Identity Manager 7.0 の機能

このリリースの新機能

Sun Identity Manager 7.0 は、Identity Manager、Identity Manager SPE、および Identity Auditor の 3つの製品を Sun Java System Identity Manager 7.0 という 1 つの製品に統合したものです。この統合ソリューションによって、プロビジョニングと監査のプロセスにおいて ID ベースの管理を適用する、一貫性のあるスケーラブルな方法を提供することができます。

その他の新機能は次のとおりです。

拡張された Auditor 機能。次のものがあります。

定期的アクセスレビューのサポート

概要レポートと詳細な職務分掌レポート

是正とアクセスレビュー作業項目にシングルクリックでアクセスできる拡張インタフェース

配備に備えたユーザーインタフェース。次のものがあります。

作業項目へのシングルクリックアクセス

ナビゲーションとカスタマイゼーションが簡単なタブ付きパネル

サービスプロバイダの更新。次のものがあります。

ディレクトリベースの委任管理

ワークフローの呼び出しと通知のサポート

NetBeans 上に構築された新しい Identity Manager 統合開発環境

追加機能。次のものがあります。

SPML 2.0 のサポート

追跡イベントによるメトリックスレポート

「機能の概要」の節には、Identity Manager 7.0 の新機能についてのその他の情報を記載しています。

機能の概要

ここでは、Identity Manager 7.0 の新機能を簡単に説明します。

インストールと更新

Identity Manager はリポジトリとして Oracle Database 10g Release2® をサポートするようになりました (ID-12908)。

UserEntitlement オブジェクトは、データベース内の独自のテーブルに格納されるようになりました (ID-13612)。

既存の Identity Manager インストールへのアップグレードの場合、Identity Manager 7.0 のアップグレードの前に適切な upgradeto70.* データベーススクリプトを実行する必要があります。これらのスクリプトは、Identity Manager 定期的アクセスレビューオブジェクトをサポートするために必要なデータベーステーブルを追加します。

ライセンス構造が製品から削除されました。Identity Manager 7.0 へのアップグレードは、すべての製品で完全に機能します。ライセンスパネルやライセンス用のコマンド行オプションはありません。製品のライセンスを取得しようとすると、「コマンドが見つかりません」というエラーが表示されます (ID-13632 13501)。

管理者インタフェースとユーザーインタフェース

「アイデンティティー属性」ページに、アイデンティティー属性についてパスワードの生成状態を説明する「パスワード」セクションが表示されるようになりました。デフォルト値、規則に基づいて、またはパスワードを生成するアイデンティティーシステムのアカウントポリシーを割り当てて、パスワードを新しいユーザーに割り当てるよう Identity Manager を設定できます (ID-10274、12560)。

ツリーテーブルコンポーネントが調整可能な列をサポートするようになりました。ユーザーリストテーブルとリソースリストテーブルで、CSS を介して列の幅を固定ピクセルやパーセンテージ値に設定できます。また、列ヘッダーの右側の境界線をマウスでクリックしてドラッグし、列のサイズを変えることもできます (ID-11474)。

アカウントおよびリソースツリーテーブルで、内容を並べ替えられるようになりました (ID-12086)。

エンドユーザーページのメニュー階層がカスタマイズできるようになりました (ID-12415)。

Identity Manager は、デフォルトの Manager 属性を含めることができるようになりました。これによって、管理者と従業員の関係構築のためのサポートを提供できます。この情報は、Identity Manager ユーザーオブジェクトに格納されます (ID-12416)。

ページレベルエラーと情報メッセージがすべてページの上部のボックス内にエラーまたは情報アイコンとともに表示されるようになりました。以前は、これらのメッセージはエラーの赤字のテキストや情報メッセージの小さなアイコンとともに表示されていました (ID-12625)。

ユーザーは、ロールやリソースメンバーシップへのアクセスの許可や削除をリクエストできるようになりました。管理者はこの機能を部下に対しても実行できます (ID-13018)。

rowPolarity プロパティーを XPRESS の EditForm コンポーネントに追加して、交互になった灰色と白の行の色を反転できるようになりました。true の値がデフォルトです。false を選択すると色が反転し、最初のフォームフィールドの背景が白になります (ID-13971)。

ユーザーインタフェースが自己検索リンクをサポートするようになりました。「他のアカウントについてアイデンティティーシステムに知らせる」リンクはエンドユーザーのホームページからプロファイルの下のナビゲーションバーにある新しい「自己検索」タブに移動しました (ID-14698)。

次の表は、このリリースでタブやサブタブがどのように再配置されたかを一覧表示しています。


以前のリリースでのタブ		今回のリリースでのタブ		コメント
承認		作業項目 >	承認
			自分の作業項目	この新しいタブには、すべての作業項目の概要が表示され、作業項目を処理するための開始ポイントを示します。
			アテステーション	この新しいタブは、定期的アクセスレビュー機能をサポートし、ユーザーがアテステーション作業項目を処理できるようにします
			その他	この新しいタブでは、ユーザーが承認、アテステーション、または是正以外の割り当てられた作業項目を処理できます
			履歴	このタブは、ユーザーが実行した承認、却下、受け入れ、および是正のすべてのレポートを表示します
			自分の作業項目の委任	この新しいタブによって、作業項目をすべて別のユーザーに委任できます。
		コンプライアンス >	ポリシーの管理アクセススキャンの管理アクセスレビュー	これらの新しいタブは、監査ポリシーとアクセスレビューの設定と管理を行うために使用します。
設定 >	レポート	レポート >	設定	このタブは、レポート機能とより近くに並べられるよう変更されました。
設定 >	管理するリソース	リソース >	タイプの設定	このタブは、この機能をリソースとより近くに並べられるよう変更されました。
設定 >	管理者ロール機能証明書ログインポリシー	セキュリティー >	管理者ロール機能証明書ログインポリシー	「セキュリティー」タブは、セキュアなアカウントアクセスと特権に関する機能を再編成するためにこのリリースで新しく導入されました。
設定 >	メタビュー	メタビュー >	アイデンティティー属性アイデンティティーイベント	このタブでは、アイデンティティー属性とイベントを直接編集できます。
リスク分析 >	レポートの実行レポートの管理	レポート >	リスク分析の実行リスク分析の表示	このタブは、これらのレポートをほかのレポートと並べるよう変更されました。
サービスプロバイダエディション	ダッシュボードグラフダッシュボードの表示	レポート >	ダッシュボードグラフダッシュボードの表示	「レポート」の下のこれらの新しいサブタブは、グラフィカルレポートの表示とグループ化を可能にする「サービスプロバイダエディション」から統合された、新しい機能を示します。
サービスプロバイダエディション		アカウント	サービスプロバイダユーザーの管理	このタブでは、Identity Manager インタフェースでサービスプロバイダユーザータイプを管理できるようにします。
サービスプロバイダエディション >	トランザクションの検索	サーバータスク	サービスプロバイダトランザクション	「トランザクションの検索」タブは「サービスプロバイダエディション」の「サービスプロバイダ」タブから「サーバータスク」タブの「サービスプロバイダトランザクション」タブに移動しました
タスク		サーバータスク		このタブは、タスクがサーバー上で実行される処理であることを示すように名前が変更されました。
Identity Auditor インタフェースから Identity Manager 7.0 インタフェースで変更されたタブ
コンプライアンス >	ユーザーポリシービューリソースビュー組織ビュー	アカウント	ユーザーアクションメニュー	ユーザーアクションはすべて Identity Manager の「アカウント」タブから実行されます。「ポリシービュー」、「リソースビュー」、「組織ビュー」の各タブは削除されましたが、対応するレポートは「レポート」タブから引き続き使用できます。「ユーザーアクション」で、「コンプライアンス違反ログの表示」アクションと「コンプライアンスステータスの表示」アクションが使用できるようになりました。
コントロール >	ポリシーの管理	コンプライアンス >	ポリシーの管理
設定 >	ポリシー	アカウント >	ユーザーアクションメニュー	ユーザーの監査ポリシーの編集組織の監査ポリシーの編集
是正 >	是正保留中完了	作業項目 >	是正履歴	「保留中」タブと「完了」タブは削除されました。保留中の是正は「是正」タブに表示されます。完了した是正作業項目は「履歴」タブに表示されます。
レポート >	レポートの実行レポートの管理	レポート >	レポートの実行レポートの表示	監査レポートはすべて、「レポート」タブから監査レポートのタイプを選択して使用できます。
タスク		サーバータスク

監査

Identity Manager と Identity Manager SPE の 2 つの監査フレームワークは統合されました。変更内容は次のとおりです (ID-13148)。

Identity Manager と Identity Manager SPE の監査ログフレームワークの区別はなくなりました。

Identity Manager SPE の監査ログインタフェースは非推奨になりました。

統合された監査ログサービスでは、他社がカスタム監査パブリッシャーを開発し、Identity Manager および Identity Manager SPE 関連監査イベントを処理できるようになります。

新しいパブリックインタフェースの Javadoc 形式のマニュアルがリファレンスキットで入手できます。

監査ログフレームワークのプラグイン可能な機能を示したサンプルコードがリファレンスキットに追加されました。

Identity Auditor

定期的アクセスレビューは、重要なシステムおよびアプリケーションへのユーザーの現在のアクセス権の収集とアテステーションを自動化する機能を提供します。この機能では、ユーザーが 1 つまたは複数のシステムおよびアプリケーションに対して持っている現在のアクセス権を含むレコードを作成できます。これらの各レコードはポリシー規則によって自動的にアテストしたり、手動アテステーションのために適切な人物に転送できます (ID-9719)。

アクセスレビューは、通常、ユーザーが重要なシステムに対して過剰なアクセス権を持たないように定期的に実行されます。複数のシステムとアプリケーションのユーザーアクセスデータを 1 つのレコードに保持することにより、レビュアーはユーザーを完全に把握し、より正確な判断を下すことができます。自動化されたプロセスは、レビューがどの程度終了したか、どの程度残っているか、残りの作業の責任者は誰かを示す追跡ツールによってサポートされます。レビュープロセスは、レビューでコンプライアンスチェック (監査ポリシースキャン) とアクセスレビュー (レポートとアテステーション) の両方を実行できるよう従来の監査ポリシースキャンと統合されます。

アクセスレビューは、次のような追加の自動化を行うようカスタマイズできます。

ユーザーをアテストするかどうかの規則ベースの決定

ユーザーを自動的にアテスト/却下できるかどうかの規則ベースの決定

特定のユーザーに対して手動アテステーションを行う人物の規則ベースの決定

転送、委任、エスカレーションを含むワークフローベースの手動アテステーション

アテスターは、IdM 管理者である必要はありません。どんな IdM アカウントでもかまいません。

職務分掌レポートも Identity Auditor にとって新しい機能です。これによって、ユーザーが内部安全装置をバイパスできる特定のアクセスの競合を検出できます (ID-12716)。これらの競合は、競合違反が財務エラーを引き起こす可能性のある財務システムと ERP で最も重大です。Identity Auditor は、このような競合を違反レコードで検出します。このレコードは、ユーザー、システムやアプリケーション、および競合を暗示する正確なアカウント設定を含む特定の競合を示します。Identity Auditor の職務分掌によって、1 つのシステムやアプリケーション上、または複数のシステムにわたるアカウント設定の競合を検出できます。

これらの競合は、競合マトリックスレポートにまとめられ、マトリックスの各セルの情報をドリルダウンすると詳細が確認できます。

フォーム

MultiSelect は新しい displayCase プロパティーをサポートするようになりました。これは、「upper」または「lower」のいずれかに設定できます。この機能は、各 allowedValues を大文字または小文字の値にマップする valueMap の定義と同じです (ID-8356)。

HTML 表示コンポーネント

SortingTable コンポーネントは、HTML にレンダリングする場合にテーブルを構成する子コンポーネントの align、valign、および width プロパティーを考慮するようになりました。InlineAlert コンポーネントは、エラー、警告、成功、および情報メッセージをフォームに表示する場合にも使用できます (ID-12560)。

Identity Manager 統合開発環境 (IDE)

Identity Manager 統合開発環境 (Identity Manager IDE) とは、使用している配備で Identity Manager オブジェクトを表示、カスタマイズ、およびデバッグできる Java アプリケーションのことです。

Identity Manager IDE の主な機能は次のとおりです。

プロジェクトのプロジェクトベース、ディレクトリベース、または実行時の表示が可能な統合されたエクスプローラウィンドウ

ドキュメント変更のためのアクションメニュー

カスタムエディタ。次のものがあります。

XML オブジェクトプロパティーを列挙し、XML を入力せずに基本的なオブジェクトタイプ、XPRESS、および XML オブジェクトを編集するためのオブジェクトプロパティーシートとグラフィカル値エディタ

XML を入力せずにワークフローサービス、承認、ユーザーおよびワークフロータスクを XML ソースに追加するためのドラッグ＆ドロップパレット

XML 要素と属性に対する構文の強調表示と自動入力を可能にする登録済みの waveset.dtd 定義ファイル

ワークフロー、フォーム、規則のための統合されたデバッガ

スタンドアロンおよびライブラリの規則を確認するための規則テスター

外部ブラウザでのフォームのプレビューとトラブルシューティングのためのフォームプレビューア

Identity Manager ビュー (ユーザービューなど) をチェックアウト、変更、チェックインできるビューのチェックアウト機能

CVS の統合

Identity Manager IDE は、完全に統合された NetBeans プラグインで、Identity Manager のビジネスプロセスエディタ (BPE) アプリケーションに代わるよう設計されています。Identity Manager IDE のインストールと使用の詳細については、『Identity Manager Deployment Tools』の「Using the Identity Manager IDE」の章を参照してください。

Identity Manager SPE

Identity Manager SPE の設定と追跡したイベントデータは、LDAP ディレクトリサーバーに格納されなくなりました (ID-12170)。

代わりに、Identity Manager SPE コンポーネントが Identity Manager リポジトリからこのデータに直接アクセスします。このため、Identity Manager SPE に必要な設定オブジェクトを選択してエクスポートする必要がなくなりました。Identity Manager SPE 配備をその場で更新するために、Identity Manager インストーラを使用できます。

追跡したイベントデータが Identity Manager SPE 設定ディレクトリに格納されている場合は、アップグレードの前に XML としてエクスポートしてください。アップグレード後に追跡したイベントデータを Identity Manager にインポートできます。また、正常にアップグレードした後、設定 LDAP ディレクトリを安全に削除できます。

Identity Manager SPE を介したオブジェクトへのアクセスに個別の種類のコンテキストが必要なくなりました。Identity Manager SPE フォームは needSpeContext プロパティーを設定し、このコンテキストを :display.speContext を使用して参照する必要がなくなりました (ID-12171)。

プロビジョニングが実行される前とプロビジョニングが完了した後、カスタム呼び出しを起動できるようにパブリックインタフェースが作成されました (ID-12173)。

Identity Manager SPE は、改良されたエンドユーザー JSP ページの例を提供するようになりました (ID-12175)。

Identity Manager は、Identity Manager と Identity Manager SPE User Server の両方からアクセスできる、カスタマイズ可能な委任管理および承認モデルを提供するようになりました。このモデルはディレクトリ属性を使用し、Identity Manager の組織と機能には依存しません (ID-12176)。

Active Sync と SPE の同期を同じ Identity Manager サーバー上で実行できるようになりました。ただし、同じリソース上では実行しないでください (ID-12178)。

SPE ユーザーディレクトリフットプリントを削減するために、Identity Manager SPE User XML 属性を圧縮形式で格納できるようになりました (ID-12186)。

Identity Manager SPE トランザクションで、設定可能なユーザー更新整合性レベルをサポートできるようになりました。追加列 userId VARCHAR(N) を追加するために、既存のトランザクションストアデータベースを変更する必要があります。ここで N は、予想される Identity Manager SPE ユーザー DN の最大長と追加の 8 文字を含めるのに十分な大きさです。このデータベースの変更は、アップグレードスクリプトの実行中に自動的に実行されることはありません (ID-13830)。

メタビュー

新しいアイデンティティーイベント機能がメタビューに追加されました。このオプションによって、リソース上でイベントをいつ発生させるか、それにどのように適切に対応するかを決定するためのモデルを定義できます。この機能では、リソースがイベントの検出をサポートしていない場合は、リソース上でネイティブに、または規則の評価によって、削除、無効、有効のイベントも検出できます。

ユーザーとリソースアカウントの削除、割り当て解除、リンク解除、有効化、無効化を任意に組み合わせてイベントに対応できます。アイデンティティーイベントは Active Sync 中にのみ適用されます。アイデンティティー属性と同様に、これらのイベントは Active Sync がメタビューの有効なアプリケーションとして選択されている場合にのみ適用されます (ID-12561)。

管理者インタフェースで、削除検出レポート機能が追加されました。この機能は、アカウントが削除されたかどうかをネイティブに判断する Active Sync をサポートするリソースアダプタに適用されます (ID-13206)。

メタビューがターゲットフィールドの値を設定する新しいオプションをサポートするようになりました。複数値の属性も統合できます (ID-13212)。

レポート

一括操作の結果を CSV 形式でダウンロードできるようになりました (ID-9297)。

デフォルトで、レポートを実行する 1 つまたは複数の組織を選択して明示的に上書きしないかぎり、次の各レポートはログインしている管理者によって制御された一連の組織に自動的に範囲設定されます。管理者ロールの概要、管理者概要、ロールの概要、ユーザーの質問の概要、ユーザーの概要。組織範囲選択のためのコンポーネントも、単一選択から複数選択可能なコンポーネントに変更されました (ID-12116)。

Identity Manager は、Java Management Extensions (JMX) を使用してさまざまなコンポーネントの監視をサポートするようになりました (ID-12405)。

次の新しいレポートで管理者と従業員の関係をサポートするようになりました。My Direct and Indirect Employee Detail、My Direct Employee Summary、My Direct and Indirect Employee Summary、My Direct Employee Detail (ID-12416、ID-12689)。

マルチバイトテキストを含む CSV レポートを UTF-8 文字セット以外の文字エンコーディングで出力できるようになったため、Microsoft Excel など UTF-8 エンコーディングをサポートしないアプリケーションでも表示できるようになりました (ID-13574)。

リポジトリ

管理者は RepositoryConfiguration オブジェクトの connectionPoolDisable 属性を true に設定して、Identity Manager リポジトリの自動内部接続プールを無効にできます。古い方法である com.waveset.repository.ConnectionPoolDisable=true の設定は、非推奨になりました (ID-10924)。

Identity Manager 7.0 では、リポジトリメソッド署名 #getLastMod(Type, long) が削除されました。Identity Manager 5.0 SP2 では、#getLastMod(Type) を使用するため、このメソッド署名が非推奨になりました。カスタムアプリケーションでは、このメソッドを参照したり、com.waveset.repository パッケージ内の任意のクラスやインタフェースを直接参照したりしないでください (ID-11761)。

Microsoft SQL Server 向けのデフォルト JDBC ドライバは、Microsoft SQL Server 2005 JDBC Driver になりました。このドライバは古い Microsoft SQL Server 2000 JDBC Driver に置き換わります。この新しいデフォルトドライバは、JDBC ドライバクラス名と SQL Server データベース URL の形式を変更します。また、「SelectMethod=Cursor」をこれらの URL に付ける必要もなくなります (ID-14136)。

リソース

Identity Manager 7.0 には、次のリソースのサポートが含まれます。

スクリプト JDBC (ID-7540)

BridgeStream SmartRoles (ID-12262)

Sun Java System Access Manager でのレルムのサポート (ID-12414)

SecurId アダプタは、状態ごとにトークンを取得できるようになりました (すべての LOST トークンまたはすべての ENABLED トークンなど) (ID-7646)。

OS/400 v4r5、v5r2、v5r3、および v5r4 (5.2、5.3、および 5.4) のサポートが追加されました (ID-9928、13122)。

監査機能をサポートするために、複数の属性が Oracle ERP アダプタに追加されました (ID-11725)。

RACF アダプタに、listAllObjects の検索フィルタサポートが含まれるようになりました (ID-10895)。

SAP HR Active Sync アダプタは、mySAP ERP ECC 5.0 (SAP 5.0) をサポートするようになりました (ID-12408)。

SAP アダプタと SAPHR アダプタは、ネットワーク障害の発生時に SAP 操作の再試行のためのパラメータを提供する、3 つの新しいリソース属性を提供するようになりました (ID-12579)。

SAP BAPI 再試行回数: 操作を再試行する回数。

SAP 接続再試行回数: SAP サーバーに再接続を試行する回数。

SAP 接続再試行待ち時間: SAP サーバーに再接続を試行するまでの待ち時間 (ミリ秒単位)。

Oracle ERP アダプタは、会計帳簿 (Set Of Books、SOB) 機能をサポートするようになりました (ID-12715)。

VLV 並べ替えが設定できるようになりました。VLV 並べ替え属性 (vlvSortAttribute) が LDAP リソースに追加されました。属性が設定されると、並べ替えにその値が使用されますが、設定されていない場合は、「uid」値が使用されます (ID-13321)。

ロール

ロールとリソースグループを個別に、または組み合わせて、ユーザーにリソース上の複数のアカウントを割り当てられるようになりました (ID-6684)。

セキュリティー

承認者機能を持つユーザーは、将来の承認リクエストを Identity Manager 承認者ではない 1 人または複数のユーザーに一定期間委任できるようになりました。ユーザーは 3 つのインタフェースから委任できます (ID-8485)。

エンドユーザーメインメニュー: 「承認の委任」リンク

管理者インターフェース: 「作業項目」タブ: 「自分の作業項目の委任」サブタブ

管理者インターフェース: 「ユーザーの作成/ 編集/ 表示」ページ: 「セキュリティー」セクション

サーバー

Identity Manager 7.0 は JBoss Application Server をサポートするようになりました (ID-10620)。

Identity Manager 7.0 は、類似したリソースを大量に作成し、管理する機能を提供するようになりました (ID-11325)。

SOAP

Identity Manager 7.0 は Service Provisioning Markup Language (SPML) バージョン 2.0 をサポートするようになりました (ID-12417)。

ワークフロー

作業項目の委任がどのユーザーでも設定できるようになりました。このオプションは、管理インタフェースと新しいデフォルトのエンドユーザーインタフェースの両方で設定できます (ID-14110)。

このリリースで解決されたバグ

ここでは、Identity Manager 7.0 で解決されたバグについて説明します。

インストールと更新

資格を com.waveset.install.UpgradePostProcess に渡せるようになりました。この変更によって、特に、Configurator のパスワードが変更され、GUI にアクセスせず手動アップグレードを実行しようとしている場合に、アップグレードプロセスを簡単に進めることができます (ID-13006)。

Identity Auditor のログインインタフェースが削除されました (ID-14481)。

アップグレードには次の点を考慮してください。

Auditor アプリケーション用に定義された質問のある既存のアカウントポリシーは、次のように変更されます。

ポリシーに管理者やデフォルトアプリケーション用に定義された質問もある場合は、Auditor アプリケーション用の質問が破棄され、管理者やデフォルト用の質問が代わりに採用されます。

ポリシーに管理者またはデフォルトアプリケーション用に定義された質問がない場合は、Auditor アプリケーション用の質問が管理者の質問として再指定されます。

Auditor アプリケーション用に定義されたユーザーの秘密の質問の回答は、次のように変更されます。

ユーザーに管理者やデフォルトアプリケーション用に定義された回答もある場合は、Auditor アプリケーション用の回答が破棄されます。

ユーザーに管理者またはデフォルトアプリケーション用に定義された回答がない場合は、Auditor アプリケーション用の回答が管理者の回答として再指定されます。

Identity Auditor が有効になっていた以前のインストールからのアップグレードでは、アカウント/組織テーブルで Auditor 組織が表示できるようになりました。新しいインストールには、Auditor 組織はありません (ID-14636)。

Conflict Violation Details Form をカスタマイズする職務分掌のための監査ポリシー規則を以前のリリースで作成した場合、アップグレードの前にそのフォームを保存する必要があります (ID-14772)。

管理者インタフェースとユーザーインタフェース

ユーザーが定義したリソースがダウンしている間にユーザーがログインしようとすると、エラーの内容が記されたメッセージが表示されます (ID-1905)。

致命的と思われるエラーのメッセージは、設定されたデフォルトメッセージとともに表示でき、追加の情報を syslog にログ記録できるようになりました。UNIX リソースアダプタは、このエラーメッセージ表示を使用するように変更されました (ID-5495)。

ブラウザのタイトルバーに表示される製品名文字列を別の文字列に置き換えたり、ローカライズしたりできるようになりました (ID-10905)。

完了したロールの同期タスクは、タスクが実行中であるというメッセージを表示しなくなりました。タスクは、統計テーブルによる拡張もされています。エラーと例外が、完了したタスクに対して表示されるようになりました (ID-11181)。

「秘密の質問の回答の変更」エンドユーザーページは、秘密の質問のないユーザーをより適切に処理するようになりました (ID-11773)。

匿名ユーザーログインのインボックスリンクは、新しいエンドユーザーの作業項目リストテーブルを指すようになりました (ID-12816)。

noApplet=true プロパティーと sorted=true プロパティーが設定されると、MultiSelect オブジェクトは使用可能な値を並べ替えるようになりました (ID-12823)。

セキュアなサイトにアクセスしたり、そのサイトから退出する際に、エンドユーザーにポップアップダイアログが表示されなくなりました (ID-13054)。

リソースごとにアカウントパスワードポリシーの概要を表示するフォームは、テーブル内の内容をラップするようになりました。以前は概要情報は、ブラウザウィンドウの右側に隠れ、スクロールする必要がありました (ID-13109)。

sysconfig ファイルで、security.delegation.historyLength パラメータが、記録された以前の委任の数を管理するようになりました (ID-13141)。

continueLogin.jsp の管理バージョンにカタログメッセージが正しく表示されるようになりました (ID-13193)。

検索やフィルタリングのあとにユーザーがリソースへの編集をキャンセルすると発生していた、NULL ポインタ例外が発生しなくなりました (ID-13434)。

新しいロールを作成する際に、「利用可能なリソースグループ」がパネルの左と右の両方に表示されることがなくなりました (ID-13573)。

リソースの名前を変更し、「名前の変更」ではなく「作成」を選択して既存のリソースをコピーすると、ActiveSync が有効かどうかなどの、リソース設定情報が正しく複製されるようになりました (ID-14175)。

サービスプロバイダのメイン設定でアカウントポリシーが設定されていない場合、アカウントのロックとロック解除が正しく機能するようになりました。以前は、サービスプロバイダのアカウントポリシーが設定されている場合にのみ、サービスプロバイダのアカウント編集ページ上でロックボタンが機能していました (ID-14181)。

フォーム

SortingTable 表示クラスの並べ替え機能で、手動作業中のエラーが発生しなくなりました (ID-12508)。

検証規則メッセージがサーバーではなくクライアントのロケールで表示されるようになりました (ID-12780)。

Identity Auditor

監査ポリシーは、リソースの限定されたセットのみをスキャンするよう設定できるようになりました (ID-9127)。

間接的に割り当てられたポリシーを表示できるようになりました (ID-11886)。

プロビジョニング中に UserViewConstants.OP_CALL_VIEW_VALIDATORS をポリシーチェックのために設定できます (ID-12757)。

ユーザーのプロビジョニング操作中のポリシーチェックは、プロビジョニングスレッドで実行できます。以前の動作では、チェックを実行するために常に別のタスクを使用していました。タスクの動作がカスタマイズされていると、タスクのバイパスによってカスタマイゼーションが使用されないことがあります。この問題を解決するには、システム設定 user.view.alwaysUseTask 属性を true に設定します。これによって古い動作が強制的に実行されます (ID-14086)。

Identity Manager SPE

トランザクションイベントタイマーはトランザクション中に再起動しません。以前は、Identity Manager SPE のトランザクション処理時間にアカウントポリシーの評価時間が含まれていませんでした (ID-14416)。

たとえば、アプリケーションサーバーがメモリー不足エラーで終了するなど、サービスが不自然にシャットダウンすると、Identity Manager SPE は、トランザクションの処理を再開するようになりました (ID-14579)。

ローカリゼーション

秘密の質問として使用されるメッセージキーが結果ぺージに正しく表示されるようになりました (ID-13076)。

メインフレーム

RACF アダプタは、listAllObjects で取得されたすべてのユーザーに対して 1 回ずつ大きな文字列を検索しなくなりました。これによって、通常、多数のユーザーに対してこの機能のパフォーマンスが向上します (ID-12829)。

レポート

監査レポートで古い属性値が正しいものになりました (ID-12287)。

長すぎる TaskTemplate 名 (MAX_NAME_LENGTH より長い) の生成が修正されました (ID-13790)。

リポジトリ

たとえば、100,000 人以上のユーザーなど高い負荷で Oracle 10g をリポジトリとして使用している場合、ユーザーの作成と変更でパフォーマンスの低下が発生する可能性があります。パフォーマンスを回復するために、次の SQL 文を使用して userobj テーブルの統計を更新してみてください (ID-14605)。

analyze table waveset.userattr compute statistics;

リソース

Domino リソースアダプタの removeDenyGroupsDuringDelete リソース属性は、Identity Manager による削除時にユーザーがアクセス拒否グループのメンバーシップから削除されるかどうかを指定します。この属性を true に設定すると、グループからの削除が処理されます。この属性のデフォルト値は、下位互換のため false です (ID-10466)。

LDAP アダプタは、新しいアカウントに不正な識別名 (DN) を作成しなくなりました (ID-10951)。

com.sun.idm.util.ldap.DnUtil でのエスケープメソッドが、LDAP DN 形式でリソースアダプタのアイデンティティーテンプレートにエスケープ値を挿入することで使用できるようになりました。または、accountId ポリシーを使用し、「LDAP 形式に従う」オプションを選択して、ユーザー入力 ActiveSync、調整などの入力によって Identity Manager に入力する LDAP 識別名を検証できます。

RFC2253Parser の正規化メソッドは、不正な LDAP 識別名 (DN) を識別し、報告するようになりました (ID-10952)。

DblBufferIterator の getNextIndex メソッドは、サポートしている配列でオブジェクトの同期外のサイズ情報にアクセスしなくなりました (ID-11129)。

クラスタ環境での同期状態が改善されました (ID-11250)。

com.waveset.adapter.SiebelResourceAdapter 内の isPickListAttribute メソッドは、追跡システム内で isMVGAttribute として誤認されなくなりました (ID-11471)。

LDAP リソース上の Objectclasses to synchronize Active Sync 属性のデフォルトは、inetorgperson になりました (ID-11644)。

Active Sync リソース上で設定されるフラットファイル Active Sync ログの最大数が、正しく作成されるようになりました (ID-11848)。

Active Sync が機能するために、LDAP リソーススキーママップで objectClass 属性マッピングが必要なくなりました。poll() メソッドと getUpdateRows(UpdateRow) メソッドの両方に優先する com.waveset.adapter.LDAPResourceAdapter を拡張するカスタムリソースアダプタを、どちらかのメソッドで LDAPResourceAdapterBase.ensureObjectClassInSchemaMap() を起動するよう変更してください (ID-11880)。

Domino リソースアダプタは、リソース属性として「ファイルに ID を保存」オプションを false に設定できるようになりました。これによって、ユーザーの ID ファイルをディスク上でローカルに作成できなくなりました。ただし、ユーザーの作成時には、ID ファイルを引き続き作成する必要があります (ID-12139)。

Solaris アダプタと Linux アダプタが最後のログイン情報で年を表示するようになりました (ID-12182)。

Oracle ERP アダプタが Oracle データベースカーソルを閉じるようになりました。以前は、アダプタがカーソルを閉じるのに失敗し、長い時間経ってから、「ORA-01000: maximum open cursors exceeded」というエラーが発生していました (ID-12222)。

Active Sync からのアカウントまたはユーザーのロックのエラーがログに記録されるようになりました (ID-12446)。

更新されるアカウントまたはユーザーが別のプロセスによってロックされたために、Active Sync に問題が発生した場合は、問題が発生したアカウントまたはユーザーが syslog に書き込まれます。これによってアカウントがロックされていないときにトランザクションを再実行できます。

Domino リソースアダプタの場合、NSFNoteComputeWithForm() API 呼び出しによる複数のユーザーの HTTPPassword の同時更新で「-551」ゲートウェイエラーが発生しなくなりました (ID-12466)。

Identity Manager を介さずに直接 API を使用してもゲートウェイのクラッシュが発生しなくなりました (ID-12481)。

エラーが発生して diff 操作の同期を妨げる場合は、フラットファイル Active Sync アダプタが Active Sync ログに警告メッセージを表示するようになりました (有効な場合) (ID-12484)。

8 文字のユーザー名が Copy Links 属性を選択するのにタブを使用しないよう、Natural リソースアダプタアカウントの作成に使用される端末エミュレーションが変更されました (ID-12503)。

AttrParse オブジェクトの変更では、新しい値を有効にするために再起動する必要はありません (ID-12516)。

Siteminder ユーザーがログインに失敗してロックされても、Siteminder LDAP アダプタは、次の操作を正しく実行するようになりました (ID-12824)。

有効化

無効化

パスワードの期限設定 (有効化/無効化による)

期限切れパスワードの復元 (有効化/無効化による)

LDAP グループメンバーシップを変更する場合、グループ全体の書き直し、つまり、uniqueMember 属性全体を置き換える代わりに、単一の追加と削除が使用できるようになりました (ID-13035)。

Identity Manager は、Secure ID ユーザーを削除しようとする前に、管理特権 (該当する場合) をクリアするようになりました (ID-13053)。

Oracle テーブルアダプタ (DatabaseTableResourceAdapter) のカーソルリークが解消されました (ID-13111)。

GenericObject から情報をフェッチしやすいように、Oracle ERP リソースの auditorObject 複合属性構文が名前空間を含むよう変更されました。属性の構文には、責任オブジェクトのリストを含む最上位レベルの「auditorResps」が含まれます (ID-13302)。

AttrParse のパフォーマンスが向上しました。解析されたバッファーのすべての文字に対して、通常の解析が例外をスローし、キャッチすることはなくなりました (ID-13384)。

UNIX アダプタの SecurID は RSA と相互動作する場合に UTF-8 文字エンコーディングとデコーディングを実行するようになりました (ID-13451)。

Windows NT リソースアダプタを使用して Windows NT リソース上でアカウントを作成する場合、次のエラーメッセージが「ユーザー作成の結果」ページに表示されなくなりました「Error requiring password: put_PasswordRequired(): 0X80004005:E_FAIL」(ID-13618)。

更新中に Active Directory PasswordNeverExpires 属性を設定できるようになりました (ID-13710)。

Identity Manager 7.0 サーバーが、ゲートウェイを介した接続を削除した後、notify を呼び出して待機スレッドを通知するようになりました (ID-14044)。

セキュリティー

組織の「Organization Administrator」機能を持ったユーザーは、「Account Administrator」機能と「Role Administrator」機能を持っていても、ほかの組織内に組織を作成できなくなりました (ID-10235)。

パスワード生成は、ポリシーに従っていないパスワードに対しても正しく機能するようになりました (ID-12275)。

パスワード期限設定警告メッセージが、管理インタフェースに表示されるようになりました (ID-13236)。

Approver 機能に是正作業項目に対する権限がなくなりました (ID-14163)。

Identity Manager 7.0 以前の以前のバージョンでは、Approver 機能はすべての WorkItem に対する権限を持っていました。RemediationWorkItem authTypes と AttesationWorkItem authTypes は、WorkItem から拡張されているため、このままでは Approver 機能を持ったユーザーは RemediationWorkItems に対しても完全な権限を持ち、さらにほかのユーザーのアテステーションもできてしまいます。

この問題は新しい Identity Manager 7.0 インストールと Identity Manager 7.0 にアップグレードされるインストールで解決されました。下位互換のために Identity Manager 7.0 以前のインストールは次の手順に従ってこの問題を解決できます。

Approver 機能への参照を、Approval Administrator 機能への参照に変更する必要があります。変更対象には、Approver 機能を割り当てている可能性のある admingroup 参照、規則またはワークフローが含まれます。

ワークフローで作成される作業項目が指定された authType を持っているか、デフォルトの Approval (承認) authType になることを確認してください。

update.xml の WorkItemUpdater を実行して authType が NULL になっているすべての作業項目が Approval authType を持つように変更します (実際には、状況にあわせて必要な authType を設定する)。サンプル文はファイル内にありますが、デフォルトでコメントアウトされています。

管理者機能のないユーザーが、ロールとリソースを表示できるようになりました (ID-14745)。

以前は、組織に対する管理者権限のないユーザーはロールとリソースは利用できないため、「自分のロールの更新」または「自分のリソースの更新」を実行する際に、選択リストにロールとリソースが表示されませんでした。

サーバー

タスクの終了時に、承認などの TaskInstance サブオブジェクトが正しく削除されるようになりました (ID-3258)。

<Expansion> 内で、<set> を使用した場合にフォームが正しく機能するようになりました (ID-9617)。

リソースの名前を変更したあと、再試行に失敗した場合に、最後の監査レコードが消失しなくなりました (ID-9714)。

クラスタ環境で、エンドユーザーページでログインに失敗しても直列化関連の例外が発生しなくなりました (ID-10556)。

タスク情報の処理に時間がかかる場合に、サーバーが自身を非応答として検出しようとすることがなくなりました (ID-10920)。

IAPI 設定が IAPI XmlData に移行しました。これは、最後に処理された変更についての情報を格納するために主に ActiveSync リソースで使用されます (ID-11266)。

update.xml の読み込みによって、ResourceUpdater が表示名 SYNC_resourceName で既存の「最高水準点」データを IAPI 設定オブジェクトから XmlData オブジェクトに移行し、元の設定オブジェクトを削除します。

Identity Manager 5.0 SP1 リリースで非推奨になった「セッション」サーバーとビューアの参照が削除されました (ID-11873)。

括弧間の区切り処理が停止されました。このため、括弧内の文字がすべてインデックスまたはフィルタとして扱われるようになりました。注: 閉じ括弧「]」をエスケープするメカニズムは現在ありません (ID-12384)。

changelog ファイル名には、プレフィックス内にピリオド (.) を含めるようになりました (ID-12470)。

タスクインスタンスの終了が修正操作ではなく終了操作として監査されるようになりました (ID-12791)。

アカウントオブジェクトの作成のパフォーマンスが向上しました。これによって、調整とプロビジョニングのパフォーマンスも向上します (ID-13341)。

「設定」 > 「サーバー」での新しいサーバー設定によって、サーバーが同時に実行できるタスクの最大数を制限できるようになりました (ID-13343)。

ワークフロー

同じライブラリにあっても、ライブラリ名が付加されていない規則名への入れ子になった参照を解決できるようになりました。そのため未解決の規則エラーは発生しません (ID-10265)。

notification.rediret を有効にして、通知メッセージをファイルにリダイレクトしている場合、電子メールが送信されるときと同様に、そのファイルには、emailNotifier.contentCharset で指定した文字コードでメッセージが記述されるようになりました。これによって、ファイルには ISO-8859-1 以外の文字コードのメッセージも正しく記述されます (ID-10331)。

承認者がすでに承認または却下された作業項目を承認または却下しようとすると、ワークフローメッセージに情報が追加されます (ID-11045)。

デバッガはデフォルトで有効になりました。本稼働配備の場合、「serverSettings.default.debugger.enabled=false」というシステム設定プロパティーを設定してデバッガを無効にすることをお勧めします (ID-14076)。

マニュアル

このリリースで、Identity Auditor 機能とサービスプロバイダエディションの機能を Identity Manager に統合したことにより、次のマニュアルがなくなりました。

『Identity Auditor 管理ガイド』

『Identity Manager Service Provider Edition Administration Addendum』

『Identity Manager Audit Logging』

これらのマニュアルは『Identity Manager 管理ガイド』に統合されています。

解決されたその他の不具合

10475、11052、12452、13434、14178

前へ次へ

前へ次へ
Sun Java™ System Identity Manager 7.0 リリースノート