Када требате поново конфигурирати постојеће Цогнос окружење за употребу другог вањског сигурносног извора (нпр. Ацтиве Дирецтори, ЛДАП итд.), Постоји неколико приступа које можете подузети. Волим да их називам „добрим, лошим и ружним“. Пре него што истражимо ове добре, лоше и ружне приступе, хајде да погледамо неке уобичајене сценарије који имају тенденцију да покрећу промене имена простора аутентификације у Цогнос окружењу.
Уобичајени покретачи пословања:
Ажурирање хардвера или оперативног система - Модернизација БИ хардвера/инфраструктуре може бити чест покретач. Док би остатак Цогнос-а могао да ради као шампион на вашем елегантном новом хардверу и модерном 64-битном ОС-у, сретно са миграцијом ваше верзије Аццесс Манагера из 2005. на ту нову платформу. Аццесс Манагер (први пут објављен са Серијом 7) је поштовано чување из давних дана за многе кориснике Цогноса. То је једини разлог што се многи корисници држе те старе верзије Виндовс Сервера 2003. Писање је већ дуже време на зиду за Аццесс Манагер. То је стари софтвер. Што пре можете да се повучете, то боље.
Стандардизација примене- Организације које желе да обједине аутентификацију свих својих апликација на једном централно администрираном корпоративном серверу директоријума (нпр. ЛДАП, АД).
Спајања и преузимања- Компанија А купује Компанију Б и треба јој Цогнос окружење Компаније Б да покаже на сервер директоријума Компаније А, не изазивајући проблеме у њиховом постојећем БИ садржају или конфигурацији.
Цорпорате Дивеститурес- Ово је супротно сценарију спајања, део компаније је издвојен у свој ентитет и сада мора да укаже своје постојеће БИ окружење на нови извор безбедности.
Зашто миграције простора имена могу бити неуредне
Усмеравање Цогнос окружења на нови извор безбедности није тако једноставно као додавање новог имена са истим корисницима, групама и улогама, прекидање везе са старим именским простором и ВОИЛА!- сви ваши Цогнос корисници у новом именском простору се слажу са њихов садржај. У ствари, често можете завршити са крвавим нередом на рукама, и ево зашто ...
Сви Цогнос принципали безбедности (корисници, групе, улоге) референцирани су јединственим идентификатором који се назива ЦАМИД. Чак и ако су сви други атрибути једнаки, ЦАМИД за корисника у постојећи именски простор за потврду идентитета неће бити исти као ЦАМИД за тог корисника у нови именски простор. Ово може уништити постојеће Цогнос окружење. Чак и ако имате само неколико корисника Цогноса, морате схватити да ЦАМИД референце постоје на МНОГО различитих места у вашој продавници садржаја (а могу чак постојати и изван ваше складишта садржаја у оквирним моделима, моделима трансформатора, ТМ1 апликацијама, коцкама, апликацијама за планирање итд. ).
Многи корисници Цогноса погрешно верују да су ЦАМИД -ови заиста важни само за садржај Моје фасцикле, корисничке преференције итд. То не може бити даље од истине. Не ради се само о броју корисника које имате, већ о количини Цогнос објеката које требате забринути. Постоји само 140 различитих врста Цогнос објеката само у складишту садржаја, од којих многи могу имати више ЦАМИД референци.
На пример:
- Није неуобичајено да један распоред у вашој продавници садржаја има више ЦАМИД референци (ЦАМИД власника распореда, ЦАМИД корисника као што би распоред требало да се изводи, ЦАМИД сваког корисника или листе за дистрибуцију који би требало да пошаље генерисане резултате извештаја на итд.).
- Сваки објекат у Цогносу има безбедносну политику која одређује који корисници могу приступити објекту (помислите на картицу „Дозволе“). Једна безбедносна политика која виси из тог фолдера у Цогнос Цоннецтион -у има ЦАМИД референцу за сваког корисника, групу и улогу која је наведена у тим смерницама.
- Надам се да сте схватили поенту - ова листа се наставља и наставља!
Није неуобичајено да велика продавница садржаја садржи десетине хиљада ЦАМИД референци (а видели смо и неке велике са стотинама хиљада).
Сада израчунај шта има твој Цогнос окружење и можете видети да се потенцијално бавите хордама ЦАМИД референци. То може бити ноћна мора! Пребацивањем (или поновним конфигурисањем) вашег именског простора за потврду идентитета можете оставити све ове ЦАМИД референце у неразрешивом стању. Ово неизбежно доводи до проблема са садржајем и конфигурацијом Цогноса (нпр. Распореди који се више не покрећу, садржај који више није заштићен онако како мислите, пакети или коцке који више не спроводе исправно безбедност на нивоу података, губитак садржаја и директоријума Моје фасцикле преференције итд.).
Цогнос методе преласка у простор имена
Сада, знајући да Цогнос окружење може имати десетине хиљада ЦАМИД референци које ће захтевати проналажење, мапирање и ажурирање на одговарајућу нову ЦАМИД вредност у новом именском простору за потврду идентитета, хајде да разговарамо о добрим, лошим и ружним приступима за решавање овог проблема.
Добар: Замена простора имена са Персона
Први метод (Замена простора имена) користи Motio'с, Персона ИК производ. Оваквим приступом ваш постојећи именски простор је „замењен“ посебним Персона именским простором који вам омогућава да виртуелизујете све принципе безбедности који су изложени Цогносу. Већ постојећи принципали безбедности биће изложени Цогносу са потпуно истим ЦАМИД-ом као и раније, иако могу бити подржани било којим бројем спољних извора безбедности (нпр. Ацтиве Дирецтори, ЛДАП или чак база података Персона).
Предиван део овог приступа је то што захтева НУЛЕ промена вашег Цогнос садржаја. То је зато што Персона може одржавати ЦАМИД-ове већ постојећих принципала, чак и када су подржани новим извором. Дакле ... свих оних десетина хиљада ЦАМИД референци у вашој продавници садржаја, спољних модела и историјских коцкица? Они могу остати тачно такви какви јесу. Није потребан никакав рад.
Ово је далеко најмање ризичан приступ са најмањим утицајем који можете користити за прелазак вашег постојећег Цогнос окружења са једног спољног извора безбедности на други. То се може урадити за мање од сат времена са око 5 минута застоја програма Цогнос (једино време застоја програма Цогнос је поновно покретање програма Цогнос након што конфигуришете простор имена Персона).
Лош: Миграција простора имена помоћу Персоне
Ако једноставан, нискоризични приступ једноставно није ваша шоља чаја, онда постоји is друга опција.
Персона се такође може користити за обављање миграције простора имена.
Ово укључује инсталирање другог именског простора за потврду идентитета у вашем Цогнос окружењу, мапирање (надамо се) свих ваших постојећих безбедносних принципала (из старог именског простора) у одговарајуће принципале у новом именском простору, затим (ево забавног дела), проналажење, мапирање и ажурирање сваког једна ЦАМИД референца која постоји у вашем Цогнос окружењу: ваша продавница садржаја, оквирни модели, модели трансформатора, историјске коцке, ТМ1 апликације, апликације за планирање итд.
Овај приступ има тенденцију да буде стресан и интензиван на процесе, али ако сте врста Цогнос администратора којем је потребно мало адреналина да би се осећао живо (и не сметају му ноћни / рани јутарњи телефонски позиви), можда ... ово је опција коју тражите?
Персона се може користити за аутоматизацију делова овог процеса. Помоћи ће вам да направите мапирање између старих принципа безбедности и нових принципа безбедности, аутоматизујете грубу силу „пронађите, анализирајте, ажурирајте“ логику за садржај у вашој продавници садржаја итд. Шта Персона може да аутоматизује неке од задатака овде рад на овом приступу укључује „људе и процес“, а не стварну технологију.
На пример - састављање информација о сваком моделу Фрамеворк Манагер -а, сваком Трансформер моделу, свакој апликацији Планнинг / ТМ1, свакој СДК апликацији, ко их поседује, и планирање начина на који ће се ажурирати и дистрибуирати може бити велики посао. Координирање испада за свако од Цогнос окружења у којем желите то покушати и прозори одржавања током којих можете покушати извршити миграцију могу укључивати планирање и Цогнос „вријеме застоја“. Смишљање (и извршавање) ефикасног плана тестирања након ваше миграције такође може бити прилично медвед.
Такође је сасвим нормално да ћете овај процес прво желети да обавите у непроизводном окружењу пре испробавајући га у производњи.
Иако миграција простора имена са Персоном функционише (и далеко је боља од доле наведеног приступа „Ружан“), она је инвазивнија, ризичнија, укључује много више особља и захтева много више радних сати него замена простора имена. Обично се миграције морају вршити током „ван радног времена“, док је Цогнос окружење још увек на мрежи, али крајњи корисници ограничено користе образац.
Ружно: Услуге ручне миграције простора имена
Ружна метода укључује незавидан приступ покушаја ручно мигрирати из једног простора за потврду идентитета у други. Ово укључује повезивање другог именског простора за потврду идентитета у ваше Цогнос окружење, затим покушај ручног премештања или поновног стварања већег дела постојећег Цогнос садржаја и конфигурације.
На пример, користећи овај приступ, администратор Цогноса би могао покушати:
- Поново креирајте групе и улоге у новом простору имена
- Поново креирајте чланство у тим групама и улоге у новом простору имена
- Ручно копирајте садржај мојих фасцикли, корисничке поставке, картице портала итд. Са сваког изворног налога на сваки циљни налог
- Пронађите сваки скуп смерница у складишту садржаја и ажурирајте га тако да се позива на еквивалентне принципале у новом простору имена на исти начин на који се позива на принципале из старог простора имена
- Поново креирајте све распореде и попуните их одговарајућим акредитивима, примаоцима итд.
- Ресетујте сва својства „власника“ и „контакта“ свих објеката у складишту садржаја
- [Још око 40 ствари у продавници садржаја на које ћете заборавити]
- Окупите све ФМ моделе са заштитом на нивоу објекта или података:
- У складу с тим ажурирајте сваки модел
- Поново објавите сваки модел
- Редистрибуирајте измењени модел назад оригиналном аутору
- Сличан рад за моделе Трансформер, ТМ1 апликације и апликације за планирање које су заштићене од оригиналног простора имена
- [и још много тога]
Иако би се неки Цогнос мазохисти могли потајно насмијати од радости на идеју да кликну 400,000 пута у Цогнос Цоннецтион, за већину разумних људи овај приступ има тенденцију да буде изузетно досадан, дуготрајан и склон грешкама. Међутим, то није највећи проблем са овим приступом.
Највећи проблем са овим приступом је тај што је скоро увек доводи до непотпуне миграције.
Користећи овај приступ, (болно) проналазите и покушавате да пресликате оне ЦАМИД референце за које знате ... али имате тенденцију да оставите све оне ЦАМИД референце које не знам за.
Када мислити завршили сте са овим приступом, често нисте стварно Готово.
У вашој продавници садржаја имате објекте који више нису заштићени онако како мислите да јесу ... имате распореде који се не покрећу на начин на који су се раније изводили, имате податке који више нису заштићени онако како мислите јесте, а можда чак имате и необјашњиве грешке за одређене операције које не можеш баш ставити прст.
Разлози зашто лош и ружан приступ могу бити ужасни:
- Аутоматска миграција простора имена ставља велики стрес на Управитеља садржаја. Преглед и потенцијално ажурирање сваког појединачног објекта у вашој продавници садржаја често могу резултирати десетинама хиљада СДК позива Цогносу (практично сви пролазе кроз Цонтент Манагер). Ово ненормално постављање упита обично повећава потрошњу / учитавање меморије и доводи Цонтент Манагер у опасност од пада током миграције. Ако већ имате неку нестабилност у свом Цогнос окружењу, требало би да се јако плашите овог приступа.
- Миграције простора имена захтевају велики период за одржавање. Цогнос мора бити активиран, али не желите да људи уносе промене током процеса миграције. Ово ће обично захтевати да миграција простора имена почне када нико други не ради, рецимо у 10 сата увече у петак увече. Нико не жели да започне стресан пројекат у 10 сата увече у петак увече. Да не спомињем, ваше менталне способности вероватно нису најбоље у радним ноћима и викендима на пројекту који не захтевају да будете оштри!
- Споменуо сам Миграције простора имена захтевају много времена и рада. Ево мало више о томе:
- Процес мапирања садржаја треба да се уради са прецизношћу и то захтева тимску сарадњу и много радних сати.
- Више пробних радњи је потребно за проверу грешака или проблема са миграцијом. Типична миграција не иде савршено у првом покушају. Такође ће вам требати важећа резервна копија ваше продавнице садржаја која се може вратити у таквим случајевима. Видели смо многе организације које немају доступну добру резервну копију (или имају резервну копију за коју не схватају да је непотпуна).
- Морате све идентификовати ван складиште садржаја на које може доћи потенцијални утицај (оквирни модели, модели трансформатора итд.). Овај задатак може укључивати координацију између више тимова (посебно у великим заједничким БИ окружењима).
- Потребан вам је добар план тестирања који укључује репрезентативне људе са различитим степеном приступа вашем Цогнос садржају. Овде је кључ да се убрзо након завршетка миграције потврди да је све у потпуности мигрирано и да функционише како очекујете. Обично је непрактично све проверити, па ћете на крају проверити оно за шта се надате да су репрезентативни узорци.
- Морате имати бroad познавање Цогнос окружења и ствари које од њега зависе. На пример, историјске коцке са прилагођеним приказима МОРАЈУ бити обновљене ако кренете путем НСМ.
- Шта ако сте ви или компанија коју сте препустили миграцији простора имена заборавили на нешто, попут ... СДК апликација? Када окренете прекидач, ове ствари престају да раде ако нису исправно ажуриране. Да ли имате одговарајуће провере да то одмах приметите или ће проћи неколико недеља / месеци пре него што симптоми почну да се појављују?
- Ако сте прошли бројне надоградње Цогнос -а, потенцијално можете имати објекте у својој продавници садржаја који су у недоследном стању. Ако не радите са СДК -ом, нећете моћи да видите који су објекти у овом стању.
Зашто је замена простора имена најбоља опција
Кључни фактори ризика и дуготрајни кораци које сам управо навео су елиминисани када се користи метода замене простора имена Персона. Користећи приступ замене простора имена, имате 5 минута застоја програма Цогнос и ништа од вашег садржаја не мора да се мења. „Добра“ метода ми делује као исечена и сува „без памети“. Петак увече служи за опуштање, а не за наглашавање чињенице да се ваш Цонтент Манагер управо срушио усред миграције простора имена.
