가상 디렉터리

Virtual directory

컴퓨팅에서 가상 디렉터리라는 용어는 두 가지 의미를 갖는다.경로에 나타나지만 실제로 경로에 있는 이전 폴더의 하위 폴더가 아닌 폴더IIS에서 간단히 지정할 수 있다.그러나, 이 기사는 디렉토리 서비스신원 관리라는 맥락에서 이 용어를 논의할 것이다.

이 맥락에서 가상 디렉터리 또는 가상 디렉터리 서버(VDS)는 ID 관리 애플리케이션 및 서비스 플랫폼에 대한 단일 액세스 지점을 제공하는 소프트웨어 계층이다.가상 디렉토리는 클라이언트 애플리케이션과 독점 및 표준 디렉토리, 데이터베이스, 웹 서비스 및 애플리케이션과 같은 서로 다른 유형의 ID 데이터 저장소 사이에 상주하는 고성능의 경량 추상화 계층으로 작동한다.

가상 디렉토리는 쿼리를 수신하고 데이터를 추상화 및 가상화하여 적절한 데이터 소스로 전송한다.가상 디렉토리는 여러 이기종 데이터 저장소의 ID 데이터를 통합하여 하나의 소스로부터 온 것처럼 표시한다.이 상이한 저장소에 접근할 수 있는 능력은 가상 디렉토리 기술을 분산 환경에 저장된 데이터를 통합하는 데 이상적이다.

2011년 현재 가상 디렉토리 서버는 가장 일반적으로 LDAP 프로토콜을 사용하지만 보다 정교한 가상 디렉토리도 SQLDSML, SPML을 지원할 수 있다.

업계 전문가들은 ID 인프라 현대화에 가상 디렉터리의 중요성을 예고했다.네트워크 월드의 Dave Kearns에 따르면, "가상화는 뜨겁고 가상 디렉토리는 빌딩 블록, 즉 기반이며, 당신은 당신의 다음 ID 관리 프로젝트를 찾아야 한다"[1]고 한다.또한 Gartner의 분석가인 Bob Blakley는[2] 가상 디렉터리가 점점 더 중요한 역할을 하고 있다고 말했다.블라크리는 '아이덴티티 관리의 신흥 아키텍처'라는 보고서에서 "1단계에서는 가상 디렉토리 인터페이스 도입을 통해 아이덴티티 생산과 아이덴티티 소비가 분리될 것"이라고 썼다.

기능.

가상 디렉터리는 다음과 같은 기능의 일부 또는 전부를 가질 수 있다.[3]

  • 소스 간에 ID 데이터를 집계하여 단일 액세스 지점을 생성하십시오.
  • 신뢰할 수 있는 데이터 저장소를 위한 고가용성 생성
  • 추가 가상 계층을 통해 기본 데이터 저장소에 대한 서비스 거부 공격을 방지하여 ID 방화벽으로 작동하십시오.
  • 중앙 집중식 인증을 위해 공통 검색 가능 네임스페이스 지원
  • 여러 시스템에 저장된 사용자 정보에 대한 통합된 가상 뷰 제공
  • 소스별 보안 수단을 통해 백엔드 소스에 인증 위임
  • 데이터 소스를 가상화하여 레거시 데이터 저장소에 의존하는 애플리케이션을 수정하지 않고 기존 데이터 저장소로부터의 마이그레이션을 지원하십시오.
  • 사용자 항목 간의 링크를 기반으로 여러 데이터 저장소에서 가져온 속성으로 ID 강화

일부 고급 ID 가상화 플랫폼은 다음과 같은 이점을 제공할 수 있다.

  • ID 데이터를 관리하는 내부 또는 외부 규정을 위반하지 않고 애플리케이션별 맞춤형 ID 데이터 보기 지원계층적 디렉토리 구조를 통해 객체 간의 문맥적 관계를 표시한다.
  • 상관 관계 규칙을 사용하여 다양한 소스에 걸쳐 고급 상관 관계를 개발하십시오.
  • 다양한 데이터 저장소에 걸쳐 고유한 사용자 계정을 상호 연관시켜 글로벌 사용자 ID를 구축하고 사용자 항목 간의 링크를 기반으로 여러 데이터 저장소에서 가져온 속성으로 ID를 강화하십시오.
  • 영구 캐시를 통한 실시간 업데이트에 대해 지속적인 데이터 새로 고침 사용

이점

가상 디렉터리:

  • 사용자가 애플리케이션별 데이터 소스를 추가 및 동기화할 필요가 없으므로 구축 시간 단축
  • 기존 ID 인프라 및 보안 투자를 활용하여 새로운 서비스 구현
  • 데이터 소스의 고가용성 제공
  • 마스터 엔터프라이즈 스키마를 개발할 필요가 없도록 지원하는 ID 데이터에 대한 애플리케이션별 뷰 제공
  • ID 데이터를 관리하는 내부 또는 외부 규정을 위반하지 않고 ID 데이터를 한 번에 볼 수 있도록 허용
  • 기본 데이터 저장소에 대한 서비스 거부 공격을 방지하고 중요한 데이터에 대한 액세스에 대한 추가 보안을 제공하여 ID 방화벽 역할 수행
  • 권한 있는 소스에 대한 변경 사항을 실시간으로 반영할 수 있음
  • 신뢰할 수 있는 소스의 기존 업데이트 프로세스를 활용하므로 중앙 디렉토리를 업데이트하기 위해 별도의(수동) 프로세스가 필요하지 않음
  • 여러 시스템의 사용자 정보가 단일 시스템에 상주하는 것처럼 보이도록 통합된 가상 뷰 제공
  • 단일 보안 정책으로 모든 백엔드 스토리지 위치를 보호할 수 있음

단점들

원래 불리한 점은 배치의 성격에 따라 "가상 디렉토리"의 일반적인 분류인 "밀어내기 & 당기기 기술"에 대한 대중의 인식이다.가상 디렉터리는 처음에 설계되었고 나중에 "푸시 기술"을 염두에 두고 배치되었는데, 이것은 미국의 개인 정보 보호법에도 위배된다.더 이상 그렇지 않다.그러나 현재 기술에는 다른 단점이 있다.

  • 프록시에 기반한 고전적인 가상 디렉토리는 기본 데이터 구조를 수정하거나 여러 시스템에 걸친 데이터의 관계를 기반으로 새로운 뷰를 만들 수 없다.따라서 애플리케이션이 정체성의 평평한 목록과 같은 다른 구조를 요구하거나 위임된 관리를 위한 더 깊은 계층 구조를 요구하는 경우, 가상 디렉터리는 제한된다.
  • 많은 가상 디렉토리가 중복 사용자의 경우 여러 소스에 걸쳐 동일한 사용자를 상호 연관시킬 수 없음
  • 고급 캐싱 기술이 없는 가상 디렉터리는 이기종 대용량 환경으로 확장할 수 없다.

샘플 용어

  • 메타데이터 통합: 로컬 데이터 소스에서 스키마를 추출하여 공통 형식으로 매핑하고 고유한 식별자를 기반으로 서로 다른 데이터 사일로에서 동일한 ID를 연결하십시오.
  • 네임스페이스 가입: 네임스페이스 수준에서 여러 디렉터리를 함께 가져와 하나의 큰 디렉터리를 만드십시오.예를 들어 한 디렉토리의 네임스페이스가 "ou=internal,dc=domain,dc=com"이고 두 번째 디렉토리의 네임스페이스가 "ou=external,dc=domain,dc=com"인 경우 두 네임스페이스가 모두 포함된 가상 디렉토리를 생성하는 것은 네임스페이스 결합의 예다.
  • ID 가입: 사용자 항목 간의 링크를 기반으로 여러 데이터 저장소에서 가져온 속성으로 ID 강화예를 들어 사용자 jouser가 "cn=joeuser,ou=users" 디렉토리와 "joeuser"의 사용자 이름을 가진 데이터베이스에 존재하는 경우, "joeuser" ID는 디렉토리와 데이터베이스 모두에서 생성될 수 있다.
  • 데이터 다시 매핑:가상 디렉터리 내부의 데이터 변환.예를 들어 표준 LDAP 호환 데이터 원본만 지원하는 클라이언트 응용 프로그램이 Active Directory 네임스페이스도 검색할 수 있도록 "uid"를 "samaccountname"에 매핑하십시오.
  • 쿼리 라우팅:"읽기 작업이 복제본으로 전달되는 동안 마스터로 가는 쓰기 작업"과 같은 특정 기준에 따라 요청을 라우트하십시오.
  • ID 라우팅:가상 디렉토리는 특정 기준(예: 복제본으로 전달되는 읽기 작업 동안 마스터로 가는 쓰기 작업)에 기반한 요청의 라우팅을 지원할 수 있다.
  • 권한 있는 소스: 가상 디렉터리가 사용자 데이터에 대해 신뢰할 수 있는 디렉토리 또는 데이터베이스와 같은 "가상화된" 데이터 저장소.
  • 서버 그룹: 동일한 데이터와 기능을 포함하는 하나 이상의 서버를 그룹화하십시오.전형적인 구현은 복제본이 "읽기" 요청을 처리하고 하나의 서버 그룹에 있는 반면 마스터는 "쓰기" 요청을 처리하고 다른 서버에 있는 멀티마스터 다중 복제 환경이다. 따라서 서버는 모두 동일한 데이터를 공유하더라도 외부 자극에 대한 응답에 의해 그룹화된다.

사용 사례

다음은 가상 디렉터리의 샘플 사용 사례:

  • 여러 디렉토리 네임스페이스를 통합하여 중앙 엔터프라이즈 디렉토리 작성
  • 인수 합병 후 인프라 통합 지원
  • 인프라 전체에 걸쳐 ID 스토리지를 중앙 집중화하여 다양한 프로토콜(LDAP, JDBC 및 웹 서비스 포함)을 통해 애플리케이션에 ID 정보를 제공
  • WAM(Web Access Management) 도구를 위한 단일 액세스 지점 생성
  • 다양한 소스 또는 도메인에 걸친 웹 SSO(Single Sign-On) 활성화
  • 역할 기반 세분화된 권한 부여 정책 지원
  • 각 도메인의 특정 자격 증명 검사 방법을 사용하여 서로 다른 보안 도메인에 걸친 인증 사용.
  • 방화벽 내부 및 외부 정보에 대한 보안 액세스 향상

참조

  1. ^ Kearns, Dave (7 August 2006). "Virtual directory finally gains recognition". NetworkWorld. Retrieved 14 July 2014.
  2. ^ 2010년 4월 16일 Bob Blakley, Identity Management의 신흥 아키텍처.
  3. ^ "An Introduction To Virtual Directories". Optimal Idm. Retrieved 15 July 2014.