Identity Manager 7.1 Update 1 の機能

『Identity Manager 7.1 Update 1 リリースノート』のこの節では、次の事項についての情報を提供します。

このリリースの新機能

ここでは、Identity Manager 7.1 で提供される新機能についての追加情報を示します。情報の構成は次のとおりです。

管理者インタフェースとユーザーインタフェース

監査

Identity Manager 統合開発環境 (IDE)

パスワード同期

リソース

セキュリティー

管理者インタフェースとユーザーインタフェース

Identity Manager のユーザー拡張属性が、複数値属性を完全にサポートするようになりました (ID-14863)。



注	複数値拡張属性を参照する属性条件は、ユーザーオブジェクトが再直列化された場合にのみ、そのユーザーオブジェクトを正しく評価します。そのような属性条件ですべてのユーザーオブジェクトが正しく評価されるようにするには、すべてのユーザーオブジェクトを再直列化する必要があります。ユーザーの再直列化の手順については、「アップグレードの問題点」で説明されています。

「メインメニューに戻る」ボタンが「リクエストの起動」フォームに追加され、Identity Manager ホームページに戻れるようになりました (ID-15957)。

アップグレードの際に、以前のバージョンの「リクエストの起動」フォーム (EndUserRequestMenu) は保持されるので、sample/enduser.xml 内のデフォルト UserForm オブジェクトを参照して、このボタンをエンドユーザーインタフェースに手動で追加する必要があります。

Identity Manager は Microsoft Internet Explorer 7 ブラウザをサポートします (ID-16708)。

Identity Manager を以前のバージョンからバージョン 7.1 Update 1 にアップグレードすると、「Identity Manager へのログイン」ページの「ユーザー ID をお忘れですか ?」機能がデフォルトで無効になります (ID-16715)。

この機能を有効にしてユーザーが忘れたユーザー ID を取得できるようにするためには、システム設定オブジェクトの次の属性を変更する必要があります。

ui.web.user.disableForgotUserId = false

ui.web.admin.disableForgotUserId = false

呼び出しタイマーおよびトレース機能が関連付けられるようになり、トレースが有効になっている場合にのみ「呼び出しタイミング」統計を収集できます。この変更により、Identity Manager の「デバッグ」ページに影響があります。詳細は、「ドキュメントの追加事項と修正事項」の「Identity Manager Tuning, Troubleshooting, and Error Messages」を参照してください (ID-17106)。

監査

ロール作成の監査レコードは監査レポートの「アカウント属性の変更」セクションに割り当てられたリソース、サブロール、スーパーロール、およびロール属性などのロールについての追加情報を提供するようになりました (ID-16327)。

Identity Manager 統合開発環境 (IDE)

新しい Identity Manager プロファイラを使用して、フォーム、Java、規則、ワークフロー、および XPRESS のパフォーマンス上の問題をトラブルシューティングできるようになりました (ID-14311)。

この新しいツールの詳細については、「Identity Manager Tuning, Troubleshooting, and Error Messages」を参照してください。

Netbeans 組み込みアプリケーションサーバーは、ユーザーが次のプロジェクト操作のいずれかを実行するたびに自動的にシャットダウンするようになりました (ID-16738)。

プロジェクトのクリーンアップ

差分ディストリビューションの作成

Jar の作成

プロジェクトのデバッグ

組み込みリポジトリの管理

プロジェクトをプロファイル

プロジェクトの実行

Identity Manager IDE の組み込みリポジトリ管理機能で、リポジトリの設定として「Initialize Repository」または「Automatically Publish Identity Manager Objects」が選択されている場合に、デフォルトの init.xml だけでなくユーザーのカスタマイズもインポートできるようになりました (ID-16749)。

Identity Manager に付属の CBE (設定ビルド環境) に次の変更が加えられました (ID-16812)。

パフォーマンス拡張機能には次のものが含まれます。

増分 XML 検証 (Identity Manager は最後のビルド以降に変更されたファイルのみを検証する)

増分パターン置換およびコピー (Identity Manager は最後のビルド以降に変更されたファイルにのみパターン置換およびコピー処理を行う)。

「プロジェクトを構築」アクションで、WAR ファイルを作成しなくなりました。WAR をビルドする独立した「Create IDM War」アクションができました。

build.xml 内のターゲット名が簡略化され、プロジェクトアクションと一貫性のある名前になりました。詳細については、提供される README.txt の「Core CBE (Configuration Build Environment)」の節の「Ant Targets」を参照してください。

build-netbeans.xml を右クリックすることにより、ant ターゲットを安全に実行できるようになりました。

JSP 検証がクリーンアップされ、README.txt の「Setup JSP Validation」の節に、JSP 検証を有効化するための最良の方法が説明されています。

ドキュメントの改善には、README.txt の CBE の概要の改善、および build.xml と build-netbeans.xml 内のインラインコメント追加などが含まれます。

build.xml 内の 1 つの CLASSPATH 変数が、ビルドおよび JSP エディタと Java エディタの自動補完機能で使用される CLASSPATH を制御するようになりました。詳細については、README.txt の「How to Add a New JAR Dependency」という新しい節を参照してください。

build-config.properties ファイルで、install.includes が install.pattern.substitution.excludes と install.excludes に置き換えられました。

ant プロパティー名が変更され、「-」の代わりに標準の「.」ant 規約を使用するようになりました。また、lighthouse* プロパティー名が idm* に変更されました。

XML 検証がパターン置換の適用前後の両方で実行されるようになりました。

Identity Manager 7.1 Update 1 の場合、Identity Manager プロジェクトの次のファイルを変更する必要がありました。

build.xml nbproject/project.xml

build-netbeans.xml

custom-init.incremental.xml

build-config.properties

custom-init-common.xml

custom-init-full.xml

これらのファイルのいずれかを修正している場合は、変更内容を手動でマージする必要があります。詳細については、「バージョン 7.1 プロジェクトのバージョン 7.1 Update 1 へのアップグレード」を参照してください。



注	build.xml、build-netbeans.xml、および nbproject/project.xml の各ファイルはリリースごとに変更される可能性があるため、これらのファイルを変更することはできるだけ避けてください。

パスワード同期

PasswordSync は新しく作成されたサーブレットを使用して、64 ビット Windows のサポートを提供します。このサーブレットは web.xml ファイルに組み込まれており、次のように設定されています (ID-15660)。

<servlet-name>PasswordSync</servlet-name>

<servlet-class>com.waveset.rpc.PasswordSyncServlet</servlet-class>

<init-param>

<param-name>parameter</param-name>

<param-value>value</param-value>

</init-param>

<load-on-startup>1</load-on-startup>

</servlet>

<servlet-mapping>

<servlet-name>PasswordSync</servlet-name>

<url-pattern>/servlet/PasswordSync</url-pattern>

</servlet-mapping>

リソース

新しいリソースバージョン

このリリースでは、次の新しいリソースバージョンが追加されています。

Identity Manager NDSResourceAdapter が eDirectory 8.8 を搭載した NetWare 6.5 をサポートするようになりました (ID-10612)。

Identity Manager MySAP アダプタが、SAP 上で MySAP ERP 2005 (ECC 6.0) Kernel バージョン 7.00 をサポートするようになりました (ID-15205)。

Identity Manager が Sun Access Manager 7.1 をサポートするようになりました (ID-16365)。

Identity Manager が SAP GRC Access Enforcer 5.2 をサポートするようになりました (ID-16642)。

リソースアダプタの更新

MySQL リソースアダプタがアカウント繰り返し処理をサポートするようになりました。アダプタは重複するユーザー名を破棄し、null ユーザー名をスキップします (ID-6204)。

データセット規則を、Identity Manager が管理するのではなく、ユーザーが RACF アダプタを使用して、直接制御できるようになりました。この機能により、Identity Manager のネイティブである規則とは異なるデータセット規則を作成できます (ID-10446)。

次の例の after create 規則は、Identity Manager デフォルトの user id.** ではなく user id.test1.** のデータセット規則を作成します。

<?xml version='1.0' encoding='UTF-8'?>
<!DOCTYPE ResourceAction PUBLIC 'waveset.dtd' 'waveset.dtd'>
<ResourceAction name='create after action'>
   <ResTypeAction restype='RACF'>
      <act>
         var TSO_PROMPT = " READY";
         var TSO_MORE = " ***";
         var cmd1 = "addsd '"+identity+".test1.**' owner('"+identity+"')[enter]";
         var result1 = hostAccess.doCmd(cmd1, TSO_PROMPT, TSO_MORE);
      </act>
   </ResTypeAction>
</ResourceAction>

新しい「use Datasets」フラグは、Identity Manager 自体がデータセット規則を管理するか ("use Datasets" = true) または制御を厳密に before および after アクションに委ねるかどうかを制御します。

Service Provider マスターリポジトリに使用されるリソースが、アイデンティティーテンプレートに複数の変数を指定できるようになりました (ID-14290)。

Database Table アダプタを設定して、過去に Active Sync 処理中に失敗した行をスキップできるようになりました。これにより、次回のポーリングで失敗した行を繰り返し処理しません (ID-15147)。

RACF LDAP リソースアダプタがパススルー認証をサポートするようになりました (ID-15251)。

Access Enforcer リソースアダプタがパスワード変更機能をサポートするようになりました (ID-15403)。

新しいリソース属性 (Use IDM Password on Create) が追加され、create 操作のための動作の設定ができるようになりました。Access Enforcer は create 操作のパスワードを生成し、生成されたパスワードを含む電子メールを新しく作成されたユーザーに送信します。この電子メールが送信されないようにすることはできませんが、Access Enforcer で自動生成されるパスワードの代わりに、Identity Manager 上で設定し、アダプタに送信されたパスワードをユーザーのパスワードとして設定したい場合は、この属性を true に設定します。これにより、Identity Manager はパスワードを希望する値に設定します。

また、次の属性は SAP リソースアダプタから利用できます。

Use SAP Temporary Passwords

Return SAP Temporary Passwords on Failure

SAP アダプタが名前変更機能をサポートするようになりました。詳細は、「ドキュメントの追加事項と修正事項」の「アカウントの名前の変更」を参照してください (ID-15582)。

rethrowAllSQLExceptions パラメータが Database Table アダプタに追加されました (ID-16419)。

このオプションを選択すると、エラーコード 0 の例外という結果が出ます。

このオプションを選択しない場合は、エラーコード 0 のSQLExceptions を出す SQL ステートメントでその例外がキャッチおよび抑制されます。

Oracle ERP アダプタに、臨時雇用者をサポートする npw_number アカウント属性が追加されました。npw_number アカウント属性は、employee_number と同じように機能しますが、employee_number 属性と npw_number 属性は相互に排他的です。作成時に両方を入力した場合は、employee_number が優先されます (ID-16507)。

Remedy サーバーへのアクセスのサポートが変更されました。Sun Identity Manager Gateway がバージョン 4.5 の Remedy API ライブラリに依存しなくなりました。そのため、Remedy ライブラリを Gateway ディレクトリに置く必要があります (Remedy ライブラリは Remedy サーバー上に配置されている)。詳細は、「ドキュメントの追加事項と修正事項」の「Remedy」を参照してください (ID-16551)。

リソース認証プロパティーで Active Directory リソースのドメインの指定が可能になりました。これにより、1 つのログインモジュールが 1 つのみのドメインに対して認証を行うように制限することが可能になります。複数ドメインの AD 環境では、これによりログインの試行失敗のためにアカウントがロックアウトされるのを防ぎます (ID-16603)。この機能を実装するには、<AuthnProperties> 要素内のリソース XML に次の認証プロパティーを追加します。

Identity Manager で、Attachmate アダプタを使用してSun Java System Identity Manager 製品がメインフレームリソースに接続できるようになりました (ID-16631)。

checkIfUserExists メソッドが JCO.Client 引数を取るようになりました。新規接続を作成するか、または既存の接続を使用するかというオプションが与えられます。このメソッドが接続で実行される最初のメソッドではない場合には、新規接続が必要です。下位互換性のために、既存の接続の使用は引き続き提供されます。現行バージョンでは、名前変更操作だけがこの新しい機能を使用します (ID-16902)。

セキュリティー

Identity Manager は、「End User」という名前の新しい組み込みのオブジェクトグループ/組織を提供するようになりました。「End User」は初期状態ではメンバーオブジェクトを持ちません。「End User」オブジェクトグループ/組織により、ユーザーはタスク、規則、ロール、およびリソースなど複数の種類のオブジェクトを表示できます。このオブジェクトグループ/組織は暗黙にすべてのユーザーに割り当てられています。詳細は、「ドキュメントの追加事項と修正事項」の「第 5 章:「管理」」を参照してください (ID-14630)。

管理者ロールを定義するときに、「管理する組織内にあるすべての子組織とそれに含まれるオブジェクトを除外する」チェックボックスを選択して、すべての管理する子組織とそれに含まれるオブジェクトをユーザーの制御スコープから除外できるようになりました。管理者ロールが割り当てられたユーザーに、すべての子組織とその内容に対する関連機能を付与するには、このチェックボックスを解除します (ID-16859)。

テキスト表示コンポーネントが、display プロパティーの autocomplete 属性が off に設定されている入力フィールドに対して autocomplete="off" を描画できるようになりました。autocomplete="off" を指定することにより、ユーザーの資格をコンピュータに保存することをブラウザが提案するのを防ぎます (ID-17045)。

XPRESS で表示プロパティーを追加することにより、このカスタマイズを行えます。off 以外の値を使用すると、autocomplete 属性は描画されません (プロパティーを設定していないのと同じ)。

Identity Manager login.jsp、continueLogin.jsp、user/login.jsp、および user/continueLogin.jsp ログインページに対してこの機能を有効にするには、ui.web.disableAutocomplete システム設定オブジェクトを true に変更します。

その他の Identity Manager ログインフォームは XPRESS から生成されるため、新しい表示プロパティーを使用するには、sampleディレクトリにある次のフォームを変更する必要があります。

Anonymous User Login

Question Login Form

End User Anonymous Enrollment Validation Form

End User Anonymous Enrollment Completion Form

Lookup Userid

display プロパティーはこれらのフォームに追加されていますが、デフォルトではコメントアウトされています。



注	次の URL にあるサポート記事に情報があります。 http://support.microsoft.com/default.aspx?scid=kb;en-us;329156 JavaScript を使用してフォームを送信した場合、Internet Explorer では AutoComplete が機能しません。

このリリースで解決されたバグ

ここでは、Identity Manager 7.1 Update 1 で解決されたバグについて説明します。情報の構成は次のとおりです。

管理者インタフェースとユーザーインタフェース

編集するユーザーを指定する前に「ユーザーアカウントの検索結果」ページで「編集」をクリックしても、「404 File Not Found」エラーが出なくなりました。ユーザーを選択する必要があることを示すエラーメッセージが表示されるようになりました (ID-10944)。

「ダッシュボードの表示」ページに、ローカライズされたテキストで「ダッシュボードの概要」列が表示されるようになりました (ID-11544)。

「アカウントリスト」または「ユーザーの検索」結果から複数のユーザーまたは組織に対してアクションを実行したときに表示される確認フォームが、フルローカライズ可能になりました (ID-12248)。

「レポートの実行」ページの「概要」列が、正しくローカライズされたテキストで表示されるようになりました (ID-12393)。

「リソース」タブの「リソースグループのリスト」ビューでは、「リソースグループ」リストがソートされる代わりに保存された順に表示されるようになりました (ID-14117)。

古い role と現行の roles 属性の同期機構で、ロールが削除されたときに古い role 属性を削除できるようになりました (ID-14568)。

「ユーザーの編集」機能を使用してユーザーからリソースアカウントの割り当てを解除すると、どの場合でもアカウントインデックスのアカウントの「SITUATION」が正しく更新されるようになりました (ID-15310)。

ユーザーのロール割り当てを変更後、フォームの「更新」ボタン (ブラウザページの「更新」ではない) をクリックしても、すでに承認されているロールの場合は承認が生成されなくなりました (ID-15500)。

セレクタ表示コンポーネントによって使用される JavaScript 関数が、Internet Explorer でエラーを出さなくなりました (ID-15540)。

「ダッシュボードの編集」ページで、ダッシュボードグラフ名が一貫してローカライズされるようになりました (ID-16008)。

Identity Manager が名前を付けて保存アクション中にサブロールとスーパーロールを正しく更新するようになりました (ID-16010)。

「ユーザーの組織」検索オプションを他の検索オプションと組み合わせても、空のユーザー検索結果にならなくなりました (ID-16076)。

一括アクションでリソースアカウント作成を処理している場合、展開および派生時にセッションが正しく設定されるようになりました (ID-16181)。

委任先のユーザーが削除されると、委任されることになっていた承認などのすべての作業項目は、既存の委任者パスにおいて次に上位となる担当者に割り当てられます。また、Identity Manager はシステムログにこのイベントを記録します (ID-16417)。

ユーザーの作成または編集時に、管理者は管理者の制御スコープ外のマネージャーを割り当てることができるようになりました (ID-16452)。

Identity Manager のユーザーアカウントツリーテーブルで、ユーザーが拡張した属性も正しくソートされるようになりました (ID-16488)。

組織のキャッシュに関連するパフォーマンスが改善されました。ユーザー作成や編集など、組織データにアクセスするプロセスの平行性が目に見えて改善されました (ID-16543)。

今後の作業項目をユーザーに委任する場合、委任可能なユーザーのリストは、委任が定義されている (ユーザーまたは管理者が代わって定義したかに関わらず) ユーザーのスコープ内のユーザーで構成されます (ID-16561)。

現在または以前の作業項目 (workItem) 委任を編集および保存できるようになりました (ID-16564)。

ユーザーの今後の作業項目を委任する際に、ユーザーが Identity Manager マネージャーを持たないか、ユーザーが他のどのユーザーまたは DelegateWorkItemsRules にもアクセスできない場合、そのユーザーは新規委任の作成、既存の委任の編集、または以前の委任の編集を行うことができません (ID-16566)。

ManualActions を含む TaskDefinitions が、エンドユーザーインタフェースから正しく実行されるようになりました (ID-16694)。

Dynamic Tabbed User Form を使用して、複数のリソースアカウントを割り当てることができるようになりました (ID-16711)。

サーバータスクが開始時刻でソートされるようになりました (ID-16783)。

検索アクション中、同じユーザーを同じ組織に複数回返すことができなくなるように、RuleDrivenMembersCache が ObjectGroupRefs の一意リストを返すようになりました (ID-16795)。

「ステータス」列にデータが入力されていない場合は、「結果」ページに「ステータス」列が表示されなくなりました (ID-16889)。

Mac OS X の Safari などの WebKit ベースのブラウザでフィールドレベルのヘルプ (iHelp) ウィンドウを開くとき、空の (空白の) ウィンドウが表示されなくなりました (ID-16927)。

ユーザーがエンドユーザーインタフェース経由で自分のパスワードを変更しようとした場合に、null ポインタ例外が発生しなくなりました (ID-16942)。

管理者インタフェースから continueLogin.jsp を使用しても、JavaScript エラーが出なくなりました (ID-16989)。

正しいアクセス権を持たない管理者は、デバッグページからオブジェクトを削除できなくなりました (ID-16991)。

continueLogin.jsp ページに「ユーザー ID をお忘れですか ?」ボタンが含まれるようになりました (ID-16992)。

フォーム上の DatePicker フィールドタイプ値を消去できるようになりました。このフィールドを消去するには、複数フィールドプロパティー (日、月、年) の 3 つの部分すべてが空である必要があります (ID-17022)。

クロスサイトスクリプティング脆弱性が特定され、次に示すページで修正されました (ID-17241)。

task/taskLaunch.jsp

user/processLaunch.jsp

user/requestLaunch.jsp

監査

定期的アクセスレビューを起動してからアクセスレビューページに移動する場合に、手動でページを更新しなくてもスキャン結果が一覧表示されるようになりました (D-14169、16570)。

Identity Manager のコンプライアンス機能は、そのままで使用できるタスク、ポリシー、および規則を提供します (ID-16127、16571)。

Identity Manager は、最初にこれらのオブジェクトを Top または All のうち適切なほうのオブジェクトグループに作成します。Top オブジェクトグループを制御しない管理者による委任管理を使用する配備では、必要に応じて、一部またはすべての Auditor オブジェクトをほかのオブジェクトグループに追加できます。Identity Manager には、Auditor オブジェクトのオブジェクトグループを一覧表示、追加、または削除するためのスクリプトが用意されています。Auditor オブジェクトの完全なリストは、$WSHOME/sample/scripts/AuditorObjects.txt を参照してください。



注	次の各スクリプトでは、idm-url に期待される形式は [http://]hostname:port[/idm/servlet/rpcrouter2] で、少なくとも hostname:port が必須です。Identity Manager サーバーは、デフォルト URL パスにバインドされている場合は省略可能です。

オブジェクトを一覧表示するには、次のようにします。

cd $WSHOME/sample/scripts
beanshell.sh objectGroupUpdate.bsh -u Configurator -p Configurator's password -h idm-url -action list -data AuditorObjects.txt

「All」オブジェクトグループをすべてのオブジェクトに追加するには、次のようにします。

cd $WSHOME/sample/scripts
beanshell.sh objectGroupUpdate.bsh -u Configurator -p Configurator's password -h idm-url -action add -data AuditorObjects.txt -groups

「All」オブジェクトグループをすべてのオブジェクトから削除するには、次のようにします。

cd $WSHOME/sample/scripts beanshell.sh objectGroupUpdate.bsh -u Configurator -p Configurator's password -h idm-url -action remove -data AuditorObjects.txt -groups All



注	オブジェクトグループ Top および All にはわかりやすい名前が付いていますが、その他のほとんどすべてのオブジェクトグループについては、このユーティリティーではオブジェクトグループ ID を使用する必要があります。

ユーザー編集ページのすべてのサブタブで、継続的なコンプライアンスが実施されるようになりました (ID-16934)。

ユーザーインタフェースで委任を終了してから監査ログレポートを実行したときに、変更内容が監査レポートに取得されるようになりました (ID-17103)。

インストールと更新

SQL Server 2005 SP2 上で必須のデータベース構造を作成する方法の例については、サンプルデータベース作成スクリプト (sample/create_waveset_tables.sqlserver) 内で提供されるコメントを参照してください (ID-17021)。

Identity Manager統合開発環境 (IDE)

ツリービューで規則ノードを選択するか、または XML 内の <Form>/<Rule> 要素を右クリックすることによって、規則ライブラリ内の規則をテストできるようになりました (ID-14093、14842)。



注	規則テスターを使用して規則ライブラリを編集またはテストできますが、規則ライブラリのナビゲーションおよびプロパティーサポートは現在実装されていません。

ビューにチェックインするとき、または閉じるときに、ロックされたオブジェクトをロック解除できるようになりました (ID-14797、16573)。

ビューにチェックインすると、ビューは読み取り専用になります。「Repository」>「Checkout View」を右クリックし、ポップアップメニューから「Unlock View」を選択してチェックアウトし、ビューを再び書き込み可能にすることができます。また、ビューウィンドウを閉じると、ビューは暗黙にロック解除されます。

7.0 との互換性のためには、web.xml から com.waveset.rpc.SimpleRpcHandler を削除して、ロック解除の問題を回避する必要があります。完全な機能を備えたプロジェクトを設定する際に、Identity Manager IDE は自動的に web.xml をチェックし、com.waveset.rpc.SimpleRpcHandler を削除するかどうかを確認します。

Identity Manager IDE デバッガの接続ダイアログが修正され、Netbeans 5.5.1 で動作するようになりました (ID-16731)。

パスワード同期

パスワード同期 dll が、「There was a soap client error: -2147467259」メッセージではなく、接続障害の正しいエラーメッセージを表示するようになりました。この変更は、接続障害中に起こりうるハンドルリークも修正します (ID-15451)。

Active Directory でのコンピュータオブジェクト変更により、PasswordSync dll でハンドルリークが発生しなくなりました (ID-16495)。

パスワード同期がインストールされた状態で Directory Service Restore モードで AD ドメインコントローラをブートした場合に、パスワード同期がクラッシュしても、連続したリブートサイクルが発生しなくなりました (ID-16695)。

JMS を使用して Identity Manager に存在しないユーザーの Windows Active Directory ユーザーパスワードを同期する場合、適切なメッセージがトレース内に記録されます (ID-16920)。

調整

Start Reconcile タスクイベントを失っても、調整サーバーが保留中状態に陥ることがなくなりました (ID-14555)。

レポート

使用状況レポートの y 軸のリソース名を選択できるようになりました。またその値はクエリーで使用されます (ID-12035)。

ユーザーの秘密の質問の変更が監査ログに記録されるようになりました (ID-13082)。

Identity Manager は存在しないユーザーを削除したときにエラーをログに記録し、レポート作成のために監査イベントを作成するようになりました (ID-13284)。



注	バージョン 6.0 SP4 以降で、削除イベントは監査ログレポートではなく、システムログに記録されます。

HTML の <b></b> タグが次の PDF レポートから削除されました (ID-15408)。

All Admin Roles

All Administrators

All Roles

Oracle データベースを Identity Manager リポジトリとして使用した場合に、Identity Manager が acctAttrChanges の CLOB データ型をサポートするようになりました (ID-15326)。

デフォルトの VARCHAR(4000) データ型ではなく CLOB を使用する利点は、CLOB では非常により多くの変更セットを記録できることにあります。しかし、同時に CLOB アクセスルーチン独自の性質のために、この列をクエリーすることはより難しくなります。

より大きな変更セットを有効にするには、log.acctAttrChanges 列タイプを VARCHAR(4000) から CLOB に変更し、それに応じて RepositoryConfiguration 設定オブジェクトの maxLogAcctAttrChangesLength 属性を調整する必要があります。

受信した電子メールのメッセージ本文に、不要な HTML タグが含まれなくなりました。電子メールヘッダーは processImage ではなく processMessage によって処理されるようになり、null だけでなく空文字列がないかチェックされます (ID-15745)。

「Password Change Chart」および他の使用状況レポートはフォームを送信する前に、オペランド値が必要になりました (ID-15777)。

レポート編集時に、「実行」ボタンをクリックしてレポートの変更を保存せずにレポートを実行できるようになりました。レポートに加えられた変更を保存するには、「保存」ボタンを使用します (ID-17212)。

リソース

SecurID UNIX アダプタが、リソースユーザー属性名を使用して読み取り/変更のためにスキーマ属性名 (LHS 値) を解決するようになりました (ID-10521)。

SecurID ACE/Server アダプタに RSA 要件が適用されるようになり、「デフォルトログイン」には 1 バイトの英字だけが使用可能となりました (ID-13805)。

UNIX アダプタの「相互排他取得タイムアウト」リソース属性を使用して、特定の操作がスクリプト相互排他を待機する時間 (秒数) を指定できるようになりました (ID-14234)。

Identity Manager 7.1 Update 1 は Remedy バージョン 6.3 および 7.0 をサポートします。ただし、これらのバージョンには、サンプルデータ、デフォルト設定、および出荷時設定など多くの面で、大きな違いがあります。たとえば、「チケット」スキーマの名前はバージョン 6.3 では HPD:HelpDesk ですが、7.0 では HPD:Help Desk に変更されています (ID-14611)。

リソースアカウントの作成または変更時のリソース属性の変更をより正確に反映するように、監査ログが更新されました (ID-15323)。

ログにリソースアカウント属性の 3 つの列が含まれるようになりました。

1 列目 (古い値) には変更前の値が示されます。

2 列目 (試行値) には要求された変更が示されます。

3 列目 (新しい値) には実際に設定された値が示されます。エラーが起きると、要求された値は実際に設定された値と同じではなくなります。

RCAF リソース上の Resource Affinity アカウントの特権がユーザーを一覧表示するには不十分である場合に、Identity Manager が適切なエラーメッセージを出すようになりました (ID-15331)。

RACF アカウントの削除時に、システムは DELDSD .** コマンドを使用してすべてを削除しようとするのではなく、検索マスクを使用してユーザーのデータセットプロファイルをクエリーしてデータセットを列挙し、個別のデータセットを削除するようになりました (ID-15413)。

すべての Oracle ERP 責任が、デフォルトの Oracle ERP ユーザーフォームの「Responsibilities」ドロップダウンリストに一覧表示されるようになりました。このリストには、現在どのユーザーにも割り当てられていない Oracle ERP 責任も含まれます (ID-15492)。

Oracle ERP アダプタは、Oracle ERP に存在しない責任の取得を試みた場合に、java.lang.IndexOutOfBoundsException を返さなくなりました。アダプタは null 値を返すようになりました (ID-15493)。

FlatFileActiveSync processLine は、AllowedErrorCount 計算での使用に、通常の処理エラーを返すようになりました (ID-15662)。

前アクションおよび後アクションが HP OpenVMS アダプタ上で正しく動作するようになりました (ID-15920)。

Active Sync を PeopleSoft リソースとともに使用しても、デッドロックが発生しなくなりました (ID-16109)。

SAP アダプタが SAP の ALIAS フィールドの更新をサポートするようになりました。スキーマ設定の属性マッピングは ALIAS->USERALIAS です (ID-16320)。

データベースが停止したりリソース設定が間違っていたりしても、データベーステーブルリソースアダプタで null ポインタ例外にならなくなりました (ID-16358)。

Remedy リソースアダプタにエラーがある場合に、WF_ACTION_ERROR ワークフロー変数が設定されるようになりました (ID-16360)。

SAP アダプタスキーママップの左辺の属性名が次のように変更されました (ID-16399)。


以前の名前	新しい名前
title	titleP
nameSupplement	titleSupplement
communicationTypeCUA	communicationType
personName	addressName
personName2	addressName2
personName3	addressName3
personName4	addressName4
cityPostalCode2	poBoxPostalCode
cityPostalCode3	companyPostalCode
poBoxCityNumber	poBoxCityCode
streetCode	streetNumber

Oracle ERP アダプタで、単一ユーザーのロード中に責任の以前の値が消去されなくなりました。Default 値節がフォームに追加され、責任を正しく初期化できるようになりました (ID-16414、16654)。

DEFAULT-GROUP 行内での書式の相違を許容し、PHRASEDATE を省略可能にすることにより、デフォルトの RACF ListUser AttrParse が RACF バージョン 1.6 および 1.8 をサポートするようになりました (ID-16580)。

SAP アダプタスキーママップ属性名が属性の SAP セマンティクスをより厳密に表すように変更されました (ID-16634)。

期限切れパスワードのためにアカウントがロックされたときに、ゲートウェイが正しい値を返せるようになりました。これにより、Identity Manager でユーザーは自分のパスワードを変更することができます (ID-16681)。

Demand ソフトウェア上で IBM Host を使用するリソースアダプタが、HoD JAR ファイルを正しく読み込めるようになりました (ID-16690)。

AIX リソースアダプタの Completely Remove User 属性を true に設定すると、属性がアダプタの発行する rmuser コマンドに -p 引数を正しく追加するようになりました (ID-16706)。

XmlParser が XML 文字列から DOCTYPE 宣言を正しく取り除くようになりました (ID-16909)。

Attachmate ライブラリを使用してメインフレームにアクセスする場合、Identity Manager は常にデフォルトの TCP ポート (23) を使用するのではなく、リソースに指定されているポートを使用します (ID-17046)。

サンプル AccessEnforcerUserForm が、Access Enforcer ユーザーのロール割り当てに SAP ロールが 1 つだけ含まれる場合を処理するようになりました (ID-17161)。

ロール

ロールからリソース属性を計算する規則は、ユーザーが「エンドユーザー」ページにログインするときに適用されなくなりました (ID-13338)。

「ロール」>「ロールの検索」で表示される承認者リストがソートされました (ID-16392)。

スケジューラ

スケジュールされたタスクが、指定のスケジュール開示時刻に複数のサーバーで処理されなくなりました (ID-16318)。

セキュリティー

TOP を制御しない承認者は、過去に承認された、または拒否された承認を参照できません (ID-15271)。

サーバー

転送された承認にカスタマイズされた emailTemplate を使用できるようになりました。Approval サブプロセスに emailTemplate を ID で指定する必要があります (ID-16468)。

SPE

SPE 同期タスクにおいて、トランザクションの再試行が指定された最大再試行回数に達する前に失敗しないようになりました。ターゲットリソースが停止し、トランザクションの再試行が有効にされているソースリソースに対して delete 操作を実行する場合、delete 操作はトランザクション再試行回数が指定された最大値を超えるまで失敗しません (ID-16120)。

SPE で accountId ではなく SPE ユーザー名前属性を使用して、「パスワードをお忘れですか?」フォ―ムからユーザーにアクセスできるようになりました。accountId がデフォルト属性ですが、SPE 設定内からユーザー検索を設定して他の検索属性名を使用できるようになりました (ID-16918)。

ワークフロー

期限切れ作業項目を編集できなくなりました。Identity Manager は作業項目が無効であることを示すエラーを返します (ID-15439)。

多数のユーザーが同じ電子メールアドレスを使用するように設定しても、通知アクションで OutOfMemory エラーが起きなくなりました (ID-16386)。

解決されたその他の不具合

9940、11690、14489、15073、15906、16382、16395、16500、16536、16560、16586、16596、16610、16656、16680、16770、16870、16930、17044、17055

既知の問題点

『Identity Manager 7.1 Update 1 リリースノート』のこの節では、既知の問題とその回避方法の一覧を示します。

Active Sync を別の管理者として実行しているときに、ユーザーを編集すると、Active Sync 例外が発生します。別の管理者によってユーザーがロックされて、Active Sync が処理を再試行できないためです (ID-11255)。

回避方法: Active Sync がリソースに対して再試行できるようにするには、リソース XML を更新して次の 2 つの追加リソース属性を組み込みます。形式を次に示します。

各部の意味は次のとおりです。

syncRetryCountLimit は更新を再試行する回数です。

syncRetryInterval は次の再試行を待機するミリ秒数です。

以後、Active Sync 設定時にこれらの値がカスタムリソース設定として表示されます。ローカリゼーションが必要な場合は、カスタムカタログキーを使用して displayName を指定することができます。

Sun Java^TM System Directory Server Enterprise Edition 6.0、6.1、および 6.2 とともに使用すると、逆行現象により Identity Manager パスワード同期が失敗します。この障害は Directory Server 6.3 リリースで修正されます。バージョン 6.0、6.1、または 6.2 を Identity Manager と連動させる必要がある場合は、Directory Server バグ情報 6604342 を参照して、サポートに Directory Server ホットフィックスをリクエストしてください (ID-14895)。

Sun Java^TM System Access Manager 7.0 リソースのリソースオブジェクトを「リソース」タブから展開すると、次のエラーが表示される場合があります (ID-15525)。

Error listing objects.==> com.waveset.util.WavesetException: Error trying to get attribute value for attribute 'guid'.==> java.lang.IllegalAccessError: tried to access method com.sun.identity.idm.AMIdentity.getUniversalId()Ljava/lang/String; from class com.waveset.adapter.SunAccessManagerRealmResourceAdapter

このエラーは、どのパッチも適用していない Access Manager 7.0 リソースで起こります。この問題を修正するには、Access Manager の少なくともパッチ 1 を適用してから、Access Manager クライアント SDK を再構築および再配備する必要があります。

デフォルトの LocalFiles リポジトリは Sun Java^TM System Application Server 9.x とは連動しません。開発時には、サポートされているいずれかのデータベース (このリリースノートの「サポートされているソフトウェアと環境」の節に一覧がある) または MySQL を使用する必要があります。特定のコンテナに対して SecurityManager を無効化し、メモリーの設定値をより高くすることでうまくいったユーザーもいますが、どちらの処置もこの問題の決定的な修正方法ではありません (ID-15589)。

日本語などの複数バイト言語環境では、「ユーザーの編集」画面のタブ上のいくつかのテキストが折り返されることがあります (ID-16054)。

回避方法: タブのテキストが折り返されずに表示されるようにするには、$WSHOME/styles/customStyle.css に次の内容を追加します。

table.Tab2TblNew td
{background-image:url(../images/tabs/level2_deselect.jpg);background-repeat:repeat-x;background-position:left top;background-color:#C4CBD1;border:solid 1px #8f989f;white-space:nowrap}

table.Tab2TblNew td.Tab2TblSelTd
{border-bottom:none;background-image:url(../images/tabs/level3_selected.jpg);background-repeat:repeat-x;background-position:left bottom;background-color:#F2F4F3;border-left:solid 1px #8f989f;border-right:solid 1px #8f989f;border-top:solid 1px #8f989f;white-space:nowrap}

WebSphere データソースと Oracle JDBC ドライバとの間に相互運用性の問題があるため、Identity Manager でWebSphere データソースを使用する Oracle ユーザーは Oracle 10g R2 とそれに対応する JDBC ドライバを使用する必要があります。Oracle 9 JDBC ドライバは WebSphere データソースおよび Identity Manager とは連動しません (ID-16167)。

10g R2 より前のバージョンの Oracle を使用しており、Oracle を 10g R2 にアップグレードできない場合は、Identity Manager リポジトリを設定し、Oracle's JDBC Driver Manager を使用して WebSphere データソースではなく Oracle データベースに接続するようにします。

詳細については、次の URL を参照してください。

http://www-1.ibm.com/support/docview.wss?uid=swg21225859

違反の概要レポートの「優先度」と「重要度」列に、テキストによる説明ではなく数値が表示されます (ID-16932)。

違反の概要レポートに、訂正済みまたは是正中の違反が表示されません (ID-16933)。

違反の概要レポートの「違反の状態」列がローカライズされていません (ID-17011)。

「違反の免除」オプションを違反の概要レポートの「選択可能な違反の状態」ドロップダウンメニューに追加します (ID-17042)。

Identity Manager インストーラが 64 ビット JDK で実行しません (ID-17104)。

回避方法:

手動でインストールします。

32 ビットバージョンの JDK を使用してインストーラを実行します。

install.bat で使用される JAVA_OPTS を設定することにより、os.arch="x86" を設定してインストールを行います。次に例を示します。

set JAVA_OPTS=-Dos.arch=”x86”

install.bat

単一スレッドモードで実行している Identity Manager ゲートウェイ経由で GroupWise ユーザーをプロビジョニングしている場合 (たとえば、ExclusiveNDSContext レジストリキーが値 1 で作成されている場合)、GroupWise ユーザーを更新しようとすると、次のようなエラーになることがあります (ID-17144)。

XPRESS exception ==> com.waveset.util.WavesetException: Can't call method getResourceObject on class com.waveset.ui.FormUtil ==> com.waveset.util.WavesetException: Error connecting to the GroupWise domain (cn=7GWDOM.o=6idmtest): Error occurred opening the database.Check the path.

回避方法: GroupWise ユーザーをプロビジョニングしている場合は、マルチスレッドモードでゲートウェイを実行します。マルチスレッドモードで実行するには、ExclusiveNDSContext レジストリキーを削除するか、または ExclusiveNDSContext レジストリキーの値を 0 に設定してから、ゲートウェイを停止して再起動します。

すべての非アクティブアカウントスキャンレポートで、「リスク分析の表示」ページに結果が表示されません。これらのレポートからの結果を表示するには、「サーバータスク」ページに移動します (ID-17255)。

パスワード同期のインストール時に、必ずインストール先のオペレーティングシステムに適したバイナリを使用します。32 ビット Windows のバイナリは IdmPwSync_x86.msi、64 ビット Windows のバイナリは IdmPwSync_x64.msi という名前です。間違ったバイナリをインストールすると、インストールは成功したように見えますが、パスワード同期は正しく動作しません (ID-17290)。

パスワード同期のアンインストール時に、Windows の「コントロールパネル」から「プログラムの追加と削除」機能を使用して、正しく削除されるようにします。

Identity Manager のラウンドロビンアカウントポリシーが、秘密の質問を順番どおりに正しく割り当てをしない場合があります (ID-17295)。

Sun Java^TM System Application Server Enterprise Edition 8.2 上で Identity Manager 7.1 または 7.1 Update 1 を Oracle 10g と併用すると、シーリング違反例外が発生することがあります。この問題の原因は、CLASSPATH に 2 つ以上の Oracle JDBC JAR ファイルがあるか、または CLASSPATH に互換性のないバージョンの JDBC JAR ファイルがあることにあります (ID-17311)。

CLASSPATH に Oracle JDBC JAR ファイルが 1 つのみであること、それが Oracle インストール時に提供された JAR ファイルなど互換性のあるバージョンであることを確認してください。

WRQ は classpath を探索してそれ自身のエントリを発見します。そのエントリから、WRQ は JAR が格納されているディレクトリを算定し、そのディレクトリを使用して .JAW (ライセンスファイル) を読み取ります。ただし、BEA と WebSphere はともに WRQ コードが想定する標準の JAR ではなく、標準ではないプロトコル名を使用します (BEA は zip、WebSphere は wsjar を使用) (ID-17319)。

回避方法: startWeblogic.sh ファイルの java コマンドに次のオプションを追加します。

-Dcom.wrq.profile.dir="<dir containing JAW file>"

新規リソースを作成する前に、設定済みタイプに表示されているリソースタイプを必ず有効にしてください。有効にしないと、新たに作成されたリソースオブジェクトがすべての必須フィールドを持たない可能性があります (ID-17324)。

ユーザーの編集または更新時に、idmManager が存在しない場合などに、まだ存在しない idmManager を割り当てようとすると、次のエラーメッセージが表示され、変更を保存できません (ID-17339)。

'Item User:[idmManager that doesn't exist] was not found in the repository, it may have been deleted in another session'

新規ユーザー作成時には、この問題は起こりません。

バージョン 7.1 から 7.1 Update 1 へのアップグレード時に、レポート設定は保存されません。アップグレードする前に、レポート設定オブジェクトを保存してください (ID-17363)。

リソースから読み込みを実行中で、リソースが ACCOUNT_CASE_INSENSITIVE_IDS をサポートしている場合、仮にユーザーの accountId が Identity Manager の ResourceInfo ユーザーオブジェクトに格納されている accountId と異なる場合、リソースによって報告されたのと同じ大小文字の accountId で 2 番目の ResourceInfo がユーザーオブジェクトに追加されます。

回避方法: ユーザーオブジェクト内の Identity Manager ResourceInfo オブジェクトの accountId が、リソースによって報告されたのと同じ大小文字になるようにします (ID-17377)。