Repository Management
Das Repository Management hat die Aufgabe, die Informationen in einem IdM zentral zu speichern und zu verwalten, die für Enitäten in einem Netzwerk von Nutzen sein können. Zur Datenverwaltung (Client-Server-Prinzip) in einem IdMS können Directory Services verwendet werden. Die Daten werden hierarchisch in einer Baumstruktur, dem Directory Information Tree (DIT), gespeichert. Diese Baumstruktur ähnelt oder entspricht oft einer realen organisatorischen oder geografischen Struktur. Die vom Directory Service eingesetzte Datenbank ist im Normalfall für ihre speziellen Aufgaben, z.B. für schnelle Antwortzeiten, optimiert. Ein Directory Service ist damit besonders für die Ansprüche eines IdMS geeignet. Außerdem werden Techniken angewandt, welche die verteilte Speicherung und Daten-Replikation unterstützen.
Datenbank-basierendes Directory
Alternativ zu einem Directory Service mit Baumstruktur kann zur Datenspeicherung eine relationale Datenbank verwendet werden. Mögliche Technologien für ein Verzeichnis auf Grundlage einer Datenbank sind z.B. PL/SQL von Oracle, MySQL oder PostgreSQL. Der Zugriff erfolgt mittels jeweiliger Datenbanksprache. Dabei ergeben sich folgende Vorteile gegenüber einem Directory Information Tree (DIT):
- Transaktionsfähigkeit – Änderungen an der Datenstruktur erweisen sich einfacher als in einer Baumstruktur
- Referenzielle Integrität – Verwaltung von Integritätsfähigkeiten zwischen Daten
- Accounting – Datenbank-Sprachen wie SQL nutzen kaufmännische Funktionen, die bei Verwendung von Baumverzeichnissen wegen geringer Typensicherheit nicht einsetzbar sind
Relationale Datenbanken haben den Nachteil, dass ihre Performance nicht in jeder Sitiation optimal und im Fall von Directories eher schlecht ist, was durch die Art und Weise bedingt wird, wie die Abfragen ausgeführt werden. Des weiteren fehlt der relationalen Datenbank im Gegensatz zum DIT die Möglichkeit zur Vererbung.
Metadirectory
Das Konzept des Metadirectory (deutsch: Metaverzeichnisdienst) verwendet einen Verzeichnisdienst zur Synchronisierung von Datenbeständen aus verschiedenen Datenquellen (Repositories). Voraussetzung dafür ist, dass alle zu synchronisierenden Daten im Verzeichnisdienst abbildbar sind. Das entsprechende Schema muss standardisiert sein, damit verschiedene Anwendungen darauf zugreifen können. Durch die Integration von Workflows und Policies wird die Synchronisierung der Einträge und Berechtigungen in den Repositories geregelt. Daten werden z.B. bei Änderungen automatisch weitergeleitet und aktualisiert.
Virtual Directory
Virtual Directory ist eine hierarchisch aufgebaute Technologie, die eine Sicht auf digitale Identitäten, ihre Attribute, Daten und die dazugehörigen Berechtigungen bietet, ohne ein komplett eigenes Verzeichnis aufzubauen (im Gegensatz zu einem Metadirectory). Der Aufbau eines Virtual Directory gleicht dem eines normalen LDAP-Directories, der Datenzugriff erfolgt jedoch per Referenz. Erhält das Virtual Directory eine Anfrage, so werden die Daten beim Zugriff in Echtzeit aus dem jeweiligen Repository (Datensilo) gelesen und an die zuständige Datenquelle weitergeleitet, d.h. sie werden nur referenziert.
Identity Repository
Ein Identity Repository (deutsch: Identitätsspeicher) ist ein Verzeichnisdienst oder eine Datenbank zur Speicherung von digitalen Identitäten. Mittels Synchronisierung, durch ein Metadirectory oder ein Virtual Directory werden die Einträge unterschiedlicher Identity Repositories abgeglichen. Die Daten im Identity Repository werden durch die Identity Administration verwaltet.
Policy Repository
Ein Policy Repository dient der zentralen Speicherung von Policies. Es erlaubt IT-Systemen Policies bei Bedarf abzurufen. Oft ist das Policy Repository mit anderen Repositories (bspw. Role und Entitlement Repository) in einem umfassenden Repository konsolidiert.