Show TOC

Benutzer und Gruppen im LDAP-Verzeichnis organisierenLocate this document in the navigation structure

Die Einträge in einem LDAP-Verzeichnis sind in einer baumähnlichen Struktur organisiert, der Verzeichnisinformationsstruktur (DIT, Directory Information Tree). Die User Management Engine (UME) unterstützt folgende Methoden zur Organisation von Benutzern und Gruppen in einer Verzeichnisinformationsstruktur im LDAP-Verzeichnisdienst des Unternehmens:

  • Gruppen als Baum
  • Flache Hierarchie
Gruppen als Baum (tiefe Hierarchie)

Das Hauptmerkmal dieser Organisationsweise von Benutzern und Gruppen besteht darin, dass Benutzer als Einträge unter der Gruppe aufgeführt werden, der sie angehören.

Dieses Schema hat den Nachteil, dass die Benutzer nur an einer Stelle des Verzeichnisbaums angezeigt werden und daher nur zu einer Gruppe und deren übergeordneten Gruppen gehören können. Diese Gruppenzuordnung können Sie mit Identity Management oder der UME-API nicht ändern.

Die nachfolgende Grafik zeigt ein Schema, in dem eine Gruppe ein Baum ist.

 

Flache Hierarchie

Bei einer flachen Hierarchie hat die Verzeichnisinformationsstruktur für Benutzer- und Gruppendaten jeweils getrennte Zweige. Jede Gruppe muss über ein Attribut verfügen, das die Mitglieder dieser Gruppe aufzählt, z. B. in Form ihrer Benutzer-IDs.

Hinweis  

Sie können dem Personenzweig ein Attribut hinzufügen, das die Gruppen auflistet, in deren Mitglied die Person ist. Dies kann beispielsweise beim Anmeldevorgang durch die UME verwendet werden und so die Performance verbessern. Wir empfehlen diese Vorgehensweise nur, wenn Ihr LDAP die automatische Pflege eines "Ist-Mitglied-von"-Attributs einer Person unterstützt. Wenn Sie versuchen Gruppen- und Personenzweige unabhängig voneinander zu pflegen, erhöht sich die Wahrscheinlichkeit von Inkonsistenzen erheblich.

Die Verwendung dieser Struktur bietet immer den Vorteil, dass ein Benutzer mehr als einer Gruppe angehören kann. Der Nachteil besteht darin, dass ein Benutzer, der dieser Hierarchie hinzugefügt wird, keiner Gruppe zugewiesen wird. Der Administrator muss eine explizite Zuordnung der Gruppen durchführen.

Die nachfolgende Grafik zeigt ein einfaches Beispiel einer flachen Hierarchie, in der jede Gruppe über ein Attribut verfügt, das die Mitglieder dieser Gruppe aufzählt. Es sind auch komplexere Bäume möglich, die mehrere Personen- oder Gruppenzweige enthalten.