Цикл работ OIM11g Workshop, Lab #2 Управление пользователями и делегированное администрирование.

Short introduction: here you can find OIM 11g Workshop Lab #2 - User administration.

Продолжаем выкладывать цикл лабораторных работ OIM 11g Workshop. Данные работы читались в рамках Oracle Partner Academy в ФОРС в декабре 2010 и марте 2011. Версия - 1.2, скорректированная по итогам с исправленными ошибками и дополнениями. Работы рассчитаны на виртуальную машину, которую можно получить у меня по запросу, но могут быть использованы и отдельно, в том числе как краткий справочник по OIM 11g. Виртуальная машина изначально подготовлена заокеанскими коллегами для внутреннего тренинга с предустановленным OIM 11g.

Цикл работ OIM11g Workshop, Lab #1: Знакомство с Oracle Identity Manager 11g

Short introduction: here we start to upload labs for OIM 11g, which have been delivered in Dec 2010 & Mar 2011 in FORS Academy, Moscow. Lab #1: Introduction.

Начинаю выкладывать цикл лабораторных работ OIM 11g Workshop. Данные работы читались в рамках Oracle Partner Academy в ФОРС в декабре 2010 и марте 2011. Версия - 1.2, скорректированная по итогам с исправленными ошибками и дополнениями. Работы рассчитаны на виртуальную машину, которую можно получить у меня по запросу, но могут быть использованы и отдельно, в том числе как краткий справочник по OIM 11g. Виртуальная машина изначально подготовлена заокеанскими коллегами для внутреннего тренинга с предустановленным OIM 11g. Большинство из работ предполагают знакомство с Oracle Identity Manager предыдущих версий, поэтому перед тем, как приступать, советую посмотреть теоретическую часть циклов OIM9.X Administration & ESSO Workshop и OIM9.X Development Workshop.

Содержание цикла лабораторных работ вы можете найти здесь.

Как осуществить поиск пользователей по атрибутам предоставленного ресурса?

Short introduction: here you can find a workaround, how to organize search for users in OIM 11g to find users with the specified process form attribute.

Q: Как в OIM 11g, используя стандартный интерфейс пользователя, найти всех пользователей, которым я выделил определенный ресурс с определенным атрибутом?

A: OIM 11g (как и OIM 9.X) позволяет в стандартном интерфейсе осуществлять поиск пользователей только по атрибутам самих пользователей. Но набор этих атрибутов расширяем, и возможно создать атрибут у пользователя, соответствующий необходимому атрибуту формы процесса какого-то ресурса.

Рассмотрим пример. Имеется система MySystem, у нее имеется атрибут PostGrad, соответствующий признаку, что данная учетная запись создана для сотрудника, закончившего аспирантуру (Post Graduate). Форма процесса с требуемым атрибутом показана на рис. 1.

Рис. 1. Форма процесса MySystem

Задача: найти всех пользователей, у которых этот признак установлен в "true".

FAQ по интеграции с Novell eDirectory

Short introduction: in this article you can find FAQ on integration with Novell eDirectory. 

В этой статье будут собраны часто задаваемые вопросы по интеграции Oracle Identity Manager с Novell eDirectory.

Q: Я пытаюсь настроить в OIM 11g отладочный вывод для коннектора к Novell eDirectory. Следуя документации, я создал соответствующие записи в файле logging.xml, файл лога создается, но внего никакой информации не пишется.

A: Для начала убедитесь в правильности конфигурации файла logging.xml. Кроме того, если вы пользуетесь документацией к коннектору версии 9.0.4.1.2.0, то в документации присутствует ошибка: в секции 2.3.1.4.2 при настройке OIM 11g указано неправильное название логгера “OIMCP.EDIRECTORY” – правильно, как в предыдущей секции для OIM 9.X “XL_INTG.EDIRECTORY” (thanx 2 Dmitriy Sarakeev @ USSC)

Тренинг по OIM 11g: дополнительные материалы / Additional material for OIM11g workshop

Short introduction: additional material for OIM11g Workshop, 1-3 Mar 2011, academy "FOR".

Спасибо всем присутствовавшим на прошедшем семинаре Oracle Identity Manager 11g Workshop. Выкладываю дополнительные материалы к тренингу:

Презентации:
Новые возможности Oracle Identity Manager 11g
Презентация по Oracle Identity Analytics

Последнюю документацию по OIM можно найти по ссылкам со страницы Oracle Fusion Middleware (раздел Identity Management). На текущий момент последней является документация от февраля 2011:

Developer's Guide for Oracle Identity Manager (руководство разработчика)
System Administrator's Guide for Oracle Identity Manager (руководство системного администратора)
User's Guide for Oracle Identity Manager (руководство пользователя)

Коннекторы Oracle Identity Manager и документацию к ним можно найти здесь.
Отдельно документацию по коннекторам можно найти здесь.

Текст лабораторных работ OIM9.X Adm Workshop & ESSO можно найти здесь.
Текст лабораторных работ по разработке в рамках OIM 9.X (OIM9.X Development Workshop) можно найти здесь.

О том, где находятся JAR-файлы установленных коннекторов в OIM 11g и как их обновить.

Short introduction: FAQ - where can I find connector JARs which earlier were in JavaTasks folder in OIM 11g?

Q: Где в OIM 11g располагаются JAR-файлы коннекторов, которые были установлены? Как заменить эти JAR-файлы? (например, у меня есть обновленный файл / я добавил в коннектор через декомпиляцию дополнительную функциональность и т.д.).

A: В OIM 11g JAR-файлы коннекторов хранятся в таблицах БД. При разработке собственных коннекторов вы можете все еще копировать их в каталог JavaTasks, но процедура кстановки коннекторов создает запись в таблице OIMHOME_JARS, куда загружает JAR-файлы коннкетора в поле типа BLOB.

Применение данной технологии позволяет избежать повторного копирования JAR-файлов на все узлы кластера при кластерном развертывании Oracle Identity Manager.

Пример таблицы OIMHOME_JARS:

Как обновить JAR-файл коннектора:

Как настроить новый адрес для SOA-сервера в конфигурации OIM?

Short introduction: FAQ - how can I set up a new SOA server (or a cluster of SOA servers) to work with my OIM 11g?

Q: Я перенес OIM на новую конфигурацию Как настроить новый адрес для SOA сервера? Ошибка в логе: 
javax.naming.CommunicationException [Root exception is java.net.ConnectException: t3://ХХХХХХХХ:8001/soa-infra: Destination unreachable; nested exception is:

A: Вы можете настроить новый адрес для вашего SOA-сервера (или же настроить SSL-соединение) через Enterprise Manager.

1. Зайдите в Enterprise Manager: http://<AdminServer>/em
2. Перейдите Identity and Access, Oracle Identity Manager.
3. Из контекстного меню по правой кнопке мыши выберите System MBean Browser.
4. Под Application Defined MBeans, перейдите oracle.iam -> Server: yourserver -> Application:oim -> XMLConfig -> Config -> XMLConfig.SOAConfig -> SOAConfig.
5. Измените значения для атрибутов "Rmiurl", "Soapurl", нажмите Apply для сохранения изменений. Значения для URL в кластере - перечисления host:port через запятую, например:
t3://mysoa1.oracle.com:8001
t3s://mysoa1.oracle.com:8001,mysoa2.oracle.com:8002
t3://mysoa1.oracle.com:8001,mysoa2.oracle.com:8002,mysoa3.com:8003 
6. Перезагрузите сервер приложений OIM.

OIM 11g Sizing Guide

Short introduction: OIM 11g Sizing Guide with come comments.

В дополнение к ранее выложенному документу OIM 9.X Sizing Guide, выложен новый документ по сайзингу OIM 11g - OIM 11g Sizing Guide. Документ содержит описание основных компонент OIM и способа их взаимодействия, а также примеры простой конфигурации и высоконадежной. Как и ранее, высоконадежная конфигурация создается при помощи установки OIM и SOA Suite в кластера сервера приложений Oracle Weblogic, а БД - через Real Application Cluster (RAC). Целью создания такой конфигурации - повышение надежности работы и балансировка нагрузки.

Также в документе даются примеры "базовой" аппаратной конфигурации, а также требуемое расширение (CPU, HDD) в зависимости от различных факторов.

Сравнение возможностей OIM 9.X и OIM 11g

Short introduction: you can find here a comparison between OIM 11g and OIM 9.X in the key functionality. 

Сравнение функциональных возможностей OIM версий 9.1.Х и 11g, или почему лучше устанавливать OIM 11g. PDF-версию документа можно найти здесь.

OIM 11g	OIM 9.1.X
Механизм согласования
Реализация процесса согласования на BPEL, разработка процессов с использованием Oracle JDeveloper. Построение процессов любой сложности.	Встроенная реализация процессов согласования.
Возможность запроса множеству пользователей доступа к множеству ресурсов. Автоматизированное создание подзапросов, согласование на уровнях: - шаблона запроса (Template Level Approval, согласование всего запроса целиком, определяемые шаблоном запроса); - запроса (Request Level, согласование всего запроса целиком, возможность запуска разных процессов согласования для одного шаблона в зависимости от запрашивающего) - выполнения (Operation Level, согласование назначения конкретного ресурса конкретному пользователю).	Существенные ограничения при запросе доступа нескольких пользователей к нескольким ресурсам одновременно. Согласование на уровне запроса и ресурса, отсутствует возможность создания подзапросов.

Поддержка реконсилиации организаций в OIM 11g (Organization Reconciliation Support)

Short introduction: FAQ - when Organization reconciliation will be supported in OIM 11g?

Q: Несмотря на то, что реконсилиация организация заявлена как одна из возможностей OIM и поддерживается коннектором к AD (http://download.oracle.com/docs/cd/E11223_01/doc.910/e11197/intro.htm#CHDBFHAJ), при попытке провести реконсилиацию в OIM 11g выдается ошибка: "Reconciliation of organization data is not supported.".

A: В конце документации к коннектору в рамках "Known Issues" указано, что реконсилиация организация релизом OIM 11g временно не поддерживается:

"Note: You cannot reconcile data about organizations from the target system if you are using Oracle Identity Manager release 11.1.1. This issue has been mentioned in the "Known Issues" chapter.

The following issues are observed when you deploy this release of the connector on
Oracle Identity Manager release 11.1.1:
■ Bug 7627046
Reconciliation of organization data is not supported."

Ожидаемый релиз с поддержкой реконсилиации организаций – OIM11gBP04.

OIM 11g: Интеграция с SAP HR

Short introduction: in this article you can find FAQ and a short guide to OIM integration with SAP HR, based on the author's experience.

Oracle Identity Manager может быть интегрирован с SAP HR с использованием коннектора "SAP Employee Reconciliation". Несмотря на то, что для коннектора доступна документация, работа с ним может представлять трудности для начинающих, и SAP HR – не самая простая система в интеграции. Поэтому нелишними будут некоторые пояснения, а также небольшой FAQ по интеграции OIM 11g и SAP HR. Большинство из того, что описано здесь для OIM 11g, применимо и для OIM 9.1.0.2BPXX.

Коннектор OIM к SAP HR для взаимодействия с системой использует механизм IDOC-ов, текстовых файлов (некий аналог XML от SAP), в которых содержится определенная информация, выгружаемая из SAP. В нашем случае используется сообщение HRMD_A (HRMD_A05, A0X...) – записи о сотрудниках.

Прежде, чем приступить к настройке интеграции, вам понадобятся библиотеки доступа к SAP - SAP JCO и SAP IDOC. Внимание! Эти библиотеки специфичны для ОС и аппаратной конфигурации (например, сборка под процессор AMD не заработает под Intel, пусть даже с то же ОС Windows).

Последовательность проведения интеграции может различаться в зависимости от ситуации (к сожалению, нет двух одинаковых систем SAP HR, как вы уже, наверное, поняли), но как правило основные шаги следующие:

1. Выгрузка данных о сотрудниках на файловую систему сервера SAP.

2. Копирование файла с IDOC-ами по выгруженным сотрудникам на сервер OIM, первоначальная загрузка пользователей в OIM.

3. Настройка RFC-получателя IDOC в SAP HR. Запуск SAP HRMS Listener, получение событий изменений записей в SAP HR (прием на работу, перевод, увольнение и т.д.).

Рассмотрим процесс первоначальной загрузки данных о сотрудниках (полная реконсилиация, "Full Reconciliation"), показанный на рис. 1.

 

Рис. 1. Процесс первоначальной загрузки данных о сотрудниках из SAP HR.