Установка OIM 11g в компактном виде

Short intro: here you can find a short guide - how to install OIM 11g in a compact environment.

Q: Я устанавливаю OIM 11g и мне требуется конфигурация только OIM & SOA Suite, есть ли короткое пояснение, как это проще всего сделать?

Релиз Oracle Identity Analytics 11gR1 BP03

Short introduction. News regarding BP03 patchset for OIA11g with new OIM/OIA integration libraries.

Вышел новый патчсет BP03 для Oracle Identity Analytics 11gR1, знаменательный обновленными библиотеками, а также более полным и детальным гайдом по интеграции OIA/OIM. Обновленный OIA можно скачать с MyOracle Support (http://support.oracle.com), раздел патчи, номер патча: 11819963.

Цикл работ OIM11g Workshop, Lab #4 Политики доступа и роли. Предоставление доступа через роли.

Short introduction: here you can find OIM 11g Workshop Lab #4 - Access policies and Role-Based Access Control (RBAC) in OIM 11g.

Продолжаем выкладывать цикл лабораторных работ OIM 11g Workshop. Данные работы читались в рамках Oracle Partner Academy в ФОРС в декабре 2010 и марте 2011. Версия - 1.2, скорректированная по итогам с исправленными ошибками и дополнениями. Работы рассчитаны на виртуальную машину, которую можно получить у меня по запросу, но могут быть использованы и отдельно, в том числе как краткий справочник по OIM 11g. Виртуальная машина изначально подготовлена заокеанскими коллегами для внутреннего тренинга с предустановленным OIM 11g.

Цикл работ OIM11g Workshop, Lab #3 Установка коннектора к LDAP-каталогу DSEE. Предоставление доступа через интерфейс администратора.

Short introduction: here you can find OIM 11g Workshop Lab #3 - Connector setup & manual provisioning.

Продолжаем выкладывать цикл лабораторных работ OIM 11g Workshop. Данные работы читались в рамках Oracle Partner Academy в ФОРС в декабре 2010 и марте 2011. Версия - 1.2, скорректированная по итогам с исправленными ошибками и дополнениями. Работы рассчитаны на виртуальную машину, которую можно получить у меня по запросу, но могут быть использованы и отдельно, в том числе как краткий справочник по OIM 11g. Виртуальная машина изначально подготовлена заокеанскими коллегами для внутреннего тренинга с предустановленным OIM 11g.

Цикл работ OIM11g Workshop, Lab #2 Управление пользователями и делегированное администрирование.

Short introduction: here you can find OIM 11g Workshop Lab #2 - User administration.

Продолжаем выкладывать цикл лабораторных работ OIM 11g Workshop. Данные работы читались в рамках Oracle Partner Academy в ФОРС в декабре 2010 и марте 2011. Версия - 1.2, скорректированная по итогам с исправленными ошибками и дополнениями. Работы рассчитаны на виртуальную машину, которую можно получить у меня по запросу, но могут быть использованы и отдельно, в том числе как краткий справочник по OIM 11g. Виртуальная машина изначально подготовлена заокеанскими коллегами для внутреннего тренинга с предустановленным OIM 11g.

FAQ по интеграции с Microsoft Active Directory.

Short introduction. In this article we'll collect answers and solutions to common problems, you can stumble upon, when performing integration of OIM and MS Active Directory.

1. Q: Я пытаюсь настроить взаимодействие OIM 11g (или 9.X) и AD через SSL (например, для возможности смены пароля). Я следую действиям, описанным в работе для 9.Х (текст здесь), экспортировал CA сертификат, загрузил его в CACERTS на JVM, на которой функционирует OIM, но при попытке установить соединение, получаю ошибку: "com.thortech.xl.exception.ConnectionException: Simple bind failed: host:636"

Цикл работ OIM11g Workshop, Lab #1: Знакомство с Oracle Identity Manager 11g

Short introduction: here we start to upload labs for OIM 11g, which have been delivered in Dec 2010 & Mar 2011 in FORS Academy, Moscow. Lab #1: Introduction.

Начинаю выкладывать цикл лабораторных работ OIM 11g Workshop. Данные работы читались в рамках Oracle Partner Academy в ФОРС в декабре 2010 и марте 2011. Версия - 1.2, скорректированная по итогам с исправленными ошибками и дополнениями. Работы рассчитаны на виртуальную машину, которую можно получить у меня по запросу, но могут быть использованы и отдельно, в том числе как краткий справочник по OIM 11g. Виртуальная машина изначально подготовлена заокеанскими коллегами для внутреннего тренинга с предустановленным OIM 11g. Большинство из работ предполагают знакомство с Oracle Identity Manager предыдущих версий, поэтому перед тем, как приступать, советую посмотреть теоретическую часть циклов OIM9.X Administration & ESSO Workshop и OIM9.X Development Workshop.

Содержание цикла лабораторных работ вы можете найти здесь.

Как осуществить поиск пользователей по атрибутам предоставленного ресурса?

Short introduction: here you can find a workaround, how to organize search for users in OIM 11g to find users with the specified process form attribute.

Q: Как в OIM 11g, используя стандартный интерфейс пользователя, найти всех пользователей, которым я выделил определенный ресурс с определенным атрибутом?

A: OIM 11g (как и OIM 9.X) позволяет в стандартном интерфейсе осуществлять поиск пользователей только по атрибутам самих пользователей. Но набор этих атрибутов расширяем, и возможно создать атрибут у пользователя, соответствующий необходимому атрибуту формы процесса какого-то ресурса.

Рассмотрим пример. Имеется система MySystem, у нее имеется атрибут PostGrad, соответствующий признаку, что данная учетная запись создана для сотрудника, закончившего аспирантуру (Post Graduate). Форма процесса с требуемым атрибутом показана на рис. 1.

Рис. 1. Форма процесса MySystem

Задача: найти всех пользователей, у которых этот признак установлен в "true".

Документация по OIM Administration Console на русском языке / OIM Administration Console docs in russian

Short introduction: here you can find Oracle Identity Manager Administration Console documentation in russian language.

Обнаружил, что документа с переводом документации по консоли адмиистрирования и документацию конечного пользователя Oracle Identity Manager (Oracle Identity Manager Administration Console Guide) не легко найти в сети, и не удалось его найти на сайте Oracle. Поэтому целесообразно выложить данный документ здесь. Документ соответствует версии Oracle Identity Manager 9.1.0.

Документация по OIM Administration Console на русском языке

Решение ошибки при установке OIM 9.X с репозиторием на Oracle Database 11.2

Short introduction. Here you can find a solution, how to fix the problem of XELSYSADM's USR_KEY=2 instead of 1 when installing OIM9.1.X on Oracle Database 11.2 as a repository.

Q: Я устанавливаю OIM9.X на сервер Oracle Weblogic 10.3.0 и СУБД Oracle Database 11.2.0.X, процедура установки проходит успешно, но в логах появляется сообщение об ошибке (см. ниже), а дальнейшая работа OIM не стабильная.

Ошибка: Failed to load XML. Unable to find record in UPA where USR_KEY = 1

Тестированная конфигурация:
- Oracle Identity Manager 9.1.0.1
- СП – Weblogic 10.3 (с комплектом jdk 1.6_05) на MS Windows 2008 x64
- СУБД – Oracle Database Enterprise Edition 11.2.0.2 на Linux

A: Нестабильная работа OIM вызвана тем, что встроенный пользователь XELSYSADM создался со значением USR_KEY=2, вместо 1, что приводит к возможным последующим ошибкам, и о чем косвенно свидетельствует приведенный текст ошибки. Чтобы исправить ошибку, необходимо  перед созданием служебной схемы в СУБД с помощью скрипта "prepare_xl_db" установить значение атрибута СУДБ  "differed segment creation" = false (thanks 2 colleagues @ LINS)

Методология внедрения IdM-решений

Short introduction. Here you can find IdM implementation methodology in russian language.

Выкладываю материалы по методологии внедрения IdM-решений (управление учетными записями и ролями). Материалы не носят грифа "internal only" и соответствуют состоянию на 2008 год, в частности там фигурирует ORM - Oracle Role Manager, функционал которого будет поделен между OIM11gR2 и OIA, но большинство из положений актуальны сейчас, да и в ближайшем будущем тоже. Вы найдете краткую презентацию по методологии внедрения IdM-решений, а также материалы по применению Oracle Unified Method (OUM).

Требуется аутсорсер на проект

Short introduction: this announcement begins section for those, who's seeking employment in IdM related fields in Russia.

Этим объявлением открываем новую секцию  с объявлениями для тех, кто ищет работу в области IdM.

На проект (пока пилотный, но с потенциалом) требуется аутсорсер с опытом внедрения Oracle Identity Manager, навыки в смежных продуктах (OAM, OAAM, ESSO) будут плюсом. За информацией обращайтесь: DFedorov@topsbi.ru

Интеграция Oracle Identity Manager с БОСС Кадровик / Integration with BOSS HR (trusted mode)

Short introduction: in this article OIM integration with russian popular HR system BOSS HR is discussed.

В данной статье мы обсудим способы интеграции Oracle Identity Manager с системой управления кадрами БОСС Кадровик. Разработанный в свое время коннектор для OIM 9.X и БОСС Кадровик (версий под Oracle и MS SQL Server). В данной статье вы найдете описание принципов интеграции, а также исходный код интеграции. Данный коннектор тестировался на версии OIM 9.1.X, и потребует незначительных изменений при развертывании на OIM 11g, о которых будет упомянуто в соответствующих местах.

В статье предполагается, что вы знакомы с принципами работы и основными объектами Oracle Identity Manager версии 9.Х. Для знакомства с продуктом вы можете захотеть просмотреть соответствующие тренинги – OIM9.X Adm Workshop и OIM9.X Development Workshop.

1. Основные принципы интеграции.

Принципиальная схема интеграции Oracle Identity Manager и БОСС Кадровик с версией на Oracle приведена на рис. 1.

Рис. 1. Принципиальная схема интеграции OIM и БОСС Кадровик (версия на Oracle)

FAQ по интеграции с Novell eDirectory

Short introduction: in this article you can find FAQ on integration with Novell eDirectory. 

В этой статье будут собраны часто задаваемые вопросы по интеграции Oracle Identity Manager с Novell eDirectory.

Q: Я пытаюсь настроить в OIM 11g отладочный вывод для коннектора к Novell eDirectory. Следуя документации, я создал соответствующие записи в файле logging.xml, файл лога создается, но внего никакой информации не пишется.

A: Для начала убедитесь в правильности конфигурации файла logging.xml. Кроме того, если вы пользуетесь документацией к коннектору версии 9.0.4.1.2.0, то в документации присутствует ошибка: в секции 2.3.1.4.2 при настройке OIM 11g указано неправильное название логгера “OIMCP.EDIRECTORY” – правильно, как в предыдущей секции для OIM 9.X “XL_INTG.EDIRECTORY” (thanx 2 Dmitriy Sarakeev @ USSC)

Тренинг по OIM 11g: дополнительные материалы / Additional material for OIM11g workshop

Short introduction: additional material for OIM11g Workshop, 1-3 Mar 2011, academy "FOR".

Спасибо всем присутствовавшим на прошедшем семинаре Oracle Identity Manager 11g Workshop. Выкладываю дополнительные материалы к тренингу:

Презентации:
Новые возможности Oracle Identity Manager 11g
Презентация по Oracle Identity Analytics

Последнюю документацию по OIM можно найти по ссылкам со страницы Oracle Fusion Middleware (раздел Identity Management). На текущий момент последней является документация от февраля 2011:

Developer's Guide for Oracle Identity Manager (руководство разработчика)
System Administrator's Guide for Oracle Identity Manager (руководство системного администратора)
User's Guide for Oracle Identity Manager (руководство пользователя)

Коннекторы Oracle Identity Manager и документацию к ним можно найти здесь.
Отдельно документацию по коннекторам можно найти здесь.

Текст лабораторных работ OIM9.X Adm Workshop & ESSO можно найти здесь.
Текст лабораторных работ по разработке в рамках OIM 9.X (OIM9.X Development Workshop) можно найти здесь.

О том, где находятся JAR-файлы установленных коннекторов в OIM 11g и как их обновить.

Short introduction: FAQ - where can I find connector JARs which earlier were in JavaTasks folder in OIM 11g?

Q: Где в OIM 11g располагаются JAR-файлы коннекторов, которые были установлены? Как заменить эти JAR-файлы? (например, у меня есть обновленный файл / я добавил в коннектор через декомпиляцию дополнительную функциональность и т.д.).

A: В OIM 11g JAR-файлы коннекторов хранятся в таблицах БД. При разработке собственных коннекторов вы можете все еще копировать их в каталог JavaTasks, но процедура кстановки коннекторов создает запись в таблице OIMHOME_JARS, куда загружает JAR-файлы коннкетора в поле типа BLOB.

Применение данной технологии позволяет избежать повторного копирования JAR-файлов на все узлы кластера при кластерном развертывании Oracle Identity Manager.

Пример таблицы OIMHOME_JARS:

Как обновить JAR-файл коннектора:

Как настроить новый адрес для SOA-сервера в конфигурации OIM?

Short introduction: FAQ - how can I set up a new SOA server (or a cluster of SOA servers) to work with my OIM 11g?

Q: Я перенес OIM на новую конфигурацию Как настроить новый адрес для SOA сервера? Ошибка в логе: 
javax.naming.CommunicationException [Root exception is java.net.ConnectException: t3://ХХХХХХХХ:8001/soa-infra: Destination unreachable; nested exception is:

A: Вы можете настроить новый адрес для вашего SOA-сервера (или же настроить SSL-соединение) через Enterprise Manager.

1. Зайдите в Enterprise Manager: http://<AdminServer>/em
2. Перейдите Identity and Access, Oracle Identity Manager.
3. Из контекстного меню по правой кнопке мыши выберите System MBean Browser.
4. Под Application Defined MBeans, перейдите oracle.iam -> Server: yourserver -> Application:oim -> XMLConfig -> Config -> XMLConfig.SOAConfig -> SOAConfig.
5. Измените значения для атрибутов "Rmiurl", "Soapurl", нажмите Apply для сохранения изменений. Значения для URL в кластере - перечисления host:port через запятую, например:
t3://mysoa1.oracle.com:8001
t3s://mysoa1.oracle.com:8001,mysoa2.oracle.com:8002
t3://mysoa1.oracle.com:8001,mysoa2.oracle.com:8002,mysoa3.com:8003 
6. Перезагрузите сервер приложений OIM.

OIM 11g Sizing Guide

Short introduction: OIM 11g Sizing Guide with come comments.

В дополнение к ранее выложенному документу OIM 9.X Sizing Guide, выложен новый документ по сайзингу OIM 11g - OIM 11g Sizing Guide. Документ содержит описание основных компонент OIM и способа их взаимодействия, а также примеры простой конфигурации и высоконадежной. Как и ранее, высоконадежная конфигурация создается при помощи установки OIM и SOA Suite в кластера сервера приложений Oracle Weblogic, а БД - через Real Application Cluster (RAC). Целью создания такой конфигурации - повышение надежности работы и балансировка нагрузки.

Также в документе даются примеры "базовой" аппаратной конфигурации, а также требуемое расширение (CPU, HDD) в зависимости от различных факторов.

Сравнение возможностей OIM 9.X и OIM 11g

Short introduction: you can find here a comparison between OIM 11g and OIM 9.X in the key functionality. 

Сравнение функциональных возможностей OIM версий 9.1.Х и 11g, или почему лучше устанавливать OIM 11g. PDF-версию документа можно найти здесь.

OIM 11g	OIM 9.1.X
Механизм согласования
Реализация процесса согласования на BPEL, разработка процессов с использованием Oracle JDeveloper. Построение процессов любой сложности.	Встроенная реализация процессов согласования.
Возможность запроса множеству пользователей доступа к множеству ресурсов. Автоматизированное создание подзапросов, согласование на уровнях: - шаблона запроса (Template Level Approval, согласование всего запроса целиком, определяемые шаблоном запроса); - запроса (Request Level, согласование всего запроса целиком, возможность запуска разных процессов согласования для одного шаблона в зависимости от запрашивающего) - выполнения (Operation Level, согласование назначения конкретного ресурса конкретному пользователю).	Существенные ограничения при запросе доступа нескольких пользователей к нескольким ресурсам одновременно. Согласование на уровне запроса и ресурса, отсутствует возможность создания подзапросов.

Поддержка реконсилиации организаций в OIM 11g (Organization Reconciliation Support)

Short introduction: FAQ - when Organization reconciliation will be supported in OIM 11g?

Q: Несмотря на то, что реконсилиация организация заявлена как одна из возможностей OIM и поддерживается коннектором к AD (http://download.oracle.com/docs/cd/E11223_01/doc.910/e11197/intro.htm#CHDBFHAJ), при попытке провести реконсилиацию в OIM 11g выдается ошибка: "Reconciliation of organization data is not supported.".

A: В конце документации к коннектору в рамках "Known Issues" указано, что реконсилиация организация релизом OIM 11g временно не поддерживается:

"Note: You cannot reconcile data about organizations from the target system if you are using Oracle Identity Manager release 11.1.1. This issue has been mentioned in the "Known Issues" chapter.

The following issues are observed when you deploy this release of the connector on
Oracle Identity Manager release 11.1.1:
■ Bug 7627046
Reconciliation of organization data is not supported."

Ожидаемый релиз с поддержкой реконсилиации организаций – OIM11gBP04.