既知の問題点

『Identity Manager 7.1 リリースノート』のこの節では、次の各項目に関連する既知の問題とその回避方法の一覧を示します。

Identity Manager
Service Provider Edition

---

Identity Manager

この節では、Identity Manager の既知の問題とその回避方法について説明します。情報の構成は次のとおりです。

全般
インストールと更新
アカウント管理
承認
監査
統合開発環境 (IDE)
ログイン設定
組織
ポリシーと機能
ユーザーの調整とインポート
レポート
リソース
リソースオブジェクトの管理
リソースグループ
セキュリティー
サーバー
Sun Identity Manager Gateway
タスク
ワークフロー、フォーム、規則、XPRESS

全般

リソーススキーママップに設定する必要のあるフィールドは、ユーザーアカウントの作成時にだけチェックされます (ID-220)。ユーザーの更新時にフィールドが必要になる場合は、フィールドが必須フィールドになるようにユーザーフォームを設定する必要があります。
組織名、管理者名、アカウント名、ユーザー属性名 (スキーママップの左辺)、タスク名の文字の有効性はチェックされません (ID-1145、1206、1679、1734、1767、2413、3331)。ドル記号 ($)、コンマ (,)、ピリオド (.)、アポストロフィー (')、アンパサンド (&)、左角括弧 ([)、右角括弧 (])、コロン (:) をこれらのオブジェクトの名前に使用することはできません。
セッションのタイムアウト後にアクションを実行しようとすると、操作に関連しないエラーメッセージがアカウントページに表示されます (ID-1223)。
ブラウザが大きなフォントを使用している場合、カレンダオブジェクトの一部が表示されなくなります (ID-2120)。
「検索結果」ページと「タスクのリスト」ページの「すべてを選択」チェックボックスは、リスト内のいずれかの項目が選択されていない場合、未選択状態になりません (ID-5090)。リストのすべての要素に対応するすべてのチェックボックスが選択されていない場合、結果表示アクションの実行時に「すべてを選択」チェックボックスは無視されます。
カスタムメッセージカタログに変更を加えた場合、変更を表示に反映させるには、サーバーを再起動する必要があります (ID-6792)。
障害が発生したサーバーを検出する現在のメカニズムは、Identity Manager クラスタ内のすべてのシステムのクロックの同期がとれていることが前提となっています (ID-7064)。障害検出の間隔がデフォルトの 5 分の場合、あるサーバーのクロックが別のサーバーと 5 分以上ずれている場合、クロックが先に進んでいる方のサーバーが遅れている方のサーバーを非活性であるとみなし、そのため予期しない結果が起こります。

回避方法: システム間のクロックのずれをできるだけ小さくなるようにするか、フェイルオーバー間隔を長めに設定します。

Windows で、マシンのデフォルトのエンコーディングが 1 バイト文字しかサポートしない場合、ホームディレクトリ名に 2 バイト文字が含まれるユーザーとしてログインするには、USER_JPI_PROFILE 環境変数を 1 バイト文字だけを含む既存のディレクトリに設定する必要があります (ID-8540)。
展開したノードに含まれるデータが 1 ページに満たない場合に、ページの最初のレコードよりも前にそのノードの新しい子を挿入する (たとえば、組織内のユーザーを作成している場合) と、Identity Manager はそれ以降の更新時に、1 つの項目を持つページを現在のページの前に挿入します (ID-12151)。

回避方法: ページの先頭にジャンプするボタンをクリックして、ページを再編成します。

「ロール」フォームを修正して showSuperAndSubRoles 変数を 0 から 1 に変更してから、既存のサブロールが含まれているスーパーロールオブジェクト定義ファイルを「設定」タブからインポートする場合、<SuperRoles> セクションが含まれるようにそれらのサブロールが変更されることはありません。ただし、Identity Manager のグラフィカルユーザーインタフェースを使用してスーパーロールを作成する場合、そのスーパーロールによって参照されるサブロールは更新されます (ID-15053)。

この問題は、Identity Manager の外部で作成され、システム内の既存のロール (サブロールまたはスーパーロール) への参照を持っているロールに関して発生する可能性があります。

これらのロールをインポートするとき、システムにすでに存在するロールが、新しい関係を反映するように更新されることはありません。たとえば、参照整合性は維持されません。このようにしてロールがインポートされる場合、RoleUpdater を使用して参照整合性を確認および修正します。

回避方法: 「ロール」で説明されている ID-15482 を参照してください。

2007 年から施行される新しい夏時間 (Daylight Savings Time: DST) をサポートするために、アプリケーションサーバーの実行基盤となる JDK を JDK 1.4.2_13 に更新する必要があります (ID-15475)。

更新するには、次の手順を実行します。

次の場所から、時刻機能をホストしているゲートウェイを更新します。

http://www.microsoft.com/windows/timezone/dst2007.mspx

(Identity Manager は、時刻機能をホストするゲートウェイを Windows オペレーティングシステムから取得します。)

アプリケーションサーバー上で、準拠したバージョンの Java にアップグレードします。『Identity Manager インストールガイド』では、アプリケーションサーバーをシャットダウン、アップグレード、および再起動する手順を説明しています。
新しく延長された DST 期間内に開始するようにスケジュール設定されたタスクの一覧を確認します (これらの期間が発生する時期の詳細は、あとの説明を参照)。

DST パッチを適用したあとで、この期間内に開始するようにスケジュール設定されているすべての項目のスケジュールを再設定する必要があります。DST パッチの適用後、およびこれらの期間の開始前に 1 回でも実行されるすべての反復項目は、意図したとおりの日時に実行されます。

DST の問題に対処するには、Java アップグレードを参照するか、tzupdater ツール (http://java.sun.com/developer/technicalArticles/Intl/USDST/) を使用します。Sun Alert for Java も参照してください。

米国およびカナダでは、前年よりも早く始まり遅く終わるように夏時間 (DST) が延長されています。延長された DST 期間は、3 月の第 2 日曜日から 4 月の第 1 日曜日までと、10 月の最後の日曜日から 11 月の最初の日曜日までです。2007 年の場合、これらの期間は 3 月 11 日から 4 月 1 日までと、10 月 28 日から 11 月 4 日までです。非準拠のソフトウェアが原因で発生する問題は、ソフトウェアの準拠対応がなされるまで解決しません。

注	ここで説明した手順を実行していないと、次の影響が生じる場合があります。 スケジュールパラメータによっては、調整や Active Sync などの一部のスケジュール済みタスクが、スケジュールから 1 時間ずれて実行される場合があります。 指定された期間から最大で 1 時間ずれた期間内のイベントがレポートに含まれたり、意図した期間内のイベントがレポートから除外されたりする場合があります。 日付に依存する変更を行った場合に、誤った結果が生じる可能性があります。

エンドユーザーインタフェースメニューでは、承認作業項目をほかの承認者に転送しようとしても、転送先リストに他の承認者が表示されません (ID-15935)。

回避方法: フォーム内の userIds フィールドのあとに次のフィールドを挿入し、「user*」文字列を目的のアカウント ID のリストに置き換えます。

<Field name='forwardingUsers'>
   <Derivation>
      <list>
         <s>user1</s>
         <s>user2</s>
      </list>
   </Derivation>
</Field>

既存の更新履歴ログで、列属性を追加するなど既存の更新履歴ログの設定を変更した場合に、前から存在する更新履歴ログ CSV ファイルにこれらの変更が現れない場合があります (ID-15973)。
TabPanel 表示コンポーネントのタブに表示される文字列 (たとえば、Tabbed User Form で使用される文字列) に空白文字が含まれる場合、その文字列はワードラップします。文字列がワードラップしないようにこの動作を変更するには、$WSHOME/styles/customStyle.css に次の 2 行を追加するようにしてください。

table.Tab2TblNew td {background-image:url(../images/tabs/level2_deselect.jpg);background-repea t:repeat-x;background-position:left top;background-color:#C4CBD1;border:solid 1px #8f989f;white-space:nowrap}

table.Tab2TblNew td.Tab2TblSelTd {border-bottom:none;background-image:url(../images/tabs/level3_selected.jp g);background-repeat:repeat-x;background-position:left bottom;background-color:#F2F4F3;border-left:solid 1px #8f989f;border-right:solid 1px #8f989f;border-top:solid 1px #8f989f;white-space:nowrap}

「処理ダイヤグラム」アプレットのローカリゼーション対応が不完全なため、たとえば Identity Manager を日本語環境で使用している場合、ダイヤグラムのアプレットは一部が日本語で、残りは英語で表示されます (ID-16139)。
ロールの編集時に 2 番目のロールがスーパーロールおよびサブロールの両方として含まれている場合、循環参照が存在し、StackOverflowError を発生させる可能性があります (ID-16326)。
直接モードのパスワード同期のために、web.xml ファイルで SimpleRpcHandler を設定する必要があります。デフォルトでは、このハンドラは rpcrouter2 サーブレット用のハンドラとして提供されていません (ID-16469)。直接モードのパスワード同期を使用するには、次のようにしてハンドラ初期化パラメータを設定します。

<init-param>
   <param-name>handlers</param-name>
   <param-value>com.waveset.rpc.SimpleRpcHandler,com.waveset.rpc.PasswordS yncHandler</param-value>
</init-param>

注意すべき点として、SimpleRpcHandler は特定の RemoteSession 呼び出しに干渉することがわかっています。直接モードのパスワード同期とともに RemoteSession を使用する予定の場合、RemoteSession 呼び出しを処理するための独立したサーブレットを設定してください。

インストールと更新

注	このリリースのみに影響する問題については、「インストールと更新の注意点」を参照してください。

6.x インストールからアップグレードを行なった環境で、水平のナビゲーションバーが表示される新しいエンドユーザーページを利用したい場合には、システム設定 ui.web.user.showMenu を true に手動で変更します (ID-14900、16401)。

また、システム設定のエンドユーザーフォームマッピングを次のように手動で変更します。

<Attribute name='endUserMenu' value='End User Dashboard'/>

コンパイラエラーが多数のページに影響するため、WebLogic 9.0 はサポートされていません。

回避方法: 代わりに WebLogic 9.1 または 9.2 を使用します (ID-16002)。

Service Provider トランザクションストア用のデータベースアップグレードスクリプトはありません。Identity Manager 5.6 (Service Provider Edition 1.0) または Identity Manager 6.0 から 7.0 または 7.1 にアップグレードするときは、新しい列 (「userId」) を既存のテーブルに追加します。このリリースのサンプルデータベーススクリプト (create_spe_tables.*) は、この列の予期される型およびデフォルトの最大長の値を示しています (ID-16423)。
アップグレードの間、まれな状況下で、update.xml を実行しようとしたときに次のエラーが発生する場合があります。

com.waveset.util.InternalError: Reserved item

'ComplianceViolation:LastModified' name is already in use by existing item

'ComplianceViolation:LastModified'.

このエラーが発生した場合、次の SQL を使用して、競合している項目をリポジトリから削除します。

delete from object where type='ComplianceViolation' and name='LASTMODIFIED'

そのあとで、update.xml を再度インポートして、失敗した位置からアップグレードを再開できます (ID-16437)。

アカウント管理

NT のネイティブツールが管理できない 20 文字を超えるアカウント名を持つ NT アカウントが作成できてしまいます (ID-710)。
管理者は、管理対象ではない組織を含むリソースまたはロールを保存することができません (ID-839)。
「プロビジョニング結果」ページのカラムをソートすると、結果に空の追加行が作成されます (ID-1105)。
数百におよぶユーザーアカウントの承認には長時間かかります (ID-1149)。

回避方法: より小さなグループ単位でユーザーアカウントレコードを承認します。

承認特権を持たなくなった管理者が所有する承認レコードを承認することはできません (ID-1150)。

回避方法: その管理者が承認特権を持つリソース、ロール、組織から管理者を削除し、管理者の削除、または管理者の削除特権の削除前に未処理であった承認レコードを承認します。

修正なしでユーザーを更新しても、詳細結果ページは表示されません (ID-2327)。
ユーザーを新規作成したり、既存のユーザーにリソースを追加したりする場合、ユーザーの識別名が誤っていると、管理者がログアウトするまで誤った値がキャッシュされます (ID-2508)。識別名の修正後にユーザーを再作成しようとしても、管理者がログアウトするまでは成功しません。
Windows Active Directory では、ディレクトリを作成できる管理者としてゲートウェイを実行する必要があります (ID-2919)。Identity Manager は Windows 2000 システム上にホームディレクトリを作成できます。ホームディレクトリアカウントの作成は、リソース定義に指定されている管理者ではなく、ゲートウェイを実行しているユーザーによって行われます。

回避方法: リモート共有ディレクトリの作成とその共有ディレクトリ上での特権の設定を実行できるアカウントで、ゲートウェイを実行し直します。このアカウントは、バイパストラバースチェックの特権と、オペレーティングシステムとして動作する特権も必要とします。

ユーザーアカウントの無効化時にエラーが発生すると、Windows NT リソースはエラーメッセージではなく、誤った警告メッセージをスローします (ID-3222)。
ユーザー編集ページからユーザーのすべてのリソースを削除すると、java.lang.NullPointerException が出力されることがあります (ID-4811)。

回避方法: ユーザー削除ページを使用してリンクを解除するか、ユーザーからこれらのリソースアカウントを削除します。

Identity Manager ユーザーが作成され、ユーザーアカウントがすでに存在する Windows Active Directory リソースに割り当てられると、リソース情報に GUID 属性を持たない状態でユーザーが作成されます。GUID は、ディレクトリ内のユーザーの組織または名前に加えられた変更の検出に使用されます。この問題は、リソースから調整を実行すると解決されます。
ユーザーの作成時に、直接割り当てられたリソースを含むユーザーにロールを追加する場合は警告が出力されます (ID-5385)。
ユーザーの作成時に「転送先」管理者を指定できません。このオプションは、ユーザーの編集時にだけ設定できます (ID-5695)。

承認

ユーザーを更新し、更新をバックグラウンドで実行するように選択した場合、承認アクティビティーはタスク結果ページに表示されます (ID-3301)。この承認は無視できます。
管理者の承認レコードは、ユーザーの名前が変更されたあとは表示されません (ID-3386)。

回避方法: ユーザー名を変更する前に、未処理のすべての承認を解決します。

承認されるユーザーが、承認者の制御対象ではない組織に属する場合、管理者は、過去に承認された、または過去に拒否された承認レコードを表示できません (ID-3494)。
Configurator の承認保留リストに、リソース再試行タスクが表示されます (ID-3508)。

監査

スキャン中は、リソースから取得できないなどの失敗が発生したユーザーアカウントの再試行はサポートされていません。これらの失敗はスキャンの完了時にレポートされますが、アカウントの再スキャンを自動的に実行する方法はありません (ID-9112) 。
Identity Auditor は、ユーザーが編集されたときには必ずポリシーを適用することによって、ポリシーのスキャンから次回のスキャンまでの間、ユーザーがポリシーに適合した状態を保持するようにします。監査ポリシーを割り当てられているユーザーがポリシー違反をしている場合は、そのユーザーを編集してもユーザーへの変更を保存することができません。これは、ユーザーを別の組織に移動するなどの単純な変更でも該当します (ID-9504)。

回避方法: ユーザーアクションメニューから移動 (または検索結果ページから移動) を選択します。または、監査ポリシーのチェックを一時的に無効にします。

監査ポリシーのチェックを無効にするには、システム設定を編集し、userViewValidators プロパティーを削除します。このプロパティーは文字列のリストを値に持ちますが、init.xml または upgrade.xml のインポート中に追加されます。

監査ポリシー別、リソース別、および組織別の違反履歴レポートで、対数スケールを「積み重ね」のグラフに実装すると、表示に異常が生じることがあります (ID-9522)。
現時点で、Auditor アクセススキャンレポート管理者は、監査ポリシースキャンをスケジュール設定できません。エラーが発生し、「Create access denied to Subject auditadmin on type TaskSchedule」というエラーメッセージが表示されます。タスクをスケジュールするには、管理者が TaskSchedule authType に対する create 権限を持っている必要があります (ID-14713)。

回避方法: 管理者を編集して TaskSchedule に対する create 権限を割り当てるか、最低限 Auditor Administrator または Waveset Adminsistrator 機能を持つユーザーを指定します。

Identity Auditor の以前のバージョンで監査ポリシースキャンレポートを作成している場合、Identity Manager 7.0 にアップグレードするとこれらのレポートは表示されなくなります。これを解決するには、監査レポートの管理者機能 (またはそれ以上) を持つ管理者がこれらのレポートを編集して、表示を「実行」に変更できます (ID-14881)。
複数の違反を発生させる監査スキャンを実行しているとき、違反の処理を管理するための是正ワークフローを Auditor が作成する場合があります。max_allowed_packet (1M) に対するデフォルトの MySQL 設定は、数十個の違反を扱うワークフローに対して小さすぎます。この制限に達すると、Auditor は是正ワークフローを開始しません。

回避方法: Auditor を頻繁に使用する場合、この値を相当に大きくすることをお勧めします。この問題に対処するには、MySQL 設定ファイル (my.cnf) に max_allowed_packet = 32M を追加し、データベースサーバーを再起動します (ID-15830)。

監査ポリシー名には、' (アポストロフィー)、. (ピリオド)、| (縦棒)、[ (左角括弧)、] (右角括弧)、, (コンマ)、: (コロン)、$ (ドル記号)、" (二重引用符)、= (等号) の各文字を含めることができません (ID-16078)。
コンプライアンス違反是正の重要度および優先順位の値を変更すると、誤解を招く可能性があります。フォーム内の初期値は、コンプライアンス違反の現在の値ではありません。それらは、変更を行うときに最後に設定された値です。値を変更するページ上では現在の値を確認できないため、リストビューを表示している間に目的の重要度や優先順位の値を把握しておくことが重要です (ID-16040)。
IdM 7.1 アップグレードよりも前に作成されたコンプライアンス違反については、重要度または優先順位を設定できません。コンプライアンス違反がもう存在しないことを示すエラーメッセージが返されますが、これは正しくありません。違反は存在しますが、IdM は重要度または優先順位を設定できません (ID-16420)。

統合開発環境 (IDE)

Identity Manager IDE を使用したオブジェクトの名前変更は、エディタを使用して XML を編集するのではなく、プロジェクトエクスプローラのコンテキストメニューを右クリックして行います (ID-13828)。
XML ナビゲータが IDM IDE で無効になっています。「Windows」>「Navigator」を選択すると、「Navigator」パネルが開き、「<No view available>」と表示されます (ID-13390)。
プロジェクトの削除機能はサポートされていません (ID-14013)。
プロジェクトを終了する際、「Discard All」オプションが正しく機能しません。オブジェクトへの変更を破棄する場合は、エディタウィンドウを閉じて「Discard」を選択する必要があります。これは、NetBeans での既知の問題です (バグ 84236) (ID-14164)。
標準の Identity Manager IDE プロジェクトに対して作業しており、バンドルされた Tomcat インスタンスを起動して「Tomcat Manager」ダイアログが表示された場合、このダイアログは通常、次のいずれかの状況を示します (ID-15546)。
複数の Tomcat インスタンスが実行されている。
資格の不一致が発生した。

これは NetBeans の既知の問題です。

回避方法: ホストマシン上でただ 1 つの Tomcat インスタンスが実行されていること、および、バンドルされた Tomcat と同じポートを待機するようにそのインスタンスが設定されていることを保証する必要があります。

バンドルされた Tomcat サーバーの一部として格納される資格は、サーバーマネージャーの「ユーザー名」および「パスワード」フィールドに格納される資格と一致する必要があります。これらのフィールド値の詳細は、次の Web サイトを参照してください。

http://wiki.netbeans.org/wiki/view/FaqInstallationDefaultTomcatPassword

バンドルされた Tomcat のポート番号と格納された資格を確認する手順は次のとおりです。

Identity Manager IDE の「Runtime」タブを選択し、「サーバー」および「Bundled Tomcat」ノードを展開します。
「Bundled Tomcat」ノードを右クリックし、ポップアップメニューから「プロパティー」を選択します。
サーバーマネージャーのダイアログが表示されたら、「Server Port」、「ユーザー名」、および「パスワード」の各フィールド値を確認します。

ドキュメントの複製機能が正しく動作しません (ID-15725)。
ドキュメントに対して diff 操作を実行して変更を保存しない場合、diff 操作の結果が表示されません。現在は、この状況を示す警告メッセージは存在しません。Identity Manager IDE ではファイルの内容のみを対象に diff 操作を実行でき、エディタウィンドウの表示内容に対しては実行できません (ID-15952)。
保存していないファイルが含まれるディレクトリで diff 操作を実行した場合、「Diff Output」ウィンドウに結果が表示されません (ID-15955)。
式ビルダーを使用して呼び出し文を作成しているとき、選択したメソッドの Javadoc を表示するウィンドウが開きます。現在は、スクロールバーを使用してドキュメントをスクロールすることはできません。このため、一部のメソッドについてはウィンドウで Javadoc 全体を参照できません (ID-16093)。

回避方法:

メソッドを選択すると、式ウィンドウの下部に Javadoc が一時的に転送されます。ここでは Javadoc 全体をスクロールできますが、これは一時的なコピーなので、クリックして別の式要素または式に切り替えると、その Javadoc は復元できなくなります。
インストールメディアの Image/REF/javadoc ディレクトリに収められている通常の Javadoc を使用します。

デザインビューで検証をチェックするときに null ポインタ例外がスローされます (ID-16168)。

回避方法: XML (ソースビュー) から検証を実行します。

ログイン設定

Domino リソースでは、パススルー認証モジュールは機能しません (ID-1646)。
「管理者ログインセットアップ」および「ユーザーログインセットアップ」ページで加えた変更を、ログインしているほかの管理者が表示することはできません (ID-3487)。変更を表示するには、ほかの管理者は管理者インタフェースからログアウトし、ログインし直す必要があります。
管理者がログインし、「自分のパスワードの変更」を選択してから別のタブを選択すると、ロックの期限が切れるまでアカウントがロックされます (ID-3705)。

そのロックされた管理者を別の管理者が編集しようとすると、次のメッセージが表示されます。

com.waveset.util.WavesetException: 現在、アカウント #ID#Configurator にアクセス できません。あとでやり直してください。

管理者が「OK」をクリックすると、最後のアクションからのワークフロープロセスダイアグラムが表示されます。

組織

複数の組織を削除する場合、1 つの組織で削除に失敗すると、残るすべての組織も削除されません (ID-517)。
組織の名前を変更すると、その組織に属するユーザーを含むプロビジョニングリクエストが保留されている場合は、そのプロビジョニングリクエストは失敗します (ID-564)。

回避方法: 組織名を変更する前に、未処理のリクエストが存在しないことを確認します。

新規組織の作成時に、組織名の指名前に「ユーザーメンバー規則」オプションが選択されていると、ページの更新後に組織名のフィールドに組織の ID が表示されます (ID-6302)。新しい組織を保存する前に、正しい名前を設定できます。

( ) - 警告: フィールド [Approvers] 中のカッコ内の値が、許可された値のいずれとも一致し ません。

ポリシーと機能

Identity Manager アカウントポリシー属性「リセット通知オプション」に指定されている「管理者」というオプション値は効力を持ちません (ID-944)。有効なオプション値は、「即時」と 「電子メール」だけです。
複数ロールの削除時にエラーが発生すると、ほかのロールに対する処理は継続されず、操作全体が停止します (ID-1168)。
ユーザーによる回答が必要な質問の最小数に、定義されている質問の数より大きな値を設定できてしまいます (ID-1834)。このような状況では、ユーザーは「パスワードをお忘れですか」オプションを使用してログインすることができません。
ポリシーの編集、名前の変更、新規オブジェクト作成の選択によって、デフォルトのアカウントポリシーのクローンを作成することはできません (ID-5147)。

回避方法: アカウントポリシーを新規作成します。

ユーザーの調整とインポート

ユーザーがすでに Identity Manager に存在する場合、CSV ファイルからユーザーをインポートしても、リソース属性は更新されません (ID-2041)。
CSV (コンマ区切りの値) ファイルで、一重引用符 (') を含むアカウント ID が読み込まれると、疑問符 (?) に変換されます (ID-2100)。
「スケジュールされている」オプションを使用している場合、「タスクの検索」ページでの検索ではスケジュールされているタスクは表示されません (ID-5001)。
RedHat バージョン 8 リソースに対して実行した場合、調整は失敗します (ID-6087)。
リソースの接続プールが有効化されている場合、Oracle ERP リソースの調整は完了しますが、エラーが出力されます (ID-6386)。これを回避するには、調整時の接続プールを無効にします。

レポート

セキュリティー管理者はレポートを実行または作成できません (ID-1217)。

回避方法: 管理者にレポート管理者機能を与えます。

リスト分析レポートが、レポート管理者以外の管理者に対しても表示されてしまいます (ID-1224)。
プレーンテキストオプションで電子メール送信されるレポート結果の書式を設定することはできません (ID-2191)。

回避方法: 電子メールの HTML オプションを使用します。

大規模な結果では、監査ログエントリが記録されないことがあります (ID-5050)。
組織名にアポストロフィー (') が含まれる場合、選択してもティッカーは表示されません (ID-5653)。
管理者レポートの実行時に、管理者を持たない組織に対して、特定の組織に所属する管理者のみをレポートするオプションを選択した場合、java.lang.NullPointerException エラーが返されます (ID-5722)。

リソース

リソーステストボタンを使用しても、一部のフィールドはテストされません (ID-51)。
リソースポートの割り当てには、65535 より大きな値を設定できてしまいます (ID-59)。
誤った Active Directory グループ名を設定すると、不正確なエラーメッセージが表示されます (ID-393)。Active Directory グループ名に「cn=groupname,cn=builtin,dc=waveset,dc=com」ではなく「groupname」を指定した場合、「配列インデックスが境界を超えた」ことを示すエラーメッセージが表示されます。
名前が同じで、必須フラグが設定されていないアカウント属性を持つ別のリソースが存在する場合、必須アカウント属性が無視されることがあります (ID-1161)。
特権を持たないリソースに対して管理者が組織を追加しようとすると、エラーが表示されます。このため、リソースの編集はキャンセルされ、そのリソースにその他の変更を加えるには、再編集が必要となります (ID-1274)。
PeopleSoft リソースで、リソースアカウントパスワードまたはユーザー名が誤っていた場合、エラーメッセージがクリアされません (ID-2235)。エラーメッセージの状態は次のとおりです。

bea.jolt.ApplicationException: TPESVCFAIL - application level service failure

終了ステータス %DISPLAY_INFO_CODE% を使用する Windows Active Directory リソースアクションは、アクションを失敗させ、エラーが出力されます (ID-2827)。
Windows NT リソースアクションは、終了コードの返値がゼロ以外の場合でも、アクションの終了ステータスが「失敗」となりません (ID-2828)。
ユーザーの作成時に、Active Directory でユーザーの一次グループ ID を設定できません (ID-3221)。

回避方法: 一次グループ ID を設定せずにユーザーを作成し、ユーザーを編集して値を設定します。一次グループ ID は、グループの識別名ではなく、番号でも設定できます。

リソースの IP アドレスは、ホスト名が IP アドレスに解決されたあとに JVM にキャッシュされます。リソースの IP アドレスが変更されたときは、Identity Manager が変更を検出できるように、アプリケーションサーバーを再起動する必要があります (ID-3635)。これは、Sun JDK (バージョン 1.3 以降) での設定で、sun.net.inetaddr.ttl プロパティーによって制御されます。このプロパティーは、通常は jre/lib/security/java.security 内で設定されます。
Oracle リソース上の 1 ユーザーに複数のアカウントを作成することはできません (ID-3832)。
エンドユーザーは、Domino リソースアカウントの自己検索機能を使用できません (ID-4775)。
Active Directory 組織内のサブコンテナでユーザーの移動を行なった場合、Active Sync アダプタは変更を検出しますが、編集ページにユーザーを表示すると (または、変更を加えてから確認ページを表示すると)、ユーザーのアカウント ID が元の DN (識別名) として表示され続けます (ID-4950)。ユーザーの修正には GUID が使用されるため、これが操作上の問題を生じることはありません。この問題は、リソースに対して調整を実行すると解決されます。
組織 (OU) からサブ組織にユーザーを移動すると、LDAP ChangeLog アダプタは変更を認識せずに、ユーザーが削除されたものと見なします。ユーザーオブジェクトは Identity Manager (これが現在の設定である場合) でロックされ、移動されたアカウントに代わる「新規」アカウントは作成されません (ID-4953)。
UNIX リソースアダプタが使用するプールされた接続は、コマンドまたはスクリプトの実行中にエラーが発生した場合、状態が未確定のまま残されることがあります (ID-5406)。
NDS 組織は、リソースのベースコンテキストを「[ROOT]」に設定した場合にだけ、ツリーの最上位に作成できます (ID-5509)。
NDS では、初期プロビジョンのフィールド (グレースログイン制限など) を編集し、ブールフィールドに値を指定しない場合、すべてのブールフィールドは false に設定されます (ID-6770)。これにより、特定のチェックボックスの値を true に設定しなければならない、制限タブ上のその他のフィールドを設定できなくなります。これを回避するには、ほかのフィールドの編集時に正しくプッシュされるように、true に設定する必要のあるすべてのブールフィールドを必ず true に設定します。
「接続の管理」 --> 「リソースパスワードの変更」機能を使用して UNIX マシンのパスワードを変更する場合、タスク名は、正しくは次のとおりです。

_FM_PASSWORD_CHANGING_TASK null:null

本来は、意味のわかりやすい名前が表示されるべきです (ID-6947)。

NIS を使用する UNIX リソースでは、接続の管理機能は使用できません (ID-6948)。root のパスワードが変更の対象となりますが、NIS は root アカウントを管理していないため、エラーとなります。
Identity Manager 組織で更新を選択してユーザーを更新する場合、ネイティブで作成され、Identity Manager に読み込まれた、Sun ONE Identity Server アカウントを持つユーザーはエラーとなります (ID-7094)。これを回避するには、これらのユーザーを個別に更新します。
Identity Manager には、非推奨になった次のクラスがまだ含まれています。
com.waveset.object.IAPI
com.waveset.object.IAPIProcess
com.waveset.object.IAPIUser

今後、カスタムアダプタでこれらのクラスを参照しないようにしてください。代わりに、パッケージ com.waveset.adapter.iapi 内の対応するクラスを参照するようにしてください (ID-8246)。

PeopleSoft コンポーネントインタフェースリソース上にアカウントを持つユーザーを削除しようとすると、エラーが発生します。現在、このリソースはアカウントの削除をサポートしていません (ID-9000)。
「保存」または「キャンセル」ボタンをクリックせずに「新しいリソースオブジェクト」ウィザードを終了した場合、作成を中止したフォームが破棄されず、後続の新規リソースオブジェクトの作成に干渉する場合があります (ID-11033)。この結果、次のようなエラーが発生します。

No resource form id found in options or view.

回避方法: 「新しいリソースオブジェクト」ウィザードを途中で終了するには常に「キャンセル」ボタンを使用します。

一時表スペースが割り当て設定を受け取らず、Oracle 10gR2 から試行した場合に SQL 例外が発生します (ID-12843)。

これまでは、oracleTempTSQuota 属性がマップされなかった場合でも、リソースアダプタは一時表スペースに対して割り当てを設定していました。この動作は変更になりました。oracleTempTSQuota 属性をマップする場合、従来の動作がそのまま維持されますが、マッピングを削除すると、一時表スペースに対して割り当てが設定されなくなります。

回避方法: Oracle 10gR2 インストールでは、oracleTempTSQuota 属性をリソースアダプタから削除します。

Remedy Integration テンプレートエディタに関連する既知の問題が 2 つあります (ID-14729)。
デフォルトの Remedy スキーマ値「HPD:HelpDesk」は、BMC Remedy の新しいバージョンには適切でありません。新しいバージョンに含まれるスキーマは「HPE:Help Desk」です。
一部のフィールドに対しては「選択」列が表示されません。これは Remedy テンプレートの機能には影響しません。
Identity Manager によって作成され、Access フィールドおよび AccountID フィールドを所有する NDS/Groupwise ユーザーについて、NDS Console 1 アプリケーションの内部で (たとえば、ユーザーのプロパティーを選択してから「Groupwise」タブを選択して) 特定のビューアによってこれらのユーザーを参照したときに、これらのユーザーに対応する保存済みの値が存在しないかのように見える場合があります。

ただし、代わりにユーザーの「Groupwise Diagnostic」>「Display Object」ビューアを使用した場合、それらのフィールドは表示されます。Identity Manager によるこれらのフィールドへの更新には、このビューア関連のバグによる影響はないと考えられます (ID-16330)。

PeopleSoft Active Sync アダプタを設定するために使用される IS_DELETE 規則が、既知の規則のプルダウンメニューに表示されません (ID-16398)。

回避方法: $WSHOME/sample/rules/PeopleSoftRules.xml ファイルを編集し、次のテキストに変更します。その後、「設定」>「交換ファイルのインポート」を使用してファイルを再インポートします。

<?xml version='1.0' encoding='UTF-8'?>
<!DOCTYPE Waveset PUBLIC 'waveset.dtd' 'waveset.dtd'>
<Waveset>
   <Rule name='IS_DELETE'>
      <Description>Should the active sync event delete the user?</Description>
         <or>
            <eq><ref>activeSync.Status</ref><s>T</s></eq>
            <eq><ref>activeSync.Status</ref><s>L</s></eq>
         </or>
   </Rule>
</Waveset>

Oracle ERP アダプタで、単一ユーザーのロード中に責任の以前の値が消去されます。ユーザーの現在の責任の description、start_date、および end_date が、getUser() に適したフォームにフォーマットされません。これが原因で、責任データが破損する可能性があります (ID-16414)。

回避方法: サンプルのユーザーフォーム OracleERPUserForm.xml 内の includeResponsibilities フィールドを編集して、デフォルト値を含めます。その後、「設定」>「交換ファイルのインポート」を使用してファイルを再インポートします。

<Field name='includeResponsibilities'>
   <Display class='Checkbox' action='true'>
      <Property name='title' value='Add Direct Responsibilities'/>
   </Display>
   <Default>
      <cond>
         <gt>
            <length>
               <ref>global.responsibilities</ref>
            </length>
            <i>0</i>
         </gt>
         <s>true</s>
      </cond>
   </Default>
   <Disable>
      <not>
         <ref>global.showOracleERPFields</ref>
      </not>
   </Disable>
</Field>

- または -

属性ページで「ロード」ボタンを選択して、ユーザーをもう一度ロードします。

リソースオブジェクトの管理

「リソースのリスト」ページでは、Windows Active Directory オブジェクト (グループ、組織単位、またはコンテナ) の名前を変更できません (ID-3329)。
複数の CN 値を持つユーザーが存在する場合、新しい LDAP グループを作成できません (ID-3848)。

回避方法: LDAP グループ作成フォームで設定される CN の代わりに DN を使用してグループのメンバーを管理します。

リソースグループ

「リソースグループの作成」または「リソースグループの編集」ページで Return キーを使用すると、ページに加えた変更がクリアされます (ID-3430)。
リソースグループレポートを CSV ファイルとして保存できません (ID-8001)。

セキュリティー

サーバー

Identity Manager 4.x を使用している場合、ホスティングサーバーであいまいなタイムゾーンを使用していないことを確認する必要があります。たとえば、EST はオーストラリアまたは米国で使用されているため、あいまいなタイムゾーンとなります。GMT+10 や GMT-6 など、タイムゾーンが一意に識別できる値を使用してください (ID-8297)。
com.waveset.rpm.SimpleRpcHandler クラスは 7.1 の時点で非推奨になっています (ID-14756)。
配備記述子に次のサーブレット定義を追加します。

<servlet>
   <servlet-name>rpcrouter3</servlet-name>
   <display-name>OpenSPML SOAP Router</display-name>
   <description>no description</description>
   <servlet-class>
      org.openspml.server.SOAPRouter
   </servlet-class>

   <init-param>
      <param-name>handlers</param-name>
      <param-value>com.waveset.rpc.PasswordSyncHandler</param-value>
   </init-param>

   <init-param>
      <param-name>spmlHandler</param-name>
      <param-value>com.waveset.rpc.SpmlHandler</param-value>
   </init-param>

   <init-param>
      <param-name>rpcHandler</param-name>
      <param-value>com.waveset.rpc.RemoteSessionHandler</param-value>
   </init-param>
</servlet>

配備記述子に次のサーブレットマッピングを追加します。

<servlet-mapping>
   <servlet-name>rpcrouter3</servlet-name>
   <url-pattern>/servlet/rpcrouter3</url-pattern>
</servlet-mapping>

RemoteSession とともに createView を使用するには、rpcrouter3 サーブレットを使用する必要があります。rpcrouter3 サーブレットにアクセスするには、RemoteSession(URL, String, EncryptedData) コンストラクタを使用する必要があります。

Microsoft SQL Server 2000 のロック特性が原因で、Sun Identity Manager における特定の高負荷状況下でデッドロックエラーが発生する可能性があります (ID-16068)。

回避方法: Microsoft SQL Server 2000 から Microsoft SQL Server 2005 にアップグレードします。

Microsoft SQL Server 2005 は「スナップショット隔離」と呼ばれる新機能を備えており、Identity Manager と組み合わせた高負荷下での運用がテストされており、SQL Server 2000 と同じデッドロックの問題が発生することはありません。

また、一部の環境では、次のようにして、READ_COMMITTED_SNAPSHOT を使用するようにデータベースを変更することの有効性が確認されています。

ALTER DATABASE dbname SET READ_COMMITTED_SNAPSHOT ON

</quote>

Sun Application Server に Identity Manager を配備して --precompile オプションを渡す場合、JSP のプリコンパイルは失敗します。これは、Identity Manager が JSP フラグメントを使用する一方で、フラグメントに .jspf という名前を付けないことが原因です (ID-16373)。

回避方法: これらのファイルの名前を変更し、拡張子を .jspf にします。

現在、Sun Application Server 8.2 および 9.0 では、.jsp フラグメントが原因のプリコンパイルエラーを無視するオプションを提供しています。詳細は次の URL を参照してください。

http://bugs.sun.com/bugdatabase/view_bug.do?bug_id=6393940

Sun Identity Manager Gateway

「NT サービス」画面で「終了」ボタンをクリックしても、Sun Identity Manager Gateway は停止しないことがあります (ID-590) 。

回避方法: サービス停止リクエスト (ハング状態が継続している場合) をキャンセルしてからサービスを停止し直すか、NT サービスダイアログを終了してから再表示し、終了処理を再実行します。

ゲートウェイがリモート信頼ドメインにある場合、NT ドメインにはグループを追加できません (ID-711)。
「net stop "Sun Identity Manager Gateway"」を実行しても、ゲートウェイが停止しないことがあります (ID-2337)。

タスク

Identity Manager 管理者特権を持つ管理者は、タスクリストにリスク分析タスクが含まれる場合、タスクの管理ページを表示できません (ID-1225)。
組織「Top」を管理していない管理者は、検索またはリソーススキャナのスケジュールされたタスクを作成できません (ID-1414)。
「タスクの検索」ページには、検索条件と一致するタスクの数が表示されません (ID-5152)。
組織「Top」を管理していない委任された管理者は、タスクをスケジュールし、タスク結果を表示することができますが、作成後にタスクを表示することはできません (ID-6659)。スケジュールされたタスクはトップに配置され、委任された管理者には、そのオブジェクトを表示する特権がありません。
「Deferred Tasks」という名前のフィールドがライブラリに追加されました。このフィールドによって、ユーザーは延期タスクをリスト表示できるようになります。このフィールドを実装するには、次の行を Tabbed User Form および Tabbed View User Form に追加する必要があります (ID-7660)。

<FieldRef name='Deferred Tasks'/>

ワークフロー、フォーム、規則、XPRESS

XPRESS の <eq> 関数を使用して、文字列 TRUE または FALSE、あるいは整数値 1 または 2 とブール値を比較することはできません (ID-3904)。

回避方法: 次の定義を使用します。

<cond>
   <isTrue><ref>Boolean_variable</ref></isTrue>
   <s>True action</s>
   <s>False action</s>
</cond>

dolist によって汎用オブジェクトのリストを反復させる場合、パス表現は機能しません (ID-4920)。

<dolist name='genericObj'>
   <ref>listOfGenericObjects</ref>
   <ref>genericObj.name</ref>
</dolist>

回避方法: 次のように <get> / <set> を使用します。

<dolist name='genericObj'>
   <ref>listOfGenericObjects</ref>
   <get><ref>genericObject</ref><s>name</s>
</dolist>

ユーザーフォームのフィールドでグローバル属性名値を使用し、その属性が複数のリソースで共有される場合、導出 (Derivation) 規則も定義する必要があります (ID-5074)。定義しない場合、いずれかのリソースで属性をネイティブに変更すると、属性の変更がほかのリソースに伝播されたり、されなかったりします。
フォームの HTML コンポーネントでは、& から始まる特殊文字列は使用できません。たとえば、&nbsp; は空白文字を表さなくなりました。この問題は、選択リストでの特殊文字 (&¥<>') のサポートの変更によって生じました (ID-5548)。
<Comment> タグに指定されたフォーム、ワークフロー、規則のコメントには、改行文字を表す文字列として &#xA; が含まれます (ID-6243)。これらの文字は、これらのオブジェクトの XML を表示した場合にだけ表示され、Identity Manager サーバーとビジネスプロセスエディタは、これらの文字を正しく処理します。
削除テンプレートを定義した状態で、一括削除操作で、テンプレートの定義に反する操作をしようとした場合に、エラーメッセージなどが表示されずに、単にその操作が無視されます (ID-10320)。
「Resource Table User Form」を使用してユーザーの編集を行うと、ユーザーのリソースの編集時、フォームが最初に表示されるときにリソースの属性が取得されません。

回避方法: 「更新」ボタンをクリックします。これにより、属性データが取得されます (ID-10551)。

---

Service Provider Edition

この節では、Identity Manager SPE に関する既知の問題点とその回避方法について説明します。

Identity Manager SPE と Sun Java System Portal Server に互換性がない場合があります。暗号化されたライブラリに関連する問題があります (ID-10744)。

この問題は、Portal Server の /etc/opt/SUNWam/config/AMConfig.properties ファイルに次の値を設定して Web コンテナを再起動すると修正できます。

com.iplanet.security.encryptor=com.iplanet.services.util.JCEEncryption
com.iplanet.security.SSLSocketFactoryImpl=netscape.ldap.factory.
   JSSESocketFactory
com.iplanet.security.SecureRandomFactoryImpl=com.iplanet.am.util.
   SecureRandomFactoryImpl

SPE ダッシュボードの操作時: グラフを最初に読み込むときに何分もかかってしまう場合は、ブラウザが Microsoft Java Virtual Machine (MSJVM) を使用するように設定されていないことを確認してください。Identity Manager SPE は、MSJVM を使用したブラウザのアプレットの実行をサポートしていません (ID-10837)。
Identity Manager 管理者インタフェースに表示される設定オプションの一部は、Identity Manager SPE では使用されません (ID-10843)。該当するものには次のようなオプションがあります。
リソースオプション: アカウント除外規則、承認者、およびリソースが割り当てられている組織。
ロール属性
デフォルトでは、IDMXContext API が呼び出す checkinObject および deleteObject を使用すると監査は実行されません。監査を実行するには、これらのメソッドに渡されるオプションマップで IDMXContext.OP_AUDIT キーを true に設定することで、明示的にリクエストする必要があります。ApiUsage クラスの createAndLinkUser() メソッドに、監査のリクエスト方法が示されています (ID-11261)。
ダッシュボードのグラフ名変更が正しく機能しません。グラフの編集時には新しい名前が表示されますが、そのグラフはほかのページでは新しい名前で参照されません (ID-11690)。
デフォルトの Service Provider ログインモジュールグループは、Service Provider リソースに「SPE End-User Directory」という名前が付けられることを想定しています。リソースの名前が異なると、Service Provider エンドユーザーログインページが正しく機能しません。ページにログイン関連のフィールドが表示されません (ID-14891)。

回避方法: 正しいリソース名を参照するように UI_LOGIN_MOD_GRP_DEFAULT_SPE_PWD LoginModGroup オブジェクトのリソース名を更新します。

SPE Sync タスクはスケジュールされたタスクであるため、「タスク」ページからこのタスクを停止しても同期は停止しません。停止するには、スケジュール自体を無効にします (ID-16000) 。

回避方法: 開始および停止は、「リソース」ページ上の製品インタフェースを使用して行うか、または SPE Sync を開始および停止する SessionUtil メソッドを使用してプログラムで (たとえば、ワークフローから) 行うのが望ましい方法です。Identity Manager サーバーインスタンスが起動するたびに SPE Sync が自動的に開始しないようにするには、リソースの同期ポリシーから SPE Sync を無効にします。UI または SessionUtil メソッドを使用して SPE Sync を停止しても、同期が停止するのは別の Identity Manager サーバーインスタンスが起動されるまでの間だけです。

WebSphere で Identity Manager SPE のエンドユーザーログインページを使用すると、javax.servlet.UnavailableException が発生し、ブラウザに 404 エラーが表示されます (ID-16001)。

回避方法: IBM 1.5 JDK で次のプロパティーを設定する必要があります。

was-install/java/jre/lib ディレクトリ内の jaxb.properties.sample の名前を jax.properties に変更し、次の 2 行をコメント解除します。

javax.xml.parsers.SAXParserFactory=
        org.apache.xerces.jaxp.SAXParserFactoryImpl
javax.xml.parsers.DocumentBuilderFactory=
        org.apache.xerces.jaxp.DocumentBuilderFactoryImpl

ファイルを保存してアプリケーションサーバーを再起動します。