第 2 章 产品体系结构
本章概述 SunTM Identity Manager 产品体系结构。
本章包含以下主题:
了解 Identity Manager 组件
Identity Manager 是一种 Java 2 Platform, Enterprise Edition(J2EETM 平台)Web 应用程序。J2EE 平台由一组符合行业标准的服务、API 和协议组成,提供用来开发基于 Web 的多层企业应用程序的功能。
Identity Manager 系统体系结构分布在以下四个逻辑层中:
-
用户层
-
应用层
-
数据库层
-
受管资源层
下面的几节将从应用层开始分别论述这四个层。
图 2–1 Identity Manager 系统体系结构
了解应用层
Identity Manager(又称为 Identity Manager 服务器)安装在应用服务器内部的 J2EE Web 容器中。Identity Manager 服务器由 JSPTM 文件、HTML、图像和 JavaTM 类组成。与其他 IT 系统(又称为资源)交互的适配器和连接器也位于应用服务器上的 Identity Manager 中。
注 –
有关受支持的应用服务器的列表,请参见《Sun Identity Manager 8.1 发行说明》中的“应用服务器”。
由于 Identity Manager 是一种 Web 应用程序,因此用户界面驻留在应用服务器上,而且会根据每个请求向用户层提供页面。
在应用服务器上安装 Identity Manager 的过程非常简单:使用 Sun 提供的基于向导的图形安装程序和(在 UNIX® 系统上)命令行安装程序。应用服务器必须捆绑或安装了 Java Development Kit (JDKTM) 才能运行可在 Identity Manager 中执行操作的 Java 类。
了解数据库层
Identity Manager 将其所有的置备和状态信息都存储在 Identity Manager 系统信息库中。系统信息库由多个用来存储有关 Identity Manager 的所有配置数据的表组成。系统信息库是 Identity Manager 查找数据和锁定对象的单一点。系统信息库还包含一个审计日志,审计日志是在 Identity Manager 中所执行操作的历史记录。Identity Manager 数据以 XML 形式存储。尽管关系数据库在生产环境中是必需的,但是系统信息库可以驻留在本地文件中,也可以驻留在关系数据库中。
注 –
有关受支持的数据库服务器的列表,请参见《Sun Identity Manager 8.1 发行说明》中的“系统信息库数据库服务器”。
请注意,Identity Manager 中除了保留有关各个用户的最少数量的身份信息外,不保留其他用户数据。也就是说,系统信息库中仅保存为了确定和区分 Identity Manager 中的各个用户而必需的属性(例如,名称和电子邮件地址)。
Identity Manager 可以通过直接 JDBC 连接机制连接到系统信息库,也可以使用由应用服务器提供的数据源功能。
Identity Manager Service Provider 功能需要使用一个额外的 LDAP 系统信息库来存储用户信息。有关详细信息,请参见了解 Identity Manager Service Provider 系统体系结构。
了解受管资源层
受管资源层包括为其置备用户帐户和解除用户帐户置备的应用程序和 IT 系统。该层包括 Identity Manager Gateway,这是一个帮助应用程序,允许 Identity Manager 与某些资源交互。
适配器和连接器提供用户管理功能,其中包括创建、更新、删除和读取用户帐户,以及执行密码更改管理功能。适配器和连接器还可以从远程系统提取帐户信息。
注 –
在多数情况下,Identity Manager 管理远程系统上的用户数据,而不是将这些数据保留在其自己的数据存储中。
需要使用 Sun Identity Manager Gateway 的一些公共资源包括 Microsoft Exchange、Windows Active Directory、Novell eDirectory(以前称为 Netware Directory Services)、Lotus Domino 等等。(有关完整的列表,请参见《Sun Identity Manager 8.1 发行说明》中的“Sun Identity Manager Gateway”。) 该 Gateway 在 Windows 中以服务形式安装,它使用 TCP 端口 9278 与 Identity Manager 通信。通信是使用专有的加密协议从 Identity Manager 启动的。Gateway 随后会使用资源的本机协议来与受管资源交互。
从安装的角度看,共有两种类型的适配器和连接器:Identity Manager 适配器和连接器和自定义的适配器和连接器。Identity Manager 适配器和连接器预先安装在 Identity Manager 中。但是,自定义的适配器和连接器需要复制到应用服务器上 Identity Manager 安装目录中的指定目录下。
使用 Identity Manager 资源扩充工具 (Resource Extension Facility, REF) 工具包,可以非常方便地创建自定义适配器。REF 工具包提供了一个 API 和许多模板适配器,公司可以使用它们来启动开发过程。简单的资源功能可以通过仅实施八种 Java 方法来实现。
了解用户层
用户层由那些通过某个用户界面与 Identity Manager 交互的管理员和最终用户组成。本产品的主要用户界面是一个 Web 浏览器,该浏览器通过 HTTPS 与 Identity Manager 通信。即使某些功能可能会使用 Java applet,两个基于浏览器的用户界面(管理员用户界面和最终用户界面)也是主要由 HTML 页面组成。
为简单起见,图 2–1 中仅显示了管理员用户界面和最终用户界面。但是,用户层中还包括其他用户界面:IVR 电话界面、Identity Manager IDE、SPML Web 服务界面和 Identity Manager 控制台。
了解系统分隔和物理接近性准则
本节包含有关哪些 Identity Manager 组件应当在什么服务器上运行的基本准则,还包含有关为了尽可能减少因延迟和网络拥塞所造成的性能问题,而应当使哪些组件相邻放置的建议。
注 –
本节仅提供了基本准则。有关设计高可用性 Identity Manager 体系结构的信息,请参见第 3 章。
在开发环境中,应用服务器和数据库可以驻留在同一台计算机上。但是,在测试环境和生产环境中,每个 Identity Manager 实例都应当安装在其自己的专用服务器上。关系数据库也需要一台专用服务器。
必须在一台或多台 Windows 计算机上安装 Identity Manager Gateway(如果需要的话)。Gateway 是一种轻量组件,不需要安装在专用服务器上。由 网关 管理的所有 Windows 域必须属于同一个林。不支持跨林边界管理域。如果您有多个林,请在每个林中至少安装一个 网关。在生产环境中,必须使 Gateway 具有高可用性。有关详细信息,请参见使网关具有高可用性。
在生产环境中,数据库服务器与应用服务器之间发生的网络通信流量最多。这两台服务器必须位于同一个 LAN 中,而且网络跃点之间的距离应当尽可能最短。Gateway 实例以及受管资源不需要与 Identity Manager 位于同一个网络上。
如果 Identity Manager 将用于 Service Provider 配置中的外部用户,则应当在 DMZ 中设置一组 Web 服务器。有关详细信息,请参见了解所建议的 Service Provider HA 体系结构。
了解 SPML 和 Web 服务系统体系结构
服务置备标记语言 (Service Provisioning Markup Language, SPML) 和 Identity Manager Web 服务可用于为 Identity Manager 实施自定义的前端。Identity Manager 使用 HTTPS 协议收发 SPML 消息和响应。
有关 SPML 和 Web 服务的详细信息,请参见《Sun Identity Manager 8.1 Web Services》。
了解 Identity Manager Service Provider 系统体系结构
如果实施了 Identity Manager Service Provider 功能,则需要实施第五层。第五层称为 Web 层,由一台或多台位于 DMZ 中的 Web 服务器组成。Web 层中不安装任何 Identity Manager 组件。DMZ 中的 Web 服务器通过响应 Web 页请求为应用层中的一台或多台应用服务器提供支持。在 Web 层中添加一台或多台 Web 服务器可提供增强的可伸缩性,在 DMZ 中放置 Web 服务器可提供更好的网络安全性。
Service Provider 功能还需要使用一个 LDAP 系统信息库。此系统信息库驻留在数据库层中。由于 LDAP 系统信息库可以是受管资源,因此也可以理解为 LDAP 服务器驻留在受管资源层中。
注 –
在仅包含 Service Provider 的实施中,除了 LDAP 系统信息库外,还建议部署一个 Identity Manager 系统信息库,但这不是必需的。如果未部署 Identity Manager 系统信息库,某些功能(如某些报告功能)将不可用。
图 2–2 Identity Manager Service Provider 系统体系结构
- © 2010, Oracle Corporation and/or its affiliates