Die Einträge in einem LDAP-Verzeichnis sind in einer baumähnlichen Struktur organisiert, der Verzeichnisinformationsstruktur (DIT, Directory Information Tree). Die User Management Engine (UME) unterstützt folgende Methoden zur Organisation von Benutzern und Gruppen in einer Verzeichnisinformationsstruktur im LDAP-Verzeichnisdienst des Unternehmens:
Das Hauptmerkmal dieser Organisationsweise von Benutzern und Gruppen besteht darin, dass Benutzer als Einträge unter der Gruppe aufgeführt werden, der sie angehören.
Dieses Schema hat den Nachteil, dass die Benutzer nur an einer Stelle des Verzeichnisbaums angezeigt werden und daher nur zu einer Gruppe und deren übergeordneten Gruppen gehören können. Diese Gruppenzuordnung können Sie mit Identity Management oder der UME-API nicht ändern.
Die nachfolgende Grafik zeigt ein Schema, in dem eine Gruppe ein Baum ist.
Bei einer flachen Hierarchie hat die Verzeichnisinformationsstruktur für Benutzer- und Gruppendaten jeweils getrennte Zweige. Jede Gruppe muss über ein Attribut verfügen, das die Mitglieder dieser Gruppe aufzählt, z. B. in Form ihrer Benutzer-IDs.
Sie können dem Personenzweig ein Attribut hinzufügen, das die Gruppen auflistet, in deren Mitglied die Person ist. Dies kann beispielsweise beim Anmeldevorgang durch die UME verwendet werden und so die Performance verbessern. Wir empfehlen diese Vorgehensweise nur, wenn Ihr LDAP die automatische Pflege eines "Ist-Mitglied-von"-Attributs einer Person unterstützt. Wenn Sie versuchen Gruppen- und Personenzweige unabhängig voneinander zu pflegen, erhöht sich die Wahrscheinlichkeit von Inkonsistenzen erheblich.
Die Verwendung dieser Struktur bietet immer den Vorteil, dass ein Benutzer mehr als einer Gruppe angehören kann. Der Nachteil besteht darin, dass ein Benutzer, der dieser Hierarchie hinzugefügt wird, keiner Gruppe zugewiesen wird. Der Administrator muss eine explizite Zuordnung der Gruppen durchführen.
Die nachfolgende Grafik zeigt ein einfaches Beispiel einer flachen Hierarchie, in der jede Gruppe über ein Attribut verfügt, das die Mitglieder dieser Gruppe aufzählt. Es sind auch komplexere Bäume möglich, die mehrere Personen- oder Gruppenzweige enthalten.