufdeckenden Kontrollmechanismen (preventive und decective controls).
  • Audit Trail für die Aufzeichnung und das Reporting von Veränderungen
  • Rezertifizierung für die turnusmäßige Rückbestätigung von Zuweisungen und Mitgliedschaften.
  • „Time Trace“ als erweitertes Reporting, das Analysen zu beliebigen Stichtagen erlaubt.
  • Reporting: Definition, Generierung und Verteilung von Reports


ActiveEntry Prozessautomation & Provisioning

Die ActiveEntry Prozessautomationsschicht umfasst alle Funktionen, um Datenflüsse zwischen ActiveEntry und allen angeschlossenen Zielsystemen abzubilden:

  • Das Netzwerk Repository spiegelt alle Daten in den verbundenen Systemen über ausgefeilte Synchronisierungsmechanismen. Es enthält deren Strukturen, Accounts und Berechtigung und ermöglicht die Administration auf allen Ebenen.
  • Die Verarbeitungsketten und die Konnektoren zu den Zielsystemen ermöglichen das event- und zeitgesteuerte Auslösen von Provisionierungsereignissen – transaktionsgesichert
  • Die Datenfluss-Komponente setzt das Datenkorrelationsmodell um und kann damit beliebige Master-Slave und peer-to-peer Beziehungen der Systeme untereinander darstellen.


Ein Standard, der Standards setzt: ActiveEntry Unified Namespace

Die Standardisierung von Schnittstellen ist ein klarer Trend im Identity Management. Und ein klarer Vorteil von ActiveEntry.

Zum Beispiel die Service Provisioning Markup Language (SPML): Die meisten Experten befürworten die Nutzung von SPML, um den Datentransfer zwischen Provisionierungs- und Zielsystemen zu standardisieren. Und ActiveEntry war das erste Produkt, das den Funktionsumfang von SPML Version 2 vollständig unterstützt hat.

In diesem Zusammenhang bildet der ActiveEntry Unified Namespace eine zusätzliche Abstraktionsschicht als Verbindung zwischen dem Business Process Layer und der Provisionierungsschicht. Der Unified Namespace fungiert aus Sicht der Geschäftsprozesse im Enterprise Control Layer als eine Art virtuelles Verzeichnis. Alle Zielsysteme mit ihren Strukturen, Benutzerkonten, Berechtigungsgruppen und –mitgliedschaften werden im Unified Namespace abgebildet.

Der ActiveEntry Unified Namespace kann über beliebige Schnittstellen oder Provisioning Systeme befüllt werden. Im Standard sind die folgenden Schnittstellen enthalten:

  • SPML V2
  • ActiveEntry .NET Namespace
  • Direkter Datenbankzugriff
  • Microsoft ILM Konnektor (zukünftig Microsoft Forefront Identity Manager).


Der Unified Namespace stellt die Transportschicht für die Funktionen des Enterprise Control Layer in jedem Fall dar, auch dann, wenn die nativen ActiveEntry Konnektoren zu Zielsystemen zum Einsatz kommen.

Whitepaper ActiveEntry 4

Alle Rechte vorbehalten. Copyright 1998-2010 von Völcker Informatik