Identity Manager 7.1 の機能

『Identity Manager 7.1 リリースノート』のこの節では、次の事項についての情報を提供します。

このリリースの新機能
このリリースで解決されたバグ

---

このリリースの新機能

ここでは、Identity Manager 7.1 で提供される新機能についての追加情報を示します。情報の構成は次のとおりです。

インストールと更新
管理者インタフェースとユーザーインタフェース
監査
フォーム
Identity Manager 統合開発環境 (IDE)
Identity Manager SPE
リポジトリ
リソース
ロール
セキュリティー
サーバー

インストールと更新

単一の物理サーバー上の 1 つのリポジトリを指す複数の Identity Manager インスタンスが配備に含まれるとき、一意のサーバー名を設定するには waveset.serverId システム属性を使用します (ID-11578)。
インストールおよびアップグレード作業は、非グラフィカルモード (コマンド行モード) でも実行できます (ID-14258)。
MySQL 用の Identity Manager Service Provider トランザクションデータベースを作成するためのスクリプト (sample/create_spe_tables.mysql) が新しく提供されています (ID-14666)。

MySQL は Service Provider トランザクションデータベースとしてサポートされていません。このスクリプトは、デモ目的に限定された使用を前提として提供されています。

ローカリゼーション対応: これまで英語版をインストールした際に存在していた RAMessage_l10n.jar には最新の翻訳メッセージが含まれていませんでした。本リリースより、このファイルはインストールされなくなります。アップグレードの場合は、前処理の段階でこのファイルが削除されます。最新のローカライズ版を利用するには言語パックをダウンロードしてください (ID-16272)。

オンラインサポートセンターの一部である Sun Download Center (http://www.sun.com/download) から言語パックをダウンロードできます。Download Center にアクセスするには、登録済みのアカウント名とパスワードが必要です。

詳細については、「Identity Manager 7.1 Installation」および、すべての IDM 言語パックに付属している「Identity Manager L10n Readme」を参照してください。

管理者インタフェースとユーザーインタフェース

ユーザーが自分のユーザー ID を忘れた場合、login.jsp または user/login.jsp 上の「ユーザー ID をお忘れですか ?」をクリックして、新しい「ユーザー ID の問い合わせ」ページを開けるようになりました。ユーザーはこのページで、通知用の電子メールアドレスといくつかのアイデンティティー属性値 (電話番号、姓名、従業員 ID など) を入力できます。入力すると、Identity Manager は指定されたアイデンティティー属性値に一致する単一ユーザーの検索を試みます (ID-4924)。
検索に成功した場合、Identity Manager はそのユーザーの Identity Manager ユーザー ID を記載した電子メールを、指定された通知用電子メールアドレスに送信します。このために、ユーザー ID 復元用に電子メールのテンプレートが新しく作成されました。このテンプレートの件名および本文はメッセージキーであるため、カスタマイズや国際化ができます。
検索に失敗した場合、指定された情報に一致するユーザーを Identity Manager が見つけられなかった、または指定された情報に一致するユーザーが複数見つかったことがエラーメッセージで報告されます。

この機能はデフォルトで有効ですが、無効にすることができます。

ログインモジュールグループ (「セキュリティー」>「ログイン」サブタブで表示) の範囲内でリソースログインモジュール (アイデンティティーシステムユーザー ID/パスワードログインモジュール以外) を編集するときに、「ログイン相関規則」を選択すると、ユーザーが指定したログイン情報を Identity Manager のユーザーにマップできるようになりました。

Identity Manager は、「ログイン相関規則」で指定されたロジックを使用して Identity Manager ユーザーを検索します。規則は 1 つ以上の AttributeConditions のリストを返してから、これらの条件に一致する Identity Manager ユーザーを検索する必要があります。

たとえば、Identity Manager ユーザー ID との相関だけで十分な場合があります。また、Identity Manager ユーザーに LDAP リソースのアカウント ID がある場合はそのアカウント ID を検索することができるため、その Identity Manager ユーザーには Sun Access Manager リソースリンクが不要になります。ログイン相関規則の authType は LoginCorrelationRule である必要があります (ID-8577)。

リソースツリーテーブルの「説明」列に、同期ステータスが表示されなくなりました。「ステータス」列に、調整および同期の複合ステータスが表示されるようになりました (ID-14005)。
サーバー設定テンプレートおよび電子メールテンプレートが変更され、SMTP サーバー上で SSL または認証を行うかどうかを管理者が決定できるようになりました (ID-14899)。

詳細については、『Sun Java^TM System Identity Manager 管理ガイド』を参照してください。

監査

優先順位または重要度、あるいはその両方を割り当てることによって、ポリシー違反の優先順位を設定できるようになりました。違反の優先順位の設定は是正ページから行います。詳細は、『Identity Manager 管理ガイド』の「ポリシー違反の優先度の設定」を参照してください (ID-11703)。
監査ポリシースキャンで、動的組織のメンバーがスキャンされるようになりました (ID-12437)。
監査ポリシースキャンのスケジュールを設定できるようになりました (ID-12474)。
監査スキャンにテストモードが追加されました。このモードでは、是正処理は行わずに、スキャンの完了時にすべての違反が削除されます (ID-12522)。
「違反の概要レポート」が拡張され、違反の状態によって違反の選択を行えるようになりました。1 つ以上のとりうる状態にある違反のみをレポートするようにレポートを設定できます (ID-12612)。
アクセスレビューの承認、却下、および是正に関連する監査ログエントリへの電子署名が可能になりました (ID-13264)。
定期的アクセスレビューを起動したあと、アクセスレビューページに移動すると、更新ボタンをクリックしなくてもスキャン結果がリスト表示されるようになりました (ID-14169)。
ディレクトリジャンクションおよび仮想組織が、監査ポリシー割り当てをサポートするようになりました (ID-14591)。
割り当てられたリソースに基づいて、アクセススキャンのユーザー範囲を定義できるようになりました (ID-14654)。
デモ環境をインストールすることにより、Identity Manager のコンプライアンスをすばやく表示することが可能になりました (ID-14970)。

sample/auditordemo.xml をインポートするか、Compliance/RuleBuilder で提供されるツールを使用して独自のデモ環境を作成することによって、コンプライアンスのデモ環境をインストールできます。詳細は、Compliance/RuleBuilder/README.txt を参照してください。

アテスターおよび是正者は、アテステーション時および是正時に効率を高める必要がある詳細な部分を正確に示すフォームを指定できるようになりました。詳細は、このリリースノートの「ドキュメントの追加事項と修正事項」の節を参照してください (ID-14973)。
是正処理の際に、違反が解決されたかどうかを確かめるためにコンプライアンス違反を再評価できるようになりました。監査ポリシーの違反がふたたび発生しないように、ユーザーを編集できます (ID-15019)。
保留中のアクセスレビューエンタイトルメントを、現在のエンタイトルメントデータで更新できるようになりました (ID-15027)。
アクセスレビュー是正者は、是正フォーム上の新しい「編集」ボタンを使用して、ユーザーを直接編集 (再プロビジョニング) できます (ID-15172)。
コンプライアンスレビュー是正者は、是正フォーム上の新しい「編集」ボタンを使用して、ユーザーを直接編集 (再プロビジョニング) できます (ID-15173)。
アクセスレビューで、次のいずれかの方法でユーザーエンタイトルメントを変更できるようになりました (ID-15180)。
アクセスレビューアテスターが「再スキャン」をクリックすることにより、再スキャンを要求します。これにより、ユーザーエンタイトルメントが更新および再評価されます。
アクセスレビュー是正者が「是正済み」をクリックします。これにより、ユーザーエンタイトルメントが更新および再評価されます。
「是正中」の状態で作成されたユーザーエンタイトルメントが、是正作業項目を自動的に作成するようになりました (ID-15423)。

詳細については、『Identity Manager 配備ツール』の第 2 章「規則の操作」を参照してください。

アップグレードの考慮事項: 一括アテステーション通知およびすべての電子メールテンプレートは、アップグレード後も保持されます。ただし、auditorwfs.xml ファイル内の Bulk Attestation Notice の定義部分は、新しいアクセスレビュー是正作業項目での通知変数の実装方法に従って、若干書き換わっています。

監査スキャンで、複数アカウントリソースに対してターゲットリソースをより明示的に指定できるようになりました (ID-15485)。
監査ポリシーオブジェクトの管理ページがフォームベースになり、カスタマイズ可能になりました。密度の高い情報を表示する完全表示と、詳細さのレベルを限定した部分表示のどちらかを選択できます。詳細は、このリリースノートの「ドキュメントの追加事項」を参照してください (ID-15486)。
アクセススキャンの管理ページがフォームベースになり、カスタマイズ可能になりました。詳細は、このリリースノートの「ドキュメントの追加事項」を参照してください (ID-15515)。
監査ログレポートに、ロール変更の詳細が示されるようになりました (ID-15587)。
デフォルトでは、次のユーザーエンタイトルメントイベントのみがログに記録されます (ID-15735)。
アテスターによる承認
アテスターによる却下
リクエストされた是正
リクエストされた再スキャン
終了

フォーム

TabPanel 表示クラスが、タブ単位での検証式の実行をサポートするようになりました。validatePerTab 表示プロパティーを true に設定すると、Identity Manager はユーザーが別のタブに切り替えた時点でただちに検証式を実行します (ID-12442)。
サンプルの VMS フォームが sample/forms フォルダに提供されるようになりました (ID-12835)。

Identity Manager 統合開発環境 (IDE)

Identity Manager 統合開発環境 (Identity Manager IDE) とは、使用している配備で Identity Manager オブジェクトを表示、カスタマイズ、およびデバッグできる Java アプリケーションのことです。

Identity Manager 7.1 リリースでは、次の新しい機能が Identity Manager IDE に追加または変更されています。

注	これらの機能の詳細については、『Identity Manager 配備ツール』を参照してください。

Identity Manager IDE が GenericObject をサポートするようになりました (ID-12952、12991)。
NetBean の最上位のメニューバーに「IdM」メニューが追加されました。このメニューから、選択中のオブジェクトノードに対して適切なアクションを選択できます (ID-13158)。
Identity Manager IDE 7.0 のプロジェクトは、次の 2 つのプロジェクトタイプに置き換えられました。これらは両方とも、NetBeans の ant プロジェクトです (ID-14587)。
Identity Manager プロジェクト: もっとも完全な機能を備えたプロジェクトタイプであり、配備担当者にとっての主要な開発環境として使用されます。次のものが含まれます。
Java/JSP の編集、ビルド、デバッグ
NetBeans の組み込みアプリケーションサーバー内で Identity Manager を起動する機能
組み込みリポジトリを管理する機能

このプロジェクトタイプでは、サンドボックスでのテストに使用できる簡易リポジトリが提供されます。このプロジェクトタイプを作成するとき、プロジェクトに組み込みリポジトリを指定できます。また、組み込みリポジトリの管理オプションを有効化してリポジトリを再初期化できます。Identity Manager IDE が提供する自動パブリッシュ機能は、プロジェクトを実行またはデバッグするたびに組み込みリポジトリを自動的にロードします。

サンプル CBE (設定ビルド環境) およびインポートファイルジェネレータ。
CBE の詳細については、Identity Manager プロジェクトに付属している README.txt ファイルを参照してください。
Identity Manager プロジェクト (リモート): 小規模な変更を行う目的や、外部サーバー上でリモートプロジェクトのデバッグを行う目的に使用されます。軽量で設定が容易なこのプロジェクトタイプは、Identity Manager プロジェクトのすべての編集機能を備えていますが、ビルド環境はなく、war ファイルの起動もできません。
Identity Manager IDE がバージョン独立性を提供するようになりました (ID-14723)。

Identity Manager IDE のバージョン 7.1 の .nbm が Identity Manager クラスから分離されました。バージョン 7.1 の .nbm は Identity Manager 7.0 および 7.1 をサポートし、Identity Manager 6.0 SP3 のサポートが予定されています。

個々の Identity Manager IDE プロジェクトは特定の Identity Manager バージョンと結び付いており、Identity Manager IDE には、Identity Manager の jar ファイルと、サポート対象の各 Identity Manager バージョンに対するバージョン固有情報を格納した一部の XML レジストリを提供する互換性バンドル (ide-bundle.zip) が新しく必要になりました。互換性バンドルは、プロジェクトの作成時に指定します。

Identity Manager プロジェクト の場合: 互換性バンドルは idm.war ファイルに含まれており、プロジェクトの設定中に Identity Manager IDE はこのファイルに自動的にアクセスします。
Identity Manager プロジェクト (リモート) の場合: リモートプロジェクトに対しては war ファイルの場所を指定しないため、次に示す互換性バンドルの場所を指定します。

<Identity Manager インストールディレクトリ>/sample/ide-bundle.zip

注	Identity Manager バージョン 7.0 では IDE 互換性バンドルは提供されませんでしたが、Identity Manager 7.0 のダウンロードサイトからこのファイルをダウンロードできます。

「Explorer」ウィンドウに表示されるオブジェクトタイプの一覧にライブラリオブジェクトが追加されました。これらのオブジェクトはプロパティーシート、パレット機能、ナビゲーションノードを備えます (ID-14817)。
Identity Manager IDE プラグインで JDK 1.5 および Netbeans 5.5 が必要になりました (ID-14950)。
ローカルディレクトリ内の単一オブジェクトまたはオブジェクトのフォルダを、リポジトリ内の単一オブジェクトまたはオブジェクトのフォルダと再帰的に比較 (diff) できるようになりました。この機能を使用して、ローカルコピーとサーバー上のコピーの間の差分を表示できます。また、この機能を使用して、1 つ以上の変更済みオブジェクトをアップロードおよび再ロードできます (ID-15151、15206)。
規則オブジェクトに対してデザインビューを選択すると、エディタウィンドウ内に式ビルダーが表示され、規則の論理構造の表示や規則のプロパティーの変更がより簡単に行えるようになりました (ID-15104)。
Identity Manager IDE の式ビルダーダイアログに機能が追加されました。次のことを行えるようになりました。
式ビルダーのテーブル内で、単純データ型 (整数および文字列) を直接編集する (ID-15528)。
式ビルダーダイアログ内で XPRESS の呼び出し文 (静的またはインスタンス) を定義するときに、Identity Manager API メソッドの Javadoc を表示する (ID-12961)。

式ビルダーの「Class Name」および「Method Name」メニューからクラスまたはメソッドを選択すると、関連する Javadoc がダイアログと一緒にポップアップ表示されます (ID-12960)。

式やプリミティブ値 (文字列など) をサポートするプロパティー値を、プロパティーテーブル内で直接編集する (ID-13763)。
最初に BLOCK を作成してからそれを目的の式に変更するのではなく、特定の式を直接作成する (ID-15932)。
式の要素を別の要素に含めるか「ラップ」することにより、完全な式を構築する。
新しい「Change To」ボタンおよびダイアログを使用して、要素の式タイプを変更する (ID-15933)。
Identity Manager IDE で、ファイル、持続オブジェクト、拡張の独立したノードが提供され、基になっている実際の XML コンテンツがより正確に反映されるようになりました。また、ノードの並べ替えや、ほかの場所 (プロジェクトツリー内の別のノードの前後、または別のノード内) へのノードの挿入が可能です (ID-14689)。
Identity Manager IDE リポジトリからオブジェクトを削除できるようになりました (ID-14081、15031)。
Identity Manager IDE 内のオブジェクトを Identity Manager 7.0 サーバーにアップロードし、オブジェクトに手動で ID を割り当てることが可能になりました (ID-15474)。
リポジトリ間でのオブジェクトの移動を容易にするために、リポジトリからオブジェクトをダウンロードする前に、すべての自動生成リポジトリ ID を削除するように Identity Manager IDE を設定できるようになりました (ID-15307、15347)。

Identity Manager IDE は、指定された式に一致するすべてのオブジェクト ID および objectRef ID を検出して削除します。ただし、ハードコードされた定義済み ID は削除しません。

フォームの編集時に、フォームおよびフィールドへの参照をたどれるようになりました。また、ワークフローの編集時には、外部プロセスもたどれます。Identity Manager IDE は参照されるファイルを開き、参照を検出します (ID-14428、15406)。
プロジェクトの作成時に Context フィールドを空白のままにすることで、ルートコンテキストを指定できるようになりました (ID-15912)。

Identity Manager SPE

Identity Manager SPE が、リンク相関規則およびリンク確認規則をサポートするようになりました (ID-10500)。詳細は、このリリースノートの「ドキュメントの追加事項」にあるバグ 15760 の説明を参照してください。
Service Provider ユーザーの秘密の質問への回答を、管理インタフェースで編集できるようになりました (ID-12781)。
ダウンしたリソースがふたたび利用可能になったあとに、LDAP の削除済み属性が伝播されるようになりました (ID-15471)。

レポート

「設定」>「レポート」ページで設定を編集することにより、レポートの生成時に使用するフォントをグローバルに制御できるようになりました。この設定は、各レポートの設定を編集することによって上書きできます。デフォルトでは、すべての PDF ビューアで使用可能なフォントのみが表示されます。

システムにフォントを追加するには、IDM の配備先ディレクトリ内の WEB-INF/fonts ディレクトリ (例: /var/opt/SUNWappserver/domains/domain1/applications/j2ee-modules/idm/WEBINF/fonts) にフォント定義ファイルをコピーします。その後、サーバーを再起動します。サポートされるフォント定義形式には .ttf、.ttc、.otf、および .afm が含まれます。これらのいずれかのフォントを選択する場合、レポートを表示するマシン上で同じフォントが使用可能であるか、またはフォントがレポートに埋め込まれている必要があります。

アジア圏の文字など、一部の文字セットはデフォルトのフォントセットでサポートされていないため、fonts/ ディレクトリに追加フォントをインストールし、設定ページでそのフォントを選択して、その文字セットを表示できるレポートを生成します (ID-10641/14376)。

注	TrueType フォントのライセンスレベルは、フォントによって異なり、そのレベルに応じて、アプリケーション上でどういった使用が許可されるかが決まっています。 選択したフォントを PDF の印刷およびプレビュー用に使用するには、そのフォントのライセンスがそういった用途でフォントを使用することを許可している必要があります。PDF に埋め込んで使用することをライセンスが許可していないフォントを選択しても、Identity Manager では、そのフォントが使えないために、PDF は標準フォントで生成されます。これが原因で、PDF コンテンツが期待通りに表示されない場合があります。Identity Manager は現在、埋め込みの失敗をログに記録しないため、この問題がユーザーに警告されることはありません。

リポジトリ

リポジトリオブジェクトのサイズについての情報を取得できるようになりました。この情報には、Web ページまたはコンソールのコマンド行からアクセスできます (ID-9896)。

注	アップグレードの場合、既存のオブジェクトに関しては、そのオブジェクトが更新されるまでサイズは 0 と報告されます。

リソース

新しいリソースアダプタ

このリリースでは、次のアダプタが追加されています。

RACF-LDAP
SAP Governance, Risk, and Compliance (GRC) Access Enforcer

これらのリソースアダプタの詳細については、『Identity Manager リソースリファレンス』を参照してください。

リソースアダプタの更新

Active Sync を実行するサーバーを、リソースの同期ポリシーで設定することが推奨されるようになりました。waveset.properties の使用は非推奨になりましたが、まだ使用できます。同期ポリシーでの設定に移行することを強くお勧めします (ID-10167)。
Flat File Active Sync アダプタの設定が、特に区切り形式のファイルに関して簡略化されました (ID-11678)。
LDAP アダプタ上ですべての更新が処理される前に、Active Sync を終了できます (ID-13695)。
Identity Manager が PeopleSoft HRMS 9.0 のサポートを提供するようになりました (ID-14195)。
Domino アダプタで、Domino 7.0 リソース用の明示的ポリシー属性の設定がサポートされるようになりました (ID-14315)。
Oracle ERP リソースアダプタで、前アクションおよび後アクションがサポートされるようになりました (ID-14659)。
デフォルトの RACF List User AttrParse 機構が拡張され、多数の「CLASS AUTHORIZATIONS」や、「GROUP SYS1   USER CONNECTION NOT INDICATED」のようなグループエントリを持つテンプレートユーザーを処理するようになりました (ID-15021)。
「デフォルトの一次グループ」および「ログインシェル」の 2 つのリソース属性が、Solaris、AIX、HP-UX、Red Hat Linux、および SuSE Linux の各リソースアダプタに追加されました (ID-15034)。
NDS アダプタでの GroupWise のサポートが改善されました。
アダプタが二次ドメイン内のポストオフィスを管理できるようになりました (ID-15122)。
GroupWise ユーザーは、あらゆる既知の配布リストに登録できます (ID-15707)。
ポストオフィスを GroupWise ユーザーから削除することを指定するための機構として、アダプタが Delete Pattern パラメータを使用しなくなりました。新しい方法では、ポストオフィスフィールドを単に "" (2 つの二重引用符) に設定します。プログラムによってポストオフィスを削除する従来のフォームまたはワークフローがある場合、それらを変更してフィールドを "" に設定します (ID-15970)。
Domino リソースアダプタは、Domino 7.0 サーバー向けのユーザーのローミングをサポートします (ID-15157)。
CUA 環境内のアクティビティーグループ (ロール) およびプロファイルを、開始日と終了日を使用して更新できるようになりました (ID-15613)。

ロールに関しては、アダプタの activityGroups 属性を次のものにマップします。

CUA->directLocalActivityGroupObjects

プロファイルに関しては、「profiles」を次のものにマップします。

CUA->directLocalProfileObjects

ACF2 アダプタは ACF2 8.0 SP2 をサポートします (ID-15833)。
サンプルの NDSUserForm には、ポストオフィスおよび配布リストを取得するための 7 つの手法すべての使用例が含まれています (ID-15872)。
PeopleSoft Component Interface アダプタで、コンポーネントインタフェースに対する GET、FIND、および CREATE の各操作に対して個別のキーの指定がサポートされるようになりました (ID-16055)。
PeopleSoft Component Interface アダプタで、PeopleTools 8.1 〜 8.48 がサポートされるようになりました (ID-16128)。
Top Secret リソースアダプタで、ユーザーを有効化および無効化するときに ASUSPEND、PSUSPEND、VSUSPEND、および XSUSPEND が正しく処理されるようになりました (ID-16295)。

ロール

Identity Manager で、既存のスーパーロールへの逆方向リンクを含むロールをインポートするとき、新しくインポートされるロールへと逆方向リンクするように既存のロールが更新されるようになりました (ID-15482)。

Identity Manager は、既存のスーパーロールから、それらを参照するサブロールへの逆方向リンクを検出および作成します。Identity Manager はアップグレードの間、ロールの修復に使用される RoleUpdater クラスを呼び出します。

新しい RoleUpdater.xml ファイル (sample/forms/RoleUpdater.xml) をインポートすることにより、アップグレードプロセスの外部でロールを更新できます。デフォルトでは、Identity Manager はアップグレードの間、または RoleUpdater.xml のインポート時にサブロールリンクを追加します。

この新しい機能を無効にするには、RoleUpdater 属性 nofixsubrolelinks を true に設定します。次に例を示します。

<MapEntry key='nofixsubrolelinks' value='true' />

インポート中のロール自動更新についての関連情報は、「既知の問題点」で説明されている ID-15053 を参照してください。

委任モデルが次のように変更されます (ID-15440)。
1 人以上のユーザーに作業項目を委任している、もしくは委任規則を設定して作業項目を委任しているユーザーの編集画面では、委任が最初に確立されたあとで委任先のユーザーや委任規則が削除された場合、それらのユーザーまたは規則は括弧で囲んで表示され、それらが削除済みであることを示すようになりました。例: "(auser)"
ユーザーの委任先リストを変更するときに、そのリストに削除済みの受任者 (委任された人) がまだ含まれている場合、例外がスローされ保存に失敗します。ユーザーの委任先リストを変更せずに、ほかの属性を変更した場合は、委任先情報自体は変更がないため保存は成功します。
ユーザーを作成または更新しており、すでに存在しないユーザーへの委任を承認者が行った場合、委任が削除済みであるため設定どおりに承認作業項目を委任できなかったことを示すメッセージが出て、作成または更新は失敗します。
あとから削除されたユーザーに委任された作業項目は、委任する側のユーザーによる復元がまだ可能です。委任する側のユーザーはその後、削除されたユーザーへの委任を終了できます。

詳細については、『Sun Java^TM System Identity Manager 管理ガイド』を参照してください。

セキュリティー

Identity Manager で、アテステーション、是正、承認などの作業項目タイプごとに異なった委任設定をユーザーが定義できるようになりました (ID-14152)。
End User という名前の組み込みオブジェクトグループ/組織が Identity Manager に新しく追加されました (ID-14630)。

この新しいオブジェクトグループ/組織は Top のメンバーです。当初、このオブジェクトグループ/組織にはメンバーオブジェクトがありません。このオブジェクトグループ/組織は管理者ユーザーインタフェースの「アカウント」タブのツリーテーブルには表示されず、子の組織を持つことはできません。ただし、ロール、管理者ロール、リソース、ポリシー、タスクなどのオブジェクトを編集しているときは、管理者ユーザーインタフェースを使用して、任意のオブジェクトを End User オブジェクトグループ/組織に対して利用可能にすることができます。

以前は、ユーザーが End User インタフェースにログインするとき、ユーザーには自動的に、EndUser 機能で指定されたオブジェクトタイプ (AdminRole、EndUserConfig、EndUserTask など) に対する権限が割り当てられていました。現在では、Identity Manager は、新しい EndUser オブジェクトグループの制御もユーザーに割り当てて、組み込みの End User Controlled Organizations (エンドユーザーの管理する組織) 規則を評価します。組織名が返される場合、Identity Manager は自動的に、返された組織の制御もユーザーに付与します。Identity Manager は、End User Controlled Organizations 規則への入力引数として、認証ユーザーのビューを使用します。この規則は、End User インタフェースにログインするユーザーに EndUser 機能が付与される対象の、1 つの組織 (文字列) または複数の組織 (リスト) を返すことができます。

加えて、新しいオブジェクトを管理するための、新しい End User Administrator 機能が追加されました。この機能を持つユーザーは、EndUser 機能で指定されたオブジェクトタイプ、および、End User Controlled Organizations 規則の内容に対する権限を表示および変更できます。この機能はデフォルトで Configurator に割り当てられます。End User Controlled Organizations 規則の評価によって返されるリスト (組織) に対する変更はすべて、ログインしているユーザーに対して動的には反映されません。これらのユーザーが変更を確認するには、ログオフして再度ログインする必要があります。

Roles、Resources、Tasks などの Identity Manager 設定オブジェクトへのアクセスをエンドユーザーに付与するための最良の方法として、この新しいオブジェクトグループ/組織を検討してください。

将来的には、End User Tasks、End User Resources、System Configuration:EndUserAccess、および End User の各 authType を使用する代わりに、この方法を使用することをお勧めします。ただし、authTypes を使う方法は下位互換性のために現在でもサポートされています。

ユーザーの作成時に設定したパスワードも、ユーザーのパスワード履歴に追加されるようになりました (ID-15179)。
ロールやリソースなどのオブジェクトを一覧表示し、返されたオブジェクトのいずれかに対して 6 個を超える memberObjectGroups が存在するとき、Identity Manager は切り捨てられた memberObjectGroups を結果から除外しなくなりました (ID-15181)。

注	USER タイプは 1 つの ObjectGroup のメンバーにしかなれないため、この動作は適用されません。

保留中の作業項目を所有するユーザーが削除される場合、Identity Manager は次のようにして、その作業項目が失われないことを保証するようになりました (ID-15868)。
保留中の作業項目が委任されており、委任元がまだ削除されていない場合、保留中の作業項目が委任元に戻され、委任元が作業項目の新しい所有者になります。
保留中の作業項目が委任されていて委任元も削除済みであるか、保留中の作業項目が委任されていない場合、ユーザーの保留中作業項目が解決されるか、別のユーザーに転送されるまでの間、削除の試行は失敗します。

サーバー

メソッドとそのサブ呼び出しすべて (直接と間接の両方) をトレースするように追跡を設定できるようになりました。これは、特定のエントリメソッドよりも下のいずれかのレベルで発生することがわかっている問題のデバッグ時に役立つ場合があります (ID-13436)。

この機能を有効にするには、次の例に示すように、subcalls 修飾子を使用してスコープのトレースレベルを設定します。

trace 4,subcalls=2 com.waveset.recon.ReconTask$WorkerThread#reconcileAccount

この例では、reconcileAccount() メソッドをレベル 4 で、すべてのサブ呼び出しをレベル 2 でトレースします。

次のメソッドが WSUser に追加されています。このクラスの詳細は、リファレンスキットに含まれる Javadoc を参照してください (ID-15468/14152)。

WSUser オブジェクトのメソッド 

メソッド	説明
getWorkItemDelegates()	指定されたユーザーの Delegate オブジェクトの現在のセットを返す
getWorkItemDelegate(String workItemType)	要求された workItem タイプの Delegate オブジェクトを _delegates から返す
addWorkItemDelegate(Delegate delegate)	指定された作業項目タイプの Delegate オブジェクトを _workItemDelegates に追加する。指定された workItem タイプのいずれかがすでに存在する場合、そのタイプは置き換えられる
removeWorkItemDelegate(String workItemType)	作業項目 Delegate オブジェクトのセットから、指定された workItemType を削除する
setWorkItemDelegates(Map workItemDelegates)	このユーザーの作業項目 Delegate オブジェクトのセットを設定する
getWorkItemDelegateHistory()	指定されたユーザーの Delegate 履歴オブジェクトのリストを返す
setWorkItemDelegateHistory (List workItemDelegateHistory)	指定されたユーザーの Delegate 履歴オブジェクトのリストを設定する

作業項目

アテステーション作業項目が転送される場合、転送するアテスターによるコメントは履歴として保持されるようになり、新しいアテスターのコメントとは別に表示されるようになりました (ID-14643)。

---

このリリースで解決されたバグ

ここでは、Identity Manager 7.1 で解決されたバグについて説明します。情報の構成は次のとおりです。

管理者インタフェースとユーザーインタフェース
監査
統合開発環境 (IDE)
メタビュー
パスワード同期
調整
レポート
リポジトリ
リソース
セキュリティー
サーバー
ワークフロー
解決されたその他の不具合

管理者インタフェースとユーザーインタフェース

デバッグページで、一括削除可能な項目タイプのドロップダウンリストに ObjectGroup が表示されなくなりました (ID-13324)。
必要な権限を持たないユーザーが組織オブジェクトを削除しようとしてオブジェクトがロックされたあとで、そのオブジェクトのロックを解除できるようになりました (ID-14942)。
ログインしているユーザーのビューをチェックアウトする必要があるカスタムのエンドユーザータスクで、アカウントがロックされているためにアカウントが使用できないことに関するエラーが発生しなくなりました (ID-15040)。
「ロールの検索」ページで、多数の組織を持つロールを検索するときに ObjectGroup エラーが表示されなくなりました (ID-15303)。
「ロール」タブ > 「ロールの検索」>「承認者」メニューで、「Role Approver」機能を持つユーザーを表示できるようになりました (ID-15373)。
独自のカスタム編集フォームに対して customEdit.jsp フォームを使用する場合に、ナビゲーションバーのないページにカスタムフォームが重複して表示されるという問題がなくなりました (ID-15460)。
セキュリティー更新 912812 を適用した Internet Explorer 6 または 7 のユーザーが、複数選択ボックスを強調表示するためにそのボックスをダブルクリックしたり、項目を移動するためにその項目をダブルクリックしたりする必要がなくなりました (ID-15824)。
ActiveSync 入力フォーム上で、(処理中のユーザーに対して検出された保留中の更新をすべてキャンセルする) IAPI.cancel に対して true を指定したときに、ユーザーのビューが処理後もロックされたままになる現象が修正されました (ID-15912)。
ユーザー検索の結果ページでの Top 組織内のユーザーの編集が、エラーを発生することなく正しく機能するようになりました (ID-15977)。
アクセススキャンをサポートするために提供されるデフォルト規則はすべて、デフォルトで Top 組織のメンバーです。配備において、アクセススキャンまたは監査ポリシーの編集を管理者に許可する際に、管理する組織から Top を除外して、ほかの組織を管理させるようにするには、その組織に次の規則を追加する必要があります (ID-15996)。
Review Everyone
Review Changed Users
Reject Changed Users
Default Remediator
Default Attestor
Default Escalation
AttestorAll
Non-Administrators
All Administrators
Users Without a Manager

監査

新しい IDM Role Comparison 監査ポリシーを使用できるようになりました。このポリシーは、ユーザーのリソース属性が、そのユーザーに割り当てられたロールで定義されているロール属性と一致することをチェックします。あるユーザーの属性で一致しないものが存在する場合は、この新しいポリシーを使用してそのユーザーをスキャンすると、コンプライアンス違反が作成されます (ID-11225)。
指定したアクセスレビューターゲットが削除されたアクセスレビュー詳細レポートを編集する際に、エラーが表示されなくなりました (ID-14805)。
デフォルトの監査レポート「All Compliance Violations」において、複数のリソースに対するコンプライアンス違反を表示できるように、resourceNames 表示属性を使用するようになりました。このレポートは以前は resourceName 属性を使用しており、これにより警告メッセージが生成されていました (ID-15915)。

アップグレードの考慮事項: この問題は新規の Identity Manager 7.1 インストールのみに対して修正されています。Identity Manager をアップグレードしている場合、デフォルトのレポートタスク (および、「違反の概要レポート」タスク定義から設定されたその他すべてのレポート) で、resourceName ではなく resourceNames を指定することにより、この問題を手動で修正する必要があります。

監査ポリシーウィザード GUI では、3 人の是正者とそれぞれにエスカレーションする期間を指定できます。期間を指定した場合は、是正者を指定する必要があります。指定しないと、是正処理は行われません (ID-14198)。
ユーザー範囲を動的組織に設定した状態で、監査スキャンまたはアクセスレビューを実行できるようになりました (ID-14886)。
監査ログレポートに、ロール変更の詳細が示されます (ID-15587)。
Identity Manager のコンプライアンス機能は、そのままで使用できるタスク、ポリシー、および規則を提供します (ID-16127)。Identity Managerは、最初にこれらのオブジェクトを Top または All のうち適切なほうのオブジェクトグループに作成します。Top オブジェクトグループを制御しない管理者による委任管理の使用を選択した配備では、必要に応じて、一部またはすべての Auditor オブジェクトをほかのオブジェクトグループに追加できます。Identity Manager には、Auditor オブジェクトのオブジェクトグループを一覧表示、追加、または削除するためのスクリプトが用意されています。Auditor オブジェクトの完全なリストは、$WSHOME/sample/scripts/AuditorObjects.txt を参照してください。
オブジェクトを一覧表示するには、次のようにします。

cd $WSHOME/sample/scripts
beanshell.sh objectGroupUpdate.bsh -u Configurator -p <Configurator's password> -h host:port -action list -data AuditorObjects.txt

「All」オブジェクトグループをすべてのオブジェクトに追加するには、次のようにします。

cd $WSHOME/sample/scripts
beanshell.sh objectGroupUpdate.bsh -u Configurator -p <Configurator's password> -h host:port -action add -data AuditorObjects.txt -groups All

「All」オブジェクトグループをすべてのオブジェクトから削除するには、次のようにします。

cd $WSHOME/sample/scripts beanshell.sh objectGroupUpdate.bsh -u Configurator -p <Configurator's password> -h host:port -action remove -data AuditorObjects.txt -groups All

Identity Manager の監査コンポーネントが提供するワークフローは、直接使用でき、実行時間が長くなる可能性があります (ID-16173)。7.0 から 7.1 へのアップグレードを行うためには、これらのワークフローの保留された TaskInstance すべてについて名前を変更します。

Identity Manager には、この名前変更を自動的に処理できるスクリプトが用意されており、7.1 へのアップグレードの前に実行することができます。これらのスクリプトは、インストールイメージの util_scripts ディレクトリにあります。スクリプトを実行するには、Identity Manager サーバーが稼働している状態で、スクリプトが存在するディレクトリに移動します。Identity Manager サーバー上でスクリプトをローカルに実行している場合でも、-h idm-url オプションを指定します。idm-url は、[http://]hostname:port[//idm/servlet/rpcrouter2]という形式で指定する必要があります。ここで、hostname:port は必須ですが、Identity Manager サーバーがデフォルト URL パス (/idm) にバインドされている場合、[ ] で囲ってある部分は省略可能です。このスクリプトは Identity Manager リポジトリを変更するため、そのリポジトリを参照しているいずれか 1 つの Identity Manager サーバー上で実行すれば十分です。

名前変更が必要なタスクを一覧表示するには、次のようにします。

./beanshell.sh taskUpdate.bsh -u Configurator -p configurator -h idm-url -action list

名前変更処理を実行するには、次のようにします。

./beanshell.sh taskUpdate.bsh -u Configurator -p configurator -h idm-url -action rename

名前を変更した TaskDefinition オブジェクトは、old-name-7.1-update[N] の形式になります。

アクセスレビューを終了または削除するときに、エラーが発生して終了タスクまたは削除タスクを完了できない場合があります。このような場合、アクセスレビューは TERMINATE ERROR または DELETE ERROR 状態になります。特定のエラー情報を確認するには、「サーバータスク」>「すべてのタスク」からタスク結果を参照する必要があります。

統合開発環境 (IDE)

ほとんどのノードには「Properties」ウィンドウに、関連付けられたプロパティーシートがあります。これらのノードのほとんどには、名前の値を管理するための名前プロパティーがあります。「Rename」を右クリックして選択するか、ノードをクリックしてラベルにテキストを入力することによって、ノードを介して特定のオブジェクトの名前を変更すると、ノードのラベルが更新され、XML が変更されますが、プロパティーシートの更新が失敗するという問題がありました。この問題が修正されました (ID-13696)。
規則ライブラリは、基本的な XML の編集と規則テスターでのテストの実行以外、現在サポートされていません。ナビゲーションとプロパティーサポートは現在実装されていません (ID-14093)。
データ型が整数またはブール型の場合に、フォームプロパティー値をプロパティーエディタで設定できないという問題が修正されました (ID-14128)。
オブジェクトのダウンロード、アップロード、再読み込みを行うと、リポジトリ内のオブジェクトがロックされるという問題が修正されました (ID-14132)。
NetBeans のコンテキストメニューからオブジェクトの名前を変更する場合に、別途変更を保存する必要がなくなりました (ID-14420)。
フィールドの displayClass を InlineAlert に設定すると、フィールドに名前がある場合、 InlineAlert の値プロパティーが表示されないという問題が修正されました (ID-14456)。
Identity Manager IDE でユーザー画面からチェックアウトすると、オブジェクトがロックされるという問題が修正されました (ID-14797)。
プロジェクトの作成時に Context フィールドを空白のままにすることで、ルートコンテキストを指定できるようになりました (ID-15925)。

Identity Manager SPE

すべての更新を処理する前に、SPE の同期タスクを終了できるようになりました (ID-15077)。
SSL 対応エンドユーザーディレクトリを使用するように SPE を設定できるようになりました (ID-15773)。
Identity Manager SPE の設定ページで、SPE アカウントポリシー以外のポリシーを選択できないようになりました (ID-14833)。

メタビュー

メタビューの使用時に、idmManager 属性がユーザー属性に正しく格納されるようになりました (ID-14445)。

パスワード同期

パスワード同期設定アプリケーション (Configure.exe) で、リポジトリからの読み取り時に JMS プロパティーの等号 (=) 以降の文字列が切り捨てられるという問題が修正されました (ID-12658)。
Passwordsync で、パスワードに 7 ビット ASCII 範囲外の文字が含まれる場合、暗号化の前にパスワー ドが UTF-8 として正しくエンコードされるようになりました (ID-15829)。

調整

重複したユーザーがリソースに存在するときに調整が停止しなくなりました (ID-14949)。
不必要な調整エラーを避けるために、調整処理の際に、従来はあいまいなアカウント一致と判断されていたものの一部が状況によって一致と見なされるようになりました (ID-14965)。
ユーザー正規化によりすべてのリソース情報がユーザーから削除されるときに、調整が停止しなくなりました (ID-15028)。
checkDynamicallyAssignedAdminRolesAtLoginTo オプションを使用しても、調整スケジュールの更新時に調整ポリシーエディタのエラーが発生しなくなりました (ID-15338)。

レポート

管理者ロールの作成、変更、削除に対して監査ログがサポートされるようになりました (ID-12514)。
ユーザーレポートは、リソース上のすべてのアカウントのアカウント ID を、セミコロン区切りのリスト形式で示します。ロールまたはリソースグループを通じて間接的に割り当てられるアカウントおよびリソースも一覧表示されます。リソースアカウントが 1 つしかない場合は、そのアカウントの ID が Identity Manager のアカウント ID と一致しない場合にのみアカウント ID が表示されます (ID-12820)。
ユーザーの秘密の質問の変更が監査ログに記録されるようになりました (ID-13082)。
監査レポートセレクタの下の「レポート」メニューに「ユーザーコンプライアンス違反ログ」が表示されなくなりました (ID-14721)。
本リリースで、Conflict Violation Details Form をカスタマイズした場合、将来のリリースにアップグレードする前にそのフォームをエクスポートする必要はなくなりました。ただし、以前のリリースで Conflict Violation Details Form をカスタマイズしている場合に、7.1 にアップグレードするには、事前にフォームをエクスポートする必要があります。アップグレード後に必要に応じて保存したフォームを再インポートします (ID-14772)。
「レポートの設定」ページの PDF レポートオプションでデフォルト以外のフォントを指定している場合に、メールに添付して送信される PDF レポートに対してその設定が反映されるようになりました (ID-15328)。

リポジトリ

IDMXUserView に対する getView および checkoutView への呼び出しと、Identity Manager の LighthouseContext を通じた getObject への呼び出しで、ObjectSource.OP_ALLOW_NOT_FOUND (allowNotFound) オプションが正しく機能するようになりました (ID-11900)。
リポジトリで Java エラー (java.lang.Error のインスタンス) が発生するたびに、Identity Manager リポジトリがアクティブなデータベース接続をクローズ (ロールバック) するようになりました。以前は、リポジトリは宣言済み例外または実行時例外 (ただし、エラーではない)を捕捉するたびにアクティブなデータベース接続をクローズしていました。この変更により、Java 仮想マシンが OutOfMemoryError などのエラーをスローしたときに、トランザクションがオープン (未コミット) 状態のままになることを防ぎます (ID-14411)。
setRepo コマンドの -n オプションにより、現在のリポジトリ位置に対するチェックを回避できるようになりました。-n オプションを指定すると、現在のリポジトリ位置が正しくない (または、現在の位置のデータベースインスタンスが使用できない) 場合にも setRepo コマンドを正常に実行できます。この変更により、Identity Manager 2005Q4M3 (Identity Manager 6.0) で確認された逆行現象が修正されます (ID-14809)。
RelationalDataStore が生成する SQL 文の実行速度が、サイズの大きなデータベーステーブルに対して高速化されました。これにより、Identity Manager のリポジトリ初期化が高速化されました (ID-14937)。
低速な Oracle データベースシステムが原因で、保留されたタスクが複数のスケジューラ上で同時に実行されることがなくなりました (ID-15372)。
類似したユーザーグループ内の 1 人のユーザーからロールを削除しても、ほかのユーザーのリポジトリエントリに影響したり、ロールによる検索時にそのユーザーを検出できなくなることがなくなりました (ID-15584)。

リソース

LDAP リソースアダプタに「フェイルオーバーサーバー」リソースパラメータフィールドが追加されました。このフィールドでは、選択されたサーバーで障害が発生した場合に、フェイルオーバー用の複数のサーバーを一覧表示できます。LDAP リソースアダプタは、JNDI を使用して LDAP ディレクトリへの接続を維持します。したがって、接続が見つかるまでの間、JNDI は自動的に各サーバーへの接続を順番に試みます。接続が見つかると、JNDI はサーバーで障害が発生するまでこのサーバーを使用し続けます。障害が発生した場合、この手順が繰り返されます。ただし、すべてのフェイルオーバーサーバー間でのレプリケーションについては、アダプタではサポートしてないため、別途ユーザーの責任で行う必要があります (ID-10889)。
変更履歴ログの変更を検索する LDAPActiveSync 検索フィルタが最適化され、パフォーマンスが向上しました。フィルタ部分 (objectClass=changelogEntry) がデフォルトの検索フィルタから削除されました (ID-11722)。

従来の動作を復元することもできます。それには、次に示すように、「Remove objectClass from Search Params Filter」というリソース属性を、値 false とともに直接リソース定義に追加します。

<ResourceAttribute name='Remove objectClass from Search Params Filter'
   displayName='Remove objectClass from Search Params Filter' facets='activesync' value='false'>
</ResourceAttribute>

注	この設定は GUI からは変更できません。

NDS リソースアダプタで、NDS テンプレートに含まれるグループを、NDS テンプレートで定義されていないグループとマージできるようになりました。この処理は、ユーザーフォームの変更とともにユーザーインタフェースから実行されます。詳細については、NDSUserForm.xml を参照してください (ID-12083)。
Linux アダプタで、最終ログイン日時の年を返すことができるようになりました (ID-12182)。
別の Oracle ユーザーでビューを使用するためには、ユーザー名で修飾せずにビューを参照できるように、エイリアスを確立する必要があります。以前の Identity Manager ではこのエイリアスが指定されているかどうかをチェックしていませんでしたが、現在では、Identity Manager はエラーを検出してメッセージを表示します (ID-12643)。
Solaris NIS リソース上のユーザーを参照するとき、一次グループの設定がグループ名として表示されるようになりました (ID-12667)。
SAP リソース上で CUA モードを使用しているとき、パスワードを無期限に設定できるようになりました (ID-13355)。
VMS リソースアダプタに調整機能が追加されました (ID-13425)。
ユーザーの作成および更新処理中に ResourceAction スクリプトからのエラーが捕捉されたとき、プロビジョニングがそのことを認識するようになりました (ID-13465)。
Identity Manager で、リソース設定パラメータ enableEmptyString が追加されました。このパラメータを使用すると、テーブルスキーマで not-null として定義されている文字ベースの列に、NULL 値の代わりに空文字列を書き込むことができます。enableEmptyString パラメータは、Oracle ベースのテーブルに対して文字列を書き込む方法には影響しません (ID-13737)。

このパラメータのデフォルトは OFF または FALSE (既存の動作) です。空文字列を書き込むには、パラメータを ON または TRUE に変更します。

Oracle ERP リソースアダプタを使用して Oracle ERP アカウントの責任を更新した場合に、アカウントのほかの責任すべてが更新されることがなくなりました (ID-13889)。

変更された責任の Oracle ERP 監査タイムスタンプのみが更新されます。ほかのすべてのアカウント責任の Oracle ERP 監査タイムスタンプは変更されません。

NDS アダプタの Active Sync で、User オブジェクトの lastModifiedTimeStamp に基づいて変更をポーリングしなくなりました。以前は、ユーザーがログインまたはログアウトするたびにこの属性が更新されていました。現在では、Identity Manager スキーマで定義されたユーザーの属性の lastModifiedTimestamp に基づいて、最後に変更された値が計算されます。アダプタによって提示される最高水準点よりも属性の lastModifiedTimestamp が大きい場合、ゲートウェイはこのユーザーを変更されたものとしてサーバーに送り返します (ID-13896)。
シェルスクリプトアダプタが、名前変更、無効化、および有効化の各関数をサポートするようになりました (ID-14472)。
ゲートウェイへの接続がクローズされていないことが原因で Active Directory の Active Sync がハングアップする問題が解決されました。接続数は上限まで増加し、オープンな接続は CLOSED_WAIT 状態にとどまります。接続数の上限に達し、すべての接続が CLOSED_WAIT 状態になると、これらの接続がクリーンアップされるまで Active Sync は停止します (ID-14597)。
アダプタがカスタマの更新スクリプトに送信する属性マップに、null 属性のエントリが含まれるようになりました。マップエントリ値は null になります。特に、この状況 (属性マップ内の空値) は、属性がクリアされていることを意味します (ID-14655)。
一部のリソースアダプタに関して、調整処理の間にユーザーが取得される前に除外規則が適用されるようになりました。これにより、特定のユーザーを除外することが可能になり、リソースによって生成されるエラーが回避され、ユーザー数が多い場合のパフォーマンスを改善できます (ID-14436)。
Central User Administration (CUA) 環境における SAP アクティビティーグループおよびプロファイルの書き込みで、情報がコロンで区切られているときに新しいテーブル行が 2 行に分割されなくなりました (ID-14371)。
LDAP サーバーが VLV 制御をサポートし、サーバーが正しく設定されている場合は、ユーザーアカウントを一覧表示および検索するときに LDAP リソースアダプタも VLV 制御を使用します (ID-14526)。
Oracle ERP ユーザーフォームに「Person Name」フィールドが追加されました。この読み取り専用のフィールドは、Oracle ERP アカウントが従業員番号を使用して Oracle HR システムにリンクされている場合に、Oracle HR 担当者のフルネームを示します (ID-14675)。
SAP アダプタで Disabled ステータスが正しく報告されるようになりました (ID-14834)。
nsaccountlock 起動ショートカットで、値の存在/不在に基づくロジックを使用して、LDAP ユーザーが無効かどうかを特定できるようになりました (ID-14925)。
リソースに対してサポートされる機能の表で、「無効化」と「ignore」 を組み合わせて設定した場合に、 ignore 処理を正しく行うようになりました。たとえば、更新機能に対して ignore を選択した場合、GUI 画面ではあたかもその更新アクションが実行されたかのように表示されますが、実際にはリソースに対して更新アクションは実行されません (ID-14948)。
Oracle ERP リソースアダプタで、完全調整の間に Oracle ERP リソースがアクセス不能な場合に、リソースアカウントのリンク解除が禁止されるようになりました (ID-14960)。
Tivoli Access Manager および Active Directory とともに Identity Manager を配備するとき、7 ビット ASCII の範囲外の文字を含むパスワードが、ゲートウェイによって正しく設定 (作成および更新) されるようになりました (ID-15006)。
システム設定でログインによる使用のために共通リソースが設定され、共通リソースログインが失敗する場合、共通リソースでないログインモジュールスタック内に別のリソースが存在するときにログインが失敗しなくなりました。そのログインでは、以前のログインモジュールリソースのどれとも異なる認証プロパティーが要求されます (ID-15047)。
Solaris NIS サーバーリソースに対して「リソースオブジェクトの作成」を実行し、Users 内の複数のアカウントを選択して「保存」をクリックした場合に、すべてのアカウントが、管理対象 NIS サーバー内の NIS パスワードソースディレクトリ内のグループファイルに追加されるようになりました。以前は、この操作は 1 つのアカウントの選択時にのみ有効でした (ID-15085)。
リソースオブジェクトのクエリー時に ADSIResourceAdapter が接続をクローズするようになりました (ID-15098)。
幅がより広くて色彩がより濃い仮想画面サイズなど、ACF2 接続プロパティーを指定できるようになりました (ID-15158)。この機能を実装するには、次の内容を含む独自の update.xml スクリプトをインポートします。

<?xml version='1.0' encoding='UTF-8'?>
<!DOCTYPE Waveset PUBLIC 'waveset.dtd' 'waveset.dtd'>
<Waveset>
   <ImportCommand class='com.waveset.session.ResourceUpdater' >
      <Map>
         <MapEntry key='updateAttributes' value='true'/>
      </Map>
   </ImportCommand>
</Waveset>

アップデータを実行したあとで、アプリケーションサーバーを停止および再起動します。

画面サイズをモデル 5 ターミナルタイプに拡大するには、次のプロパティーを追加する必要があります。

Enable TN3270E: 1
Session Properties: SESSION_PS_SIZE <newline> 5

<newline> は、SESSION_PS_SIZE とパラメータ「5」を独立した 2 行に記述することを表します。

Oracle ERP スキーマに対応するリソース属性 person_fullname が新しく追加されました。サンプルの $WSHOME/sample/other/CreateLHERPAdminUser.oracle スクリプトが更新され、ICX* テーブルが含まれるように、また、non-APPS ユーザーに対して作成されるシノニムのビューを提供するようになりました (ID-15188)。
サンプルの JDBC スクリプトでは、ResultSet および Statement が不要になったときにこれらが閉じられていませんでした。大規模なアプリケーションでは、このことがリソースリークの原因となる可能性がありました。サンプルスクリプトが修正され、不要になった時点でこれらのオブジェクトをクローズするようになりました (ID-15254)。
削除スクリプトがエラーにより 0 以外の戻り値を返した場合に、Identity Manager がその出力を正しく受け取り、エラー結果としてレポートするようになりました (ID-15340)。
文字変換を伴うストレージ割り当ての問題が解決されました (ID-15341)。

ゲートウェイ上では一律に UTF-8 を使用する必要があります。アプリケーションデータと互換性のあるデフォルトの ANSI コードページを使用して Windows ゲートウェイを設定することをお勧めします。具体的には、Identity Manager で管理するデータ内のすべての Unicode 文字を表現できる Windows 文字エンコーディングを使用します。

リソースアクション用のシェルスクリプトの実行時に使用される一時ファイル名が、長期に渡ってより一意性を保つように変更されました (ID-15348)。
Solaris NIS に関して、Identity Manager が (必須ではなく、トレースでのエラーメッセージの原因であった) netid ターゲットを追加しなくなりました (ID-15503)。
Solaris NIS に関して、Solaris NIS の passwd、shadow、および group テンプレートファイルが含まれているディレクトリが管理ユーザーに対して読み取り保護されている場合に、sudo コマンドの使用を Identity Manager が禁止しなくなりました (ID-15505)。
Solaris NIS に関して、デフォルトの一次グループが完全に存在しないか、またはグループファイルに見つからない名前である場合に、アカウントが部分的に作成されることがなくなりました (ID-15509)。
ユーザーまたはグループが存在せず、テンプレートの passwd および group ファイルが /etc 以外のディレクトリに存在する環境で開始したときに、Solaris NIS ユーザーまたはグループ ID の生成が失敗する原因となっていたバグが修正されました (ID-15510)。
Solaris NIS に関して、1 行で 2 つのアカウントが作成され、最初のアカウントにはシェルが指定されているが 2 番目のアカウントには指定されていない (defadduser ファイルで定義されていないか、または defadduser ファイルが存在しない) 場合、最初のアカウントのシェルを使用して 2 番目のアカウントが作成されることがなくなりました (ID-15511)。
Solaris NIS に関して、新規作成されるアカウントのデフォルト値のオプションソースとして、defgroup の代わりにデフォルト一次グループが設定されるようになりました。この設定には、/usr/sadm/defadduser ファイル内の defgname が使用されます (ID-15512)。
Identity Manager で、アカウントの更新時に、Solaris NIS および HP-UX の暗号化パスワードが、passwd および shadow の各 NIS テンプレートファイルの両方に格納されなくなりました。passwd ファイルにはプレースホルダ値 "x" が格納されるようになりました (ID-15593)。
「一致しないアカウントの作成」が true に設定されていて「許容エラー数」を超過したとき、Active Sync が実行を継続しなくなりました (ID-15662)。
PeopleSoft Component Interface アダプタが、無効なステータスをレポートできるようになりました (ID-15674)。
Identity Manager が、書き込み専用のアカウント属性を LDAP ディレクトリまたは Active Directory から読み取ることがなくなりました (ID-15838)。
Scripted Gateway リソースアダプタで、スクリプトからのゼロ以外のリターンコードを正しく取得してエラーを報告できるようになりました (ID-15860)。
フォーム内で RACF 属性を解除しても、フォームの送信時に Identity Manager のユーザーの属性が解除されませんでしたが、Identity Manager が属性を解除するようになりました (ID-15971)。
NDS テンプレートリソース属性が、NDS_TEMPLATE_HELP メッセージキーではなくポップアップヘルプ (i-Help) を表示するようになりました (ID-15986)。
Scripted Gateway リソースアダプタに対して、有効化および無効化のリソースアクションがサポートされるようになりました (ID-16066)。
ScriptedGateway リソースアダプタが、getInfo および listAllObjects アクションを実装しているスクリプトにリソース属性を渡すようになりました (ID-16149)。
GroupWise リソースアダプタは非推奨になりました。GroupWise ユーザーの管理には、代わりに NDS アダプタを使用するようにしてください (ID-16308)。

スケジューラ

syslog エントリ「EVNT00」の出力が抑制されました。LockedByAnother エラーです。これは、クラスタ環境で sysLog への過剰な出力の原因となっていました (ID-15714)。

セキュリティー

(SPML またはその他の手段を通じて) 管理者によって開始されたエンドユーザーパスワードの変更がパスワード履歴に追加されるようになりました (追加を有効にした場合)。この修正では、管理者が目的の動作を切り替えられるようにするシステム設定オプションおよびビュー (フォーム) オプションの両方を導入しています (ID-13029)。
管理者はログインアプリケーションに基づいてシステム設定オプションを切り替えることができます。すべてのアプリケーションに影響する動作を管理者が望まない場合があるため、これにより多大な柔軟性がもたらされます。
ビューオプションは常に、すべてのシステム設定オプションを上書きします。
Report Administrator 機能のみを持つ委任管理者が、レポート内で定義してある組織範囲設定から、自分に管理権限のない組織を削除できなくなりました (ID-14765)。
組織承認者の追加または削除が組織の監査ログに記録されるようになりました (ID-15232)。
Admin Role Administrator の権限が拡張され、管理者ロールを作成できるようになりました。新しい管理者ロールまたは機能を作成するとき、作成者は、管理者ロールまたは機能をほかのユーザーに割り当てることができる 1 人以上のユーザーを選択しなければならない場合があります。この状況は、作成者自身に管理者ロールまたは機能を他人に割り当てる権限が付与されていない場合に起こります。作成者は自分の制御スコープの外側にいる 1 人以上のユーザーを選択しなければならない場合があるため、作成者が譲渡者を選択する際のユーザー集合は、Identity Manager の通常の制御スコープの概念とは異なります。作成者は、「機能の割り当て」権限が付与されているユーザーであればだれでも譲渡者として選択できます (ID-15980)。
次の条件が発生したときに、Identity Manager が java.lang.StackOverflowError 例外を発行しなくなりました (ID-15035)。
Identity Manager で少なくとも 1 つの動的 (ユーザーメンバーが規則によって決定される) 組織が定義されている
Type.USER の getObject を呼び出す <Field> がユーザーフォームに含まれている

Expansion (展開) アクセス権の評価に起因する無限ループが原因で、StackOverflowError が発生していました。

User View に 2 つの新しいブール型のオプションを追加することにより、この問題は解決されました。

NoFormDerviation (デフォルトは true)
NoFormExpansion (デフォルトは true)

これらのオプションは、規則に User View を渡すことを要求すると常に渡されます。これらのオプションを true に設定することにより、フォームの取得および展開の発生が回避されます。

注	これらのオプションを true に設定し、規則の内部でフォームフィールドの取得または展開が必要なときは、規則ロジックの一部として行います。 View オプションの設定方法の詳細は、『Identity Manager Workflows, Forms, and Views』の「フォームでのビューオプションの設定」を参照してください。

サーバー

未実装の演算子を使用したフィルタが要求に含まれている場合に、SPML サーバーがエラーを返すようになりました (ID-11343)。
「User Extended Attributes」設定オブジェクトから属性を解除しても、それらは WSUser の属性から解除されず、古い値が XML 内に保持されていました。この問題が修正され、値が XML から削除されるようになりました (ID-11721)。
一括操作のためにコマンドまたはユーザーを GUI の入力領域から指定するとき、実際にはユーザー名を指定したにもかかわらず「オブジェクト名を指定する必要があります。」というメッセージが出て操作が失敗することがなくなりました (ID-15112)。
調整などでプロセスがリソースに頻繁にアクセスするときに、OutOfMemory エラーの原因となっていた問題への対処が行われました (ID-16222)。
作業項目固有の委任リストを返すために、Identity Manager が次の新しい public メソッドを提供するようになりました。これらのメソッドは workItemType 引数を取ります (ID-15787/14152)。

DelegateUtil#checkWorkItemDelegates()

DelegateUtil#getWorkItemDelegates()

タスク

スケジュールされたタスクを編集するときに、開始日を MM/DD/YYYY 形式で入力し直す必要がなくなりました (ID-5675)。

ワークフロー

Identity Manager の Notify Reconcile Finish (調整完了の通知) サンプルタスクで、タスクの完了時に電子メール通知が送信されるようになりました (ID-9259)。

解決されたその他の不具合

8691, 8961, 9913, 10100, 10802, 11538, 12509, 12571, 12585, 12872, 13223, 13251, 13258, 13701, 13741, 13965, 14282, 14334, 14459, 14564, 14663, 14748, 14893, 15036, 15098, 15234, 15345, 15424, 15746, 15798, 15851, 15864, 16041, 16087, 16121, 16171, 16177, 16215, 16288,