Actualités

[08/09/2017] Breaking news ! Smile décroche le label Happy Trainees 2018

Après le label HappyAtWork, Smile s’offre celui décerné par ses stagiaires et alternants !

[21/07/2017] Smile lance les premiers vélos solaires connectés à l’occasion du Sun Trip Tour 2017

Smile, leader des solutions IoT et open source, confirme sa solide expertise sur le marché de l’embarqué en participant activement à la course de vélos solaires du Sun Trip Tour.

[03/07/2017] Smile remporte le Drupagora d'Or 2017 du meilleur site e-commerce

Le vendredi 30 juin, la 3ème édition des Drupagora d'Or s'est déroulée à Paris.

Toutes les actualités picto
       

Vous avez besoin de mettre à jour votre Lecteur Flash Flash 7

Guillemet ouvrant l'actualité des solutions
et des technologies open source Guillemet fermant
picto

Les méta-annuaires d'entreprise

Un méta-annuaire est un outil permettant d'agréger plusieurs sources de données et de les exposer sous l'apparence d'un annuaire LDAP. En les agglomérant de manière intelligente, on peut présenter à la vue d'une application ce qui semble être un annuaire au protocole LDAP v3 sans en être vraiment un.

Dans la littérature, il est courant de voir le terme méta appliqué à la mise en place d'un nouvel annuaire résultant d'opérations de synchronisation avec les bases utilisateurs du SI (flux ETL par exemple). Si cette couche d'abstraction permet de fournir aux applications une vue consolidée du référentiel utilisateur de l'entreprise, les délais de synchronisation ne permettent cependant pas toujours de coller à la dynamique du SI. Certaines solutions, plus agiles, permettent de router en temps réel les requêtes clientes vers les sources de données, en y ajoutant la couche d'intégration souhaitée. On parle alors d'annuaires virtuels. Ce billet est consacré à ces annuaires virtuels, solutions de type agile. Les termes « méta » et « virtuels » seront indifféremment utilisés.

Pourquoi utiliser un méta-annuaire ?

Les entreprises disposent aujourd'hui couramment d'un annuaire LDAP accessible en tout ou en partie au moins en lecture seule. Cela permet de synchroniser les applications avec le référentiel des utilisateurs et de bénéficier des méthodes d'authentification offertes par le protocole LDAP. Mais l'intérêt des annuaires LDAP réside dans leur grande souplesse à gérer des groupes d'utilisateurs, pour, notamment, administrer les autorisations d'accès aux données dans les applications métiers de manière partagée et centralisée.

Toutefois, il n'y a d'intérêt à gérer des groupes que s'il l'on peut en ajouter, ou, à minima, y écrire l'appartenance d'un utilisateur. Or, un certain nombre d'entreprises n'exposent pas l'annuaire en écriture évoquant des problèmes de sécurité ou des difficultés techniques. Pour les applications, l'annuaire perd alors une grande partie de son intérêt.

Une réponse classique est d'exploiter son propre annuaire. Cette « solution » induit toute une mécanique couteuse de synchronisation et des limitations fortes quant à la fraîcheur des données.

Quels sont des exemples d'utilisation des méta-annuaires ?

Concaténation d'annuaires

On peut exposer un annuaire à plusieurs branches avec, par exemple, la branche « People » dans un premier annuaire en lecture seule et la branche « Groups » dans un second annuaire en lecture/écriture. Il est dès lors possible de lier des utilisateurs à des groupes.

Enrichissement des données de l'annuaire

Il est possible d'enrichir les données d'un annuaire existant avec des valeurs en provenance d'une base de données. On expose alors un objet contenant les données de l'annuaire surchargées par les données de la base.

Un exemple d'éditeur : Sun One Directory Proxy Server Enterprise

Oracle propose une solution de méta-annuaire nommée Directory Proxy Server Enterprise (DPSE). DPSE fait partie de l'offre Sun One Directory Enterprise Server téléchargeable gratuitement sur le site de l'éditeur.

À partir du RDN de l'annuaire, DPSE gère des vues sur les différentes branches sous-jacentes. Chaque vue est un pool de données pouvant pointer sur plusieurs sources identiques. DPSE offre ainsi la possibilité de gérer la répartition de charge entre les sources de manière intelligente (répartition linéaire, répartition selon l'opération (lecture, écriture, ...), répartition selon la donnée accédée (Identifiant, nom, mail, …)).

Enfin, DPSE permet d'administrer les annuaires, sources de données et vues depuis une interface web centralisée.

Un exemple Communautaire : Penrose

Penrose est une solution de méta-annuaire JAVA publiée sous licence GPL. Initialement porté par la société Identyx, le projet est hébergé sur safehaus.org, mais a également été intégré à la suite IPA (Identity, Policy, Audit) de RedHat sous le nom de RedHat Penrose Virtual Directory.

L'annuaire virtuel est obtenu par agrégation de vues construites à partir de sources hétérogènes telles que des bases de données, annuaires LDAP, fichiers plats ou web services, puis déployé sur le moteur d'exécution Penrose Server. Les principales opérations de configuration peuvent être effectuées via le Penrose studio, qui propose toute une palette de composants, explorateurs et autres assistants « Point and Click » facilitant la phase de modélisation.

Enfin, le périmètre fonctionnel de l'application peut être étendu grâce à son architecture modulaire, comme c'est le cas pour le module de fédération d'identité fourni en standard.

Sébastien CHEVALLIER et Patrick NERDEN

Patrick Nerden
picto

Commentaires

       
Benoit
Sinon, pour rester simple, il y a aussi OpenLDAP qui fait ça depuis pas mal de temps avec le backend approprié (back-ldap ou back-meta par exemple).

C'est d'ailleurs le mode de fonctionnement originel des serveurs LDAP qui n'avaient pas eux mêmes de bases de données mais servaient principalement de proxy au serveurs DAP X509.
lundi 19 avril 2010 @ 7:30
       
Ecrire un nouveau commentaire