Introducción a Sun Identity Manager

Capítulo 2 Arquitectura del producto

En este capítulo se describe la arquitectura de producto de Sun^TM Identity Manager.

Contiene los temas siguientes:

Componentes de Identity Manager

Identity Manager es una aplicación web en la plataforma Java 2, Enterprise Edition (plataforma J2EE^TM). La plataforma J2EE está formada por un conjunto de servicios, APIs y protocolos estándar que proporcionan funcionalidad para desarrollar aplicaciones de empresa multinivel basadas en web.

La arquitectura del sistema de Identity Manager se distribuye en cuatro niveles lógicos:

Nivel de usuario
Nivel de aplicación
Nivel de base de datos
Nivel de recursos administrados

En las siguientes secciones se trata cada nivel, empezando por el de aplicación.

Figura 2–1 Arquitectura del sistema de Identity Manager

Diagrama lógico ilustrativo de los cuatro niveles, con los componentes de Identity Manager que residen en cada nivel.

El nivel de aplicación

Identity Manager (también llamado servidor de Identity Manager) se instala en un contenedor web de J2EE dentro de un servidor de aplicaciones. El servidor de Identity Manager consta de archivos de JSP^TM, HTML, imágenes y clases de Java^TM. Los adaptadores y los conectores, que interactúan con otros sistemas de TI (también denominados recursos), se encuentran igualmente en el servidor de aplicaciones de Identity Manager.

Nota –

En la sección Servidores de aplicación de Notas de la versión de Sun Identity Manager 8.1 encontrará una lista de los servidores de aplicaciones admitidos.

Como Identity Manager es una aplicación web, la interfaz de usuario se halla en el servidor de aplicaciones y las páginas se suministran al nivel de usuario según se solicitan.

Es muy fácil instalar Identity Manager en el servidor de aplicaciones, porque se suministra un instalador gráfico guiado por asistente y, en el caso de los sistemas UNIX®, también hay disponible un instalador de línea de comandos. El servidor de aplicaciones debe tener integrado o instalado un Kit de desarrollo de Java (JDK^TM) para ejecutar las clases de Java que realizan acciones dentro de Identity Manager.

El nivel de base de datos

Identity Manager almacena toda la información de abastecimiento y de estado en el depósito de Identity Manager. El depósito está formado por tablas que contienen todos los datos de configuración de Identity Manager. Constituye un punto único de consulta de datos y bloqueo de objetos para Identity Manager. El depósito también contiene un registro de auditoría, que es un historial de las acciones efectuadas en Identity Manager. Los datos de Identity Manager se almacenan en formato XML. El depósito puede residir en archivos locales o en una base de datos relacional, si bien ésta es imprescindible en producción.

Nota –

En la sección Servidores de repositorio de bases de datos de Notas de la versión de Sun Identity Manager 8.1 encontrará una lista de los servidores de base de datos admitidos.

Tenga presente que, aparte de una mínima información de identidad sobre usuarios individuales, los datos de usuario no se conservan en Identity Manager. En el depósito o repositorio sólo se almacenan los atributos necesarios para identificar y diferenciar a los usuarios dentro de Identity Manager (por ejemplo, nombre y dirección de correo electrónico).

Identity Manager puede conectarse al depósito mediante una conexión JDBC directa, o bien utilizar la funcionalidad de origen de datos que ofrezca el servidor de aplicaciones.

La funcionalidad de Identity Manager Service Provider requiere un depósito LDAP adicional para almacenar la información de los usuarios. Encontrará información más detallada en Fundamentos de la arquitectura de sistema de Identity Manager Service Provider.

El nivel de recursos administrados

El nivel de recursos administrados está formado por las aplicaciones y los sistemas de TI para los que se desea abastecer y desabastecer cuentas de usuario. Incluye la puerta de enlace de Identity Manager, una aplicación auxiliar que permite a Identity Manager interactuar con determinados recursos.

Los adaptadores y los conectores proporcionan funciones de administración de usuarios, como crear, actualizar, eliminar y leer cuentas de usuario, o gestión de cambio de contraseñas. Los adaptadores y los conectores también pueden extraer información de cuentas de un sistema remoto.

Nota –

Normalmente, Identity Manager administra los datos de usuario en el sistema remoto y no los mantiene en su propio almacén de datos.

Entre los recursos habituales que requieren utilizar la puerta de enlace Sun Identity Manager están Microsoft Exchange, Windows Active Directory, Novell eDirectory (antes Netware Directory Services), Lotus Domino y varios más. (Encontrará la lista completa en la sección Puerta de enlace de Sun Identity Manager de Notas de la versión de Sun Identity Manager 8.1.) La puerta de enlace se instala como un servicio en Windows y se comunica con Identity Manager mediante el puerto TCP número 9278. La comunicación se inicia en Identity Manager utilizando un protocolo cifrado propietario. A continuación, la puerta de enlace interactúa con los recursos administrados a través de los protocolos nativos de los recursos.

Bajo la perspectiva de la instalación, hay dos tipos de adaptadores y conectores: los de Identity Manager y los personalizados. Los adaptadores y conectores de Identity Manager están preinstalados en Identity Manager. En cambio, los adaptadores y conectores personalizados deben copiarse en un directorio designado en el directorio de instalación de Identity Manager ubicado en el servidor de aplicaciones.

Es fácil crear adaptadores personalizados con el kit Resource Extension Facility (REF) de Identity Manager. El kit REF proporciona la API y diversos adaptadores de plantilla que sirven a las empresas para iniciar enseguida el proceso de desarrollo. Sólo hace falta implementar ocho métodos de Java para obtener la funcionalidad de recursos básica.

El nivel de usuario

El nivel de usuario está formado por los administradores y usuarios finales que interactúan con Identity Manager a través de una de las interfaces de usuario. La interfaz de usuario principal del producto es un navegador browser que se comunica con Identity Manager vía HTTPS. Las dos interfaces basadas en navegador, que son la interfaz de administración y la interfaz de usuario final, están formadas principalmente por páginas HTML, aunque algunas funciones pueden utilizar applets de Java.

Para mayor claridad, en la figura Figura 2–1 sólo se muestran la interfaz de administración y la interfaz de usuario final. Sin embargo, el nivel de usuario incluye otras interfaces de usuario, como la interfaz telefónica IVR, el IDE de Identity Manager, la interfaz de servicios web SPML y la consola de Identity Manager.

Instrucciones sobre la separación y la proximidad física de los componentes del sistema

Esta sección contiene instrucciones básicas sobre los componentes de Identity Manager que deben ejecutarse en los servidores. También hay recomendaciones sobre los componentes que deben situarse próximos entre sí para reducir los problemas de rendimiento que pueden surgir debido a la latencia y la congestión de la red.

Nota –

Aquí sólo se incluyen instrucciones básicas. Encontrará información para diseñar una arquitectura de alta disponibilidad de Identity Manager en el Capítulo 3Agrupamiento en clúster y alta disponibilidad.

En un entorno de desarrollo, el servidor de aplicaciones y la base de datos pueden residir en la misma máquina. En cambio, los entornos de prueba y producción requieren que la instancia de Identity Manager se instale en un servidor propio dedicado. También se precisa un servidor dedicado para la base de datos relacional.

La puerta de enlace de Identity Manager, en su caso, debe instalarse en una o más máquinas con Windows. La puerta de enlace es un componente liviano que no requiere un servidor dedicado. Todos los dominios de Windows administrados por una Puerta de enlace deben formar parte del mismo bosque. No es posible administrar dominios traspasando los límites del bosque. Si tiene varios bosques, instale al menos una Puerta de enlace en cada bosque. La puerta de enlace debe tener alta disponibilidad en entornos de producción. Encontrará más información en Asignación de alta disponibilidad a la puerta de enlace.

En un entorno de producción, el máximo tráfico de red se produce entre los servidores de base de datos y de aplicaciones. Estos dos entornos deben hallarse en la misma LAN con el mínimo salto de red posible. No es necesario que las instancias de puerta de enlace ni los recursos administrados estén en la misma red que Identity Manager.

Para usar Identity Manager con usuarios externos en una configuración de Service Provider, es preciso instalar un conjunto de servidores web en una zona desmilitarizada (DMZ). Encontrará más información dentro de Arquitectura de alta disponibilidad recomendada de Service Provider.

Arquitectura de sistema de SPML y de servicios web

Se puede utilizar el lenguaje de marcado de abastecimiento de servicios (SPML) y los servicios web de Identity Manager para implementar una arquitectura frontal personalizada para Identity Manager. Identity Manager envía y recibe mensajes y respuestas SPML a través del protocolo HTTPS.

Para obtener más información sobre SPML y servicios web, consulte Sun Identity Manager 8.1 Web Services.

Fundamentos de la arquitectura de sistema de Identity Manager Service Provider

En caso de implementar la funcionalidad de Identity Manager Service Provider se necesita un quinto nivel. Se trata del nivel de web, que consta de uno o más servidores web ubicados en una zona desmilitarizada (DMZ). En el nivel de web no se instala ningún componente de Identity Manager. Los servidores web de la DMZ permiten usar uno o más servidores de aplicaciones en el nivel de aplicación respondiendo a las solicitudes de página web. Si se añade uno o más servidores web en el nivel de web, se aumenta la escalabilidad, mientras que si los servidores web se ubican en una DMZ mejora la seguridad de la red.

La funcionalidad de Service Provider también precisa un depósito LDAP, que reside en el nivel de base de datos. Como el depósito LDAP puede ser un recurso administrado, también se puede considerar que el servidor LDAP reside en el nivel de recursos administrados.

Nota –

Cuando sólo se implementa Service Provider, se recomienda tener un depósito de Identity Manager además del depósito LDAP, aunque no es indispensable. Si no se implementa un depósito de Identity Manager, no estarán disponibles ciertas funciones, como algunas de informes.

Figura 2–2 Arquitectura de sistema de Identity Manager Service Provider

Diagrama lógico ilustrativo de los niveles y componentes presentes en una implementación de Service Provider.