Sun Java™ System Identity Manager 7.1 リリースノート |
Identity Manager 7.1 の機能
『Identity Manager 7.1 リリースノート』のこの節では、次の事項についての情報を提供します。
このリリースの新機能ここでは、Identity Manager 7.1 で提供される新機能についての追加情報を示します。情報の構成は次のとおりです。
インストールと更新
- 単一の物理サーバー上の 1 つのリポジトリを指す複数の Identity Manager インスタンスが配備に含まれるとき、一意のサーバー名を設定するには waveset.serverId システム属性を使用します (ID-11578)。
- インストールおよびアップグレード作業は、非グラフィカルモード (コマンド行モード) でも実行できます (ID-14258)。
- MySQL 用の Identity Manager Service Provider トランザクションデータベースを作成するためのスクリプト (sample/create_spe_tables.mysql) が新しく提供されています (ID-14666)。
オンラインサポートセンターの一部である Sun Download Center (http://www.sun.com/download) から言語パックをダウンロードできます。Download Center にアクセスするには、登録済みのアカウント名とパスワードが必要です。
詳細については、「Identity Manager 7.1 Installation」および、すべての IDM 言語パックに付属している「Identity Manager L10n Readme」を参照してください。
管理者インタフェースとユーザーインタフェース
Identity Manager は、「ログイン相関規則」で指定されたロジックを使用して Identity Manager ユーザーを検索します。規則は 1 つ以上の AttributeConditions のリストを返してから、これらの条件に一致する Identity Manager ユーザーを検索する必要があります。
たとえば、Identity Manager ユーザー ID との相関だけで十分な場合があります。また、Identity Manager ユーザーに LDAP リソースのアカウント ID がある場合はそのアカウント ID を検索することができるため、その Identity Manager ユーザーには Sun Access Manager リソースリンクが不要になります。ログイン相関規則の authType は LoginCorrelationRule である必要があります (ID-8577)。
監査
- 優先順位または重要度、あるいはその両方を割り当てることによって、ポリシー違反の優先順位を設定できるようになりました。違反の優先順位の設定は是正ページから行います。詳細は、『Identity Manager 管理ガイド』の「ポリシー違反の優先度の設定」を参照してください (ID-11703)。
- 監査ポリシースキャンで、動的組織のメンバーがスキャンされるようになりました (ID-12437)。
- 監査ポリシースキャンのスケジュールを設定できるようになりました (ID-12474)。
- 監査スキャンにテストモードが追加されました。このモードでは、是正処理は行わずに、スキャンの完了時にすべての違反が削除されます (ID-12522)。
- 「違反の概要レポート」が拡張され、違反の状態によって違反の選択を行えるようになりました。1 つ以上のとりうる状態にある違反のみをレポートするようにレポートを設定できます (ID-12612)。
- アクセスレビューの承認、却下、および是正に関連する監査ログエントリへの電子署名が可能になりました (ID-13264)。
- 定期的アクセスレビューを起動したあと、アクセスレビューページに移動すると、更新ボタンをクリックしなくてもスキャン結果がリスト表示されるようになりました (ID-14169)。
- ディレクトリジャンクションおよび仮想組織が、監査ポリシー割り当てをサポートするようになりました (ID-14591)。
- 割り当てられたリソースに基づいて、アクセススキャンのユーザー範囲を定義できるようになりました (ID-14654)。
- デモ環境をインストールすることにより、Identity Manager のコンプライアンスをすばやく表示することが可能になりました (ID-14970)。
- アテスターおよび是正者は、アテステーション時および是正時に効率を高める必要がある詳細な部分を正確に示すフォームを指定できるようになりました。詳細は、このリリースノートの「ドキュメントの追加事項と修正事項」の節を参照してください (ID-14973)。
- 是正処理の際に、違反が解決されたかどうかを確かめるためにコンプライアンス違反を再評価できるようになりました。監査ポリシーの違反がふたたび発生しないように、ユーザーを編集できます (ID-15019)。
- 保留中のアクセスレビューエンタイトルメントを、現在のエンタイトルメントデータで更新できるようになりました (ID-15027)。
- アクセスレビュー是正者は、是正フォーム上の新しい「編集」ボタンを使用して、ユーザーを直接編集 (再プロビジョニング) できます (ID-15172)。
- コンプライアンスレビュー是正者は、是正フォーム上の新しい「編集」ボタンを使用して、ユーザーを直接編集 (再プロビジョニング) できます (ID-15173)。
- アクセスレビューで、次のいずれかの方法でユーザーエンタイトルメントを変更できるようになりました (ID-15180)。
- 「是正中」の状態で作成されたユーザーエンタイトルメントが、是正作業項目を自動的に作成するようになりました (ID-15423)。
- 監査スキャンで、複数アカウントリソースに対してターゲットリソースをより明示的に指定できるようになりました (ID-15485)。
- 監査ポリシーオブジェクトの管理ページがフォームベースになり、カスタマイズ可能になりました。密度の高い情報を表示する完全表示と、詳細さのレベルを限定した部分表示のどちらかを選択できます。詳細は、このリリースノートの「ドキュメントの追加事項」を参照してください (ID-15486)。
- アクセススキャンの管理ページがフォームベースになり、カスタマイズ可能になりました。詳細は、このリリースノートの「ドキュメントの追加事項」を参照してください (ID-15515)。
- 監査ログレポートに、ロール変更の詳細が示されるようになりました (ID-15587)。
- デフォルトでは、次のユーザーエンタイトルメントイベントのみがログに記録されます (ID-15735)。
フォーム
Identity Manager 統合開発環境 (IDE)
Identity Manager 統合開発環境 (Identity Manager IDE) とは、使用している配備で Identity Manager オブジェクトを表示、カスタマイズ、およびデバッグできる Java アプリケーションのことです。
Identity Manager 7.1 リリースでは、次の新しい機能が Identity Manager IDE に追加または変更されています。
- Identity Manager IDE が GenericObject をサポートするようになりました (ID-12952、12991)。
- NetBean の最上位のメニューバーに「IdM」メニューが追加されました。このメニューから、選択中のオブジェクトノードに対して適切なアクションを選択できます (ID-13158)。
- Identity Manager IDE 7.0 のプロジェクトは、次の 2 つのプロジェクトタイプに置き換えられました。これらは両方とも、NetBeans の ant プロジェクトです (ID-14587)。
- Identity Manager IDE がバージョン独立性を提供するようになりました (ID-14723)。
Identity Manager IDE のバージョン 7.1 の .nbm が Identity Manager クラスから分離されました。バージョン 7.1 の .nbm は Identity Manager 7.0 および 7.1 をサポートし、Identity Manager 6.0 SP3 のサポートが予定されています。
個々の Identity Manager IDE プロジェクトは特定の Identity Manager バージョンと結び付いており、Identity Manager IDE には、Identity Manager の jar ファイルと、サポート対象の各 Identity Manager バージョンに対するバージョン固有情報を格納した一部の XML レジストリを提供する互換性バンドル (ide-bundle.zip) が新しく必要になりました。互換性バンドルは、プロジェクトの作成時に指定します。
- 「Explorer」ウィンドウに表示されるオブジェクトタイプの一覧にライブラリオブジェクトが追加されました。これらのオブジェクトはプロパティーシート、パレット機能、ナビゲーションノードを備えます (ID-14817)。
- Identity Manager IDE プラグインで JDK 1.5 および Netbeans 5.5 が必要になりました (ID-14950)。
- ローカルディレクトリ内の単一オブジェクトまたはオブジェクトのフォルダを、リポジトリ内の単一オブジェクトまたはオブジェクトのフォルダと再帰的に比較 (diff) できるようになりました。この機能を使用して、ローカルコピーとサーバー上のコピーの間の差分を表示できます。また、この機能を使用して、1 つ以上の変更済みオブジェクトをアップロードおよび再ロードできます (ID-15151、15206)。
- 規則オブジェクトに対してデザインビューを選択すると、エディタウィンドウ内に式ビルダーが表示され、規則の論理構造の表示や規則のプロパティーの変更がより簡単に行えるようになりました (ID-15104)。
- Identity Manager IDE の式ビルダーダイアログに機能が追加されました。次のことを行えるようになりました。
- Identity Manager IDE で、ファイル、持続オブジェクト、拡張の独立したノードが提供され、基になっている実際の XML コンテンツがより正確に反映されるようになりました。また、ノードの並べ替えや、ほかの場所 (プロジェクトツリー内の別のノードの前後、または別のノード内) へのノードの挿入が可能です (ID-14689)。
- Identity Manager IDE リポジトリからオブジェクトを削除できるようになりました (ID-14081、15031)。
- Identity Manager IDE 内のオブジェクトを Identity Manager 7.0 サーバーにアップロードし、オブジェクトに手動で ID を割り当てることが可能になりました (ID-15474)。
- リポジトリ間でのオブジェクトの移動を容易にするために、リポジトリからオブジェクトをダウンロードする前に、すべての自動生成リポジトリ ID を削除するように Identity Manager IDE を設定できるようになりました (ID-15307、15347)。
Identity Manager SPE
レポート
システムにフォントを追加するには、IDM の配備先ディレクトリ内の WEB-INF/fonts ディレクトリ (例: /var/opt/SUNWappserver/domains/domain1/applications/j2ee-modules/idm/WEBINF/fonts) にフォント定義ファイルをコピーします。その後、サーバーを再起動します。サポートされるフォント定義形式には .ttf、.ttc、.otf、および .afm が含まれます。これらのいずれかのフォントを選択する場合、レポートを表示するマシン上で同じフォントが使用可能であるか、またはフォントがレポートに埋め込まれている必要があります。
アジア圏の文字など、一部の文字セットはデフォルトのフォントセットでサポートされていないため、fonts/ ディレクトリに追加フォントをインストールし、設定ページでそのフォントを選択して、その文字セットを表示できるレポートを生成します (ID-10641/14376)。
リポジトリ
リソース
新しいリソースアダプタ
このリリースでは、次のアダプタが追加されています。
これらのリソースアダプタの詳細については、『Identity Manager リソースリファレンス』を参照してください。
リソースアダプタの更新
- Active Sync を実行するサーバーを、リソースの同期ポリシーで設定することが推奨されるようになりました。waveset.properties の使用は非推奨になりましたが、まだ使用できます。同期ポリシーでの設定に移行することを強くお勧めします (ID-10167)。
- Flat File Active Sync アダプタの設定が、特に区切り形式のファイルに関して簡略化されました (ID-11678)。
- LDAP アダプタ上ですべての更新が処理される前に、Active Sync を終了できます (ID-13695)。
- Identity Manager が PeopleSoft HRMS 9.0 のサポートを提供するようになりました (ID-14195)。
- Domino アダプタで、Domino 7.0 リソース用の明示的ポリシー属性の設定がサポートされるようになりました (ID-14315)。
- Oracle ERP リソースアダプタで、前アクションおよび後アクションがサポートされるようになりました (ID-14659)。
- デフォルトの RACF List User AttrParse 機構が拡張され、多数の「CLASS AUTHORIZATIONS」や、「GROUP SYS1 USER CONNECTION NOT INDICATED」のようなグループエントリを持つテンプレートユーザーを処理するようになりました (ID-15021)。
- 「デフォルトの一次グループ」および「ログインシェル」の 2 つのリソース属性が、Solaris、AIX、HP-UX、Red Hat Linux、および SuSE Linux の各リソースアダプタに追加されました (ID-15034)。
- NDS アダプタでの GroupWise のサポートが改善されました。
- アダプタが二次ドメイン内のポストオフィスを管理できるようになりました (ID-15122)。
- GroupWise ユーザーは、あらゆる既知の配布リストに登録できます (ID-15707)。
- ポストオフィスを GroupWise ユーザーから削除することを指定するための機構として、アダプタが Delete Pattern パラメータを使用しなくなりました。新しい方法では、ポストオフィスフィールドを単に "" (2 つの二重引用符) に設定します。プログラムによってポストオフィスを削除する従来のフォームまたはワークフローがある場合、それらを変更してフィールドを "" に設定します (ID-15970)。
- Domino リソースアダプタは、Domino 7.0 サーバー向けのユーザーのローミングをサポートします (ID-15157)。
- CUA 環境内のアクティビティーグループ (ロール) およびプロファイルを、開始日と終了日を使用して更新できるようになりました (ID-15613)。
- ACF2 アダプタは ACF2 8.0 SP2 をサポートします (ID-15833)。
- サンプルの NDSUserForm には、ポストオフィスおよび配布リストを取得するための 7 つの手法すべての使用例が含まれています (ID-15872)。
- PeopleSoft Component Interface アダプタで、コンポーネントインタフェースに対する GET、FIND、および CREATE の各操作に対して個別のキーの指定がサポートされるようになりました (ID-16055)。
- PeopleSoft Component Interface アダプタで、PeopleTools 8.1 〜 8.48 がサポートされるようになりました (ID-16128)。
- Top Secret リソースアダプタで、ユーザーを有効化および無効化するときに ASUSPEND、PSUSPEND、VSUSPEND、および XSUSPEND が正しく処理されるようになりました (ID-16295)。
ロール
Identity Manager は、既存のスーパーロールから、それらを参照するサブロールへの逆方向リンクを検出および作成します。Identity Manager はアップグレードの間、ロールの修復に使用される RoleUpdater クラスを呼び出します。
新しい RoleUpdater.xml ファイル (sample/forms/RoleUpdater.xml) をインポートすることにより、アップグレードプロセスの外部でロールを更新できます。デフォルトでは、Identity Manager はアップグレードの間、または RoleUpdater.xml のインポート時にサブロールリンクを追加します。
この新しい機能を無効にするには、RoleUpdater 属性 nofixsubrolelinks を true に設定します。次に例を示します。
インポート中のロール自動更新についての関連情報は、「既知の問題点」で説明されている ID-15053 を参照してください。
- 委任モデルが次のように変更されます (ID-15440)。
- 1 人以上のユーザーに作業項目を委任している、もしくは委任規則を設定して作業項目を委任しているユーザーの編集画面では、委任が最初に確立されたあとで委任先のユーザーや委任規則が削除された場合、それらのユーザーまたは規則は括弧で囲んで表示され、それらが削除済みであることを示すようになりました。例: "(auser)"
- ユーザーの委任先リストを変更するときに、そのリストに削除済みの受任者 (委任された人) がまだ含まれている場合、例外がスローされ保存に失敗します。ユーザーの委任先リストを変更せずに、ほかの属性を変更した場合は、委任先情報自体は変更がないため保存は成功します。
- ユーザーを作成または更新しており、すでに存在しないユーザーへの委任を承認者が行った場合、委任が削除済みであるため設定どおりに承認作業項目を委任できなかったことを示すメッセージが出て、作成または更新は失敗します。
- あとから削除されたユーザーに委任された作業項目は、委任する側のユーザーによる復元がまだ可能です。委任する側のユーザーはその後、削除されたユーザーへの委任を終了できます。
セキュリティー
この新しいオブジェクトグループ/組織は Top のメンバーです。当初、このオブジェクトグループ/組織にはメンバーオブジェクトがありません。このオブジェクトグループ/組織は管理者ユーザーインタフェースの「アカウント」タブのツリーテーブルには表示されず、子の組織を持つことはできません。ただし、ロール、管理者ロール、リソース、ポリシー、タスクなどのオブジェクトを編集しているときは、管理者ユーザーインタフェースを使用して、任意のオブジェクトを End User オブジェクトグループ/組織に対して利用可能にすることができます。
以前は、ユーザーが End User インタフェースにログインするとき、ユーザーには自動的に、EndUser 機能で指定されたオブジェクトタイプ (AdminRole、EndUserConfig、EndUserTask など) に対する権限が割り当てられていました。現在では、Identity Manager は、新しい EndUser オブジェクトグループの制御もユーザーに割り当てて、組み込みの End User Controlled Organizations (エンドユーザーの管理する組織) 規則を評価します。組織名が返される場合、Identity Manager は自動的に、返された組織の制御もユーザーに付与します。Identity Manager は、End User Controlled Organizations 規則への入力引数として、認証ユーザーのビューを使用します。この規則は、End User インタフェースにログインするユーザーに EndUser 機能が付与される対象の、1 つの組織 (文字列) または複数の組織 (リスト) を返すことができます。
加えて、新しいオブジェクトを管理するための、新しい End User Administrator 機能が追加されました。この機能を持つユーザーは、EndUser 機能で指定されたオブジェクトタイプ、および、End User Controlled Organizations 規則の内容に対する権限を表示および変更できます。この機能はデフォルトで Configurator に割り当てられます。End User Controlled Organizations 規則の評価によって返されるリスト (組織) に対する変更はすべて、ログインしているユーザーに対して動的には反映されません。これらのユーザーが変更を確認するには、ログオフして再度ログインする必要があります。
Roles、Resources、Tasks などの Identity Manager 設定オブジェクトへのアクセスをエンドユーザーに付与するための最良の方法として、この新しいオブジェクトグループ/組織を検討してください。
将来的には、End User Tasks、End User Resources、System Configuration:EndUserAccess、および End User の各 authType を使用する代わりに、この方法を使用することをお勧めします。ただし、authTypes を使う方法は下位互換性のために現在でもサポートされています。
- ユーザーの作成時に設定したパスワードも、ユーザーのパスワード履歴に追加されるようになりました (ID-15179)。
- ロールやリソースなどのオブジェクトを一覧表示し、返されたオブジェクトのいずれかに対して 6 個を超える memberObjectGroups が存在するとき、Identity Manager は切り捨てられた memberObjectGroups を結果から除外しなくなりました (ID-15181)。
- 保留中の作業項目を所有するユーザーが削除される場合、Identity Manager は次のようにして、その作業項目が失われないことを保証するようになりました (ID-15868)。
サーバー
- 次のメソッドが WSUser に追加されています。このクラスの詳細は、リファレンスキットに含まれる Javadoc を参照してください (ID-15468/14152)。
作業項目
このリリースで解決されたバグここでは、Identity Manager 7.1 で解決されたバグについて説明します。情報の構成は次のとおりです。
管理者インタフェースとユーザーインタフェース
- デバッグページで、一括削除可能な項目タイプのドロップダウンリストに ObjectGroup が表示されなくなりました (ID-13324)。
- 必要な権限を持たないユーザーが組織オブジェクトを削除しようとしてオブジェクトがロックされたあとで、そのオブジェクトのロックを解除できるようになりました (ID-14942)。
- ログインしているユーザーのビューをチェックアウトする必要があるカスタムのエンドユーザータスクで、アカウントがロックされているためにアカウントが使用できないことに関するエラーが発生しなくなりました (ID-15040)。
- 「ロールの検索」ページで、多数の組織を持つロールを検索するときに ObjectGroup エラーが表示されなくなりました (ID-15303)。
- 「ロール」タブ > 「ロールの検索」>「承認者」メニューで、「Role Approver」機能を持つユーザーを表示できるようになりました (ID-15373)。
- 独自のカスタム編集フォームに対して customEdit.jsp フォームを使用する場合に、ナビゲーションバーのないページにカスタムフォームが重複して表示されるという問題がなくなりました (ID-15460)。
- セキュリティー更新 912812 を適用した Internet Explorer 6 または 7 のユーザーが、複数選択ボックスを強調表示するためにそのボックスをダブルクリックしたり、項目を移動するためにその項目をダブルクリックしたりする必要がなくなりました (ID-15824)。
- ActiveSync 入力フォーム上で、(処理中のユーザーに対して検出された保留中の更新をすべてキャンセルする) IAPI.cancel に対して true を指定したときに、ユーザーのビューが処理後もロックされたままになる現象が修正されました (ID-15912)。
- ユーザー検索の結果ページでの Top 組織内のユーザーの編集が、エラーを発生することなく正しく機能するようになりました (ID-15977)。
- アクセススキャンをサポートするために提供されるデフォルト規則はすべて、デフォルトで Top 組織のメンバーです。配備において、アクセススキャンまたは監査ポリシーの編集を管理者に許可する際に、管理する組織から Top を除外して、ほかの組織を管理させるようにするには、その組織に次の規則を追加する必要があります (ID-15996)。
監査
- 新しい IDM Role Comparison 監査ポリシーを使用できるようになりました。このポリシーは、ユーザーのリソース属性が、そのユーザーに割り当てられたロールで定義されているロール属性と一致することをチェックします。あるユーザーの属性で一致しないものが存在する場合は、この新しいポリシーを使用してそのユーザーをスキャンすると、コンプライアンス違反が作成されます (ID-11225)。
- 指定したアクセスレビューターゲットが削除されたアクセスレビュー詳細レポートを編集する際に、エラーが表示されなくなりました (ID-14805)。
- デフォルトの監査レポート「All Compliance Violations」において、複数のリソースに対するコンプライアンス違反を表示できるように、resourceNames 表示属性を使用するようになりました。このレポートは以前は resourceName 属性を使用しており、これにより警告メッセージが生成されていました (ID-15915)。
- 監査ポリシーウィザード GUI では、3 人の是正者とそれぞれにエスカレーションする期間を指定できます。期間を指定した場合は、是正者を指定する必要があります。指定しないと、是正処理は行われません (ID-14198)。
- ユーザー範囲を動的組織に設定した状態で、監査スキャンまたはアクセスレビューを実行できるようになりました (ID-14886)。
- 監査ログレポートに、ロール変更の詳細が示されます (ID-15587)。
- Identity Manager のコンプライアンス機能は、そのままで使用できるタスク、ポリシー、および規則を提供します (ID-16127)。Identity Managerは、最初にこれらのオブジェクトを Top または All のうち適切なほうのオブジェクトグループに作成します。Top オブジェクトグループを制御しない管理者による委任管理の使用を選択した配備では、必要に応じて、一部またはすべての Auditor オブジェクトをほかのオブジェクトグループに追加できます。Identity Manager には、Auditor オブジェクトのオブジェクトグループを一覧表示、追加、または削除するためのスクリプトが用意されています。Auditor オブジェクトの完全なリストは、$WSHOME/sample/scripts/AuditorObjects.txt を参照してください。
cd $WSHOME/sample/scripts
beanshell.sh objectGroupUpdate.bsh -u Configurator -p <Configurator's password> -h host:port -action list -data AuditorObjects.txtcd $WSHOME/sample/scripts
beanshell.sh objectGroupUpdate.bsh -u Configurator -p <Configurator's password> -h host:port -action add -data AuditorObjects.txt -groups Allcd $WSHOME/sample/scripts beanshell.sh objectGroupUpdate.bsh -u Configurator -p <Configurator's password> -h host:port -action remove -data AuditorObjects.txt -groups All
Identity Manager には、この名前変更を自動的に処理できるスクリプトが用意されており、7.1 へのアップグレードの前に実行することができます。これらのスクリプトは、インストールイメージの util_scripts ディレクトリにあります。スクリプトを実行するには、Identity Manager サーバーが稼働している状態で、スクリプトが存在するディレクトリに移動します。Identity Manager サーバー上でスクリプトをローカルに実行している場合でも、-h idm-url オプションを指定します。idm-url は、[http://]hostname:port[//idm/servlet/rpcrouter2]という形式で指定する必要があります。ここで、hostname:port は必須ですが、Identity Manager サーバーがデフォルト URL パス (/idm) にバインドされている場合、[ ] で囲ってある部分は省略可能です。このスクリプトは Identity Manager リポジトリを変更するため、そのリポジトリを参照しているいずれか 1 つの Identity Manager サーバー上で実行すれば十分です。
名前を変更した TaskDefinition オブジェクトは、old-name-7.1-update[N] の形式になります。
統合開発環境 (IDE)
- ほとんどのノードには「Properties」ウィンドウに、関連付けられたプロパティーシートがあります。これらのノードのほとんどには、名前の値を管理するための名前プロパティーがあります。「Rename」を右クリックして選択するか、ノードをクリックしてラベルにテキストを入力することによって、ノードを介して特定のオブジェクトの名前を変更すると、ノードのラベルが更新され、XML が変更されますが、プロパティーシートの更新が失敗するという問題がありました。この問題が修正されました (ID-13696)。
- 規則ライブラリは、基本的な XML の編集と規則テスターでのテストの実行以外、現在サポートされていません。ナビゲーションとプロパティーサポートは現在実装されていません (ID-14093)。
- データ型が整数またはブール型の場合に、フォームプロパティー値をプロパティーエディタで設定できないという問題が修正されました (ID-14128)。
- オブジェクトのダウンロード、アップロード、再読み込みを行うと、リポジトリ内のオブジェクトがロックされるという問題が修正されました (ID-14132)。
- NetBeans のコンテキストメニューからオブジェクトの名前を変更する場合に、別途変更を保存する必要がなくなりました (ID-14420)。
- フィールドの displayClass を InlineAlert に設定すると、フィールドに名前がある場合、 InlineAlert の値プロパティーが表示されないという問題が修正されました (ID-14456)。
- Identity Manager IDE でユーザー画面からチェックアウトすると、オブジェクトがロックされるという問題が修正されました (ID-14797)。
- プロジェクトの作成時に Context フィールドを空白のままにすることで、ルートコンテキストを指定できるようになりました (ID-15925)。
Identity Manager SPE
メタビュー
パスワード同期
調整
- 重複したユーザーがリソースに存在するときに調整が停止しなくなりました (ID-14949)。
- 不必要な調整エラーを避けるために、調整処理の際に、従来はあいまいなアカウント一致と判断されていたものの一部が状況によって一致と見なされるようになりました (ID-14965)。
- ユーザー正規化によりすべてのリソース情報がユーザーから削除されるときに、調整が停止しなくなりました (ID-15028)。
- checkDynamicallyAssignedAdminRolesAtLoginTo オプションを使用しても、調整スケジュールの更新時に調整ポリシーエディタのエラーが発生しなくなりました (ID-15338)。
レポート
- 管理者ロールの作成、変更、削除に対して監査ログがサポートされるようになりました (ID-12514)。
- ユーザーレポートは、リソース上のすべてのアカウントのアカウント ID を、セミコロン区切りのリスト形式で示します。ロールまたはリソースグループを通じて間接的に割り当てられるアカウントおよびリソースも一覧表示されます。リソースアカウントが 1 つしかない場合は、そのアカウントの ID が Identity Manager のアカウント ID と一致しない場合にのみアカウント ID が表示されます (ID-12820)。
- ユーザーの秘密の質問の変更が監査ログに記録されるようになりました (ID-13082)。
- 監査レポートセレクタの下の「レポート」メニューに「ユーザーコンプライアンス違反ログ」が表示されなくなりました (ID-14721)。
- 本リリースで、Conflict Violation Details Form をカスタマイズした場合、将来のリリースにアップグレードする前にそのフォームをエクスポートする必要はなくなりました。ただし、以前のリリースで Conflict Violation Details Form をカスタマイズしている場合に、7.1 にアップグレードするには、事前にフォームをエクスポートする必要があります。アップグレード後に必要に応じて保存したフォームを再インポートします (ID-14772)。
- 「レポートの設定」ページの PDF レポートオプションでデフォルト以外のフォントを指定している場合に、メールに添付して送信される PDF レポートに対してその設定が反映されるようになりました (ID-15328)。
リポジトリ
- IDMXUserView に対する getView および checkoutView への呼び出しと、Identity Manager の LighthouseContext を通じた getObject への呼び出しで、ObjectSource.OP_ALLOW_NOT_FOUND (allowNotFound) オプションが正しく機能するようになりました (ID-11900)。
- リポジトリで Java エラー (java.lang.Error のインスタンス) が発生するたびに、Identity Manager リポジトリがアクティブなデータベース接続をクローズ (ロールバック) するようになりました。以前は、リポジトリは宣言済み例外または実行時例外 (ただし、エラーではない)を捕捉するたびにアクティブなデータベース接続をクローズしていました。この変更により、Java 仮想マシンが OutOfMemoryError などのエラーをスローしたときに、トランザクションがオープン (未コミット) 状態のままになることを防ぎます (ID-14411)。
- setRepo コマンドの -n オプションにより、現在のリポジトリ位置に対するチェックを回避できるようになりました。-n オプションを指定すると、現在のリポジトリ位置が正しくない (または、現在の位置のデータベースインスタンスが使用できない) 場合にも setRepo コマンドを正常に実行できます。この変更により、Identity Manager 2005Q4M3 (Identity Manager 6.0) で確認された逆行現象が修正されます (ID-14809)。
- RelationalDataStore が生成する SQL 文の実行速度が、サイズの大きなデータベーステーブルに対して高速化されました。これにより、Identity Manager のリポジトリ初期化が高速化されました (ID-14937)。
- 低速な Oracle データベースシステムが原因で、保留されたタスクが複数のスケジューラ上で同時に実行されることがなくなりました (ID-15372)。
- 類似したユーザーグループ内の 1 人のユーザーからロールを削除しても、ほかのユーザーのリポジトリエントリに影響したり、ロールによる検索時にそのユーザーを検出できなくなることがなくなりました (ID-15584)。
リソース
- LDAP リソースアダプタに「フェイルオーバーサーバー」リソースパラメータフィールドが追加されました。このフィールドでは、選択されたサーバーで障害が発生した場合に、フェイルオーバー用の複数のサーバーを一覧表示できます。LDAP リソースアダプタは、JNDI を使用して LDAP ディレクトリへの接続を維持します。したがって、接続が見つかるまでの間、JNDI は自動的に各サーバーへの接続を順番に試みます。接続が見つかると、JNDI はサーバーで障害が発生するまでこのサーバーを使用し続けます。障害が発生した場合、この手順が繰り返されます。ただし、すべてのフェイルオーバーサーバー間でのレプリケーションについては、アダプタではサポートしてないため、別途ユーザーの責任で行う必要があります (ID-10889)。
- 変更履歴ログの変更を検索する LDAPActiveSync 検索フィルタが最適化され、パフォーマンスが向上しました。フィルタ部分 (objectClass=changelogEntry) がデフォルトの検索フィルタから削除されました (ID-11722)。
- NDS リソースアダプタで、NDS テンプレートに含まれるグループを、NDS テンプレートで定義されていないグループとマージできるようになりました。この処理は、ユーザーフォームの変更とともにユーザーインタフェースから実行されます。詳細については、NDSUserForm.xml を参照してください (ID-12083)。
- Linux アダプタで、最終ログイン日時の年を返すことができるようになりました (ID-12182)。
- 別の Oracle ユーザーでビューを使用するためには、ユーザー名で修飾せずにビューを参照できるように、エイリアスを確立する必要があります。以前の Identity Manager ではこのエイリアスが指定されているかどうかをチェックしていませんでしたが、現在では、Identity Manager はエラーを検出してメッセージを表示します (ID-12643)。
- Solaris NIS リソース上のユーザーを参照するとき、一次グループの設定がグループ名として表示されるようになりました (ID-12667)。
- SAP リソース上で CUA モードを使用しているとき、パスワードを無期限に設定できるようになりました (ID-13355)。
- VMS リソースアダプタに調整機能が追加されました (ID-13425)。
- ユーザーの作成および更新処理中に ResourceAction スクリプトからのエラーが捕捉されたとき、プロビジョニングがそのことを認識するようになりました (ID-13465)。
- Identity Manager で、リソース設定パラメータ enableEmptyString が追加されました。このパラメータを使用すると、テーブルスキーマで not-null として定義されている文字ベースの列に、NULL 値の代わりに空文字列を書き込むことができます。enableEmptyString パラメータは、Oracle ベースのテーブルに対して文字列を書き込む方法には影響しません (ID-13737)。
- NDS アダプタの Active Sync で、User オブジェクトの lastModifiedTimeStamp に基づいて変更をポーリングしなくなりました。以前は、ユーザーがログインまたはログアウトするたびにこの属性が更新されていました。現在では、Identity Manager スキーマで定義されたユーザーの属性の lastModifiedTimestamp に基づいて、最後に変更された値が計算されます。アダプタによって提示される最高水準点よりも属性の lastModifiedTimestamp が大きい場合、ゲートウェイはこのユーザーを変更されたものとしてサーバーに送り返します (ID-13896)。
- シェルスクリプトアダプタが、名前変更、無効化、および有効化の各関数をサポートするようになりました (ID-14472)。
- ゲートウェイへの接続がクローズされていないことが原因で Active Directory の Active Sync がハングアップする問題が解決されました。接続数は上限まで増加し、オープンな接続は CLOSED_WAIT 状態にとどまります。接続数の上限に達し、すべての接続が CLOSED_WAIT 状態になると、これらの接続がクリーンアップされるまで Active Sync は停止します (ID-14597)。
- アダプタがカスタマの更新スクリプトに送信する属性マップに、null 属性のエントリが含まれるようになりました。マップエントリ値は null になります。特に、この状況 (属性マップ内の空値) は、属性がクリアされていることを意味します (ID-14655)。
- 一部のリソースアダプタに関して、調整処理の間にユーザーが取得される前に除外規則が適用されるようになりました。これにより、特定のユーザーを除外することが可能になり、リソースによって生成されるエラーが回避され、ユーザー数が多い場合のパフォーマンスを改善できます (ID-14436)。
- Central User Administration (CUA) 環境における SAP アクティビティーグループおよびプロファイルの書き込みで、情報がコロンで区切られているときに新しいテーブル行が 2 行に分割されなくなりました (ID-14371)。
- LDAP サーバーが VLV 制御をサポートし、サーバーが正しく設定されている場合は、ユーザーアカウントを一覧表示および検索するときに LDAP リソースアダプタも VLV 制御を使用します (ID-14526)。
- Oracle ERP ユーザーフォームに「Person Name」フィールドが追加されました。この読み取り専用のフィールドは、Oracle ERP アカウントが従業員番号を使用して Oracle HR システムにリンクされている場合に、Oracle HR 担当者のフルネームを示します (ID-14675)。
- SAP アダプタで Disabled ステータスが正しく報告されるようになりました (ID-14834)。
- nsaccountlock 起動ショートカットで、値の存在/不在に基づくロジックを使用して、LDAP ユーザーが無効かどうかを特定できるようになりました (ID-14925)。
- リソースに対してサポートされる機能の表で、「無効化」と「ignore」 を組み合わせて設定した場合に、 ignore 処理を正しく行うようになりました。たとえば、更新機能に対して ignore を選択した場合、GUI 画面ではあたかもその更新アクションが実行されたかのように表示されますが、実際にはリソースに対して更新アクションは実行されません (ID-14948)。
- Oracle ERP リソースアダプタで、完全調整の間に Oracle ERP リソースがアクセス不能な場合に、リソースアカウントのリンク解除が禁止されるようになりました (ID-14960)。
- Tivoli Access Manager および Active Directory とともに Identity Manager を配備するとき、7 ビット ASCII の範囲外の文字を含むパスワードが、ゲートウェイによって正しく設定 (作成および更新) されるようになりました (ID-15006)。
- システム設定でログインによる使用のために共通リソースが設定され、共通リソースログインが失敗する場合、共通リソースでないログインモジュールスタック内に別のリソースが存在するときにログインが失敗しなくなりました。そのログインでは、以前のログインモジュールリソースのどれとも異なる認証プロパティーが要求されます (ID-15047)。
- Solaris NIS サーバーリソースに対して「リソースオブジェクトの作成」を実行し、Users 内の複数のアカウントを選択して「保存」をクリックした場合に、すべてのアカウントが、管理対象 NIS サーバー内の NIS パスワードソースディレクトリ内のグループファイルに追加されるようになりました。以前は、この操作は 1 つのアカウントの選択時にのみ有効でした (ID-15085)。
- リソースオブジェクトのクエリー時に ADSIResourceAdapter が接続をクローズするようになりました (ID-15098)。
- 幅がより広くて色彩がより濃い仮想画面サイズなど、ACF2 接続プロパティーを指定できるようになりました (ID-15158)。この機能を実装するには、次の内容を含む独自の update.xml スクリプトをインポートします。
- Oracle ERP スキーマに対応するリソース属性 person_fullname が新しく追加されました。サンプルの $WSHOME/sample/other/CreateLHERPAdminUser.oracle スクリプトが更新され、ICX* テーブルが含まれるように、また、non-APPS ユーザーに対して作成されるシノニムのビューを提供するようになりました (ID-15188)。
- サンプルの JDBC スクリプトでは、ResultSet および Statement が不要になったときにこれらが閉じられていませんでした。大規模なアプリケーションでは、このことがリソースリークの原因となる可能性がありました。サンプルスクリプトが修正され、不要になった時点でこれらのオブジェクトをクローズするようになりました (ID-15254)。
- 削除スクリプトがエラーにより 0 以外の戻り値を返した場合に、Identity Manager がその出力を正しく受け取り、エラー結果としてレポートするようになりました (ID-15340)。
- 文字変換を伴うストレージ割り当ての問題が解決されました (ID-15341)。
- リソースアクション用のシェルスクリプトの実行時に使用される一時ファイル名が、長期に渡ってより一意性を保つように変更されました (ID-15348)。
- Solaris NIS に関して、Identity Manager が (必須ではなく、トレースでのエラーメッセージの原因であった) netid ターゲットを追加しなくなりました (ID-15503)。
- Solaris NIS に関して、Solaris NIS の passwd、shadow、および group テンプレートファイルが含まれているディレクトリが管理ユーザーに対して読み取り保護されている場合に、sudo コマンドの使用を Identity Manager が禁止しなくなりました (ID-15505)。
- Solaris NIS に関して、デフォルトの一次グループが完全に存在しないか、またはグループファイルに見つからない名前である場合に、アカウントが部分的に作成されることがなくなりました (ID-15509)。
- ユーザーまたはグループが存在せず、テンプレートの passwd および group ファイルが /etc 以外のディレクトリに存在する環境で開始したときに、Solaris NIS ユーザーまたはグループ ID の生成が失敗する原因となっていたバグが修正されました (ID-15510)。
- Solaris NIS に関して、1 行で 2 つのアカウントが作成され、最初のアカウントにはシェルが指定されているが 2 番目のアカウントには指定されていない (defadduser ファイルで定義されていないか、または defadduser ファイルが存在しない) 場合、最初のアカウントのシェルを使用して 2 番目のアカウントが作成されることがなくなりました (ID-15511)。
- Solaris NIS に関して、新規作成されるアカウントのデフォルト値のオプションソースとして、defgroup の代わりにデフォルト一次グループが設定されるようになりました。この設定には、/usr/sadm/defadduser ファイル内の defgname が使用されます (ID-15512)。
- Identity Manager で、アカウントの更新時に、Solaris NIS および HP-UX の暗号化パスワードが、passwd および shadow の各 NIS テンプレートファイルの両方に格納されなくなりました。passwd ファイルにはプレースホルダ値 "x" が格納されるようになりました (ID-15593)。
- 「一致しないアカウントの作成」が true に設定されていて「許容エラー数」を超過したとき、Active Sync が実行を継続しなくなりました (ID-15662)。
- PeopleSoft Component Interface アダプタが、無効なステータスをレポートできるようになりました (ID-15674)。
- Identity Manager が、書き込み専用のアカウント属性を LDAP ディレクトリまたは Active Directory から読み取ることがなくなりました (ID-15838)。
- Scripted Gateway リソースアダプタで、スクリプトからのゼロ以外のリターンコードを正しく取得してエラーを報告できるようになりました (ID-15860)。
- フォーム内で RACF 属性を解除しても、フォームの送信時に Identity Manager のユーザーの属性が解除されませんでしたが、Identity Manager が属性を解除するようになりました (ID-15971)。
- NDS テンプレートリソース属性が、NDS_TEMPLATE_HELP メッセージキーではなくポップアップヘルプ (i-Help) を表示するようになりました (ID-15986)。
- Scripted Gateway リソースアダプタに対して、有効化および無効化のリソースアクションがサポートされるようになりました (ID-16066)。
- ScriptedGateway リソースアダプタが、getInfo および listAllObjects アクションを実装しているスクリプトにリソース属性を渡すようになりました (ID-16149)。
- GroupWise リソースアダプタは非推奨になりました。GroupWise ユーザーの管理には、代わりに NDS アダプタを使用するようにしてください (ID-16308)。
スケジューラ
セキュリティー
- (SPML またはその他の手段を通じて) 管理者によって開始されたエンドユーザーパスワードの変更がパスワード履歴に追加されるようになりました (追加を有効にした場合)。この修正では、管理者が目的の動作を切り替えられるようにするシステム設定オプションおよびビュー (フォーム) オプションの両方を導入しています (ID-13029)。
- Report Administrator 機能のみを持つ委任管理者が、レポート内で定義してある組織範囲設定から、自分に管理権限のない組織を削除できなくなりました (ID-14765)。
- 組織承認者の追加または削除が組織の監査ログに記録されるようになりました (ID-15232)。
- Admin Role Administrator の権限が拡張され、管理者ロールを作成できるようになりました。新しい管理者ロールまたは機能を作成するとき、作成者は、管理者ロールまたは機能をほかのユーザーに割り当てることができる 1 人以上のユーザーを選択しなければならない場合があります。この状況は、作成者自身に管理者ロールまたは機能を他人に割り当てる権限が付与されていない場合に起こります。作成者は自分の制御スコープの外側にいる 1 人以上のユーザーを選択しなければならない場合があるため、作成者が譲渡者を選択する際のユーザー集合は、Identity Manager の通常の制御スコープの概念とは異なります。作成者は、「機能の割り当て」権限が付与されているユーザーであればだれでも譲渡者として選択できます (ID-15980)。
- 次の条件が発生したときに、Identity Manager が java.lang.StackOverflowError 例外を発行しなくなりました (ID-15035)。
サーバー
- 未実装の演算子を使用したフィルタが要求に含まれている場合に、SPML サーバーがエラーを返すようになりました (ID-11343)。
- 「User Extended Attributes」設定オブジェクトから属性を解除しても、それらは WSUser の属性から解除されず、古い値が XML 内に保持されていました。この問題が修正され、値が XML から削除されるようになりました (ID-11721)。
- 一括操作のためにコマンドまたはユーザーを GUI の入力領域から指定するとき、実際にはユーザー名を指定したにもかかわらず「オブジェクト名を指定する必要があります。」というメッセージが出て操作が失敗することがなくなりました (ID-15112)。
- 調整などでプロセスがリソースに頻繁にアクセスするときに、OutOfMemory エラーの原因となっていた問題への対処が行われました (ID-16222)。
- 作業項目固有の委任リストを返すために、Identity Manager が次の新しい public メソッドを提供するようになりました。これらのメソッドは workItemType 引数を取ります (ID-15787/14152)。
タスク
スケジュールされたタスクを編集するときに、開始日を MM/DD/YYYY 形式で入力し直す必要がなくなりました (ID-5675)。
ワークフロー
解決されたその他の不具合
8691, 8961, 9913, 10100, 10802, 11538, 12509, 12571, 12585, 12872, 13223, 13251, 13258, 13701, 13741, 13965, 14282, 14334, 14459, 14564, 14663, 14748, 14893, 15036, 15098, 15234, 15345, 15424, 15746, 15798, 15851, 15864, 16041, 16087, 16121, 16171, 16177, 16215, 16288,