Aktiivihakemisto:
Active Directoryssä käytetään resurssien nimeämiseen avoimen standardin mukaista
DNS (Domain Name Services) – nimeämiskäytäntöä ja se pystyy vaihtamaan tietoa kaikkien sellaisten sovellusten ja hakemistojen kanssa, jotka tukevat
LDAP – standardia. LDAP:ssa määritetään standardimekanismit hakemistoon tallennettujen objektien hallintaan.
Keskeinen Active Directoryn tarjoama teknologia käyttäjien ja laitteiden hallitsemiseksi laajassa tuotantoympäristössä ovat käytäntöryhmät (Group Policy). Käytäntöryhmien avulla voidaan kontrolloida yli tuhatta asetusta joko käyttäjää tai konetta koskien. Hyödyntämällä käytäntöryhmiä saavutetaan tietoteknisessä ympäristössä mahdollisimman standardi ja helposti ylläpidettävä työasemaympäristö palveluineen.
Aktiivihakemisto toimii käyttäjien ja muiden toimialueresurssien keskitettynä hallintapisteenä. Käyttäjät tunnistautuvat työasemilta aktiivihakemistoon käyttäjiksi. Tunnistautuminen voidaan toteuttaa perinteisellä käyttäjätunnus / salasanaparilla, mutta aktiivihakemisto tukee myös varmenteisiin (
PKI) perustuvaa käyttäjän tunnistamista. Aktiivihakemiston varmennepalvelu on otettavissa yhtenä käyttöjärjestelmän palveluna käyttöön veloituksetta. Käyttöönoton jälkeen kaikki käyttäjät voivat kirjautua työasemiin käyttämällä esim.
HST – korttia. Aktiivihakemistoon voidaan toimialueen ulkopuolisia käyttäjiä tunnistaa erikseen määrittämällä teknologialla, esim. mobiilivarmenteilla. Liitos kansallisiin tunnistautumispalveluihin, esim.
VETUMA – hankeen tarjoamiin palveluihin voidaan rakentaa käyttäen standardirajapintoja. Aktiivihakemiston varmennepalvelu tukee
X.509 v3 – standardin mukaisia
varmenteita. Suomessa monet organisaatiot ovat ottaneet varmennepalvelun käyttöönsä ja täten merkittävästi vähentäneet käyttäjätunnusten ja salasanojen hallinnointiin liittyvää työtä. Yhtenä käyttäjäorganisaationa on
Väestörekisterikeskus, jonka sivulta
http://vrk.fineid.fi/download/logon_citizen.pdf löytyy toiminnallisuudesta tarkempi kuvaus. Varmennepalvelua voidaan jatkossa käyttää hyvin moneen eri käyttötarpeeseen. Näitä voivat olla:
- Sähköinen allekirjoitus
- Salattu sähköposti
- Salattu tiedostojärjestelmä
- Langattoman verkon tietoliikenteen salaaminen
Active Directoryn tunnistettua käyttäjän, tätä tietoa käytetään erilaisten resurssien (esim. tiedostojärjestelmä) käyttöoikeuksien tutkimisessa. Käyttäjän tavoitellessa haluttua resurssia käyttäjän tunnistustietoa verrataan resurssiin liitettyyn oikeusmäärittelyyn ja tätä kautta voidaan tarvittaessa tiedostotasolla määritellä käyttäjän oikeudet. Valtuutuspalvelujen hallintaa varten voidaan muodostaa ryhmiä joihin yksittäiset käyttäjät lisätään. Ryhmille annetaan heidän tarvitsemansa oikeudet. Aktiivihakemistossa voidaan haluttaessa tietojen hallinnointiin delegoida oikeus attribuuttitasolla. Graafisesta käyttöliittymästä voidaan määritellä, ketkä saavat lukea esimerkiksi käyttäjän puhelinnumerotietoa, ketkä voivat tietoa päivittää ja keille ei anneta oikeutta edes lukea ko. tietoa. Aktiivihakemiston skema pitää sisällään oletusarvoisesti yli 70 käyttäjään liittyvää attribuuttia ja tarvittaessa aktiivihakemiston skemaa voidaan päivittää.
Ratkaisussa käyttäjien tietojen master-kantana toimii aktiviihakemisto. Käyttäjät luodaan, käyttäjien tietoja päivitetään ja käyttäjät poistetaan aktiivihakemistossa. Mikäli käyttäjätietoja halutaan hallinnoida jostain toisesta hakemistopalvelusta, esim. palkkajärjestelmästä, on tämä täysin toteutettavissa
metahakemiston avulla.