Active Directory: הדור הבא

פלטפורמת ההזדהות של מיקרוסופט, ה-Active Directory, כבר בת יותר מ-10 שנים והטכנולוגיה מתחילה לכפות עליה שינויים שהיא לא באמת תוכל לעמוד בהם. בכנס PDC האחרון, הציגה מיקרוסופט את מה שמתוכנן להיות קפיצת המדרגה הבאה, תוסף ה-Next Generation Active Directory.

פלטפורמת ה-Active Directory של מיקרוסופט כבר בת יותר מ-10 שנים, אך במהלך השנים שעברו מאז שהוצגה לראשונה ב-Windows 2000, הצליחה המערכת לכבוש בסערה את רוב המוחלט של עולם ה-IT הארגוני, כאשר היום מעל ל-90% מ-2000 הארגונים הגדולים בעולם מתבססים על גרסאות שונות (2000-2008) של המערכת.

השינוי הגדול שעברו גופי ה-IT בעת המעבר מעולם ה-Pre-Active-Directory לעולם שאחריו, עוד לא חזר על עצמו עד היום ולמרות שרובנו אולי היינו מעדיפים לשכוח את הלילות הלבנים שבילינו עם המיגרציות הראשונות מ-Exchange 5.5 ל-Exchange 2000 (שהיה האפליקציה הראשונה שהתבססה על ה-Directory של מיקרוסופט), מיקרוסופט לא יכולה לאפשר לעצמה להישאר מאחור כשכל התעשייה מפנה את פניה לכיוון ענני המחשוב, בין אם פרטיים ובין אם ציבוריים.

קפיצת המדרגה הבאה של מיקרוסופט, הוצגה בכנס ה-PDC האחרון שנערך בנובמבר, אך לא כתחליף ל-AD, אלא כתוסף. התוסף החדש, אשר מבוסס על טכנולוגיית Directory Federation חדשה, נקרא כרגע בשם הקוד Next Generation Active Directory (או NGAD בקיצור) והוא מיועד לאפשר למפתחים API לגישה מובנית לאבני הבנייה של ה-Directory על-מנת לאפשר פיתוח של אפליקציות שיוכלו לרוץ בתוך הארגון, על מכשירים ניידים או על פלטפורמת הענן של מיקרוסופט (Azure). הרעיון שעומד בבסיס התוסף החדשה הוא שמשתמשים לא יצטרכו “לגעת” בפלטפורמת ה-AD הארגונית הקיימת היום, אך באמצעות ה-NGAD הם יקבלו את האפשרות לשכפל את המידע לספריות NGAD נוספות.

2008FeatureComponents

כל היכולות המובנות בתוך גרסת 2008 של Active Directory

ה-NGAD בעצם מבצע את קפיצת המדרגה עליה מדברים כבר שנים, כאשר הוא מאחסן את המידע של ה-Directory במסד נתונים מבוסס SQL ומשתמש במבנה הטבלאות וביכולות השאילתות השונות שלו על-מנת לענות על שאילתות שעד היום לא היה ניתן לבצע אותן בצורה נוחה או בכלל. לדוגמה, “תחזיר את כל המשתמשים הקיימים במערכת המדווחים למנהל ישראל ישראלי” או לחילופין, “תחזיר את רשימת המשתמשים שהייתה להם גישה לקובץ מסוים בתאריך ספציפי”. על-מנת להבטיח את נכונות התשובות, כל אחת התשובות, לאחר שהיא ניתנת על-ידי הגורם המאשר, חתומה דיגיטלית על-ידי המקור שאישר אותה, כאשר החתימה מוצמדות לכל תשובה והולכת איתה, לא משנה היכן היא מאוחסנת.

מיקרוסופט חילקה את הקוד של NGAD במהלך הכנס בנובמבר ומאז כבר הספיקו משתמשים לבדוק את היכולות השונות של המערכת. בכל המקומות בהם נתקלנו במאמרים על הפיתוח החדש, צוין כי השיפור המשמעותי ביותר נובע מההתבססות של ה-NGAD על מסד הנתונים SQL, הכולל גם מערכת ניהול מרכזית ל-Application Metadata ומודל Identity Deployment. כמו כן, ה-NGAD מציגה Schema חדשה הנקראת System.Identity ו-API התואם לה החשוף למפתחים באמצעות LINQ.

אחד הדברים שכל מנהל רשת חכם מפחד ממנו, הוא עדכון של ה-Schema. על אף העובדה שכולנו מבינים את המשמעות של העובדה שרוב השינויים ב-Schema הם לא באמת הפיכים, רק מעטים מאיתנו התנסו ב”תענוג” של ניקוי Schema אמיתי ורוב המקרים במידה ונתקלנו במשהו שלא היינו יכולים לשנות, העדפנו לבחור באפשרות ה”פשוטה יותר” של שחזור מגיבוי. התכנון מחדש של ה-Directory של ה-NGAD, אמור לאפשר התקנה של יכולות והרחבות חדשות מבלי “לדפוק” את המאגר המרכזי (ה-Central Repository), כאשר כל אחת מהאפליקציות מתבססת על גרסת NGAD של עצמה, מעין יחידה לוגית נפרדת, המשתפת אלמנטים כגון Schema ו-API עם המאגר המרכזי.

באופן כללי, ה-NGAD דומה למדי לקונספט שעומד מאחורי ה-Active Directory Federation Services, מודל ההרחבה של מיקרוסופט לשירותי הזדהות בין דומיינים נפרדים ללא קשרי Trust. אף על פי כך, NGAD מעלה את דרגת הקשרים הקיימת ב-Directory לרמה אחת מורכבת יותר. בניגוד למערכת הקשרים הקיימים ב-AD של היום, המורכבת בעיקר מקבוצות (או קבוצות דינאמיות במקרה המורכב יותר), ה-NGAD מאפשר למשתמשים ליצור קישורים מורכבים בין המידע המאוחסן ב-Directory כגון “חברים”, “תפקידי מערכת”, “שרשרת ניהול” ועוד, כאשר מערכות היחסית הללו יכולות להיות תלויות או לאפשר גישה למשאבים ביחס לכל אחת מההגדרות של האובייקטים השונים ב-Directory. לדוגמה, באמצעות NGAD, אני אוכל לתת הרשאה ל-“כל החברים שלי”, כאשר ההגדרה של מי חבר תקבע באמצעות אפליקציה כזאת או אחרת שתתחבר ל-Directory. לגבי החיבור לאפליקציות ותשתיות חיצוניות דוגמת רשתות חברתיות, מיקרוסופט עדיין לא מדברת, אך אחד המפתחים שדיבר בכנס האחרון ציין כי NGAD מפותח במטרה לתמוך בכל טכנולוגיות ה-Web ביותר וציין כדוגמה את RSS ו-REST במטרה ליצור קשרים בין NGAD לבין אפליקציות או שירותים שונים, כך שאין מן הנמנע שנראה גם חיבורים מהסוג הזה בהמשך.

ה-NGAD הוא הצעד הבא באסטרטגיה של מיקרוסופט ליצירת Identity MetaSystem שתאחד את כל הזהויות הקיימות של אנשים, בין אם בארגון, בענן או בכל מקום אחר, תחת כובע אחד, שלה. תוך כדי הבנייה של פלטפורמת ה-Azure של החברה, אין ספק ש-NGAD יהיה אחד מאבני היסוד אשר יאפשר למפתחים לעבור לעבודה בענן ובמקומות נוספים מחוץ לארגון תוך שמירה על מודל ההזדהות הקיים והתקשורת עם ה-Active Directory שיהפוך בשנים הקרובות לאפליקצית Legacy בעצמו.

חשוב לציין כי מיקרוסופט לא ציינה לוחות זמנים לשחרור תוסף ה-NGAD, אך לפי הערכה שלנו, סביר להניח שלא נראה את התוסף בצורה רשמית בשוק לפני הגרסה הבאה של Windows המתוכננת כרגע ל-2012.

יניב פלדמן

לשעבר העורך הראשי של גיקטיים ומייסד שותף של האתר. יזם, טכנולוג, כלכלן בהשכלה והיסטוריון חובב. התחביב האהוב עליו הוא מציאת פתרונות מסובכים לבעיות פשוטות במיוחד.

הגב

הגב ראשון!

avatar
Photo and Image Files
 
 
 
Audio and Video Files
 
 
 
Other File Types
 
 
 

* היי, אנחנו אוהבים תגובות!
תיקונים, תגובות קוטלות וכמובן תגובות מפרגנות - בכיף.
חופש הביטוי הוא ערך עליון, אבל לא נוכל להשלים עם תגובות שכוללות הסתה, הוצאת דיבה, תגובות שכוללות מידע המפר את תנאי השימוש של Geektime, תגובות שחורגות מהטעם הטוב ותגובות שהן בניגוד לדין. תגובות כאלו יימחקו מייד.

wpDiscuz

תגיות לכתבה: