Jul 19, 2011

Новые возможности Oracle Identity Manager 11gPS1 (11.1.1.5.0)


Short intro: here're some new features of OIM 11gPS1 (11.1.1.5.0).

Разбирался с релизом Oracle Identity Manager PS1 (11.1.1.5.0) и наткнулся на тот факт, что не так уж просто определить, что же нового и интересного там появилось. Поэтому, думаю, будет целесообразно собранную из различных источников, внутренних и внешних, информацию объединить в данной статье.





1. Обновление до версии OIM 11.1.1.5 с версий 9.1.Х.

На версию Oracle Identity Manager 11.1.1.5 можно обновиться не только с предыдущих OIM11gR1 BP01-04, но и с версий 9.1.Х (только для инсталляций на БД Oracle). Добавлена соответствующая глава "Upgrading Oracle Identity Manager Environment" в Upgrade Guide (http://download.oracle.com/docs/cd/E21764_01/im.htm). Интересно, что помимо прогнозируемого обновления с сохранением пользователей, ресурсов и их назначений, событий реконсилиации и задач по расписанию, поддерживается миграция для процессов согласования.

Соответствие старых и новых сущностей процесса согласования показано в таблице ниже.

Oracle Identity Manager 9.1
Oracle Identity Manager 11g
Approval Processes
      Resource
      Request
SOA Composites
     Operational Level
     Request Level
Process Determination Rules
Approval Policies
Task Assignment Rules
Rules for human task participants in SOA Composite

Утилита обновления для каждого процесса согласования генерирует соответствующий SOA-композит, который может быть модифицирован через JDeveloper. Остается развернуть процессы на сервере SOA, настроить оповещения (EMail Template'ы, ассоциированные с задачами согласования OIM9.1 в новую конфигурацию не импортируются). Утилита работает только для процессов согласования ресурсов для пользователей, но не организаций.

Соответствие старых и новых сущностей, которым OIM назначает выполнение задач, показано в таблице ниже.

Oracle Identity Manager 9.1
Oracle Identity Manager 11g
Object Administrator User with Least Load
Object Administrators
Object Administrators
Object Administrators
Object Authorizer User with Highest Priority
Object Authorizer
Object Authorizer User with Least Load
Object Authorizer
Requestor's Manager
Requestor's Manager
Request Target Users Manager
Beneficiary Manager
Group User With Highest Priority
Role
Group User with Least Load
Role
Group User with Highest Priority
Role
Group
Role

В следующей таблице показаны сущности OIM9.1 и соответствующие им сущности OIM11g, миграция которых осуществляется автоматически.

Oracle Identity Manager 9.1
Oracle Identity Manager 11g
Внутренние политики авторизации,  для групп и организаций, содержимое таблиц AAD и GPP
Authorization Policy
Access Policy
Access Policy
Approval Process
SOA Composite
Scheduled Tasks
Scheduled Tasks (Jobs), без сохранения истории выполнения
Object Form
Request Dataset
Pre-populate Adapters
Требуются соответствующие плагины. Автоматически миграция не выполняется.
Task Assignment Adapters
Миграция автоматически не производится. Нужно вносить соответствующие изменения в SOA-композит
Entity Adapters
Для сущностей Users, Roles и Request требуется создание соответствующих плагинов. Остальные адаптеры мигрируются автоматически.

Разумеется, не все так просто. Трудоемкость миграции на OIM11gPS1 будет зависеть от объема реализованной кастомизации продукта. Так, например, автоматически не выполняется миграция кастомизаций пользовательского интерфейса. При необходимости их придется делать заново.


2. Встроенный виртуальный каталог для LDAP-синхронизации (libOVD).

OIM 11gPS1 имеет встроенный виртуальный каталог LDAP в виде библиотеки libOVD с ограниченной функциональностью, что позволяет без дополнительной установки OVD синхронизировать учетные записи OIM с любым LDAP-каталогом, например, Active Directory. Эта библиотека устанавливается, если вы выберите опцию синхронизации с LDAP для любого из предложенных каталогов.


3. Управление жизненным циклом коннектора.

Ранее коннектор можно было только установить без возможности обновления или удаления, что приводило к многим вопросам – как правильно заменить версию коннектора, какие коннекторы установлены и т.д. В OIM 11gPS1 введено новое понятие – управление циклом жизни коннектора ("Connector Lifecycle Management", CLM), предполагающее возможность осуществления следующих действий:
-         установка коннектора;
-         просмотр установленных коннекторов;
-         определение коннектора ("Defining Connector"), необходимое для реализации функционала CLM для коннекторов собственной разработки или кастомизированных стандартных коннекторов;
-         экспорт XML коннектора;
-         обновление коннектора с сохранением определенной информации (например, наименование Resource Object, содержимое Lookup Fields, определенные пользователем дополнительные поля формы процесса  и т.д.);
-         клонирование коннектора (например, для создания коннектора к похожей, но в точности не совпадающей системе);
-         удаление коннектора.

CLM позволяет проводить эти действия за счет того, что XML конфигурация коннектора в OIM 11gPS1 хранится в БД.

Upd: Конечно же, OIM11gPS1 поддерживает технологию создания коннекторов - ICF (Identity Connector Framework, http://en.wikipedia.org/wiki/Identity_Connectors, http://blogs.oracle.com/identityconnectors/). Список коннекторов, созданных по новой технологии вы можете посмотреть здесь - http://download.oracle.com/docs/cd/E22999_01/index.htm. Технология была унаследована у Sun'а, и позволяет разделить реализацию коннектора от взаимодействия с управляющей системой (в нашем случае - Identity Manager'а), и создание коннекторов по новой технологии уже задокументировано в OIM Developer Guide, который вы можете найти на соответствующей странице документации - http://download.oracle.com/docs/cd/E21764_01/im.htm.


4. Новое в управлении пользователями.

OIM 11g позволяет установить значение определенных атрибутов (например, User Display Name и Role Display Name) одновременно на нескольких языках. Языки в OIM:
-         язык системы по умолчанию (System Configuration, таблица PTY);
-         предпочитаемый язык пользователя, устанавливаемый в браузере (определяет язык отображения страниц интерфейса OIM);
-         MLS-язык, определяемый язык отображения определенных атрибутов;
-         User Name Preferred language – новый атрибут пользователя, устанавливающий, на каком языке отображать атрибуты пользователя, поддерживающие мультиязычность.

Видимо, таким образом вы можете для многонациональной компании показывать имя сотрудника на разных языках для разных людей.


5. Новое в LDAP-синхронизации.

Как я уже упоминал, в OIM 11gPS1 появилась возможность синхронизации с AD через libOVD. Однако, в AD к атрибуту sAMAccountName предъявляются ряд требований (он должен быть меньше, чем 20 символов и т.д.). OIM 11gPS1 вводит две встроенные политики генерации имени пользователя в OIM (и, следовательно, AD) – FirstNameLastNamePolicyForAD и  LastNameFirstNamePolicyForAD, учитывающие нюансы создания атрибута sAMAccountName в AD.

Новые политики генерации имени пользователя реализованы через механизм плагинов, и, думаю, можно написать собственный плагин, который, помимо обрезания излишних символов и добавления соответствующих цифр, будет производить транслитерацию имени и фамилии пользователя.

Кроме того, OIM 11g PS1 поддерживает политики генерации Common Name. Кроме того, информация о CN хранится в таблицах OIM и этот атрибут сменяется при смете составляющих его атрибутов пользователя (например, фамилии). Управление CN'ом осуществляется через следующие новые системные свойства:
-         XL.IsReferentialIntegrityEnabledInLDAP
-         XL.DefaultCommonNamePolicyImpl



6. Новое в интеграции с SSO-системами.

OIM Authenticator в OIM 11gPS1 был доработан и сейчас поддерживает интеграцию с Siteminder, Tivoli Access Manager и OpenSSO. Соответствующий MBean в OIM получил новый флаг SSOMode (значения "true" или "false" соответственно), в случае "true" OIM Authenticator "доверяет" информации о пользователе в запросе, который уже прошел аутентификацию, в случае "false" – аутентифицирует пользователя в собственном репозитории.


7. Новое в реконсилиации.

OIM 11gPS1 поддерживает следующие новые возможности механизма реконсилиации:
-         генерация имени пользователя через соответствующие политики, если оно не указано явно;
-         генерация пароля;
-         уведомление пользователя (в случае с SSO – только имя пользователя, в случае без SSO – еще и пароль) по правилам, применимым к созданию пользователя (отсылается на email пользователя, если его нет – на email его руководителя);
-         генерация Common Name;
-         пакетная повторная обработка событий реконсилиации ("Recon Retry batches");
-         новые возможности аудита для реконсилиации пользователей, ролей и их назначений;
-         появились новые методы в API;


8. Новый механизм обратных вызовов ("Callbacks").

Не секрет, что OIM 11gPS1 является базовой версией, которая будет использоваться в Fusion Applications. Одно из требований, предъявляемым Fusion Applications было наличие возможностей обратного вызова. Теперь такие возможности появились в OIM.

Введены следующие типы Callback'ов, реализованные через веб-сервисы:
-         Post-Processing Callbacks – посылаются соответствующим post-process плагином асинхронно с информации о созданных / измененных записях;
-         Status Change Callback – посылаются соответствующим плагином при смене статуса запроса и SOD


9. Новое в интеграции с SOA.

SOA теперь имеет возможность пользоваться не только пользователями и ролями из репозитория OIM, но и пользователями и ролями LDAP'а. Полагаю, может быть полезно при интегрированном решении OIM-OAM. Кроме того, в SOA появилась возможность использования AMX ("Approval Management eXtentions"), а также возможность просмотра в едином интерфейсе задачи согласования с разных SOA-серверов ("Federated Tasklist"). BPM Worklist теперь умеет отображать информацию о SOD статусе и деталях запроса при интеграции с OAACG.


10. Новые утилиты архивации.

OIM 11gPS1 предоставляет утилиты архивации данных таблицы аудита – UPA. Основа работы этих утилит – механизм Oracle Database Partitioning, позволяющий разбивать большой файл БД на несколько.

Вот, пожалуй, и все. Если вы нашли еще какие-то важные новшества, сообщите, пожалуйста, в этой теме.


2 comments:

  1. Появилась ли возможность реконсиляции подразделений через SAP HRMS?

    ReplyDelete
  2. В текущей версии коннектора SAP ER 9.1.2.2 реконсилиации организаций нет (точнее есть lookup-синхронизация для ведения справочной таблицы организаций с учетом иерархий). Ждем выхода коннектора 11.1.1.5.

    ReplyDelete