Servicios de Infraestructura Utiles al Desarrollo de Aplicaciones

1
Servicios de Infraestructura Utiles al Desarrollo
de Aplicaciones

• Pablo Tloupakis
• Architectural Consultant
• pablot_at_microsoft.com

2
Agenda

• 1. Problemática
• 2. Servicios de Infraestructura
• 3. Conclusiones
• 4. Información Adicional

3
1. Problemática

• Cuál es el diseño de infraestructura
  recomendado?
• Donde ubicar los Web Servers, Application
  Servers, Bases de Datos,etc.
• DMZ, redes internas, etc.
• Qué puertos necesito?
• Cuál es la arquitectura recomendada?
• Cómo evitar pelearme con los arquitectos de
  infraestructura?

• Cuál es la mejor estrategia de utilización de
  Active Directory en mi aplicación?
• En qué casos me conviene Active Directory?
• Cómo y donde almaceno perfiles en Active
  Directory?

• Cómo puedo administrar autorización con roles
  integrado al directorio?
• Cómo puedo potenciar Web Services y COM con el
  directorio?

4
2. Servicios de Infraestructura

• 2.1. Microsoft Systems Architecture (MSA)
• 2.2. Application Partitions
• 2.3. Active Directory Application Mode (AD/AM)
• 2.4. Application Authorization (AzMan)
• 2.5. UDDI y Active Directory
• 2.6. COM Partitions y Active Directory

5
2.1. Microsoft Systems Architecture (MSA)

• Guía prescriptiva para la implementación de
  arquitecturas y servicios de infraestructura en
  plataforma Microsoft
• Diseños recomendados y best practices de
  infraestructura
• Forma parte del PAG, Patterns Practices para
  infraestructura
• Más que whitepapers
• Arquitecturas pre-evaluadas en ambientes de
  laboratorio
• Provisión de
• Arquitecturas de Referencia
• Configuración detallada para cada componente de
  la solución
• Guía de Planeamiento
• Guía de Construcción e Implementación
• Guía de Operaciones
• Solución desarrollada con Socios de Negocios
  Microsoft

6
2.1. Microsoft Systems Architecture (MSA)

• MSA v2.0 puede ser aplicable a
• a) Escenarios específicos
• Corporate Data Center (CDC) 
• Satellite Branch Office (SBO)
• Department 
• Extranet 
• Internet Data Center 
• b) Servicios específicos
• Network Devices
• Storage Devices
• Network Services
• Firewall Services
• Directory Service
• File Print Services
• Data Services
• Web Application Services
• Infrastructure Mgmt Services
• Backup Recovery Services
• Certificate Services

• Enfoque modular y matricial
• No implica la implementación total de la solución

7
Aplicaciones en Active DirectoryProblemática

• Microsoft recomienda la utilización de Active
  Directory como repositorio de información de
  configuración, datos y perfiles de aplicaciones
• Pero.
• Mas datos en AD implica mayor replicación
• Impacto en infraestructura
• Se recomienda que los datos almacenados en AD
  sean relativamente estáticos
• No apto para perfiles
• El Schema es extensible
• Pero se recomienda ser conservador con los
  cambios en el Schema
• La replicación no es adaptable a necesidades de
  la aplicaciones sino de la infraestructura
• No es posible definir por el administrador de una
  aplicación a que servidores específicos se
  replican los datos
• El cronograma de replicación está determinado por
  la infraestructura y no por las aplicaciones

8
Aplicaciones en Active DirectorySoluciones de
Infraestructura

• 2.2. Application Partitions
• 2.3. Active Directory Application Mode (AD/AM)

9
2.2. Application Partitions

• Particiones en Windows 2000
• Configuration Partition forest wide
• Schema Partition forest wide
• Domain Partition domain wide
• Particiones en Windows 2003
• Configuration Partition forest wide
• Schema Partition forest wide
• Domain Partition domain wide
• Application Partitions
• También llamadas non-domain naming contexts ó
  NDNCs

10
2.2. Application Partitions

• Particiones AD orientadas a almacenamiento de
  información temporaria o de carácter volátil.
  Ejemplos
• Datos de configuración de una aplicación
• Objetos propios de la aplicación
• Pueden ser creadas y replicadas a cualquier
  Domain Controller del forest
• Definidos por el administrador
• Cronograma de replicación independiente del de
  particiones AD tradicionales
• Puede contener objetos AD de cualquier tipo
• Excepto Security Principals (users, groups,
  computers)
• Se pueden asignar permisos a usuarios del
  dominio/forest en objetos de una Application
  Partition
• Utilizadas en Windows 2003 para
• Zonas DNS
• AD/AM
• COM partitions
• TAPI Applications

11
2.3. Active Directory Application Mode (AD/AM)

• Versión light de Active Directory
• Directorio LDAP de Microsoft
• Mismo modelo de programación que AD
• Esquema de replicación y administración similar a
  AD
• Storage idéntico a AD
• Schema reducido
• Diferencias con Active Directory
• No soporta protocolo MAPI
• No es necesario ejecutar DCPROMO
• No convierte al equipo en un Domain Controller
• Se ejecuta en su propio procesos/servicio
• Restart/reinstall sin reboot

12
2.3. Active Directory Application Mode (AD/AM)

• Permite Schema propio de la aplicación
• No impacta en Schema estándar de Active
  Directory
• Account y password policies por partición
• Account lockout, disable/enable
• Password complexity, min/max age
• Permite crear
• Windows Security Principals
• Cualquier WSP puede ser autenticado/autorizado en
  ADAM vía LDAP, Kerberos ó NTLM
• ADAM Security Principals
• Users y Groups
• Usuarios y grupos específicos a la partición
• No son visibles en otras particiones ó AD
• Tienen SID con el mismo formato que AD
• Pueden ser creadas y replicadas a cualquier
  Domain Controller del forest
• Definidos por el administrador
• Cronograma de replicación independiente del de
  particiones AD tradicionales

13
AD/AM Esquema de Replicación

• Cada instancia de AD/AM puede contener múltiples
  particiones
• Cada instancia es un servicio Win32, con su
  propio puerto
• Las instancias pueden ser agrupadas en un
  Configuration Set
• Cada Configuration Set tiene un Schema común
• N instancias por servidor

14
AD/AM Ejemplo Perfil
Store/ retrieve data
Web portal
Authentication
Client
Server
Infrastructure Active Directory

• Ejemplo portal Web con personalización
• Información de personalización en ADAM
• Utilización AD para autenticación

15
AD/AM Ejemplo Proxy Logon
Web portal
Authentication Proxy Logon
Authentication
Store/ retrieve data
Client
Server
Infrastructure Active Directory

• Ejemplo portal Web con personalización
• Información de personalización en ADAM
• Logon a AD a través de AD/AM Proxy Logon

16
2.4. Application Authorization (AzMan)

• Modelo estándar para administración de
  autorización en aplicaciones
• Role Based Administracion
• Administración de roles mas dinámica que grupos
  de usuario Active Directory
• Separación de administración de grupos de
  infraestructura de grupos de aplicaciones
• Define
• Role Set of work-units defined by a job
  description
• Task Work-unit that makes sense to admins
• Operation Work-unit that makes sense to
  developers
• Biz Rule Runtime script to adjust task
  permissions
• Scope Set of resources where role applies
• Application group App specific, Static or LDAP
  query
• El store puede ser
• Active Directory
• Requiere dominio en modo Windows Server 2003
• Archivos XML

17
ADAM vs Application Partitions
App partition
LDAP
Client
Server
Infrastructure Active Directory

• Application Partition en Active Directory
• Ventaja backup centralizado, parte de la
  infraestructura
• Desventaja utiliza el mismo Schema que Active
  Directory
• ADAM
• Ventajas schema, naming y cronograma de
  replicación independientes de AD
• Desventaja no hay administración centralizada

18
RoleTasks, TaskOperations
Web Expense Application
Database Operation
Web Operation
Directory Operation
Payment System Operation
19
Role Definitions Assignments, Scopes
Web Expense Application
Role Definitions
Submitter
Administrator
Approver
Submitter Employees
Scope Default
Web Expense Role Assignments
Approver QueryGroup_Mgr Administrator Jane,
Liz
Dept 01 Role Assignments
Scope Dept 01
Approver QueryGroup_Admin Administrator Jane,
Charlie
Scope Dept 02
Dept 02 Role Assignments
20
2.5. UDDI y Active Directory

• Servicios UDDI pueden ser publicados en Active
  Directory
• Windows Server 2003
• Administración de Autenticación y Autorización a
  través de Grupos y Usuarios Active Directory
• Utilización de los mecanismos de resolución de
  nombres de AD para localización de servidores en
  la red con servicios UDDI para clientes
• Discovery de instancias de UDDI Services
• Visual Studio.NET AddWebReference
• UDDI SDK
• Office System/Infopath

21
2.6. COM Partitions y Active Directory
22
COM Partitions

• COM Partition
• Contenedor lógico que permite la ejecución de una
  misma aplicación con configuraciones distintas e
  independientes entre cada partición

• Ejemplo
• Aplicación hosted para múltiples empresas
• Cada empresa está representada por una COM
  Partition
• En cada COM Partition se ejecuta la versión
  propia para cada empresa
• Cada empresa ejecuta código client side de la
  aplicación localmente y se conecta a su COM
  Partition

23
COM Partitions

• Beneficios
• Reducción de cantidad de servidores físicos para
  ejecución de múltiples configuraciones de una
  misma aplicación
• Permite generación de múltiples ambientes para
  una aplicación
• Ejemplos Desarrollo, Testing, Producción, etc.
• Administración y delegación de seguridad y roles
  COM a nivel de cada partición individual
• Hosting de aplicaciones COM

24
COM Partitions y Active Directory

• Creación de Partition Set en un dominio Active
  Directory
• Cada Partition Set puede contener múltiples COM
  Partitions
• A efectos de permitir el acceso a la aplicación,
  las cuentas de usuarios, grupos u Organization
  Units son asignadas a cada Partition Set
• Tareas de configuración (alto nivel)
• En el Domain Controller
• Creación de COM Partition
• Creación de Partition Set
• Asignación de COM Partition a Partition Set
• Asignación usuarios, grupos, OUs a Partition Set
• En el COM Application Server
• Creación de COM Partition
• Link a Partition Set de Active Directory

25
3. Conclusiones
Best Practices Infraestructura
MSA v2.0 Windows 2000/2003
Particiones de Directorio específicos de
aplicación
Active Directory Application Partitions Windows
Server 2003
Directorio LDAP, almacenamiento de perfiles
Active Directory Application Mode (AD/AM)
Windows Server 2003
Mecanismo de Administración de Roles para
aplicaciones integrada con el directorio
Application Authorization API (AzMan) Windows
2000/2003
Publicación de servicios UDDI en el Directorio
Corporativo
Windows Server 2003 UDDI Services y Active
Directory 2003
Ejecución de una misma aplicación COM con
múltiples versiones y configuraciones
Windows Server 2003 COM Partitions y Active
Directory 2003
26
Información Adicional

• Programa Microsoft Systems Architecture
• http//www.microsoft.com/solutions/msa/default.asp
  
• Solución MSA v2.0
• http//www.microsoft.com/downloads/details.aspx?Fa
  milyIdF2BF7811-F13F-4E70-8F69-5636F2105396displa
  ylangen
• Active Directory Application Mode
• http//www.microsoft.com/downloads/details.aspx?Fa
  milyId9688F8B9-1034-4EF6-A3E5-2A2A57B5C8E4displa
  ylangen