Sun Java logo     Zurück      Inhalt      Weiter     

Sun logo
Sun Java System Identity Installation Pack 2005Q4M3 SP4 Versionshinweise  

Erweiterungen und Korrekturen der Dokumentation

Informationen zur Softwaredokumentation von Identity System

Die Identity System-Softwaredokumentation finden Sie auf der Identity Install Pack-CD in Form mehrerer (.pdf)-Dateien, die Sie in Acrobat Reader öffnen können. Zu dieser Version gibt es die folgenden Dokumentationen.

Identity System-Software

Install Pack Installation (Identity_Install_Pack_Installation_2005Q4M3.pdf) – Beschreibt die Installation und Aktualisierung der Identity System-Software.

Identity Manager

Identity Auditor

Identity Auditor Administration (IDA_Administration_2005Q4M3.pdf) - Enthält eine Einführung in die Identity Auditor Administratorbenutzeroberfläche.

Identity Manager Service Provider Edition

Navigation in der Onlinedokumentation

Über die Acrobat-Textmarken können Sie Dokumentationen navigieren. Klicken Sie auf den Namen eines Abschnitts im Textmarkenbereich, um zum entsprechenden Abschnitt im Dokument zu springen.

Die gesamte Identity Manager-Dokumentation kann in jeder Identity Manager-Installation angezeigt werden. Navigieren Sie hierzu in Ihrem Webbrowser zu idm/doc.

Install Pack Installation

Korrekturen

Vorwort

Fehlerhafte Querverweise auf Anhang H vom Abschnitt „How to Find Information in this Guide“ wurden entfernt. (ID-12369).

Kapitel 1: Before You Install

Kapitel 2: Installing Identity Installation Pack for Tomcat

Das Kapitel unterstützt jetzt den Anwendungsserver Apache Tomcat (Versionen 4.1.x oder 5.0.x).

Kapitel 4: Installing Identity Installation Pack for WebSphere

Kapitel 7/8: Installing Identity Installation Pack for Sun ONE/Sun Java System Application Server 7/8

Kapitel 14: UnInstalling Applications

_Version_ wurde aus dem Syntaxbeispiel unter „Remove the Software > On UNIX > Step 3“ entfernt. (ID-7762)

Kapitel 15: Installing The Applications (Manual Installation)

Das Syntaxbeispiel unter „Installation Steps > Step 3“: Configure the Identity Install Pack Index Database Connection > Non-Xwindows Environments > Step 3 wurde folgendermaßen korrigiert: (ID-5821).

3. Set your license key with the following commands:

cd idm/bin
./lh license set -f LicenseKeyFile

Anhang A: Index Database Reference

Die Zeile zur Beschreibung von SQL Server wurde abgeändert in:

Ihre Auswahl:

Geben Sie Folgendes ein

SQL Server

Standardwerte für den Microsoft SQL Server 2005 JDBC-Driver:

URL: “jdbc:sqlserver://host.your.com:1433;Database
Name=dbname”

JDBC Driver: com.microsoft.sqlserver.jdbc.SQLServerDriver

Connect as User: waveset

Für den Microsoft SQL Server 2000 JDBC-Treiber verwenden Sie folgende Werte:

URL: “jdbc:microsoft:sqlserver://host.your.com:1433; DatabaseName=dbname;SelectMethod=Cursor”

JDBC Driver: com.microsoft.jdbc.sqlserver.SQLServerDriver

Connect as User: waveset

Geben Sie den Pfad zur Index-Datenbank und das bei der Einrichtung der Datenbank gewählte Passwort an.

Hinweis: Alle Verbindungen zu SQL Server müssen über denselben JDBC-Treiber erfolgen. Dies gilt für das Repository und sämtliche Ressourcenadapter, die SQL Server-Konten oder -Tabellen verwalten oder benötigen, einschließlich: Microsoft SQL-Adapter, Microsoft Identity Integration Server-Adapter, Database Table-Adapter, Scripted JDBC-Adapter und alle auf diesen Adaptern beruhenden benutzerdefinierten Adapter. Bei dem Versuch, unterschiedliche Treiberversionen zu verwenden, treten Konfliktfehler auf.

Anhang C: Configuring Data Sources for Identity Manager

Konfiguration eines JDBC Providers

Mit der Administrationskonsole von WebSphere können Sie einen neuen JDBC Provider konfigurieren.

  1. Klicken Sie auf die Registerkarte Ressourcen im linken Teilfenster, um eine Liste mit Ressourcentypen anzuzeigen.
  2. Klicken Sie auf JDBC-Provider, um eine Tabelle der konfigurierten JDBC-Provider anzuzeigen.
  3. Klicken Sie auf die Schaltfläche Neu über der Tabelle konfigurierter JDBC-Provider.
  4. Wählen Sie aus der Liste der JDBC-Datenbanktypen den JDBC-Typ sowie den Implementierungstyp aus. Klicken Sie auf „Weiter“.

    5. In diesem Beispiel werden Oracle, der Oracle JDBC-Treiber und Verbindungs-Pooling für Datenquellen verwendet.

  5. Fahren Sie mit der Konfiguration allgemeiner Parameter fort.
    • Geben Sie den Namen an.
    • Geben Sie im Feld Classpath den JAR-Pfad an, der den JDBC-Treiber enthält. Zur Angabe eines Oracle Thin-Treibers sollten Sie beispielsweise einen Pfad, der dem folgenden ähnelt, eingeben:

      • /usr/WebSphere/AppServer/installedApps/idm/idm.ear/idm.war/WEB- INF/lib/oraclejdbc.jar

      Hinweis Sie können den JAR-Pfad zum JDBC-Treiber mithilfe der Administrationskonsole angeben. Wählen Sie aus dem Menü Umgebung den Eintrag WebSphere-Variable. Wählen Sie in diesem Teilfenster zuerst Zelle, Knoten und Server, für die diese Umgebungsvariable definiert werden soll. Geben Sie dann den JAR-Pfad als Wert dieser Variable an.

    • Geben Sie im Feld Implemtierungs-Klassenname den vollständig qualifizierten Namen der JDBC-Treiberklasse an.
      • Für den Oracle Thin ist dieser Wert oracle.jdbc.pool.OracleConnectionPoolDataSource.
      • Für den db2 jcc-Treiber ist dieser Wert com.ibm.db2.jcc.DB2ConnectionPoolDataSource.
    • Sie können auch den Namen, die Beschreibung des Providers oder andere ausgewählte Parameter ändern.

      • Klicken Sie auf die Schaltfläche OK unter der Tabelle, wenn Sie diesen Vorgang abgeschlossen haben. Im rechten Teilfenster sollte jetzt der neu hinzugefügte Provider angezeigt werden.

Informationen zur Konfiguration einer Datenquelle, die diesen JDBC-Provider nutzt finden Sie unter “Point the Identity Manager Repository to the Data Source”.

Konfiguration einer Websphere JDBC-Datenquelle

  1. Mit der Administrationskonsole von WebSphere können Sie eine Datenquelle mit einem vorhandenen JDBC Provider definieren. Information zur Konfiguration eines neuen JDBC-Providers für Identity Installation Pack finden Sie unter “Konfiguration eines JDBC-Providers”.

Vor dem Abschluss der Konfiguration einer Datenquelle müssen Sie Authentifizierungsdaten konfigurieren. Diese Aliasnamen enthalten Berechtigungsnachweise, die beim Herstellen einer Verbindung mit DBMS verwendet werden.

Konfiguration der 5.1-Authentifizierungsdaten
  1. Klicken Sie auf die Registerkarte Sicherheit im linken Teilfenster, um eine Liste von Sicherheitskonfigurationstypen anzuzeigen.
  2. Klicken Sie auf die Registerkarte JAAS-Konfiguration im linken Teilfenster, um eine Liste von JAAS-Konfigurationstypen anzuzeigen.
  3. Klicken Sie auf die Registerkarte J2C-Authentifizierungsdaten im linken Teilfenster. Im rechten Teilfenster wird eine Tabelle mit Authentifizierungsdaten angezeigt.
  4. Klicken Sie auf die Schaltfläche Neu über der Authentifizierungsdatentabelle. Im rechten Teilfenster wird eine Tabelle mit allgemeinen Eigenschaften, die konfiguriert werden müssen, angezeigt
  5. Konfigurieren Sie die allgemeinen Eigenschaften für den neuen Authentifizierungsdateneintrag. Bitte beachten Sie Folgendes:
    • Alias ist der Name, der in der Auswahlliste immer dann angezeigt wird, wenn DBMS-Berechtigungsnachweise für eine Datenquelle konfiguriert werden.
    • Benutzer-ID ist der Benutzername, der zum Herstellen der Verbindung mit DBMS verwendet wird.
    • Passwort ist das Passwort, das zum Herstellen der Verbindung mit DBMS verwendet wird.

Konfigurieren Sie als Nächstes die Datenquelle.

Konfiguration der 6.x-Authentifizierungsdaten
  1. Klicken Sie auf Sicherheit > Globale Sicherheit.
  2. Klicken Sie unter „Authentifizierung“ auf JAAS-Konfiguration > J2C-Authentifizierungsdaten. Das Teilfenster J2C-Authenfizierungsdaten wird angezeigt.
  3. Klicken Sie auf Neu.
  4. Geben Sie einen eindeutigen Aliasnamen, eine gültige Benutzer-ID, ein gültiges Passwort und (optional) eine Kurzbeschreibung ein.
  5. Klicken Sie auf OK oder Anwenden. Benutzer-ID und Passwort müssen nicht validiert werden.
  6. Klicken Sie auf Speichern.

    7. Hinweis Der neue Eintrag wird zwar angezeigt, ohne dass der Anwendungsserver, der in der Datenquellendefinition verwendet werden soll, neu gestartet werden muss, wird jedoch erst nach einem Neustart des Servers wirksam.

Konfiguration der Datenquelle

Hinweis Informationen zur Konfiguration von Datenquellen im Websphere 5.x-Cluster finden Sie unter “Configure the DataSource in a Websphere Cluster”.

  1. Klicken Sie auf die Registerkarte Ressourcen im linken Teilfenster, um eine Liste mit Ressourcentypen anzuzeigen.
  2. Klicken Sie auf JDBC-Provider, um eine Tabelle der konfigurierten JDBC-Provider anzuzeigen.
  3. Klicken Sie auf den Namen eines JDBC-Providers in der Tabelle. Im rechten Teilfenster wird eine Tabelle mit allgemeinen Eigenschaften für den ausgewählten JDBC-Provider angezeigt.
  4. Gehen Sie nach unten zur Tabelle mit zusätzlichen Eigenschaften. Klicken Sie auf Datenquellen. Im rechten Teilfenster wird eine Tabelle mit Datenquellen für den ausgewählten JDBC-Provider angezeigt.

    5. Hinweis Bitte beachten Sie das Feld Gültigkeitsbereich am oberen Rand der WebSphere-Administrationskonsole. Vergewissern Sie sich, dass die Felder Knoten und Server leer sind, sodass die Zelleninformationen zur Konfiguration unter den Schaltflächen Neu und Löschen angezeigt werden.

  5. Klicken Sie auf die Schaltfläche Neu über der Datenquellentabelle. Im rechten Teilfenster wird eine Tabelle mit allgemeinen Eigenschaften, die zu konfigurieren sind, angezeigt.
  6. Konfigurieren Sie die allgemeinen Eigenschaften für die neuen Datenquelle. Bitte beachten Sie Folgendes:
    • JNDI-Name ist der Pfad zur Datenquelle (DataSource-Objekt) im Verzeichnisdienst.
      Sie müssen den gleichen Wert wie beim Argument -f in
      setRepo -tdbms -iinitCtxFac -ffilepath angeben.
    • Container-verwaltete Fortdauer muss nicht markiert werden, da Identity Installation Pack keine Enterprise Java Beans (EJBs) verwendet.
    • Komponentenverwaltetes Authentifizierungs-Alias zeigt auf die Berechtigungsnachweise, die beim Zugriff auf die DBMS, auf die das DataSource-Objekt zeigt, verwendet werden.
    • Wählen Sie aus der Liste den Aliasnamen aus, der den passenden Satz an DBMS-Berechtigungsnachweisen enthält. Weitere Informationen finden Sie unter Konfiguration der 5.1-Authentifizierungsdaten.
    • Der Parameter Containerverwaltetes Authentifizierungs-Alias wird nicht verwendet. Setzen Sie diesen Wert auf (keines). Identity Installation Pack stellt eine eigene Verbindung zur DBMS, auf die das betreffende DataSource-Objekt zeigt, her.
    • Klicken Sie auf OK, wenn Sie dieses Teilfenster konfiguriert haben. Die Seite „Datenquellen“ wird angezeigt.
  7. Klicken Sie auf das DataSource-Objekt, das Sie erzeugt haben. Gehen Sie dann zur Tabelle mit zusätzlichen Eigenschaften im unteren Teil. Klicken Sie auf den Link Benutzerdefinierte Eigenschaften.

    8. Im rechten Teilfenster wird eine Tabelle DBMS-spezifischer Eigenschaften angezeigt.

  8. Konfigurieren Sie die benutzerdefinierten Eigenschaften für dieses DataSource-Objekt. Klicken Sie auf den Link der gewünschten Eigenschaft, um ihren Wert einzustellen. Bitte beachten Sie Folgendes:
    • URL ist die einzige erforderliche Eigenschaft. Diese Datenbank-URL identifiziert die Datenbankinstanz und enthält die Parameter driverType, serverName, portNumber und databaseName. Einige dieser Parameter können Sie auch als individuelle Eigenschaften angeben.
    • In diesem Beispiel ist driverType auf „thin“ gesetzt.
    • Beim Parameter serverName kann ein Hostname (oder eine IP-Adresse) angegeben werden.
    • databaseName ist normalerweise ein kurzer Datenbankname.
    • portNumber ist für Oracle standardmäßig auf 1521 gesetzt.
    • preTestSQLString kann auf einen Wert wie z.B. SELECT 1 FROM USEROBJ gesetzt werden. Diese SQL-Abfrage bestätigt, dass die USERJOB-Tabelle existiert und auf diese zugegriffen werden kann.
  9. Sie können in der Tabelle „Zusätzliche Eigenschaften“ auch auf den Link Verbindungs-Pool klicken, wenn Sie diese Eigenschaften zur Leistungsoptimierung konfigurieren möchten.

Anhang E: Configuring JCE

Ein Hinweis muss wie folgt lauten:

Hinweis Da Sie JDK 1.4.2 für diese Version installieren müssen, muss bei allen unterstützten Umgebungen jetzt JCE 1.2 enthalten sein. Außerdem sind die Informationen in diesem Anhang nicht mehr gültig.

Zusätzliche Informationen

Kapitel 1: Before You Install

Kapitel 2: Installing Identity Installation Pack for Tomcat

Kapitel 13: Updating Identity Manager

Zum Identity Manager Upgrade wurde ein Querverweis hinzugefügt, damit Benutzer besser vollständige Upgrade-Informationen finden können. (ID-12366).

Kapitel 15: Installing The Applications (Manual Installation)

Unter „Installation Steps > Step 2: Install the Application Software“ wurde der folgende Hinweis hinzugefügt: (ID-8344).

Hinweis Ab Version 5.0 SP3 befinden sich die Adapterklassen jetzt in der Datei idmadapter.jar. Wenn Sie benutzerdefinierte Adapter nutzen, kann es sein, dass Sie den Java-CLASSPATH aktualisieren müssen.

Anhang B: Configuring MySQL

Unter „Configuring MySQL > Step 3: Start the MySql process“ wurden die folgenden Informationen hinzugefügt: (ID-12461).

Wenn dieser Prozess noch nicht gestartet wurde, können Sie MySQL wie folgt registrieren und starten.
Windows: Wenn das MYSQL nicht im Verzeichnis c:\mysql installiert wird, müssen Sie eine Datei namens c:\my.cnf mit dem folgenden Inhalt erstellen:

[mysqld]
basedir=d:/mysql/
default-character-set=utf8
default-collation=utf8_bin

Installieren und starten Sie diesen Dienst unter Windows:

cd <MySQL_Install_Dir>/bin
mysqld-nt --install
net start mysql

Anhang C: Configuring Data Sources for
Identity Manager

Unter „Configuring a WebSphere Data Source for Identity Manager > Point the Identity Manager Repository to the Data Source“ wurden folgende Informationen hinzugefügt: (ID-12071).

8. Lassen Sie das Repository auf ein neues Verzeichnis zeigen. Beispiel:

lh -Djava.ext.dirs=$JAVA_HOME/jre/lib/ext:$WAS_HOME/lib setRepo
-tdbms -iinitCtxFac
-ffilepath -uiiop://localhost:bootstrap_port
-Uusername
-Ppassword
-toracle icom.ibm.websphere.naming.WsnInitialContextFactory - fDataSourcePath

Im obigen Beispiel kann DataSourcePath auf jdbc/jndiname gesetzt sein. bootstrap_port ist das Port für die Bootstrap-Adresse des WebSphere-Servers.

Die Option -Djava.ext.dirs fügt zum CLASSPATH alle JAR-Dateien in den WebSphere-Verzeichnissen lib/ und java/jre/lib/ext/ hinzu. Dies ist erforderlich, damit der Befehl „setrepo“ ordnungsgemäß funktioniert.

Ändern Sie die Option -f so, dass sie mit dem Wert, den Sie bei der Konfiguration der Datenquelle im Feld JNDI-Name angegeben haben, übereinstimmt. Weitere Informationen zu diesem Befehl finden Sie in der Referenz zum Befehl „setrepo“.

Identity Manager Upgrade

Zusätzliche Informationen

Kapitel 1: Upgrade Overview

Zum Abschnitt Example Upgrade wurde folgender Punkt hinzugefügt: (ID-12467).

Lassen Sie beim Bearbeiten des Felds „SuperRoles“ im Rollenformular äußerste Vorsicht walten. SuperRoles können verschachtelte Rollen sein. Die Felder „SuperRoles“ und „SubRoles“ weisen Verschachtelungen von Rollen und deren zugehörigen Ressourcen bzw. Ressourcengruppen auf. Wenn sie auf einen Benutzer angewendet wird, enthält die betreffende SuperRole die zugehörigen Ressourcen mit den dafür vorgesehenen SubRoles (Unterrollen). Das Feld „SuperRole“ wird angezeigt, um auf die Rollen hinzuweisen, die die angezeigte Rolle enthalten.

Kapitel 3: Develop the Upgrade Plan

Zum Abschnitt „Upgrade the Environment Upgrade From Identity Manager 5.x to 6.x“ wurde der folgende Abschnitt hinzugefügt. (ID-12361).

Schritt 2: Aufrüsten des Repository-Datenbankschemas

Identity Manager 6.0 verwendet ein Schema, das neue Tabellen für Aufgaben, Gruppen und Organisationen sowie die syslog-Tabelle enthält. Sie müssen diese neuen Tabellen erstellen und ihre vorhandenen Daten in diese Tabellen kopieren.

Hinweis Vor dem Aufrüsten des Repository-Schemas sollten Sie von allen Repository-Tabellen Sicherungskopien erstellen.

  1. Identity Manager speichert Objekte in zwei Tabellen. Sie können zum Ändern von Schemen die im Verzeichnis sample befindlichen Beispiel-Skripten nutzen.

    2. Zum Aufrüsten der Repository-Tabellen dient das Skript sample/upgradeto2005Q4M3.Datenbankname.

    Hinweis Die Aufrüstung von MySQL-Datenbanken ist ziemlich kompliziert. Weitere Informationen hierzu finden Sie unter sample/upgradeto2005Q4M3.mysql.

Identity Manager Administration Guide

Zusätzliche Informationen

Kapitel 4: Administration

Delegierung von Genehmigungen

Wenn Sie über Genehmigerfähigkeiten verfügen, können Sie zukünftige Genehmigungsanforderungen für einen bestimmten Zeitraum an einen oder mehrere Benutzer (die „Delegierten“) delegieren. Diese müssen hierzu keine Genehmigerfähigkeiten besitzen.

Es werden lediglich zukünftige Genehmigungsanforderungen delegiert. Bereits vorhandene Elemente (die Elemente unter „Wartet auf Genehmigung“) müssen Sie über die Weiterleitungsfunktion separat weiterleiten.

Klicken Sie zum Einrichten einer Delegierung auf die Registerkarte Eigene Genehmigungen delegieren im Bereich Genehmigungen.

Hinweise

Während des Delegierungszeitraums können die Delegierten Anforderungen in Ihrem Namen genehmigen. In delegierten Genehmigungsanforderungen ist der Name des Delegierten enthalten.

Überwachungsprotokolleinträge für Anforderungen

Überwachungsprotokolleinträge für genehmigte und abgelehnte Genehmigungsanforderungen enthalten den Namen des Delegierenden (d. h. Ihren Namen), wenn die Anforderung delegiert wurde. Änderungen an den Angaben zu den Delegiertengenehmigern eines Benutzers werden beim Erstellen oder Ändern eines Benutzers im Detailabschnitt des Überwachungsprotokolleintrags protokolliert.

Kapitel 5: Configuration

Identity-Attribute aus Ressourcenänderungen konfigurieren

Identity-Attribute bestimmen, in welchem Verhältnis Attribute auf Ressourcen zueinander stehen. Das Erstellen oder Ändern einer Ressource kann sich daher auf diese Attributbeziehungen auswirken.

Beim Speichern einer Ressource zeigt Identity Manager die Seite „Identity-Attribute konfigurieren?“ an. Hier können Sie wahlweise:

IDie Seite „Identity-Attribute konfigurieren? wieder aktivieren“

Wenn die Seite „Identity-Attribute konfigurieren?“ deaktiviert ist, können Sie sie auf eine der folgenden Weisen reaktivieren:

<Field name="accounts[Lighthouse].properties.displayMetaViewPage">
  <Display class="Checkbox">
    <Property name="label" value="Display Meta View?"/>
  </Display>
</Field>

Konfiguration von Attributen

Auf der Seite „Identity-Attribute konfigurieren“ (aus „Ressourcen ändern“) können Sie Attribute aus den Schemazuordnungen geänderter Ressourcen auswählen, um sie als Quelle bzw. Ziel für Identity-Attribute zu verwenden. In einigen Fällen ist es nicht möglich, Attribute in der Spalte „Quelle“ bzw. „Ziel“ auszuwählen. Sie können ein Attribut nicht als Quelle auswählen, wenn es:

Sie können ein Attribut nicht als Ziel auswählen, wenn:

Kapitel 7: Sicherheit

Begrenzen von Sitzungen mit mehreren gleichzeitigen Anmeldungen

Standardmäßig können Identity Manager-Benutzer Sitzungen mit mehreren gleichzeitigen Anmeldungen ausführen. Sie können dies so einschränken, dass nur noch eine Sitzung pro Anmeldeanwendung möglich ist. Hierzu ändern Sie den Wert des Konfigurationsattributs security.authn.singleLoginSessionPerApp im Systemkonfigurationsobjekt. Dieses Attribut ist ein Objekt, das wiederum ein Attribut pro Anmeldeanwendung enthält (z. B. für die Administratoroberfläche, die Benutzeroberfläche oder BPE). Ändern Sie den Wert dieses Attributs auf true, damit für jeden Benutzer nur noch eine einzige Anmeldesitzung möglich ist.

In diesem Fall kann sich der Benutzer zwar bei mehreren Sitzungen anmelden, es bleibt jedoch nur die jeweils letzte Sitzung aktiv und gültig. Wenn der Benutzer versucht, unter einer ungültigen Sitzung eine Aktion auszuführen, wird die Sitzung automatisch beendet.

Kapitel 8: Reporting

Im Abschnitt „Summary Reports“ enthält die Beschreibung von Benutzerberichten jetzt die Fähigkeit, Benutzer nach Managerrollen zu suchen: (ID-12690).

Kapitel 10: PasswordSync

Failover-Deployment für Windows PasswordSync

Die PasswordSync-Architektur eliminiert einzelne fehlerhafte Stellen im Windows-Deployment für die Passwort-Synchronisierung für Identity Manager.

Wenn Sie jeden Active Directory Domain Controller (ADC) so konfigurieren, dass er mit einem von mehreren JMS-Clients über eine Auslastungsverteilung (siehe folgende Abbildung) eine Verbindung herstellt, können die JMS-Clients Nachrichten an einen Cluster aus Message Queue Brokern senden. Dieser gewährleistet, dass beim Ausfall von Message-Queues keine Nachrichten verloren gehen.

Hinweis Für Ihren Message Queue-Cluster ist höchstwahrscheinlich eine Datenbank erforderlich, um die Nachrichten-Persistenz zu gewährleisten. (Anweisungen zur Konfiguration eines Message Queue Broker-Clusters finden Sie in der Produktdokumentation Ihres Anbieters.)

Der Identity Manager-Server, auf dem ein für das automatische Failover konfigurierter JMS Listener-Adapter läuft, kontaktiert den Message Queue Broker-Cluster. Obwohl der Adapter zur gleichen Zeit nur in einer Instanz von Identity Manager ausgeführt wird, beginnt er beim Ausfall des primären ActiveSync-Servers mit dem Suchen nach Passwortnachrichten auf einem sekundären Identity Manager-Server und teilt Passwortänderungen untergeordneten Ressourcen mit.

Implementierung von PasswordSync ohne Java Messaging Service

Zur Implementierung von PasswordSync ohne JMS müssen Sie das Konfigurationsprogramm mit dem folgenden Flag aufrufen:

Configure.exe -direct

bei Angabe des Flags -direct zeigt das Konfigurationsprogramm die Registerkarte „Benutzer“ an. Konfigurieren Sie PasswordSync gemäß den in “Configuring PasswordSync” aufgeführten Anweisungen. Dabei gelten folgende Ausnahmen:

Wenn Sie PasswordSync ohne JMS implementieren, brauchen Sie keinen JMS Listener-Adapter zu erstellen. Deswegen können Sie die in “Deploying PasswordSync” angegebenen Anweisungen überspringen. Wenn Sie Benachrichtigungen einrichten wollen, kann es sein, dass Sie den Workflow „Benutzerpasswort ändern“ modifizieren müssen.

Hinweis Wenn Sie das Konfigurationsprogramm danach ohne Angabe des Flags
-direct ausführen, benätigt PasswordSync zur Konfiguration JMS. Starten Sie das Anwendungsprogramm mit dem Flag -direct neu, um JMS erneut zu umgehen.

Korrekturen

Kapitel 5: Ressourcen

In der Tabelle für benutzerdefinierte Ressourcenklassen wurde die benutzerdefinierte Ressourcenklasse für den ClearTrust-Ressourcenadapter wie folgt berichtigt: (ID-12681).

com.waveset.adapter.ClearTrustResourceAdapter

Kapitel 10: PasswordSync

Im Abschnitt „Configuring PasswordSync“ unter „JMS Settings Dialog“ wurde die Beschreibung für „Queue Name“ wie folgt berichtigt:

lh-Referenz

Die Befehlssyntax wurde entsprechend aktualisiert, um anzuzeigen, dass nach angegebenen Optionen ein Leerzeichen folgen muss. (ID-12798).

Bei Verwendung der Option -p sollte aus Sicherheitsgründen Password als Pfad zu einer Textdatei, die ein Passwort enthält, angegeben werden, anstatt das Passwort direkt in der Befehlszeile einzugeben.

Beispiele
Der license-Befehl

Syntax

license [Optionen] { Status | set {Parameter} }

Optionen

Die Parameter für die Option set müssen im Format -f Datei angegeben werden.

Identity Manager Workflows, Forms, and Views

Kapitel 1: Workflows

Die Erläuterung manueller Aktionen in diesem Kapitel muss die folgenden Informationen enthalten:

Ist das Attribut itemType eines Arbeitselements auf „wizard“ gesetzt, umgeht das Arbeitselement beim Prüfen der WorkItem-Ansicht standardmäßig das Abrufen weiterleitender Genehmiger. Weist „itemType“ einen anderen Wert als „wizard“ auf, ruft Identity Manager die weiterleitenden Genehmiger weiterhin ab, es sei denn, CustomUserList ist als Eigenschaft des in der manuellen Aktion verwendeten Formulars auf „true“ gesetzt. (ID-10777).

Fügen Sie hierzu den folgenden Code in das Formular ein:

<Formular>

   <Properties>

      Property name="CustomUserLists" value="true"/>

   </Properties>

Kapitel 2: Workflow Services

Kapitel 3: Formulare

Identity Manager kann erforderliche Attribute in der Schemazuordnung einer Ressource kennzeichnen. Im Formular „Benutzer bearbeiten“ sind diese Attribute mit einem * (Sternchen) gekennzeichnet. Standardmäßig zeigt Identity Manager ein Sternchen nach dem auf den Attributnamen folgenden Textfeld an. (ID-10662).

Gehen Sie folgendermaßen vor, um die Positionierung des Sternchens anzupassen:

  1. Öffnen Sie mit Identity Manager BPE oder einem XML-Editor Ihrer Wahl das Konfigurationsobjekt „Komponenteneigenschaften“.
  2. Fügen Sie EditForm.defaultRequiredAnnotationLocation=left zum Tag <SimpleProperties> hinzu.

    3. Gültige Werte für defaultRequiredAnnotationLocation sind left, right und none.

  3. Speichern Sie die Änderungen, und starten Sie den Anwendungsserver neu.

Kapitel 4: FormUtil Methods

Parameter

Beschreibung

LighthouseContext

Der Lighthouse-Kontext des aktuellen Benutzers.

policy

(Erforderlich) Gibt den Namen der Richtlinien an, gegen die die betreffende Zeichenkette geprüft wird.

value

(Erforderlich) Gibt den zu überprüfenden Zeichenketteninhalt an.

map

(Optional) Zeigt eine Aufstellung der Zeichen, die eine Zeichenkette nicht enthalten darf.

returnNull -- (optional) Bei true gibt die Methode bei erfolgreicher Ausführung ein Nullobjekt zurück.

pwdhistory

(Optional) Führt die früheren Passwörter eines Benutzers in Großbuchstaben und verschlüsselt auf.

owner

(Erforderlich) Gibt den Benutzer an, der der Eigentümer der zu überprüfenden Zeichenkette ist.

Diese Methode gibt true zurück, wenn die betreffende Zeichenkette den Test gegen die geltenden Richtlinien bestanden hat. Diese Methode gibt eine Fehlermeldung zurück, wenn die Zeichenkette den Test nicht bestanden hat. Wenn die Option returnNull im Parameter map auf true gesetzt ist, gibt die Methode bei erfolgreicher Ausführung ein Nullobjekt zurück.

Parameter

Beschreibung

s

Der Lighthouse-Kontext (die Sitzung) des aktuellen Benutzers.

organizations

Eine Liste eines oder mehrerer Organisationsnamen. Die Liste unterstützter Organisationen enthält auch die Organisationen, die durch Auflisten aller Objekte vom Typ ObjectGroup zurückgegeben werden.

Diese Methode gibt Folgendes zurück:

true – Der aktuell authentifizierte Identity Manager-Benutzer kontrolliert Organisationen in der Liste.

false – Der aktuell authentifizierte Identity Manager-Benutzer kontrolliert keine Organisationen in der Liste.

Kapitel 5: Ansichten

Kontotypen

Diese Identity Manager-Version bietet Unterstützung zur Zuordnung mehrerer Konten zu Benutzern auf einer Ressource mit Kontotypen. (ID-12697) Sie können jetzt wahlweise beim Zuweisen von Ressourcen zu Benutzern einen Kontotyp einer Ressource zuordnen. Dabei gelten jedoch die folgenden Einschränkungen:

Vor dem Zuweisen eines Kontotyps zu einer Ressource ist dieser Typ zunächst von einem Administrator zu definieren. Es muss darüber hinaus auch eine Identity-Regel definiert werden (Beispiele für Identity-Regeln finden Sie in samples/identityRules.xml for examples).

Identity Manager verwendet zum Zuweisen einer Regel zu einem Kontotyp den Untertyp IdentityRule. Diese Regel generiert die benötigten Konten-IDs. (Diese Regeln funktionieren ähnlich wie Identitätsvorlagen, sind jedoch in XPRESS implementiert und greifen auf die LighthouseContext-API zu).

Informationen darüber, wie Sie mit der Administratorbenutzeroberfläche von Identity Manager Kontotypen zu Ressourcen zuweisen, finden Sie im Identity Manager Administration.

Auslassen des Kontotyps

Wenn der Kontotzp in einer Ressource weggelassen wird, weist Identity Manager den Standardkontotyp zu. Dies gewährleistet eine Abwärtskompatibilität Wenn jedoch für keine Ressource ein Kontotyp definiert ist, wird diese Funktion deaktiviert.

Der Standardkontotyp nutzt die Identitätsvorlage. Sie können jedoch auch angeben, dass statt der Identitätsvorlage ein Standardtyp verwendet werden soll.

Der Standardkontotyp ist insofern speziell, als dass der Benutzer mehrere Konten dieses Typs zuweisen kann. In der Praxis ist das Zuweisen mehrerer Konten des gleichen Typs jedoch oft nicht sinnvoll.

Änderungen in Ansichten

Die folgenden Änderungen, die an Identity Manager-Ansichten vorgenommen wurden, unterstützen Kontotypen.

Ansicht „Delegierte Genehmiger“

In dieser Ansicht können Sie einen oder mehrere Identity Manager-Benutzer als delegierte Genehmiger für einen vorhandenen Genehmiger zuweisen. Dadurch können Genehmiger ihre Gehmigungsfühigkeiten einen bestimmtenZeitraum lang an Benutzer delegieren, die selbst keine Genehmiger sind. Zu den Attributen der höchsten Stufe gehören: (ID-12754).

Hinweis Außer dem Attribut „name“ enthält die Benutzeransicht die gleichen Attribute. Diese neuen Attribute sind im Namensraum accounts[Lighthouse]. enthalten.

name

Der Benutzer, der Genehmigungen delegiert.

delegateApproversTo

Gibt an, an welchen Benutzer Genehmigungen delegiert werden sollen. Zu den gültigen Werten zählen „manager“, „selectedUsers“ oder „delegateApproversRule“.

delegateApproversSelected
delegateApproversStartDate

Das Datum, an dem die Delegierung von Genehmigungsfähigkeiten beginnen soll. Standardmäßig ist dieses Datum auf 12:01 des jeweiligen Tages gesetzt.

delegateApproversEndDate

Das Datum, an dem die Delegierung von Genehmigungsfähigkeiten enden soll. Standardmäßig ist dieses Datum auf 23:59 des jeweiligen Tages gesetzt.

Die Dokumentation zu Rollenansichten wurde wie folgt aktualisiert. (ID-12390).

Rollenansicht

Dient zum Definieren von Rollenobjekten in Identity Manager.

Ist die Ansicht aktiviert, ruft sie den Workflow „Rolle verwalten“ auf. Standardmäßig speichert dieser Workflow lediglich die Ansichtsänderungen im Repository. Er enthält jedoch auch Ausgangspunkte für Genehmigungen und andere benutzerspezifische Anpassungen.

In der folgenden Tabelle sind die Attribute der höchsten Ebene für diese Ansicht aufgeführt.

Attribut

Bearbeitbar?

Datentyp

Erforderlich

name

Lesen/Schreiben

String

Ja

resources

Lesen/Schreiben

Liste

Nein

applications

Lesen/Schreiben

Liste

Nein

roles

Lesen/Schreiben

Liste

Nein

assignedResources

Lesen/Schreiben

Liste

Nein

notifications

Lesen/Schreiben

Liste

Nein

approvers

Lesen/Schreiben

Liste

Nein

properties

Lesen/Schreiben

Liste

 

organizations

Lesen/Schreiben

Liste

Ja

Tabelle 1. Attribute für Rollenansichten

name

Der Name der Rolle. Entspricht dem Name des Role-Objekts im Identity Manager-Repository.

resources

Die Namen der lokal zugewiesenen Ressourcen.

applications

Die Namen der lokal zugewiesenen Anwendungen (Ressourcengruppen).

roles

Die Namen der lokal zugewiesenen Rollen.

assignedResources

Flache Liste aller zugewiesenen Ressourcen über Ressourcen, Anwendungen und Rollen.

Attribut

Bearbeitbar?

Datentyp

resourceName

 

String

name

 

String

attributes

 

Object

resourceName

Der Name der zugewiesenen Ressource.

name

IDer Ressourcenname oder die Ressourcen-ID (ID bevorzugt).

attributes

Die charakteristischen Eigenschaften der Ressource. Alle Unterattribute sind vom Datentyp „String“ und können bearbeitet werden.

Attribut

Beschreibung

name

Name des Ressourcenattributs

valueType

Typ des für dieses Attribut gesetzten Wertes. Zulässige Werte: Rule, text oder none.

requirement

Typ des von diesem Attribut gesetzten Wertes. Zulässige Werte: Regel, Text, Keiner, Wert, Mit Wert kombinieren, Mit Wert entfernen, Mit Wert kombinieren, vorhandenen Wert löschen, Autoritativ auf Wert setzen, Autoritativ mit Wert kombinieren, Autoritativ mit Wert kombinieren, vorhandenen Wert löschen.

rule

Ein Regelname, wenn „valueType“ auf „rule“ gesetzt ist.

value

Ein Wert, wenn „valueType“ auf „text“ gesetzt ist.

Tabelle 2. Attributoptionen (Rollenansicht)

Kapitel 6: XPRESS Language

Kapitel 8: HTML Display Components

Beispiele

Meldung mit einem Hinweis

<Field>
   <Display class="InlineAlert">
      <Property name="alertType" value="warning"/>

      <Property name="header" value="Data not Saved"/>
      <Property name="value" value="The data entered is not yet saved.
          Please click Save to save the information."/>

   </Display>

</Field>

Meldung mit mehreren Hinweisen

alertType sollte nur innerhalb der Eigenschaft InlineAlert definiert werden. Sie können für InlineAlert$AlertItems andere Eigenschaften definieren.

<Field>

   <Display class="InlineAlert">

      <Property name="alertType" value="error"/>

   </Display>

   <Field>

     <Display class="InlineAlert$AlertItem">

        <Property name="header" value="Server Unreachable"/>

        <Property name="value" value="The specified server could not

       be contacted. Please view the logs for more information."/>

        <Property name="linkURL" value="viewLogs.jsp"/>

        <Property name="linkText" value="View logs"/>

        <Property name="linkTitle" value="Open a new window with

           the server logs"/>

     </Display>

  </Field>

  <Field>

     <Display class="InlineAlert$AlertItem">

        <Property name="header" value="Invalid IP Address"/>

        <Property name="value" value="The IP address entered is

       in an invalid subnet. Please use the 192.168.0.x subnet."/>      </Display>

  </Field>

</Field>

MultiSelect-Komponente

Zeigt ein MultiSelection-Objekt an, das von Identity Manager als zwei nebeneinander liegende Textauswahlschlüsselfelder dargestellt wird, in denen eine bestimmte Anzahl an Werten vom einen Feld in das andere Feld verschoben werden kann. Die Werte im linken Feld werden von der Eigenschaft allowedValues definiert. Diese Werte werden oft dynamisch durch Aufruf einer Java-Methode wie z.B. FormUtil.getResources abgerufen. Die Werte im rechten Mehrfachauswahlfeld werden aus dem aktuellen Wert des zugehörigen Anzeigeattributs eingelesen, das durch den Feldnamen definiert ist.

Sie können die Formulartitel für jedes Feld in diesem MultiSelection-Objekt mithilfe der Eigenschaften availabletitle und selectedtitle setzen.

Wenn Sie eine MultiSelect-Komponente wünschen, die kein Applet verwendet, müssen Sie die Eigenschaft noApplet auf „true“ setzen.

Hinweis Wenn Identity Manager auf einem System mit Safari-Browser läuft, müssen Sie alle Formulare mit MultiSelect-Komponents entsprechend benutzerspezifisch anpassen, um die Option „noApplet“ setzen zu können. Stellen Sie diese Option wie folgt ein:

<Display class="MultiSelect">

<Property name="noApplet" value="true"/>

 ...

Zu den Eigenschaften für diese Anzeigekomponente gehören:

Select-Komponente

Zeigt ein Einfachauswahlobjekt an. Werte für das Listenfeld müssen von der Eigenschaft allowedValues bereitgestellt werden.

Zu den Eigenschaften für diese Anzeigekomponente gehören:

Identity Manager Technical Deployment Overview

Die folgenden Erläuterungen zu zugehörigen Workflows, Formularen und JSPs gehören zum Überblick über die Architektur von Identity Manager Technical Deployment Overview (ID-7332).

Prozessausführung

Wenn ein Benutzer Daten in einem Feld auf einer Seite eingibt und auf Speichern klickt, verarbeiten die Workflow- und Formularkomponenten die Daten gemeinsam.

Jede Seite in Identity Manager hat zugehörige Ansichten, Workflows und Formulare, welche die Datenverarbeitung übernehmen. Diese Workflow-, Ansichts- und Formularzuweisungen werden in den folgenden zwei Tabellen aufgelistet.

Identity Manager-Prozesse für die Benutzeroberfläche

Die folgenden Tabellen enthalten die Formulare, Ansichten, Workflows und JSPs der Prozesse, die von diesen Seiten der Identity Manager-Benutzeroberfläche eingeleitet werden:

Benutzeroberfläche

wieder aktivieren

Formular

 

Ansicht

 

Workflow

 

Hauptmenü

• endUserMenu

• Endbenutzermenü (Standard)

Benutzer

Die Ansicht ist schreibgeschützt. Auf dieser Seite können keine Änderungen vorgenommen werden

Kein

Passwort ändern

• endUserChangePassword

• Formular für die Passwortänderung (Standard)

Password

• changeUserPassword

• Benutzer-Passwort ändern (Standard)

Andere Kontoattribute ändern

• endUserForm

• Endbenutzerformular (Standard)

Benutzer

Benutzer aktualisieren

Prozess-Status prüfen

• endUserTaskList

• Endbenutzeraufgabenliste (Standard)

Liste

Die Ansicht enthält Informationen zu den TaskInstance-Objekten, die vom Benutzer gestartet werden

Kein

Prozess-Status

Diese Seite wird von der TaskViewResults-Klasse generiert

Kein

Kein

Kein

Verfügbare Prozesse

• endUserLaunchList

• Endbenutzerstartliste (Standard)

Liste

Die Ansicht enthält Informationen zu den TaskDefinition-Objekten, auf die der Benutzer zugreifen kann

Kein

Prozess starten

Startet eine ausgewählte Aufgabendefinition

Von der Aufgabendefinition definiert

Prozess

Kein

Antworten auf Authentifizierungsfragen ändern

• changeAnswers

• Benutzerantworten ändern (Standardformular)

ChangeUserAnswers

Kein

Selbsterkennung

Kann nur mit vorhandenen Ressourcenkonten verbunden werden

• selfDiscovery

• Selbsterkennung (Standard)

Benutzer

Benutzer aktualisieren

Posteingang

• endUserWorkItemList

• Endbenutzerarbeitselement (Standardliste)

Liste

Die Ansicht enthält Informationen zu Arbeitselementen, die dem aktuellen Benutzer direkt angehören

Kein

Posteingang-Element bearbeiten

Wird vom Arbeitselement angegeben oder automatisch generiert

WorkItem

Kein

Prozesse der Administratorbenutzeroberfläche

Die folgenden Tabellen enthalten die Formulare, Ansichten, Arbeitsabläufe und JSPs der Prozesse, die von diesen Seiten der Identity Manager-Administratorbenutzeroberfläche eingeleitet werden:

Seite der Administratorbenutzeroberfläche

Formular

 

Ansicht

 

Workflow

 

Organisation erstellen und bearbeiten

Zuordnung der Systemkonfiguration

Je nach Kontext kann es sich um verschiedene Formulare handeln. Hierzu gehören:

• Organisationsformular

• Formular zum Umbenennen von Organisationen

• Formular für Verzeichnisverbindungen

• Formular für virtuelle Organisationen

• Formular zum Aktualisieren von virtuellen Organisationen

Org

Kein

Benutzer erstellen

• userForm

• Benutzer (Standardformular mit Registerkarten)

Benutzer

• createUser

• Benutzer erstellen (Standard)

Benutzer aktualisieren

• userForm

• Benutzer (Standardformular mit Registerkarten)

Benutzer

• updateUser

• Benutzer aktualisieren (Standard)

Ressourcenkonten des Benutzers deaktivieren

• disableUser

• Benutzer deaktivieren (Standard)

Deaktivieren

• disableUser

• Benutzer deaktivieren (Standard)

Benutzer umbenennen

• renameUser

• Benutzer umbenennen (Standardformular)

RenameUser

• renameUser

• Benutzer umbenennen (Standard)

Ressourcenkonten des Benutzers aktualisieren

• reprovisionUser

• Erneut bereitstellen (Standardformular)

Erneut bereitstellen

• updateUser

• Benutzer aktualisieren (Standard)

Sperre der Ressourcenkonten für den Benutzer aufheben

• unlockUser

• Sperre für Benutzer aufheben (Standard)

Sperre aufheben

• unlockUser

• Sperre für Benutzer aufheben (Standard)

Ressourcenkonten des Benutzers löschen

• deprovisionUser

• Aufheben der Bereitstellung (Standardformular)

Bereitstellung aufheben

• deleteUser

• Benutzer löschen (Standard)

Benutzer-Passwort ändern

Verwendet denselben Workflow wie die Endbenutzer-GUI, jedoch ein anderes Formular

• changePassword

• Benutzerpasswort ändern (Standardformular)

ChangeUserPassword

• changeUserPassword

• Benutzer-Passwort ändern (Standard)

Benutzerpasswort zurücksetzen

• resetPassword

• Benutzerpasswort zurücksetzen (Standardformular)

ResetUserPassword

• changeUserPassword

• Benutzer-Passwort ändern (Standard)

Mein Passwort ändern

Ansicht, Formular und Workflow wie beim Ändern des Endbenutzerpassworts, jedoch andere JSP

• endUserChangePassword

• Formular für die Passwortänderung (Standard)

Password

• changeUserPassword

• Benutzer-Passwort ändern (Standard)

Meine Antworten ändern

Ansicht und Formular wie beim Ändern der Endbenutzerantworten, jedoch andere JSP

• changeAnswers

• Benutzerantworten ändern (Standardformular)

ChangeUserAnswers

Kein

Genehmigungen

• workItemList

• Arbeitselemente (Standardliste)

• Standardformular enthält Bestätigung des Arbeitselements

WorkItemList

Kein

Arbeitselement bearbeiten

Das Einchecken der Ansichtsergebnisse für Arbeitselemente in der Wiederaufnahme des erstellenden Workflow, wobei kein Workflow für den Eincheckvorgang des Arbeitselements erstellt wurde.

Wird vom Arbeitselement angegeben oder automatisch generiert

WorkItem

Kein

Aufgabe starten

Startet eine ausgewählte Aufgabendefinition

Von der Aufgabendefinition definiert

Prozess

Kein

Geplante Aufgaben erstellen und aktualisieren

Keine Systemkonfigurationszuordnung, Standardformular für den Aufgabenzeitplan, kombiniert mit dem Formular für die Aufgabendefinition

Dieses Formular wird aus den Formularen für die Aufgabendefinition und dem Aufgabenzeitplan als Wrapper generiert

TaskSchedule

Kein

Rolle zum Erstellen und Bearbeiten

Keine Systemkonfigurationszuordnung

Die Standardformulare für die Rolle und das Umbenennen der Rolle sind kontextabhängig

Rolle

• manageRole

• Rolle verwalten (Standard)

Ressource bearbeiten

Keine Systemkonfigurationszuordnung, kontextabhängig, mögliche Formulare:

• Ressourcenkontopasswort ändern

• Ressourcenkontopasswort zurücksetzen

• Ressourcenrichtlinien bearbeiten

• Ressource umbenennen

• Ressourcenassistent <Ressourcentyp>

• Ressourcenassistent.

Ermöglicht typspezifische Assistentenformulare, standardmäßig der Ressourcenassistent

Ressource

• manageResource

• Ressource verwalten (Standard)

Fähigkeit bearbeiten

changeCapabilities, Benutzerfunktionen ändern (Standardformular)

ChangeUserCapabilities

Kein

JSPs (Java Server Pages) und ihre Rolle in Identity Manager

Die folgenden Tabellen beschreiben die System-JSPs und deren Seiten für die Administratorbenutzeroberfläche und Benutzeroberfläche.

JSPs für die Identity Manager-Benutzeroberfläche

wieder aktivieren

Zugewiesene JSP

Hauptmenü

user/main.jsp

Passwort ändern

user/changePassword.jsp

Andere Kontoattribute ändern

user/changeAll.jsp

Prozess-Status prüfen

user/processStatusList.jsp

Prozess-Status

user/processStatus.jsp

Verfügbare Prozesse

user/processList.jsp

Prozess starten

user/processLaunch.jsp

Antworten auf Authentifizierungsfragen ändern

user/changeAnswers.jsp

Selbsterkennung

user/selfDiscover.jsp

Posteingang

user/workItemList.jsp

Posteingang-Element bearbeiten

user/workItemEdit.jsp

JSPs für die Administratorbenutzeroberfläche

wieder aktivieren

Zugewiesene JSP

Organisation erstellen und bearbeiten

security/orgedit.jsp

Benutzer erstellen

account/modify.jsp

Benutzer aktualisieren

account/modify.jsp

Ressourcenkonten des Benutzers deaktivieren

account/resourceDisable.jsp

Benutzer umbenennen

account/renameUser.jsp

Ressourcenkonten des Benutzers aktualisieren

account/resourceReprovision.jsp

Sperre der Ressourcenkonten für den Benutzer aufheben

admin/resourceUnlock.jsp

Ressourcenkonten des Benutzers löschen

account/resourceDeprovision.jsp

Benutzer-Passwort ändern

admin/changeUserPassword.jsp

Benutzerpasswort zurücksetzen

admin/resetUserPassword.jsp

Mein Passwort ändern

admin/changeself.jsp

Meine Antworten ändern

admin/changeAnswers.jsp

Genehmigungen

approval/approval.jsp

Arbeitselement bearbeiten

approval/itemEdit.jsp

Aufgaben starten

task/taskLaunch.jsp

Geplante Aufgaben erstellen und aktualisieren

task/editSchedule.jsp

Rolle zum Erstellen und Bearbeiten

roles/applicationmodify.jsp

Ressource bearbeiten

resources/modify.jsp

Fähigkeit bearbeiten

account/modifyCapabilities.jsp

Anhang A, Konfigurationsobjekte bearbeiten

In der Liste der Standardwerte für QueryableAttrNames auf Seite A-4 fehlt idmManager.

Identity Manager 6.0 Resources Reference

Access Manager Adapter

Schritt 5 in “General Configuration” muss wie folgt lauten:

5.    Fügen Sie zur Datei java.security die folgen Zeilen hinzu, falls sie nicht schon vorhanden sind:

security.provider.2=com.ibm.crypto.provider.IBMJCE
security.provider.3=com.ibm.net.ssl.internal.ssl.Provider

Die Zahl nach „security.provider“ in jeder Zeile gibt die Reihenfloge an, in der Java SecurityProvider-Klassen abfragt und muss eindeutig sein. Die Zahlenfolge kann je nach Umgebung verschieden sein. Wenn in der Datei java.security bereits mehrere SecurityProvider vorhanden sind, sollten Sie die neuen SecurityProvider in der oben aufgeführten Reihenfolge einfügen und die bereits vorhandenen SecurityProvider entsprechend umnummerieren. Entfernen Sie keine vorhandenen SecurityProvider und duplizieren Sie diese nicht. (ID-12044).

Active Directory Adapter

Active Directory unterstützt jetzt die Binärattribute thumbnailPhoto (Windows 2000 Server und neuer) und jpegPhoto (Windows 2003).

BridgeStream SmartRoles-Adapter

Identity Manager bietet jetzt einen BridgeStream SmartRoles-Ressourcenadapter, der Benutzer in SmartRoles bereitstellt. Dieser Adapter platziert Benutzer in den passenden Organisationen innerhalb von SmartRoles, sodass SmartRoles ermitteln kann, welche Business-Rollen diese Benutzer haben sollten.

Beim Abrufen von Benutzern aus SmartRoles ruft der Adapter auch die Business-Rollen der Benutzer ab. Diese Business-Rollen dienen in Identity Manager zur Ermittlung der Identity Manager-Rollen, -Ressourcen, -Attribute und -Zugriffe, die einem Benutzer zugewiesen werden sollen.

Darüber hinaus kann SmartRoles mithilfe von Active Sync Benutzerdaten ändern. Sie können SmartRoles-Benutzer in Identity Manager laden und miteinander harmonisiereb.

Ausführliche Informationen zu diesem Adapter finden Sie im Kapitel Sun Java™ System Identity Manager Resources Reference Addendum. (ID-12714).

ClearTrust-Adapter

Datenbanktabellen-Adapter

Dieser Adapter unterstützt binäre Datentypen wie z.B. BLOBs, in Oracle. Die entsprechenden Attribute sind in der Schemazuordnung als binär zu kennzeichnen. Zu den Binärattributen gehören beispielsweise Grafikdateien, Audiodateien und Zertifikate.

Flat File Active Sync-Adapter

HP OpenVMS-Adapter

Identity Manager bietet jetzt einen HP OpenVMS-Ressourcenadapter, der VMS Version 7.0 und höher unterstützt. Ausführliche Informationen zu diesem Adapter finden Sie im Kapitel Sun Java™ System Identity Manager Resources Reference Addendum. (ID-8556).

JMS Listener-Adapter

Der JMS Listener-Adapter unterstützt jetzt statt asynchroner die synchrone Meldungsverarbeitung. Infolgedessen muss der zweite Abschnitt im Kapitel „Connections“ der „Usage Notes“ wie folgt lauten:

Der JMS Listener-Adapter arbeitet im Synchronmodus. Er erstellt für die im Feld JNDI-Name für das Ziel angegebene Queue bzw. das Themenziel einen synchronen Message Consumer. In jedem Abfrageintervall empfängt und verarbeitet der Adapter alle verfügbaren Meldungen. Meldung können (optional) durch Definition eines gültigen JMS-Meldungsauswahlstrings im Feld Meldungsauswahl zusätzlich qualifiziert werden.

Der Abschnitt „Message Mapping“ muss Folgendes enthalten:

Wenn der Adapter eine qualifizierte Meldung verarbeitet, wird die empfangene JMS-Meldung mithilfe des im Feld Meldungszuordnung angegebenen Verfahrens zuerst in eine Zuordnung bezeichneter Werte konvertiert. Diese resultierende Zuordnung wird als Meldungs-Werte-Zuordnung bezeichnet.

Die Meldungs-Werte-Zuordnung wird dann mithilfe der Schemazuordnung für Kontoattribute in eine Active Sync-Zuordnung ungewandelt. Wenn der Adapter Kontoattribute besitzt, durchsucht er die Meldungs-Werte-Zuordnung nach Schlüsselnamen, die auch in der Schemazuordnung als Benutzerressourcenattribute vorkommen. Falls vorhanden, werden die entsprechenden Werte in die Active Sync-Zuordnung kopiert. Der Eintragsname in der Active Sync-Zuordnung wird jedoch in den Namen umgewandelt, der in der Spalte „Identity System-Benutzerattribut“ der Schemazuordnung angegeben ist.

Wenn die Meldungs-Werte-Zuordnung einen Eintrag besitzt, der mithilfe der Schemazuordnung für Kontoattribute nicht umgewandelt werden kann, wird der Eintrag aus der Meldungs-Werte-Zuordnung unverändert in die Active Sync-Zuordnung kopiert.

LDAP-Adapter

Unterstützung für binäre Kontoattribute

Es werden jetzt die folgenden binären Kontoattribute aus der Objektklasse „inetOrgPerson“ unterstützt:

Ressourcen-Benutzerattribut

LDAP-Syntax

Beschreibung

audio

Audio

Eine Audiodatei.

jpegPhoto

JPEG

Ein Bild im JPEG-Format.

userCertificate

certificate

Ein Zertifikat im Binärformat.

Andere Binärattribute werden möglicherweise unterstützt, sie wurden jedoch nicht getestet.

Deaktivieren und Aktivieren von Konten

Mit dem LDAP-Adapter können Konten einer LDAP-Ressource mit verschiedenen Methoden deaktiviert werden. Deaktivieren Sie Konten mithilfe eines der folgenden Verfahren.

Ändern des Passworts in einen unbekannten Wert

Wenn Sie Konten durch Ändern des Passworts in einen unbekannten Wert deaktivieren wollen, lassen Sie die Felder LDAP Aktivierungsmethode und LDAP Aktivierungsparameter leer. Dies ist das Standardverfahren zum Deaktivieren von Konten. Das betreffende Konto kann durch Zuweisen eines neuen Passworts neu aktiviert werden.

Zuweisen der Rolle nsmanageddisabledrole

Wenn Sie die LDAP-Rolle nsmanageddisabledrole zum Deaktivieren und Aktivieren von Konten nutzen wollen, ist die LDAP-Ressource wie folgt zu konfigurieren:

  1. Setzen Sie auf der Seite „Ressourcenparameter“ das Feld LDAP Aktivierungsmethode auf nsmanageddisabledrole.
  2. Setzen Sie das Feld LDAP Aktivierungsparameter auf IDMAttribute=CN=nsmanageddisabledrole,baseContext. (IDMAttribute wird im Schema im nächsten Schritt angegeben.)
  3. Fügen Sie auf der Seite „Kontoattribute“ als Identity System-Benutzerattribut den Wert IDMAttribute hinzu. Setzen Sie das Ressourcen-Benutzerattribut auf nsroledn. Das Attribut muss den Datentyp „String“ besitzen.
  4. Erstellen Sie auf der LDAP-Ressource eine Gruppe „nsAccountInactivationTmp“ und weisen Sie als Mitgliedsparameter CN=nsdisabledrole,baseContext zu.

LDAP-Konten können jetzt deaktiviert werden. Überprüfen Sie das Attribut nsaccountlock mithilfe der LDAP-Konsole. Besitzt dieses Attribut den Wert true, ist das betreffende Konto gesperrt.

Bei einer späteren Neuaktivierung des Kontos wird es aus dieser Rolle entfernt.

Setzen des Attributs nsAccountLock

Wenn Sie das Attribut nsAccountLock zum Deaktivieren und Aktivieren von Konten nutzen wollen, ist die LDAP-Ressource wie folgt zu konfigurieren:

  1. Setzen Sie auf der Seite „Ressourcenparameter“ das Feld LDAP Aktivierungsmethode auf nsaccountlock.
  2. Setzen Sie das Feld LDAP Aktivierungsparameter auf IDMAttribute=true. (IDMAttribute wird im Schema im nächsten Schritt angegeben.) z.B. accountLockAttr=true.
  3. Fügen Sie auf der Seite „Kontoattribute“ den im Feld LDAPAktivierungsparameter angegebenen Wert als Identity System-Benutzerattribut hinzu. Setzen Sie das Ressourcen-Benutzerattribut auf nsaccountlock. Das Attribut muss den Datentyp „String“ besitzen.
  4. Setzen Sie das LDAP-Attribut nsAccountLock für die Ressource auf true.

    5. Identity Manager setzt nsaccountlock beim Deaktivieren eines Kontos auf “true”. Außerdem wird davon ausgegangen, dass bereits existierende LDAP-Benutzer, für die nsaccountlock auf “true” gesetzt ist, deaktiviert sind. Wenn nsaccountlock einen anderen Wert als “true” besitzt (einschl. Null), gilt der Benutzer für das System als aktiviert.

Deaktivierung von Konten ohne die Attribute nsmanageddisabledrole und nsAccountLock

Falls die Attribute nsmanageddisabledrole und nsAccountLock auf Ihrem Verzeichnisserver nicht verfügbar sind, dieser aber eine ähnliche Methode zur Deaktivierung von Konten nutzt, geben Sie in das Feld LDAP Aktivierungsmethode einen der folgenden Klassennamen ein. Je nach Klasse ist der im Feld LDAP Aktivierungsarameter einzugebende Wert unterschiedlich.

Klassenname

Wann sollte er verwendet werden?

com.waveset.adapter.util.
ActivationByAttributeEnableFalse

Der Verzeichnisserver aktiviert ein Konto, indem er ein Attribut auf „false“ setzt. Konten werden durch Setzen dieses Attributs auf „true“ deaktiviert.

Fügen Sie dieses Attribut zur Schemazuordnung hinzu. Geben Sie dann in das Feld Identity ManagerLDAP Aktivierungsparameter den (links in der Schemazuordnung definierten) -Namen für das Attribut ein.

com.waveset.adapter.util.
ActivationByAttributeEnableTrue

Der Verzeichnisserver aktiviert ein Konto, indem er ein Attribut auf „true“ setzt. Konten werden durch Setzen dieses Attributs auf „false“ deaktiviert.

Fügen Sie dieses Attribut zur Schemazuordnung hinzu. Geben Sie dann in das Feld LDAP Aktivierungsparameter den (links in der Schemazuordnung definierten) Identity Manager-Namen für das Attribut ein.

com.waveset.adapter.util.
ActivationByAttributePullDisablePushEnable

Identity Manager aktiviert Konten durch Abrufen eines Attribut-Wert-Paares von LDAP. Konten werden wieder aktiviert, indem das betreffende Attribut-Wert-Paar an LDAP gesendet wird.

Fügen Sie dieses Attribut zur Schemazuordnung hinzu. Geben Sie das Attribut-Wert-Paar dann in das Feld LDAP Aktivierungsparameter ein. Verwenden Sie den (links in der Schemazuordnung definierten) Identity Manager-Namen für das Attribut.

com.waveset.adapter.util.
ActivationByAttributePushDisablePullEnable

Identity Manager deaktiviert Konten durch Senden eines Attribut-Wert-Paares an LDAP. Konten werden wieder aktiviert, indem das betreffende Attribut-Wert-Paar von LDAP abgerufen wird.

Fügen Sie dieses Attribut zur Schemazuordnung hinzu. Geben Sie das Attribut-Wert-Paar dann in das Feld LDAP Aktivierungsparameter ein. Verwenden Sie den (links in der Schemazuordnung definierten) Identity Manager-Namen für das Attribut.

com.waveset.adapter.util.
ActivationNsManagedDisabledRole

Das Verzeichnis nutzt zur Ermittling des Kontostatus eine spezifische Rolle. Wenn diesem Konto diese Rolle zugewiesen ist, wird es deaktiviert.

Fügen Sie diesen Rollennamen zur Schemazuordnung hinzu. Geben Sie den Wert dann in das Feld LDAP Aktivierungsparameter im folgenden Format ein:

IDMAttribut=CN=Rollenname,Basiskontext

IDMAttribut ist der (links in der Schemazuordnung definierte) Identity Manager-Name für die Rolle.

Mainframe-Adapter (ACF2, Natural, RACF, Top Secret)

Die Emulator-Klassenbibliothek von Attachmate Reflection for the Web (Reflection ECL) ermöglicht die Herstellung einer Verbindung zu einer Mainframe-Ressource. Diese Bibliothek ist mit der IBM Host on Demand-API kompatibel. Befolgen Sie sämtliche Installationsanweisungen des Produktherstellers. Führen Sie dann die unter “Installationshinweise” und “SSL-Konfiguration” beschriebenen Schritte durch.

Installationshinweise

Gehen Sie wie folgt vor, um mit Attachmate Reflection ECL Verbindungen einzurichten:

  1. Fügen Sie die Ressource, wie in Identity Manager Resources Reference beschrieben, in die Identity Manager -Ressourcenliste ein.
  2. Kopieren Sie die entsprechenden JAR-Dateien in das Verzeichnis WEB-INF/lib Ihrer Identity Manager-Installation.
    • RWebSDK.jar
    • wrqtls12.jar
    • profile.jar
  3. Fügen Sie folgende Definitionen in die Datei Waveset.properties ein, um festzulegen, welcher Dienst die Terminalsitzung verwaltet:

    4. serverSettings.serverId.mainframeSessionType=Wert

    serverSettings.default.mainframeSessionType=Wert

    Wert kann wie folgt gesetzt werden:

    • 1 — IBM Host On--Demand (HOD)
    • 3 — Attachmate WRQ

      • Wenn diese Eigenschaften nicht ausdrücklich gesetzt sind, versucht Identity Manager zuerst WRQ und anschließend HOD zu verwenden.

  4. Bei der Installation der Attachmate-Bibliotheken auf einem WebSphere-Anwendungsserver müssen Sie zur Datei WebSphere/AppServer/configuration/config.ini die Eigenschaft com.wrq.profile.dir=Bibliotheksverezichnis hinzufügen.

    5. Dadurch finder der Attachmate-Code die Lizentdatei.

  5. Starten Sie den Anwendungsserver neu, damit die Änderungen der Datei Waveset.properties wirksam werden können.

Führen Sie die unter SSL-Konfiguration beschriebenen Schritte durch.

SSL-Konfiguration

Die Emulator-Klassenbibliothek von Attachmate Reflection for the Web (Reflection ECL) ist mit der IBM Host on Demand-API kompatibel. Befolgen Sie sämtliche Installationsanweisungen des Produktherstellers. Führen Sie dann in Identity Manager die folgenden Schritte durch.

  1. Falls für die Ressource noch kein Ressourcenattribut namens Session Properties vorhanden ist, fügen Sie dem Ressourcenobjekt mithilfe der Identity Manager-IDE oder der Debug-Seiten dieses Attribut hinzu. Fügen Sie folgende Definition in den Abschnitt <ResourceAttributes> ein:

    2. <ResourceAttribute name="Session Properties" displayName="Session Properties" description="Session Properties" multi="true">

    </ResourceAttribute>

  2. Fügen Sie dem Ressourcenattribut Session Properties auf der Seite „Ressourcenparameter“ für die Ressource die folgenden Werte hinzu:

    3. encryptStream
    true
    hostURL
    tn3270://Host-Name:SSLport
    keystoreLocation
    Pfad_zur_Trusted_ps.pfx-Datei

Oracle/Oracle ERP-Adapter

Das Kapitel „Oracle/Oracle ERP“ in der Identity Manager Resources Reference wurde für diese Version in zwei getrennte Kapitel aufgeteilt. Diese beiden neuen Kapitel finden Sie im Sun Java™ System Identity Manager Resources Reference Addendum. (ID-12758).

Oracle-Adapter

Oracle ERP-Adapter

Zuständigkeitsbereiche für die Überwachung

Der Oracle ERP-Adapter wurde zur Unterstützung von Überprüfungsfunktionen um mehrere Attribute erweitert. (ID-11725).

Zur Überwachung von Unterelementen (wie z. B. Formularen und Funktionen) von Zuständigkeitsbereichen, die Benutzern zugewiesen sind, müssen Sie zur Schemazuordnung das Attribut auditorObject hinzufügen. auditorObject ist ein komplexes Attribut, das eine Reihe von Responsibility-Objekten enthält. Die folgende Attribute werden immer in einem Responsibility-Objekt zurückgegeben:

Wenn der Ressourcenparameter Dokumentationssatz und/oder Organisation zurückgeben auf TRUE gesetzt ist, werden darüber hinaus die folgenden Attribute zurückgegeben:

Mit der Ausnahme der Attribute responsibility, setOfBooksName, setOfBooksId, organizationalUnitId und organizationalUnitName müssen die Attributnamen den Kontoattributnamen entsprechen, die zur Schemazuordnung hinzugefügt werden können. Die Kontoattribute enthalten einen Sammelsatz an Werten, die Benutzern zugewiesen werden. Die in den responsibility-Objekten enthaltenen Attribute gelten nur für den jeweiligen Zuständigkeitsbereich.

In der Ansicht „auditorResps[]“ haben Sie Zugriff auf die Attribute des jeweiligen Responsibility-Objekts. Im folgenden Formularausschnitt werden alle aktiven, einem Benutzer zugewiesenen Zuständigkeitsbereiche (und ihre Attribute) zurückgegeben.

<defvar name="audObj">

   <invoke name="get">

      <ref>accounts[Oracle ERP 11i VIS].auditorObject</ref>

   </invoke>

</defvar>

<!-- this returns list of responsibility objects -->

<defvar name="audObj">

   <invoke name="get">

      <ref>audObj</ref>

      <s>auditorResps[*]</s>

   </invoke>

</defvar>

Beispiel:

Unterstützung für Oracle EBS 12

Der Oracle ERP-Adapter unterstützt Oracle E-Business Suite (EBS) Version 12. Abschnitte in OracleERPUserForm müssen, je nach der installierten ERP-Version, nicht mehr geändert oder auskommentiert werden (siehe Identity Manager Resources Reference).

Das FormRef-Attribut unterstützt jetzt die folgenden Eigenschaften:

Diese Eigenschaften müssen bei jeder Referenzierung des Benutzerformulars eingegeben werden. Es kann beispielsweise sein, dass das Benutzerformular mit Registerkarten wie folgt eingestellt sein muss, damit Version 12 unterstützt wird:

<FormRef name="Oracle ERP User Form">
   <Property name="RESOURCE_NAME" value="Oracle ERP R12"/>
   <Property name="VERSION" value="12"/>
   <Property name="RESP_DESCR_COL_EXISTS" value="TRUE"/>
</FormRef>

SAP-Adapter

Informationsart

Name

Unterstützte Unterarten

0000

Aktionen

nicht zutreffend

0001

Organisationszuweisung

nicht zutreffend

0002

Persönliche Daten

nicht zutreffend

0006

Adressen

01 (ständiger Wohnsitz), 03 (Heimatwohnsitz)

0105

Kommunikation

MAIL (E-Mail-Adresse), 0010 (Internet-Adresse)

Der SAPHRActiveSyncAdapter unterstützt jetzt mySAP ERP ECC 5.0 (SAP 5.0).
Infolgedessen wurden im Abschnitt „Resource Configuration Notes“ die folgenden Änderungen vorgenommen: (ID-12769).

SAP-Ressourcendapter

Die folgenden Hinweise zur Ressourcenkonfiguration gelten nur für den SAP-Ressourcenadapter.

Führen Sie die folgenden Schritte aus, damit Benutzer ihr eigenes SAP-Passwort ändern können:

  1. Setzen Sie das Ressourcenattribut auf Benutzer gibt Passwort bei Änderung an.
  2. Fügen Sie WS_USER_PASSWORD zu beiden Seiten der Schemazuordnung hinzu. Sie brauchen das Benutzerformular bzw. andere Formulare nicht zu ändern.

SAP HR Active Sync-Adapter

Die folgenden Hinweise zur Ressourcenkonfiguration gelten nur für den SAP HR Active Sync-Adapter.

Die SAP-Technologie Application Link Enabling (ALE) ermöglicht die Kommunikation zwischen SAP und externen Systemen wie z.B. Identity Manager. Der SAP HR Active Sync-Adapter nutzt eine abgehende ALE-Schnittstelle. In einer abgehenden ALE-Schnittstelle ist das logische Basissystem der Absender abgehender Meldungen und der Empfänger eingehender Meldungen. SAP-Benutzer sind normalerweise am logischen Basissystem/-client angemeldet, wenn sie Änderungen an der Datenbank vornehmen (z.B. Einstellen eines neuen Mitarbeiters, Aktualisieren von Positionsdaten, Entlassen eines Mitarbeiters usw.). Ein logisches System/logischer Client muss auch für den Empfangs-Client definiert sein. Dieses logische System empfängt abgehende Meldungen. Als Meldungstyp zwischen beiden Systemen nutzt der Active Sync-Adapter den Typ HRMD_A. Meldungstypen charakterisieren Daten, die zwischen den Systemen ausgetauscht werden und bezieht sich auf die Struktur dieser Daten. Eine solche Struktur ist auch unter der Bezeichnung „IDoc-Typ“ (z.B. HRMD_A05) bekannt.

Mit den folgenden Schritten können Sie die Konfiguration ausführen, die auf SAP für den Active Sync-Adapter zum Empfang autoritativer Feeds von SAP HR erforderlich ist:

Hinweis Die SAP-Systemparameter sind so zu konfigurieren, dass die ALE-Verarbeitung von IDocs vom Typ HRMD_A möglich ist. Dies ermöglicht den als Messaging bezeichneten Datenaustausch zwischen zwei Anwendungssystemen.

Erstellen eines logischen Systems

Je nach Ihrer aktuellen SAP-Umgebung kann es sein, dass Sie kein logisches System erstellen müssen. Es kann sein, dass Sie ein vorhandenen Datenaustauschmodell nur durch Hinzufügen des Meldungstyps HRMD_A zu einer vorher konfigurierten Modellansicht modifizieren müssen. Sie müssen jedoch unbedingt die Empfehlungen von SAP für logische Systeme und die Konfiguration von ALE-Netzwerken einhalten. In den folgenden Anweisungen wird angenommen, dass Sie neue logische Systeme und eine neue Modellansicht erstellen.

  1. Geben Sie den Transaktionscode SPRO ein und lassen Sie sich dann das Projekt „SAP Reference IMG“ (oder das für Ihre Organisation geltende Projekt) anzeigen.
  2. Je nach der eingesetzten SAP-Version müssen Sie einen der folgenden Schritte ausführen:
    • SAP 4.6: Klicken Sie auf Basis Components > Application Link Enabling (ALE) > Sending and Receiving Systems > Logical Systems > Define Logical System.
    • SAP 4.7: Klicken Sie auf SAP Web Application Server > Application Link Enabling (ALE) > Sending and Receiving Systems > Logical Systems > Define Logical System.
    • SAP 5.0: Klicken Sie auf SAP Netweaver > SAP Web Application Server > IDOC Interface/Application Link Enabling (ALE) > Basic Settings > Logical Systems > Define Logical System.
  3. Klicken Sie auf Edit > New Entries.
  4. Geben Sie einen Namen und eine Beschreibung für das neu zu erstellende logische System ein (IDMGR).
  5. Speichern Sie Ihren Eintrag.

Zuweisen eines Clients zum logischen System

  1. Geben Sie den Transaktionscode SPRO ein und lassen Sie sich dann das Projekt „SAP Reference IMG“ (oder das für Ihre Organisation geltende Projekt) anzeigen.
  2. Je nach der eingesetzten SAP-Version müssen Sie einen der folgenden Schritte ausführen:
    • SAP 4.6: Klicken Sie auf Basis Components > Application Link Enabling (ALE) > Sending and Receiving Systems > Logical Systems > Assign Client to Logical System.
    • SAP 4.7: Klicken Sie auf SAP Web Application Server > Application Link Enabling (ALE) > Sending and Receiving Systems > Logical Systems > Assign Client to Logical System.
    • SAP 5.0: Klicken Sie auf SAP Netweaver > SAP Web Application Server > IDOC Interface/Application Link Enabling (ALE) > Basic Settings > Logical Systems > Assign Client to Logical System.
  3. Wählen Sie den Client aus.
  4. Klicken Sie auf GOTO > Details, um das Dialogfeld „Client Details“ zu öffnen.
  5. Geben Sie in das Feld „Logical System“ das logische System ein, das diesem Client zugewiesen werden soll.
  6. Klicken Sie im Abschnitt „Changes and Transports for Clients“ auf Automatic Recording of Changes.
  7. Speichern Sie Ihren Eintrag.

Erstellen eines Datenautauschmodells

So erstellen Sie ein neues Datenaustaschmodell:

  1. Vergewissern Sie sich, dass Sie am sendenden System/Client angemeldet sind.
  2. Geben Sie den Transaktionscode BD64 ein. Sorgen Sie dafür, dass Sie sich im Änderungsmodus befinden.
  3. Klicken Sie auf Edit > Model View > Create.
  4. Geben Sie den kurzen und den technische Namen der Ansicht ein sowie das Start- und das Enddatum ein, und klicken Sie dann auf Continue.
  5. Wählen Sie die gerade erstellte Ansicht aus und klicken Sie dann auf Add Message Type.
  6. Definieren Sie das sendende System (logische System).
  7. Definieren Sie das empfangende System (den Server).
  8. Klicken Sie im Abschnitt „Protection Client Copier and Comparison Tool“ auf Protection Level: No Restriction.
  9. Definieren Sie den gewünschten Meldungstyp (HRMD_A) und klicken Sie dann auf Continue.
  10. Klicken Sie auf Speichern.

Registrierung des RFC-Servermoduls beim SAP-Gateway

Während der Initialisierung wird der Active Sync-Adapter beim SAP-Gateway registriert. Als ID dient „IDMRFC“. Dieser Wert muss mit dem in der SAP-Anwendung eingestellten Wert übereinstimmen. Sie müssen die SAP-Anwendung so konfigurieren, dass das RFC-Servermodul dafür einen Handle erstellen kann. So registrieren Sie das RFC-Servermodul als RFC-Ziel:

  1. Gehen Sie in der SAP-Anwendung zu Transaktion SM59.
  2. Klappen Sie das Verzeichnis für TCP/IP-Verbindungen auf.
  3. Klicken Sie auf Create (F8).
  4. Geben Sie im Feld „RFC Destination“ den Namen des RFC-Zielsystems ein. (IDMRFC).
  5. Setzen Sie den Verbindungstp auf T (Starten eines externen Programms über TCP/IP).
  6. Geben Sie für das neue RFC-Ziel eine Beschreibung ein und klicken Sie dann auf Speichern.
  7. Klicken Sie auf die Schaltfläche „Registration“ des jeweiligen Aktivierungstyps.
  8. Setzen Sie die Programm-ID. Wir empfehlen, dafür den gleichen Wert wie den für das RFC-Ziel (IDMRFC) zu verwenden. Klicken Sie dann auf „Enter“.
  9. Wenn es sich bei dem betreffenden SAP-System um ein Unicode-System handelt, muss der Port für Unicode konfiguriert sein. Klicken Sie auf die Registerkarte Special Options und suchen Sie den Abschnitt „Character Width In Target System“. Dort gibt es eine Einstellung für Unicode.
  10. Testen Sie mithilfe der oberen Schaltflächen (Test Connection und Unicode Test) die Verbidnung zur Identity Manager-Ressource. Damit der Test erfolgreich verläuft, muss der Adapter bereits laufen.

Erstellen einer Port-Definition

Der Port ist dr Kommunikationskanal, an den IDocs gesendet werden. Ein Port beschreibt die technische Verbindung zwischen dem sendenden und dem empfangenden System Für diesen Anwendungsfall sollten Sie ein RFC-Port konfigurieren. So erstellen Sie eine Port-Definition.

  1. Geben Sie den Transaktionscode WE21 ein.
  2. Wählen Sie „Transactional RFC“ und klicken Sie dann auf das Symbol Erstellen. Geben Sie als RFC-Ziel IDMRFC ein.
  3. Speichern Sie die Änderungen.

Ändern der Port-Definition

Wenn Sie ein Partnerprofil erstellt haben, kann es sein, dass die Port-Definition nicht ordnungsgemäß eingegeben wurde. Damit Ihr System ordnungsgemäß funktioniert, müssen Sie die Port-Definition ändern.

  1. Geben Sie den Transaktionscode WE20 ein.
  2. Wählen Sie Partner Type LS.
  3. Wählen Sie das Empfangspartnerprofil aus.
  4. Wählen Sie Outbound Parameters und klicken Sie dann auf Display.
  5. Wählen Sie den Meldungstyp HRMD_A.
  6. Klicken Sie auf Outbound Options und ändern Sie dann das Empfänger-Port so, dass es den Namen des von Ihnen erstellten RFC-Ports enthält (IDMGR).
  7. Wählen Sie im Ausgabemodus Transfer IDoc Immediately, wenn IDocs unmittelbar nach dem Erstellen gesendet werden sollen.
  8. Wählen Sie im Abschnitt „IDoc Type“ einen Basistyp aus:
    • SAP 4.6 - HRMD_A05
    • SAP 4.7 oder 5.0 - HRMD_A06
  9. Klicken Sie auf Continue/Save.

Skript-JDBC-Adapter

Identity Manager bietet jetzt einen Skript-JDBC-Ressourcenadapter zur Unterstützung der Verwaltung von benutzerkonten in Datenbankscemen und in Datenbanken, auf die mit JDBC zugegriffen werden kann. Dieser Adapter unterstützt auch Active Sync, um Kontenänderungen in der Datenbank abzufragen. Ausführliche Informationen zu diesem Adapter finden Sie im Kapitel Sun Java™ System Identity Manager Resources Reference Addendum. (ID-12506).

Shell-Skript-Adapter

Identity Manager bietet jetzt einen Shell-Skript-Ressourcenadapter zur Unterstützung der Verwaltung von Ressourcen, die durch Shell-Skripte gesteuert werden. Solche Shell-Skripte laufen auf dem System, auf dem die betreffende Ressource installiert ist Diese Adapter ist zur allgemeinen Verwendung bestimmt und aus diesem Grund hochgradig anpassbar.

Siebel CRM-Adapter

Es können jetzt Siebel-Objekte, die eine hierarchische Navigation von Business-Komponenten erfordern, erstellt und aktualisiert werden. Hierbei handelt es sich um eine erweiterte Funktion, die normalerweise nicht in Identity Manager implementiert ist.

Mit der erweiterten Navigationsfunktion können Sie wahlweise die folgenden Informationen angeben, die zum Erstellen und Aktualisieren untergeordneter Business-Komponenten erforderlich sind:

Während Erstellungs- und Aktualisierungsaktionen können erweiterte Navigationsregeln verwendet werden. Diese sind jedoch nicht für andere Aktionsarten einsetzbar.

Führen Sie die folgenden Aufgaben durch, um die erweiterte Navigationsfunktion für den Siebel CRM-Adapter zu implementieren:

Sun Java System Access Manager-Adapter

Installation und Konfiguration von Sun Java System Access Manager (Versionen vor Access Manager 7.0)

Die Schritte 4 und 8 in “Installing and Configuring Sun Java System Access Manager” müssen wie folgt lauten (ID-13087):

  1. Erstellen Sie ein Verzeichnis, in das Dateien vom Sun Java System Access Manager-Server kopiert werden können. Hier wird dieses Verzeichnis CfgDir genannt. Die Installationsverzeichnis von Sun Java System Access Manager wird AccessMgrHome genannt.
  2. Kopieren Sie die folgenden von AccessMgrHome nach CfgDir. Die Verzeichnisstruktur darf nicht kopiert werden.
    • lib/*.*
    • locale/*.properties
    • config/serverconfig.xml
    • config/SSOConfig.properties (Identity Server 2004Q2 und neuer)
    • config/ums/ums.xml
  3. In UNIX kann es erforderlich sein, dass die Zugriffsrechte der JAR-Dateien im Verzeichnis CfgDir geändert werden müssen, um universellen Lesezugriff zu ermöglichen. Führen Sie den folgenden Befehl aus, um Zugriffsrechte zu ändern:

    4. chmod a+r CfgDir/*.jar

  4. Stellen Sie dem JAVA-Classpath Folgendes voran:
    • Windows: CfgDir;CfgDir/am_sdk.jar;CfgDir/am_services.jar;
      CfgDir/am_logging.jar
    • UNIX: CfgDir:CfgDir/am_sdk.jar:CfgDir/am_services.jar:
      CfgDir/am_logging.jar
  5. Wenn Sie Version 6.0 verwenden, muss die Java-Systemeigenschaft auf das Verzeichnis CfgDir zeigen. Verwenden Sie einen Befehl, der dem folgenden ähnelt:

    6. java -Dcom.iplanet.coreservices.configpath=CfgDir

  6. Wenn Sie Version 6.1 oder neuer verwenden, müssen Sie zur Datei CfgDir/AMConfig.properties folgende Zeilen einfügen bzw. diese entsprechend abändern:

    7. com.iplanet.services.configpath=CfgDircom.iplanet.security.
    SecureRandomFactoryImpl=com.iplanet.am.util.SecureRandomFactoryImpl

    com.iplanet.security.SSLSocketFactoryImpl=netscape.ldap.
    factory.JSSESocketFactory

    com.iplanet.security.encryptor=com.iplanet.services.util.
    JCEEncryption

    Mit der ersten Zeile wird der configpath gesetzt. Die letzten drei Zeilen ändern Sicherheitseinstellungen.

  7. Kopieren Sie die Dateien CfgDir/am_*.jar nach $WSHOME/WEB-INF/lib. Wenn Sie Version 6.0 verwenden, müssen Sie auch die Datei jss311.jar in das Verzeichnis $WSHOME/WEB-INF/lib kopieren.
  8. Wenn Identity Manager unter Windows läuft udn Sie Identity Server 6.0 verwenden müssen Sie IdServer\lib\jss\*.dll nach CfgDir kopieren und CfgDir zu Ihrem Systempfad hinzufügen.

    9. Hinweis In einer Umgebung, in der Identity Manager auf einem anderen System als Sun Java System Access Manager installiert ist, müssen Sie die folgenden Fehlerbedingungen überprüfen. Wenn beim Herstellen einer Verbindung zur Sun Java System Access Manager-Ressource nach mehreren Versuchen java.lang.ExceptionInInitializerError und danach java.lang.NoClassDefFoundError zurückgegeben wird, sollten Sie nach falschen oder fehlenden Konfigurationsdaten suchen.

    Darüber hinaus sollten Sie die JAR-Datei auf die Klasse, die von java.lang.NoClassDefFoundError ausgegeben wird, überprüfen. Stellen Sie dem Classpath der JAR-Datei, die die Klasse enthält, dem JAVA-Classpath auf dem Anwendungsserver voran.

Installation und Konfiguration von Sun Java System Access Manager (Versionen 7.0 und höher im Legacy-Modus)

Mit den folgenden Schritten installieren und konfigurieren Sie den Ressourcenadapter für den Legacy-Modus.

  1. Folgen Sie den Anweisungen im Sun Java™ System Access Manager 7 2005Q4 Developer's Guide, um das Client-SDK aus der Sun Access Manager-Installation heraus zu erstellen.
  2. Extrahieren Sie aus der generierten war-Datei AMConfig.properties und die in amclientsdk.jar enthaltenen Dateien.
  3. Legen Sie ein Kopie von AMConfig.properties im folgenden Verzeichnis ab:

    4. InstallDir/WEB-INF/classes

  4. Legen Sie ein Kopie von amclientsdk.jar im folgenden Verzeichnis ab:

    5. InstallDir/WEB-INF/lib

Sun Java System Communications Services-Adapter

Top Secret-Adapter

In Identity Manager Resources Reference ist fälschlicherweise angegeben, dass der Top Secret-Adapter das Umbenennen von Konten unterstützt. Der Adapter unterstützt das Umbenennen von Top Secret-Konten nicht.

Kapitel 3: Aktionen zu Ressourcen hinzufügen

Im Abschnitt “Windows NT Examples” sind die Field-Namen für alle drei Beispiele falsch definiert. Ersetzen Sie Instanzen von accounts[NT].attributes. durch resourceAccounts.currentResourceAccounts[NT].attributes. Beispielsweise sollte in Abschnitt „Example 3: Action that Follows the Deletion of a User”, Schritt 4, der Field-Name wie folgt definiert sein:

<Field name= "resourceAccounts.currentResourceAccounts[NT].attributes.delete after action">

Identity Manager Tuning, Troubleshooting, and Error Messages

Zusätzliche Informationen

Korrekturen

Da Sie JDK 1.4.2 für diese Version installieren müssen, gilt die Anweisung zum Entfernen der Cryptix-JAR-Dateien (cryptix-jceapi.jar und cryptix-jce-provider.jar) im Verzeichnis idm\WEB-INF\lib in Kapitel 1: Performance Tuning, Optimizing the J2EE Environment nicht mehr (es sei denn, Sie rüsten eine frühere Version von Identity Manager auf).

Identity Manager Deployment Tools

Korrekturen

Kapitel 7: Using Identity Manager Web Services

Das launchProcess-Beispiel im Abschnitt „ExtendedRequest Examples“ wurde wie folgt berichtigt (ID-13044):

launchProcess

Das folgende Beispiel zeigt ein typisches Format für eine launchProcess-Anforderung.
(Ansicht — Prozessansicht).

ExtendedRequest req = new ExtendedRequest();
req.setOperationIdentifier("launchProcess");
req.setAsynchronous(false);
req.setAttribute("process", "Custom Process Name");
req.setAttribute("taskName", "Custom Process Display Name");
SpmlResponse res = client.request(req);

Arbeiten mit HelpTool

Identity Manager 6.0 enthält eine neue Funktion zum Durchsuchen der Onlinehilfe und der Hilfedateien im HTML-Format. Das Suchmodul basiert auf der SunLabs Nova-Technologie.

Die Verwendung des Nova-Suchmoduls verläuft in zwei Phasen: Indizierung und Abruf. Während der Indizierung werden die Eingabedokumente analysiert und ein Index für die Abrufphase erstellt. Während des Abrufs können „Passagen“ abgerufen werden, die aus dem Kontext bestehen, in dem die Abfragebegriffe gefunden wurden. Der Abrufprozess für die Passagen benötigt die ursprünglichen HTML-Dateien. Diese Dateien müssen sich deshalb in einem Speicherort des Dateisystems befinden, auf den das Suchmodul Zugriff hat.

helpTool ist ein Java-Programm, das zwei grundlegende Funktionen ausführt:

Sie führen helpTool folgendermaßen über die Befehlszeile aus:

$ java -jar helpTool.jar

Syntax: HelpTool

-d Zielverzeichnis

-h Diese Hilfeinformationen

-i Verzeichnis oder JAR-Datei mit Eingabedateien, keine Platzhalter

-n Verzeichnis für den Nova-Index

-o Name der Ausgabedatei

-p Eigenschaftendatei für die Indizierung

Index der Onlinehilfe neu erstellen

Die HTML-Dateien für die Onlinehilfe sind in einer JAR-Datei als Paket enthalten. Sie müssen diese Dateien in ein Verzeichnis für das Suchmodul extrahieren. Gehen Sie folgendermaßen vor:

  1. Entpacken Sie das helpTool-Paket in ein temporäres Verzeichnis. (Details werden später angegeben)

    2. In diesem Beispiel werden die Dateien in das Verzeichnis /tmp/helpTool extrahiert.

  2. Geben Sie in einer UNIX-Shell oder in einem Windows-Befehlsfenster das Verzeichnis an, in dem die Identity Manager-Anwendung Ihrem Webcontainer bereitgestellt wurde.

    3. Es kann beispielsweise folgendes Verzeichnis für Sun Java System Application Server verwendet werden:

    /opt/SUNWappserver/domains/domain1/applications/j2ee-modules/idm

  3. Verwenden Sie help/ als aktuelles Arbeitsverzeichnis.

    4. Hinweis Führen Sie helpTool unbedingt von diesem Verzeichnis aus, weil andernfalls der Index nicht korrekt erstellt wird. Entfernen Sie außerdem die alten Indexdateien, indem Sie den Inhalt des Verzeichnisses index/help/ löschen.

  4. Erfassen Sie folgende Informationen für Ihre Befehlszeilenargumente:

Zielverzeichnis:

html/help/en_US

Hinweis: Verwenden Sie die für Ihre Installation geeignete Gebietsschemazeichenfolge.

Eingabedateien:

../WEB-INF/lib/idm.jar

Nova-Indexverzeichnis:

index/help

Name der Ausgabedatei:

index_files_help.txt

Hinweis: Dieser Dateiname ist nicht wichtig, das Tool wird jedoch beendet, falls diese Datei bereits vorhanden ist.

Eigenschaftendatei für die Indizierung:

index/index.properties

  1. Führen Sie folgenden Befehl aus:

    2. $ java -jar /tmp/helpTool/helpTool.jar -d html/help/en_US -i ../
    WEB-INF/lib/idm.jar -n index/help -o help_files_help.txt -p index/index.properties

    Extracted 475 files.

    [15/Dec/2005:13:11:38] PM Init index/help AWord 1085803878

    [15/Dec/2005:13:11:38] PM Making meta file: index/help/MF: 0

    [15/Dec/2005:13:11:38] PM Created active file: index/help/AL

    [15/Dec/2005:13:11:40] MP Partition: 1, 475 documents, 5496 terms.

    [15/Dec/2005:13:11:40] MP Finished dumping: 1 index/help 0.266

    [15/Dec/2005:13:11:40] IS 475 documents, 6,56 MB, 2,11 s, 11166,66 MB/h

    [15/Dec/2005:13:11:40] PM Waiting for housekeeper to finish

    [15/Dec/2005:13:11:41] PM Shutdown index/help AWord 1085803878

Dokumentationsindex neu erstellen

Gehen Sie folgendermaßen vor, um den Dokumentationsindex neu zu erstellen:

  1. Entpacken Sie das helpTool-Paket in ein temporäres Verzeichnis. (Details werden später angegeben)

    2. In diesem Beispiel werden die Dateien in das Verzeichnis /tmp/helpTool extrahiert.

  2. Geben Sie in einer UNIX-Shell oder in einem Windows-Befehlsfenster das Verzeichnis an, in dem die Identity Manager-Anwendung Ihrem Webcontainer bereitgestellt wurde.

    3. Es kann beispielsweise folgendes Verzeichnis für Sun Java System Application Server verwendet werden:

    /opt/SUNWappserver/domains/domain1/applications/j2ee-modules/idm

  3. Verwenden Sie help/ als aktuelles Arbeitsverzeichnis.

    4. Hinweis Führen Sie helpTool unbedingt von diesem Verzeichnis aus, weil andernfalls der Index nicht korrekt erstellt wird. Entfernen Sie außerdem die alten Indexdateien, indem Sie den Inhalt des Verzeichnisses index/docs/ löschen.

  4. Erfassen Sie folgende Informationen für Ihre Befehlszeilenargumente:

Zielverzeichnis:

html/docs

Eingabedateien:

../doc/HTML/en_US

Hinweis: Das Tool kopiert das Verzeichnis en_US/ und dessen Unterverzeichnisse in dieses Ziel.

Nova-Indexverzeichnis:

index/docs

Name der Ausgabedatei:

index_files_docs.txt

Hinweis: Dieser Dateiname ist nicht wichtig, das Tool wird jedoch beendet, falls diese Datei bereits vorhanden ist.

Eigenschaftendatei für die Indizierung:

index/index.properties

  1. Führen Sie folgenden Befehl aus:

    2. $ java -jar /tmp/helpTool/helpTool.jar -d html/docs -i ../doc/HTML/en_US -n index/docs -o help_files_docs.txt -p index/index.properties

    Copied 84 files.

    Copied 105 files.

    Copied 1 files.

    Copied 15 files.

    Copied 1 files.

    Copied 58 files.

    Copied 134 files.

    Copied 156 files.

    Copied 116 files.

    Copied 136 files.

    Copied 21 files.

    Copied 37 files.

    Copied 1 files.

    Copied 13 files.

    Copied 2 files.

    Copied 19 files.

    Copied 20 files.

    Copied 52 files.

    Copied 3 files.

    Copied 14 files.

    Copied 3 files.

    Copied 3 files.

    Copied 608 files.

    [15/Dec/2005:13:24:25] PM Init index/docs AWord 1252155067

    [15/Dec/2005:13:24:25] PM Making meta file: index/docs/MF: 0

    [15/Dec/2005:13:24:25] PM Created active file: index/docs/AL

    [15/Dec/2005:13:24:28] MP Partition: 1, 192 documents, 38488 terms.

    [15/Dec/2005:13:24:29] MP Finished dumping: 1 index/docs 0.617

    [15/Dec/2005:13:24:29] IS 192 documents, 14.70 MB, 3.81 s, 13900.78 MB/h

    [15/Dec/2005:13:24:29] PM Waiting for housekeeper to finish

    [15/Dec/2005:13:24:30] PM Shutdown index/docs AWord 1252155067



Zurück      Inhalt      Weiter     

Copyright 2008 Sun Microsystems, Inc. Alle Rechte vorbehalten.