En informática , el término directorio virtual tiene un par de significados. Puede simplemente designar (por ejemplo en IIS ) una carpeta que aparece en una ruta pero que en realidad no es una subcarpeta de la carpeta anterior en la ruta. Sin embargo, este artículo analizará el término en el contexto de los servicios de directorio y la gestión de identidades .
Un directorio virtual o un servidor de directorio virtual (VDS) en este contexto es una capa de software que ofrece un único punto de acceso para aplicaciones de administración de identidad y plataformas de servicio. Un directorio virtual funciona como una capa de abstracción liviana y de alto rendimiento que reside entre las aplicaciones del cliente y distintos tipos de repositorios de datos de identidad, como directorios, bases de datos, servicios web y aplicaciones patentados y estándar.
Un directorio virtual recibe consultas y las dirige a las fuentes de datos adecuadas mediante la abstracción y virtualización de datos. El directorio virtual integra datos de identidad de múltiples almacenes de datos heterogéneos y los presenta como si procedieran de una sola fuente. Esta capacidad de acceder a repositorios dispares hace que la tecnología de directorio virtual sea ideal para consolidar los datos almacenados en un entorno distribuido.
A partir de 2011 [actualizar], los servidores de directorio virtual utilizan con mayor frecuencia el protocolo LDAP , pero los directorios virtuales más sofisticados también pueden admitir SQL , así como DSML y SPML .
Los expertos de la industria han anunciado la importancia del directorio virtual en la modernización de la infraestructura de identidad. Según Dave Kearns de Network World, "la virtualización está de moda y un directorio virtual es el bloque de construcción o la base que debe tener en cuenta para su próximo proyecto de gestión de identidades". [1] Además, el analista de Gartner, Bob Blakley [2] dijo que los directorios virtuales están desempeñando un papel cada vez más vital. En su informe, "La arquitectura emergente de la gestión de identidades", Blakley escribió: "En la primera fase, la producción de identidades se separará del consumo de identidades mediante la introducción de una interfaz de directorio virtual".
Capacidades
Los directorios virtuales pueden tener algunas o todas las siguientes capacidades: [3]
- Agregue datos de identidad a través de fuentes para crear un único punto de acceso.
- Cree alta disponibilidad para almacenes de datos autorizados.
- Actúe como firewall de identidad al evitar ataques de denegación de servicio en los almacenes de datos primarios a través de una capa virtual adicional.
- Admite un espacio de nombres de búsqueda común para la autenticación centralizada.
- Presente una vista virtual unificada de la información del usuario almacenada en múltiples sistemas.
- Delegue la autenticación a las fuentes de back-end a través de medios de seguridad específicos de la fuente.
- Virtualice las fuentes de datos para admitir la migración desde almacenes de datos heredados sin modificar las aplicaciones que dependen de ellos.
- Enriquezca las identidades con atributos extraídos de múltiples almacenes de datos, basados en un vínculo entre las entradas de los usuarios.
Algunas plataformas de virtualización de identidad avanzadas también pueden:
- Habilite vistas personalizadas y específicas de la aplicación de los datos de identidad sin violar las regulaciones internas o externas que rigen los datos de identidad. Revele relaciones contextuales entre objetos a través de estructuras de directorios jerárquicas.
- Desarrolle correlación avanzada a través de diversas fuentes utilizando reglas de correlación.
- Cree una identidad de usuario global correlacionando cuentas de usuario únicas en varios almacenes de datos y enriquezca las identidades con atributos extraídos de varios almacenes de datos, basándose en un vínculo entre las entradas de los usuarios.
- Habilite la actualización constante de datos para actualizaciones en tiempo real a través de una caché persistente.
Ventajas
Directorios virtuales:
- Habilite una implementación más rápida porque los usuarios no necesitan agregar y sincronizar fuentes de datos adicionales específicas de la aplicación
- Aproveche la infraestructura de identidad existente y las inversiones en seguridad para implementar nuevos servicios
- Ofrezca alta disponibilidad de fuentes de datos
- Proporcionar vistas específicas de la aplicación de los datos de identidad que pueden ayudar a evitar la necesidad de desarrollar un esquema empresarial maestro.
- Permita una vista única de los datos de identidad sin violar las regulaciones internas o externas que rigen los datos de identidad
- Actuar como cortafuegos de identidad al prevenir ataques de denegación de servicio en los almacenes de datos primarios y brindar mayor seguridad en el acceso a datos confidenciales.
- Puede reflejar los cambios realizados en fuentes autorizadas en tiempo real.
- Aprovecha los procesos de actualización existentes de fuentes autorizadas, por lo que no se necesita ningún proceso separado (a veces manual) para actualizar un directorio central
- Presentar una vista virtual unificada de la información del usuario de múltiples sistemas para que parezca residir en un solo sistema
- Puede proteger todas las ubicaciones de almacenamiento de backend con una única política de seguridad
Desventajas
Una desventaja original es la percepción pública de las "tecnologías push & pull", que es la clasificación general de los "directorios virtuales" según la naturaleza de su implementación. Los directorios virtuales se diseñaron inicialmente y luego se implementaron teniendo en cuenta las "tecnologías push", lo que también contravenía las leyes de privacidad de los Estados Unidos . Este ya no es el caso. Sin embargo, existen otras desventajas en las tecnologías actuales.
- El directorio virtual clásico basado en proxy no puede modificar las estructuras de datos subyacentes o crear nuevas vistas basadas en las relaciones de los datos de varios sistemas. Entonces, si una aplicación requiere una estructura diferente, como una lista plana de identidades, o una jerarquía más profunda para la administración delegada, un directorio virtual es limitado.
- Muchos directorios virtuales no pueden correlacionar a los mismos usuarios en múltiples fuentes diversas en el caso de usuarios duplicados
- Los directorios virtuales sin tecnologías de almacenamiento en caché avanzadas no pueden escalar a entornos heterogéneos de gran volumen.
Terminología de muestra
- Unifique metadatos: extraiga esquemas de la fuente de datos local, asigne un formato común y vincule las mismas identidades de diferentes silos de datos en función de un identificador único.
- Unión al espacio de nombres: cree un único directorio grande reuniendo varios directorios en el nivel del espacio de nombres. Por ejemplo, si un directorio tiene el espacio de nombres "ou = interno, dc = dominio, dc = com" y un segundo directorio tiene el espacio de nombres "ou = externo, dc = dominio, dc = com", entonces crea un directorio virtual con ambos espacios de nombres es un ejemplo de unión de espacios de nombres.
- Unión de identidades: enriquezca las identidades con atributos extraídos de múltiples almacenes de datos, basados en un vínculo entre las entradas de los usuarios. Por ejemplo, si el usuario joeuser existe en un directorio como "cn = joeuser, ou = users" y en una base de datos con un nombre de usuario de "joeuser", la identidad de "joeuser" se puede construir tanto desde el directorio como desde la base de datos.
- Reasignación de datos: la traducción de datos dentro del directorio virtual. Por ejemplo, la asignación de "uid" a "samaccountname", por lo que una aplicación cliente que solo admite una fuente de datos estándar compatible con LDAP también puede buscar en un espacio de nombres de Active Directory.
- Enrutamiento de consultas: enruta las solicitudes según ciertos criterios, como "las operaciones de escritura van a un maestro, mientras que las operaciones de lectura se reenvían a las réplicas".
- Enrutamiento de identidad: los directorios virtuales pueden admitir el enrutamiento de solicitudes según ciertos criterios (como operaciones de escritura que se dirigen a un maestro mientras que las operaciones de lectura se reenvían a réplicas).
- Fuente autorizada: un repositorio de datos "virtualizado", como un directorio o una base de datos, en el que el directorio virtual puede confiar para los datos del usuario.
- Grupos de servidores: agrupe uno o más servidores que contengan los mismos datos y funcionalidad. Una implementación típica es el entorno de múltiples maestros y múltiples réplicas en el que las réplicas procesan las solicitudes de "lectura" y están en un grupo de servidores, mientras que los maestros procesan las solicitudes de "escritura" y están en otro, de modo que los servidores se agrupan según su respuesta a estímulos, aunque todos comparten los mismos datos.
Casos de uso
Los siguientes son ejemplos de casos de uso de directorios virtuales:
- Integrar varios espacios de nombres de directorio para crear un directorio empresarial central.
- Apoyar integraciones de infraestructura después de fusiones y adquisiciones.
- Centralizar el almacenamiento de identidad en toda la infraestructura, poniendo la información de identidad a disposición de las aplicaciones a través de varios protocolos (incluidos LDAP, JDBC y servicios web)
- Creación de un único punto de acceso para las herramientas de gestión de acceso web (WAM).
- Habilitación del inicio de sesión único (SSO) web en diversas fuentes o dominios.
- Compatibilidad con políticas de autorización detalladas y basadas en roles
- Habilitar la autenticación en diferentes dominios de seguridad utilizando el método de verificación de credenciales específico de cada dominio.
- Mejorar el acceso seguro a la información tanto dentro como fuera del firewall.
Referencias
- ^ Kearns, Dave (7 de agosto de 2006). "El directorio virtual finalmente gana reconocimiento" . NetworkWorld . Consultado el 14 de julio de 2014 .
- ^ La arquitectura emergente de la gestión de identidades, Bob Blakley, 16 de abril de 2010.
- ^ "Una introducción a los directorios virtuales" . Idm óptimo . Consultado el 15 de julio de 2014 .