Sun Java System Identity Installation Pack 2005Q4M3 SP2 发行说明 |
先前的功能和错误修复
先前的功能本节包含 Identity Installation Pack 2005Q4M3 的先前服务包新增功能的摘要和详细信息。
安装和更新
管理员界面和用户界面
- 配置 > 服务器 > 编辑服务器设置/编辑默认服务器设置面板现在包含“电子邮件模板”选项卡。此选项卡包含默认/每个服务器 SMTP 主机变量,带有 $(smtpHost) 变量的所有电子邮件模板都会将此主机变量用作其默认值。如果 SMTP 主机字段为空,则此选项卡还使用服务器配置变量。(ID-3574)
- Identity Manager 管理员界面中的“更改用户密码”页和“重设用户密码”页现在包含针对搜索类型的菜单选项。这些下拉选项包含开始于、包含和等于操作数,用于搜索需要更改或重设密码的用户。(ID-8965)
- “调试”页现在提供导出默认值和导出全部选项。这些选项的用法与控制台选项的用法类似,只不过“调试”页选项没有为导出的文件名提供选择。Identity Manager 会改为创建名为 export<date>.xml 的文件,可以从“调试”页保存此文件。(ID-9270)
- 导入包含“抄送”地址的电子邮件模板现在得到支持。(ID-9768)
- “身份属性”页现在会显示“密码”部分,它说明与身份属性有关的密码生成状态。根据默认值、规则或分配生成密码的 Identity System 帐户策略,可以配置 Identity Manager 来将密码分配给新用户。(ID-10274, 12560)
- 修改了与策略编辑相关的错误消息。(ID-12187)
- Identity Manager 现在包含默认的管理器属性,它为构建好的管理员与雇员关系提供支持。此信息存储在 Identity Manager 用户对象中。有关更多信息,请参见本发行说明中的“文档补充和更正”一节。(ID-12416)
- 现在可以根据最近对资源的更改(编辑或创建操作)配置身份属性。(ID-12678) 如果自上次在 Identity Manager 管理员界面中保存身份属性后资源已进行了更改,则“身份属性”页会显示以下消息:“自上次保存身份属性以来,已修改一个或多个资源。如果这些更改会影响身份属性,则应通过‘在资源更改中配置身份属性’页面将其同化”。Identity Manager 提供指向“在资源更改中配置身份属性”页面的链接,从而可以选择应将已修改资源模式映射中的哪些属性用作身份属性的来源或目标。
在保存“资源向导”或“帐户属性”页中的资源后,Identity Manager 会显示一个页面,询问是否要根据资源的最近更改配置身份属性。选择是会转至“在资源更改中配置身份属性”页。选择否会返回至资源列表。
要禁用此页,请选择以后不再询问。这将通过将登录用户的 idm_showMetaViewFromResourceChangesPage 属性设置为 false 来禁用此页。
网关
HTML 显示组件
- DatePicker 显示类包含新的 strict 属性。如果设置此属性,则会使系统验证手动输入的日期。(ID-11037)
- 现在可以禁用强制重新生成“最终用户菜单”,方法是在“最终用户菜单”表单上添加 doNotRegenerateEndUserMenu 属性。(ID-11327)
- 在显示到 HTML 时,SortingTable 组件现在会优先实现由表格组成的子组件的 align、valign 和 width 属性。还可以使用 InlineAlert 组件在表单中显示错误、警告、成功和信息消息。(ID-12560)
- treetable 组件现在支持可调列。现在可以通过 CSS 将用户列表和资源列表表格中的列宽度设置为固定像素宽或某个百分比值。还可以使用鼠标单击并拖动列标题的右边框来调整列。(ID-11474)
注 在 Firefox/Mozilla 和其他基于 Gecko 的浏览器中,调整列的宽度可能使浏览器文本被选中。不过 Internet Explorer 或 Safari 不会出现这种情况,因为可以禁止 onselectstart DHTML 行为。
Identity Manager SPE
Identity Manager SPE 2005Q4M3 SP1 引入以下新功能。有关这些功能的详细信息,请参见“Identity Manager Service Provider Edition 管理补充资料”和“ Identity Manager SPE 部署”。
增强的最终用户页
现在可以使用增强的最终用户页。示例页包含以下功能:
可以在部署时自定义此页。可以自定义以下几项:
密码和帐户 ID 策略
现在 Identity Manager SPE 和资源帐户已有帐户 ID 和密码策略。这些策略是以与 Identity Manager 相同的策略基础结构实现的。(ID-12556)
活动同步和 Identity Manager SPE 同步共存
现在可以在同一 Identity Manager 服务器上运行活动同步和 SPE 同步。请不要在同一资源上同时运行两者。(ID-12178)
分隔 LDAP 用户和配置目录
用户和配置信息现在可以存储在不同的 LDAP 实例中。这些实例是在初始配置过程中选择的。(ID-12548)
Access Manager 集成
现在可以在 Identity Manager SPE 最终用户页上使用 Sun Java System Access Manager 7 2005Q4 进行验证。Access Manager 确保只有经过验证的用户才能访问最终用户页。
报告
- Identity Manager 现在可以在创建和修改权能时创建审计事件。(ID-9734)
- 默认情况下,以下报告现在会自动限于登录管理员所控制的组织集合,除非通过选择一个或多个组织,针对其要运行的报告进行明确覆盖。(ID-12116)
- Identity Manager 现在提供了一个在选择要为每个用户显示的 Identity Manager 属性字段中指定的新角色选项。为新报告和现有报告选择此选项会导致在报告中显示逗号分隔的角色列表。(ID-9777)
- 现在可以在 .csv 和 .pdf 报告中指定要在其自己的列中显示的属性列表。如果没有指定列表,则所有属性都会显示在名为“可审计”属性的单个列中。(ID-10468)
- 有两种新报告引入对管理人员与雇员关系的内置支持:我的直属部下摘要、我的直接雇员摘要、我的直接和间接雇员摘要和我的直属部下个人。(ID-12416, ID-12689)
- 用户报告现在包含搜索属性,以便于根据用户的管理器来运行报告。(ID-12689)
系统信息库
资源
新资源
从 Identity Manager 2005Q4M3 开始,已增加对以下资源的支持:有关详细信息, 请参见“Identity Manager 资源参考补充资料”。
常规
- Identity Manager 现在支持存储二进制帐户属性。以下适配器支持此功能:(ID-8851, 12665)
- Active Directory
- LDAP
- Flat File Active Sync
- 数据库表
- 执行脚本的 JDBC
- Sun Java System Communications Services
Active Directory 现在支持 thumbnailPhoto(Windows 2000 Server 和更高版本)和 jpegPhoto (Windows 2003) 二进制属性。其他适配器现在支持 jpegPhoto、audio 和 userCertificate 等属性。
如果试图将二进制属性或复杂属性发送到不支持二进制属性的资源,则 Identity Manager 会抛出异常。
二进制属性应尽可能保持为最小。如果加载的二进制属性太大(如 200 KB),则可能会出现一条错误消息,指明超出了允许的最大包大小。如果需要管理较大的属性,请与客户支持部门联系,以获得指导。
- 代理资源适配器现在提供可选的资源属性,它支持块操作期间的连接保持: RA_HANGTIMEOUT。此属性指定对网关的请求超时并视为挂起之前的超时值(秒)。此属性的默认值为 0,表示不检查挂起连接。(ID- 12455)
活动同步
Domino
LDAP
- Identity Manager 现在提供更加可伸缩的机制来编辑大型列表值资源对象属性。sample/forms/LDAPgroupScalable.xml 中提供了使用此方法管理 LDAP 组的示例表单。(ID-9882)
- LDAP 资源适配器现在直接使用 JSSE 提供者。(ID-9958) Identity Manager 支持的最低 Java 版本现在为 1.3,对于 Domino、LDAP 和 NDS SecretStore 资源适配器,此版本允许使用第三方安全提供者来进行 SSL 通信。可以使用标准的 java.security 文件注册第三方安全提供者库。
有关更多信息,请参见
http://java.sun.com/j2se/1.4.2/docs/guide/security/CryptoSpec.html#ProviderInstalling。- 现在可以编辑名称中包含正斜杠的 LDAP 组。(ID-9872)
已将 ldapJndiConnectionFactory.alwaysUseNames 配置属性添加到 Waveset.properties 文件。
默认情况下,此属性处于启用状态。启用此属性后,所有字符串名称都会使用上下文的 NameParser 解析成一个名称。这有助于避免发生 JNDI 转义问题。此选项仅在 ldapJndiConnectionFactory.wrapUnpooledConnections 选项设置为 true 时才有意义。
采用默认值 (true) 或明确将此值设为 true 需要 1.4 或更高版本的 JVM。由于 JNDI 有问题,在早期的 JVM 中,如果启用此选项,某些重命名操作可能会失败。
UNIX
其他适配器
- 现在可以在 Siebel 中创建和更新需要父/子业务组件导航的对象。有关更多信息,请参见本发行说明中的文档补充和更正一节。(ID-11427)
- 现在可以配置 SAP HR 适配器处理任意消息类型的 IDOC。以前只能处理 HRMD_A 类型的 IDOC。(ID-12120)
- SAP HR 活动同步适配器现在支持 mySAP ERP ECC 5.0 (SAP 5.0) (ID-12408)
- 如果要配置 Identity Manager 以置备到 RSA Clear Trust 5.5.2 资源,则先前的 Clear Trust 版本在进行 SSL 通信时不需要其他库。(ID-12499)
- 在表单中,对于 Oracle ERP 适配器而言,com.waveset.ui.FormUtil 类中的 listResourceObjects 方法现在可以返回用户的特定职责,并且可以进行过滤以返回所有职责,或仅返回活动职责。(ID-12629)
传递的选项有:
- Identity Manager 的 Oracle ERP 适配器现在提供 sysdate 或 SYSDATE 关键字。可以使用此关键字和 to_date 指定某个职责的过期日期,以 Oracle E-Business Suite (EBS) 服务器的本地时间为准。(ID-12709)
- Identity Manager 的 Oracle ERP 适配器现在提供新的 employee_number 帐户属性。此属性代表 per_people_f 表中的 employee_number。有关更多信息,请参见本发行说明中的“文档补充和更正”一节。(ID-12710)
角色
安全
- 具有批准者权能的用户现在可以将其未来的批准请求委托给一个或多个用户,这些用户本身在一段指定的时间内不是 Identity Manager 批准者。用户可以从三个界面进行委托:(ID-8485)
- 密码生成功能现在可以正常工作,并且会在没有正确生成密码时失败。(ID-12275)
- Identity Manager 现在提供最终用户 EndUserLibrary 授权类型 (authType)。EndUser 权能 (AdminGroup) 现在对其 authType 为 EndUserLibrary 的库具有列表和查看的访问权限。(ID-12469)
要授予最终用户对库内容的访问权限,请设置 authType='EndUserLibrary' 并确保库的 MemberObjectGroup 为 All。
- Identity Manager 用户可以使用并发登录会话。不过,您可以将并发会话的数目限定为每个登录应用程序一个,方法是更改系统配置对象中
security.authn.singleLoginSessionPerApp 配置属性的值。此属性是一个对象,它为每个登录应用程序名称(如管理员界面、用户界面或 BPE)包含一个属性。将此属性的值更改为 true 会强制每个用户在一个登录会话中。(ID-12778)如果实施强制,则用户可以登录到多个会话。不过,只有上次登录的会话保持活动和有效。如果用户对无效会话执行操作,系统会自动强制他离开会话,并且此会话终止。
服务器
SOAP
视图
工作流
上一发行版中修复的缺陷本节详细介绍自 Identity Installation Pack 2005Q4M3 后修复的缺陷。
管理员界面
- 当您为“用户 Applet”菜单配置新用户操作时,现在可以正常显示文本关键字。(ID-8400)
- Identity Manager 在帮助显示内容包含特殊字符时,现在可以正确处理触发错误的帮助显示内容。(ID-8747)
- 当登录应用程序的 singleLoginSessionPerApp 属性设置为 true 时,Identity Manager 的行为如下所示: 用户可以多次登录到同一个应用程序。不过,只有用户最后一次登录的会话才是活动的、有效的会话。如果用户在其他登录会话期间尝试以同一个 Identity Manager 用户的身份执行任务,则系统会自动强制此用户离开,并且此会话被终止。(ID-9543)
- 如果用户直接分配给某个组织,而 UserMemberRule 又将此用户分配给同一组织,则列表中不再复制此用户。(ID-10410)
- 会话超时登录页现在可以本地化,并以用户语言环境指定的语言显示。(ID-10571)
- 示例 LDAP Password Sync 表单 (sample/forms/LDAPPasswordActiveSyncForm.xml) 现在设置 waveset.password 字段,而不是设置 password.password 和 password.confirmpassword 字段。(ID-11660)
- Identity Manager 在搜索结果包含带有单引号的用户名且后续命令在链接中使用该用户名时,管理员界面不再生成错误。(ID-11123)
- 多选组件现在可以正确显示单个字符串。(ID-11979)
- 在尝试编辑不支持更新的资源对象类型时,Identity Manager 现在可以显示正确的错误消息。(ID-12242)
- 在使用 treetable 列出资源时,名称中包含下划线字符的节点现在可以正常展开。(ID-12478)
- 在从 ActiveSync 配置子菜单中选择非向导选项时,联机帮助现在可以显示正确的帮助页。(ID-12597)
- 当使用法语语言环境时,现在可以成功地删除用户。(ID-12642)
- 在 Identity Manager 管理器的名称出现在括号中时,treetable、“帐户”页和“查找结果”页现在可以显示未解析的管理器属性。每次更新用户时,Identity Manager 都会尝试解析未解析的管理器属性。如果解析了此属性,Identity Manager 会去掉括号,并对新值执行约束检查。(ID-12726)
- 匿名用户登录的收件箱链接现在指向新最终用户工作项目列表表格。(ID-12816)
- 现在可以定位 TabPanel 组件按钮。(ID-12797)
- Identity Manager 现在可以将具有默认 mail.example.com 的电子邮件模板转换为新服务器配置变量功能。(ID-12720)
- 在 Identity Manager 用户界面不包含 LH 登录模块且为用户分配了 AdminRole 时,密码字段现在会有条件地显示。(ID-12692)
业务进程编辑器
表单
- Identity Manager 提供新的示例 LDAP 创建和更新组表单,以允许使用非唯一成员名。(ID-8831)
- 多选组件现在能正确处理具有相同标签(显示名称)的项目。(ID-10964)
- 文本组件的默认最大长度现在无限制(原来限制为 256 个字符)。(ID-11995)
- NTForm 和 NDSUserForm 组字段现在可以正确实现 ListObjects 规则。(ID-12301)
- 主机适配器资源向导现在能够更好地管理 affinityAdmin 字段,防止出现重复条目和 null 条目。(ID-12024)
- 在 net 成员关系保持不变时编辑 LDAP 更新组表单有效。(ID-12162)
Identity Auditor
Identity Manager SPE
- 在创建资源帐户时,如果此资源无法使用,则 Identity Manager SPE 会记住此资源的属性值。下次在 Identity Manager SPE 中编辑用户时,如果此资源可用,则会在此资源上创建帐户。(ID-11168)
- 现在可以禁用 SPE 中跟踪的事件,方法是取消选中服务提供商 > 编辑主配置页上的“启用跟踪的事件收集”。在同一页上,还可以有选择地为每个时间范围禁用“收集跟踪的事件”数据。与此页上的所有设置一样,必须将修改的配置对象导出到 SPE 主目录,然后才能生效。(ID-12033)
- SPE IDMXContext deleteObjects 方法现在可以正确删除目录存储中的对象。(ID-11251)
- Service Provider Edition 审计子系统不再在容器关闭时抛出 null 指针异常。
(ID-12845)- 如果与视图特定的属性相关的表单为 null,且这些属性不是包含、目标和传递给视图处理器方法 (create/checkin/checkout/refresh) 的选项映射时,则使用
IDMXUserViewer 会抛出 null 指针异常。(ID-12861)登录
报告
- Windows 2000 Active Directory 非活动帐户扫描(位于风险分析顶部菜单栏下的一个任务)现在可以成功完成。(ID-11148)
- 现在可以对多个用户使用资源用户报告。(ID-11420)
- 在委托管理员运行用户报告时,现在包含因使用 UserMembersRule 而成为组织成员的用户。(ID-11871)
- 默认情况下,以下报告将会自动限于登录管理员所控制的组织集合,除非通过选择一个或多个组织,针对其要运行的报告进行明确覆盖。为支持此功能,组织范围组件已从单个 Select 组件更改为 MultiSelect 组件。(ID-12116)
- Identity Manager 现在可以正确审计对 LDAP 组成员关系的修改。(现在它包含旧值和新值。)(ID-12163)
系统信息库
- Identity Manager 系统信息库现在可以执行对 BLOB 列的 Oracle 专用处理。Oracle 的示例脚本现在将 xml 列定义为 BLOB 数据类型(而非 LONG VARCHAR)。对于全新安装,创建的所有表都含有 BLOB xml 列。在升级过程中,只有新表才会有 BLOB xml 列,但通过执行升级脚本中记录的更改,可以将其余的表转换为 BLOB(对于大型部署,此升级过程可能需要几个小时)。应该升级到最新的 Oracle JDBC 驱动程序,以获得 BLOB 带来的最佳性能。(ID-11999)
- 已更改 Identity Manager 系统信息库来避免 Microsoft SQL Server 2000 特有的死锁。系统信息库在为某个类型选择最近修改过的值时,现在使用 LAST_MOD_ITEM 的 ID(而不是名称)。(ID-11297)
资源
网关
常规
目录服务
- Active Directory 资源适配器现在会在指定无效加密类型时抛出异常。有效值为无(空)、None、Kerberos 和 SSL。(ID-9011)
- Identity Manager 现在会存储 LDAP 连接。(ID-10219)
- 如果将 msExchHideFromAddressLists 设置为 true,则管理启用邮件的 Active Directory (Exchange) 用户的“不在办公室”属性将不再失败。另外,示例 Active Directory 用户表单已经更新,以禁止在启用 msExchHideFromAddressLists 时 Identity Manager 显示“不在办公室”属性。(ID-12231)
- LDAP Changelog 活动同步处理现在可以处理不含值的 MODIFY changetype。(ID-12298)
主机
Oracle 和 Oracle ERP
- 在与 OracleResource 适配器会话期间,所有 Oracle 游标都会关闭,即使发生异常也是如此。(ID-10357)
- 对于使用瘦驱动程序连接到 Oracle RAC 环境的 Oracle 和 Oracle ERP 资源适配器,请使用以下格式:(ID-10875)
jdbc:oracle:thin:@(DESCRIPTION=(LOAD_BALANCE=on)(ADDRESS=(PROTOCOL=TCP)(HOST=host01)(PORT=1521))(ADDRESS=(PROTOCOL=TCP)
(HOST=host02)(PORT=1521))(ADDRESS=(PROTOCOL=TCP)(HOST=host03)(PORT=1521))(CONNECT_DATA=(SERVICE_NAME=PROD)))- 通过将资源属性 activeAccountsOnly 设置为 TRUE,Oracle ERP 可以有选择地限制帐户迭代器和 listObjects 接口返回的帐户。默认值为 FALSE。如果设置为 FALSE,则返回资源上的所有帐户。如果设置为 TRUE,则只返回 START_DATE 和 END_DATE 位于大约 SYSDATE(即现在)的帐户。(ID-12303)
- Oracle ERP 适配器已经更新,可以更一致地关闭 PreparedStatements,减少打开游标的数量。(ID-12564)
SAP
UNIX
- UNIX 适配器提供基本的 sudo 初始化和重设功能。不过,如果资源操作已定义且在脚本中包含需要 sudo 授权的命令,则必须指定 sudo 命令以及 UNIX 命令。(例如,必须指定 sudo useradd 而不只是 useradd。) 必须在本机资源上注册需要 sudo 的命令。可以使用 visudo 注册这些命令。(ID-10206)
- Red Hat Linux 和 SuSE Linux 适配器现在可以在批量列表处理(如“从资源加载”和“导出到文件”)过程中填充主要组、辅助组和上次登录字段。(ID-11627)
如果模式映射指定要跟踪上次登录字段,则批量列表处理速度可能会显著下降,因为适配器必须分别为每个用户请求上次登录信息。
- 现在可以将 Solaris、HP-UX 和 Linux 适配器上的 time_last_login resource 属性映射到不同于默认值(上次登录时间)的属性名称。(ID-11692)
其他
- 如果有使用 LH_AUDIT_RANGE_COMP_INTF 组件接口的 PeopleSoft Component 活动同步资源,则必须更改此资源才能继续使用 LH_AUDIT_RANGE_COMP_INTF 组件接口。(ID-11226)
确认资源的 auditLegacyGetUpdateRows 资源属性设置为 true。
<ResourceAttribute name='auditLegacyGetUpdateRows'
value='true'
displayName='Use Legacy Get Update Rows'
type='boolean'
multi='false'
facets='activesync' >
</ResourceAttribute>
- 现在可以从 Identity Manager 资源 applet 中删除 Sun Access Manager 组织对象。(随后,Identity Manager 会删除所有子对象,且无需确认。)(ID-11516)
- 在管理 SecurId 用户时,Identity Manager 现在支持每用户三个令牌。(ID-11723)
- 对于数据库表适配器,在重复和轮询期间数据库连接现在会尽早关闭,以防止不必要地保持未使用的连接。(ID-11986)
- JMS 侦听器适配器在 Websphere 6.0 上不再失败。从异步消息处理更改为同步消息处理现在允许 JMS 侦听器在禁止在 Web 应用程序中进行异步 JMS 消息处理的 J2EE 服务器上工作。现在应该为 JMS 侦听器资源定义轮询频率。(ID-12654)
协调
系统信息库
角色
安全
- 通过将 Waveset.properties 文件中的
ui.web.disableStackTraceComments 属性设置为 true,可以禁用在 HTML 注释中隐藏的详细调试信息。如果从 Identity Manager 的上一版本升级,需要将此属性添加到 config/Waveset.properties。如果属性文件中没有此属性,则忽略此属性(等同于将此属性设置为 false)。(ID-10499)- 匿名用户现在可以访问各对象类型(如规则),而无需在系统配置对象中设置已过时的 endUserAccess 属性。(ID-11248)
- 要配置此发行版以置备到 Clear Trust 5.5.2 资源,必须从 Clear Trust 5.5.2 安装 CD 中安装 ct_admin_api.jar。不需要使用其他库来进行 SSL 通信。(ID-12449)
- 在创建 AdminRole 期间,Identity Manager 现在可以正确处理所有对象类型的包含和排除。(ID-12491)
- 具有以下权能的管理员现在可以访问“列出资源”页:(ID-12647)
服务器
SOAP
现在可以通过 debug/callTimer.jsp 设备监视 SPML 1.0 调用。最外面的调用(即 com.waveset.rpc.SpmlHandler 的 doRequest() 方法)在确定 SOAP/SPML 性能时非常有用。为方便监视,还对各个 SPML 方法(如 addRequest)进行定时。(ID-8463)
文档
因为以下书籍已进行重大更新或包含非常多的新信息,所以已经更新了这些书籍。
有关 2005Q4M3 文档集的更新,另请参见本发行说明中的文档补充和更正。
修复的其他缺陷
6496, 8586, 8739, 8958, 8960, 9936, 10483, 10832, 11232, 12135, 12234, 12464,12483, 12611, 11642, 11767, 11979, 12203, 12274, 12368, 12377, 12510, 12614, 12673, 12967, 13054