PDF-Download
Transcription
PDF-Download
INTEGRATION STATT MIGRATION 08/2006 Das Magazin rund um IT-Themen INTEGRATION STATT MIGRATION: NOTES/DOMINO UND SHAREPOINT INTEGRIERT NUTZEN Die IT großer Unternehmen ist inzwischen geprägt von Historien und zwar in allen Bereichen. Hohe Investitionen sind sowohl in produktionsunterstützende als auch kollaborative Anwendungssysteme geflossen. Selten gibt es eine wirtschaftliche Begründung, ältere, aber funktionierende Systeme durch „moderne“ zu ersetzen. Domänencontroller unter Windows Server 2003 Active Directory für die Domäne labdomain .local Synchronisierung zwischen Active Directory und Domino Directory über ADSync Domänencontroller Client mit Internet Explorer Computer von Elke Foßan „If it ain‘t broke, don‘t fix it“ – wie die Amerikaner sagen. Das gilt natürlich auch für Notes/Domino Systeme, die man zwar funktional durch die entsprechenden Microsoft Produkte ablösen könnte, aber aus wirtschaftlichen Überlegungen jetzt noch nicht austauscht. Doch Microsoft rückt mit seinen Servern wie Exchange, BizTalk und vor allem SharePoint immer näher an die „blaue Burg“ heran; genau genommen steht Microsoft schon am Wassergraben und hat die Burg umzingelt. Statt nun einen Kleinkrieg über den Graben hinweg zu starten, ist es viel produktiver und wirtschaftlicher, Brücken zu bauen und zusammenzuarbeiten. Im nachfolgenden behandeln wir daher im Überblick die Möglichkeiten bei der Authentifizierung über Kerberos (Single Sign -On) Import der UserAccount Daten inc . Properties aus AD Zugriff auf das SharePoint Portal mit integriertem Domino Web Access WebPart Lotus Notes Domino 7 Server Domino Directory Domino Web Access Server Server MOSS 2007 im Kerberos Authentifizierungsmodus Integration von Notes/Domino und Microsoft SharePoint Services/Server. NOTES/DOMINO In der Praxis geht es in der Regel um zwei Themenschwerpunkte: - PIM Dienste wie Mail, Kalender und Aufgaben - und Notes Applikationen Während für den ersten Fall eine Migration nach Exchange und Outlook sowohl kalkulierbar als auch machbar ist, gilt das für den zweiten Fall nicht unbedingt. Integration ist also angesagt: aber wie? Addressierung von Domino Web Access im Page Viewer Web Part HERAUSFORDERUNGEN Vor den Erfolg haben die Götter den Schweiß gesetzt, in diesem Fall in Form von: - Single Sign-On - Directory Synchronisation - Security / Zugriffsrechte - Suchen in Domino - Einbinden von Notes Anwendungen um nur einige wichtige zu nennen. In der Grafik oben ist der Aufbau des Prototypen dargestellt, mit dem die hier beschriebenen Methoden getestet wurden. ©2006 PENTASYS GmbH Die zwei Welten im Vergleich IBM Notes/Domino Microsoft Produkte • Domino Enterprise Server • Tivoli Directory Server • Windows Active Directory • Lotus Notes/Domino • Domino Web Access • Outlook/Exchange • Outlook Web Access Unified Messaging • Domino Unified Communications • Live Communications Server Instant Messaging • Sametime Client • IBM Lotus Sametime Server • Office Communicator (Client) • Live Communications Server Conferencing • Sametime • IBM Lotus Web Conferencing Service • Live Meeting • Live Meeting Server Collaborative Workspaces • Notes/Domino Quickplace • Windows SharePoint Services • SharePoint Portal Server Verzeichnisdienst Messaging & Kalender VERFÜGBARE SCHNITTSTELLEN BEI NOTES/DOMINO FÜR DIE INTEGRATION MIT ANDEREN SYSTEMEN Browser Um auf Notes/Domino-Daten aus anderen Systemen bzw. Programmen zuzugreifen, stehen folgende Schnittstellen zur Verfügung: IIS & SharePoint Portal WebPart Page Viewer mit Domino URL URL Domino HTTP & AMgr Background Agent APP NSF HTTP Interface Der größte Teil der Domino Funktionalität wird als natives http Interface exponiert, auf das ohne Kodierung zugegriffen werden kann. Dafür stellt Domino eine Reihe von „URL Kommandos“ zur Verfügung über die seine Funktionen zugänglich sind. In MS SharePoint spricht man dieses Interface über das „PageView WebPart“ an. ADO.NET Interface Der ADO.NET Data Driver für Notes Datenbanken abstrahiert die nicht-relationalen Daten in Notes. Damit existiert eine standardisierte .NET Methode für die Interaktion mit Notes/Domino. Für die Integration mit MS SharePoint kann diese Schnittstelle genutzt werden. Wir raten allerdings zur Vorsicht: externe Zugriffe auf Datenbanken unter Applikationen sind immer kritisch. COM Interface Notes/Domino Funktionalität ist über ein Objektmodell „Call Domino Objects“ programmatisch zugänglich. Es gibt Schnittstellen für LotusScript, Java, Java Script, OLE. LotusScript ist ein natives BASIC und kann COM Interfaces bedienen. Weil Visual Studio® .NET auch mit COM Interfaces arbeiten kann, und zwar aufrufend und aufgerufen, kann damit auch für Notes/Domino programmiert werden. .NET Clients (generell .NET Programme) rufen Domino Objekte über einen speziellen „RuntimeCallable-Wrapper“. .NET Client oder .NET WebService Domino COM call ©2006 PENTASYS GmbH RCW .NET call Unser Maßstab ist der Mensch XML Interface Notes/Domino kann alle Daten und Design–Elemente über XML importieren und exportieren. Die Domino Objekte beinhalten einen SAX und DOM Parser sowie einen XSLT Transformer. In MS SharePoint ist die Verarbeitung von XML sowieso die natürlichste Sache: die gesamte Office 2007 Suite baut auf XML auf. WebServices Interface Der Domino Server kann WebServices hosten und WebServices aufrufen. WS zu hosten geht prinzipiell ab Domino R5, nativ und elegant aber erst ab R7. Meist spielt ein kleiner, dedizierter R7 Server WS Gateway zu den produktiven Domino Servern (auch mit älteren Releases). Die Integration in SharePoint ist über diese Schnittstelle besonders einfach, da ein InfoPath-Formular als Client benutzt werden kann. Die Datenelemente können bequem per Drag&Drop auf der Formularfläche angeordnet werden. Anschließend wird das InfoPath Template zur Verwendung als Seitenelement im SharePoint publiziert. Domino Back-End Klassen SOAP WebAgent nsf Lotus-Script Bibliothek WS Client WSDL AUSFÜHREN VON NOTES/DOMINO PROGRAMMEN AUS .NET ANWENDUNGEN Grundsätzlich folgt man dem Sandbox- und Agent-Konzept, mit der Zielsetzung, Programme sicher und unter Einhaltung gesetzter Limits auszuführen. Notes/Domino bietet dazu ein Konzept mit „untrusted users“. Darin können „Agenten“ (agents) mit LotusScript oder Java erstellt werden. Diese Agenten laufen mit eingeschränkten Rechten. .NET beinhaltet vergleichbare Konzepte in der Common Language Runtime (CLR) und der Code Access Security (CAS). SECURITY-THEMEN BEIM ZUGRIFF AUF LOTUS/DOMINO AUS .NET UMGEBUNGEN Authentisierung in Notes/Domino Notes nutzt RSA Private Key Encryption für Passwörter. Abgelegt in dem Notes ID File kann sich damit ein Benutzer an allen Domino Sites authentisieren. Single sign-on in einer gemischten Umgebung Das Notes/Domino Passwort kann mit dem Windows Domain Login Passwort synchronisiert werden. Der Benutzer meldet sich nur mit seinem Windows Domain Namen und Passwort an. Windows liefert die Kerberos Credentials, danach kommt das Notes ID File ins Spiel. Access Control Lists in Notes/Domino User, Domino Server und Programme werden über ihre Namen authentisiert. Notes/ Domino Gruppen können aus allen dreien (auch geschachtelt) aufgebaut sein. Die Namen der User und der Gruppen können in Notes/Domino oder anderen Directories (z.B. AD) gepflegt werden. Die Access Control Lists (ACLs) verbinden Rechte an Ressourcen mit Namen von Usern oder Gruppen. OPTIONEN ZUR SYNCHRONISATION ADSync (ab Domino R6) Mit dem IBM Tool ADSync können Administratoren User und Gruppen sowohl im Domino Directory als auch im Active Directory von .NET mit einer einzigen Operation verwalten (Register / Delete / Rename). Bei der Verwendung von Active Directory als führendes System sollte beachtet werden, daß das Anlegen der Benutzerprofile gleich unter Verwendung einer geeigneten Policy erfolgt, welche die Domino Web Access Option aktiviert. SharePoint Portal Server wird initial im Kerberos Authentifizierungsmodus aufgesetzt. Dies ermöglicht den späteren Zugriff des Anwenders auf das SharePoint Portal per single sign-on. Das bedeutet: für den Zugriff des Anwenders auf das SharePoint Portal werden gleich die bei der Windows-Anmeldung benutzten Credentials verwendet. Der Benutzer muss sich nicht noch einmal zusätzlich am SharePoint anmelden. ©2006 PENTASYS GmbH 08/2006 INTEGRATION STATT MIGRATION blickpunkte – Das Magazin rund um ITThemen ist ein kostenloser Newsletter der PENTASYS GmbH ÜBER DIE PENTASYS GMBH: Unter dem Motto „Lösungen, Innovationen und mehr …“ ist die PENTASYS Gesellschaft für Informationstechnologie mbH ein führender Anbieter von IT Services in den Bereichen Anwendungsentwicklung, Webapplikation und Systeminfrastruktur, sowie Business - und Technisches Consulting. Mit Lösungen auf höchstem Niveau ist PENTASYS seit 1995 Partner zahlreicher namhafter Unternehmen aus der Wirtschaft und Körperschaften des öffentlichen Rechts. IBM Tivoli Directory Integrator Eine weitere Option für die Synchronisation des Notes/Domino Directory mit dem MS Active Directory ist der IBM Tivoli Directory Integrator: Die Daten bleiben dabei in ihren individuellen Containern (Domino Directory, Directory Server, Active Directory) oder auch Anwendungen (CRM, ERP, …). IBM Tivoli Directory Integrator wird schon mit einer Reihe von Konnektoren zu Standard Directories und Applikationen ausgeliefert. eher organisatorische Hemmnisse, die eine produktivitätsfördernde Integration verhindern. COPYRIGHT: Alle Inhalte, auch Konzepte und Design, des Newsletters sind urheberrechtlich geschützt. Das Copyright/Urheberrecht liegt dabei bei der PENTASYS GmbH. Das Zitieren ist unter Berücksichtigung der üblichen Regeln und Hinweise gestattet. Das Kopieren oder der Nachdruck, auch auszugsweise, sowie fotomechanische Wiedergabe oder Erfassung auf Datenträgern ist nur mit schriftlicher Genehmigung der PENTASYS GmbH zulässig. Sofern in den vorliegenden Inhalten Marken und geschäftliche Beziehungen verwendet werden, auch wenn diese nicht als solche gekennzeichnet sind, gelten die entsprechenden Schutzbestimmungen. DAS ERGEBNIS Selbst mit den einfachsten Mitteln, der Integration über die http-Schnittstelle und dem PageViewer WebPart sind schon sehr produktive Integrationslösungen möglich. Im obigen Bildausschnitt sieht man die nahtlose Einbindung eines Notes Kalenders in ein SharePoint Portal. Der Kalender kann dabei selbstverständlich sowohl in Notes als auch über das SharePoint Portal gepflegt werden. FAZIT Technisch gesehen gibt es keine Ausreden mehr: es sind alle Möglichkeiten vorhanden, einen historisch gewachsenen Notes/Domino Bestand an eine daneben neu entstehende SharePoint Landschaft zu koppeln. Oft jedoch fehlt die Bereitschaft, Brücken über die Abteilungsgräben hinweg zu bauen. In großen Unternehmen sind es heute Durch die Gründung der PENTASYS consulting GmbH hat die PENTASYS GmbH ihre Angebotspalette spezifisch abgerundet. Dem Anspruch, Kunden durch professionelle Leistungen einen hohen Nutzen zu verschaffen, wird durch diesen Ausbau des umfassenden Netzwerks an kompetenten Partnern weiter Rechnung getragen. Die PENTASYS GmbH hat ihren Hauptsitz in München sowie eine Niederlassung in Wiesbaden und beschäftigt derzeit ca. 120 Mitarbeiter. Im Jahr 2005 setzte das Unternehmen ca. 9,1 Mio. Euro um. ÜBER DIE AUTORIN Seit über 10 Jahren ist Elke Foßan in der IT-Branche als Beraterin und Projektleiterin tätig. Neben den klassischen Infrastrukturthemen wie Windows Server, Active Directory und Exchange Server arbeitet sie speziell an den Systeminfra strukturrelevanten Aufgabenstellungen der neuen Microsoft Office Server Systeme SharePoint Portal Server 2007 und Project Server 2007. KONTAKT: PENTASYS Gesellschaft für Informationstechnologie mbH Rüdesheimer Straße 9 80686 München Tel.: (0 89) 5 79 52-0 Fax: (0 89) 5 79 52-399 E-Mail: [email protected] Internet: www.pentasys.de www.pentasys-consulting.de ©2006 PENTASYS GmbH