Первоначально коннекторы появились в Sun Identity Manager 8.1 (бывший Waveset Lighthouse). Использование фреймворка позволило разрабатывать коннекторы без знания API IdM-продукта, а также вести разработку и выпускать релизы IdM-решения и коннекторов независимо друг от друга. Фреймворк, на котором велась разработка коннекторов, был опенсорсный и получил название Identity Connector Framework (ICF).

Оракл опубликовал информацию о наличии уязвимости в OIM. На данный момент на саппорте есть и патч (27037128), и воркэраунд (Doc ID 2322316.1) для её устранения. Уязвимость критическая, поэтому вендор не стал раскрывать подробности её эксплуатации. Но имеющейся информации хватило, чтобы социальные сети наполнились слухами и насмешками, типа таких:

Так как на основе этой информации может сложиться неправильное понимание, я хочу немного разъяснить ситуацию.

In official guides (for example, "How to Customize OIM 12c Logo? (Doc ID 2320232.1)" guide) you could find that you need access for server file system. In this post I'll show you the way to customize OIM logo without putting image file somewhere in middleware directory. This solution is more convenient for T2P migration. Sorry for russian screens, I hope you will understand where to click.

В официальных гайдах (How to Customize OIM 12c Logo? (Doc ID 2320232.1)) для замены логотипа в веб-интерфейсе ОИМа нужен доступ к файловой системе сервера приложений. В этом посте я покажу способ, который не требует размещения файла с новым лого на сервере. Этот способ на порядок удобнее с точки зрения последующей миграции T2P.

Скачать тут: http://www.oracle.com/technetwork/middleware/id-mgmt/downloads/oid-11gr2...
Документация: https://docs.oracle.com/middleware/12213/idmsuite/index.html

В этом посте я расскажу, где и как искать ответы на любые вопросы про OIM. Если у вас уже есть опыт работы с OIM, наверняка вы и сами уже все знаете.

Доступны для скачивания свежие бандл патчи для OIM, OAM и OUD:

• OIM 11.1.2.3.170418 и OAM 11.1.2.3.170418: Patch:25654150 (Release Date: 18-Apr-2017)
• OAM WebGate 11.1.2.3.170418: Patch:21118593 (Release Date: 18-Apr-2017)
• OUD 11.1.2.3.170418: Patch:25383162 (Release Date: 18-Apr-2017)

После того, как установите свежий бандл патч для OIM не забудьте поставить SOA BP 170418. Вот тут есть пошаговое руководство: How to Apply SOA Bundle Patch 25809237(SOA BP170418) to the SOA Instance in Oracle Identity Manager 11.1.2.3.x (Doc ID 2146420.1)

Вышла новая версия утилиты ORAchk 12.2.0.1.3. У неё есть модуль для IAM, с её помощью можно иногда проверять, все ли хорошо с системой. Скачивать тут: ORAchk - Health Checks for the Oracle Stack (Doc ID 1268927.2).

Оракл опубликовал парочку интересных гайдов по реализации Disaster Recovery в OIM и OIM+OAM. Рекомендую к изучению.

• Disaster Recovery Strategy for OIM (Doc ID 2086493.1)
• Disaster Recover Strategy for OIM-OAM 11.1.2.3 Multi Data Center Environments (Doc ID 2257945.1)

Случайно обнаружил в недрах саппорта руководство для масштабирования одной ноды OIM в кластер. Делюсь находкой: How to Transform a Single Node OIM Domain to a Cluster? (Doc ID 2257940.1)

Еще одна интересная находка. Руководство по переносу данных OIM из одной БД в другую. Никогда не знаешь, когда оно пригодится, но когда настанет этот момент, лучше иметь документ под рукой. How to Port an Existing Oracle Identity Manager Installations Data From One Database to Another? [2218514.1]

Пару недель назад Оракл провел вебкаст про диагностику производительности Oracle Identity Manager. С необходимостью такой диагностики я сталкиваюсь практически в каждом проекте. Не могу сказать, что это проблемное место OIM, он хорошо справляется с масштабными внедрениями, скорее это особенность продукта. Продукт гибкий и реализует много функций, в зависимости от объема внедрения и количества проектных доработок стоит выполнять оптимизацию производительности в том или ином месте. Также бывает полезно поработать над оптимизацией при накоплении большого количества исторических данных в БД.

Сейчас можно посмотреть запись вебинара и презентацию. Там довольно много полезного материала, включая ссылки на различные документы на портале саппорта.

Symptoms

Some process tasks which should execute powershell script do not actually execute it. Attributes do not get provisioned to target systems (Active Directory / Exchange) anymore. Nothing has changed in the configuration to cause this and similar setup in our other environment works
Error from OIM logs:

<Error> <ORACLE.IAM.CONNECTORS.ICFCOMMON.CONNECTOROPHELPER> <BEA-000000> <oracle.iam.connectors.icfcommon.ConnectorOpHelper : execute : Error occured while executing action
java.lang.RuntimeException: The file exists.
...

Error from ".NET" connector-server logs:

ConnectorServer.exe        Error       0             The file exists.

at Org.IdentityConnectors.Framework.Impl.Api.Remote.Messages.OperationResponsePart ProcessOperationRequest(Org.IdentityConnectors.Framework.Impl.Api.Remote.Messages.OperationRequest) in Server.cs:609
...

Проблема

Некоторые процессные задачи на провижининг, после которых должен запускаться powershell скрипт, не отрабатывают. Атрибуты в целевой системе (Active Directory / Exchange) не обновляются. При этом в систему не вносили никаких изменений и проблема отсутствует в другой аналогичной среде.
Ошибка в логах OIM:

<Error> <ORACLE.IAM.CONNECTORS.ICFCOMMON.CONNECTOROPHELPER> <BEA-000000> <oracle.iam.connectors.icfcommon.ConnectorOpHelper : execute : Error occured while executing action
java.lang.RuntimeException: The file exists.
...

Ошибка в логах ".NET" коннектор-сервера:

ConnectorServer.exe        Error       0             The file exists.

at Org.IdentityConnectors.Framework.Impl.Api.Remote.Messages.OperationResponsePart ProcessOperationRequest(Org.IdentityConnectors.Framework.Impl.Api.Remote.Messages.OperationRequest) in Server.cs:609
...

Такое описание проблемы выглядит довольно странным, поэтому и решение будет немного неожиданным.