2009年1月6日火曜日

SAP NetWeaver Identity Management事始め(アーキテクチャ整理)

仕事で触ることになりそうなので、SAPに買収された後のバージョンに初めて触れてみます。
最新バージョンは7.1なのですが、現状一般にリリースされた状態ではないのでとりあえず入手可能なバージョンということで7.0sp2をベースに考えてみます。
※7.1からフロントエンドがこれまでIIS+PHPで動いていたのが、NetWeaver AS上で動作する様になり、見た目もより”SAP”になったそうなので、7.1が入手できればそちらでも検証が必要になりそうです。

さて、現行の7.0というバージョンに関しては旧MaXware Identity Center(MIC)と殆ど変わらない、と考えておいて問題ないと思います。

まず、基本アーキテクチャですが、Identity Centerは以下のコンポーネントで構成されます。
・Identity Center database
 この製品の特徴が中央に統合されたアイデンティティストアを持つことです。このあたりがSunのVirutal Identityとは異なる点です。(IDストアを持つべきか、持たざるべきかについては色々と議論を呼ぶところかと思いますが、私個人としてはデータの加工の容易さなどの点でIDストアを持った方が楽だと思っています。実装屋の意見ですね・・・)
 話がそれましたが、SAP IdMではこのデータベースにプロビジョニングやワークフローのタスクやジョブそのもの、スケジュール情報、タスクの状態や差分情報、監査ログなども格納されます。
 ちなみにdatabaseエンジンとしてはSQL ServerもしくはOralceが使用されます。
・Runtime components
 メインはdispatcherとevent agentです。
 ・runtime engine
  実際の同期やプロビジョニングを行う単位をSAP IdMではジョブと呼びますが、このジョブを実行するのがruntime engineです。旧MaXware時代はこのruntime engine部分が別製品のData Synchronization Engine(通称DSE)として販売されており、単純な同期・プロビジョニングの要件だけならこちらで十分対応できました。
 ・dispatcher
  様々なイベントに応じて適切なジョブをruntime engineで実行するのがdispatcherです。
 ・event agent
  上記のdispatcherは基本的にバッチの仕組みなので、リアルタイム性に欠けます。そこで登場するのがこのevent agentです。
  データベーストリガーやLDAPのchange logを使って変更を検知し、ある程度リアルタイムに属性同期やプロビジョニングを行います。
  また、ジョブ実行のスケジューリングも行います。
・Workflow UI
 利用者向けのWebインターフェイスです。
 ユーザ登録、セルフサービス、パスワードリセット、承認タスクなどが実施できます。
・Monitoring UI
 管理者向けのWebインターフェイスです。
 システム状態のモニタリングや監査ログの取得などが実施できます。
・Management console
 Identity Centerの構成を行うためのMMCインターフェイスです。
 この画面で同期やプロビジョニング、ワークフローなどのタスクやジョブを構成します。















ちなみに最後のManagement Console以外はUNIXプラットフォーム上でも動作します。(Java版)

0 件のコメント: