Directorio virtual

En informática , el término directorio virtual tiene un par de significados. Puede simplemente designar (por ejemplo, en IIS ) una carpeta que aparece en una ruta pero que en realidad no es una subcarpeta de la carpeta anterior en la ruta. Sin embargo, en este artículo se analizará el término en el contexto de los servicios de directorio y la gestión de identidades .

En este contexto, un directorio virtual o servidor de directorio virtual (VDS) es una capa de software que ofrece un único punto de acceso para aplicaciones de gestión de identidades y plataformas de servicio. Un directorio virtual funciona como una capa de abstracción ligera y de alto rendimiento que reside entre las aplicaciones cliente y distintos tipos de repositorios de datos de identidad, como directorios propietarios y estándar, bases de datos, servicios web y aplicaciones.

Un directorio virtual recibe consultas y las dirige a las fuentes de datos adecuadas mediante la abstracción y virtualización de datos. El directorio virtual integra datos de identidad de múltiples almacenes de datos heterogéneos y los presenta como si vinieran de una sola fuente. Esta capacidad de acceder a repositorios dispares hace que la tecnología de directorio virtual sea ideal para consolidar datos almacenados en un entorno distribuido.

A partir de 2011 ^[actualizar], los servidores de directorio virtual suelen utilizar el protocolo LDAP , pero los directorios virtuales más sofisticados también pueden soportar SQL , así como DSML y SPML .

Los expertos del sector han destacado la importancia del directorio virtual para modernizar la infraestructura de identidades. Según Dave Kearns de Network World, "la virtualización está de moda y un directorio virtual es el elemento básico o la base que debería tener en cuenta para su próximo proyecto de gestión de identidades". ^[1] Además, el analista de Gartner, Bob Blakley ^[2], afirmó que los directorios virtuales desempeñan un papel cada vez más importante. En su informe, "La arquitectura emergente de la gestión de identidades", Blakley escribió: "En la primera fase, la producción de identidades se separará del consumo de identidades mediante la introducción de una interfaz de directorio virtual".

Capacidades

Los directorios virtuales pueden tener algunas o todas las siguientes capacidades: ^[3]

Agregue datos de identidad de distintas fuentes para crear un único punto de acceso.
Cree alta disponibilidad para almacenes de datos autorizados.
Actúa como firewall de identidad al evitar ataques de denegación de servicio en los almacenes de datos primarios a través de una capa virtual adicional.
Admite un espacio de nombres de búsqueda común para la autenticación centralizada.
Presentar una vista virtual unificada de la información del usuario almacenada en múltiples sistemas.
Delegar la autenticación a fuentes backend a través de medios de seguridad específicos de la fuente.
Virtualice las fuentes de datos para admitir la migración desde almacenes de datos heredados sin modificar las aplicaciones que dependen de ellos.
Enriquezca las identidades con atributos extraídos de múltiples almacenes de datos, basándose en un vínculo entre las entradas de los usuarios.

Algunas plataformas de virtualización de identidad avanzadas también pueden:

Habilite vistas personalizadas y específicas de la aplicación de los datos de identidad sin violar las normas internas o externas que rigen los datos de identidad. Revele relaciones contextuales entre objetos a través de estructuras de directorios jerárquicas.
Desarrollar una correlación avanzada entre diversas fuentes utilizando reglas de correlación.
Cree una identidad de usuario global correlacionando cuentas de usuario únicas en varios almacenes de datos y enriquezca las identidades con atributos extraídos de múltiples almacenes de datos, basándose en un vínculo entre las entradas de usuario.
Habilite la actualización constante de datos para actualizaciones en tiempo real a través de un caché persistente.

Ventajas

Directorios virtuales:

Permita una implementación más rápida porque los usuarios no necesitan agregar y sincronizar fuentes de datos adicionales específicas de la aplicación
Aproveche las inversiones existentes en infraestructura de identidad y seguridad para implementar nuevos servicios
Ofrecer alta disponibilidad de fuentes de datos
Proporcionar vistas específicas de la aplicación de los datos de identidad que pueden ayudar a evitar la necesidad de desarrollar un esquema empresarial maestro
Permitir una única vista de los datos de identidad sin violar las regulaciones internas o externas que rigen los datos de identidad
Actúan como cortafuegos de identidad al evitar ataques de denegación de servicio en los almacenes de datos primarios y brindar mayor seguridad en el acceso a datos confidenciales.
Puede reflejar los cambios realizados en fuentes autorizadas en tiempo real.
Aprovecha los procesos de actualización existentes de fuentes autorizadas, por lo que no se necesita un proceso separado (a veces manual) para actualizar un directorio central
Presentar una vista virtual unificada de la información del usuario de múltiples sistemas para que parezca residir en un solo sistema.
Puede proteger todas las ubicaciones de almacenamiento del backend con una única política de seguridad

Desventajas

Una desventaja original es la percepción pública de las "tecnologías push & pull", que es la clasificación general de los "directorios virtuales" según la naturaleza de su implementación. Los directorios virtuales fueron diseñados inicialmente y luego implementados con "tecnologías push" en mente, lo que también contravenía las leyes de privacidad de los Estados Unidos . Esto ya no es así. Sin embargo, existen otras desventajas en las tecnologías actuales.

El directorio virtual clásico basado en proxy no puede modificar las estructuras de datos subyacentes ni crear nuevas vistas basadas en las relaciones de datos de varios sistemas. Por lo tanto, si una aplicación requiere una estructura diferente, como una lista aplanada de identidades o una jerarquía más profunda para la administración delegada, un directorio virtual es limitado.
Muchos directorios virtuales no pueden correlacionar los mismos usuarios en múltiples fuentes diversas en el caso de usuarios duplicados.
Los directorios virtuales sin tecnologías de almacenamiento en caché avanzadas no pueden escalar a entornos heterogéneos y de gran volumen.

Terminología de muestra

Unifique metadatos: extraiga esquemas de la fuente de datos local, asigne nombres a un formato común y vincule las mismas identidades de diferentes silos de datos en función de un identificador único.
Unión de espacios de nombres: crea un único directorio grande uniendo varios directorios en el nivel de espacio de nombres. Por ejemplo, si un directorio tiene el espacio de nombres "ou=internal,dc=domain,dc=com" y un segundo directorio tiene el espacio de nombres "ou=external,dc=domain,dc=com", entonces crear un directorio virtual con ambos espacios de nombres es un ejemplo de unión de espacios de nombres.
Unión de identidades: enriquece las identidades con atributos extraídos de múltiples almacenes de datos, en función de un vínculo entre las entradas de usuario. Por ejemplo, si el usuario joeuser existe en un directorio como "cn=joeuser,ou=users" y en una base de datos con un nombre de usuario de "joeuser", entonces la identidad "joeuser" se puede construir a partir del directorio y la base de datos.
Reasignación de datos: la traducción de datos dentro del directorio virtual. Por ejemplo, asignar “uid” a “samaccountname”, de modo que una aplicación cliente que solo admita una fuente de datos compatible con LDAP estándar también pueda buscar en un espacio de nombres de Active Directory.
Enrutamiento de consultas: enrutar las solicitudes según ciertos criterios, como “las operaciones de escritura van a un maestro, mientras que las operaciones de lectura se reenvían a las réplicas”.
Enrutamiento de identidad: los directorios virtuales pueden admitir el enrutamiento de solicitudes según ciertos criterios (por ejemplo, las operaciones de escritura se dirigen a un maestro mientras que las operaciones de lectura se reenvían a réplicas).
Fuente autorizada: un repositorio de datos "virtualizado", como un directorio o una base de datos, en el que el directorio virtual puede confiar para obtener datos de usuario.
Grupos de servidores: Agrupan uno o más servidores que contienen los mismos datos y funcionalidades. Una implementación típica es el entorno multimaestro y multiréplica en el que las réplicas procesan las solicitudes de "lectura" y están en un grupo de servidores, mientras que los maestros procesan las solicitudes de "escritura" y están en otro, de modo que los servidores se agrupan por su respuesta a estímulos externos, aunque todos compartan los mismos datos.

Casos de uso

Los siguientes son ejemplos de casos de uso de directorios virtuales:

Integración de múltiples espacios de nombres de directorio para crear un directorio empresarial central.
Apoyo a integraciones de infraestructura después de fusiones y adquisiciones.
Centralizar el almacenamiento de identidad en toda la infraestructura, poniendo la información de identidad a disposición de las aplicaciones a través de varios protocolos (incluidos LDAP, JDBC y servicios web).
Creación de un punto de acceso único para herramientas de gestión de acceso web (WAM).
Habilitación del inicio de sesión único web (SSO) en distintas fuentes o dominios.
Apoyar políticas de autorización detalladas y basadas en roles
Habilitar la autenticación en diferentes dominios de seguridad utilizando el método de verificación de credenciales específico de cada dominio.
Mejorar el acceso seguro a la información tanto dentro como fuera del firewall.

Referencias

^ Kearns, Dave (7 de agosto de 2006). «El directorio virtual finalmente gana reconocimiento». NetworkWorld . Consultado el 14 de julio de 2014 .
^ La arquitectura emergente de la gestión de identidad, Bob Blakley, 16 de abril de 2010.
^ "Introducción a los directorios virtuales". Optimal Idm . Consultado el 15 de julio de 2014 .