Um dos principais mecanismos e responsabilidades relacionados aos processos de gestão de identidade e acessos, é garantir o sincronismo entre uma fonte autoritativa de dados e aplicações.

Este sincronismo visa garantir que acessos solicitados sejam de fato criados nas aplicações e que acessos não mais necessários sejam de fato revogados. Além disso, esse sincronismo permite o monitoramento de aplicações para que os acessos ali presentes, realmente devam existir.

Para a garantia deste sincronismo, o Blazon conta com três componentes principais, sendo eles: um módulo de provisionamento, responsável pelo envio de informações que são criadas e/ou alteradas no Blazon; um módulo de reconciliação, responsável por monitorar aplicações alvo e garantir que os dados ali presentes sejam válidos; por último, o resource adapter, que é o componente responsável por executar os eventos de provisionamento e reconciliação.

Provisionamento

Para que os dados presentes no diretório do Blazon sejam sincronizados com aplicações externas, é utilizado um mecanismo conhecido como provisionamento. O provisionamento tem como principal objetivo sincronizar os dados que são alterados no Blazon com as aplicações externas, exemplo: quanod um usuário solicita um novo acesso e o mesmo é aprovado e inserido no diretório, um evento de provisionamento é criado para que este acesso seja de fato criado na aplicação.

Reconciliação

A reconciliação é o processo inverso do provisionamento, ele visa garantir que as informações em uma determinada aplicação sejam conhecidas e gerenciadas pelo Blazon. Exemplo: um usuário que existe em uma fonte autoritativa, deve ser criado no diretório do Blazon, ou um acesso criado de forma indevida deve ser descoberto e ações cabíveis devem ser disparadas pelo Blazon.

Resource adapters

O Resource adapter é o componente principal para a garantira do sincronismo entre o Blazon e as aplicações gerenciadas pelo Blazon. Ele é responsável por manipular os eventos de provisionamento e reconciliação e sua função é se comunicar com uma aplicação, por meio de protocolos específicos como por exemplo LDAP, SOAP ou até mesmo RESTful APIs.

Sincronismo entre o Blazon e aplicações alvo

A partir dos componentes descritos anteriormente, o Blazon é capaz de enviar e receber informações de aplicações alvos e garantir que apenas os acessos necessários estejam de fato ativos.

A imagem a seguir ilustra de forma resumida a relação entre estes componentes:

Sempre que um novo objeto é inserido no diretório do Blazon é iniciado um processo para verificar a necessidade de sincronismo entre este novo objeto e a aplicação alvo. De acordo com as configurações de provisionamento, um evento é criado e o resource adapter é responsável por realizar o pooling deste evento e enviá-lo da maneira adequada para a aplicação alvo.

No caminho inverso, o resource adapter é responsável por monitorar uma aplicação alvo, descobrir alterações e enviá-las ao Blazon para que ele verifique as ações que devem ser aplicadas a este evento. Basicamente todos os objetos do diretório podem ser reconciliados, exceto recursos, papéis e membros de papéis.

As seções a seguir discutem de forma detalhada o funcionamento de cada um do três componentes introduzidos aqui.