Manche Unternehmen betreiben 75 verschiedene Anwendungen, die mitarbeiterbezogene Informationen enthalten. Das stellt Benutzer und IT-Abteilungen vor Proble-me, denn sämtliche Informationen müssen auf dem aktuellen Stand gehalten und gegeneinander abgeglichen werden, um Inkonsistenzen und somit Fehler zu vermeiden. Diese Datenpflege ist mühsam, kostet Zeit und Geld.
Lange propagierten Hersteller wie Siemens, Novell oder Computer Associates Meta Directories als den Königsweg aus diesem Dilemma: Derartige Informationen oder generell in unterschiedlichen Verzeichnissen gespeicherte Daten sollten zentral zusammengeführt werden. Das habe den Vorteil, dass Anwendungen, die auf solche Informationen zugreifen müssen, von einer einzigen Stelle aus bedient werden können. Allerdings hat diese Vorgehensweise auch Nachteile: So sind Meta Directories vergleichsweise unflexibel und erfordern gründliche Vorarbeit. Zudem gestaltet sich die Implementierung wegen der Anbindung der unterschiedlichen Außensysteme oft recht kompliziert und ist entsprechend kostspielig.
Verlinken statt kopieren
Diese Probleme sollen virtuelle Verzeichnisse, neudeutsch Virtual Directories (VDs), lösen. Vor allem kleinere Anbieter wie Radiant Logic, Octetstring oder Maxware haben diesen Lösungsansatz bisher vorangetrieben. Dessen zugrunde liegende Idee besteht darin, die von unterschiedlichen Applikationen benötigten Benutzerdaten nicht permanent konsolidiert vorzuhalten, sondern nur auf die jeweiligen Verzeichnisse, Datenbanken oder Legacy-Systeme zu verweisen, in denen diese Informationen gespeichert sind. Mit Hilfe einer Middleware werden die Daten dann bei Bedarf ausgelesen und über die Anwendung, von der aus die Anfrage kam, dem Benutzer zugänglich gemacht.
Statt wie ein Meta Directory also eine reale Kopie sämtlicher benötigter Daten vorzuhalten, enthält das VD Links innerhalb eines virtuellen Verzeichnisbaums. Gelangt ein Request von einer Anwendung an das VD, ruft die Software die benötigten Informationen aus den jeweiligen Systemen ab, führt sie gemäß den Erfordernissen zum Beispiel in Bezug auf das Format, in dem die Daten benötigt werden, zusammen und reicht sie weiter. Dieser Vorgang ist völlig transparent, für die anfragende Applikation hat es den Anschein, als kämen sämtliche Daten aus einem einzigen Verzeichnis.
Dabei spielt der Standard Lightweight Directory Access Protocol (LDAP) eine wichtige Rolle. In der Regel unterstützen VDs dieser Spezifikation entsprechende Verzeichnisse und Anwendungen. Dabei benutzen sie entweder LDAP-kompatible Schnittstellen oder das Java Naming and Directory Interface (JNDI). Via Open Database Connectivity (ODBC) beziehungsweise Java Database Connectivity (JDBC) lassen sich zudem gängige Datenbanken einbinden.
Zur Integration weiterer Anwendungen stellen die VD-Hersteller in der Regel Programmierschnittstellen oder Templates zur Verfügung, mit denen sich individuelle Konnektoren erstellen lassen. Maxware kann zudem alle Datenquellen einbinden, die via Java zugänglich sind. Radiant Logic unterstützt etwa die J2EE Connector Architecture (JCA), um auf spezielle Anwendungen zuzugreifen: Wer das VD "Radiant One" einsetzen will, benötigt dazu allerdings einen geeigneten Application Server, zum Beispiel Apaches Open-Source-Lösung "Tomcat".
Einer der großen Vorteile eines VD besteht darin, dass vorhandene Verzeichnisse und Anwendungen zu seiner Einführung nicht angetastet werden müssen. Sämtliche Arbeiten während der Installation erfolgen rein auf Seite des virtuellen Verzeichnisses. Anpassungen lassen sich dabei jedoch nicht vermeiden, da beispielsweise Implementierungen des LDAP-Standards durch verschiedene Hersteller nicht unbedingt zueinander kompatibel sind. Dieses Problem plagte viele Anwender schon im Meta-Directory-Umfeld.
In der Regel verfügen die VD-Produkte über eine spezielle Konsole, von der aus Administratoren auf die Lösung zugreifen und definieren können, welche Daten abgerufen werden sollen, wo diese liegen und wie sie präsentiert werden sollen. Einige bieten darüber hinaus spezielle Tools, die das Entdecken, Erfassen und Analysieren von Datenbank- und Verzeichnisinformation im Unternehmen erleichtern und Administratoren beim Erstellen eines Schemas für das virtuelle Verzeichnis helfen.
Mehr Planungsfreiheit
Dabei verschaffen VDs Anwendern eine große Flexibilität, lobt Stefan Strobel, Geschäftsführer des auf IT-Sicherheit spezialisierten Dienstleisters Cirosec aus Heilbronn. Während Meta Directories "eine sehr genaue Planung erfordern, weil Anwender sich schon im Voraus auf die Struktur festlegen müssen", kennen virtuelle Lösungen derartige Beschränkungen nicht: Sie lassen sich während des produktiven Einsatzes Schritt für Schritt in Betrieb nehmen und können später ausgebaut werden, ohne dass andere Systeme dadurch beeinträchtigt werden.
Diese Einschätzung bestätigt Gerry Gebel, Senior Analyst der Burton Group: "Anstatt ein neues Directory für einen speziellen Einsatzbereich zu erstellen und zu installieren, können Anwender ein VD schnell und relativ einfach so konfigurieren, dass es der jeweiligen Anwendung genau die von ihr benötigten Daten liefert."
Weniger Fallstricke
Wie sehr sich das von den Gegebenheiten im Umfeld von Meta Directories unterscheidet, erläutert Stefan Niantschur, Category Spezialist für Nsure bei Novell, an einem Beispiel: "In einer Umgebung, die aus einem Active Directory, einem LDAP-Directory und einem ‘eDirectory’ als Meta Directory besteht, muss ein Anwender, sobald er ein neues Attribut oder Schema im Active Directory einspielt, dies auch im eDirectory nachführen, damit die Attribute synchronisiert werden können." Dem Experten zufolge ist das "eine ziemlich große Herausforderung" für Administratoren, die man nicht "mal eben so" erfüllt, insbesondere dann, wenn dabei eventuell auch Attribute zu löschen sind. Derartige Fallstricke müssen Unternehmen, die ein VD verwenden, nicht befürchten.
Funktionsumfang steigt
Die Produkte können inzwischen jedoch weit mehr, als Daten aus getrennten Repositories zu einer konsolidierten Ansicht zu vereinen. Es ist beispielsweise auch möglich, für verschiedene Anwendungen oder Anwender abhängig von deren Zugriffsrechten unterschiedliche Ansichten von bestimmten Datensätzen zu erzeugen, die Quelldaten zu ändern oder gezielt Attribute oder Elemente aus den Ansichten herauszufiltern. Allerdings warnt Burton-Analyst Gebel im Report "Virtual Directories: Important Ingredient for Identity Management Success" vor "ernsthaften Beschränkungen", wenn es um komplexe Szenarien geht, bei denen aktualisierte Daten in mehrere Repositories zurück geschrieben werden müssen. Er empfiehlt daher, solche Situationen zu vermeiden.
Leistungsmäßig halten die VDs mit den Meta Directories dagegen mit. Es gibt Anwender, die mit "Virtual Directory" des norwegischen Herstellers Maxware über 3000 LDAP-Anfragen pro Sekunde in Umgebungen mit mehreren Millionen Einträgen im Verzeichnis bewältigen.
Welche Vorteile ein VD bringen kann, erläutert Novell-Mann Niantschur anhand eines konkreten Beispiels. Der Hersteller nutzt VD-Services im Umfeld seiner Softwareverteilungslösung "Zenworks". Diese setzt jedoch ein Meta Directory beziehungsweise Novells eDirectory voraus. Aus der Überlegung heraus, Unternehmen nicht zum Aufbau eines zweiten Verzeichnisses zu zwingen, beschloss Novell, stattdessen Virtual Directory Services zu verwenden. Mit dieser laut Niantschur "quasi in die Applikation eingebauten Möglichkeit, sich an bestehende Verzeichnisse anzukoppeln", entfalle die Notwendigkeit, ein separates eDirectory zu installieren.
Analyst Gebel warnt schließlich davor, VDs als neue Wunderwaffe zu sehen: "Wer glaubt, dass virtuelle Lösungen alles können, der irrt sich. Es gibt zwar Szenarios, in denen VDs Meta Directories zu ersetzen vermögen, aber in gewissen Situationen stellen sie eher eine Ergänzung dar." Dem stimmt Hans Wieser, Product Marketing Manager für Identity-Management bei Sun, zu. Er bezweifelt, dass Meta Directories künftig obsolet werden. Der Manager berichtet etwa von Kunden, die sich aus Gründen der Datenqualität für ein Meta Directory entschieden haben. Das MD funktioniere dort wie ein Tool zur Datenbereinigung. Es mahnt die Neben- und Außenstellen zu mehr Disziplin, eben weil es so starr ist. "Dieser Aspekt kann also durchaus auch von Vorteil sein", findet Wieser. Wenn es außerdem darum geht, über große geografische Entfernungen auf Informationen in Verzeichnissen zuzugreifen, wird wohl auch in Zukunft kein Weg an Meta Directories vorbeiführen.