Short intro: here're some new features of OIM 11gPS1 (11.1.1.5.0).
Разбирался с релизом Oracle Identity Manager PS1 (11.1.1.5.0) и наткнулся на тот факт, что не так уж просто определить, что же нового
и интересного там появилось. Поэтому, думаю, будет целесообразно собранную из
различных источников, внутренних и внешних, информацию объединить в данной
статье.
1. Обновление
до версии OIM 11.1.1.5 с версий 9.1.Х.
На версию Oracle Identity Manager 11.1.1.5 можно обновиться
не только с предыдущих OIM11gR1
BP01-04, но и с версий 9.1.Х (только для инсталляций на БД
Oracle).
Добавлена соответствующая глава "Upgrading Oracle Identity Manager
Environment" в Upgrade Guide
(http://download.oracle.com/docs/cd/E21764_01/im.htm). Интересно, что помимо
прогнозируемого обновления
с сохранением пользователей, ресурсов и их назначений,
событий реконсилиации и задач по расписанию, поддерживается миграция для
процессов согласования.
Соответствие
старых и новых сущностей процесса согласования показано в таблице ниже.
Oracle Identity
Manager 9.1
|
Oracle Identity
Manager 11g
|
Approval Processes
Resource
Request
|
SOA Composites
Operational Level
Request Level
|
Process
Determination Rules
|
Approval Policies
|
Task Assignment
Rules
|
Rules for human task
participants in SOA Composite
|
Утилита обновления для каждого процесса
согласования генерирует соответствующий SOA-композит, который может быть модифицирован
через JDeveloper. Остается развернуть процессы на сервере SOA, настроить оповещения (EMail Template'ы,
ассоциированные с задачами согласования OIM9.1 в новую конфигурацию не импортируются).
Утилита работает только для процессов согласования ресурсов для пользователей,
но не организаций.
Соответствие старых и новых сущностей, которым
OIM назначает
выполнение задач, показано в таблице ниже.
Oracle Identity
Manager 9.1
|
Oracle Identity
Manager 11g
|
Object Administrator
User with Least Load
|
Object
Administrators
|
Object
Administrators
|
Object Administrators
|
Object Authorizer
User with Highest Priority
|
Object Authorizer
|
Object Authorizer
User with Least Load
|
Object Authorizer
|
Requestor's Manager
|
Requestor's Manager
|
Request Target Users
Manager
|
Beneficiary Manager
|
Group User With
Highest Priority
|
Role
|
Group User with
Least Load
|
Role
|
Group User with
Highest Priority
|
Role
|
Group
|
Role
|
В следующей таблице показаны сущности OIM9.1 и соответствующие
им сущности OIM11g, миграция которых осуществляется автоматически.
Oracle Identity
Manager 9.1
|
Oracle Identity
Manager 11g
|
Внутренние политики авторизации, для групп и организаций, содержимое таблиц AAD и GPP
|
Authorization Policy
|
Access Policy
|
Access Policy
|
Approval Process
|
SOA Composite
|
Scheduled Tasks
|
Scheduled Tasks
(Jobs), без сохранения истории выполнения
|
Object Form
|
Request Dataset
|
Pre-populate
Adapters
|
Требуются соответствующие плагины.
Автоматически миграция не выполняется.
|
Task Assignment
Adapters
|
Миграция автоматически не производится.
Нужно вносить соответствующие изменения в SOA-композит
|
Entity Adapters
|
Для сущностей Users, Roles и Request требуется создание соответствующих плагинов.
Остальные адаптеры мигрируются автоматически.
|
Разумеется, не все так просто. Трудоемкость
миграции на OIM11gPS1 будет зависеть от объема реализованной кастомизации продукта. Так,
например, автоматически не выполняется миграция кастомизаций пользовательского
интерфейса. При необходимости их придется делать заново.
2. Встроенный
виртуальный каталог для LDAP-синхронизации (libOVD).
OIM 11gPS1 имеет встроенный виртуальный каталог LDAP в виде библиотеки libOVD с ограниченной
функциональностью, что позволяет без дополнительной установки OVD синхронизировать
учетные записи OIM с любым LDAP-каталогом, например, Active
Directory. Эта библиотека устанавливается, если вы
выберите опцию синхронизации с LDAP
для любого из предложенных каталогов.
3. Управление
жизненным циклом коннектора.
Ранее коннектор можно было только установить
без возможности обновления или удаления, что приводило к многим вопросам – как
правильно заменить версию коннектора, какие коннекторы установлены и т.д. В OIM 11gPS1 введено новое
понятие – управление циклом жизни коннектора ("Connector Lifecycle Management", CLM), предполагающее
возможность осуществления следующих действий:
-
установка коннектора;
-
просмотр установленных коннекторов;
-
определение коннектора ("Defining Connector"), необходимое для реализации функционала CLM для коннекторов собственной разработки или
кастомизированных стандартных коннекторов;
-
экспорт XML коннектора;
-
обновление коннектора с сохранением
определенной информации (например, наименование Resource Object, содержимое Lookup Fields,
определенные пользователем дополнительные поля формы процесса и т.д.);
-
клонирование коннектора (например, для
создания коннектора к похожей, но в точности не совпадающей системе);
-
удаление коннектора.
CLM позволяет проводить эти действия за счет того, что XML конфигурация
коннектора в OIM 11gPS1 хранится в БД.
Upd: Конечно же, OIM11gPS1 поддерживает технологию создания коннекторов - ICF (Identity Connector Framework, http://en.wikipedia.org/wiki/Identity_Connectors, http://blogs.oracle.com/identityconnectors/). Список коннекторов, созданных по новой технологии вы можете посмотреть здесь - http://download.oracle.com/docs/cd/E22999_01/index.htm. Технология была унаследована у Sun'а, и позволяет разделить реализацию коннектора от взаимодействия с управляющей системой (в нашем случае - Identity Manager'а), и создание коннекторов по новой технологии уже задокументировано в OIM Developer Guide, который вы можете найти на соответствующей странице документации - http://download.oracle.com/docs/cd/E21764_01/im.htm.
4. Новое в управлении пользователями.
OIM 11g позволяет установить значение определенных атрибутов (например, User Display Name и Role Display Name) одновременно
на нескольких языках. Языки в OIM:
-
язык системы по умолчанию (System Configuration, таблица
PTY);
-
предпочитаемый язык пользователя,
устанавливаемый в браузере (определяет язык отображения страниц интерфейса OIM);
-
MLS-язык, определяемый язык отображения определенных атрибутов;
-
User Name
Preferred language – новый атрибут пользователя,
устанавливающий, на каком языке отображать атрибуты пользователя,
поддерживающие мультиязычность.
Видимо, таким образом вы можете для
многонациональной компании показывать имя сотрудника на разных языках для
разных людей.
5. Новое в LDAP-синхронизации.
Как я уже упоминал, в OIM 11gPS1 появилась
возможность синхронизации с AD через libOVD. Однако, в AD к атрибуту sAMAccountName предъявляются ряд требований (он должен быть меньше, чем 20 символов и
т.д.). OIM 11gPS1 вводит две встроенные политики генерации имени пользователя в OIM (и, следовательно, AD) – FirstNameLastNamePolicyForAD и LastNameFirstNamePolicyForAD, учитывающие нюансы создания атрибута sAMAccountName в AD.
Новые политики генерации имени пользователя
реализованы через механизм плагинов, и, думаю, можно написать собственный
плагин, который, помимо обрезания излишних символов и добавления
соответствующих цифр, будет производить транслитерацию имени и фамилии
пользователя.
Кроме того, OIM 11g PS1 поддерживает политики генерации Common Name. Кроме того,
информация о CN хранится в таблицах OIM и этот атрибут сменяется при смете составляющих его атрибутов
пользователя (например, фамилии). Управление CN'ом осуществляется через следующие новые
системные свойства:
-
XL.IsReferentialIntegrityEnabledInLDAP
-
XL.DefaultCommonNamePolicyImpl
6. Новое в интеграции с SSO-системами.
OIM Authenticator в OIM 11gPS1 был доработан и сейчас поддерживает интеграцию с Siteminder, Tivoli Access Manager и OpenSSO. Соответствующий MBean в OIM получил новый флаг SSOMode
(значения "true" или "false" соответственно), в случае "true" OIM Authenticator "доверяет" информации о пользователе в запросе, который уже
прошел аутентификацию, в случае "false"
– аутентифицирует пользователя в собственном репозитории.
7. Новое в
реконсилиации.
OIM 11gPS1 поддерживает следующие новые возможности механизма реконсилиации:
-
генерация имени пользователя через
соответствующие политики, если оно не указано явно;
-
генерация пароля;
-
уведомление пользователя (в случае с SSO – только имя
пользователя, в случае без SSO – еще и пароль) по правилам, применимым к созданию пользователя
(отсылается на email пользователя, если его нет – на email его руководителя);
-
генерация Common Name;
-
пакетная повторная обработка событий
реконсилиации ("Recon Retry
batches");
-
новые возможности аудита для
реконсилиации пользователей, ролей и их назначений;
-
появились новые методы в API;
8. Новый механизм обратных вызовов ("Callbacks").
Не секрет, что OIM 11gPS1 является базовой версией, которая будет
использоваться в Fusion
Applications. Одно из требований, предъявляемым Fusion Applications было
наличие возможностей обратного вызова. Теперь такие возможности появились в OIM.
Введены следующие типы Callback'ов, реализованные через
веб-сервисы:
-
Post-Processing
Callbacks – посылаются соответствующим post-process плагином асинхронно с
информации о созданных / измененных записях;
-
Status Change
Callback – посылаются соответствующим плагином при смене
статуса запроса и SOD
9. Новое в
интеграции с SOA.
SOA теперь имеет возможность пользоваться не только пользователями и ролями
из репозитория OIM, но и пользователями и ролями LDAP'а. Полагаю, может быть полезно при
интегрированном решении OIM-OAM. Кроме того, в SOA появилась возможность использования AMX ("Approval Management eXtentions"), а
также возможность просмотра в едином интерфейсе задачи согласования с разных SOA-серверов ("Federated Tasklist"). BPM Worklist теперь умеет отображать информацию о SOD статусе и деталях запроса при интеграции с OAACG.
10. Новые утилиты архивации.
OIM 11gPS1 предоставляет утилиты архивации данных таблицы аудита – UPA. Основа работы этих
утилит – механизм Oracle Database
Partitioning, позволяющий разбивать большой файл БД на
несколько.
Вот, пожалуй, и все. Если вы нашли еще
какие-то важные новшества, сообщите, пожалуйста, в этой теме.
Появилась ли возможность реконсиляции подразделений через SAP HRMS?
ReplyDeleteВ текущей версии коннектора SAP ER 9.1.2.2 реконсилиации организаций нет (точнее есть lookup-синхронизация для ведения справочной таблицы организаций с учетом иерархий). Ждем выхода коннектора 11.1.1.5.
ReplyDelete