La hiérarchie virtual member manager est conçue pour simplifier l'intégration
dans les répertoires LDAP, particulièrement ceux avec des données existantes.
Chaque annuaire LDAP dispose d'une arborescence DIT (Directory Information Tree),
qui est une structure hiérarchique des entrées sur le serveur LDAP. Chaque
entrée d'un serveur LDAP occupe un emplacement dans l'arborescence DIT
et le nom distinctif (DN) d'une entrée LDAP identifie son emplacement dans
cette arborescence.
Puisque virtual
member manager doit utiliser des annuaires LDAP existants (à la fois en
lecture seule et en lecture-écriture), la hiérarchie virtual member manager
est une structure hiérarchique des entités. Dans
la mesure du possible, cette structure hiérarchique reflète la structure de l'arborescence DIT LDAP. Virtual
member manager peut alors exécuter plusieurs opérations, telles que la
création, pour placer une entrée dans l'annuaire LDAP tout en respectant
la structure DIT existante déjà en place.
La structure hiérarchique de virtual member manager fournit également à virtual member
manager un nom d'espace hiérarchique. Prenant exemple sur les annuaires LDAP,
chaque nom dans l'espace de nom hiérarchique de virtual member manager
suit le même format qu'un nom distinctif LDAP. Dans virtual member manager, les
noms distinctifs sont appelés noms uniques (uniqueNames). Chaque nom unique
identifie uniquement une entité de virtual member manager, mais un
nom unique n'est pas statique (il peut changer) et peut être réutilisé. En
conséquence, un nom unique identifie seulement et uniquement une entrée à un point
de cohérence, non de façon continue.
Quand vous utilisez virtual member manager avec plusieurs référentiels
simultanément, la hiérarchie virtual member manager se répartie entre les
différents référentiels afin que leurs noms uniques n'entrent pas en collision.
Par exemple, virtual member manager est configuré avec trois référentiels,
deux LDAP et une base de données. Les structures DIT des annuaires LDAP
s'affichent dans le diagramme. La hiérarchie virtual member
manager correspondante s'affichent également dans le diagramme :
Figure 1. Hiérarchie virtual member manager
La partie supérieure de la hiérarchie virtual member manager est une racine
imaginaire, qui n'est pas illustrée. Les entrées sous la racine sont mappées à
un ou plusieurs référentiels principaux.
Remarque : Un
référentiel d'extension de propriété n'est pas considéré comme un référentiel
principal.
Les entrées d'un référentiel principal résident
sous les entrées correspondantes attribuées au référentiel.
Si un référentiel
n'a pas de structure explicite (comme la structure DIT LDAP), l'adaptateur de
référentiel est chargé de faire les transformations nécessaires. Par exemple,
le référentiel de base de données du diagramme peuvent avoir un espace de
nom plein format (ses entrées ont des clés primaires de 1 à 100, par exemple). L'adaptateur
de référentiel de base de données doit convertir le nom unique de virtual member
manager en une clé primaire compréhensible par la base de données.
Virtual member manager fournit un bloc de construction appelé domaine
qui regroupe toutes, ou un sous-ensemble des entrées d'un référentiel
principal sous une partition de la hiérarchie virtual member manager. Suivant
l'exemple précédent, dc=comA,dc=com est considéré comme un domaine.
Quand virtual member manager doit créer une entrée, l'appelant peut indiquer une
entrée parent dans la hiérarchie virtual member
manager sous laquelle les nouvelles entrées sont créées. Si une entrée parent
n'est pas indiquée, un parent par défaut (qui est configurable pour chaque
domaine) est utilisé. Dans virtual member manager, vous pouvez configurer une
entrée parent par défaut pour chaque type d'entité dans chaque domaine.
Les entrées de la hiérarchie virtual member manager sous la racine imaginaire
peuvent être définies pendant la configuration et également créées de
façon programmée en phase d'exécution.
Remarque : Les entrées risquent de ne pas correspondre aux entrées réelles des
référentiels de profil. Par exemple, l'entrée o=comC de la hiérarchie risque de
ne pas correspondre à une entrée réelle du référentiel de profil pour
l'entreprise C.
Le schéma illustré implique que si plusieurs référentiels comportent des
entrées avec un nom identique (deux annuaires LDAP différents
contenant chacun une entrée o=USdiv, par exemple) et que le client souhaite
configurer ces entrées directement sous la racine de la hiérarchie virtual member
manager, ces entrées doivent être modifiées pour avoir des noms uniques. Par
exemple, un des annuaires LDAP avec une entrée o=USdiv peut associer cette
entrée à l'entrée o=USdiv de la hiérarchie virtual member manager.
Mais
l'autre référentiel contenant l'entrée o=USdiv doit l'associer à une entrée
ayant un nom de type o=USdivision dans la hiérarchie virtual member manager.
Remarque : o=USdivision est un nom unique configuré dans virtual member
manager, il n'est pas stocké dans l'annuaire LDAP comme une entrée réelle.
Si virtual member manager est configuré avec un seul référentiel, ce
référentiel occupe la totalité de la hiérarchie virtual member manager.
Pour profiter pleinement de la nature pratiquement unique des noms
distinctifs LDAP (pour ceux qui suivent RFC 2247, en utilisant des noms
de domaines Internet), virtual member manager considère dc=com comme partie
intégrante du nom unique de virtual member manager (même si dc=com n'identifie
pas une entrée de virtual member manager).
La hiérarchie member manager est à virtual member manager ce que la structure
DIT est au LDAP. Toutefois, certains points sont importants :
- La hiérarchie virtual member manager peut être identique à la structure DIT
LDAP, sans en être une. Elle est associée à la structure DIT LDAP et, tout
comme le nom unique dans virtual member manager, bien qu'elle ressemble
beaucoup à un nom distinctif LDAP, n'est pas un nom distinctif. Le nom
unique de virtual member manager n'est pas obligatoirement le même que le
nom distinctif LDAP, même si les deux ont parfois la même valeur pour certains
déploiements de virtual member manager.
- La hiérarchie virtual member manager a une incidence sur l'emplacement d'une
entrée quand elle est stockée, c'est-à-dire quel référentiel est utilisé, si
plusieurs référentiels principaux sont configurés sous virtual member manager. Elle joue également sur l'emplacement actuel de l'entrée dans le
référentiel (comme déterminé par l'adaptateur de référentiel).
- La hiérarchie virtual member manager n'est pas censée refléter une structure
organisationnelle significative même si parfois elle y ressemble fortement
pour certains déploiements. Plusieurs structures organisationnelles
différentes peuvent exister pour un déploiement virtual member manager. Par
exemple, une entreprise peut vouloir organiser ses entités selon une structure
de génération de rapports à la fois fonctionnelle et régionale. Une autre
peut souhaiter une organisation des entités dans le but de déléguer l'administration. Puisque
plusieurs structures organisationnelles différentes sont nécessaires, la
hiérarchie virtual member manager peut être significative pour une seule structure organisationnelle. Avec
plusieurs référentiels et structures, virtual member manager ne peut pas
représenter une structure organisationnelle significative.
- La hiérarchie virtual member manager risque de ne pas être uniforme. Les
entrées placées dans la hiérarchie virtual member manager risquent de ne pas
suivre une approche uniforme en termes de positionnement. La hiérarchie virtual
member manager peut placer des entrées en fonction de leur type dans une partie
de la hiérarchie, et placer des entrées en fonction de l'organisation
à laquelle elles appartiennent dans une autre partie de la hiérarchie.
- Les entrées de la hiérarchie virtual member manager et la structure DIT LDAP
sous-jacente ne doivent pas être associées de façon égale. Il est possible pour
un adaptateur de référentiel de les convertir afin que les entrées multiples
d'un référentiel sous-jacent puissent être associées pour devenir une
seule entrée exposée par virtual member manager, ou une entrée dans un
référentiel sous-jacent séparé en plusieurs entrées exposées par virtual member
manager.
- Les références parent et
enfant d'une entité renvoient aux entrées enfant et à l'entrée parent de
la hiérarchie virtual member manager, et non à celles de la hiérarchie du
référentiel sous jacent. Virtual member manager délègue une grande partie de la
résolution des entrées parent et enfant aux adaptateurs de référentiels
appropriés.
- LDAP prend en
charge plusieurs structures DIT différentes, virtual member manager prend en
charge uniquement les structures DIT représentatives.