Documentos de Académico
Documentos de Profesional
Documentos de Cultura
Prueba de
CAIdentity
Manager con
cien millones
deusuarios:
resultados y
anlisis
agility
made possible
tabla de contenido
Seccin 1: Resumen y resultados de la
pruebadeusuarios 3
1.1 Prueba
1.2 Resultados
Seccin 2: Desafo
3.1 CATechnologiesIdentityManager
3.2 CADirectory
4.2 Arquitectura
10
11
Seccin 5: Pruebas
11
12
12
5.2.1 Prueba 1
13
5.2.2 Prueba 2
13
5.2.3 Prueba 3
14
5.2.4 Prueba 4
14
15
Seccin 6: Conclusin
15
Seccin 1:
Prueba 1.1
El equipo de prueba conjunto de CATechnologies y Accenture dise y mont un entorno para simular las
condiciones y la configuracin requeridas para que una solucin de IDM cumpla los requisitos de un sistema
de registro y comprobacin de identidades a gran escala. En este informe se describir lo siguiente:
Los productos de CATechnologies que se utilizaron para probar el desempeo de la solucin IDM.
El entorno de prueba de hardware y software.
1.2 Resultados
La solucin diseada para probar la escalabilidad y el desempeo de CAIdentityManager admiti diversas
poblaciones de usuarios de 25, 50 y 100 millones de usuarios, respectivamente. A nivel general se
observaron los siguientes resultados en todos los casos de prueba:
La solucin fue capaz de sostener un volumen promedio de ms de 30 transacciones por segundo en
mltiples situaciones y ciclos de prueba.
Con picos en el volumen y en la carga de la solucin, se alcanz una velocidad de rfaga adicional de
hasta39 transacciones por segundo.
La combinacin de situaciones especficas (incluida la autoinscripcin, el restablecimiento de contrasea,
la automodificacin y el bloqueo administrativo) no cambi significativamente los resultados.
La solucin soport altos volmenes de usuarios y de transacciones virtuales sin que se produzcan fallas
odegradaciones importantes del procesamiento de back-end, con una relacin de error menor al 0,38%.
Prueba de
CAIdentityManager
con cien millones de
usuarios: resumen
delos resultados de
laprueba
100
Ilustracin A.
Prueba 1
Prueba 2
50
Prueba 3
Prueba 4
25
10
15
20
25
30
35
40
45
Seccin 2:
Desafo
En vista del desdibujamiento de las fronteras tpicas entre las comunidades internas y externas de usuarios
en muchas organizaciones, resulta fundamental que las soluciones instrumentadas para administrar y dar
soporte a las identidades sean capaces de escalarse en tamao y complejidad de modo de satisfacer las
demandas de una base de usuarios en aumento. Esto ha convertido la funcin tpica de TI de administracin
de identidades en un generador de valor y en un facilitador de negocios para toda la organizacin.
Actualmente, a muchos tipos de organizaciones les cuesta tener la capacidad de manejar grandes
cantidades de transacciones de usuarios y su interdependencia con las aplicaciones de uso interno y externo.
Lo que sola ser el problema de un grupo selecto de organismos gubernamentales se convirti en un
problema que abarca sectores como los de productos de consumo, servicios financieros, atencin mdica
ycasi todo los dems rubros.
Sector comercial
Las organizaciones comerciales, independientemente de cul sea el sector, no son inmunes al requisito
delnegocio que plantea conocer y administrar usuarios ms all de las cuatro paredes de la organizacin.
Desde administrar las relaciones con clientes y la informacin personal, hasta el seguimiento de la
respuesta de los consumidores y los hbitos de gasto, numerosas necesidades comerciales impulsan
alasorganizaciones de TI a cambiar completamente su concepto de la administracin de identidades.
Por ejemplo, el comercio electrnico lleg para quedarse (en el 2011, el gasto en comercio electrnico
super los $37 mil millones, un aumento del 14% respecto de 2010) y las empresas que venden a travs
deInternet necesitan captar y administrar la informacin de sus clientes para permitir la compra en tiempo
real de modo de acelerar los tiempos de compra en lnea, seguir las tendencias de usuarios y administrar
holsticamente la informacin de identidad de sus clientes.
prnewswire.com/news-releases/comscore-reports-375-billion-in-q2-2011-us-retail-e-commerce-spendingup-14-percent-vs-year-ago-127237503.html
Ilustracin B.
Prueba de
CAIdentityManager
concien millones de
usuarios: tasas del
mundo real
Nota: Se asumi que el rendimiento de uso Promedio fue de 260 das laborales durante el
transcurso de un ao completo, en tanto que el uso Mximo se condens en una nica ventana de
30 das con la misma poblacin. Los clculos asumen 12 horas de actividad por da a lo largo del
nmero total de das para cada fila. Para el uso Promedio y Mximo, se calcularon las transacciones
por segundo en funcin de la Poblacin total para Autoinscripcin (resaltado en amarillo) y de la
Poblacin activa para Contrasea olvidada, Modificacin del perfil y Bloqueo administrativo.
Seccin 3:
Solucin de CATechnologies
CATechnologies proporciona una solucin de administracin de identidades para superar los desafos de
negocio creados por una poblacin de 100 millones de usuarios. La solucin se compone de CAIdentity
Manager y CADirectory. Cuando se combinan, estos dos productos pueden proporcionar una solucin
escalable de administracin de identidades, capaz de procesar un alto volumen de transacciones sin
mostraruna degradacin del desempeo significativa.
3.1 CAIdentityManager
Las soluciones de administracin de identidades constituyen un componente esencial para administrar
elcreciente nmero de identidades de cualquier organizacin. Estas soluciones pueden automatizar los
procesos de negocio de modo que un empleado reciba los accesos requeridos a los sistemas de informacin
sin poner en riesgo la seguridad, y que aumente la productividad y la satisfaccin del usuario final.
CAIdentityManager brinda una solucin de administracin de identidades integrada que sirve como base
fundamental para el aprovisionamiento de usuarios, las solicitudes de autoservicio, la gobernanza de
identidades y otros procesos clave, y de ese modo habilita a la organizacin para lo siguiente:
Automatizar los procesos de incorporacin, modificacin y baja de los usuarios, y sus accesos relacionados.
Habilitar a los usuarios finales a iniciar acciones de aprovisionamiento, administracin continua de
contraseas y tambin delegar procesos de administracin y otros procesos relacionados.
Aprovechar el anlisis de polticas y de funciones, y los procesos de certificacin con CARole&Compliance
Manager para tomar decisiones de aprovisionamiento y gobernanza ms precisas y eficientes.
Adaptar rpidamente polticas y aplicaciones cuando cambia el negocio, gracias a asistentes
yherramientas grficas de gran potencia (por ej., PolicyXpress), lo que elimina la necesidad de utilizar
cdigos personalizados.
Beneficios
Gracias al establecimiento de una slida infraestructura de administracin de identidades, CAIdentity
Manager facilita a su organizacin el logro de lo siguiente:
Detectar actividades de aprovisionamiento que no cumplan con las normas, antes de que ocurran.
Eliminar las conjeturas cuando se ofrece acceso a usuarios en funcin de sus roles.
Habilitar solicitudes de acceso y aprobaciones basadas en usuarios sin la participacin del servicio de
asistencia tcnica.
Ofrecer a los empleados, contratistas y socios de negocios el acceso a las aplicaciones que necesitan
apartir del da en que comienzan sus actividades, y eliminar inmediatamente el acceso cuando finaliza
suparticipacin.
Ajustar fcilmente la infraestructura de administracin de identidades cuando sea que cambien los
procesos de negocios.
Caractersticas
CAIdentityManager contiene una amplia serie de funcionalidades para administrar identidades y derechos
de acceso, y tambin para satisfacer los requisitos de cumplimiento de identidad.
Aprovisionamiento y desaprovisionamiento de usuarios. Automatiza el aprovisionamiento y la
eliminacin de cuentas, y los procesos de aprobacin durante todo el ciclo de vida del usuario: desde la
incorporacin y la administracin de derechos especficos hasta los cambios de rol y por ltimo, la baja.
Los flujos de trabajo personalizables respaldan la forma particular en que cada organizacin aprueba
yprograma estas actividades, y tambin la forma en que establece alertas para ellas.
Autoservicio para el usuario. Permite a los usuarios administrar los atributos de sus propias identidades,
aliviando de esta manera la carga de la TI o del servicio de asistencia tcnica y aumentando la capacidad
de la empresa de tomar decisiones relacionadas con la identidad. Los usuarios pueden restablecer
contraseas, solicitar acceso a recursos segn flujos de trabajo de aprobacin definidos por la organizacin
y administrar la informacin de perfiles y de seguridad.
Control centralizado de usuarios, roles y polticas. Agrega y sincroniza informacin en mltiples silos
deidentidades para administrar atributos de usuarios, tareas de identidades y roles de acuerdo con los
controles de seguridad centrales. CAIdentityManager proporciona una interfaz lista para usar que se
puede personalizar segn el aspecto, el comportamiento y la funcin que necesita cada organizacin
ousuario.
Personalizacin sin cdigo personalizado. La integracin lista para usar con sistemas de destino lderes
(combinada con potentes funciones, como Policy Xpress, Connector Xpress, un editor grfico de flujo de
trabajo y ConfigXpress) le permite personalizar la infraestructura de administracin de identidades en
virtud de sus requisitos organizativos particulares sin necesidad de escribir, administrar ni admitir
cdigospersonalizados.
Integracin cruzada profunda de IAM. CAIdentityManager brinda una integracin lista para usar con
otras soluciones IAM de CATechnologies, como CARole&ComplianceManager, CAUserActivityReporting
Module, CADLP y CASiteMinder. Con estas integraciones se extiende an ms el valor de CAIdentity
Manager y se mejoran las implementaciones de CAIAM existentes.
Proteccin de aplicaciones locales y en la nube. Proporciona un nico punto de administracin
deidentidades para todas las aplicaciones empresariales, ya sea que residan en sistemas locales,
demainframe o distribuidos o que estn alojadas en la nube. CAIdentityManager provee conectores listos
para usar para aplicaciones lderes, como por ejemplo SAP, CAACF2, ActiveDirectory y Salesforce.com.
Para obtener ms informacin acerca de la solucin de CATechnologies para la administracin y gobernanza
de identidades, visite ca.com/us/secure-identity.aspx
3.2 CADirectory
Las soluciones de directorio empresarial deben demostrar un desempeo, una escalabilidad y una
confiabilidad ejemplares. CADirectory cumple con estos requisitos con su capacidad para entremezclar
cualquier cantidad de servidores (incluso recursos de LDAP externos) en una infraestructura central capaz
derealizar operaciones distribuidas de forma perfecta y transparente, con replicacin coherente garantizada
y recuperacin automtica.
CADirectory:
Proporciona escalabilidad sin altos costos de hardware.
Cubre las necesidades de aplicaciones de negocio nuevas y dinmicas.
Mejora la eficiencia operativa por medio de la consolidacin de islas de datos en una nica columna
central de informacin.
Proporciona una experiencia con alta receptividad y alta disponibilidad para los usuarios de la aplicacin
en lnea.
DXgrid
Como parte integral de CADirectory se halla DXgrid, una revolucin en los sistemas de directorio.
Encomparacin con el enfoque tpico de bases de datos LDAP, DXgrid posibilita niveles sin precedentes de
escalabilidad, confiabilidad y desempeo. DXgrid logra este desempeo por medio de un almacn con mapa
de memoria y, como se pudo observar en las pruebas, as es posible reducir el tiempo para los registros de
cargas masivas de das a horas, y al mismo tiempo minimizar drsticamente los requisitos de hardware.
Elarchivo con mapa de memoria cargado en cada DSA de la implementacin de CADirectory durante el
inicio, minimiza la E/S del disco. La tecnologa incluye las capacidades de bsqueda en paralelo y de ruta
ms corta entre los servidores en cooperacin. Tambin aumenta la confiabilidad por medio de la tecnologa
de write-through, o escritura a travs, en lugar de la tecnologa write-behind, o escritura trasera, y una
capacidad segura de carga compartida y de conmutacin por error.
Seccin 4:
Entorno de prueba
El entorno para la prueba de los 100 millones de usuarios se arm en la nube AmazonElasticCompute
Cloud (EC2). Se utiliz el balanceo de carga elstica de Amazon para compartir la carga de transacciones
entre los cuatro servidores de CAIdentityManager.
AmazonEC2
Elstica: se puede aumentar o disminuir la capacidad en minutos, y se pueden poner en marcha mltiples
servidores simultneamente.
Flexible: AmazonEC2 ofrece mltiples tipos de instancia, sistemas operativos y paquetes de software.
Brinda distintas opciones para memoria, CPU y almacenamiento.
Confiable: AmazonEC2 ofrece un entorno altamente confiable donde se pueden implementar servidores
de reemplazo rpidamente y asignarlos de forma predecible. El compromiso segn el Acuerdo de nivel de
servicio de AmazonEC2 es del 99,95% de disponibilidad para cada regin.
Segura: AmazonEC2 ofrece diversas maneras de proteger los recursos, como por ejemplo interfaces de
servicios web para configurar reglas de firewall, adems de mltiples capas de proteccin y controles en
torno al hipervisor, y medidas fsicas de proteccin en el centro de datos.
Para obtener ms informacin acerca de AmazonEC2, visite amazon.com/ec2/
4.2 Arquitectura
Para la arquitectura del almacn corporativo se implement CADirectory, que consta de ms de seis
servidores de directorio configurados en tres pares. El directorio se configur con una particin horizontal.
Lapoblacin total de usuarios se despleg a travs de una implementacin de seis nodos. Cada nodo fue
responsable de alrededor de 1/6 de la poblacin de usuarios.
Ilustracin C.
Prueba de
CAIdentityManager
con cien millones de
usuarios: entorno
deprueba
Hardware utilizado
Cantidad de sistemas
Nivel de aplicacin
CAIdentityManager 12.5.7.0.580
10
Hardware utilizado
Cantidad de sistemas
Nivel de aplicacin
Seccin 5:
Pruebas
Las pruebas para este proyecto se modelaron a partir de las caractersticas de un entorno B2C tpico. El perfil
B2C tendr ms actividades de autoayuda centradas en el usuario, como el registro y la contrasea olvidada.
La intencin de las situaciones de prueba era representar un sitio web B2C pblico de gran tamao que
actualmente posea 100.000.000 de usuarios. Se asumi que se aprovisionaban usuarios a un nico
yextenso directorio de usuarios.
Se ejecutaron tareas de administracin de identidades utilizando un grupo de usuarios de prueba virtual
donde el usuario ejecutaba diferentes tareas representativas y proporcionales a una implementacin de
IDMB2C.
Resulta importante enfatizar que, en que en una implementacin de IDM, no todos los usuarios utilizan
elsistema de administracin de identidades todos los das; en consecuencia, se desarroll un modelo para
esta prueba que identificaba el nmero de cada una de las operaciones de administracin de identidades
previstas para realizarse cada 90 das, y a partir de ese nmero, se estableci una relacin de tareas y un
objetivo de operaciones simultneas.
11
Prueba 1
Prueba 2
Prueba 3
Prueba 4
12
5.2.1 Prueba 1
Para el ciclo de prueba N. 1, se indic a los usuarios virtuales realizar actividades de autoinscripcin.
Laspruebas se ejecutaron durante veinte minutos con un promedio de 31 transacciones por segundo y un
rendimiento mximo de 39 transacciones por segundo.
Ilustracin D.
Resultados de la prueba
de CAIdentityManager
con cien millones de
usuarios: transacciones
por segundo con
Autoinscripcin
deusuarios
100
Prueba 1
Carga promedio estimada
25
0.00
5.00
10.00
15.00
20.00
25.00
30.00
35.00
40.00
45.00
5.2.2 Prueba 2
Para el ciclo de prueba N. 2, los usuarios virtuales se dividieron entre actividades de autoinscripcin (80%)
y contrasea olvidada (20%). Las pruebas se ejecutaron durante veinte minutos con un promedio de
29transacciones por segundo y un rendimiento mximo de 37 transacciones por segundo.
Ilustracin E.
Resultados de la prueba
de CAIdentityManager
con cien millones de
usuarios: transacciones
por segundo con
Autoinscripcin de
usuarios y Contrasea
olvidada
100
Prueba 2
Carga promedio estimada
25
0.00
5.00
10.00
15.00
20.00
25.00
13
30.00
35.00
40.00
5.2.3 Prueba 3
Para el ciclo de prueba N. 3, los usuarios virtuales se dividieron entre actividades de autoinscripcin (70%),
contrasea olvidada (20%) y automodificacin de usuario (10%). Las pruebas se ejecutaron durante veinte
minutos con un promedio de 30 transacciones por segundo y un rendimiento mximo de 37 transacciones
por segundo.
Ilustracin F.
Resultados de la
pruebade CAIdentity
Manager con cien
millones de usuarios:
transacciones por
segundo con
Autoinscripcin
deusuarios,
Contraseaolvidada
yAutomodificacin
deusuarios
100
Prueba 3
Carga promedio estimada
25
0.00
5.00
10.00
15.00
20.00
25.00
30.00
35.00
40.00
5.2.4 Prueba 4
Para el ciclo de prueba N. 4, los usuarios virtuales se dividieron entre actividades de autoinscripcin (60%),
contrasea olvidada (20%), automodificacin de usuario (10%) y bloqueo de cuenta del administrador
(10%). Las pruebas se ejecutaron durante veinte minutos con un promedio de 26 transacciones por
segundoy un rendimiento mximo de 30 transacciones por segundo.
Ilustracin G.
Resultados de la prueba
de CAIdentityManager
con cien millones de
usuarios: transacciones
por segundo con
Autoinscripcin
deusuarios,
Contraseaolvidada,
Automodificacin de
usuarios y Bloqueo
decuentas del admin.
100
Prueba 4
Carga promedio estimada
25
0.00
5.00
10.00
15.00
20.00
25.00
30.00
14
35.00
40.00
45.00
Servidor de aplicaciones
Con la incorporacin de la organizacin en clsteres de servidores adicionales, se puede lograr una tasa
derendimiento de transacciones ms alta, gracias al escalamiento horizontal en todo el entorno de la
solucin implementada.
A fin de aumentar el rendimiento, se ajust el tamao del almacenamiento dinmico en Java para
aumentar el desempeo de la capacidad de procesar transacciones del producto IdentityManager.
Para reducir la sobrecarga en la capa de aplicaciones, se mantuvo al mnimo el inicio de sesin.
Se aumentaron los parmetros en el nivel de aplicaciones para acelerar adecuadamente los lazos
deconexin con la base de datos, a fin de permitir un flujo adicional entre los niveles del servidor de
aplicaciones y de la base de datos.
Directory
La adaptacin a escala del servidor del directorio aprovechando la particin horizontal en la capa de
directorio agreg redundancia a nivel de directorio para la arquitectura diseada a los fines de esta prueba.
Base de datos
Se utiliz Oracle 11g para el servidor de bases de datos a fin de mejorar el desempeo y proporcionar
unmayor rendimiento de transacciones de lectura/escritura en la capa de la base de datos.
Los afinamientos y los ajustes de configuracin adicionales sobre las conexiones de la base de datos,
ascomo la administracin de los espacios de tabla para la persistencia de tareas generaron resultados
dedesempeo ms altos en todos los ciclos de prueba.
El agrupamiento en clsteres de la base de datos puede proporcionar un mejor desempeo general
yeliminar el nico cuello de botella que se detect en la arquitectura durante las pruebas.
Seccin 6:
Conclusin
Se utilizaron iteraciones variadas de casos de uso estndar de administracin de identidades para simular
ciclos de prueba e imitar situaciones que abordaran una serie de requisitos de negocio. Estas pruebas
demostraron que CAIdentityManager es capaz de desempearse y escalarse para admitir una poblacin
dehasta 100 millones de usuarios. Y cuando los datos revelados durante las pruebas conjuntas de
Accenture/CATechnologies (rendimiento promedio de 30 transacciones por segundo y cargas mximas
de39 transacciones por segundo) se comparan con los ejemplos de situaciones del mundo real descritos en
laseccin de casos de negocio del presente informe (rango de rendimiento promedio de 1 a 4 transacciones
por segundo y cargas mximas de 9 a 39 transacciones por segundo), los resultados evidencian que la
solucin IDM construida para estas pruebas podra cumplir o superar estos requisitos potenciales de
relacinde rendimiento en un entorno de alto volumen.
Para obtener ms informacin acerca de Accenture, visite accenture.com/security
Para obtener ms informacin acerca de CATechnologies, visite ca.com
15
Copyright 2011 CA. Todos los derechos reservados. Todas las marcas registradas, nombres comerciales, logotipos y marcas de servicios a los
quese hace referencia en este documento pertenecen a sus respectivas empresas.
El propsito de este documento es meramente informativo. CA no se responsabiliza de la exactitud e integridad de la informacin. En la medida
delo permitido por la ley vigente, CA proporciona esta documentacin tal cual, sin garanta de ningn tipo, incluidas, a ttulo enunciativo y no
taxativo, las garantas implcitas de comercialidad, adecuacin a un fin especfico o no incumplimiento. CA no responder en ningn caso en los
supuestos de demandas por prdidas o daos, directos o indirectos, que se deriven del uso de esta documentacin, incluidas, a ttulo enunciativo
yno taxativo, la prdida de beneficios, la interrupcin de la actividad empresarial, la prdida del fondo de comercio o la fuga de datos,
inclusocuando CA hubiera podido ser advertida con antelacin y expresamente de la posibilidad de dichos daos.
C1753_1011