Sun Java System Identity Installation Pack 2005Q4M3 SP4 Versionshinweise |
Erweiterungen und Korrekturen der Dokumentation
Informationen zur Softwaredokumentation von Identity SystemDie Identity System-Softwaredokumentation finden Sie auf der Identity Install Pack-CD in Form mehrerer (.pdf)-Dateien, die Sie in Acrobat Reader öffnen können. Zu dieser Version gibt es die folgenden Dokumentationen.
Identity System-Software
Install Pack Installation (Identity_Install_Pack_Installation_2005Q4M3.pdf) – Beschreibt die Installation und Aktualisierung der Identity System-Software.
Identity Manager
- Identity Manager Administration (IDM_Administration_2005Q4M3.pdf) - Enthält eine Einführung in die Administratorbenutzeroberfläche und Benutzeroberfläche von Identity Manager.
- Identity Manager Upgrade (IDM_Upgrade_2005Q4M3.pdf) – Enthält Informationen zur Planung und Ausführung von Aufrüstungen.
Hinweis Für Identity Manager Technical Deployment und Identity Manager Technical Reference wurde die Dokumentation in dieser Version folgendermaßen neu organisiert:
- Identity Manager Technical Deployment Overview (IDM_Deployment_Overview_2005Q4M3.pdf) – Konzeptüberblick über das Identity Manager-Produkt (einschließlich Objektarchitekturen) mit einer Einführung in grundlegende Produktkomponenten.
- Identity Manager Workflows, Forms, and Views (IDM_Workflows_Forms_Views_2005Q4M3.pdf) – Referenzmaterialien und Informationen zur Vorgehensweise, die beschreiben, wie die Identity Manager Workflows, Formulare und Ansichten verwendet werden. Hierzu gehören Informationen zu den Tools zum Anpassen dieser Objekte.
- Identity Manager Deployment Tools (IDM_Deployment_Tools_2005Q4M3.pdf) – Referenzmaterialien und Informationen zur Vorgehensweise, die beschreiben, wie verschiedene Identity Manager-Bereitstellungstools verwendet werden. Hierzu gehören Regeln und Regelbibliotheken, allgemeine Aufgaben und Prozesse, Wörterbuchunterstützung und die SOAP-basierte Webdienstoberfläche vom Identity Manager-Server.
- Identity Manager Resources Reference (IDM_Resources_Reference_2005Q4M3.pdf) – Referenzmaterialien und Informationen zur Vorgehensweise, die beschreiben, wie Kontoinformationen aus einer Ressource geladen und in Sun Java™ System Identity Manager synchronisiert werden. Zusätzliche Adapter sind in der Datei ResourcesRef_Addendum_2005Q4M3SP1.pdf dokumentiert.
- Identity Manager Audit Logging (IDM_Audit_Logging_2005Q4M3.pdf) – Referenzmaterialien und Informationen zur Vorgehensweise, die beschreiben, wie Kontoinformationen aus einer Ressource geladen und in Sun Java™ System Identity Manager synchronisiert werden.
- Identity Manager Tuning, Troubleshooting, and Error Messages (IDM_Troubleshooting_2005Q4M3.pdf) – Referenzmaterialien und Informationen zur Vorgehensweise, welche die Fehlermeldungen und Ausnahmen von Identity Manager beschreiben und Anweisungen für die Ablaufverfolgung und Behandlung von Probleme enthalten, die während der Arbeit auftreten können.
Identity Auditor
Identity Auditor Administration (IDA_Administration_2005Q4M3.pdf) - Enthält eine Einführung in die Identity Auditor Administratorbenutzeroberfläche.
Identity Manager Service Provider Edition
- Identity Manager Service Provider Edition Administration Addendum (SPE_Administration__Addendum_2005Q4M3SP1.pdf) - Enthält eine Einführung in die Funktionen von Identity Manager SPE.
- Identity Manager Service Provider Edition Deployment (SPE_Deployment_2005Q4M3_SP1.pdf) - Enthält Informationen zur Bereitstellung von Identity Manager SPE.
Navigation in der OnlinedokumentationÜber die Acrobat-Textmarken können Sie Dokumentationen navigieren. Klicken Sie auf den Namen eines Abschnitts im Textmarkenbereich, um zum entsprechenden Abschnitt im Dokument zu springen.
Die gesamte Identity Manager-Dokumentation kann in jeder Identity Manager-Installation angezeigt werden. Navigieren Sie hierzu in Ihrem Webbrowser zu idm/doc.
Install Pack InstallationKorrekturen
Vorwort
Fehlerhafte Querverweise auf Anhang H vom Abschnitt „How to Find Information in this Guide“ wurden entfernt. (ID-12369).
Kapitel 1: Before You Install
- Microsoft Exchange 5.5 wurde als unterstützte Ressource aus der Tabelle „Supported Resources“ entfernt. Es wurde verworfen. (ID-12682).
- Lotus Notes® 6.5.4 (Domino) wurde als unterstützte Ressource zur Tabelle „Supported Resources“ hinzugefügt. (ID-12226).
- JDK 1.5 wurde in mehreren Fällen als unterstützte Java-Version hinzugefügt. (ID-12984).
- ERP Systems SAP-Informationen in der Tabelle „Supported Resources“ wurden geändert in: (ID-12635).
- Red Hat-Informationen in der Tabelle „Supported Resources“ wurden geändert in:
- Unter „Supported Software and Environments“ wurden der Abschnitt „Repository Database Servers“ und die folgenden Informationen hinzugefügt: (ID-12425).
Kapitel 2: Installing Identity Installation Pack for Tomcat
Das Kapitel unterstützt jetzt den Anwendungsserver Apache Tomcat (Versionen 4.1.x oder 5.0.x).
Kapitel 4: Installing Identity Installation Pack for WebSphere
- Dieses Kapitel beschreibt jetzt die Installation von Websphere 5.1 Express und 6.0. (ID-12655, 12656) Zu den angegebenen Punkten wurden folgende Hinweise und Informationen hinzugefügt:
Hinweis Der folgende Schritt ist für die Installation von Identity Installation Pack 6.0 oder höher nicht erforderlich.
4. Wechseln Sie in das Staging-Verzeichnis und löschen Sie folgende Dateien, falls vorhanden:
WEB-INF\lib\cryptix-jce-provider.jar
WEB-INF\lib\cryptix-jce-api.jar
25. Laden Sie die neueste Version des Packagejlog von WebSphere unter der folgenden URL herunter:
http://www.alphaworks.ibm.com/tech/loggingtoolkit4j
Hinweis Das Package jlog ist jetzt in WebSphere’6.0 enthalten. Sie brauchen dieses nur für frühere Versionen herunterzuladen.
- Da Sie JDK 1.4.2 für diese Version installieren müssen, ist der Abschnitt For JDK 1.3.x: nicht mehr gültig. In diesem Kapitel muss der Abschnitt For JDK 1.4 jetzt For JDK 1.4.2 lauten.
Kapitel 7/8: Installing Identity Installation Pack for Sun ONE/Sun Java System Application Server 7/8
- Unter „Installation Steps > Step 5“ wurden die folgenden korrigierten Informationen hinzugefügt: Edit the server.policy File > example permissions: (ID-12292).
permission java.io.FilePermission "/opt/SUNWappserver/domains/domain1/applications/j2ee-modules/ idm/config/trace1.log", "read,write,delete";
permission java.io.FilePermission "$(java.io.tmpdir)$(/)*", "read,write,delete";
- Unter „Installation Steps > Step 5“ wurden die folgenden Informationen hinzugefügt: Edit the server.policy File > example permissions:
Wenn Sie die Identity Manager Service Provider Edition nutzen möchten, müssen Sie zu den obigen server.policy-Einträgen das folgende Zugriffsrecht hinzufügen.
permission java.lang.RuntimePermission "shutdownHooks";
Kapitel 14: UnInstalling Applications
_Version_ wurde aus dem Syntaxbeispiel unter „Remove the Software > On UNIX > Step 3“ entfernt. (ID-7762)
Kapitel 15: Installing The Applications (Manual Installation)
Das Syntaxbeispiel unter „Installation Steps > Step 3“: Configure the Identity Install Pack Index Database Connection > Non-Xwindows Environments > Step 3 wurde folgendermaßen korrigiert: (ID-5821).
3. Set your license key with the following commands:
cd idm/bin
./lh license set -f LicenseKeyFileAnhang A: Index Database Reference
Die Zeile zur Beschreibung von SQL Server wurde abgeändert in:
Anhang C: Configuring Data Sources for Identity Manager
- Mehrere IIOP URLs werden nicht unterstützt. (ID-12499) Die folgenden falschen Informationen unter „Configuring a WebSphere Data Source for Identity Manager > Configuring a Websphere 5 Data Source > Configure the DataSource in a Websphere Cluster“ wurden entfernt:
Wenn in der Eigenschaft BOOTSTRAP_ADDRESS der Anwendungsserver nicht derselbe Anschluss angegeben ist, kann java.naming.provider.url mehrere URLs angeben. Beispiel:
iiop://localhost:9812,iiop://localhost:9813.
- Alle noch in WebSphere Version 5 verwendeten j2c.porperties sind in WebSphere Version 6 nun Bestandteil der Datei resources.xml. Es wurden Informationen über die Konfiguration einer Websphare 5.1/6.x-Datenquelle und die Konfiguration der 6.x-Authentifizierungsdaten hinzugefügt. Informationen zur Konfiguration von Websphere 4.x-Datenquellen wurden entfernt. (ID-12767) Die Änderungen betreffen die folgenden Abschnitte:
Konfiguration eines JDBC Providers
Mit der Administrationskonsole von WebSphere können Sie einen neuen JDBC Provider konfigurieren.
- Klicken Sie auf die Registerkarte Ressourcen im linken Teilfenster, um eine Liste mit Ressourcentypen anzuzeigen.
- Klicken Sie auf JDBC-Provider, um eine Tabelle der konfigurierten JDBC-Provider anzuzeigen.
- Klicken Sie auf die Schaltfläche Neu über der Tabelle konfigurierter JDBC-Provider.
- Wählen Sie aus der Liste der JDBC-Datenbanktypen den JDBC-Typ sowie den Implementierungstyp aus. Klicken Sie auf „Weiter“.
In diesem Beispiel werden Oracle, der Oracle JDBC-Treiber und Verbindungs-Pooling für Datenquellen verwendet.
- Fahren Sie mit der Konfiguration allgemeiner Parameter fort.
- Geben Sie den Namen an.
- Geben Sie im Feld Classpath den JAR-Pfad an, der den JDBC-Treiber enthält. Zur Angabe eines Oracle Thin-Treibers sollten Sie beispielsweise einen Pfad, der dem folgenden ähnelt, eingeben:
/usr/WebSphere/AppServer/installedApps/idm/idm.ear/idm.war/WEB- INF/lib/oraclejdbc.jar
Hinweis Sie können den JAR-Pfad zum JDBC-Treiber mithilfe der Administrationskonsole angeben. Wählen Sie aus dem Menü Umgebung den Eintrag WebSphere-Variable. Wählen Sie in diesem Teilfenster zuerst Zelle, Knoten und Server, für die diese Umgebungsvariable definiert werden soll. Geben Sie dann den JAR-Pfad als Wert dieser Variable an.
- Geben Sie im Feld Implemtierungs-Klassenname den vollständig qualifizierten Namen der JDBC-Treiberklasse an.
- Sie können auch den Namen, die Beschreibung des Providers oder andere ausgewählte Parameter ändern.
Klicken Sie auf die Schaltfläche OK unter der Tabelle, wenn Sie diesen Vorgang abgeschlossen haben. Im rechten Teilfenster sollte jetzt der neu hinzugefügte Provider angezeigt werden.
Informationen zur Konfiguration einer Datenquelle, die diesen JDBC-Provider nutzt finden Sie unter “Point the Identity Manager Repository to the Data Source”.
Konfiguration einer Websphere JDBC-Datenquelle
Vor dem Abschluss der Konfiguration einer Datenquelle müssen Sie Authentifizierungsdaten konfigurieren. Diese Aliasnamen enthalten Berechtigungsnachweise, die beim Herstellen einer Verbindung mit DBMS verwendet werden.
Konfiguration der 5.1-Authentifizierungsdaten
- Klicken Sie auf die Registerkarte Sicherheit im linken Teilfenster, um eine Liste von Sicherheitskonfigurationstypen anzuzeigen.
- Klicken Sie auf die Registerkarte JAAS-Konfiguration im linken Teilfenster, um eine Liste von JAAS-Konfigurationstypen anzuzeigen.
- Klicken Sie auf die Registerkarte J2C-Authentifizierungsdaten im linken Teilfenster. Im rechten Teilfenster wird eine Tabelle mit Authentifizierungsdaten angezeigt.
- Klicken Sie auf die Schaltfläche Neu über der Authentifizierungsdatentabelle. Im rechten Teilfenster wird eine Tabelle mit allgemeinen Eigenschaften, die konfiguriert werden müssen, angezeigt
- Konfigurieren Sie die allgemeinen Eigenschaften für den neuen Authentifizierungsdateneintrag. Bitte beachten Sie Folgendes:
- Alias ist der Name, der in der Auswahlliste immer dann angezeigt wird, wenn DBMS-Berechtigungsnachweise für eine Datenquelle konfiguriert werden.
- Benutzer-ID ist der Benutzername, der zum Herstellen der Verbindung mit DBMS verwendet wird.
- Passwort ist das Passwort, das zum Herstellen der Verbindung mit DBMS verwendet wird.
Konfigurieren Sie als Nächstes die Datenquelle.
Konfiguration der 6.x-Authentifizierungsdaten
- Klicken Sie auf Sicherheit > Globale Sicherheit.
- Klicken Sie unter „Authentifizierung“ auf JAAS-Konfiguration > J2C-Authentifizierungsdaten. Das Teilfenster J2C-Authenfizierungsdaten wird angezeigt.
- Klicken Sie auf Neu.
- Geben Sie einen eindeutigen Aliasnamen, eine gültige Benutzer-ID, ein gültiges Passwort und (optional) eine Kurzbeschreibung ein.
- Klicken Sie auf OK oder Anwenden. Benutzer-ID und Passwort müssen nicht validiert werden.
- Klicken Sie auf Speichern.
Hinweis Der neue Eintrag wird zwar angezeigt, ohne dass der Anwendungsserver, der in der Datenquellendefinition verwendet werden soll, neu gestartet werden muss, wird jedoch erst nach einem Neustart des Servers wirksam.
Konfiguration der Datenquelle
Hinweis Informationen zur Konfiguration von Datenquellen im Websphere 5.x-Cluster finden Sie unter “Configure the DataSource in a Websphere Cluster”.
- Klicken Sie auf die Registerkarte Ressourcen im linken Teilfenster, um eine Liste mit Ressourcentypen anzuzeigen.
- Klicken Sie auf JDBC-Provider, um eine Tabelle der konfigurierten JDBC-Provider anzuzeigen.
- Klicken Sie auf den Namen eines JDBC-Providers in der Tabelle. Im rechten Teilfenster wird eine Tabelle mit allgemeinen Eigenschaften für den ausgewählten JDBC-Provider angezeigt.
- Gehen Sie nach unten zur Tabelle mit zusätzlichen Eigenschaften. Klicken Sie auf Datenquellen. Im rechten Teilfenster wird eine Tabelle mit Datenquellen für den ausgewählten JDBC-Provider angezeigt.
Hinweis Bitte beachten Sie das Feld Gültigkeitsbereich am oberen Rand der WebSphere-Administrationskonsole. Vergewissern Sie sich, dass die Felder Knoten und Server leer sind, sodass die Zelleninformationen zur Konfiguration unter den Schaltflächen Neu und Löschen angezeigt werden.
- Klicken Sie auf die Schaltfläche Neu über der Datenquellentabelle. Im rechten Teilfenster wird eine Tabelle mit allgemeinen Eigenschaften, die zu konfigurieren sind, angezeigt.
- Konfigurieren Sie die allgemeinen Eigenschaften für die neuen Datenquelle. Bitte beachten Sie Folgendes:
- JNDI-Name ist der Pfad zur Datenquelle (DataSource-Objekt) im Verzeichnisdienst.
Sie müssen den gleichen Wert wie beim Argument -f in
setRepo -tdbms -iinitCtxFac -ffilepath angeben.- Container-verwaltete Fortdauer muss nicht markiert werden, da Identity Installation Pack keine Enterprise Java Beans (EJBs) verwendet.
- Komponentenverwaltetes Authentifizierungs-Alias zeigt auf die Berechtigungsnachweise, die beim Zugriff auf die DBMS, auf die das DataSource-Objekt zeigt, verwendet werden.
- Wählen Sie aus der Liste den Aliasnamen aus, der den passenden Satz an DBMS-Berechtigungsnachweisen enthält. Weitere Informationen finden Sie unter Konfiguration der 5.1-Authentifizierungsdaten.
- Der Parameter Containerverwaltetes Authentifizierungs-Alias wird nicht verwendet. Setzen Sie diesen Wert auf (keines). Identity Installation Pack stellt eine eigene Verbindung zur DBMS, auf die das betreffende DataSource-Objekt zeigt, her.
- Klicken Sie auf OK, wenn Sie dieses Teilfenster konfiguriert haben. Die Seite „Datenquellen“ wird angezeigt.
- Klicken Sie auf das DataSource-Objekt, das Sie erzeugt haben. Gehen Sie dann zur Tabelle mit zusätzlichen Eigenschaften im unteren Teil. Klicken Sie auf den Link Benutzerdefinierte Eigenschaften.
Im rechten Teilfenster wird eine Tabelle DBMS-spezifischer Eigenschaften angezeigt.
- Konfigurieren Sie die benutzerdefinierten Eigenschaften für dieses DataSource-Objekt. Klicken Sie auf den Link der gewünschten Eigenschaft, um ihren Wert einzustellen. Bitte beachten Sie Folgendes:
- URL ist die einzige erforderliche Eigenschaft. Diese Datenbank-URL identifiziert die Datenbankinstanz und enthält die Parameter driverType, serverName, portNumber und databaseName. Einige dieser Parameter können Sie auch als individuelle Eigenschaften angeben.
- In diesem Beispiel ist driverType auf „thin“ gesetzt.
- Beim Parameter serverName kann ein Hostname (oder eine IP-Adresse) angegeben werden.
- databaseName ist normalerweise ein kurzer Datenbankname.
- portNumber ist für Oracle standardmäßig auf 1521 gesetzt.
- preTestSQLString kann auf einen Wert wie z.B. SELECT 1 FROM USEROBJ gesetzt werden. Diese SQL-Abfrage bestätigt, dass die USERJOB-Tabelle existiert und auf diese zugegriffen werden kann.
- Sie können in der Tabelle „Zusätzliche Eigenschaften“ auch auf den Link Verbindungs-Pool klicken, wenn Sie diese Eigenschaften zur Leistungsoptimierung konfigurieren möchten.
Anhang E: Configuring JCE
Ein Hinweis muss wie folgt lauten:
Hinweis Da Sie JDK 1.4.2 für diese Version installieren müssen, muss bei allen unterstützten Umgebungen jetzt JCE 1.2 enthalten sein. Außerdem sind die Informationen in diesem Anhang nicht mehr gültig.
Zusätzliche Informationen
Kapitel 1: Before You Install
- Unter „Setup Task Flow > Bullet Install and configure the Identity Install Pack software“ wurde der folgende Hinweis hinzugefügt: (ID-8431).
Hinweis Unix- bzw. Linux-Systeme:
- Bei der Installation von Identity Installation Pack, Versionen 5.0 - 5.0 SP1 muss das Verzeichnis /var/tmp vorhanden sein und für den Benutzer, der das Installationsprogramm ausführt, Schreibzugriff besitzen.
- Bei der Installation von Identity Installation Pack, Version 5.0 SP2 oder höher muss das Verzeichnis /var/opt/sun/install vorhanden sein und für den Benutzer, der das Installationsprogramm ausführt, Schreibzugriff besitzen.
- Zu „Prerequisite Tasks > Set Up an Index Database > Setting Up SQL Server > Step 3b“ wurde der folgende Hinweis hinzugefügt: (ID-11835).
Hinweis Folgende Dateien müssen sich im Verzeichnis $WSHOME/WEB-INF/lib befinden:
db2jcc
db2jcc_license_cisuz.jar or db2jcc_license_cu.jar- Unter Supported Software and Environments > Application Servers wurden die folgenden Informationen hinzugefügt: (ID-12385).
Hinweis Ihr aktuell installierter Anwendungsserver muss UTF-8 unterstützen.
Kapitel 2: Installing Identity Installation Pack for Tomcat
- Unter „Installation Steps > Step 1: Install the Tomcat Software > Installing on UNIX“ wurden die folgenden Schritte hinzugefügt: (ID-12487).
2. Kopieren Sie die Dateien mail.jar und activation.jar in das Verzeichnis ./tomcat/common/lib. Diese Dateien finden Sie unter:
http://java.sun.com/products/javamail
http://java.sun.com/products/beans/glasgow/jaf.html- Unter „Installation Steps > Step 1: Install the Tomcat Software > Installing on UNIX“ wurden die folgenden Schritte hinzugefügt: (ID-12462).
3. Bei der Konfiguration von Tomcat zur Unterstützung von UTF-8 müssen Sie das Attribut URIEncoding="UTF-8" zum Element connector in der Datei TOMCAT DIRconf/server.xml hinzufügen. Beispiel:
<!-- Define a non-SSL Coyote HTTP/1.1 Connector on the port specified during installation -->
<Connector port="8080"
maxThreads="150"
minSpareThreads="25"
maxSpareThreads="75"
enableLookups="false" redirectPort="8443"
acceptCount="100" debug="0" connectionTimeout="20000"
disableUploadTimeout="true"
URIEncoding="UTF-8" />
4. Bei der Konfiguration von Tomcat zur Unterstützung von UTF-8 müssen Sie in den Optionen der Java Virtual Machine den Parameter -Dfile.encoding=UTF-8 hinzufügen.
Kapitel 13: Updating Identity Manager
Zum Identity Manager Upgrade wurde ein Querverweis hinzugefügt, damit Benutzer besser vollständige Upgrade-Informationen finden können. (ID-12366).
Kapitel 15: Installing The Applications (Manual Installation)
Unter „Installation Steps > Step 2: Install the Application Software“ wurde der folgende Hinweis hinzugefügt: (ID-8344).
Hinweis Ab Version 5.0 SP3 befinden sich die Adapterklassen jetzt in der Datei idmadapter.jar. Wenn Sie benutzerdefinierte Adapter nutzen, kann es sein, dass Sie den Java-CLASSPATH aktualisieren müssen.
Anhang B: Configuring MySQL
Unter „Configuring MySQL > Step 3: Start the MySql process“ wurden die folgenden Informationen hinzugefügt: (ID-12461).
Wenn dieser Prozess noch nicht gestartet wurde, können Sie MySQL wie folgt registrieren und starten.
Windows: Wenn das MYSQL nicht im Verzeichnis c:\mysql installiert wird, müssen Sie eine Datei namens c:\my.cnf mit dem folgenden Inhalt erstellen:[mysqld]
basedir=d:/mysql/
default-character-set=utf8
default-collation=utf8_binInstallieren und starten Sie diesen Dienst unter Windows:
cd <MySQL_Install_Dir>/bin
mysqld-nt --install
net start mysqlAnhang C: Configuring Data Sources for
Identity ManagerUnter „Configuring a WebSphere Data Source for Identity Manager > Point the Identity Manager Repository to the Data Source“ wurden folgende Informationen hinzugefügt: (ID-12071).
8. Lassen Sie das Repository auf ein neues Verzeichnis zeigen. Beispiel:
lh -Djava.ext.dirs=$JAVA_HOME/jre/lib/ext:$WAS_HOME/lib setRepo
-tdbms -iinitCtxFac
-ffilepath -uiiop://localhost:bootstrap_port
-Uusername
-Ppassword
-toracle icom.ibm.websphere.naming.WsnInitialContextFactory - fDataSourcePathIm obigen Beispiel kann DataSourcePath auf jdbc/jndiname gesetzt sein. bootstrap_port ist das Port für die Bootstrap-Adresse des WebSphere-Servers.
Die Option -Djava.ext.dirs fügt zum CLASSPATH alle JAR-Dateien in den WebSphere-Verzeichnissen lib/ und java/jre/lib/ext/ hinzu. Dies ist erforderlich, damit der Befehl „setrepo“ ordnungsgemäß funktioniert.
Ändern Sie die Option -f so, dass sie mit dem Wert, den Sie bei der Konfiguration der Datenquelle im Feld JNDI-Name angegeben haben, übereinstimmt. Weitere Informationen zu diesem Befehl finden Sie in der Referenz zum Befehl „setrepo“.
Identity Manager UpgradeZusätzliche Informationen
Kapitel 1: Upgrade Overview
Zum Abschnitt Example Upgrade wurde folgender Punkt hinzugefügt: (ID-12467).
Lassen Sie beim Bearbeiten des Felds „SuperRoles“ im Rollenformular äußerste Vorsicht walten. SuperRoles können verschachtelte Rollen sein. Die Felder „SuperRoles“ und „SubRoles“ weisen Verschachtelungen von Rollen und deren zugehörigen Ressourcen bzw. Ressourcengruppen auf. Wenn sie auf einen Benutzer angewendet wird, enthält die betreffende SuperRole die zugehörigen Ressourcen mit den dafür vorgesehenen SubRoles (Unterrollen). Das Feld „SuperRole“ wird angezeigt, um auf die Rollen hinzuweisen, die die angezeigte Rolle enthalten.
Kapitel 3: Develop the Upgrade Plan
Zum Abschnitt „Upgrade the Environment Upgrade From Identity Manager 5.x to 6.x“ wurde der folgende Abschnitt hinzugefügt. (ID-12361).
Schritt 2: Aufrüsten des Repository-Datenbankschemas
Identity Manager 6.0 verwendet ein Schema, das neue Tabellen für Aufgaben, Gruppen und Organisationen sowie die syslog-Tabelle enthält. Sie müssen diese neuen Tabellen erstellen und ihre vorhandenen Daten in diese Tabellen kopieren.
Hinweis Vor dem Aufrüsten des Repository-Schemas sollten Sie von allen Repository-Tabellen Sicherungskopien erstellen.
- Identity Manager speichert Objekte in zwei Tabellen. Sie können zum Ändern von Schemen die im Verzeichnis sample befindlichen Beispiel-Skripten nutzen.
Zum Aufrüsten der Repository-Tabellen dient das Skript sample/upgradeto2005Q4M3.Datenbankname.
Hinweis Die Aufrüstung von MySQL-Datenbanken ist ziemlich kompliziert. Weitere Informationen hierzu finden Sie unter sample/upgradeto2005Q4M3.mysql.
Identity Manager Administration GuideZusätzliche Informationen
- Wenn Sie Sunrise konfiguriert haben und einen Benutzer erstellen, wird ein Arbeitselement erstellt, das auf der Registerkarte Genehmigungen angezeigt wird. Durch Genehmigung dieses Elements wird das Sunrise-Datum überschrieben und das Konto erstellt. Wenn Sie das Element ablehnen, wird der Erstellvorgang für das Konto abgebrochen.
- Bei der Planung der Abstimmung können Sie jetzt den Namen einer Regel angeben, die den Zeitplan anpasst. Die Regel kann beispielsweise Abstimmungen für Samstag auf den folgenden Montag verlegen. (ID-11391).
Kapitel 4: Administration
Delegierung von Genehmigungen
Wenn Sie über Genehmigerfähigkeiten verfügen, können Sie zukünftige Genehmigungsanforderungen für einen bestimmten Zeitraum an einen oder mehrere Benutzer (die „Delegierten“) delegieren. Diese müssen hierzu keine Genehmigerfähigkeiten besitzen.
Es werden lediglich zukünftige Genehmigungsanforderungen delegiert. Bereits vorhandene Elemente (die Elemente unter „Wartet auf Genehmigung“) müssen Sie über die Weiterleitungsfunktion separat weiterleiten.
Klicken Sie zum Einrichten einer Delegierung auf die Registerkarte Eigene Genehmigungen delegieren im Bereich Genehmigungen.
Hinweise
- Sie können auf die Delegierungsfunktion zugreifen, wenn Sie aufgrund einer Ihrer zugewiesenen Fähigkeiten das Delegierungsrecht für WorkItem, eine von dessen authType-Erweiterungen (Approval, OrganizationApproval, ResourceApproval, RoleApproval, usw.) oder einen benutzerdefinierten Subtyp haben, der WorkItem oder einen von dessen authTypes erweitert.
- Sie können Genehmigungen auch über die Formularregisterkarte Sicherheit der Seiten zum Erstellen, Bearbeiten und Anzeigen von Benutzern sowie über das Hauptmenü der Benutzeroberfläche delegieren.
Während des Delegierungszeitraums können die Delegierten Anforderungen in Ihrem Namen genehmigen. In delegierten Genehmigungsanforderungen ist der Name des Delegierten enthalten.
Überwachungsprotokolleinträge für Anforderungen
Überwachungsprotokolleinträge für genehmigte und abgelehnte Genehmigungsanforderungen enthalten den Namen des Delegierenden (d. h. Ihren Namen), wenn die Anforderung delegiert wurde. Änderungen an den Angaben zu den Delegiertengenehmigern eines Benutzers werden beim Erstellen oder Ändern eines Benutzers im Detailabschnitt des Überwachungsprotokolleintrags protokolliert.
Kapitel 5: Configuration
Identity-Attribute aus Ressourcenänderungen konfigurieren
Identity-Attribute bestimmen, in welchem Verhältnis Attribute auf Ressourcen zueinander stehen. Das Erstellen oder Ändern einer Ressource kann sich daher auf diese Attributbeziehungen auswirken.
Beim Speichern einer Ressource zeigt Identity Manager die Seite „Identity-Attribute konfigurieren?“ an. Hier können Sie wahlweise:
- weiter zur Seite „Identity-Attribute aus Ressourcenänderungen konfigurieren“ gehen und dort Attribute konfigurieren. Klicken Sie auf Ja, um fortzufahren.
- zur Ressourcenliste zurückkehren Klicken Sie auf Nein, um zurückzugehen.
- diese Seite für zukünftige Ressourcenaktualisierungen deaktivieren. Klicken Sie auf Diese Frage nicht mehr wiederholen, um diese Seite zu deaktivieren.
Hinweis Diese Frage nicht mehr wiederholen ist nur für Benutzer mit der Fähigkeit, die Metaansicht zu ändern, sichtbar.
IDie Seite „Identity-Attribute konfigurieren? wieder aktivieren“
Wenn die Seite „Identity-Attribute konfigurieren?“ deaktiviert ist, können Sie sie auf eine der folgenden Weisen reaktivieren:
- Bearbeiten Sie über die Debugging-Funktionen von Identity Manager das WSUser-Objekt des angemeldeten Benutzers. Ändern Sie den Wert der Eigenschaft idm_showMetaViewFromResourceChangesPage auf true.
- Fügen Sie dem Benutzerformular (z. B. dem Formular mit Registerkarten) ein Feld wie das folgende hinzu, und ändern Sie anschließend über die Seite zum Bearbeiten von Benutzern den Wert dieser Einstellung:
<Field name="accounts[Lighthouse].properties.displayMetaViewPage">
<Display class="Checkbox">
<Property name="label" value="Display Meta View?"/>
</Display>
</Field>Konfiguration von Attributen
Auf der Seite „Identity-Attribute konfigurieren“ (aus „Ressourcen ändern“) können Sie Attribute aus den Schemazuordnungen geänderter Ressourcen auswählen, um sie als Quelle bzw. Ziel für Identity-Attribute zu verwenden. In einigen Fällen ist es nicht möglich, Attribute in der Spalte „Quelle“ bzw. „Ziel“ auszuwählen. Sie können ein Attribut nicht als Quelle auswählen, wenn es:
Sie können ein Attribut nicht als Ziel auswählen, wenn:
- es ein global gespeichertes Identity-Attribut mit demselben Namen gibt. Wenn es beispielsweise ein globales Identity-Attribut namens „Vorname“ gibt, ist die Zieloption „Vorname“ ausgewählt und kann nicht abgewählt werden.
- es in der Schemazuordnung ausschließlich für Lesezugriff gekennzeichnet ist.
- die Funktionen der Ressource zum Erstellen und Aktualisieren von Konten deaktiviert sind oder die Ressource diese Funktionen nicht unterstützt.
Kapitel 7: Sicherheit
- Dem Abschnitt „Configuring Authentication for Common Resources“ wurde der folgende Hinweis hinzugefügt: (ID-16805).
Alle in einer Gruppe gemeinsamer Ressourcen aufgeführten Ressourcen müssen auch in der Definition des Anmeldemoduls enthalten sein. Wenn eine vollständige Liste gemeinsamer Ressourcen nicht auch in der Definition des Anmeldemoduls enthalten ist, funktioniert das Leistungsmerkmal der gemeinsamen Ressourcen nicht ordnungsgemäß.
- Es wurden Informationen zum Anmelden bei gleichzeitigen Sitzungen hinzugefügt. (ID-12778).
Begrenzen von Sitzungen mit mehreren gleichzeitigen Anmeldungen
Standardmäßig können Identity Manager-Benutzer Sitzungen mit mehreren gleichzeitigen Anmeldungen ausführen. Sie können dies so einschränken, dass nur noch eine Sitzung pro Anmeldeanwendung möglich ist. Hierzu ändern Sie den Wert des Konfigurationsattributs security.authn.singleLoginSessionPerApp im Systemkonfigurationsobjekt. Dieses Attribut ist ein Objekt, das wiederum ein Attribut pro Anmeldeanwendung enthält (z. B. für die Administratoroberfläche, die Benutzeroberfläche oder BPE). Ändern Sie den Wert dieses Attributs auf true, damit für jeden Benutzer nur noch eine einzige Anmeldesitzung möglich ist.
In diesem Fall kann sich der Benutzer zwar bei mehreren Sitzungen anmelden, es bleibt jedoch nur die jeweils letzte Sitzung aktiv und gültig. Wenn der Benutzer versucht, unter einer ungültigen Sitzung eine Aktion auszuführen, wird die Sitzung automatisch beendet.
Kapitel 8: Reporting
Im Abschnitt „Summary Reports“ enthält die Beschreibung von Benutzerberichten jetzt die Fähigkeit, Benutzer nach Managerrollen zu suchen: (ID-12690).
Kapitel 10: PasswordSync
- Es wurden Anweisungen zur Konfiguration von Windows-PasswordSync mit einem Sun JMS-Server hinzugefügt. Weitere Informationen finden Sie im Dokument Configuring PasswordSync with a Sun JMS Server, das diesen Versionshinweisen beiliegt. (ID-11788).
- Es wurde der folgende neue Abschnitt zur Beschreibung der Hochverfügbarkeitsarchitektur mit Failover für PasswordSync hinzugefügt. (ID-12634).
- Es wurde ein Abschnitt hinzugefügt, der die Implementierung von PasswordSync ohne Java Messaging Server beschreibt. (ID-14974).
Failover-Deployment für Windows PasswordSync
Die PasswordSync-Architektur eliminiert einzelne fehlerhafte Stellen im Windows-Deployment für die Passwort-Synchronisierung für Identity Manager.
Wenn Sie jeden Active Directory Domain Controller (ADC) so konfigurieren, dass er mit einem von mehreren JMS-Clients über eine Auslastungsverteilung (siehe folgende Abbildung) eine Verbindung herstellt, können die JMS-Clients Nachrichten an einen Cluster aus Message Queue Brokern senden. Dieser gewährleistet, dass beim Ausfall von Message-Queues keine Nachrichten verloren gehen.
Hinweis Für Ihren Message Queue-Cluster ist höchstwahrscheinlich eine Datenbank erforderlich, um die Nachrichten-Persistenz zu gewährleisten. (Anweisungen zur Konfiguration eines Message Queue Broker-Clusters finden Sie in der Produktdokumentation Ihres Anbieters.)
Der Identity Manager-Server, auf dem ein für das automatische Failover konfigurierter JMS Listener-Adapter läuft, kontaktiert den Message Queue Broker-Cluster. Obwohl der Adapter zur gleichen Zeit nur in einer Instanz von Identity Manager ausgeführt wird, beginnt er beim Ausfall des primären ActiveSync-Servers mit dem Suchen nach Passwortnachrichten auf einem sekundären Identity Manager-Server und teilt Passwortänderungen untergeordneten Ressourcen mit.
Implementierung von PasswordSync ohne Java Messaging Service
Zur Implementierung von PasswordSync ohne JMS müssen Sie das Konfigurationsprogramm mit dem folgenden Flag aufrufen:
Configure.exe -direct
bei Angabe des Flags -direct zeigt das Konfigurationsprogramm die Registerkarte „Benutzer“ an. Konfigurieren Sie PasswordSync gemäß den in “Configuring PasswordSync” aufgeführten Anweisungen. Dabei gelten folgende Ausnahmen:
Wenn Sie PasswordSync ohne JMS implementieren, brauchen Sie keinen JMS Listener-Adapter zu erstellen. Deswegen können Sie die in “Deploying PasswordSync” angegebenen Anweisungen überspringen. Wenn Sie Benachrichtigungen einrichten wollen, kann es sein, dass Sie den Workflow „Benutzerpasswort ändern“ modifizieren müssen.
Hinweis Wenn Sie das Konfigurationsprogramm danach ohne Angabe des Flags
-direct ausführen, benätigt PasswordSync zur Konfiguration JMS. Starten Sie das Anwendungsprogramm mit dem Flag -direct neu, um JMS erneut zu umgehen.
Korrekturen
Kapitel 5: Ressourcen
In der Tabelle für benutzerdefinierte Ressourcenklassen wurde die benutzerdefinierte Ressourcenklasse für den ClearTrust-Ressourcenadapter wie folgt berichtigt: (ID-12681).
com.waveset.adapter.ClearTrustResourceAdapter
Kapitel 10: PasswordSync
Im Abschnitt „Configuring PasswordSync“ unter „JMS Settings Dialog“ wurde die Beschreibung für „Queue Name“ wie folgt berichtigt:
lh-Referenz
Die Befehlssyntax wurde entsprechend aktualisiert, um anzuzeigen, dass nach angegebenen Optionen ein Leerzeichen folgen muss. (ID-12798).
Bei Verwendung der Option -p sollte aus Sicherheitsgründen Password als Pfad zu einer Textdatei, die ein Passwort enthält, angegeben werden, anstatt das Passwort direkt in der Befehlszeile einzugeben.
Beispiele
Der license-Befehl
Syntax
license [Optionen] { Status | set {Parameter} }
Optionen
Die Parameter für die Option set müssen im Format -f Datei angegeben werden.
Identity Manager Workflows, Forms, and ViewsKapitel 1: Workflows
Die Erläuterung manueller Aktionen in diesem Kapitel muss die folgenden Informationen enthalten:
Ist das Attribut itemType eines Arbeitselements auf „wizard“ gesetzt, umgeht das Arbeitselement beim Prüfen der WorkItem-Ansicht standardmäßig das Abrufen weiterleitender Genehmiger. Weist „itemType“ einen anderen Wert als „wizard“ auf, ruft Identity Manager die weiterleitenden Genehmiger weiterhin ab, es sei denn, CustomUserList ist als Eigenschaft des in der manuellen Aktion verwendeten Formulars auf „true“ gesetzt. (ID-10777).
Fügen Sie hierzu den folgenden Code in das Formular ein:
<Formular>
<Properties>
Property name="CustomUserLists" value="true"/>
</Properties>
Kapitel 2: Workflow Services
- Die Argumenttabelle für die Workflow-Dienstsitzung createView ist falsch. In der folgenden Tabelle werden die für diesen Dienst verfügbaren Argumente beschrieben.
- Identity Manager bietet die Methode checkStringQualityPolicy der Workflow-Dienste, die den Wert einer betreffenden Zeichenkette gegen die geltenden Zeichenfolgen-Richtlinien prüft. (ID-12428, 12440).
Diese Methode gibt ein checkPolicyResult-Objekt zurück. Der Wert true gibt an, dass die betreffende Zeichenkette den Test gegen die geltenden Richtlinien bestanden hat. Diese Methode gibt eine Fehlermeldung zurück, wenn die Zeichenkette den Test nicht bestanden hat. Wenn die Option returnNull im Parameter map auf true gesetzt ist, gibt die Methode bei erfolgreicher Ausführung ein Nullobjekt zurück.
- Identity Manager bietet jetzt den Workflow-Dienst auditPolicyScan (ID-12615). Dieser Workflow-Dienst dient dazu, Benutzer auf der Grundlage der ihnen zugewiesenen Richtlinien nach Verstößen gegen Überprüfungsrichtlinien abzufragen. Wenn dem betreffenden Benutzer keine Richtlinie zugewiesen ist, wird von Identity Manager die seiner Organisation zugewiesene Richtlinie (falls vorhanden) verwendet.
Diese Methode übernimmt ein Argument, view, das die Benutzeransicht des angegebenen Benutzers festlegt. Sie gibt die Workflow-Variable checkPolicyResult zurück. Diese Variable enthält eines von Folgendem:
Kapitel 3: Formulare
Identity Manager kann erforderliche Attribute in der Schemazuordnung einer Ressource kennzeichnen. Im Formular „Benutzer bearbeiten“ sind diese Attribute mit einem * (Sternchen) gekennzeichnet. Standardmäßig zeigt Identity Manager ein Sternchen nach dem auf den Attributnamen folgenden Textfeld an. (ID-10662).
Gehen Sie folgendermaßen vor, um die Positionierung des Sternchens anzupassen:
- Öffnen Sie mit Identity Manager BPE oder einem XML-Editor Ihrer Wahl das Konfigurationsobjekt „Komponenteneigenschaften“.
- Fügen Sie EditForm.defaultRequiredAnnotationLocation=left zum Tag <SimpleProperties> hinzu.
Gültige Werte für defaultRequiredAnnotationLocation sind left, right und none.
- Speichern Sie die Änderungen, und starten Sie den Anwendungsserver neu.
Kapitel 4: FormUtil Methods
- Identity Manager bietet die FormUtil-Methode checkStringQualityPolicy, die den Wert einer betreffenden Zeichenkette gegen die geltenden Zeichenfolgen-Richtlinien prüft. (ID-12428, 12440).
checkStringQualityPolicy(LighthouseContext s, String policy, Object value, Map map, List pwdhistory, String owner)
Diese Methode gibt true zurück, wenn die betreffende Zeichenkette den Test gegen die geltenden Richtlinien bestanden hat. Diese Methode gibt eine Fehlermeldung zurück, wenn die Zeichenkette den Test nicht bestanden hat. Wenn die Option returnNull im Parameter map auf true gesetzt ist, gibt die Methode bei erfolgreicher Ausführung ein Nullobjekt zurück.
- Identity Manager bietet jetzt die FormUtil-Methode controlsAtLeastOneOrganization. (ID-9260).
controlsAtLeastOneOrganization(LighthouseContext s, List organizations)
throws WavesetException {
Ermittelt, ob ein aktuell authentifizierter Benutzer die auf der Liste einer oder mehrerer Organisationsnamen (Objektgruppen) angegebenen Organisationen kontrolliert. Die Liste unterstützter Organisationen enthält auch die Organisationen, die durch Auflisten aller Objekte vom Typ ObjectGroup zurückgegeben werden.
Diese Methode gibt Folgendes zurück:
true – Der aktuell authentifizierte Identity Manager-Benutzer kontrolliert Organisationen in der Liste.
false – Der aktuell authentifizierte Identity Manager-Benutzer kontrolliert keine Organisationen in der Liste.
Kapitel 5: Ansichten
Kontotypen
Diese Identity Manager-Version bietet Unterstützung zur Zuordnung mehrerer Konten zu Benutzern auf einer Ressource mit Kontotypen. (ID-12697) Sie können jetzt wahlweise beim Zuweisen von Ressourcen zu Benutzern einen Kontotyp einer Ressource zuordnen. Dabei gelten jedoch die folgenden Einschränkungen:
Vor dem Zuweisen eines Kontotyps zu einer Ressource ist dieser Typ zunächst von einem Administrator zu definieren. Es muss darüber hinaus auch eine Identity-Regel definiert werden (Beispiele für Identity-Regeln finden Sie in samples/identityRules.xml for examples).
Identity Manager verwendet zum Zuweisen einer Regel zu einem Kontotyp den Untertyp IdentityRule. Diese Regel generiert die benötigten Konten-IDs. (Diese Regeln funktionieren ähnlich wie Identitätsvorlagen, sind jedoch in XPRESS implementiert und greifen auf die LighthouseContext-API zu).
Informationen darüber, wie Sie mit der Administratorbenutzeroberfläche von Identity Manager Kontotypen zu Ressourcen zuweisen, finden Sie im Identity Manager Administration.
Auslassen des Kontotyps
Wenn der Kontotzp in einer Ressource weggelassen wird, weist Identity Manager den Standardkontotyp zu. Dies gewährleistet eine Abwärtskompatibilität Wenn jedoch für keine Ressource ein Kontotyp definiert ist, wird diese Funktion deaktiviert.
Der Standardkontotyp nutzt die Identitätsvorlage. Sie können jedoch auch angeben, dass statt der Identitätsvorlage ein Standardtyp verwendet werden soll.
Der Standardkontotyp ist insofern speziell, als dass der Benutzer mehrere Konten dieses Typs zuweisen kann. In der Praxis ist das Zuweisen mehrerer Konten des gleichen Typs jedoch oft nicht sinnvoll.
Änderungen in Ansichten
Die folgenden Änderungen, die an Identity Manager-Ansichten vorgenommen wurden, unterstützen Kontotypen.
- Die Ressourcenansicht besitzt jetzt das Attribut accountType (Liste). Jeder
Eintrag ist ein Objekt mit dem Attribut identityRule, das dieRegel, die zur
Erstellung der accountIds für diesen Typ verwendet wurde, enthält.- Das Attribut resources der Rollen- und Anwendungsansicht erlaubt jetzt die Verwendung qualifizierter Ressourcenzuweisungen. Die Syntax dieser qualifiziertem Zuweisungen ist <Ressourcenname>|<Kontotyp>.
- Die Benutzeransicht enthält jetzt das Attribut waveset.resourceAssignments, das qualifizierte Ressourcenzuweisungen akzeptiert. (waveset.resources enthält nur unqualifizierte Referenzen.) Sie können alle diese Attribute ändern; in der Praxis ist es jedoch sinnvoll, nur waveset.resourceAssignment für Aufrüstungen und waveset.resources zum Schreibschutz zu ändern.)
Der Zugriff auf diese Objekte im Attribut accounts der Benutzeransicht hat sich nach dem Hinzufügen dieser neuen Funktion nicht geändert. Zur Indizierung der accounts-Liste sollten qualifizierte Ressourcennamen verwendet werden. So wählt das Konstrukt accounts[Ressource|Typ] das Konto für diese Ressourcen- und Typkombination aus. Wenn Sie keinen Typ angeben, können Sie auf diese Objekte trotzdem noch mit accounts[Ressource] zugreifen.
- Zugehörige Ansichten wie z.B. „Bereitstellung aufheben“ und „Passwort ändern“ nutzen diese Adressierungsart ebenfalls. Die Objekte in dieser Liste besitzen jetzt auch ein neues Attribut namens accountType, das den Kontotyp des Ressourcenkontos enthält.
Ansicht „Delegierte Genehmiger“
In dieser Ansicht können Sie einen oder mehrere Identity Manager-Benutzer als delegierte Genehmiger für einen vorhandenen Genehmiger zuweisen. Dadurch können Genehmiger ihre Gehmigungsfühigkeiten einen bestimmtenZeitraum lang an Benutzer delegieren, die selbst keine Genehmiger sind. Zu den Attributen der höchsten Stufe gehören: (ID-12754).
Hinweis Außer dem Attribut „name“ enthält die Benutzeransicht die gleichen Attribute. Diese neuen Attribute sind im Namensraum accounts[Lighthouse]. enthalten.
name
Der Benutzer, der Genehmigungen delegiert.
delegateApproversTo
Gibt an, an welchen Benutzer Genehmigungen delegiert werden sollen. Zu den gültigen Werten zählen „manager“, „selectedUsers“ oder „delegateApproversRule“.
delegateApproversSelected
delegateApproversStartDate
Das Datum, an dem die Delegierung von Genehmigungsfähigkeiten beginnen soll. Standardmäßig ist dieses Datum auf 12:01 des jeweiligen Tages gesetzt.
delegateApproversEndDate
Das Datum, an dem die Delegierung von Genehmigungsfähigkeiten enden soll. Standardmäßig ist dieses Datum auf 23:59 des jeweiligen Tages gesetzt.
Die Dokumentation zu Rollenansichten wurde wie folgt aktualisiert. (ID-12390).
Rollenansicht
Dient zum Definieren von Rollenobjekten in Identity Manager.
Ist die Ansicht aktiviert, ruft sie den Workflow „Rolle verwalten“ auf. Standardmäßig speichert dieser Workflow lediglich die Ansichtsänderungen im Repository. Er enthält jedoch auch Ausgangspunkte für Genehmigungen und andere benutzerspezifische Anpassungen.
In der folgenden Tabelle sind die Attribute der höchsten Ebene für diese Ansicht aufgeführt.
Tabelle 1. Attribute für Rollenansichten
name
Der Name der Rolle. Entspricht dem Name des Role-Objekts im Identity Manager-Repository.
resources
Die Namen der lokal zugewiesenen Ressourcen.
applications
Die Namen der lokal zugewiesenen Anwendungen (Ressourcengruppen).
roles
Die Namen der lokal zugewiesenen Rollen.
assignedResources
Flache Liste aller zugewiesenen Ressourcen über Ressourcen, Anwendungen und Rollen.
resourceNameDer Name der zugewiesenen Ressource.
nameIDer Ressourcenname oder die Ressourcen-ID (ID bevorzugt).
attributesDie charakteristischen Eigenschaften der Ressource. Alle Unterattribute sind vom Datentyp „String“ und können bearbeitet werden.
Tabelle 2. Attributoptionen (Rollenansicht)
- notifications -- Listet die Namen der Administratoren auf, die die Zuweisung dieser Rolle zu einem Benutzer genehmigen müssen.
- approvers -- Die Namen der Administratoren, die die Zuweisung dieser Rolle zu einem Benutzer genehmigen müssen.
- properties -- In dieser Regel gespeicherte benutzerdefinierte Eigenschaften.
- organizations -- Die Liste der Organisationen, in denen die Rolle verfügbar ist.
- Die Ansichten zu Ressourcenkonten (Ansichten „Benutzerbereitstellung aufheben“, „Deaktivieren“, „Aktivieren“, „Passwort“, „Benutzer umbenennen“, „Erneut bereitstellen“, and „Sperre aufheben“) unterstützen jetzt zwei neue Optionen, mit denen Ressourcenkontenattribute für Benutzer abgerufen werden können. (ID-12482).
- fetchAccounts – (Boolean) Wenn dieser Parameter auf „true“ gesetzt ist, enthält die Ansicht Kontenattribute für die dem Benutzer zugewiesenen Ressourcen.
- fetchAccountResources – Ressourcennamen, die abgerufen werden können. Wenn hier nichts angegeben ist, werden alle zugewiesenen Ressourcen verwendet.
Diese Optionen können am Einfachsten als Formulareigenschaften gesetzt werden. (Weitere Informationen finden Sie in der Erläuterung der Ansicht „WorkItem List“ im Kapitel „Views“ in diesem Handbuch).
Kapitel 6: XPRESS Language
- Die Funktion instanceOf ist gegenwärtig im Kapitel „XPRESS Language“ nicht dokumentiert. Diese Funktion ermittelt, ob ein Objekt eine Instanz des im Parameter name angegebenen Typs ist. (ID-12700).
name – Das Objekt, gegen das geprüft wird.
Diese Funktion gibt je nachdem, ob das Unterausdrucksobjekt eine Instanz des im Parameter name angegebenen Typs ist, den Wert 1 oder 0 („true“ oder „false“) zurück.
Der folgende Ausdruck gibt 1 zurück, da ArrayList ein List-Objekt ist.
<instanceof name="List">
<new class="java.util.ArrayList"/>
</instanceof>
Kapitel 8: HTML Display Components
- Die Beschreibung der Komponente SortingTable wurde wie folgt geändert:
Dient zum Erstellen einer Tabelle, deren Inhalt nach Spaltenüberschrift sortiert werden kann. Der Inhalt dieser Tabelle wird durch untergeordnete Komponenten bestimmt. Erstellen Sie eine untergeordnete Komponente pro Spalte (definiert mit der Eigenschaft columns). Spalten sind in der Regel in einer FieldLoop enthalten.
Diese Komponente unterstützt bei der Ausgabe der Tabellenzellen die Eigenschaften align, valign und width der untergeordneten Komponenten. (ID-12606).
- Identity Manager stellt jetzt die Azeigekomponente InlineAlert bereit. (ID-12606).
Diese zeigt ein Fehler-, Warn-, Erfolgs- oder Informationsdialogfeld an und befindet sich normalerweise am oberen Seitenrand. Durch Definition von untergeordneten Komponenten vom Typ InlineAlert$AlertItem können mehrere Meldungen in einem Hinweisdialogfeld angezeigt werden.
Zu den Eigenschaften für diese Anzeigekomponente gehören:
- alertType – Der Typ der anzuzeigenden Meldung. Diese Eigenschaft bestimmt die verwendeten Stile und Grafiken. Zulässige Werte sind „error“, „warning“ „success“ und „info“. Der Standardwert für diese Eigenschaft ist „info“. Diese Eigenschaft gilt nur für InlineAlert.
- header – Der für das Hinweisdialogfeld anzuzeigende Titel. Dies kann entweder eine Zeichenfolge (String) oder ein Message-Objekt sein. Diese Eigenschaft gilt für InlineAlert oder InlineAlert$AlertItem.
- value – Die anzuzeigende Meldung. Dies kann entweder eine Zeichenfolge (String) oder ein Message-Objekt sein. Diese Eigenschaft gilt für InlineAlert oder InlineAlert$AlertItem.
- linkURL – Eine optionale URL, die am unteren Rand des Hinweisdialogfeldes angezeigt wird. Diese Eigenschaft gilt für InlineAlert oder InlineAlert$AlertItem.
- linkText – Text für linkURL. Dies kann entweder eine Zeichenfolge (String) oder ein Message-Objekt sein. Diese Eigenschaft gilt für InlineAlert oder InlineAlert$AlertItem.
- linkTitle – Titel für linkURL. Dies kann entweder eine Zeichenfolge (String) oder ein Message-Objekt sein. Diese Eigenschaft gilt für InlineAlert oder InlineAlert$AlertItem.
Beispiele
Meldung mit einem Hinweis<Field>
<Display class="InlineAlert">
<Property name="alertType" value="warning"/><Property name="header" value="Data not Saved"/>
<Property name="value" value="The data entered is not yet saved.
Please click Save to save the information."/></Display>
</Field>
Meldung mit mehreren HinweisenalertType sollte nur innerhalb der Eigenschaft InlineAlert definiert werden. Sie können für InlineAlert$AlertItems andere Eigenschaften definieren.
<Field>
<Display class="InlineAlert">
<Property name="alertType" value="error"/>
</Display>
<Field>
<Display class="InlineAlert$AlertItem">
<Property name="header" value="Server Unreachable"/>
<Property name="value" value="The specified server could not
be contacted. Please view the logs for more information."/>
<Property name="linkURL" value="viewLogs.jsp"/>
<Property name="linkText" value="View logs"/>
<Property name="linkTitle" value="Open a new window with
the server logs"/>
</Display>
</Field>
<Field>
<Display class="InlineAlert$AlertItem">
<Property name="header" value="Invalid IP Address"/>
<Property name="value" value="The IP address entered is
in an invalid subnet. Please use the 192.168.0.x subnet."/> </Display>
</Field>
</Field>
- Identity Manager stellt jetzt die Azeigekomponente Selector bereit. (ID-12729).
Diese stellt ein Feld mit einem oder mehreren Werten (wie bei Text- oder ListEditor-Komponenten) mit darunter liegenden Suchfeldern bereit. Nach einem Sichvorgang zeigt Identity Manager Ergebnisse unter den Suchfeldern an und schreibt die Ergebnisse in das Wertefeld.
Im Gegensatz zu anderen Container-Komponents besitzt Selector einen Wert (Das Feld, das mit den Suchergebnissen gefüllt wird). Bei den enthaltenen Feldern handelt es sich normalerweise um Suchkriterienfelder. Selector implementiert eine Eigenschaft zur Anzeige des Inhalts der Suchergebnisse.
Zu den Eigenschaften gehören:
- fixedWidth – Legt fest, ob die Komponente eine feste Breite haben soll (das gleiche Verhalten wie bei Multiselect). (Boolean)
- multivalued – Legt fest, ob der Wert ein List-Objekt oder ein String ist. (Der Wert dieser Eigenschaft bestimmt, ob für den Wert ein ListEditor- oder Textfeld ausgegeben wird). (Boolean)
- allowTextEntry – Legt fest, ob Einträge aus der bereitgestellten Liste ausgewählt werden müssen oder manuell eingegeben werden können. (Boolean)
- valueTitle – Eine Beschriftung für die value-Komponente. (String)
- pickListTitle – Eine Beschriftung für die picklist-Komponente. (String)
- pickValues – die verfügbaren Werte in der picklist-Komponente (ist dieser Wert null, wird die Picklist nicht angezeigt). (List)
- pickValueMap – eine Matrix mit Beschriftungen für die Werte der Picklist. (Map oder List)
- sorted – Legt fest, dass die Werte in der Picklist sortiert werden sollen (bei mehreren und unsortierten Werten wird die Werteliste ebenfalls sortiert). (Boolean)
- clearFields – Die Felder, die beim Klicken auf die Schaltfläche „Löschen“ zurückgesetzt werden sollen. (List)
Die folgenden Eigenschaften gelten nur für Komponenten mit mehreren Werten:
- ordered – Legt fest, dass die Wertereihenfolge wichtig ist. (Boolean)
- allowDuplicates – Legt fest, ob die Werteliste Duplikate enthalten kann. (Boolean)
- valueMap – eine Matrix mit Beschriftungen für die Werte in der Liste. (Map)
Die folgenden Eigenschaften gelten nur für Komponenten mit einem Wert:
- nullLabel – Die Beschriftung, die für einen Nullwert verwendet werden soll. (String)
- Die Beschreibungen der Select- und MultiSelect-Komponents wurden zur Erläuterung der Eigenschaft caseInsensitive wie folgt geändert. (ID-13364).
MultiSelect-Komponente
Zeigt ein MultiSelection-Objekt an, das von Identity Manager als zwei nebeneinander liegende Textauswahlschlüsselfelder dargestellt wird, in denen eine bestimmte Anzahl an Werten vom einen Feld in das andere Feld verschoben werden kann. Die Werte im linken Feld werden von der Eigenschaft allowedValues definiert. Diese Werte werden oft dynamisch durch Aufruf einer Java-Methode wie z.B. FormUtil.getResources abgerufen. Die Werte im rechten Mehrfachauswahlfeld werden aus dem aktuellen Wert des zugehörigen Anzeigeattributs eingelesen, das durch den Feldnamen definiert ist.
Sie können die Formulartitel für jedes Feld in diesem MultiSelection-Objekt mithilfe der Eigenschaften availabletitle und selectedtitle setzen.
Wenn Sie eine MultiSelect-Komponente wünschen, die kein Applet verwendet, müssen Sie die Eigenschaft noApplet auf „true“ setzen.
Hinweis Wenn Identity Manager auf einem System mit Safari-Browser läuft, müssen Sie alle Formulare mit MultiSelect-Komponents entsprechend benutzerspezifisch anpassen, um die Option „noApplet“ setzen zu können. Stellen Sie diese Option wie folgt ein:
<Display class="MultiSelect">
<Property name="noApplet" value="true"/>
...
Zu den Eigenschaften für diese Anzeigekomponente gehören:
- availableTitle – Der Titel für das Feld der verfügbaren Werte.
- selectedTitle – Der Titel für das Feld der ausgewählten Werte.
- ordered – Legt fest, on ausgewählte Einträge in der Liste nach oben oder unten bewegt werden können. Ein true-Wert legt fest, dass zum Bewegen ausgewählter Einträge nach oben bzw. unten zusätzliche Schaltflächen angezeigt werden.
- allowedValues – Die Werte im linken Feld des MultiSelection-Objekts. Dieser Wert muss eine Stringliste sein. Hinweis: Das Element <Beschränkungen> kann zum Einlesen von Werten in dieses Feld verwendet werden, ist jedoch verworfen.
- sorted – Legt fest, dass die Werte in beiden Feldern alphabetisch sortiert werden sollen.
- noApplet – Legt fest, ob die MultiSelect-Komponente mithilfe eines Applets oder zwei HTML-Standardauswahlfeldern implementiert wird. Der Standardwert ist Applet, da Applets lange Wertelisten besser verarbeiten können. Information zur Verwendung dieser Option auf Systemen mit Safari-Browser finden Sie im vorherigen Hinweis.
- typeSelectThreshold – (nur verfügbar, wenn noApplet auf „true“ gesetzt ist.) Legt fest, ob ein Type-ahead-Auswahlfeld unter der Liste allowedValue angezeigt wird. Wenn die Anzahl der Einträge im linken Auswahlfeld den von dieser Eigenschaft festgelegten Grenzwert erreicht, erscheint unter dem Auswahlfeld ein zusätzliches Texteingabefeld. Bei der Eingabe von Zeichen in dieses Textfeld werden im Auswahlfeld automatisch passende Einträge angezeigt, falls diese existieren. Wenn Sie beispielsweise w eingeben, geht das Auswahlfeld zum Eintrag, der mit w beginnt.
- widht – Die Breite für das Feld der ausgewählten Werte (in Pixeln). Die Standardwert beträgt 150.
- height – Die Höhe für das Feld der ausgewählten Werte (in Pixeln). Die Standardwert beträgt 400.
- caseInsensitive -- Ermöglicht das Durchführen von Operationen, die Groß- und Kleinschreibung ignorieren.
Select-Komponente
Zeigt ein Einfachauswahlobjekt an. Werte für das Listenfeld müssen von der Eigenschaft allowedValues bereitgestellt werden.
Zu den Eigenschaften für diese Anzeigekomponente gehören:
- allowedValues – Die Liste auswählbarer Werte zur Anzeige im Listenfeld.
- allowedOthers – Wenn dieser Wert gesetzt ist, werden Anfangswerte, die nicht in der allowedValues-Liste enthalten waren, akzeptiert und „stillschweigend“ in die Liste aufgenommen.
- autoSelect – Wenn dieser Wert auf true, gesetzt ist, wird der erste Wert in der Liste allowedValues durch diese Eigenschaft automatisch ausgewählt, wenn der Anfangswert für das Feld null ist.
- caseInsensitive -- Ermöglicht das Durchführen von Operationen, die Groß- und Kleinschreibung ignorieren.
- multiple – Wenn dieser Wert auf true gesetzt ist, können mehrere Werte ausgewählt werden.
- nullLabel – Legt den Text fest, der oben in der Liste angezeigt wird, wenn kein Wert ausgewählt ist.
- optionGroupMap – Ermöglicht die Ausgabe von Optionen in Gruppen mithilfe des Tags <optgroup>. Formatieren Sie die Map so, dass die Schlüssel der Maps die Gruppenlabels und die Elemente Listen auswählbarer Einträge sind. (Werte müssen zur Eigenschaft allowedValues gehören, um ausgegeben werden zu können.)
- size – (optional) Die Maximalanzahl der anzuzeigenden Zeilen. Wenn die Zeilenanzahl diesen Wert überschreitet, wird eine Bildlaufleiste hinzugefügt.
- sorted – Wenn dieser Wert auf true gesetzt ist, werden die Werte in der Liste sortiert.
- valueMap – Ordnet Rohwerten angezeigten Werten zu.
Die Komponente unterstützt die Eigenschaften command und onChange.
- Die Erläuterung zur DatePicker-Komponente beschreibt die folgenden neuen Eigenschaften. (ID-14802).
Die HTML-Komponente DatePicker ermöglicht jetzt die Auswahl getrennter Datumsangaben. Sie können einen Datumszeitraumsatz angeben, mit dessen Hilfe bestimmte Datumsangaben aus dem Kalender ausgewählt werden können.
DatePicker implementiert die folgenden beiden neuen Eigenschaften:
SelectAfter -- Beschränkt die auswählbaren Datumsangaben, die im Kalender angezeigt werden, auf Datumsangaben am oder nach dem eingegebenen Datum. Der Wert dieser Eigenschaft kann ein Datumsstring oder ein Java Date-Objekt sein.
<Property name="SelectAfter" value="**/**/****"/>
SelectBefore -- Beschränkt die auswählbaren Datumsangaben, die im Kalender angezeigt werden, auf Datumsangaben am oder vor dem eingegebenen Datum. Der Wert dieser Eigenschaft kann ein Datumsstring oder ein Java Date-Objekt sein.
<Property name="SelectBefore" value="**/**/****"/>
Bei Verwendung eines Formulars, das das Tag <Display class="DatePicker"> implementiert, müssen diese Variablen zum Formular hinzugefügt werden, um den Datumszeitraum zu definieren. Wenn Sie diese Eigenschaften nicht einstellen, wird der Kalender nicht für auswählbare Datumsangaben beschränkt.
Identity Manager Technical Deployment OverviewDie folgenden Erläuterungen zu zugehörigen Workflows, Formularen und JSPs gehören zum Überblick über die Architektur von Identity Manager Technical Deployment Overview (ID-7332).
Prozessausführung
Wenn ein Benutzer Daten in einem Feld auf einer Seite eingibt und auf Speichern klickt, verarbeiten die Workflow- und Formularkomponenten die Daten gemeinsam.
Jede Seite in Identity Manager hat zugehörige Ansichten, Workflows und Formulare, welche die Datenverarbeitung übernehmen. Diese Workflow-, Ansichts- und Formularzuweisungen werden in den folgenden zwei Tabellen aufgelistet.
Identity Manager-Prozesse für die Benutzeroberfläche
Die folgenden Tabellen enthalten die Formulare, Ansichten, Workflows und JSPs der Prozesse, die von diesen Seiten der Identity Manager-Benutzeroberfläche eingeleitet werden:
Prozesse der Administratorbenutzeroberfläche
Die folgenden Tabellen enthalten die Formulare, Ansichten, Arbeitsabläufe und JSPs der Prozesse, die von diesen Seiten der Identity Manager-Administratorbenutzeroberfläche eingeleitet werden:
JSPs (Java Server Pages) und ihre Rolle in Identity Manager
Die folgenden Tabellen beschreiben die System-JSPs und deren Seiten für die Administratorbenutzeroberfläche und Benutzeroberfläche.
JSPs für die Identity Manager-Benutzeroberfläche
JSPs für die Administratorbenutzeroberfläche
Anhang A, Konfigurationsobjekte bearbeiten
In der Liste der Standardwerte für QueryableAttrNames auf Seite A-4 fehlt idmManager.
Identity Manager 6.0 Resources Reference
- Die Liste „Supported Account Attributes“ unter „Resources Reference > Active Directory > Account Attributes > Account Attribute Support“ ist in der PDF-Version des Dokuments aktueller als bei der HTML-Version. Bitte konsultieren Sie die PDF-Version. (ID-12630).
- Der oberste Knoten der Identity Manager 6.0 Resources Reference 2005Q4M3 unter der folgenden URL enthält keinen Verweis auf den Abschnitt „Domino“: (ID-12636).
http://docs.sun.com/app/docs/doc/819-4520
Sie finden den Abschnitt „Domino“ durch Öffnen von „Inhalt“ in diesem Knoten oder unter der folgenden URL:
http://docs.sun.com/source/819-4520/Domino_Exchange.html#wp999317
Access Manager Adapter
Schritt 5 in “General Configuration” muss wie folgt lauten:
5. Fügen Sie zur Datei java.security die folgen Zeilen hinzu, falls sie nicht schon vorhanden sind:
security.provider.2=com.ibm.crypto.provider.IBMJCE
security.provider.3=com.ibm.net.ssl.internal.ssl.ProviderDie Zahl nach „security.provider“ in jeder Zeile gibt die Reihenfloge an, in der Java SecurityProvider-Klassen abfragt und muss eindeutig sein. Die Zahlenfolge kann je nach Umgebung verschieden sein. Wenn in der Datei java.security bereits mehrere SecurityProvider vorhanden sind, sollten Sie die neuen SecurityProvider in der oben aufgeführten Reihenfolge einfügen und die bereits vorhandenen SecurityProvider entsprechend umnummerieren. Entfernen Sie keine vorhandenen SecurityProvider und duplizieren Sie diese nicht. (ID-12044).
Active Directory Adapter
Active Directory unterstützt jetzt die Binärattribute thumbnailPhoto (Windows 2000 Server und neuer) und jpegPhoto (Windows 2003).
BridgeStream SmartRoles-Adapter
Identity Manager bietet jetzt einen BridgeStream SmartRoles-Ressourcenadapter, der Benutzer in SmartRoles bereitstellt. Dieser Adapter platziert Benutzer in den passenden Organisationen innerhalb von SmartRoles, sodass SmartRoles ermitteln kann, welche Business-Rollen diese Benutzer haben sollten.
Beim Abrufen von Benutzern aus SmartRoles ruft der Adapter auch die Business-Rollen der Benutzer ab. Diese Business-Rollen dienen in Identity Manager zur Ermittlung der Identity Manager-Rollen, -Ressourcen, -Attribute und -Zugriffe, die einem Benutzer zugewiesen werden sollen.
Darüber hinaus kann SmartRoles mithilfe von Active Sync Benutzerdaten ändern. Sie können SmartRoles-Benutzer in Identity Manager laden und miteinander harmonisiereb.
Ausführliche Informationen zu diesem Adapter finden Sie im Kapitel Sun Java™ System Identity Manager Resources Reference Addendum. (ID-12714).
ClearTrust-Adapter
- Der ClearTrust-Ressourcenadapter unterstützt jetzt ClearTrust Version 5.5.2.
- Die Schritte 2 und 3 im Abschnitt „Identity Manager Installation Notes“ müssen wie folgt lauten (ID-12906):
- Kopieren Sie die Datei ct_admin_api.jar von der Clear Trust-Installations-CD in das Verzeichnis WEB-INF\lib.
- Bei Verwendung von SSL müssen Sie die folgenden Dateien in das Verzeichnis WEB-INF\lib kopieren.
Hinweis Wenn Sie eine Bereitstellung für eine RSA Clear Trust 5.5.2-Ressource durchführen, sind zur SSL-Kommunikation keine weiteren Bibliotheken erforderlich.
Datenbanktabellen-Adapter
Dieser Adapter unterstützt binäre Datentypen wie z.B. BLOBs, in Oracle. Die entsprechenden Attribute sind in der Schemazuordnung als binär zu kennzeichnen. Zu den Binärattributen gehören beispielsweise Grafikdateien, Audiodateien und Zertifikate.
Flat File Active Sync-Adapter
- Administratoren benötigen für das Verzeichnis, in dem sich die Flat File befindet, Lese- und Schreibzugriff. Wenn der Active Sync-Parameter Nur Unterschiede verarbeiten aktiviert ist, benötigen diese Benutzer darüber hinaus noch eine Löschberechtigung.
Zusätzlich dazu muss das Administratorkonto für das im Active Sync-Feld Protokolldateipfad angegebene Verzeichnis Lese-, Schreib- und Löschberechtigung haben. (ID-12477).
- Bei Flat Files im LDIF-Format können Binärattribute wie Grafikdateien, Audiodateien und Zertifikate angegeben werden. Binärattribute werden für CSV-Dateien und Dateien mit Pipe-Begrenzern nicht unterstützt.
HP OpenVMS-Adapter
Identity Manager bietet jetzt einen HP OpenVMS-Ressourcenadapter, der VMS Version 7.0 und höher unterstützt. Ausführliche Informationen zu diesem Adapter finden Sie im Kapitel Sun Java™ System Identity Manager Resources Reference Addendum. (ID-8556).
JMS Listener-Adapter
Der JMS Listener-Adapter unterstützt jetzt statt asynchroner die synchrone Meldungsverarbeitung. Infolgedessen muss der zweite Abschnitt im Kapitel „Connections“ der „Usage Notes“ wie folgt lauten:
Der JMS Listener-Adapter arbeitet im Synchronmodus. Er erstellt für die im Feld JNDI-Name für das Ziel angegebene Queue bzw. das Themenziel einen synchronen Message Consumer. In jedem Abfrageintervall empfängt und verarbeitet der Adapter alle verfügbaren Meldungen. Meldung können (optional) durch Definition eines gültigen JMS-Meldungsauswahlstrings im Feld Meldungsauswahl zusätzlich qualifiziert werden.
Der Abschnitt „Message Mapping“ muss Folgendes enthalten:
Wenn der Adapter eine qualifizierte Meldung verarbeitet, wird die empfangene JMS-Meldung mithilfe des im Feld Meldungszuordnung angegebenen Verfahrens zuerst in eine Zuordnung bezeichneter Werte konvertiert. Diese resultierende Zuordnung wird als Meldungs-Werte-Zuordnung bezeichnet.
Die Meldungs-Werte-Zuordnung wird dann mithilfe der Schemazuordnung für Kontoattribute in eine Active Sync-Zuordnung ungewandelt. Wenn der Adapter Kontoattribute besitzt, durchsucht er die Meldungs-Werte-Zuordnung nach Schlüsselnamen, die auch in der Schemazuordnung als Benutzerressourcenattribute vorkommen. Falls vorhanden, werden die entsprechenden Werte in die Active Sync-Zuordnung kopiert. Der Eintragsname in der Active Sync-Zuordnung wird jedoch in den Namen umgewandelt, der in der Spalte „Identity System-Benutzerattribut“ der Schemazuordnung angegeben ist.
Wenn die Meldungs-Werte-Zuordnung einen Eintrag besitzt, der mithilfe der Schemazuordnung für Kontoattribute nicht umgewandelt werden kann, wird der Eintrag aus der Meldungs-Werte-Zuordnung unverändert in die Active Sync-Zuordnung kopiert.
LDAP-Adapter
Unterstützung für binäre Kontoattribute
Es werden jetzt die folgenden binären Kontoattribute aus der Objektklasse „inetOrgPerson“ unterstützt:
Ressourcen-Benutzerattribut
LDAP-Syntax
Beschreibung
audio
Audio
Eine Audiodatei.
jpegPhoto
JPEG
Ein Bild im JPEG-Format.
userCertificate
certificate
Ein Zertifikat im Binärformat.
Andere Binärattribute werden möglicherweise unterstützt, sie wurden jedoch nicht getestet.
Deaktivieren und Aktivieren von Konten
Mit dem LDAP-Adapter können Konten einer LDAP-Ressource mit verschiedenen Methoden deaktiviert werden. Deaktivieren Sie Konten mithilfe eines der folgenden Verfahren.
Ändern des Passworts in einen unbekannten WertWenn Sie Konten durch Ändern des Passworts in einen unbekannten Wert deaktivieren wollen, lassen Sie die Felder LDAP Aktivierungsmethode und LDAP Aktivierungsparameter leer. Dies ist das Standardverfahren zum Deaktivieren von Konten. Das betreffende Konto kann durch Zuweisen eines neuen Passworts neu aktiviert werden.
Zuweisen der Rolle nsmanageddisabledroleWenn Sie die LDAP-Rolle nsmanageddisabledrole zum Deaktivieren und Aktivieren von Konten nutzen wollen, ist die LDAP-Ressource wie folgt zu konfigurieren:
- Setzen Sie auf der Seite „Ressourcenparameter“ das Feld LDAP Aktivierungsmethode auf nsmanageddisabledrole.
- Setzen Sie das Feld LDAP Aktivierungsparameter auf IDMAttribute=CN=nsmanageddisabledrole,baseContext. (IDMAttribute wird im Schema im nächsten Schritt angegeben.)
- Fügen Sie auf der Seite „Kontoattribute“ als Identity System-Benutzerattribut den Wert IDMAttribute hinzu. Setzen Sie das Ressourcen-Benutzerattribut auf nsroledn. Das Attribut muss den Datentyp „String“ besitzen.
- Erstellen Sie auf der LDAP-Ressource eine Gruppe „nsAccountInactivationTmp“ und weisen Sie als Mitgliedsparameter CN=nsdisabledrole,baseContext zu.
LDAP-Konten können jetzt deaktiviert werden. Überprüfen Sie das Attribut nsaccountlock mithilfe der LDAP-Konsole. Besitzt dieses Attribut den Wert true, ist das betreffende Konto gesperrt.
Bei einer späteren Neuaktivierung des Kontos wird es aus dieser Rolle entfernt.
Setzen des Attributs nsAccountLockWenn Sie das Attribut nsAccountLock zum Deaktivieren und Aktivieren von Konten nutzen wollen, ist die LDAP-Ressource wie folgt zu konfigurieren:
- Setzen Sie auf der Seite „Ressourcenparameter“ das Feld LDAP Aktivierungsmethode auf nsaccountlock.
- Setzen Sie das Feld LDAP Aktivierungsparameter auf IDMAttribute=true. (IDMAttribute wird im Schema im nächsten Schritt angegeben.) z.B. accountLockAttr=true.
- Fügen Sie auf der Seite „Kontoattribute“ den im Feld LDAPAktivierungsparameter angegebenen Wert als Identity System-Benutzerattribut hinzu. Setzen Sie das Ressourcen-Benutzerattribut auf nsaccountlock. Das Attribut muss den Datentyp „String“ besitzen.
- Setzen Sie das LDAP-Attribut nsAccountLock für die Ressource auf true.
Identity Manager setzt nsaccountlock beim Deaktivieren eines Kontos auf “true”. Außerdem wird davon ausgegangen, dass bereits existierende LDAP-Benutzer, für die nsaccountlock auf “true” gesetzt ist, deaktiviert sind. Wenn nsaccountlock einen anderen Wert als “true” besitzt (einschl. Null), gilt der Benutzer für das System als aktiviert.
Deaktivierung von Konten ohne die Attribute nsmanageddisabledrole und nsAccountLockFalls die Attribute nsmanageddisabledrole und nsAccountLock auf Ihrem Verzeichnisserver nicht verfügbar sind, dieser aber eine ähnliche Methode zur Deaktivierung von Konten nutzt, geben Sie in das Feld LDAP Aktivierungsmethode einen der folgenden Klassennamen ein. Je nach Klasse ist der im Feld LDAP Aktivierungsarameter einzugebende Wert unterschiedlich.
Mainframe-Adapter (ACF2, Natural, RACF, Top Secret)
Die Emulator-Klassenbibliothek von Attachmate Reflection for the Web (Reflection ECL) ermöglicht die Herstellung einer Verbindung zu einer Mainframe-Ressource. Diese Bibliothek ist mit der IBM Host on Demand-API kompatibel. Befolgen Sie sämtliche Installationsanweisungen des Produktherstellers. Führen Sie dann die unter “Installationshinweise” und “SSL-Konfiguration” beschriebenen Schritte durch.
Installationshinweise
Gehen Sie wie folgt vor, um mit Attachmate Reflection ECL Verbindungen einzurichten:
- Fügen Sie die Ressource, wie in Identity Manager Resources Reference beschrieben, in die Identity Manager -Ressourcenliste ein.
- Kopieren Sie die entsprechenden JAR-Dateien in das Verzeichnis WEB-INF/lib Ihrer Identity Manager-Installation.
- Fügen Sie folgende Definitionen in die Datei Waveset.properties ein, um festzulegen, welcher Dienst die Terminalsitzung verwaltet:
serverSettings.serverId.mainframeSessionType=Wert
serverSettings.default.mainframeSessionType=Wert
Wert kann wie folgt gesetzt werden:
- Bei der Installation der Attachmate-Bibliotheken auf einem WebSphere-Anwendungsserver müssen Sie zur Datei WebSphere/AppServer/configuration/config.ini die Eigenschaft com.wrq.profile.dir=Bibliotheksverezichnis hinzufügen.
Dadurch finder der Attachmate-Code die Lizentdatei.
- Starten Sie den Anwendungsserver neu, damit die Änderungen der Datei Waveset.properties wirksam werden können.
Führen Sie die unter SSL-Konfiguration beschriebenen Schritte durch.
SSL-Konfiguration
Die Emulator-Klassenbibliothek von Attachmate Reflection for the Web (Reflection ECL) ist mit der IBM Host on Demand-API kompatibel. Befolgen Sie sämtliche Installationsanweisungen des Produktherstellers. Führen Sie dann in Identity Manager die folgenden Schritte durch.
- Falls für die Ressource noch kein Ressourcenattribut namens Session Properties vorhanden ist, fügen Sie dem Ressourcenobjekt mithilfe der Identity Manager-IDE oder der Debug-Seiten dieses Attribut hinzu. Fügen Sie folgende Definition in den Abschnitt <ResourceAttributes> ein:
<ResourceAttribute name="Session Properties" displayName="Session Properties" description="Session Properties" multi="true">
</ResourceAttribute>
- Fügen Sie dem Ressourcenattribut Session Properties auf der Seite „Ressourcenparameter“ für die Ressource die folgenden Werte hinzu:
encryptStream
true
hostURL
tn3270://Host-Name:SSLport
keystoreLocation
Pfad_zur_Trusted_ps.pfx-DateiOracle/Oracle ERP-Adapter
Das Kapitel „Oracle/Oracle ERP“ in der Identity Manager Resources Reference wurde für diese Version in zwei getrennte Kapitel aufgeteilt. Diese beiden neuen Kapitel finden Sie im Sun Java™ System Identity Manager Resources Reference Addendum. (ID-12758).
Oracle-Adapter
- Die Unterstützung für Oracle 8i wurde irrtümlich aus der Adaptertabelle und aus dem Abschnitt „Oracle Adapter“ in Kapitel 1 der „Identity Manager Resources Reference“ entfernt. Identity Manager unterstützt Oracle 8i als Ressource. (ID-13078).
- Der Abschnittsname updateableAttributes wurde in updatableAttributes berichtigt (in Schritt 1 des Abschnitts „Cascade Deletes“ dieses Kapitels (ID-13075):
- Das Kontoattribut „noCascade“ legt fest, ob beim Löschen von Benutzern Cascade Drops durchgeführt werden sollen. Standardmäßig werden Cascade Drops ausgeführt. Zum Deaktivieren von Cascade Drops fügen Sie im Abscnitt updatableAttributes des Systemkonfigurationsobjekts einen Eintrag hinzu:
- Die Beschreibung des Kontoattributs oracleTempTSQuota sollte wie folgt lauten:
Die vom Benutzer einstellbare Maximalkapazität für temporäre Tablespaces. Wenn das Attribut in der Schemazuordnung erscheint, wird das Kontingent stets auf den temporären Tablespace gesetzt. Bei Entfernung des Attributs aus der Schemazuordnung werden die Kontingente nicht auf den temporären Tablespace gesetzt. Dieses Attribut muss bei Adaptern, die mit Oracle 10gR2-Ressourcen kommunizieren, entfernt werden. (ID-12843).
Oracle ERP-Adapter
- Der Oracle ERP-Adapter bietet jetzt das Kontoattribut employee_number. Dieses Attribut repräsentiert eine Mitarbeiternummer (employee_number) aus der Tabelle per_people_f (ID-12796):
- Wenn Sie beim Erstellen einen Wert eingeben, versucht der Adapter, aus der Tabelle per_people_f einen Benutzerdatensatz abzurufen, person_id in die zum Erstellen verwendete API einzulesen und dann person_id in die Spalte employee_id der Tabelle fnd_user einzufügen.
- Wenn beim Erstellen employee_number nicht eingegeben wird, wird diese Verknüpfung nicht durchgeführt.
- Wenn beim Erstellen employee_number eingegeben und dieser Wert nicht gefunden wird, generiert der Adapter eine Ausnahme.
- Der Adapter versucht, employee_number in einer getUser-Methode zurückzugeben, wenn sich employee_number im Adapterschema befindet.
- Das Kontoattribut npw_number unterstützt Kontingentausführungen. Es funktioniert genau wie employee_number. Die Attribute employee_number und npw_number schließen sich gegenseitig aus. Wenn beim Erstellen beide Attribute eingegeben werden, hat das Attribut employee_number Vorrang. (ID-16507).
Zuständigkeitsbereiche für die Überwachung
Der Oracle ERP-Adapter wurde zur Unterstützung von Überprüfungsfunktionen um mehrere Attribute erweitert. (ID-11725).
Zur Überwachung von Unterelementen (wie z. B. Formularen und Funktionen) von Zuständigkeitsbereichen, die Benutzern zugewiesen sind, müssen Sie zur Schemazuordnung das Attribut auditorObject hinzufügen. auditorObject ist ein komplexes Attribut, das eine Reihe von Responsibility-Objekten enthält. Die folgende Attribute werden immer in einem Responsibility-Objekt zurückgegeben:
- responsibility
- userMenuNames
- menuIds
- userFunctionNames
- functionIds
- formIds
- formNames
- userFormNames
- readOnlyFormIds
- readWriteOnlyFormIds
- readOnlyFormNames
- readOnlyUserFormNames
- readWriteOnlyFormNames
- readWriteOnlyUserFormNames
- functionNames
- readOnlyFunctionNames
- readWriteOnlyFunctionNames
Hinweis Die Attribute „readOnly“ und „readWrite“ werden durch Abfragen der Spalte „PARAMETERS“ in der Tabelle „fnd_form_functions“ nach einem der folgende Werte identifiziert:
Wenn der Ressourcenparameter Dokumentationssatz und/oder Organisation zurückgeben auf TRUE gesetzt ist, werden darüber hinaus die folgenden Attribute zurückgegeben:
Mit der Ausnahme der Attribute responsibility, setOfBooksName, setOfBooksId, organizationalUnitId und organizationalUnitName müssen die Attributnamen den Kontoattributnamen entsprechen, die zur Schemazuordnung hinzugefügt werden können. Die Kontoattribute enthalten einen Sammelsatz an Werten, die Benutzern zugewiesen werden. Die in den responsibility-Objekten enthaltenen Attribute gelten nur für den jeweiligen Zuständigkeitsbereich.
In der Ansicht „auditorResps[]“ haben Sie Zugriff auf die Attribute des jeweiligen Responsibility-Objekts. Im folgenden Formularausschnitt werden alle aktiven, einem Benutzer zugewiesenen Zuständigkeitsbereiche (und ihre Attribute) zurückgegeben.
<defvar name="audObj">
<invoke name="get">
<ref>accounts[Oracle ERP 11i VIS].auditorObject</ref>
</invoke>
</defvar>
<!-- this returns list of responsibility objects -->
<defvar name="audObj">
<invoke name="get">
<ref>audObj</ref>
<s>auditorResps[*]</s>
</invoke>
</defvar>
Beispiel:
Unterstützung für Oracle EBS 12
Der Oracle ERP-Adapter unterstützt Oracle E-Business Suite (EBS) Version 12. Abschnitte in OracleERPUserForm müssen, je nach der installierten ERP-Version, nicht mehr geändert oder auskommentiert werden (siehe Identity Manager Resources Reference).
Das FormRef-Attribut unterstützt jetzt die folgenden Eigenschaften:
- RESOURCE_NAME — ERP-Ressourcenname
- VERSION - Version der ERP-Ressource. Zulässige Werte: 11.5.9, 11.5.10, 12.
- RESP_DESCR_COL_EXISTS — Legt fest, ob die Tabelle „fnd_user_resp_groups_direct“ eine Beschreibungsspalte enthält. Diese Eigenschaft ist für Version 11.5.10 oder 12 obligatorisch. Zulässige Werte: TRUE und FALSE.
Diese Eigenschaften müssen bei jeder Referenzierung des Benutzerformulars eingegeben werden. Es kann beispielsweise sein, dass das Benutzerformular mit Registerkarten wie folgt eingestellt sein muss, damit Version 12 unterstützt wird:
<FormRef name="Oracle ERP User Form">
<Property name="RESOURCE_NAME" value="Oracle ERP R12"/>
<Property name="VERSION" value="12"/>
<Property name="RESP_DESCR_COL_EXISTS" value="TRUE"/>
</FormRef>SAP-Adapter
- Im Abschnitt „Account Attributes“ wurde die Tabelle „Default iDoc infotypes supported by the SAP HR Active Sync adapter“ berichtigt. Die unterstütze Unterart für die Kommunikations-Informationsart 0105 wurde wie folgt von EMAIL in MAIL geändert (ID-12880):
Standardmäßig werden die folgenden Informationsarten unterstützt:
Der SAPHRActiveSyncAdapter unterstützt jetzt mySAP ERP ECC 5.0 (SAP 5.0).
Infolgedessen wurden im Abschnitt „Resource Configuration Notes“ die folgenden Änderungen vorgenommen: (ID-12769).SAP-Ressourcendapter
Die folgenden Hinweise zur Ressourcenkonfiguration gelten nur für den SAP-Ressourcenadapter.
Führen Sie die folgenden Schritte aus, damit Benutzer ihr eigenes SAP-Passwort ändern können:
SAP HR Active Sync-Adapter
Die folgenden Hinweise zur Ressourcenkonfiguration gelten nur für den SAP HR Active Sync-Adapter.
Die SAP-Technologie Application Link Enabling (ALE) ermöglicht die Kommunikation zwischen SAP und externen Systemen wie z.B. Identity Manager. Der SAP HR Active Sync-Adapter nutzt eine abgehende ALE-Schnittstelle. In einer abgehenden ALE-Schnittstelle ist das logische Basissystem der Absender abgehender Meldungen und der Empfänger eingehender Meldungen. SAP-Benutzer sind normalerweise am logischen Basissystem/-client angemeldet, wenn sie Änderungen an der Datenbank vornehmen (z.B. Einstellen eines neuen Mitarbeiters, Aktualisieren von Positionsdaten, Entlassen eines Mitarbeiters usw.). Ein logisches System/logischer Client muss auch für den Empfangs-Client definiert sein. Dieses logische System empfängt abgehende Meldungen. Als Meldungstyp zwischen beiden Systemen nutzt der Active Sync-Adapter den Typ HRMD_A. Meldungstypen charakterisieren Daten, die zwischen den Systemen ausgetauscht werden und bezieht sich auf die Struktur dieser Daten. Eine solche Struktur ist auch unter der Bezeichnung „IDoc-Typ“ (z.B. HRMD_A05) bekannt.
Mit den folgenden Schritten können Sie die Konfiguration ausführen, die auf SAP für den Active Sync-Adapter zum Empfang autoritativer Feeds von SAP HR erforderlich ist:
Hinweis Die SAP-Systemparameter sind so zu konfigurieren, dass die ALE-Verarbeitung von IDocs vom Typ HRMD_A möglich ist. Dies ermöglicht den als Messaging bezeichneten Datenaustausch zwischen zwei Anwendungssystemen.
Erstellen eines logischen Systems
Je nach Ihrer aktuellen SAP-Umgebung kann es sein, dass Sie kein logisches System erstellen müssen. Es kann sein, dass Sie ein vorhandenen Datenaustauschmodell nur durch Hinzufügen des Meldungstyps HRMD_A zu einer vorher konfigurierten Modellansicht modifizieren müssen. Sie müssen jedoch unbedingt die Empfehlungen von SAP für logische Systeme und die Konfiguration von ALE-Netzwerken einhalten. In den folgenden Anweisungen wird angenommen, dass Sie neue logische Systeme und eine neue Modellansicht erstellen.
- Geben Sie den Transaktionscode SPRO ein und lassen Sie sich dann das Projekt „SAP Reference IMG“ (oder das für Ihre Organisation geltende Projekt) anzeigen.
- Je nach der eingesetzten SAP-Version müssen Sie einen der folgenden Schritte ausführen:
- SAP 4.6: Klicken Sie auf Basis Components > Application Link Enabling (ALE) > Sending and Receiving Systems > Logical Systems > Define Logical System.
- SAP 4.7: Klicken Sie auf SAP Web Application Server > Application Link Enabling (ALE) > Sending and Receiving Systems > Logical Systems > Define Logical System.
- SAP 5.0: Klicken Sie auf SAP Netweaver > SAP Web Application Server > IDOC Interface/Application Link Enabling (ALE) > Basic Settings > Logical Systems > Define Logical System.
- Klicken Sie auf Edit > New Entries.
- Geben Sie einen Namen und eine Beschreibung für das neu zu erstellende logische System ein (IDMGR).
- Speichern Sie Ihren Eintrag.
Zuweisen eines Clients zum logischen System
- Geben Sie den Transaktionscode SPRO ein und lassen Sie sich dann das Projekt „SAP Reference IMG“ (oder das für Ihre Organisation geltende Projekt) anzeigen.
- Je nach der eingesetzten SAP-Version müssen Sie einen der folgenden Schritte ausführen:
- SAP 4.6: Klicken Sie auf Basis Components > Application Link Enabling (ALE) > Sending and Receiving Systems > Logical Systems > Assign Client to Logical System.
- SAP 4.7: Klicken Sie auf SAP Web Application Server > Application Link Enabling (ALE) > Sending and Receiving Systems > Logical Systems > Assign Client to Logical System.
- SAP 5.0: Klicken Sie auf SAP Netweaver > SAP Web Application Server > IDOC Interface/Application Link Enabling (ALE) > Basic Settings > Logical Systems > Assign Client to Logical System.
- Wählen Sie den Client aus.
- Klicken Sie auf GOTO > Details, um das Dialogfeld „Client Details“ zu öffnen.
- Geben Sie in das Feld „Logical System“ das logische System ein, das diesem Client zugewiesen werden soll.
- Klicken Sie im Abschnitt „Changes and Transports for Clients“ auf Automatic Recording of Changes.
- Speichern Sie Ihren Eintrag.
Erstellen eines Datenautauschmodells
So erstellen Sie ein neues Datenaustaschmodell:
- Vergewissern Sie sich, dass Sie am sendenden System/Client angemeldet sind.
- Geben Sie den Transaktionscode BD64 ein. Sorgen Sie dafür, dass Sie sich im Änderungsmodus befinden.
- Klicken Sie auf Edit > Model View > Create.
- Geben Sie den kurzen und den technische Namen der Ansicht ein sowie das Start- und das Enddatum ein, und klicken Sie dann auf Continue.
- Wählen Sie die gerade erstellte Ansicht aus und klicken Sie dann auf Add Message Type.
- Definieren Sie das sendende System (logische System).
- Definieren Sie das empfangende System (den Server).
- Klicken Sie im Abschnitt „Protection Client Copier and Comparison Tool“ auf Protection Level: No Restriction.
- Definieren Sie den gewünschten Meldungstyp (HRMD_A) und klicken Sie dann auf Continue.
- Klicken Sie auf Speichern.
Registrierung des RFC-Servermoduls beim SAP-Gateway
Während der Initialisierung wird der Active Sync-Adapter beim SAP-Gateway registriert. Als ID dient „IDMRFC“. Dieser Wert muss mit dem in der SAP-Anwendung eingestellten Wert übereinstimmen. Sie müssen die SAP-Anwendung so konfigurieren, dass das RFC-Servermodul dafür einen Handle erstellen kann. So registrieren Sie das RFC-Servermodul als RFC-Ziel:
- Gehen Sie in der SAP-Anwendung zu Transaktion SM59.
- Klappen Sie das Verzeichnis für TCP/IP-Verbindungen auf.
- Klicken Sie auf Create (F8).
- Geben Sie im Feld „RFC Destination“ den Namen des RFC-Zielsystems ein. (IDMRFC).
- Setzen Sie den Verbindungstp auf T (Starten eines externen Programms über TCP/IP).
- Geben Sie für das neue RFC-Ziel eine Beschreibung ein und klicken Sie dann auf Speichern.
- Klicken Sie auf die Schaltfläche „Registration“ des jeweiligen Aktivierungstyps.
- Setzen Sie die Programm-ID. Wir empfehlen, dafür den gleichen Wert wie den für das RFC-Ziel (IDMRFC) zu verwenden. Klicken Sie dann auf „Enter“.
- Wenn es sich bei dem betreffenden SAP-System um ein Unicode-System handelt, muss der Port für Unicode konfiguriert sein. Klicken Sie auf die Registerkarte Special Options und suchen Sie den Abschnitt „Character Width In Target System“. Dort gibt es eine Einstellung für Unicode.
- Testen Sie mithilfe der oberen Schaltflächen (Test Connection und Unicode Test) die Verbidnung zur Identity Manager-Ressource. Damit der Test erfolgreich verläuft, muss der Adapter bereits laufen.
Erstellen einer Port-Definition
Der Port ist dr Kommunikationskanal, an den IDocs gesendet werden. Ein Port beschreibt die technische Verbindung zwischen dem sendenden und dem empfangenden System Für diesen Anwendungsfall sollten Sie ein RFC-Port konfigurieren. So erstellen Sie eine Port-Definition.
Ändern der Port-Definition
Wenn Sie ein Partnerprofil erstellt haben, kann es sein, dass die Port-Definition nicht ordnungsgemäß eingegeben wurde. Damit Ihr System ordnungsgemäß funktioniert, müssen Sie die Port-Definition ändern.
- Geben Sie den Transaktionscode WE20 ein.
- Wählen Sie Partner Type LS.
- Wählen Sie das Empfangspartnerprofil aus.
- Wählen Sie Outbound Parameters und klicken Sie dann auf Display.
- Wählen Sie den Meldungstyp HRMD_A.
- Klicken Sie auf Outbound Options und ändern Sie dann das Empfänger-Port so, dass es den Namen des von Ihnen erstellten RFC-Ports enthält (IDMGR).
- Wählen Sie im Ausgabemodus Transfer IDoc Immediately, wenn IDocs unmittelbar nach dem Erstellen gesendet werden sollen.
- Wählen Sie im Abschnitt „IDoc Type“ einen Basistyp aus:
- Klicken Sie auf Continue/Save.
Skript-JDBC-Adapter
Identity Manager bietet jetzt einen Skript-JDBC-Ressourcenadapter zur Unterstützung der Verwaltung von benutzerkonten in Datenbankscemen und in Datenbanken, auf die mit JDBC zugegriffen werden kann. Dieser Adapter unterstützt auch Active Sync, um Kontenänderungen in der Datenbank abzufragen. Ausführliche Informationen zu diesem Adapter finden Sie im Kapitel Sun Java™ System Identity Manager Resources Reference Addendum. (ID-12506).
Shell-Skript-Adapter
Identity Manager bietet jetzt einen Shell-Skript-Ressourcenadapter zur Unterstützung der Verwaltung von Ressourcen, die durch Shell-Skripte gesteuert werden. Solche Shell-Skripte laufen auf dem System, auf dem die betreffende Ressource installiert ist Diese Adapter ist zur allgemeinen Verwendung bestimmt und aus diesem Grund hochgradig anpassbar.
Siebel CRM-Adapter
Es können jetzt Siebel-Objekte, die eine hierarchische Navigation von Business-Komponenten erfordern, erstellt und aktualisiert werden. Hierbei handelt es sich um eine erweiterte Funktion, die normalerweise nicht in Identity Manager implementiert ist.
Mit der erweiterten Navigationsfunktion können Sie wahlweise die folgenden Informationen angeben, die zum Erstellen und Aktualisieren untergeordneter Business-Komponenten erforderlich sind:
Während Erstellungs- und Aktualisierungsaktionen können erweiterte Navigationsregeln verwendet werden. Diese sind jedoch nicht für andere Aktionsarten einsetzbar.
Führen Sie die folgenden Aufgaben durch, um die erweiterte Navigationsfunktion für den Siebel CRM-Adapter zu implementieren:
- Fügen Sie zu der Schema-Zuordnung, in der das Ressourcen-Benutzerattribut (rechte Seite) PARENT_COMP_ID heißt, ein Attribut zu.
- Fügen Sie zum XML-Code der betreffenden Ressource mithilfe der Debug-Seite manuell das folgende ResourceAttribute hinzu:
<ResourceAttribute name="AdvancedNavRule"
displayName="Advanced Nav Rule"
value="MY_SIEBEL_NAV_RULE"></ResourceAttribute>
Ersetzen Sie MY_SIEBEL_NAV_RULE durch einen gültigen Regelnamen.
- Schreiben Sie die erweiterte Navigationsregel. Diese regel muss die folgenden beiden Variablen enthalten:
resource.action — Dieser Variable muss auf create oder update gesetzt sein.
resource.objectType — Für die normale Kontoverwaltung muss diese Variable auf account gesetzt sein.
Die Regel muss eine Zuordnung mit mindestens einem der folgenden Namen-Wert-Paare zurückgeben:
Ein Beispiel für eine Navigationsregel finden Sie in $WSHOME/sample/rules/SiebelNavigationRule.xml.
Sun Java System Access Manager-Adapter
Installation und Konfiguration von Sun Java System Access Manager (Versionen vor Access Manager 7.0)
Die Schritte 4 und 8 in “Installing and Configuring Sun Java System Access Manager” müssen wie folgt lauten (ID-13087):
- Erstellen Sie ein Verzeichnis, in das Dateien vom Sun Java System Access Manager-Server kopiert werden können. Hier wird dieses Verzeichnis CfgDir genannt. Die Installationsverzeichnis von Sun Java System Access Manager wird AccessMgrHome genannt.
- Kopieren Sie die folgenden von AccessMgrHome nach CfgDir. Die Verzeichnisstruktur darf nicht kopiert werden.
- In UNIX kann es erforderlich sein, dass die Zugriffsrechte der JAR-Dateien im Verzeichnis CfgDir geändert werden müssen, um universellen Lesezugriff zu ermöglichen. Führen Sie den folgenden Befehl aus, um Zugriffsrechte zu ändern:
chmod a+r CfgDir/*.jar
- Stellen Sie dem JAVA-Classpath Folgendes voran:
- Wenn Sie Version 6.0 verwenden, muss die Java-Systemeigenschaft auf das Verzeichnis CfgDir zeigen. Verwenden Sie einen Befehl, der dem folgenden ähnelt:
java -Dcom.iplanet.coreservices.configpath=CfgDir
- Wenn Sie Version 6.1 oder neuer verwenden, müssen Sie zur Datei CfgDir/AMConfig.properties folgende Zeilen einfügen bzw. diese entsprechend abändern:
com.iplanet.services.configpath=CfgDircom.iplanet.security.
SecureRandomFactoryImpl=com.iplanet.am.util.SecureRandomFactoryImplcom.iplanet.security.SSLSocketFactoryImpl=netscape.ldap.
factory.JSSESocketFactorycom.iplanet.security.encryptor=com.iplanet.services.util.
JCEEncryptionMit der ersten Zeile wird der configpath gesetzt. Die letzten drei Zeilen ändern Sicherheitseinstellungen.
- Kopieren Sie die Dateien CfgDir/am_*.jar nach $WSHOME/WEB-INF/lib. Wenn Sie Version 6.0 verwenden, müssen Sie auch die Datei jss311.jar in das Verzeichnis $WSHOME/WEB-INF/lib kopieren.
- Wenn Identity Manager unter Windows läuft udn Sie Identity Server 6.0 verwenden müssen Sie IdServer\lib\jss\*.dll nach CfgDir kopieren und CfgDir zu Ihrem Systempfad hinzufügen.
Hinweis In einer Umgebung, in der Identity Manager auf einem anderen System als Sun Java System Access Manager installiert ist, müssen Sie die folgenden Fehlerbedingungen überprüfen. Wenn beim Herstellen einer Verbindung zur Sun Java System Access Manager-Ressource nach mehreren Versuchen java.lang.ExceptionInInitializerError und danach java.lang.NoClassDefFoundError zurückgegeben wird, sollten Sie nach falschen oder fehlenden Konfigurationsdaten suchen.
Darüber hinaus sollten Sie die JAR-Datei auf die Klasse, die von java.lang.NoClassDefFoundError ausgegeben wird, überprüfen. Stellen Sie dem Classpath der JAR-Datei, die die Klasse enthält, dem JAVA-Classpath auf dem Anwendungsserver voran.
Installation und Konfiguration von Sun Java System Access Manager (Versionen 7.0 und höher im Legacy-Modus)
Mit den folgenden Schritten installieren und konfigurieren Sie den Ressourcenadapter für den Legacy-Modus.
- Folgen Sie den Anweisungen im Sun Java™ System Access Manager 7 2005Q4 Developer's Guide, um das Client-SDK aus der Sun Access Manager-Installation heraus zu erstellen.
- Extrahieren Sie aus der generierten war-Datei AMConfig.properties und die in amclientsdk.jar enthaltenen Dateien.
- Legen Sie ein Kopie von AMConfig.properties im folgenden Verzeichnis ab:
InstallDir/WEB-INF/classes
- Legen Sie ein Kopie von amclientsdk.jar im folgenden Verzeichnis ab:
InstallDir/WEB-INF/lib
Sun Java System Communications Services-Adapter
- Das Beispiel-Skript, das auf einer Proxy-Ressource nach dem Erstellen eines Benutzers ausgeführt werden kann, ist falsch. Verwenden Sie stattdessen das folgende Skript: (ID-12536).
SET PATH=c:\Sun\Server-Root\lib
SET SYSTEMROOT=c:\winnt
SET CONFIGROOT=C:/Sun/Server-Root/Config
mboxutil -c -P user/%WSUSER_accountId%.*
- Es werden jetzt die folgenden binären Kontoattribute aus der Objektklasse „inetOrgPerson“ unterstützt:
Andere Binärattribute werden möglicherweise unterstützt, sie wurden jedoch nicht getestet.
Top Secret-Adapter
In Identity Manager Resources Reference ist fälschlicherweise angegeben, dass der Top Secret-Adapter das Umbenennen von Konten unterstützt. Der Adapter unterstützt das Umbenennen von Top Secret-Konten nicht.
Kapitel 3: Aktionen zu Ressourcen hinzufügen
Im Abschnitt “Windows NT Examples” sind die Field-Namen für alle drei Beispiele falsch definiert. Ersetzen Sie Instanzen von accounts[NT].attributes. durch resourceAccounts.currentResourceAccounts[NT].attributes. Beispielsweise sollte in Abschnitt „Example 3: Action that Follows the Deletion of a User”, Schritt 4, der Field-Name wie folgt definiert sein:
<Field name= "resourceAccounts.currentResourceAccounts[NT].attributes.delete after action">
Identity Manager Tuning, Troubleshooting, and Error MessagesZusätzliche Informationen
- Sie können jetzt mit dem Standardtool für die Ablaufverfolgung von com.waveset.task.Scheduler den Ablauf des Aufgabenplaners verfolgen, wenn bei einer Aufgabe Probleme auftreten.
Weitere Informationen hierzu finden Sie unter Tracing the Identity Manager Server in Sun Java™ System Identity Manager Tuning, Troubleshooting, and Error Messages.
- Zur Fehlersuche bei Problemen, die auf einer Ebene unter einer bestimmten Eintrittsmethode auftreten, sollten Sie den Fehler auf der Methodenebene verfolgen. Identity Manager bietet jetzt die Möglichkeit, nur eine Methode und ihre direkten und indirekten Unteraufrufe zu verfolgen. (ID-14967).
Zum Aktivieren dieser Funktion müssen Sie die Verfolgungsebene für einen Gültigkeitsbereich mithilfe des subcalls-Bezeichners setzen (siehe folgendes Beispiel):
trace 4,subcalls=2 com.waveset.recon.ReconTask$WorkerThread#reconcileAccount
Dies verfolgt die Methode reconcileAccount() auf Ebene 4 und alle Unteraufrufe auf Ebene 2.
Weitere Informationen hierzu finden Sie unter Defining a Trace Configuration in Sun Java™ System Identity Manager Tuning, Troubleshooting, and Error Messages.
Korrekturen
Da Sie JDK 1.4.2 für diese Version installieren müssen, gilt die Anweisung zum Entfernen der Cryptix-JAR-Dateien (cryptix-jceapi.jar und cryptix-jce-provider.jar) im Verzeichnis idm\WEB-INF\lib in Kapitel 1: Performance Tuning, Optimizing the J2EE Environment nicht mehr (es sei denn, Sie rüsten eine frühere Version von Identity Manager auf).
Identity Manager Deployment ToolsKorrekturen
Kapitel 7: Using Identity Manager Web Services
Das launchProcess-Beispiel im Abschnitt „ExtendedRequest Examples“ wurde wie folgt berichtigt (ID-13044):
launchProcess
Das folgende Beispiel zeigt ein typisches Format für eine launchProcess-Anforderung.
(Ansicht — Prozessansicht).ExtendedRequest req = new ExtendedRequest();
req.setOperationIdentifier("launchProcess");
req.setAsynchronous(false);
req.setAttribute("process", "Custom Process Name");
req.setAttribute("taskName", "Custom Process Display Name");
SpmlResponse res = client.request(req);
Arbeiten mit HelpToolIdentity Manager 6.0 enthält eine neue Funktion zum Durchsuchen der Onlinehilfe und der Hilfedateien im HTML-Format. Das Suchmodul basiert auf der SunLabs Nova-Technologie.
Die Verwendung des Nova-Suchmoduls verläuft in zwei Phasen: Indizierung und Abruf. Während der Indizierung werden die Eingabedokumente analysiert und ein Index für die Abrufphase erstellt. Während des Abrufs können „Passagen“ abgerufen werden, die aus dem Kontext bestehen, in dem die Abfragebegriffe gefunden wurden. Der Abrufprozess für die Passagen benötigt die ursprünglichen HTML-Dateien. Diese Dateien müssen sich deshalb in einem Speicherort des Dateisystems befinden, auf den das Suchmodul Zugriff hat.
helpTool ist ein Java-Programm, das zwei grundlegende Funktionen ausführt:
Sie führen helpTool folgendermaßen über die Befehlszeile aus:
$ java -jar helpTool.jar
Syntax: HelpTool
-d Zielverzeichnis
-h Diese Hilfeinformationen
-i Verzeichnis oder JAR-Datei mit Eingabedateien, keine Platzhalter
-n Verzeichnis für den Nova-Index
-o Name der Ausgabedatei
-p Eigenschaftendatei für die Indizierung
Index der Onlinehilfe neu erstellen
Die HTML-Dateien für die Onlinehilfe sind in einer JAR-Datei als Paket enthalten. Sie müssen diese Dateien in ein Verzeichnis für das Suchmodul extrahieren. Gehen Sie folgendermaßen vor:
- Entpacken Sie das helpTool-Paket in ein temporäres Verzeichnis. (Details werden später angegeben)
In diesem Beispiel werden die Dateien in das Verzeichnis /tmp/helpTool extrahiert.
- Geben Sie in einer UNIX-Shell oder in einem Windows-Befehlsfenster das Verzeichnis an, in dem die Identity Manager-Anwendung Ihrem Webcontainer bereitgestellt wurde.
Es kann beispielsweise folgendes Verzeichnis für Sun Java System Application Server verwendet werden:
/opt/SUNWappserver/domains/domain1/applications/j2ee-modules/idm
- Verwenden Sie help/ als aktuelles Arbeitsverzeichnis.
Hinweis Führen Sie helpTool unbedingt von diesem Verzeichnis aus, weil andernfalls der Index nicht korrekt erstellt wird. Entfernen Sie außerdem die alten Indexdateien, indem Sie den Inhalt des Verzeichnisses index/help/ löschen.
- Erfassen Sie folgende Informationen für Ihre Befehlszeilenargumente:
- Führen Sie folgenden Befehl aus:
$ java -jar /tmp/helpTool/helpTool.jar -d html/help/en_US -i ../
WEB-INF/lib/idm.jar -n index/help -o help_files_help.txt -p index/index.propertiesExtracted 475 files.
[15/Dec/2005:13:11:38] PM Init index/help AWord 1085803878
[15/Dec/2005:13:11:38] PM Making meta file: index/help/MF: 0
[15/Dec/2005:13:11:38] PM Created active file: index/help/AL
[15/Dec/2005:13:11:40] MP Partition: 1, 475 documents, 5496 terms.
[15/Dec/2005:13:11:40] MP Finished dumping: 1 index/help 0.266
[15/Dec/2005:13:11:40] IS 475 documents, 6,56 MB, 2,11 s, 11166,66 MB/h
[15/Dec/2005:13:11:40] PM Waiting for housekeeper to finish
[15/Dec/2005:13:11:41] PM Shutdown index/help AWord 1085803878
Dokumentationsindex neu erstellen
Gehen Sie folgendermaßen vor, um den Dokumentationsindex neu zu erstellen:
- Entpacken Sie das helpTool-Paket in ein temporäres Verzeichnis. (Details werden später angegeben)
In diesem Beispiel werden die Dateien in das Verzeichnis /tmp/helpTool extrahiert.
- Geben Sie in einer UNIX-Shell oder in einem Windows-Befehlsfenster das Verzeichnis an, in dem die Identity Manager-Anwendung Ihrem Webcontainer bereitgestellt wurde.
Es kann beispielsweise folgendes Verzeichnis für Sun Java System Application Server verwendet werden:
/opt/SUNWappserver/domains/domain1/applications/j2ee-modules/idm
- Verwenden Sie help/ als aktuelles Arbeitsverzeichnis.
Hinweis Führen Sie helpTool unbedingt von diesem Verzeichnis aus, weil andernfalls der Index nicht korrekt erstellt wird. Entfernen Sie außerdem die alten Indexdateien, indem Sie den Inhalt des Verzeichnisses index/docs/ löschen.
- Erfassen Sie folgende Informationen für Ihre Befehlszeilenargumente:
- Führen Sie folgenden Befehl aus:
$ java -jar /tmp/helpTool/helpTool.jar -d html/docs -i ../doc/HTML/en_US -n index/docs -o help_files_docs.txt -p index/index.properties
Copied 84 files.
Copied 105 files.
Copied 1 files.
Copied 15 files.
Copied 1 files.
Copied 58 files.
Copied 134 files.
Copied 156 files.
Copied 116 files.
Copied 136 files.
Copied 21 files.
Copied 37 files.
Copied 1 files.
Copied 13 files.
Copied 2 files.
Copied 19 files.
Copied 20 files.
Copied 52 files.
Copied 3 files.
Copied 14 files.
Copied 3 files.
Copied 3 files.
Copied 608 files.
[15/Dec/2005:13:24:25] PM Init index/docs AWord 1252155067
[15/Dec/2005:13:24:25] PM Making meta file: index/docs/MF: 0
[15/Dec/2005:13:24:25] PM Created active file: index/docs/AL
[15/Dec/2005:13:24:28] MP Partition: 1, 192 documents, 38488 terms.
[15/Dec/2005:13:24:29] MP Finished dumping: 1 index/docs 0.617
[15/Dec/2005:13:24:29] IS 192 documents, 14.70 MB, 3.81 s, 13900.78 MB/h
[15/Dec/2005:13:24:29] PM Waiting for housekeeper to finish
[15/Dec/2005:13:24:30] PM Shutdown index/docs AWord 1252155067