Sun Java System Identity Installation Pack 2005Q4M3 SP4 Notas de la versión |
Anexos a la documentación y correcciones
Acerca de las guías de software del sistema IdentityLa documentación de software del sistema Identity está organizada en varias guías, que se suministran en formato de Acrobat (.pdf) en el CD Identity Install Pack. La versión incluye las siguientes guías.
Software del sistema Identity
Install Pack Installation (Identity_Install_Pack_Installation_2005Q4M3.pdf) — Describe cómo instalar y actualizar el software del sistema Identity.
Identity Manager
- Identity Manager Administration (IDM_Administration_2005Q4M3.pdf) — Ofrece una introducción a las interfaces de usuario y administrador de Identity Manager.
- Identity Manager Upgrade (IDM_Upgrade_2005Q4M3.pdf) — Proporciona información que facilita la planificación y ejecución de actualizaciones.
Nota Para esta versión, los documentos Identity Manager Technical Deployment e Identity Manager Technical Reference se han reorganizado de la forma siguiente:
- Identity Manager Technical Deployment Overview (IDM_Deployment_Overview_2005Q4M3.pdf) — Resumen conceptual del producto Identity Manager (incluidas arquitecturas de objeto), con una introducción básica a los componentes del producto.
- Identity Manager Workflows, Forms, and Views (IDM_Workflows_Forms_Views_2005Q4M3.pdf) — Información de referencia y de procedimiento en la que se describe cómo utilizar los flujos de trabajo, los formularios y las vistas de Identity Manager, incluida información sobre las herramientas necesarias para personalizar estos objetos.
- Identity Manager Deployment Tools (IDM_Deployment_Tools_2005Q4M3.pdf) — Información de referencia y de procedimiento en la que se describe cómo utilizar distintas herramientas de implementación de Identity Manager; también incluye reglas y bibliotecas de reglas, tareas y procesos comunes, compatibilidad con el diccionario y la interfaz del servicio Web basada en SOAP que ofrece el servidor de Identity Manager.
- Identity Manager Resources Reference (IDM_Resources_Reference_2005Q4M3.pdf) — Información de referencia y de procedimiento en la que se describe cómo cargar y sincronizar datos de cuentas de un recurso en Sun Java™ System Identity Manager. En ResourcesRef_Addendum_2005Q4M3SP1.pdf se documentan adaptadores adicionales.
- Identity Manager Audit Logging (IDM_Audit_Logging_2005Q4M3.pdf) — Información de referencia y de procedimiento en la que se describe cómo cargar y sincronizar datos de cuentas de un recurso en Sun Java™ System Identity Manager.
- Identity Manager Tuning, Troubleshooting, and Error Messages (IDM_Troubleshooting_2005Q4M3.pdf) — Información de referencia y de procedimiento en la que se describen los mensajes de error y las excepciones de Identity Manager; también proporciona instrucciones para realizar un seguimiento y solucionar problemas que puedan surgir durante el trabajo.
Identity Auditor
Identity Auditor Administration (IDA_Administration_2005Q4M3.pdf) - Ofrece una introducción a la interfaz del administrador de Identity Auditor.
Identity Manager Service Provider Edition
- Identity Manager Service Provider Edition Administration Addendum (SPE_Administration_Addendum_2005Q4M3SP1.pdf) – Presenta las funciones de Identity Manager SPE.
- Identity Manager Service Provider Edition Deployment (SPE_Deployment_2005Q4M3_SP1.pdf) – Proporciona información para implementar Identity Manager SPE.
Utilización de las guías en líneaPara desplazarse por las guías, utilice la función Marcadores de Acrobat. Haga clic en el nombre de una sección en el panel de marcadores para desplazarse a la posición que ocupa dicha sección en el documento.
La serie de documentos de Identity Manager se puede consultar desde cualquier instalación de Identity Manager desplazándose hasta idm/doc en el explorador Web.
Install Pack InstallationCorrecciones
Prefacio
Se ha eliminado de la sección How to Find Information in this Guide la referencia cruzada errónea al Apéndice H. (ID-12369)
Capítulo 1: Antes de la instalación
- Se ha eliminado de la tabla de recursos admitidos Microsoft Exchange 5.5 como recurso admitido. Se ha invalidado. (ID-12682)
- Se ha añadido Lotus Notes® 6.5.4 (Domino) como recurso admitido a la tabla de recursos admitidos. (ID-12226)
- Se ha añadido JDK 1.5 como versión admitida de Java en varias instancias. (ID-12984)
- Se ha modificado la información de sistemas ERP SAP en la tabla de recursos admitidos de: (ID-12635)
- Se ha modificado la información de Red Hat en la tabla de recursos admitidos de:
- Se ha añadido la sección Servidores de repositorio de bases de datos y la siguiente información en Software y entornos admitidos: (ID-12425)
Capítulo 2: Instalación de Identity Install Pack para Tomcat
En el capítulo se proporciona asistencia para el servidor de aplicaciones Apache Tomcat, versiones 4.1.x o 5.0.x.
Capítulo 4: Instalación de Identity Install Pack para WebSphere
- En el capítulo se trata la instalación de Websphere 5.1 Express y 6.0. (ID-12655, 12656) Se han añadido las siguientes notas e información en los puntos indicados:
Nota No es necesario realizar el siguiente paso al instalar Identity Install Pack 6.0 o una versión posterior.
4. Cambiar al directorio de montaje y eliminar los siguientes archivos, si existen:
WEB-INF\lib\cryptix-jce-provider.jar
WEB-INF\lib\cryptix-jce-api.jar
25. Descargar el jlog package más reciente desde WebSphere en:
http://www.alphaworks.ibm.com/tech/loggingtoolkit4j
Nota El jlog package está ya incorporado en WebSphere’6.0. Descárguelo sólo para versiones anteriores.
- Como necesita instalar JDK 1.4.2 en esta versión, la sección For JDK 1.3.x: ya no es aplicable. En el mismo capítulo, debe cambiar la sección For JDK 1.4 por For JDK 1.4.2.
Capítulos 7/8: Instalación de Identity Install Pack para Sun ONE/Sun Java System Application Server 7/8
- Se ha añadido la siguiente información corregida en los pasos de instalación > Paso 5: Edite el archivo server.policy > permisos de ejemplo: (ID-12292)
permission java.io.FilePermission "/opt/SUNWappserver/domains/domain1/applications/j2ee-modules/ idm/config/trace1.log", "read,write,delete";
permission java.io.FilePermission "$(java.io.tmpdir)$(/)*", "read,write,delete";
- Se ha añadido la siguiente información en los pasos de instalación > Paso 5: Edite el archivo server.policy > permisos de ejemplo:
Si desea ejecutar con Identity Manager Service Provider Edition, añada el siguiente permiso a las anteriores entradas del archivo server.policy.
permission java.lang.RuntimePermission "shutdownHooks";
Capítulo 14: Desinstalación de aplicaciones
Se ha eliminado _Version_ del ejemplo de sintaxis existente en Suprima el software > en UNIX > Paso 3. (ID-7762)
Capítulo 15: Instalación de las aplicaciones (instalación manual)
Ejemplo de sintaxis corregido en los pasos de instalación > Paso 3: Configure la identidad Install Pack Index Database Connection > Non-Xwindows Environments > Step 3 to: (ID-5821)
3. Defina su clave de licencia con los siguientes comandos:
cd idm/bin
./lh license set -f LicenseKeyFileApéndice A: Referencia de las bases de datos de índice
La fila en la que se describe SQL Server se ha cambiado por lo siguiente:
Apéndice C: Configuración de las fuentes de datos para Identity Manager
- No se admiten múltiples URL IIOP. (ID-12499) Se ha eliminado la siguiente información incorrecta en Configuración de una fuente de datos de WebSphere para Identity Manager > Configuración de una fuente de datos de Websphere 5 > Configure la fuente de datos en un clúster de Websphere:
Si los servidores de aplicaciones no tienen el mismo puerto especificado en la propiedad BOOTSTRAP_ADDRESS, se podrán especificar múltiples URL mediante java.naming.provider.url, por ejemplo:
iiop://localhost:9812,iiop://localhost:9813.
- Todas las propiedades j2c.properties utilizadas en la versión 5 de WebSphere forman parte ahora del archivo resources.xml en la versión 6 de WebSphere. Se ha añadido información sobre la configuración de una fuente de datos de Websphere 5.1/6.x y sobre la configuración de los datos de autenticación de 6.x. Se ha eliminado información de configuración de una fuente de datos de Websphere 4.x. (ID-12767) Los cambios afectan a las siguientes secciones:
Configuración de un proveedor de JDBC
Utilice la consola de administración de WebSphere para configurar un proveedor de JDBC nuevo.
- Haga clic en la ficha Resources del panel izquierdo para mostrar una lista de tipos de recursos.
- Haga clic en JDBC Providers para mostrar la tabla de proveedores de JDBC configurados.
- Haga clic en el botón Nuevo situado sobre la tabla de proveedores de JDBC configurados.
- Seleccione en la lista de tipos de base de datos JDBC, el tipo jdbc y el tipo de implementación. Haga clic en Siguiente.
En este ejemplo se utilizará la fuente de datos de grupo de conexión, controlador de JDBC de Oracle y Oracle.
- Continúe con la configuración de las propiedades generales.
- Especifique el nombre.
- Especifique en el campo Classpath la ruta al JAR que contiene el controlador de JDBC. Por ejemplo, para especificar el controlador fino de Oracle, especifique una ruta similar a la siguiente:
/usr/WebSphere/AppServer/installedApps/idm/idm.ear/idm.war/WEB- INF/lib/oraclejdbc.jar
Nota Puede utilizar la consola de administración para especificar la ruta al JAR que contiene el controlador de JDBC. En el menú Environment, seleccione el elemento de menú WebSphere Variable. En ese panel, elija primero la celda, el nodo y el servidor para los que se va a definir esta variable de entorno. A continuación, especifique la ruta al JAR como valor de esta variable.
- Especifique el nombre totalmente cualificado de la clase de controlador de JDBC en el campo Implementation ClassName.
- Puede cambiar también el nombre o descripción del proveedor a lo que elija.
Cuando termine, haga clic en el botón Aceptar de la parte inferior de la tabla. El proveedor que se ha añadido debe aparecer en el panel derecho.
Para configurar una fuente de datos que utilice este proveedor de JDBC, consulte “Señale el repositorio de Identity Manager a la fuente de datos”.
Configuración de una fuente de datos de JDBC Websphere
Para poder finalizar la configuración de la fuente de datos, debe configurar los datos de autenticación. Estos alias contienen credenciales que se utilizan para conectarse al sistema de gestión de base de datos (DBMS).
Configure los datos de autenticación de 5.1
- Haga clic en la ficha Seguridad del panel izquierdo para mostrar una lista de tipos de configuración de seguridad.
- Haga clic en la ficha JAAS Configuration del panel izquierdo para mostrar una lista de tipos de configuración de JAAS.
- Haga clic en la ficha J2C Authentication Data del panel izquierdo. En el panel derecho se muestra una tabla de entradas de datos de autenticación.
- Haga clic en el botón Nuevo situado sobre la tabla de entradas de datos de autenticación. En el panel derecho aparece una tabla de propiedades generales que se pueden configurar.
- Configure las propiedades generales relativas a la nueva entrada de datos de autenticación. Tenga en cuenta lo siguiente:
A continuación, configure la fuente de datos.
Configure los datos de autenticación de 6.x
- Haga clic en Security > Global security.
- En Authentication, haga clic en JAAS configuration > J2C authentication data. Aparece el panel J2C Authentication Data Entries.
- Haga clic en Nuevo.
- Introduzca un alias exclusivo, un ID de usuario válido, una contraseña válida y una descripción breve (opcional).
- Haga clic en Aceptar o en Apply. No es necesario validar el ID de usuario ni la contraseña.
- Haga clic en Save.
Nota La entrada recién creada se puede ver sin necesidad de reiniciar el proceso del servidor de aplicaciones para utilizarla en la definición de la fuente de datos. No obstante, la entrada sólo será efectiva tras reiniciar el servidor.
Configure la fuente de datos
Nota Si va a configurar una fuente de datos en un clúster de Websphere 5.x, consulte “Configure la fuente de datos en un clúster de Websphere” para obtener más información.
- Haga clic en la ficha Resources del panel izquierdo para mostrar una lista de tipos de recursos.
- Haga clic en JDBC Providers para mostrar la tabla de proveedores de JDBC configurados.
- Haga clic en el nombre de un proveedor de JDBC de la tabla. En el panel derecho se muestra una tabla de propiedades generales configuradas para el proveedor de JDBC seleccionado.
- Desplácese hacia abajo a una tabla de propiedades adicionales. Haga clic en Data Sources. En el panel derecho se muestra una tabla de fuentes de datos configuradas para utilizarlas con este proveedor de JDBC.
Nota Tenga en cuenta el campo Scope situado en la parte superior del marco existente en la consola de administración de WebSphere. Compruebe que Node y Server están en blanco de forma que aparezca la información de celda para la configuración debajo de los botones Nuevo y Borrar.
- Haga clic en el botón Nuevo situado sobre la tabla de fuentes de datos. En el panel derecho aparece una tabla de propiedades generales para configurarlas.
- Configure las propiedades generales relativas a la nueva fuente de datos. Tenga en cuenta lo siguiente:
- JNDI Name (Nombre de JNDI) es la ruta al objeto DataSource en el servicio de directorio.
Debe especificar este mismo valor como argumento -f en
setRepo -tdbms -iinitCtxFac -frutaarchivo.- Container-managed persistence (Persistencia gestionada por contenedores) no debe marcarse. Identity Install Pack no utiliza EJB (Enterprise Java Beans).
- Component-managed Authentication Alias (Alias de autenticación gestionado por componentes) señala a los credenciales que se utilizarán para acceder al DBMS (al que señala esta fuente de datos).
- Seleccione en la lista desplegable el alias que contiene el conjunto adecuado de credenciales de DBMS. Para obtener más información, consulte Configure los datos de autenticación de 5.1.
- Container-managed Authentication Alias (Alias de autenticación gestionado por contenedores) no se utiliza. Defina este valor como (none). Identity Install Pack realiza su propia conexión al DBMS (al que señala esta fuente de datos).
- Haga clic en Aceptar cuando haya configurado este panel. Aparece la página Data Sources.
- Haga clic en la fuente de datos que ha creado. A continuación, desplácese hacia abajo a la tabla de propiedades adicionales situada cerca de la parte inferior. Haga clic en el vínculo Custom Properties.
En el panel derecho se muestra una tabla de propiedades específicas del DBMS.
- Configure las propiedades personalizadas para esta fuente de datos. Haga clic en el vínculo de cada propiedad para definir su valor. Tenga en cuenta lo siguiente:
- URL es la única propiedad necesaria. Esta URL de base de datos identifica la instancia de base de datos y contiene los valores driverType, serverName, portNumber y databaseName. Puede especificar también algunos de estos valores como propiedades individuales.
- driverType en este ejemplo es fino.
- serverName es un nombre de host (o una dirección IP).
- databaseName es normalmente un nombre corto de base de datos.
- portNumber es 1521 de forma predeterminada para Oracle.
- Puede resultar adecuado configurar preTestSQLString en un valor tal como SELECT 1 FROM USEROBJ. Esta consulta SQL confirma que la tabla USERJOB existe y que se puede acceder a ella.
- En la tabla de propiedades adicionales, también puede hacer clic en el vínculo Connection Pool si desea configurar estas propiedades para ajustar el rendimiento.
Apéndice E: Configuración de JCE
Debe aparecer una nota como se indica a continuación:
Nota Como debe instalar JDK 1.4.2 en esta versión, todos los entornos admitidos deberían incluir una extensión criptográfica de Java (JCE) 1.2. La información de este apéndice ya no sirve.
Información añadida
Capítulo 1: Antes de la instalación
- Se ha añadido la siguiente nota en Setup Task Flow > Bullet Install y configure el software de Identity Install Pack: (ID-8431)
Nota En sistemas Unix o Linux:
- Al instalar Identity Install Pack, versiones 5.0 - 5.0 SP1, /var/tmp debe existir y el usuario que ejecute el instalador debe poder escribir en él.
- Al instalar Identity Install Pack, versiones 5.0 SP2 y posteriores, /var/opt/sun/install debe existir y el usuario que ejecute el instalador debe poder escribir en él.
- Se ha añadido la siguiente nota a Prerequisite Tasks > Set Up an Index Database > Setting Up SQL Server > paso 3b: (ID-11835)
Nota Los siguiente archivos deben estar en el directorio $WSHOME/WEB-INF/lib:
db2jcc
db2jcc_license_cisuz.jar or db2jcc_license_cu.jar- Se ha añadido la siguiente nota en Software y entornos admitidos > Servidores de aplicaciones: (ID-12385)
Nota El contenedor actual de servidores de aplicaciones debe admitir UTF-8.
Capítulo 2: Instalación de Identity Install Pack para Tomcat
- Se ha añadido el siguiente paso a los pasos de instalación > Paso 1: Instale el software Tomcat > Instalación en UNIX: (ID-12487)
2. Añada los archivos Java mail.jar y activation.jar al directorio ./tomcat/common/lib. Los archivos jar de correo y activación se encuentran en:
http://java.sun.com/products/javamail
http://java.sun.com/products/beans/glasgow/jaf.html- Se han añadido los siguientes pasos a los pasos de instalación > Paso 1: Instale el software Tomcat > Instalación en UNIX: (ID-12462)
3. Al configurar Tomcat para admitir UTF-8, añada el atributo URIEncoding="UTF-8" al elemento conector del DIR TOMCAT, archivo conf/server.xml, por ejemplo:
<!-- Define a non-SSL Coyote HTTP/1.1 Connector on the port specified during installation -->
<Connector port="8080"
maxThreads="150"
minSpareThreads="25"
maxSpareThreads="75"
enableLookups="false" redirectPort="8443"
acceptCount="100" debug="0" connectionTimeout="20000"
disableUploadTimeout="true"
URIEncoding="UTF-8" />
4. Cuando configure Tomcat para admitir UTF-8, añada también -Dfile.encoding=UTF-8 en las opciones Java VM.
Capítulo 13: Actualización de Identity Manager
Se ha añadido una referencia cruzada a la actualización de Identity Manager para facilitar a los usuarios la búsqueda de información completa de actualización. (ID-12366)
Capítulo 15: Instalación de las aplicaciones (instalación manual)
Se ha añadido la siguiente nota en los pasos de instalación > Paso 2: Instale el software de aplicación: (ID-8344)
Nota A partir de la versión 5.0 SP3, las clases de adaptador se incluyen ahora en el archivo idmadapter.jar. Si dispone de un adaptador personalizado, es posible que deba actualizar la ruta de la clase.
Apéndice B: Configuración de MySQL
Se ha añadido la siguiente información en Configuración de MySQL > paso 3 Inicie el proceso de MySql: (ID-12461)
Si este proceso no se ha iniciado, utilice los siguientes pasos para registrar e iniciar MySQL.
En Windows, si está realizando la instalación en un directorio distinto de c:\mysql, cree un archivo llamado c:\my.cnf con el siguiente contenido:[mysqld]
basedir=d:/mysql/
default-character-set=utf8
default-collation=utf8_binEn Windows, instale e inicie el servicio:
cd <MySQL_Install_Dir>/bin
mysqld-nt --install
net start mysqlApéndice C: Configuración de las fuentes de datos para Identity Manager
Se ha añadido la siguiente información en Configuración de una fuente de datos de WebSphere para Identity Manager > Señale el repositorio de Identity Manager a la fuente de datos: (ID-12071)
8. Señale el repositorio a la nueva ubicación. Por ejemplo:
lh -Djava.ext.dirs=$JAVA_HOME/jre/lib/ext:$WAS_HOME/lib setRepo
-tdbms -iinitCtxFac
-frutaarchivo -uiiop://localhost:bootstrap_port
-Unombreusuario
-Pcontraseña
-toracle icom.ibm.websphere.naming.WsnInitialContextFactory - fRutaFuenteDatosEn el anterior ejemplo, la variable RutaFuenteDatos podría ser jdbc/jndiname. bootstrap_port es el puerto de dirección del código de inicio del servidor WebSphere.
La opción -Djava.ext.dirs añade a la CLASSPATH todos los archivos JAR de los directorios lib/ y java/jre/lib/ext/ de WebSphere. Esto es necesario para que el comando setrepo se ejecute con normalidad.
Cambie la opción -f a fin de que coincida con el valor especificado para el campo JNDI Name (Nombre JNDI) al configurar la fuente de datos. Consulte la referencia setrepo para obtener más información sobre este comando.
Actualización de Identity ManagerInformación añadida
Capítulo 1: Descripción general de la actualización
Se ha añadido el siguiente elemento a la sección Example Upgrade: (ID-12467)
Tenga cuidado al editar el campo de super rol en el formulario Role. El super rol en sí puede ser un rol anidado. Los campos de super rol y subrol indican un anidamiento de roles y sus grupos de recursos o recursos asociados. Cuando se aplica a un usuario, el super rol incluye los recursos asociados a algún subrol designado. El campo de super rol se muestra para indicar los roles que incluyen el rol mostrado.
Capítulo 3: Desarrollo del plan de actualización
Se ha añadido lo siguiente a la sección Upgrade the Environment Upgrade From Identity Manager 5.x to 6.x. (ID-12361)
Paso 2: Actualice el esquema de la base de datos del repositorio
Identity Manager 6.0 implica un cambio de esquema que introduce tablas nuevas para tareas, grupos, organizaciones y la tabla de syslog. Debe crear estas nuevas estructuras de tablas y trasladar a ellas los datos existentes.
Nota Antes de actualizar el esquema del repositorio, haga una copia de seguridad completa de las tablas que contiene.
- Identity Manager utiliza dos tablas para almacenar objetos de usuario. Se pueden utilizar secuencias de comandos de ejemplo (en el directorio sample) para realizar cambios de esquema.
Consulte la secuencia de comandos sample/upgradeto2005Q4M3.NombreBaseDatos para actualizar las tablas del repositorio.
Nota La actualización de las bases de datos de MySQL tiene que ver bastante con este proceso. Consulte sample/upgradeto2005Q4M3.mysql para obtener más información.
Guía de Identity Manager AdministrationInformación añadida
- Cuando se configura la provisión, al crear un usuario se genera un elemento de trabajo que se puede ver mediante la ficha Approvals. Cuando se aprueba este elemento, se anula la fecha de provisión y se crea la cuenta. La creación de la cuenta se cancela si se rechaza el elemento.
- Cuando programe la reconciliación, podrá proporcionar el nombre de la regla que quiera utilizar para personalizar el programa. Por ejemplo, la regla puede retrasar las reconciliaciones programadas para un sábado hasta el lunes siguiente. (ID-11391)
Capítulo 4: Administración
Delegación de aprobaciones
Si dispone de capacidades de aprobador, podrá delegar sus futuras solicitudes de aprobación a uno o más usuarios (delegados) durante un determinado periodo de tiempo. No es necesario que los usuarios dispongan de capacidades de aprobador para ser delegados.
La función de delegación se aplica solamente a futuras solicitudes de aprobación. Las solicitudes existentes (las enumeradas en la ficha En espera de aprobación) se reenvían mediante la función de reenvío.
Para configurar delegaciones, seleccione la ficha Delegar mis aprobaciones en el área Aprobaciones.
Notas
- Podrá acceder a la función de delegación si se le ha asignado alguna capacidad que le conceda el derecho a delegar a WorkItem o cualquier extensión de authType de WorkItem, incluyendo Approval, OrganizationApproval, ResourceApproval y RoleApproval; o cualquier subtipo personalizado que amplíe WorkItem o uno de sus authTypes.
- También puede delegar aprobaciones en la ficha de formulario Seguridad de las páginas Crear, Editar o Ver usuario, y en el menú principal de interfaz de usuario.
Los delegados pueden aprobar solicitudes durante el periodo de delegación efectivo en su nombre. En las solicitudes de aprobación delegadas se incluye el nombre del delegado.
Entradas de registro de auditoría para solicitudes
En las entradas de registro de auditoría de solicitudes de aprobación aprobadas y rechazadas se incluirá su nombre (del delegador) si la solicitud se ha delegado. Los cambios realizados en la información del aprobador delegado de un usuario se registrarán en la sección de cambios detallados de la entrada de registro de auditoría cuando se crea o se modifica un usuario.
Capítulo 5: Configuración
Configuración de atributos de identidad desde cambios de recursos
Los atributos de identidad definen cómo se relacionan entre sí los atributos en recursos. Cuando un recurso se crea o se modifica, estas relaciones entre atributos pueden verse afectadas.
Cuando se guarda un recurso, Identity Manager muestra la página ¿Configurar Atributos de identidad?. Aquí, puede elegir lo siguiente:
- Pasar a la configuración de atributos de identidad desde la página Resource Changes y configurar atributos. Haga clic en Sí para continuar.
- Volver a la lista de recursos. Haga clic en No para volver.
- Inhabilitar esta página para futuras actualizaciones de recursos. Haga clic en No preguntar de nuevo para inhabilitar la página.
Nota El botón No preguntar de nuevo sólo lo pueden ver los usuarios que disponen de capacidades para modificar la metavista.
Página Re-enabling the Configure Identity Attributes?
Si esta página está inhabilitada, utilice uno de estos métodos para volver a habilitarla:
- Utilizar la función de depuración de Identity Manager para editar el objeto WSUser del usuario que haya iniciado la sesión. Cambie el valor de la propiedad idm_showMetaViewFromResourceChangesPage a un valor true.
- Añadir al formulario de usuario un campo similar al siguiente ejemplo (por ejemplo, el formulario de usuario con fichas) y, a continuación, utilizar la página Edit User para cambiar el valor de esta configuración:
<Field name='accounts[Lighthouse].properties.displayMetaViewPage'>
<Display class='Checkbox'>
<Property name='label' value='Display Meta View?'/>
</Display>
</Field>Configuración de atributos
Utilice la función de configuración de atributos de identidad en la página Resource Changes para seleccionar atributos de los mapas de esquema de recursos modificados a fin de utilizarlos como fuentes y destinos para los atributos de identidad. En algunos casos, no es posible seleccionar atributos en las columnas Source (Origen) y Target (Destino). No podrá seleccionar un atributo como fuente si:
No podrá seleccionar un atributo como destino si:
- Hay un atributo de identidad almacenado globalmente con el mismo nombre. Por ejemplo, si hay un atributo de identidad global llamado “nombredepila”, se seleccionará la opción de destino de nombre de pila y no se podrá anular la selección.
- El atributo está marcado como sólo lectura en el mapa de esquema.
- Las funciones de creación y actualización de cuentas del recurso están inhabilitadas o no son admitidas por el recurso.
Capítulo 7: Seguridad
- Se ha añadido la siguiente nota a la sección “Configuring Authentication for Common Resources”. (ID-16805)
Todos los recursos enumerados en un grupo de recursos comunes se deben incluir también en la definición del módulo de inicio de sesión. Si no aparece también una lista completa de recursos comunes en la definición del módulo de inicio de sesión, la funcionalidad de recursos comunes no funcionará correctamente.
- Se ha añadido información sobre limitaciones de inicio de sesiones concurrentes. (ID-12778)
Limitación de inicio de sesiones concurrentes
De forma predeterminada, un usuario de Identity Manager puede tener sesiones concurrentes iniciadas. No obstante, es posible limitar las sesiones concurrentes a una por aplicación de inicio de sesión cambiando el valor del atributo de configuración security.authn.singleLoginSessionPerApp en el objeto de configuración del sistema. Este atributo es un objeto que contiene un atributo por cada nombre de aplicación de inicio de sesión (por ejemplo, la interfaz de administrador, la interfaz de usuario o BPE). Al cambiar el valor de este atributo a true, se garantiza una sola sesión por cada usuario.
Si se aplica, un usuario se podrá conectar a más de una sesión; no obstante, sólo la última sesión iniciada estará activa y será válida. Si el usuario realiza una acción en una sesión no válida, el sistema le expulsará automáticamente de la sesión y ésta terminará.
Capítulo 8: Informes
En la sección Summary Reports, la descripción de informe de usuario incluye ahora la capacidad de buscar usuarios por administrador: (ID-12690)
Capítulo 10: PasswordSync
- Se han añadido instrucciones para configurar PasswordSync de Windows con un servidor Sun JMS. Consulte el documento Configuring PasswordSync with a Sun JMS Server que se suministra con estas notas de la versión. (ID-11788)
- Se ha añadido la siguiente sección para describir la arquitectura de alta disponibilidad con reconexión de emergencia para PasswordSync. (ID-12634)
- Se ha añadido una sección en la que se describe cómo implementar PasswordSync sin utilizar Java Messaging Server. (ID-14974)
Implantación de la reconexión de emergencia para PasswordSync de Windows
La arquitectura de PasswordSync permite eliminar los puntos de fallos en la implantación de sincronización de contraseñas de Windows para Identity Manager.
Si configura cada controlador Active Directory Domain Controller (ADC) para conectarse a uno en una serie de clientes de JMS a través de un equilibrador de carga (consulte la siguiente figura), los clientes de JMS podrán enviar mensajes a un clúster de agente de cola de mensajes (Message Queue Broker), lo que garantiza que no se pierda ningún mensaje si falla alguna cola de mensajes.
Nota El clúster de cola de mensajes requerirá probablemente una base de datos para la persistencia de mensajes. (Las instrucciones para configurar un clúster de agente de cola de mensajes se deben proporcionar en la documentación del producto de su distribuidor.)
El servidor de Identity Manager que ejecuta el adaptador de JMS Listener configurado para la reconexión automática de emergencia se pondrá en contacto con el clúster de agente de cola de mensajes. Aunque el adaptador se ejecuta sólo en un Identity Manager cada vez, si falla el servidor de ActiveSync principal, el adaptador comenzará a interrogar con respecto a mensajes relacionados con contraseñas en un servidor de Identity Manager secundario y a propagar cambios de contraseña a recursos de flujo inferior.
Implementación de PasswordSync sin Java Messaging Service
Para implementar PasswordSync sin JMS, inicie la aplicación de configuración con el siguiente indicador:
Configure.exe -direct
Cuando se especifica el indicador -direct, la aplicación de configuración muestra la ficha User. Configure PasswordSync mediante los procedimientos descritos en “Configuración de PasswordSync”, con las siguientes excepciones:
Si implementa PasswordSync sin JMS, no será necesario crear un adaptador de JMS Listener. Por tanto, deberá omitir los procedimientos indicados en “Implementación de PasswordSync”. Si desea configurar notificaciones, es posible que deba modificar el flujo de trabajo de Cambiar contraseña de usuario.
Nota Si posteriormente ejecuta la aplicación de configuración sin especificar elindicador -direct, PasswordSync requerirá que se configure un JMS. Vuelva a iniciar la aplicación con el indicador -direct para omitir de nuevo el JMS.
Correcciones
Capítulo 5: Recursos
En la tabla de clases de recursos personalizados, la clase de recurso personalizado para el adaptador de recurso ClearTrust se ha corregido de la siguiente forma: (ID-12681)
com.waveset.adapter.ClearTrustResourceAdapter
Capítulo 10: PasswordSync
En la sección Configuring PasswordSync, en JMS Settings Dialog, la siguiente descripción de Queue Name (Nombre de cola) se ha corregido como se indica a continuación:
Referencia lh
La sintaxis de comandos se ha actualizado para indicar correctamente un espacio después de opciones especificadas. (ID-12798)
Al utilizar la opción -p, por motivos de seguridad, Password se debe especificar como ruta a un archivo de texto que contenga una contraseña, en lugar de especificarse directamente en la línea de comandos.
Ejemplos
comando de licencia
Utilización
license [options] { status | set {parameters} }
Opciones
Los parámetros de la opción set deben tener el formato -f Archivo.
Identity Manager Workflows, Forms, and ViewsCapítulo 1: Flujos de trabajo
El tratamiento de acciones manuales de este capítulo debe contener la siguiente información:
Si el tipo itemType de un elemento de trabajo se define como asistente, el elemento de trabajo omitirá de forma predeterminada obtener aprobadores de reenvío al comprobar la vista WorkItem. Si el tipo itemType se define en un valor distinto al asistente, Identity Manager recuperará aún así los aprobadores de reenvío, a menos que CustomUserList se defina en el valor “true” como propiedad del formulario que se utiliza con la acción manual. (ID-10777)
Para ello, incluya el siguiente código en el formulario:
<Formulario>
<Properties>
Property name='CustomUserLists' value='true'/>
</Properties>
Capítulo 2: Servicios de flujo de trabajo
- La tabla de argumentos del servicio de flujo de trabajo de sesión createView es incorrecta. En la tabla siguiente se describen los argumentos disponibles en este servicio.
- Identity Manager proporciona el método de servicio de flujo de trabajo checkStringQualityPolicy, que comprueba el valor de una cadena designada frente a una directiva de cadena. (ID-12428, 12440)
El método devuelve un objeto checkPolicyResult. El valor true indica que la cadena supera la prueba de directiva. Si la cadena no supera la prueba de directiva, el método devolverá un mensaje de error. Si ha definido la opción returnNull en el valor “true” en el parámetro map, el método devolverá un objeto nulo al ejecutarse correctamente.
- Identity Manager proporciona ahora el servicio de flujo de trabajo auditPolicyScan (ID-12615). Utilice este servicio de flujo de trabajo para explorar un usuario a fin de detectar infracciones de directivas de auditoría en función de las directivas asignadas al usuario. Si no se ha asignado ninguna directiva al usuario, Identity Manager utilizará una directiva asignada a la organización, si existe alguna.
Este método incluye un argumento, vista, que especifica la vista del usuario especificado. Devuelve la variable de flujo de trabajo checkPolicyResult. Esta variable incluirá:
Capítulo 3: Formularios
Identity Manager puede identificar en pantalla si es necesario un atributo en el mapa de esquema de un recurso. El formulario Edit User identifica estos atributos mediante un asterisco (*). De forma predeterminada, Identity Manager muestra este asterisco después del campo de texto que sigue al nombre de atributo. (ID-10662)
Para personalizar la colocación del asterisco, siga estos pasos:
- Mediante el BPE de Identity Manager o su editor de XML, abra el objeto de configuración de propiedades de componentes (Component Properties).
- Añada EditForm.defaultRequiredAnnotationLocation=left a la etiqueta <SimpleProperties>.
Entre los valores válidos para defaultRequiredAnnotationLocation se incluyen left (izquierda), right (derecha) y none (ninguno).
- Guarde los cambios y reinicie el servidor de aplicaciones.
Capítulo 4: Métodos FormUtil
- Identity Manager proporciona el nuevo método FormUtil checkStringQualityPolicy, que comprueba el valor de una cadena designada frente a una directiva de cadena. (ID-12428, 12440)
checkStringQualityPolicy(ContextoLighthouse s, Cadena directiva, Objeto valor, Mapa mapa, Lista historialcontraseñas, Cadena propietario)
Este método devuelve el valor “true” que indica que la cadena supera la prueba de directiva. Si la cadena no supera la prueba de directiva, el método devolverá un mensaje de error. Si ha definido la opción returnNull en el valor “true” en el parámetro map, el método devolverá un objeto nulo al ejecutarse correctamente.
- Identity Manager proporciona ahora el método FormUtil controlsAtLeastOneOrganization. (ID-9260)
controlsAtLeastOneOrganization(ContextoLighthouse s, Lista organizaciones)
devuelve WavesetException {
Determina si un usuario actualmente autenticado controla alguna de las organizaciones especificadas en una lista de uno o varios nombres de organizaciones (ObjectGroup). En la lista admitida de organizaciones se incluyen las que se han devuelto al enumerar todos los objetos del tipo ObjectGroup.
Este método devuelve:
true: indica que el usuario de Identity Manager actual autenticado controla alguna de las organizaciones de la lista.
false: indica que el usuario de Identity Manager actual autenticado no controla ninguna de las organizaciones de la lista.
Capítulo 5: Vistas
Tipos de cuenta
Esta versión de Identity Manager proporciona compatibilidad para asignar a los usuarios varias cuentas en un recurso con tipos de cuenta. (ID-12697) Opcionalmente, puede asignar ahora un tipo de cuenta en un recurso al asignar recursos a un usuario, con las siguientes limitaciones:
Un administrador debe definir primero un tipo de cuenta en un recurso para poder asociarlo a un recurso. Se debe definir también una regla de identidad. (Consulte el archivo samples/identityRules.xml para obtener ejemplos de reglas de identidad.)
Identity Manager utiliza el subtipo de regla de identidad para asociar una regla a un tipo de cuenta. Esta regla genera accountIds según sea necesario. (Estas reglas funcionan de forma similar a la plantilla de identidad, pero se implementan en XPRESS y pueden acceder a la API de LighthouseContext).
Consulte Identity Manager Administration para obtener información sobre cómo utilizar la interfaz de administrador de Identity Manager para asignar tipos de cuenta a recursos.
Omisión del tipo de cuenta
Si omite un tipo de cuenta en un recurso, Identity Manager asignará el tipo de cuenta predeterminado, que proporciona compatibilidad con versiones anteriores. No obstante, si ningún recurso tiene un tipo de cuenta definido, esta función se inhabilitará.
El tipo de cuenta predeterminado utiliza la plantilla de identidad. No obstante, puede especificar también que el tipo predeterminado utilice una regla especificada en lugar de la plantilla de identidad.
El tipo de cuenta predeterminado es exclusivo, ya que el usuario puede asignar múltiples cuentas de ese tipo. No obstante, se recomienda no asignar múltiples cuentas del mismo tipo.
Cambios relacionados con vistas
Los siguientes cambios en las vistas de Identity Manager admiten tipos de cuenta.
- La vista de recursos cuenta ahora con un atributo accountType (Lista). Cada entrada es un objeto con un atributo identityRule, que asigna un nombre a la regla utilizada para generar ID de cuenta para este tipo.
- El atributo resources de las vistas de roles y de aplicaciones permite ahora utilizar asignaciones de recursos cualificadas. La sintaxis de estas asignaciones cualificadas es <resource name>|<account type>.
- La vista de usuario contiene ahora el atributo waveset.resourceAssignments, que toma asignaciones de recursos cualificadas. (waveset.resources contiene sólo referencias no cualificadas.) Puede cambiar cualquiera de los atributos, pero se recomienda utilizar sólo waveset.resourceAssignment para actualizaciones y waveset.resources para sólo lectura.)
La forma de acceder a los objetos del atributo accounts de la vista de usuario no ha cambiado con la adición de esta nueva función. Utilice nombres de recursos cualificados para indexar la lista accounts (por ejemplo, accounts[resource|type] selecciona la cuenta de recursos para esa combinación de recurso y tipo. Si no especifica un tipo, podrá acceder de todas formas a estos objetos a través de accounts[resource].)
- Las vistas relacionadas, incluidas Deprovision y Change Password, utilizan también este tipo de tratamiento. Los objetos de esta lista tienen ahora también un nuevo accountType de atributo, que especifica el tipo de cuenta de recurso.
Vista de aprobadores delegados
Utilice esta vista para asignar uno o varios usuarios de Identity Manager como aprobadores delegados a un aprobador existente. Ello permite que un aprobador delegue sus capacidades de aprobación durante un determinado periodo de tiempo a usuarios que pueden no ser aprobadores. Entre los atributos de alto nivel se incluye: (ID-12754)
Nota La vista de usuario contiene estos mismos atributos (con la excepción del atributo de nombre). Estos nuevos atributos se incluyen en las cuentas[Lighthouse]. namespace.
name
Identifica al usuario que delega aprobaciones.
delegateApproversTo
Especifica a quién delega aprobaciones el usuario donde los valores válidos incluyen manager, selectedUsers o delegateApproversRule.
delegateApproversSelected
delegateApproversStartDate
Especifica la fecha de inicio de la delegación de aprobaciones. De forma predeterminada, la hora de la fecha de inicio seleccionada es 12:01 de la noche de ese día.
delegateApproversEndDate
Especifica la fecha de finalización de la delegación de aprobaciones. De forma predeterminada, la hora de la fecha de finalización seleccionada es 11:59 de la noche de ese día.
La documentación de la vista de roles se ha actualizado de la siguiente forma. (ID-12390)
Vista de roles
Se utiliza para definir objetos de rol de Identity Manager.
Cuando se marca, esta vista inicia el flujo de trabajo de administración de roles. De forma predeterminada, este flujo de trabajo sencillamente asigna los cambios de la vista al repositorio, pero también proporciona conexiones para aprobaciones y demás personalizaciones.
En la siguiente tabla se enumeran los atributos de alto nivel de esta vista.
Tabla 1. Atributos de la vista de roles
name
Identifica el nombre del rol. Se corresponde con el nombre de un objeto de rol del repositorio de Identity Manager.
resources
Especifica los nombres de recursos asignados localmente.
applications
Especifica los nombres de aplicaciones asignadas localmente (grupos de recursos).
roles
Especifica los nombres de roles asignados localmente.
assignedResources
Lista sencilla de todos los recursos asignados mediante recursos, aplicaciones y roles.
resourceNameIdentifica el nombre del recurso asignado.
nameIdentifica el nombre o ID de recurso (preferiblemente ID).
attributesIdentifica las características del recurso. Todos los subatributos son cadenas y se pueden editar.
Tabla 2. Opciones de atributo (vista de roles)
- notifications: enumera los nombres de administradores que deben aprobar la asignación de este rol a un usuario.
- approvers: especifica los nombres de los aprobadores que deben aprobar la asignación de este rol a un usuario.
- properties: identifica las propiedades definidas por el usuario que están almacenadas en este rol.
- organizations: enumera organizaciones de las que este rol es miembro.
- Las vistas de cuentas de recursos (vistas Deprovision, Disable, Enable, Password, Rename User, Reprovision y Unlock) admiten ahora dos nuevas opciones que se pueden utilizar a fin de obtener atributos de cuentas de recursos para el usuario. (ID-12482)
- fetchAccounts (booleano): permite que la vista incluya atributos de cuenta para los recursos asignados al usuario.
- fetchAccountResources: enumera nombres de recursos para elegirlos. Si no se especifica, se utilizarán todos los recursos asignados.
Puede definir estas opciones con mayor facilidad como propiedades de formulario. (Para obtener más información, consulte la sección dedicada a la vista de listas de elementos de trabajo (WorkItem List) en el capítulo de vistas de esta guía.)
Capítulo 6: Lenguaje XPRESS
- La función instanceOf no está actualmente documentada en el capítulo de lenguaje XPRESS. Esta función identifica si un objeto es una instancia del tipo especificado en el parámetro name. (ID-12700)
name: identifica el tipo de objeto con respecto al que se está realizando la comprobación.
Esta función devuelve 1 o 0 (“true” o “false”) dependiendo de si el objeto de subexpresión es una instancia del tipo especificado en el parámetro name.
La siguiente expresión devuelve 1 al ser ArrayList una lista.
<instanceof name='List'>
<new class='java.util.ArrayList'/>
</instanceof>
Capítulo 8: Componentes de visualización HTML
- La descripción del componente SortingTable se ha revisado de la siguiente forma:
Utilícelo para crear una tabla cuyo contenido se pueda ordenar por cabecera de columna. Los componentes secundarios determinan el contenido de esta tabla. Cree un componente secundario por columna (definido por la propiedad columns). Las columnas están normalmente incluidas en un bucle de campo.
Este componente respeta las propiedades align, valign y width de los componentes secundarios al generar las celdas de la tabla. (ID-12606)
- Identity Manager proporciona ahora el componente de visualización InlineAlert. (ID-12606)
Muestra un cuadro de alerta informativo, de error, de advertencia o de ejecución correcta. Este componente se encuentra normalmente en la parte superior de una página. Se pueden visualizar varias alertas en un solo cuadro definiendo componentes secundarios de tipo InlineAlert$AlertItem.
Las propiedades para este componente de visualización incluyen:
- alertType: especifica el tipo de alerta para su visualización. Esta propiedad determina los estilos e imágenes que se utilizarán. Los valores válidos son error, warning, success e info. El valor predeterminado de esta propiedad es info. Esta propiedad es sólo válida para InlineAlert.
- header: especifica el título que se muestra para el cuadro de alerta. Puede ser una cadena o un objeto de mensaje. Esta propiedad es válida para InlineAlert o InlineAlert$AlertItem.
- value: especifica el mensaje de alerta que se muestra. Este valor puede ser una cadena o un objeto de mensaje. Esta propiedad es válida para InlineAlert o InlineAlert$AlertItem.
- linkURL: especifica una URL opcional que aparece en la parte inferior de la alerta. Esta propiedad es válida para InlineAlert o InlineAlert$AlertItem.
- linkText: especifica el texto para la linkURL. Puede ser una cadena o un objeto de mensaje. Esta propiedad es válida para InlineAlert o InlineAlert$AlertItem.
- linkTitle: especifica el título para la linkURL. Puede ser una cadena o un objeto de mensaje. Esta propiedad es válida para InlineAlert o InlineAlert$AlertItem.
Ejemplos
Mensaje de alerta único<Field>
<Display class='InlineAlert'>
<Property name='alertType' value='warning'/><Property name='header' value='Data not Saved'/>
<Property name='value' value='The data entered is not yet saved.
Please click Save to save the information.'/></Display>
</Field>
Mensajes de alerta múltiplesDefina alertType sólo en la propiedad InlineAlert. Puede definir otras propiedades en InlineAlert$AlertItems.
<Field>
<Display class='InlineAlert'>
<Property name='alertType' value='error'/>
</Display>
<Field>
<Display class='InlineAlert$AlertItem'>
<Property name='header' value='Server Unreachable'/>
<Property name='value' value='The specified server could not
be contacted. Please view the logs for more information.'/>
<Property name='linkURL' value='viewLogs.jsp'/>
<Property name='linkText' value='View logs'/>
<Property name='linkTitle' value='Open a new window with
the server logs'/>
</Display>
</Field>
<Field>
<Display class='InlineAlert$AlertItem'>
<Property name='header' value='Invalid IP Address'/>
<Property name='value' value='The IP address entered is
in an invalid subnet. Please use the 192.168.0.x subnet.'/> </Display>
</Field>
</Field>
- Identity Manager proporciona ahora el componente de visualización Selector. (ID-12729)
Proporciona un campo con uno o varios valores (similar a los componentes Text o ListEditor, respectivamente) con campos de búsqueda debajo. Tras realizar una búsqueda, Identity Manager muestra los resultados debajo de los campos de búsqueda e introduce los resultados en el campo de valor.
A diferencia de otros componentes de contenedor, Selector cuenta con un valor (el campo que se rellena con los resultados de search). Los campos incluidos son normalmente campos de criterios de búsqueda. Selector implementa una propiedad para mostrar el contenido de los resultados de la búsqueda.
Las propiedades incluyen:
- fixedWidth: especifica si el componente debe tener un ancho fijo (el mismo comportamiento que Multiselect). (Booleano)
- multivalued: indica si el valor es una lista o una cadena. (El valor de esta propiedad determina si el campo ListEditor o Text se representa para el valor.) (Booleano)
- allowTextEntry: indica si los valores se deben seleccionar en la lista suministrada o si se pueden introducir manualmente. (Booleano)
- valueTitle: especifica la etiqueta que se utiliza en el componente value. (Cadena)
- pickListTitle: especifica la etiqueta que se utiliza en el componente picklist. (Cadena)
- pickValues: valores disponibles en el componente picklist (si es nulo, el picklist no se mostrará). (Lista)
- pickValueMap: mapa de etiquetas de visualización para los valores incluidos en el picklist. (Mapa o Lista)
- sorted: indica que los valores se deben ordenar en el picklist (si hay varios valores y no están ordenados, la lista de valores se ordenará también). (Booleano)
- clearFields: enumera los campos que deben reinicializarse cuando se selecciona el botón Clear. (Lista)
Las siguientes propiedades son sólo válidas en un componente de varios valores:
- ordered: indica que el orden de los valores es importante. (Booleano)
- allowDuplicates: indica si la lista de valores puede contener duplicados. (Booleano)
- valueMap: proporciona un mapa de etiquetas de visualización para los valores de la lista. (Mapa)
Estas propiedades son válidas solamente en un componente de un solo valor:
- nullLabel: especifica una etiqueta que se utiliza para indicar un valor nulo. (Cadena)
- Las descripciones de los componentes Select y MultiSelect se han revisado de la siguiente forma para incluir información sobre la propiedad caseInsensitive. (ID-13364)
Componente MultiSelect
Muestra un objeto de selección múltiple, que Identity Manager muestra como dos teclas de selección de texto, una al lado de la otra, en las que un conjunto definido de valores en un cuadro se puede desplazar a otro cuadro. Los valores del cuadro izquierdo se definen mediante la propiedad allowedValues; los valores se obtienen a menudo dinámicamente llamando a un método Java tal como FormUtil.getResources. Los valores mostrados en el cuadro derecho de selección múltiple se rellenan a partir del valor actual del atributo de vista asociado, que se identifica mediante el nombre de campo.
Puede definir los títulos de formulario para cada cuadro de este objeto de selección múltiple mediante las propiedades availabletitle y selectedtitle.
Si desea un componente MultiSelect que no utilice un applet, defina la propiedad noApplet en el valor “true”.
Nota Si ejecuta Identity Manager en un sistema que utilice el explorador Safari, deberá personalizar todos los formularios que contengan componentes MultiSelect para definir la opción noApplet. Defina esta opción como se indica a continuación:
<Display class='MultiSelect'>
<Property name='noApplet' value='true'/>
...
Las propiedades para este componente de visualización incluyen:
- availableTitle: especifica el título del cuadro disponible.
- selectedTitle: especifica el título del cuadro seleccionado.
- ordered: define si los elementos seleccionados se pueden desplazar hacia arriba o hacia abajo en la lista de elementos del cuadro de texto. El valor true indica que se representarán botones adicionales para poder desplazar los elementos seleccionados hacia arriba o hacia abajo.
- allowedValues: especifica los valores asociados al cuadro izquierdo del objeto de selección múltiple. Este valor debe ser una lista de cadenas. Nota: El elemento <Constraints> se puede utilizar para rellenar este cuadro, pero su uso se ha invalidado.
- sorted: especifica que los valores de ambos cuadros se ordenarán alfabéticamente.
- noApplet: especifica si el componente MultiSelect se implementará con un applet o con dos cuadros de selección HTML estándar. El valor predeterminado es utilizar una miniaplicación, que puede administrar mejor listas largas de valores. Consulte la nota anterior para obtener información sobre la utilización de esta opción en sistemas que utilicen el explorador Safari.
- typeSelectThreshold (disponible solamente cuando la propiedad noApplet se define en el valor “true”): controla si aparece un cuadro de selección de escritura anticipada en la lista allowedValue. Cuando el número de entradas del cuadro de selección izquierdo alcanza el umbral definido por esta propiedad, aparece un campo de entrada de texto adicional debajo del cuadro de selección. Al introducir caracteres en este campo de texto, el cuadro de selección se desplaza para mostrar la entrada coincidente si existe alguna. Por ejemplo, si introduce w, el cuadro de selección se desplazará a la primera entrada que empiece por w.
- width: especifica el ancho del cuadro seleccionado en píxeles. El valor predeterminado es 150.
- height: especifica el ancho del cuadro seleccionado en píxeles. El valor predeterminado es 400.
- caseInsensitive: utilícelo para realizar comparaciones sin que se distinga entre mayúsculas y minúsculas.
Componente Select
Muestra un objeto de selección única. Los valores del cuadro de lista se deben proporcionar mediante la propiedad allowedValues.
Las propiedades para este componente de visualización son:
- allowedValues: especifica la lista de valores que se pueden seleccionar para su visualización en el cuadro de lista.
- allowedOthers: cuando se define, especifica que los valores iniciales que no se encuentran en la lista allowedValues deben tolerarse y añadirse a la lista.
- autoSelect: cuando se define en el valor true, esta propiedad hace que el primer valor de la lista allowedValues se seleccione automáticamente si el valor inicial del campo es nulo.
- caseInsensitive: utilícelo para realizar comparaciones sin que se distinga entre mayúsculas y minúsculas.
- multiple: cuando se define en el valor true, permite seleccionar más de un valor.
- nullLabel: especifica el texto que aparece en la parte superior del cuadro de lista cuando no se selecciona ningún valor.
- optionGroupMap: permite que el selector represente opciones en grupos utilizando la etiqueta <optgroup>. Asigne formato al mapa de forma que las teclas de los mapas sean las etiquetas de grupo, y los elementos sean listas de elementos que puedan seleccionarse. (Los valores deben ser miembros de allowedValues para representarlos.)
- size (opcional): especifica el número máximo de filas que se muestran. Si el número de filas supera este tamaño, se añadirá una barra de desplazamiento.
- sorted: cuando se define en el valor true, los valores de la lista se ordenan.
- valueMap: asigna valores originales a valores mostrados.
El componente admite las propiedades command y onChange.
- En la información sobre el componente DatePicker se deben describir las siguientes propiedades nuevas. (ID-14802)
El componente HTML DatePicker permite ahora seleccionar fechas discretas. Puede especificar un conjunto de rango de fechas que permita seleccionar determinadas fechas en el calendario.
DatePicker implementa las dos nuevas propiedades siguientes:
SelectAfter: limita las fechas que se pueden seleccionar, mostradas en el calendario, a fechas correspondientes a la fecha introducida o posteriores. Este valor de propiedad puede ser una cadena de fecha o un objeto de fecha Java.
<Property name='SelectAfter' value='**/**/****'/>
SelectBefore: limita las fechas que se pueden seleccionar, mostradas en el calendario, a fechas correspondientes a la fecha introducida o anteriores. Este valor de propiedad puede ser una cadena de fecha o un objeto de fecha Java.
<Property name='SelectBefore' value='**/**/****'/>
Cuando utilice un formulario que implemente la etiqueta <Display class='DatePicker'>, añada estas variables al formulario para configurar el rango de fechas. Si no define estas propiedades, el calendario no se limitará a las fechas que pueden seleccionarse.
Identity Manager Technical Deployment OverviewEl análisis de los flujos de trabajo, los formularios y las páginas JSP relacionados pertenece a la descripción de la arquitectura incluida en Identity Manager Technical Deployment Overview (ID-7332).
Ejecución del proceso
Cuando un usuario introduce datos en un campo de una página y hace clic en Save, las vistas, los flujos de trabajo y los formularios interactúan a fin de permitir que se ejecuten los procedimientos necesarios para procesar los datos.
Cada página de Identity Manager tiene una vista, un flujo de trabajo y un formulario asociado que realiza el proceso necesario. En las dos tablas siguientes se enumeran estos flujos de trabajo, vistas y formularios.
Procesos de la interfaz de usuario de Identity Manager
En las tablas siguientes se indican los formularios, las vistas y los flujos de trabajo que están involucrados en los procesos iniciados desde las siguientes páginas de la interfaz de usuario de Identity Manager:
Procesos de la interfaz del administrador
En las tablas siguientes se indican los formularios, las vistas y las páginas JSP que están involucrados en los procesos iniciados desde las siguientes páginas de la interfaz del administrador de Identity Manager:
Páginas de Java Server (JSP) y su función en Identity Manager
En las tablas siguientes se describen las páginas JSP que se suministran con el sistema, así como las páginas de interfaz de usuario y administrador asociadas a ellas.
JSP para interfaz de usuario de Identity Manager
JSP para interfaz de administración
Apéndice A, Edición de los objetos de configuración
En la página A-4, la lista de QueryableAttrNames predeterminados debe incluir también el idmManager.
Referencia de recursos de Identity Manager 6.0
- La lista de atributos de cuenta admitidos en Resources Reference > Active Directory > Account Attributes > Account Attribute Support es más corriente en la versión PDF del documento que la versión HTML. Consulte la versión PDF. (ID-12630)
- El nodo de nivel superior de Identity Manager 6.0 Resources Reference 2005Q4M3 en la siguiente URL no contiene ningún vínculo a la sección Domino: (ID-12636)
http://docs.sun.com/app/docs/doc/819-4520
Localice la sección Domino abriendo Contenido en este nodo o en la siguiente URL:
http://docs.sun.com/source/819-4520/Domino_Exchange.html#wp999317
Adaptador de Access Manager
En el paso 5 del procedimiento “General Configuration” se debe indicar lo siguiente:
5. Añada las siguientes líneas al archivo java.security si aún no existen:
security.provider.2=com.ibm.crypto.provider.IBMJCE
security.provider.3=com.ibm.net.ssl.internal.ssl.ProviderEl número que sigue a security.provider en cada línea especifica el orden en el que Java consulta las clases de proveedor de seguridad y debe ser exclusivo. Los números de secuencia pueden variar según el entorno. Si ya tiene varios proveedores de seguridad en el archivo java.security, introduzca los nuevos proveedores de seguridad en el orden indicado anteriormente y renumere los proveedores de seguridad existentes. No elimine los proveedores de seguridad existentes ni los duplique. (ID-12044)
Adaptador de Active Directory
Active Directory admite ahora los atributos binarios thumbnailPhoto (Windows 2000 Server y superior) y jpegPhoto (Windows 2003).
Adaptador de SmartRoles de BridgeStream
Identity Manager proporciona ahora un adaptador de recurso de SmartRoles de BridgeStream que aprovisiona a los usuarios en SmartRoles. Este adaptador sitúa a los usuarios en las organizaciones adecuadas dentro de SmartRoles para que éste pueda determinar los roles comerciales que dichos usuarios deben tener.
Al recuperar un usuario desde SmartRoles, el adaptador recupera los roles comerciales del usuario. Estos roles comerciales se pueden utilizar en Identity Manager para determinar los roles, recursos, atributos y acceso de Identity Manager que se le deben asignar al usuario.
Además, SmartRoles puede ser una fuente de cambios de usuario utilizando Active Sync. Puede cargar usuarios de SmartRoles en Identity Manager y reconciliarlos.
Para obtener información detallada sobre este adaptador, consulte Sun Java™ System Identity Manager Resources Reference Addendum. (ID-12714)
Adaptador de ClearTrust
- El adaptador de recurso de ClearTrust admite ahora la versión 5.5.2 de ClearTrust.
- En los pasos 2 y 3 del procedimiento de las notas de instalación de Identity Manager se debe indicar lo siguiente (ID-12906):
- Copie el archivo ct_admin_api.jar del CD de instalación de Clear Trust al
directorio WEB-INF\lib.- Si utiliza SSL, copie al directorio WEB-INF\lib los archivos que se indican a continuación.
Nota Si está aprovisionando para un recurso RSA Clear Trust 5.5.2, no se requerirán bibliotecas adicionales para la comunicación con SSL.
Adaptador de tabla de base de datos
Este adaptador admite tipos de datos binarios, incluyendo BLOB, en Oracle. Los correspondientes atributos se deben marcar como binarios en el mapa de esquema. Entre los atributos binarios de ejemplo se incluyen archivos de gráficos, archivos de audio y certificados.
Adaptador de Flat File Active Sync
- El usuario administrativo debe disponer de acceso de lectura y escritura al directorio que contiene el archivo Flat File. Este usuario debe contar también con acceso de eliminación si el parámetro de Active Sync Procesar diferencias únicamente está habilitado.
Además, la cuenta de administrador debe contar con permisos de lectura, escritura y eliminación en el directorio especificado en el campo Ruta de fichero de registro de Active Sync. (ID-12477)
- Si el formato del archivo Flat File es LDIF, se podrán especificar atributos binarios, tales como archivos de gráficos, archivos de audio y certificados. No se admiten atributos binarios para archivos CSV y delimitados por canal de comunicación.
Adaptador de HP OpenVMS
Identity Manager proporciona ahora un adaptador de recurso de HP OpenVMS que admite la versión 7.0 de VMS y posteriores. Para obtener información detallada sobre este adaptador, consulte Sun Java™ System Identity Manager Resources Reference Addendum. (ID-8556)
Adaptador de JMS Listener
El adaptador de JMS Listener admite ahora el procesamiento síncrono de mensajes en lugar del procesamiento asíncrono. Como resultado, en el segundo párrafo de la sección de conexiones de las notas de utilización se debe indicar lo siguiente:
El adaptador de JMS Listener funciona en modo síncrono. Establece un consumidor síncrono de mensajes en la cola o en el destino de temas especificado mediante el campo JNDI name of Destination. Durante cada intervalo de interrogación, el adaptador recibe y procesa todos los mensajes disponibles. Opcionalmente, los mensajes se pueden cualificar de forma adicional definiendo una cadena válida de selector de mensajes JMS para el campo Selector de mensaje.
La sección Message Mapping debe contener lo siguiente:
Cuando el adaptador procesa un mensaje cualificado, el mensaje JMS recibido se convierte primero a un mapa de valores nombrados utilizando el mecanismo especificado mediante el campo Asignación de mensaje. Refiérase a este mapa resultante como mapa de valores de mensaje.
El mapa de valores de mensaje se traduce a continuación al mapa de Active Sync utilizando el mapa de esquema de atributos de cuenta. Si el adaptador tiene atributos de cuenta especificados, realizará una búsqueda en el mapa de valores de mensaje para encontrar nombres clave que aparezcan también como atributo de usuario de recursos en el mapa de esquema. Si existen, el valor se copiará al mapa de Active Sync, pero el nombre de entrada de dicho mapa se traducirá al nombre especificado en la columna de atributos de usuarios del sistema Identity del mapa de esquema.
Si el mapa de valores de mensaje contiene una entrada que no se pueda traducir utilizando el mapa de esquema de atributos de cuenta, la entrada del mapa de valores de mensaje se copiará sin modificarse al mapa de Active Sync.
Adaptador de LDAP
Admisión de atributos de cuentas binarias
Se admiten ahora los siguientes atributos de cuentas binarias de la clase de objeto inetOrgPerson:
Atributo de usuario de recursos
Sintaxis de LDAP
Descripción
audio
Audio
Archivo de audio.
jpegPhoto
JPEG
Imagen en formato JPEG.
userCertificate
certificado
Certificado, en formato binario.
Es posible que se admitan otras cuentas binarias, pero no se han comprobado.
Inhabilitación y habilitación de cuentas
El adaptador de LDAP proporciona varias formas para inhabilitar cuentas en un recurso de LDAP. Utilice una de las siguientes técnicas para inhabilitar cuentas.
Cambie la contraseña a un valor desconocidoPara inhabilitar cuentas cambiando la contraseña a cuentas con valor desconocido, deje en blanco los campos Método de activación de LDAP y Parámetro de activación de LDAP. Este es el método predeterminado para inhabilitar cuentas. La cuenta se puede habilitar de nuevo asignando una nueva contraseña.
Asigne el rol nsmanageddisabledrolePara utilizar el rol nsmanageddisabledrole de LDAP a fin de inhabilitar y habilitar cuentas, configure el recurso de LDAP como se indica a continuación:
- En la página Parámetros de recurso, defina el campo Método de activación de LDAP como nsmanageddisabledrole.
- Defina el campo Parámetro de activación de LDAP como AtributoIDM=CN=nsmanageddisabledrole,Contextobase. (El AtributoIDM se especificará en el esquema en el siguiente paso.)
- En la página Atributos de cuenta, añada el AtributoIDM como atributo de usuario de Identity System. Defina el atributo de usuario de recurso como nsroledn. El atributo debe ser de tipo cadena.
- Cree un grupo llamado nsAccountInactivationTmp en el recurso de LDAP y asigne CN=nsdisabledrole,Contextobase como miembro.
Las cuentas de LDAP ahora se pueden inhabilitar. Para realizar la verificación utilizando la consola de LDAP, compruebe el valor del atributo nsaccountlock. El valor true indica que la cuenta está bloqueada.
Si la cuenta se vuelve a habilitar posteriormente, perderá el rol.
Defina el atributo nsAccountLockPara utilizar el atributo nsAccountLock a fin de inhabilitar y habilitar cuentas, configure los recursos de LDAP como se indica a continuación:
- En la página Parámetros de recurso, defina el campo Método de activación de LDAP como nsaccountlock.
- Defina el campo Parámetro de activación de LDAP como AtributoIDM=true. (El AtributoIDM se especificará en el esquema en el siguiente paso.) Por ejemplo, accountLockAttr=true.
- En la página Atributos de cuenta, añada el valor especificado en el campo Parámetro de activación de LDAP como atributo de usuario de Identity System. Defina el atributo de usuario de recurso como nsaccountlock. El atributo debe ser de tipo cadena.
- Defina el atributo de LDAP nsAccountLock del recurso como true.
Identity Manager define nsaccountlock como true al inhabilitar una cuenta. Asume también que los usuarios de LDAP preexistentes que tienen nsaccountlock definido como true están inhabilitados. Si nsaccountlock tiene algún valor que no sea true (incluido nulo), el sistema concluirá que el usuario está habilitado.
Inhabilite cuentas sin los atributos nsmanageddisabledrole y nsAccountLockSi los atributos nsmanageddisabledrole y nsAccountLock no se encuentran disponibles en el servidor de directorios, pero el servidor cuenta con un método similar para inhabilitar cuentas, introduzca uno de los siguientes nombres de clase en el campo Método de activación de LDAP. El valor que se introduce en el campo Parámetro de activación de LDAP varía en función de la clase.
Adaptadores de mainframe (ACF2, Natural, RACF, Top Secret)
Reflection de Attachmate correspondiente a la biblioteca de clases de emulador web (ECL de Reflection) se puede utilizar para conectarse a un recurso de mainframe. Esta biblioteca es compatible con la API de IBM Host on Demand. Siga todas las instrucciones de instalación proporcionadas con el producto. A continuación, realice los procedimientos descritos en “Notas de instalación” y “Configuración de SSL”.
Notas de instalación
Realice los siguientes pasos para configurar conexiones utilizando la ECL de Reflection de Attachmate:
- Añada el recurso a la lista de recursos de Identity Manager como se describe en la Identity Manager Resources Reference.
- Copie los archivos JAR correspondientes al directorio WEB-INF/lib de la instalación de Identity Manager.
- Añada las siguientes definiciones al archivo Waveset.properties para definir el servicio que administra la sesión del terminal:
serverSettings.IDservidor.mainframeSessionType=Valor
serverSettings.default.mainframeSessionType=Valor
El Valor se puede definir como se indica a continuación:
- Si las bibliotecas de Attachmate se instalan en WebSphere Application Server, agregue la propiedad com.wrq.profile.dir=LibraryDirectory al archivo WebSphere/AppServer/configuration/config.ini.
Ello permite que el código de Attachmate encuentre el archivo de licencia.
- Reinicie el servidor de aplicación para que surtan efecto las modificiones realizadas en el archivo Waveset.properties.
Realice los pasos descritos en Configuración de SSL.
Configuración de SSL
Reflection de Attachmate correspondiente a la biblioteca de clases de emulador web (ECL de Reflection) es compatible con la API de IBM Host on Demand. Siga todas las instrucciones de instalación proporcionadas con el producto. A continuación, realice los siguientes pasos en Identity Manager.
- Si aún no existe un atributo de recurso llamado Session Properties para el recurso, utilice las páginas de depuración o de IDE de Identity Manager para añadir el atributo al objeto de recurso. Añada la siguiente definición en la sección <ResourceAttributes>:
<ResourceAttribute name='Session Properties' displayName='Session Properties' description='Session Properties' multi='true'>
</ResourceAttribute>
- Vaya a la página Parámetros de recurso correspondiente al recurso y añada los siguientes valores al atributo de recurso Session Properties:
encryptStream
true
hostURL
tn3270://nombrehost:puertoSSL
keystoreLocation
Path_To_Trusted_ps.pfx_fileAdaptadores de Oracle/Oracle ERP
El capítulo de Oracle/Oracle ERP de Identity Manager Resources Reference se ha dividido en dos capítulos independientes en esta versión. Consulte Sun Java™ System Identity Manager Resources Reference Addendum para ver estos dos capítulos nuevos. (ID-12758)
Adaptador de Oracle
- La admisión de Oracle 8i se eliminó erróneamente de la tabla de adaptadores y de la sección del adaptador de Oracle del capítulo 1 de Identity Manager Resources Reference. Identity Manager admite Oracle 8i como recurso. (ID-13078)
- El nombre de sección updateableAttributes se ha corregido a updatableAttributes en el paso 1 de la sección Cascade Deletes de este capítulo como se indica a continuación (ID-13075):
- El atributo de cuenta noCascade indica si se deben realizar eliminaciones en cascada al eliminar usuarios. De forma predeterminada, se realizan eliminaciones en cascada. Para inhabilitar las eliminaciones en cascada, añada una entrada a la sección updatableAttributes del objeto de configuración del sistema (System Configuration Object):
- La descripción del atributo de cuenta oracleTempTSQuota debe ser como se indica a continuación:
La máxima cantidad de espacio de tablas temporal que puede asignar el usuario. Si el atributo aparece en el mapa de esquemas, la cuota siempre se establece en el espacio de tablas temporal. Si el atributo se suprime del mapa de esquemas, no se establece ninguna cuota en el espacio de tablas temporal. El atributo debe suprimirse para los adaptadores que se comunican con recursos de Oracle 10gR2. (ID-12843)
Adaptador de Oracle ERP
- El adaptador de Oracle ERP proporciona ahora un atributo de cuenta employee_number que representa un employee_number de la tabla per_people_f (ID-12796):
- Al introducir un valor en el proceso de creación, el adaptador intenta buscar un registro de usuario en la tabla per_people_f, recupera el person_id en la API de creación e inserta el person_id en la columna employee_id de la tabla fnd_user.
- Si no se introduce ningún número de empleado (employee_number) en el proceso de creación, el sistema no intentará crear vínculos.
- Si introduce un número de empleado (employee_number) en el proceso de creación y ese número no se encuentra, el adaptador devolverá una excepción.
- El adaptador intentará devolver el employee_number en un getUser si el employee_number está en el esquema del adaptador.
- El atributo de cuenta npw_number admite trabajadores eventuales. Funciona de la misma manera que employee_number. Los atributos employee_number y npw_number son autoexcluyentes. Si se introducen ambos al crear, tiene prioridad employee_number. (ID-16507)
Auditoría de responsabilidades
Se han añadido múltiples atributos al adaptador de Oracle ERP para que admita funciones de auditoría. (ID-11725)
Para auditar los subelementos (tales como formularios y funciones) de responsabilidades asignadas a usuarios, añada el objeto auditorObject al mapa de esquema. El objeto auditorObject es un atributo complejo que contiene un conjunto de objetos de responsabilidad. Los siguientes atributos se devuelven siempre en un objeto de responsabilidad:
- responsibility
- userMenuNames
- menuIds
- userFunctionNames
- functionIds
- formIds
- formNames
- userFormNames
- readOnlyFormIds
- readWriteOnlyFormIds
- readOnlyFormNames
- readOnlyUserFormNames
- readWriteOnlyFormNames
- readWriteOnlyUserFormNames
- functionNames
- readOnlyFunctionNames
- readWriteOnlyFunctionNames
Nota Los atributos readOnly y ReadWrite se identifican consultando la columna PARAMETERS de la tabla fnd_form_functions para encontrar uno de los siguientes valores:
Si el parámetro de recurso Devolver conjunto de libros y/u organización se define en el valor TRUE, se devolverán también los siguientes atributos:
Con la excepción de los atributos de responsabilidad, setOfBooksName, setOfBooksId, organizationalUnitId y organizationalUnitName, los nombres de atributo se corresponden con los nombres de atributos de cuenta que se pueden añadir al mapa de esquema. Los atributos de cuenta contienen un conjunto agregado de valores que se asignan al usuario. Los atributos incluidos en los objetos responsibility son específicos de la responsabilidad.
La vista auditorResps[] proporciona acceso a los atributos de responsabilidad. El siguiente formulario snippet devuelve todas las responsabilidades activas (y sus atributos) asignadas a un usuario.
<defvar name='audObj'>
<invoke name='get'>
<ref>accounts[Oracle ERP 11i VIS].auditorObject</ref>
</invoke>
</defvar>
<!-- this returns list of responsibility objects -->
<defvar name='respList'>
<invoke name='get'>
<ref>audObj</ref>
<s>auditorResps[*]</s>
</invoke>
</defvar>
Por ejemplo:
Compatibilidad con Oracle EBS 12
El adaptador de Oracle ERP es compatible con Oracle E-Business Suite (EBS) versión 12. Ya no es preciso editar ni inhabilitar secciones del formulario OracleERPUserForm según la versión de ERP instalada, como se explica en Identity Manager Resources Reference.
El atributo FormRef ahora admite las propiedades siguientes:
- RESOURCE_NAME — Especifica el nombre del recurso de ERP.
- VERSION – Especifica la versión del recurso de ERP. Se admiten los valores 11.5.9, 11.5.10, 12.
- RESP_DESCR_COL_EXISTS — Determina si la tabla fnd_user_resp_groups_direct incluye la columna de descripción. Esta propiedad es necesaria con las versiones 11.5.10 y 12. Admite los valores TRUE y FALSE.
Estas propiedades deben introducirse siempre que se referencie el formulario de usuario. Por ejemplo, es posible que el formulario de usuario Tabbed User Form necesite algo como lo siguiente para ser compatible con la versión 12.
<FormRef name='Oracle ERP User Form'>
<Property name='RESOURCE_NAME' value='Oracle ERP R12'/>
<Property name='VERSION' value='12'/>
<Property name='RESP_DESCR_COL_EXISTS' value='TRUE'/>
</FormRef>Adaptador de SAP
- En la sección Account Attributes, se ha corregido la tabla que describe los tipos de información iDoc predeterminados que admite el adaptador de SAP HR Active Sync. El subtipo admitido que se enumera para el tipo de información de comunicación 0105 se ha cambiado de EMAIL a MAIL como se indica a continuación (ID-12880):
De forma predeterminada, se admiten los siguientes tipos de información:
El adaptador SAPHRActiveSyncAdapter admite ahora mySAP ERP ECC 5.0 (SAP 5.0).
Como resultado, se han realizado los siguientes cambios en las notas de configuración de recursos. (ID-12769):Adaptador de recursos de SAP
Las siguientes notas de configuración de recursos se aplican al adaptador de recursos de SAP solamente.
Para que un usuario pueda cambiar su propia contraseña SAP, realice los siguientes pasos:
Adaptador de SAP HR Active Sync
Las siguientes notas de configuración de recursos se aplican al adaptador de SAP HR Active Sync solamente.
La tecnología Application Link Enabling (ALE) de SAP posibilita la comunicación entre SAP y sistemas externos como Identity Manager. El adaptador de SAP HR Active Sync utiliza una interfaz ALE de salida. En una interfaz ALE de salida, el sistema lógico base se convierte en el emisor de mensajes de salida y en el receptor de mensajes de entrada. Un usuario SAP se conectará probablemente al cliente/sistema lógico base al realizar cambios en la base de datos (por ejemplo, para contratar un empleado, actualizar datos de posición, dar de baja a un empleado, etc.). Se debe definir también un cliente/sistema lógico para el cliente de recepción. Este sistema lógico actuará como receptor de mensajes de salida. Con respecto al tipo de mensaje entre los dos sistemas, el adaptador de Active Sync utiliza un tipo de mensaje HRMD_A. El tipo de mensaje caracteriza los datos que se envían en los sistemas y se relaciona con la estructura de los datos, que se conoce también como tipo IDoc (por ejemplo, HRMD_A05).
Los siguientes pasos proporcionan las configuraciones necesarias en SAP para que el adaptador de Active Sync reciba datos obligatorios de SAP HR:
Nota Debe configurar los parámetros del sistema SAP para habilitar el procesamiento de Application Link Enabling (ALE) de IDocs HRMD_A. Esto permite realizar la distribución de datos entre dos sistemas de aplicación, proceso conocido también como mensajería.
Creación de un sistema lógico
En función de su entorno SAP actual, puede no ser necesario crear un sistema lógico. Es posible que sólo deba modificar un modelo de distribución existente añadiendo el tipo de mensaje HRMD_A a una vista de modelos anteriormente configurada. No obstante, es importante que siga las recomendaciones de SAP sobre sistemas lógicos y para configurar la red ALE. En las siguientes instrucciones se asume que está creando nuevos sistemas lógicos y una vista nueva de modelos.
- Introduzca el código de transacción SPRO y, a continuación, muestre el proyecto SAP Reference IMGproject (o el proyecto aplicable a su organización).
- En función de la versión SAP que utilice, realice uno de los siguientes procedimientos:
- Para SAP 4.6, haga clic en Basis Components > Application Link Enabling (ALE) > Sending and Receiving Systems > Logical Systems > Define Logical System.
- Para SAP 4.7, haga clic en SAP Web Application Server > Application Link Enabling (ALE) > Sending and Receiving Systems > Logical Systems > Define Logical System.
- Para SAP 5.0, haga clic en SAP Netweaver > SAP Web Application Server > IDOC Interface/Application Link Enabling (ALE) > Basic Settings > Logical Systems > Define Logical System.
- Haga clic en Edit > New Entries.
- Introduzca un nombre y una descripción para el sistema lógico que desea crear (IDMGR).
- Guarde la entrada.
Asignación de un cliente al sistema lógico
- Introduzca el código de transacción SPRO y, a continuación, muestre el proyecto SAP Reference IMGproject (o el proyecto aplicable a su organización).
- En función de la versión SAP que utilice, realice uno de los siguientes procedimientos:
- Para SAP 4.6, haga clic en Basis Components > Application Link Enabling (ALE) > Sending and Receiving Systems > Logical Systems > Assign Client to Logical System.
- Para SAP 4.7, haga clic en SAP Web Application Server > Application Link Enabling (ALE) > Sending and Receiving Systems > Logical Systems > Assign Client to Logical System.
- Para SAP 5.0, haga clic en SAP Netweaver > SAP Web Application Server > IDOC Interface/Application Link Enabling (ALE) > Basic Settings > Logical Systems > Assign Client to Logical System.
- Seleccione el cliente.
- Haga clic en GOTO > Details para mostrar el cuadro de diálogo Client Details.
- En el campo Logical System, introduzca el sistema lógico que desea asignar a este cliente.
- En la sección Changes and Transports for Clients, haga clic en Automatic Recording of Changes.
- Guarde la entrada.
Creación de un modelo de distribución
Para crear un modelo de distribución:
- Verifique que está conectado al cliente/sistema de envío.
- Introduzca el código de transacción BD64. Compruebe que está en el modo de cambio.
- Haga clic en Edit > Model View > Create.
- Introduzca los nombres cortos y técnicos para la vista, así como la fecha de inicio y finalización y, a continuación, haga clic en Continuar.
- Seleccione la vista que ha creado y haga clic en Add Message Type.
- Defina el nombre del sistema lógico/emisor.
- Defina el nombre del receptor/servidor.
- En la sección Protection Client Copier and Comparison Tool, haga clic en Protection Level: No Restriction.
- Defina el tipo de mensaje que desea utilizar (HRMD_A) y haga clic en Continuar.
- Haga clic en Save.
Registro del módulo de servidor RFC con la puerta de enlace de SAP
Durante la inicialización, el adaptador de Active Sync se registra con la puerta de enlace de SAP. Utiliza “IDMRFC” para su ID. Este valor debe coincidir con el valor definido en la aplicación SAP. Debe configurar la aplicación SAP de forma que el módulo de servidor RFC pueda crear un identificador para ella. Para registrar el módulo de servidor RFC como destino RFC:
- En la aplicación SAP, acceda a la transacción SM59.
- Expanda el directorio de conexiones TCP/IP.
- Haga clic en Create (F8).
- En el campo de destino RFC, introduzca el nombre del sistema de destino RFC. (IDMRFC).
- Defina el tipo de conexión como T (inicie un programa externo mediante TCP/IP).
- Introduzca una descripción para el nuevo destino RFC y haga clic en Guardar.
- Haga clic en el botón Registro para el tipo de activación.
- Defina el ID de programa. Se recomienda que utilice el mismo valor que el destino RFC (IDMRFC); a continuación, haga clic en Enter.
- Si el sistema SAP es Unicode, el puerto se deberá configurar para Unicode. Haga clic en la ficha Special Options y busque la sección Character Width In Target System. Hay una configuración para Unicode y no Unicode.
- Mediante los botones de la parte superior (Conexión de prueba y Unicode Test), compruebe la conexión al recurso de Identity Manager. Debe haber iniciado el adaptador para realizar la prueba correctamente.
Creación de una definición de puerto
El puerto es el canal de comunicación al que se envían IDocs. El puerto describe el enlace técnico entre los sistemas de envío y recepción. Debe configurar un puerto RFC para esta solución. Para crear una definición de puerto:
Modificación de la definición de puerto
Al generar un perfil de partner, es posible que la definición de puerto se introduzca incorrectamente. Para que el sistema funcione correctamente, deberá modificar la definición de puerto.
- Introduzca el código de transacción WE20.
- Seleccione Partner Type LS.
- Seleccione el perfil de partner de recepción.
- Seleccione Outbound Parameters y haga clic en Display.
- Seleccione el tipo de mensaje HRMD_A.
- Haga clic en Outbound Options y, a continuación, modifique el puerto receptor para que se corresponda con el nombre de puerto RFC que ha creado (IDMGR).
- En el modo de salida, seleccione Transfer IDoc Immediately para enviar IDocs inmediatamente después de crearlos.
- En la sección IDoc Type, seleccione un tipo básico:
- Haga clic en Continuar/Guardar.
Adaptador de Scripted JDBC
Identity Manager proporciona ahora un adaptador de recurso de Scripted JDBC que permite administrar cuentas de usuario en cualquier esquema de base de datos y en cualquier base de datos accesible mediante JDBC. Este adaptador admite también Active Sync para interrogar sobre cambios de cuenta en la base de datos. Para obtener información detallada sobre este adaptador, consulte Sun Java™ System Identity Manager Resources Reference Addendum. (ID-12506)
Adaptador de Shell Script
Identity Manager proporciona ahora un adaptador de recurso de Shell Script que permite administrar recursos controlados mediante secuencias de shell que se ejecutan en el sistema que incluye el recurso. Este adaptador es de uso general, por lo que es altamente configurable.
Adaptador de Siebel CRM
Ahora se pueden crear y actualizar objetos Siebel que requieren navegación por el componente comercial principal/secundario. Se trata de una función avanzada que normalmente no se implementa en Identity Manager.
La función de navegación avanzada permite especificar opcionalmente la siguiente información necesaria para crear y actualizar componentes comerciales secundarios:
Se puede utilizar una regla de navegación avanzada durante acciones de creación y actualización. No se puede utilizar para otros tipos de acciones.
Para implementar la función de navegación avanzada del adaptador de Siebel CRM, debe realizar las siguientes tareas:
- Añada un atributo al mapa de esquema en el que el atributo de usuario de recurso (lado derecho) se llame PARENT_COMP_ID.
- Utilice la página de depuración para añadir manualmente el siguiente atributo de recurso al XML del recurso
<ResourceAttribute name='AdvancedNavRule'
displayName='Advanced Nav Rule'
value='MY_SIEBEL_NAV_RULE'></ResourceAttribute>
Sustituya MY_SIEBEL_NAV_RULE por un nombre de regla válido.
- Escriba la regla de navegación avanzada. Debe haber dos variables para la regla:
resource.action: el valor debe ser create o update.
resource.objectType: para el mantenimiento normal de la cuenta, este valor será account.
La regla debe devolver un mapa con uno o varios de los siguientes pares de nombre/valor:
En $WSHOME/sample/rules/SiebelNavigationRule.xml se proporciona una regla de navegación de ejemplo.
Adaptador de Sun Java System Access Manager
Instalación y configuración de Sun Java System Access Manager (versiones anteriores a Access Manager 7.0)
En los pasos 4 y 8 del procedimiento “Instalación y configuración de Sun Java System Access Manager” debe indicarse lo siguiente (ID-13087):
- Cree un directorio para incluir los archivos que se copiarán desde el servidor de Sun Java System Access Manager. Este directorio se denominará CfgDir en este procedimiento. La ubicación de Sun Java System Access Manager se denominará AccessMgrHome.
- Copie los siguientes archivos de AccessMgrHome a CfgDir. No copie la estructura del directorio.
- En UNIX, puede ser necesario cambiar los permisos de los archivos jar incluidos en CfgDir para permitir el acceso de lectura universal. Ejecute el siguiente comando para cambiar permisos:
chmod a+r CfgDir/*.jar
- Preceda la ruta de clase JAVA con lo siguiente:
- Si utiliza la versión 6.0, defina la propiedad de sistema Java para que señale a su directorio CfgDir. Utilice un comando similar a lo siguiente:
java -Dcom.iplanet.coreservices.configpath=CfgDir
- Si utiliza la versión 6.1 o una posterior, añada o edite las siguientes líneas en el archivo CfgDir/AMConfig.properties:
com.iplanet.services.configpath=CfgDircom.iplanet.security.
SecureRandomFactoryImpl=com.iplanet.am.util.SecureRandomFactoryImplcom.iplanet.security.SSLSocketFactoryImpl=netscape.ldap.
factory.JSSESocketFactorycom.iplanet.security.encryptor=com.iplanet.services.util.
JCEEncryptionLa primera línea define la ruta de configuración (configpath). Las tres últimas líneas cambian configuraciones de seguridad.
- Copie los archivos CfgDir/am_*.jar a $WSHOME/WEB-INF/lib. Si utiliza la versión 6.0, copie también el archivo jss311.jar al directorio $WSHOME/WEB-INF/lib.
- Si Identity Manager se ejecuta en Windows y utiliza Identity Server 6.0, copie IdServer\lib\jss\*.dll a CfgDir y añada CfgDir a la ruta de su sistema.
Nota En un entorno en el que Identity Manager esté instalado en un sistema distinto de Sun Java System Access Manager, compruebe las siguientes condiciones de error. Si al intentar conectarse al recurso de Sun Java System Access Manager se devuelve un error java.lang.ExceptionInInitializerError, seguido de java.lang.NoClassDefFoundError, en intentos posteriores, compruebe si los datos de configuración son incorrectos o si faltan.
Asimismo, compruebe el archivo jar con respecto a la clase indicada por el error java.lang.NoClassDefFoundError. Preceda la ruta de clase del archivo jar que contiene la clase a la ruta de clase JAVA en el servidor de aplicaciones.
Instalación y configuración de Sun Java System Access Manager (versiones 7.0 y posteriores en modo antiguo)
Realice los siguientes pasos para instalar y configurar el adaptador de recursos para el modo antiguo.
- Siga las instrucciones indicadas en Sun Java™ System Access Manager 7 2005Q4 Developer's Guide para compilar el SDK de cliente a partir de la instalación de Sun Access Manager.
- Extraiga los archivos AMConfig.properties y amclientsdk.jar del archivo war que se genera.
- Incluya una copia de AMConfig.properties en el directorio:
InstallDir/WEB-INF/classes
- Incluya una copia de amclientsdk.jar en el directorio:
InstallDir/WEB-INF/lib
Adaptador de servicios de comunicaciones de sistemas Sun Java
- La secuencia de comandos de ejemplo que se puede ejecutar en el recurso Proxy tras crear un usuario se ha enumerado incorrectamente. En su lugar, se deberá utilizar la siguiente secuencia de comandos: (ID-12536)
SET PATH=c:\Sun\Server-Root\lib
SET SYSTEMROOT=c:\winnt
SET CONFIGROOT=C:/Sun/Server-Root/Config
mboxutil -c -P user/%WSUSER_accountId%.*
- Se admiten ahora los siguientes atributos de cuentas binarias de la clase de objeto inetOrgPerson:
Es posible que se admitan otras cuentas binarias, pero no se han comprobado.
Adaptador de Top Secret
En Identity Manager Resources Reference se indica incorrectamente que el adaptador de Top Secret permite cambiar el nombre de las cuentas. El adaptador no permite cambiar el nombre de las cuentas de Top Secret.
Capítulo 3: Adición de acciones a recursos
En la sección “Windows NT Examples”, los nombres de Field se han definido incorrectamente en los tres ejemplos. Sustituya instancias de accounts[NT].attributes. por resourceAccounts.currentResourceAccounts[NT].attributes. Por ejemplo, en la sección “Example 3: Action that Follows the Deletion of a User”, el nombre de Field del paso 4 se debe definir de la siguiente forma:
<Field name= 'resourceAccounts.currentResourceAccounts[NT].attributes.delete after action'>
Ajuste, solución de problemas y mensajes de error en Identity ManagerInformación añadida
- Ahora puede utilizar la función de seguimiento estándar de com.waveset.task.Scheduler para realizar un seguimiento del programador de tareas si una tarea presenta problemas.
Para obtener más información, consulte Tracing the Identity Manager Server en Ajuste, solución de problemas y mensajes de error en Sun Java™ System Identity Manager.
- Para depurar un problema que se produzca en un nivel inferior a un método de entrada específico, realice un seguimiento en el nivel de método. Identity Manager proporciona ahora la capacidad de realizar el seguimiento de un método solamente y de sus subllamadas directas e indirectas. (ID-14967)
Para habilitar esta función, defina el nivel de seguimiento para un ámbito con el modificador subcalls, como se muestra a continuación:
trace 4,subcalls=2 com.waveset.recon.ReconTask$WorkerThread#reconcileAccount
De esta forma se realizará el seguimiento del método reconcileAccount() en el nivel 4 y de todas las subllamadas en el nivel 2.
Para obtener más información, consulte Defining a Trace Configuration en Ajuste, solución de problemas y mensajes de error en Sun Java™ System Identity Manager.
Correcciones
Como necesita instalar JDK 1.4.2 en esta versión, las instrucciones para eliminar los archivos Cryptix jar (cryptix-jceapi.jar y cryptix-jce-provider.jar) del directorio idm\WEB-INF\lib que se proporcionan en el capítulo 1: Performance Tuning, Optimizing the J2EE Environment, ya no sirven (a menos que actualice una versión anterior de Identity Manager).
Identity Manager Deployment ToolsCorrecciones
Capítulo 7: Utilización de servicios Web en Identity Manager
El ejemplo launchProcess proporcionado en la sección ExtendedRequest Examples se ha corregido como se indica a continuación (ID-13044):
launchProcess
El siguiente ejemplo muestra un formato habitual para la solicitud launchProcess.
(Vista — Vista de proceso).ExtendedRequest req = new ExtendedRequest();
req.setOperationIdentifier("launchProcess");
req.setAsynchronous(false);
req.setAttribute("process", "Custom Process Name");
req.setAttribute("taskName", "Custom Process Display Name");
SpmlResponse res = client.request(req);
Utilización de helpToolEn Identity Manager 6.0 se ha añadido una nueva función que permite realizar búsquedas en la ayuda en línea y los archivos de documentación, que se encuentran en formato HTML. El motor de búsqueda se basa en la tecnología de motor de búsqueda SunLabs “Nova”.
El motor Nova funciona en dos fases: indexación y recuperación. Durante la fase de indexación se analizan los documentos introducidos y se crea un índice que se utiliza durante la fase de recuperación. Durante la recuperación es posible extraer “fragmentos” incluidos en el contexto en el que se encontraron los términos de la consulta. El proceso de recuperación de fragmentos requiere que los archivos HTML originales estén presentes, motivo por el cual deben residir en una ubicación del sistema de archivos a la que pueda acceder el motor de búsqueda.
helpTool es un programa de Java que realiza dos funciones básicas:
helpTool se ejecuta desde la línea de comandos como sigue:
$ java -jar helpTool.jar
usage: HelpTool
-d Destination directory
-h This help information
-i Directory or JAR containing input files, no wildcards
-n Directory for Nova index
-o Output file name
-p Indexing properties file
Reconstrucción/recreación del índice de la ayuda en línea
Los archivos HTML de la ayuda en línea se empaquetan en un archivo JAR. Para que el motor de búsqueda funcione, debe extraerlos a un directorio. Realice el siguiente procedimiento:
- Descomprima helpTool en un directorio temporal. (Detalles TBD)
En este ejemplo, los archivos se van a extraer en /tmp/helpTool.
- En el intérprete de comandos de UNIX o en la ventana de comandos de Windows, cambie el directorio a la ubicación del contenedor Web en el que se ha implementado la aplicación Identity Manager.
Por ejemplo, el siguiente podría ser un directorio de Sun Java System Application Server:
/opt/SUNWappserver/domains/domain1/applications/j2ee-modules/idm
- Cambie el directorio de trabajo actual a help/.
Nota Es importante ejecutar helpTool desde este directorio. De lo contrario, el índice no se generará correctamente. Además, debería borrar los archivos de índice anteriores eliminando el contenido del subdirectorio index/help/.
- Recopile la siguiente información para los argumentos de la línea de comandos:
- Ejecute el comando siguiente:
$ java -jar /tmp/helpTool/helpTool.jar -d html/help/en_US -i ../
WEB-INF/lib/idm.jar -n index/help -o help_files_help.txt -p index/index.propertiesExtracted 475 files.
[15/Dec/2005:13:11:38] PM Init index/help AWord 1085803878
[15/Dec/2005:13:11:38] PM Making meta file: index/help/MF: 0
[15/Dec/2005:13:11:38] PM Created active file: index/help/AL
[15/Dec/2005:13:11:40] MP Partition: 1, 475 documents, 5496 terms.
[15/Dec/2005:13:11:40] MP Finished dumping: 1 index/help 0.266
[15/Dec/2005:13:11:40] IS 475 documents, 6.56 MB, 2.11 s, 11166.66 MB/h
[15/Dec/2005:13:11:40] PM Waiting for housekeeper to finish
[15/Dec/2005:13:11:41] PM Shutdown index/help AWord 1085803878
Reconstrucción/recreación del índice de la documentación
Para reconstruir o volver a crear el índice de la documentación, realice el siguiente procedimiento:
- Descomprima helpTool en un directorio temporal. (Detalles TBD)
En este ejemplo, los archivos se van a extraer en /tmp/helpTool.
- En el intérprete de comandos de UNIX o en la ventana de comandos de Windows, cambie el directorio a la ubicación del contenedor Web en el que se ha implementado la aplicación Identity Manager.
Por ejemplo, el siguiente podría ser un directorio de Sun Java System Application Server:
/opt/SUNWappserver/domains/domain1/applications/j2ee-modules/idm
- Cambie el directorio de trabajo actual a help/.
Nota helpTool se debe ejecutar desde este directorio. De lo contrario, el índice no se generará correctamente. Además, debería borrar los archivos de índice anteriores eliminando el contenido del subdirectorio index/docs/.
- Recopile la siguiente información para los argumentos de la línea de comandos:
- Ejecute el comando siguiente:
$ java -jar /tmp/helpTool/helpTool.jar -d html/docs -i ../doc/HTML/en_US -n index/docs -o help_files_docs.txt -p index/index.properties
Copied 84 files.
Copied 105 files.
Copied 1 files.
Copied 15 files.
Copied 1 files.
Copied 58 files.
Copied 134 files.
Copied 156 files.
Copied 116 files.
Copied 136 files.
Copied 21 files.
Copied 37 files.
Copied 1 files.
Copied 13 files.
Copied 2 files.
Copied 19 files.
Copied 20 files.
Copied 52 files.
Copied 3 files.
Copied 14 files.
Copied 3 files.
Copied 3 files.
Copied 608 files.
[15/Dec/2005:13:24:25] PM Init index/docs AWord 1252155067
[15/Dec/2005:01:24:25] PM Making meta file: index/docs/MF: 0
[15/Dec/2005:01:24:25] PM Created active file: index/docs/AL
[15/Dec/2005:01:24:28] MP Partition: 1, 192 documents, 38488 terms.
[15/Dec/2005:01:24:29] MP Finished dumping: 1 index/docs 0.617
[15/Dec/2005:01:24:29] IS 192 documents, 14,70 MB, 3,81 s, 13900,78 MB/h
[15/Dec/2005:01:24:29] PM Waiting for housekeeper to finish
[15/Dec/2005:13:24:30] PM Shutdown index/docs AWord 1252155067