PDF-Download

INTEGRATION STATT MIGRATION
08/2006
Das Magazin rund um IT-Themen
INTEGRATION STATT MIGRATION:
NOTES/DOMINO UND SHAREPOINT
INTEGRIERT NUTZEN
Die IT großer Unternehmen ist
inzwischen geprägt von Historien und zwar in allen Bereichen.
Hohe Investitionen sind sowohl in
produktions­unterstützende als auch
kollaborative Anwendungs­systeme
geflossen. Selten gibt es eine
wirtschaftliche Begründung, ältere,
aber funktionierende Systeme durch
„moderne“ zu ersetzen.
Domänencontroller unter Windows Server 2003
Active Directory für die Domäne labdomain .local
Synchronisierung zwischen Active
Directory und Domino Directory über
ADSync
Domänencontroller
Client mit
Internet
Explorer
Computer
von Elke Foßan
„If
it ain‘t broke, don‘t fix it“ – wie
die Amerikaner sagen. Das
gilt natürlich auch für Notes/Domino
Systeme, die man zwar funktional durch
die entsprechenden Microsoft Produkte
ablösen könnte, aber aus wirtschaftlichen
Überlegungen jetzt noch nicht austauscht.
Doch Microsoft rückt mit seinen Servern wie
Exchange, BizTalk und vor allem SharePoint
immer näher an die „blaue Burg“ heran;
genau genommen steht Microsoft schon
am Wassergraben und hat die Burg
umzingelt.
Statt nun einen Kleinkrieg über den Graben
hinweg zu starten, ist es viel produktiver
und wirtschaftlicher, Brücken zu bauen
und zusammenzuarbeiten. Im nach­folgenden behandeln wir daher im
Überblick die Möglichkeiten bei der
Authentifizierung über
Kerberos
(Single Sign -On)
Import der UserAccount Daten inc . Properties aus
AD
Zugriff auf das SharePoint Portal mit
integriertem Domino Web Access
WebPart
Lotus Notes Domino 7 Server
Domino Directory
Domino Web Access
Server
Server
MOSS 2007 im Kerberos
Authentifizierungsmodus
Integration von Notes/Domino und
Microsoft SharePoint Services/Server.
NOTES/DOMINO
In der Praxis geht es in der Regel um zwei
Themenschwerpunkte:
- PIM Dienste wie Mail, Kalender und
Aufgaben
- und Notes Applikationen
Während für den ersten Fall eine Migration
nach Exchange und Outlook sowohl
kalkulierbar als auch machbar ist,
gilt das für den zweiten Fall nicht
unbedingt. Integration ist also angesagt:
aber wie?
Addressierung von Domino
Web Access im Page
Viewer Web Part
HERAUSFORDERUNGEN
Vor den Erfolg haben die Götter den
Schweiß gesetzt, in diesem Fall in
Form von:
- Single Sign-On
- Directory Synchronisation
- Security / Zugriffsrechte
- Suchen in Domino
- Einbinden von Notes Anwendungen
um nur einige wichtige zu nennen.
In der Grafik oben ist der Aufbau des
Prototypen dargestellt, mit dem die
hier beschriebenen Methoden getestet
wurden.
©2006 PENTASYS GmbH
Die zwei Welten im Vergleich
IBM Notes/Domino
Microsoft Produkte
• Domino Enterprise Server
• Tivoli Directory Server
• Windows Active Directory
• Lotus Notes/Domino
• Domino Web Access
• Outlook/Exchange
• Outlook Web Access
Unified
Messaging
• Domino Unified
Communications
• Live Communications Server
Instant
Messaging
• Sametime Client
• IBM Lotus Sametime Server
• Office Communicator (Client)
• Live Communications Server
Conferencing
• Sametime
• IBM Lotus Web
Conferencing Service
• Live Meeting
• Live Meeting Server
Collaborative
Workspaces
• Notes/Domino
Quickplace
• Windows SharePoint
Services
• SharePoint Portal Server
Verzeichnisdienst
Messaging &
Kalender
VERFÜGBARE SCHNITTSTELLEN BEI NOTES/DOMINO FÜR DIE INTEGRATION
MIT ANDEREN SYSTEMEN
Browser
Um auf Notes/Domino-Daten aus anderen Systemen bzw. Programmen zuzugreifen,
stehen folgende Schnittstellen zur Verfügung:
IIS & SharePoint Portal
WebPart Page
Viewer mit Domino
URL
URL
Domino HTTP & AMgr
Background
Agent
APP
NSF
HTTP Interface
Der größte Teil der Domino Funktionalität wird als natives http Interface exponiert,
auf das ohne Kodierung zugegriffen werden kann. Dafür stellt Domino eine Reihe von
„URL Kommandos“ zur Verfügung über die seine Funktionen zugänglich sind. In MS
SharePoint spricht man dieses Interface über das „PageView WebPart“ an.
ADO.NET Interface
Der ADO.NET Data Driver für Notes Datenbanken abstrahiert die nicht-relationalen
Daten in Notes. Damit existiert eine standardisierte .NET Methode für die Interaktion
mit Notes/Domino. Für die Integration mit MS SharePoint kann diese Schnittstelle genutzt werden. Wir raten allerdings zur Vorsicht: externe Zugriffe auf Datenbanken unter Applikationen sind immer kritisch.
COM Interface
Notes/Domino Funktionalität ist über ein Objektmodell „Call Domino Objects“
programmatisch zugänglich. Es gibt Schnittstellen für LotusScript, Java, Java Script, OLE.
LotusScript ist ein natives BASIC und kann COM Interfaces bedienen.
Weil Visual Studio® .NET auch mit COM Interfaces arbeiten kann, und zwar aufrufend
und aufgerufen, kann damit auch für Notes/Domino programmiert werden. .NET Clients
(generell .NET Programme) rufen Domino Objekte über einen speziellen „RuntimeCallable-Wrapper“.
.NET Client oder
.NET WebService
Domino
COM call
©2006 PENTASYS GmbH
RCW
.NET call
Unser Maßstab ist der Mensch
XML Interface
Notes/Domino kann alle Daten und Design–Elemente über XML importieren und exportieren. Die Domino Objekte beinhalten einen SAX und DOM Parser sowie einen XSLT
Transformer. In MS SharePoint ist die Verarbeitung von XML sowieso die natürlichste
Sache: die gesamte Office 2007 Suite baut auf XML auf.
WebServices Interface
Der Domino Server kann WebServices hosten und
WebServices aufrufen. WS zu hosten geht prinzipiell ab Domino R5, nativ und elegant aber erst ab
R7. Meist spielt ein kleiner, dedizierter R7 Server WS
Gateway zu den produktiven Domino Servern (auch
mit älteren Releases). Die Integration in SharePoint
ist über diese Schnittstelle besonders einfach, da ein
InfoPath-Formular als Client benutzt werden kann. Die
Datenelemente können bequem per Drag&Drop auf
der Formularfläche angeordnet werden. Anschließend
wird das InfoPath Template zur Verwendung als
Seitenelement im SharePoint publiziert.
Domino
Back-End
Klassen
SOAP
WebAgent
nsf
Lotus-Script
Bibliothek
WS Client
WSDL
AUSFÜHREN VON NOTES/DOMINO PROGRAMMEN
AUS .NET ANWENDUNGEN
Grundsätzlich folgt man dem Sandbox- und Agent-Konzept, mit der Zielsetzung,
Programme sicher und unter Einhaltung gesetzter Limits auszuführen. Notes/Domino
bietet dazu ein Konzept mit „untrusted users“. Darin können „Agenten“ (agents) mit
LotusScript oder Java erstellt werden. Diese Agenten laufen mit eingeschränkten
Rechten. .NET beinhaltet vergleichbare Konzepte in der Common Language Runtime
(CLR) und der Code Access Security (CAS).
SECURITY-THEMEN BEIM ZUGRIFF AUF LOTUS/DOMINO
AUS .NET UMGEBUNGEN
Authentisierung in Notes/Domino
Notes nutzt RSA Private Key Encryption für Passwörter. Abgelegt in dem Notes ID File
kann sich damit ein Benutzer an allen Domino Sites authentisieren.
Single sign-on in einer gemischten Umgebung
Das Notes/Domino Passwort kann mit dem Windows Domain Login Passwort synchronisiert werden. Der Benutzer meldet sich nur mit seinem Windows Domain Namen und
Passwort an. Windows liefert die Kerberos Credentials, danach kommt das Notes ID File
ins Spiel.
Access Control Lists in Notes/Domino
User, Domino Server und Programme werden über ihre Namen authentisiert. Notes/
Domino Gruppen können aus allen dreien (auch geschachtelt) aufgebaut sein. Die
Namen der User und der Gruppen können in Notes/Domino oder anderen Directories
(z.B. AD) gepflegt werden. Die Access Control Lists (ACLs) verbinden Rechte an
Ressourcen mit Namen von Usern oder Gruppen.
OPTIONEN ZUR SYNCHRONISATION
ADSync (ab Domino R6)
Mit dem IBM Tool ADSync können Administratoren User und Gruppen sowohl im
Domino Directory als auch im Active Directory von .NET mit einer einzigen Operation
verwalten (Register / Delete / Rename).
Bei der Verwendung von Active Directory als führendes System sollte beachtet werden,
daß das Anlegen der Benutzerprofile gleich unter Verwendung einer geeigneten Policy
erfolgt, welche die Domino Web Access Option aktiviert.
SharePoint Portal Server wird initial im Kerberos Authentifizierungsmodus aufgesetzt.
Dies ermöglicht den späteren Zugriff des Anwenders auf das SharePoint Portal per
single sign-on. Das bedeutet: für den Zugriff des Anwenders auf das SharePoint Portal
werden gleich die bei der Windows-Anmeldung benutzten Credentials verwendet. Der
Benutzer muss sich nicht noch einmal zusätzlich am SharePoint anmelden.
©2006 PENTASYS GmbH
08/2006
INTEGRATION STATT MIGRATION
blickpunkte – Das Magazin rund um ITThemen ist ein kostenloser Newsletter der
PENTASYS GmbH
ÜBER DIE PENTASYS GMBH:
Unter dem Motto „Lösungen, Innovationen
und mehr …“ ist die PENTASYS Gesellschaft
für Informationstechnologie mbH ein führender Anbieter von IT Services in den
Bereichen
Anwendungsentwicklung,
Webapplikation und Systeminfrastruktur, sowie Business - und Technisches Consulting.
Mit Lösungen auf höchstem Niveau ist
PENTASYS seit 1995 Partner zahlreicher namhafter Unternehmen aus der Wirtschaft und
Körperschaften des öffentlichen Rechts.
IBM Tivoli Directory Integrator
Eine weitere Option für die Synchronisation
des Notes/Domino Directory mit dem MS
Active Directory ist der IBM Tivoli Directory
Integrator: Die Daten bleiben dabei in
ihren individuellen Containern (Domino
Directory,
Directory
Server,
Active
Directory) oder auch Anwendungen (CRM,
ERP, …). IBM Tivoli Directory Integrator wird
schon mit einer Reihe von Konnektoren zu
Standard Directories und Applikationen
ausgeliefert.
eher organisatorische Hemmnisse, die
eine produktivitätsfördernde Integration
verhindern.
COPYRIGHT:
Alle Inhalte, auch Konzepte und Design, des
Newsletters sind urheberrechtlich geschützt.
Das Copyright/Urheberrecht liegt dabei bei
der PENTASYS GmbH.
Das Zitieren ist unter Berücksichtigung der
üblichen Regeln und Hinweise gestattet. Das
Kopieren oder der Nachdruck, auch auszugsweise, sowie fotomechanische Wiedergabe
oder Erfassung auf Datenträgern ist nur mit
schriftlicher Genehmigung der PENTASYS
GmbH zulässig.
Sofern in den vorliegenden Inhalten Marken
und geschäftliche Beziehungen verwendet
werden, auch wenn diese nicht als solche
gekennzeichnet sind, gelten die entsprechenden Schutzbestimmungen.
DAS ERGEBNIS
Selbst mit den einfachsten Mitteln, der
Integration über die http-Schnittstelle und
dem PageViewer WebPart sind schon
sehr produktive Integrationslösungen
möglich. Im obigen Bildausschnitt sieht
man die nahtlose Einbindung eines Notes
Kalenders in ein SharePoint Portal. Der
Kalender kann dabei selbstverständlich
sowohl in Notes als auch über das
SharePoint Portal gepflegt werden.
FAZIT
Technisch gesehen gibt es keine Ausreden
mehr: es sind alle Möglich­keiten
vorhanden, einen historisch gewachsenen
Notes/Domino
Bestand
an
eine
daneben neu entstehende SharePoint
Landschaft zu koppeln. Oft jedoch
fehlt die Bereitschaft, Brücken über die
Abteilungsgräben hinweg zu bauen.
In großen Unternehmen sind es heute
Durch die Gründung der PENTASYS consulting GmbH hat die PENTASYS GmbH ihre
Angebots­palette spezifisch abgerundet.
Dem Anspruch, Kunden durch professionelle Leistungen einen hohen Nutzen zu
verschaffen, wird durch diesen Ausbau des
umfassenden Netzwerks an kompetenten
Partnern weiter Rechnung getragen.
Die PENTASYS GmbH hat ihren Hauptsitz
in München sowie eine Niederlassung
in Wiesbaden und beschäftigt derzeit ca.
120 Mitarbeiter. Im Jahr 2005 setzte das
Unternehmen ca. 9,1 Mio. Euro um.
ÜBER DIE AUTORIN
Seit über 10 Jahren ist Elke Foßan
in der IT-Branche als Beraterin und
Projektleiterin tätig. Neben den klassischen
Infrastrukturthemen wie Windows Server,
Active Directory und Exchange Server
arbeitet sie speziell an den Systeminfra­
struktur­relevanten Aufgabenstellungen
der neuen Microsoft Office Server Systeme
SharePoint Portal Server 2007 und Project
Server 2007.
KONTAKT:
PENTASYS Gesellschaft für
Informationstechnologie mbH
Rüdesheimer Straße 9
80686 München
Tel.: (0 89) 5 79 52-0
Fax: (0 89) 5 79 52-399
E-Mail: [email protected]
Internet: www.pentasys.de
www.pentasys-consulting.de
©2006 PENTASYS GmbH