Sun Java System Identity Installation Pack 2005Q4M3 SP4 Versionshinweise |
Frühere Funktionen und Fehlerkorrekturen
Frühere FunktionenIn diesem Abschnitt werden Funktionen beschrieben, die mit früheren Service-Packs für Identity Installation Pack 2005Q4M3 eingeführt wurden.
Installation und Aktualisierung
- Wenn Sie SQL Server 2000 SP4 als Repository mit dem JDBC-Treiber von Microsoft verwenden, müssen Sie mit dem SQL Server 2000-Treiber für den for JDBC SP3-Treiber arbeiten. (ID-9917).
- Das Systemattribut waveset.serverId wurde hinzugefügt. Mit diesem Attribut können Sie eindeutige Servernamen setzen, wenn Ihr Deployment mehrere Identity Manager-Instanzen enthält, die auf ein Repository auf einem einzigen physischen Server zeigen. (ID-11578).
- Identity Manager unterstützt jetzt als Repository Oracle Database 10g Release2®. (ID-12908).
- Das Installationsprogramm unterstützt jetzt die Aufrüstung von Installationen, die das Konfigurator-Standardkonto umbenannt, gelöscht oder deaktiviert haben. Das Installationsprogramm fordert Sie zur Eingabe des korrekten Benutzernamens und des Passworts auf, mit deren Hilfe die Datei update.xml während der Nachverarbeitung des Aufrüstungsvorgangs importiert werden kann. Wenn der Benutzername oder das Passwort falsch eingegeben wurden, haben der Benutzer maximal drei Versuche, das richtige Passwort einzugeben. Der Fehler wird im Textfeld dahinter angezeigt. (ID-13006).
Bei der manuellen Installation müssen Sie die Flags -U <Benutzername> -P <Passwort>angeben, damit die Berechtigungsnachweise an die Prozedur UpgradePostProcess übergeben werden können.
- Identity Manager wird auf Rechnern ohne Grafikkarte ordnungsgemäß installiert. (ID-14258).
Administratorbenutzeroberfläche und Benutzeroberflächen
- Die Fenster Konfigurieren > Server > Servereinstellungen bearbeiten/Standardservereinstellungen bearbeiten enthalten jetzt die Registerkarte „E-Mail-Vorlagen“. Diese Registerkarte enthält die standardmäßige bzw. serverweise einzustellende SMTP-Hostvariable, die alle E-Mail-Vorlagen mit der Variable $(smtpHost) standardmäßig verwenden. Diese Registerkarte verwendet darüber hinaus die Serverkonfigurationsvariable, wenn das Feld „SMTP-Host“ leer ist. (ID-3574).
- Wenn Sie im Bildschirm „Benutzer suchen“ auf „Abfrage zurücksetzen“ klicken, werden die Namensliste und die Ergenisbeschränkung jetzt auf den Anfangszustand zurückgesetzt. (ID-8961)
- Die Seiten „Benutzerpasswort ändern“ und „Benutzerpasswort zurücksetzen“ in der Administratorbenutzeroberfläche von Identity Manager enthalten jetzt Menüoptionen für Suchtypen. Dazu gehören beginnt mit, enthält, und ist als Operatoren, um nach Benutzern zu suchen, deren Passworte geändert oder zurückgesetzt werden müssen. (ID-8965).
- Die Debug-Seite bietet jetzt die Optionen export default und export all. Diese Optionen funktionieren ähnlich wie die Konsolenoptionen. Der einzige Unterschied besteht darin, dass bei den Optionen auf der Debug-Seite der Name der exportierten Datei nicht ausgewählt werden kann. Stattdessen erstellt Identity Manager eine Datei namens export<date>.xml, die Sie von der Debug-Seite aus speichern können. (ID-9270).
- Es wird jetzt der Import von E-Mail-Vorlagen mit „Kopie an“-Feldern unterstützt. (ID-9768).
- Auf der Seite „Identity-Attribute“ gibt es jetzt einen Passwortbereich, in dem der Status der Passworterstellung in Bezug auf Identity-Attribute beschrieben wird. Sie können Identity Manager so konfigurieren, dass Passwörter neuen Benutzern aufgrund eines Standardwertes (z.B. einer Regel) oder einer Identity System-Kontorichtlinie, die Passwörter erzeugt, zugewiesen werden. (ID-10274, 12560).
- Es wurden Fehlermeldungen im Zusammenhang mit dem Bearbeiten von Richtlinien überarbeitet. (ID-12187).
- Identity Manager enthält jetzt das Standardattribut „Manager“, das eine Manager-Mitarbeiter-Beziehung unterstützt. Diese Information wird im Identity Manager-Benutzerobjekt gespeichert. Weitere Informationen finden Sie im Abschnitt Erweiterungen und Korrekturen der Dokumentation dieser Versionshinweise. (ID-12416).
- Identity-Attribute können jetzt aufgrund vorheriger Änderungen an Ressourcen (Berabeitungs- oder Erstellungsoperationen) konfiguriert werden. (ID-12678) Wenn sich Ressourcen seit der letzten Speicherung von Identity-Attributen in der Administratorbenutzeroberfläche von Identity Manager geändert haben, wird auf der Seite „Identity-Attribute“ die folgende Meldung angezeigt: „Seit dem letzten Speichern der Identity-Attribute wurde mindestens eine Ressource geändert. Wenn diese Änderungen die Identity-Attribute betreffen, sollten sie auf der Seite „Identity-Attribute aus Ressourcenänderungen konfigurieren“ aufgenommen werden. Identity Manager enthält einen Verweis auf die Seite „Identity-Attribute konfigurieren“ (auf der Seite „Ressourcen ändern“), mit dessen Hilfe Sie Attribute aus den Schemazuordnungen geänderter Ressourcen auswählen können, um sie als Quelle bzw. Ziel für Identity-Attribute zu verwenden.
Nach dem Speichern einer Ressource im Ressourcenassistent oder auf der Seite „Kontoattribute“ zeigt Identity Manager eine Seite an, in der Sie gefragt werden, ob Sie Identity-Attribute aufgrund kürzlich vorgenommener Ressourcenänderungen konfigurieren möchten. Klicken Sie auf Ja, um zur Seite „Identity-Attribute aus Ressourcenänderungen konfigurieren“ zu gehen. Klicken Sie auf Nein, um zur Ressourcenliste zurückzukehren.
Klicken Sie auf Diese Frage nicht mehr wiederholen, um diese Seite zu deaktivieren. Dadurch wird diese Seite durch Setzen der Eigenschaft idm_showMetaViewFromResourceChangesPage des angemeldeten Benutzers deaktiviert.
- MultiSelect-Objekte sortieren jetzt die verfügbaren Werte, wenn die Eigenschaften noApplet=true und sorted=true gesetzt sind. (ID-12823).
- Änderungen an Konfigurationsobjekten, die eine statische Liste enthalten, wurden von der Kontostrukturtabelle nicht erkannt. So wurden beispielsweise die von einem Administrator kontrollierten Organisationen von einer Regel ermittelt, die eine statische Liste von einem Konfigurationsobjekt abrief. Zuvor musste der Server neu gestartet werden, damit Änderungen am Konfigurationsobjekt erkannt werden konnten. Jetzt enthält die Strukturtabelle Änderungen an Konfigurationsobjekten, wenn sich Benutzer aus der aktuellen Sitzung ab- und dann wieder anmelden. (ID-14442).
- Der DatePicker kann jetzt einen Datumszeitraum besitzen, mit dessen Hilfe nur bestimmte Datumsangaben aus dem Kalender ausgewählt werden können. (ID-10100)
- Die Vorlagen „Serverkonfiguration“ und „E-Mail ändern“ wurden geändert, damit Administratoren entscheiden können, ob auf dem SMTP-Server SSL oder Authentifizierung durchgeführt werden sollte. (ID-12465).
- Die Seite continueLogin.jsp zeigt Meldungen jetzt ordnungsgemäß an. (ID-13193).
- Die folenden Änderungen wurden an Identity Manager 7.1 Identity Manager Integrated Development Environment vorgenommen, sodass nun Unterstützung für Identity Manager Version 2005Q4M3 SP3 besteht: (ID-14089, 15211).
- Der Identity Manager-Debugger ist jetzt standardmäßig aktiviert.
Bei Bereitstellung für die Produktion sollten Sie die Systemkonfigurationseigenschaft auf serverSettings.default.debugger.enabled=false setzen.
- Der Identity Manager-Debugger unterstützt jetzt das Setzen von Haltepunkten in Regelbibliotheken.
- Für die Passwortsynchronisation im Direktmodus muss SimpleRpcHandler in der Datei web.xml konfiguriert sein. SimpleRpcHandler stört bestimmte RemoteSession-Aufrufe. Wenn Sie die Passwortsynchronisation nicht im Direktmodus verwenden und Probleme mit RemoteSession-Aufrufen feststellen, können Sie die SimpleRpcHandler-Konfiguration aus dem rpcrouter2-Servlet entfernen. Dadurch beheben Sie die Probleme mit RemoteSession.
Ändern Sie diese Einträge in web.xml:
<init-param>
<param-name>handlers</param-name>
<param- value>com.waveset.rpc.SimpleRpcHandler,com.waveset.rpc.Passwor dSyncHandler</param-value>
</init-param>
in Folgendes ab:
<init-param>
<param-name>handlers</param-name>
<param-value>com.waveset.rpc.PasswordSyncHandler</param-value>
</init-param>
Wenn Sie RemoteSession und die Passwortsynchronisation im Direktmodus verwenden möchten, konfigurieren Sie ein separates Servlet für die Behandlung von RemoteSession-Aufrufen.
- Es wurde ein Problem behoben, bei dem ein Organisationsobjekt nicht freigegeben wurde, wenn ein Benutzer mit unzureichenden Zugriffsrechten versuchte, dieses zu löschen. (ID-14942).
Formulare
Gateway
HTML Display Components
- Die Anzeigeklasse „DatePicker“ besitzt die neue Eigenschaft strict. Wenn diese Eigenschaft gesetzt ist, werden manuell eingegebene Daten überprüft. (ID-11037).
- Sie können die erzwungene Erstellung des Endbenutzermenüs jetzt deaktivieren, indem Sie die Eigenschaft doNotRegenerateEndUserMenu im Formular „Endbenutzermenü“ setzen. (ID-11327).
- Die Komponente SortingTable unterstützt jetzt die Eigenschaften align, valign und width der untergeordneten Komponenten, die bei der HTML-Ausgabe die jeweilige Tabelle enthalten. Zur Anzeige von Fehlermeldungen, Warnhinweisen und Informationsmeldungen in Formularen steht darüber hinaus die InlineAlert-Komponente zur Verfügung. (ID-12560).
- Die Strukturtabellenkomponente unterstützt jetzt veränderliche Tabellenspaltenbreiten. Mit CSS können Sie die Spaltenbreiten der Benutzerliste und der Ressourcenlistentabellen auf einen absoluten Pixelwert oder einen Prozentsatz einstellen. Sie können darüber hinaus Tabellenspaltenbreiten mit der Maus durch Klicken und Ziehen der Begrenzung der entsprechenden Spaltenüberschrift ändern. (ID-11474).
Hinweis In Firefox/Mozilla und anderen Gecko-basierten Browsern kann die Größenänderung von Spalten dazu führen, dass Text markiert wird. Dieses Problem tritt nicht mit Internet Explorer oder Safari auf, da das DHTML-Verhalten beim Ereignis „onselectstart“ unterdrückt werden kann.
Identity Auditor
- Überprüfungsrichtlinien können jetzt so konfiguriert werden, dass nur eine beschränkte Anzahl an Ressourcen abgefragt wird. (ID-9127).
- Die Ressourcen „Datenbanktabelle“ und „Microsoft Identity Information Server“ nutzen jetzt die für diese beiden Ressourcen angegebenen benutzerspezifischen Formulare.(ID-10302)
- Der Titel von Benutzerzugriffsberichten wird jetzt ordnungsgemäß angezeigt. (ID-11538).
- Die Aufgabe „Zugriffsabfrage“ funktioniert jetzt mit dynamischen Organisationen. (ID-12437).
- Die Benutzeransichtsoption „CallViewValidators (UserViewConstants.OP_CALL_VIEW_VALIDATORS)“ kann auf die Strings „true“ oder „false“ gesetzt werden, um während der Bereitstellung das Prüfen von Überprüfungsrichtlinien zu aktivieren/deaktivieren. (ID-12757).
- Bei einer Aufrüstung wird die E-Mail-Vorlage „Zugriffsprüfungshinweis“ nicht mehr überschrieben (ID-13216)
Identity Manager SPE
Mit Identity Manager SPE 2005Q4M3 SP1 wurden die folgenden neuen Funktionen eingeführt. Ausführliche Informationen zu diesen Funktionen finden Sie in den Dokumenten Identity Manager Service Provider Edition Administration Addendum und Identity Manager SPE Deployment.
Erweiterte Endbenutzerseiten
Es stehen jetzt erweiterte Endbenutzerseiten zur Verfügung. Die Beispielseiten enthalten die folgenden Funktionen:
- An- und Abmeldung mit Authentifizierung mittels geheimer Fragen
- Registrierung und Einschreibung
- Ändern von Benutzernamen und Passwörtern
- Geheime Authentifizierungfragen und Bearbeiten von Benachrichtigungsadressen
- Behandlung vergessener Benutzernamen und Passwörter
- Benachrichtigung per E-Mail
- Überprüfung
Diese Seiten können für Ihr spezielles Deployment angepasst werden. Sie können Folgendes anpassen:
Richtlinien zu Passwörternund Konto-IDs
Für Identity Manager SPERessourcenkonten existieren jetzt Richtlinien zu Konto-ID und Passwörtern. Diese Richtlinien werden mit der gleichen Richtlinieninfrastruktur wie bei Identity Manager implementiert. (ID-12556).
Gleichzeitiges Ausführen von Active Sync and Identity Manager SPE Sync
Active Sync- und SPE-Synchronisierungen sind jetzt auf dem gleichen Identity Manager-Server ausführbar, dürfen jedoch nicht auf der gleichen Ressource ausgeführt werden. (ID-12178).
Getrennte Benutzer- und Konfigurationsverzeichnisse für LDAP
Benutzer- und Konfigurationsinformation können jetzt in jeweils eigenen LDAP-Instanzen gespeichert werden. Diese Instanzen werden während der Anfangskonfiguration ausgewählt. (ID-12548).
Integration mit Access Manager
Sie können zur Authentifizierung auf Endbenutzerseiten von Identity Manager SPE jetzt Sun Java System Access Manager 7 2005Q4 verwenden. Access Manager stellt sicher, dass nur authentifizierte Benutzer Zugriff auf die Endbenutzerseiten haben.
Sonstige Korrekturen
- Identity Manager SPE setzt jetzt die Transaktionsverabeitung fort, wenn ein Dienst abnormal beendet wird, z.B. wenn der Anwendungsserver mit einem „Out-of-memory“-Fehler (nicht genügend Speicher) abbricht. (ID-14579).
- Identity Manager SPE-Transaktionen unterstützen jetzt konfigurierbare Konsistenzebenen zur Benutzeraktualisierung. Vorhandene Transaktionsdatenbanken müssen um eine zusätzliche Spalte (userId VARCHAR(N)) erweitert werden, wobei N groß genug sein muss, um die erwartete Maximallänge eines Identity Manager SPE Benutzer-DNs plus zusätzlich 8 Zeichen enthalten zu können. Diese Datenbankänderung wird beim Ausführen der Aufrüstungsskripten nicht automatisch vorgenommen. (ID-13830).
Lokalisierung
Protokollierung
- Active Sync-Ereignisse werden jetzt im Systemprotokoll aufgezeichnet. (ID-12446).
- Das Ändern der Authentifizierungsfragen von Benutzern wird jetzt in den Überwachungsprotokollen aufgezeichnet. (ID-13082).
- Direkte und indirekte Methodenaufrufe können jetzt verfolgt werden. (ID-13436) Das ist dann nützlich, wenn Fehler gesucht werden, die auf einer Ebene unter einer bestimmten Eintrittsmethode auftreten. Zum Aktivieren dieser Funktion müssen Sie die Verfolgungsebene für einen Gültigkeitsbereich mithilfe des subcalls-Bezeichners setzen (siehe folgendes Beispiel):
trace 4,subcalls=2
com.waveset.recon.ReconTask$WorkerThread#reconcileAccountDies verfolgt die Methode reconcileAccount() auf Ebene 4 und alle Unteraufrufe auf Ebene 2.
- Im Planer auftretende Fehler werden jetzt im Systemprotokoll aufgezeichnet und nicht mehr im TaskSchedule-Objekt gespeichert. (ID-14261).
Abstimmung
- Die Aufgabendefinition „Benachrichtigung über das Abstimmungsende“ wird erfolgreich ausgeführt, wenn sie als „Nachabstimmungs-Workflow“ angegeben wird (ID-9259)
- Wenn eine große Anzahl an Account-Objekten existiert (diese werden im Ergebnis von Abstimmungen und Bereitstellungen erstellt), kann die Leistung bei Abstimmungen und Bereitstellungen drastisch abnehmen.
Um dies zu beheben, sollte für die Spalte „name“ der Tabelle „account“ im Repository ein Index erstellt werden. Einige Skripts, die dazu dienen, befinden sich im Beispielverzeichnis. account_index.sqlserver ist für Microsoft SQL Server, account_index.sql für alle anderen Datenbanken bestimmt. (ID-14478).
Berichte
- Identity Manager erstellt jetzt beim Erstellen und Ändern von Fähigkeiten Überprüfungsereignisse. (ID-9734).
- Identity Manager bietet jetzt im Feld Wählen Sie die Identity Manager -Attribute aus, die für die Benutzer angezeigt werden sollen eine neue Rollenoption. Durch Auswahl dieser Option für neue bzw. vorhandene Berichte wird im betreffenden Bericht eine kommaseparierte Liste mit Rollen angezeigt. (ID-9777).
- Sie können jetzt eine Liste mit Attributen angeben, die in CSV- und PDF-Berichten in einer eigenen Spalte angezeigt werden soll. Wenn Sie keine Liste angeben, werden alle Attribute in einer einzelnen Spalte namens „Überwachbare Attribute“ angezeigt. (ID-10468).
- Der Gültigkeitsbereich der folgenden Berichtstypen wird standardmäßig auf die vom angemeldeten Administrator kontrollierten Organisationen abgestimmt, es sei denn, es wurden explizit eine oder mehrere Organisationen ausgewählt, für die der betreffende Bericht gelten soll: (ID-12116).
- Zwei neue Berichte unterstützen die integrierten Manager-Mitarbeiter-Beziehungen: „Eigene direkte Berichte - Zusammenfassung“, „My Direct Employee Summary“, „My Direct and Indirect Employee Summary“ und „My Direct Reports Individual“. (ID-12416, ID-12689)
- Der Ressourcenbenutzerbericht erzeugt CSV- und PDF-Dateien jetzt ordnungsgemäß. (ID12509, 13701)
- Bei der Erstellung, Änderung und Löschung von Admin-Rollen wird nun Überwachungsprotokollierung unterstützt. (ID-12514).
- Benutzerberichte enthalten jetzt ein Suchattribut, damit Berichte, die auf dem Manager eines Benutzers basieren, leichter ausgeführt werden können. (ID-12689).
- In Benutzerberichten erscheint die Konto-ID einer Ressource für alle Konten der Ressource in einer Liste, deren Einträge durch Semikolon getrennt sind.(ID-12820) Indirekt über eine Rolle oder Ressourcengruppe zugewiesene Konten und Ressourcen sind ebenfalls aufgeführt. Wenn nur ein Ressourcenkonto vorhanden ist, wird die Konto-ID nur angezeigt, wenn sie nicht gleich der Konto-ID von Identity Manager ist.
- Spaltentitel werden in PDF-Berichten jetzt ordnungsgemäß angezeigt. (ID-12794).
- Die Generierung zu langer TaskTemplate-Namen (d.h. länger als MAX_NAME_LENGTH) wurde behoben. (ID-13790).
Repository
- Identity Manager unterstützt jetzt als Repository Oracle Database 10g Release2®. (ID-12908).
- SQL Server 2005 wird nun als Repository unterstützt. (ID-14755) Gehen Sie wie folgt vor, um diese Version von SQL Server zu verwenden.
- Laden Sie den JDBC-Treiber für SQLServer 2005 (Version 1.2) von der Microsoft-Website herunter.
- Archivieren Sie die vorherige Version des Treibers, die sich im Verzeichnis $WSHOME/WEB-INF/lib befindet. Ersetzen Sie dann die alte Version durch den Treiber sqljdbc.jar in demselben Verzeichnis.
- Öffnen Sie das Datenbankerstellungsskript. Es kann günstig sein, beim Erstellen der Datenbank folgende Zeilen auszukommentieren:
ALTER DATABASE waveset SET READ_COMMITTED_SNAPSHOT ON
GO
Informationen zu diesen Zeichenketten entnehmen Sie bitte der Dokumentation zu SQL Server 2005.
- Zum Setzen des Repositorys mit den Befehlen lh setup oder lh setRepro verwenden Sie folgende Einstellungen:
type = SQLServer
jdbc driver = com.microsoft.sqlserver.jdbc.SQLServerDriver
url = jdbc:sqlserver://Rechnername:Port;DatabaseName=waveset
Rechnernamen und Port müssen Sie in der URL durch die gültigen Einstellungen ersetzen.
- Das IDM-Repository wird jetzt schneller initialisiert. (ID-14937).
Ressourcen
Neue Ressourcen
Seit Identity Manager 2005Q4M3 werden die folgenden neuen Ressourcen unterstützt: Weitere Informationen finden Sie im Identity Manager Resources Reference Addendum.
Allgemein
- Identity Manager unterstützt jetzt das Speichern binärer Kontoattribute. Folgende Adapter unterstützen diese Funktion: (ID-8851, 12665).
- Active Directory
- LDAP
- Flat File Active Sync
- Datenbanktabelle
- Skript-JDBC
- Sun Java System Communications Services
Active Directory unterstützt jetzt die Binärattribute thumbnailPhoto (Windows 2000 Server und neuer) und jpegPhoto (Windows 2003). Die anderen Adapter unterstützen jetzt Attribute wie jpegPhoto, audio und userCertificate.
Identity Manager löst eine Ausnahme aus, wenn binäre oder komplexe Attribute an Ressourcen gesendet werden, die Binärattribute nicht unterstützen.
Binärattribute sollten so klein wie möglich gehalten werden. Wenn Sie ein Binärattribut laden, das zu groß ist (z.B. 200 KB), kann es sein, dass eine Fehlermeldung auftritt, die Sie darauf hinweist, dass die maximal zulässige Datenpaketgröße überschritten wurde Wenden Sie sich an den Kundendienst, wenn Sie größere Attribute verwalten müssen.
- Ressourcenagent-Adaptern besitzen jetzt das optionale Ressourcenattribut, das das Halten von Verbindungen bei Blockoperationen unterstützt: RA_HANGTIMEOUT. Dieses Attribut gibt die Zeitdauer (in s) an, bevor eine Anforderung an das Gateway außerhalb der Vorgabezeit liegt und als aufgehangen interpretiert wird. Der Standardwert ist 0, was bedeutet, dass nicht auf eine aufgehangene Verbindung geprüft wird. (ID-12455).
- Änderungen an AttrParse-Objekten werden jetzt wirksam, ohne dass Identity Manager neu gestartet werden muss. (ID-12516).
- An AttrParse wurde Leistungsverbesserungen vorgenommen. Der normale Parserprozess löst nicht mehr für jedes Zeichen im Puffer einen Ausnahmefehler aus (und fängt diesen auch nicht mehr ab). (ID-13384).
- Identity Manager unterstützt jetzt Verbindungen zu Mainframe-Ressourcen über die Emulator-Klassenbibliothek von Attachmate Reflection for the Web. Informationen zur Einrichtung dieses Leistungsmerkmals finden Sie im Abschnitt Erweiterungen und Korrekturen der Dokumentation dieser Versionshinweise. (ID-14815).
Active Sync
- Der Active Sync-Assistent ist jetzt vollständiger lokalisiert. (ID-10504).
- Das System unterstützt jetzt wiederholte Versuche von Active Sync an Ressourcen. Zum Aktivieren dieses Leistungsmerkmals erweitern Sie den XML-Code der Ressource um zwei Ressourcenattribute der Form:
<ResourceAttribute name="syncRetryCountLimit" type="string" multi="false" facets="activesync" value="180"/>
<ResourceAttribute name="syncRetryInterval" type="string" multi="false" facets="activesync" value="10000"/>
syncRetryCountLimit gibt an, wie oft die Aktualisierung versucht werden soll. syncRetryInterval gibt an, wie lange (in Millisekunden) zwischen den Wiederholungen gewartet werden muss. Diese Werte erscheinen danach bei der ActiveSync-Konfiguration als benutzerspezifische Ressourceneinstellungen. Sie sollten einen Anzeigenamen (displayName) angeben. Verwenden Sie dafür einen benutzerspezifischen Katalogschlüssel, wenn dieser Name lokalisiert angezeigt werden soll. (ID-11255).
- Die Maximalanzahl der in einer ActiveSync-Ressource konfigurierten Active Sync-Protokolle wird jetzt ordnungsgemäß eingehalten. (ID-11848).
Domino
- Sie können jetzt Domino-Benutzer ohne ID-Datei oder E-Mail-Adresse, aber mit einem Eintrag im Domino-Verzeichnis erstellen. (ID-11201).
- Auf Domino 6.x-Ressourcen können Sie jetzt Konten deaktivieren, ohne eine Liste mit Verweigerungsgruppen erstellen zu müssen. Wenn keine Verweigerungsgruppen angegeben sind, nutzt Identity Manager zum Aktivieren bzw. Deaktivieren auf der Domino-Ressource das Attribut „CheckPassword“. Der Wert 2 deaktiviert ein Konto. (ID-12088).
- Beim Domino-Ressourcenadapter rufen gleichzeitige Aktualisierungen von HTTPPassword mit mehreren Benutzern mithilfe der API NSFNoteComputeWithForm() keinen Gateway-Fehler “-551” mehr hervor. (ID-12466).
Verzeichnis
- Identity Manager bietet jetzt einen skalierbareren Mechanismus zum Bearbeiten großer Attribute von Ressourcenobjekten. Beispielformulare zur Verwendung dieser Methode zum Verwalten von LDAP-Gruppen finden Sie in der Datei sample/forms/LDAPgroupScalable.xml. (ID-9882).
- Der LDAP-Ressourcenadapter verwendet jetzt den JSSE-Provider direkt. (ID-9958) Die niedrigste unterstützte Java-Version auf Identity Manager ist jetzt 1.3. Dadurch können für die SSL-Kommunikation bei Domino., LDAP- und NDS SecretStore-Ressourcenadaptern Sicherheitsfremdanbieter verwendet werden. Sie können Bibliotheken von Sicherheitsfremdanbietern mithilfe der Datei java.security registrieren.
Weitere Informationen finden Sie unter http://java.sun.com/j2se/1.4.2/docs/guide/security/CryptoSpec.html#ProviderInstalling.
- LDAP-Gruppen, deren Namen Vorwärts-Schrägstriche enthalten, können jetzt bearbeitet werden. (ID-9872).
Das Konfigurationsattribut ldapJndiConnectionFactory.alwaysUseNames-Eigenschaft wurde zur Datei Waveset.properties hinzugefügt.
Standardmäßig ist diese Eigenschaft aktiviert. Wenn sie aktiviert ist, werden alle String-Namen mithilfe des NameParsers des Kontexts in einen Namenstring eingelesen. Dadurch werden Probleme mit JNDI-Escapezeichen vermieden. Diese Option ist nur sinnvoll, wenn die Option ldapJndiConnectionFactory.wrapUnpooledConnections auf „true“ gesetzt ist.
Sie benötigen JVM 1.4 oder neuer, wenn dieser Wert explizit auf „true“ gesetzt werden soll oder Sie mit dem „true“-Wert arbeiten wollen Wegen eines Problems mit JNDI können in früheren JVM-Versionen Umbenennungsoperationen fehlschlagen, wenn diese Option aktiviert ist.
- Der LDAP-Adapter generiert für ein neues Konto keinen unzulässigen Distinguished Name (DN) mehr. (ID-10951).
Die escape-Methode in com.sun.idm.util.ldap.DnUtil kann jetzt in Formularen verwendet werden, um Werte, die in Identitätsvorlagen von Ressourcenadaptern im LDAP DN-Format eingefügt werden sollen, zu überspringen. Als Alternative kann eine accountId-Richtlinie mit aktivierter Option “LDAP-DN-Format verlangen” verwendet werden, um LDAP DNs, die z.B. durch Benutzer, ActiveSync oder Abstimmungsrichtlinien in Identity Manager eingegeben werden, zu validieren.
- Der Standardwert für das ActiveSync-Attribut Zu synchronisierende Objektklassen auf LDAP-Ressourcen ist jetzt standardmäßig inetorgperson. (ID-11644).
- Die Leistung des LDAPActiveSync-Suchfilters, mit dem Änderungsprotokolle nach Änderungen durchsucht werden, wurde optimiert. Der Filterteil (objectClass=changelogEntry) wurde vom Standardsuchfilter entfernt. (ID-11722).
Sie können die alte Funktionsweise wiederherstellen, indem Sie das Ressourcenattribut Remove objectClass from Search Params Filter mit dem Wert „false“ wie folgt zur Ressourcendefinition hinzufügen:
<ResourceAttribute name="Remove objectClass from Search Params Filter" displayName="Remove objectClass from Search Params Filter" facets="activesync" value="false">
</ResourceAttribute>Hinweis: Sie können diese Einstellung nicht von der GUI aus ändern.
- Die Änderung von LDAP-Gruppenmitgliedschaften nutzt jetzt einzelne Hinzufüge- und Entfernungsvorgänge, anstatt die gesamte Gruppe zu ändern (d. h. das gesamte Attribut uniqueMember wurde ersetzt). (ID-13035).
- Der LDAP-Adapter kann so konfiguriert werden, dass der Vorgang “VLV Sort” an einem anderen Wert als uid erfolgt. (ID-13321) Zum Ändern dieses Werts fügen Sie Folgendes in die Ressourcendefinition ein:
<ResourceAttribute name="vlvSortAttribute" displayName="VLV Sort Attribute" description="VLV Sort Attribute" value="myValue"></ResourceAttribute>
- Das Active Directory-Attribut PasswordNeverExpires kann jetzt auch während einer Aktualisierung gesetzt werden. (ID-13710).
- Der NDS Active Sync-Adapter fragt Änderungen nicht mehr basierend auf der Eigenschaft „lastModifiedTimeStamp“ des Benutzerobjekts ab. Dieses Attribut wurde bei jeder Benutzeran- und -abmeldung aktualisiert. Zur Behebung dieses Problems wird der letzte geänderte Wert jetzt aufgrund der Eigenschaft „lastModifiedTimestamp“ der in der Schemazuordnung definierten Benutzerattribute berechnet. Wenn „lastModifiedTimestamp“ eines Attributs größer als das Highwater Mark des Adapters ist, meldet das Gateway diesen Benutzer dem Server als geändert. (ID-13896)
- Es wurde ein Problem behoben, aufgrund dessen neu erstellte NDS-Benutzer keinen Zugriff auf ihre Home-Verzeichnisse hatten. (ID-14208).
- Zeitüberschreitungen beim Active Directory-Datenabruf verursachen kein vorzeitiges Ende von Abstimmungsvorgängen mehr.(ID-14564)
- Es wurde ein Problem behoben, durch das sich der Active Directory Active Sync-Adapter aufhängt, weil Verbindungen zum Gateway nicht geschlossen werden. (ID-14597).
- Der LDAP-Adapter erlaubt der Aktivierungskurzmethode nsaccountlock die Verwendung von Logik, die bei der Deaktivierung von LDAP-Benutzern deren An- und Abwesenheit berücksichtigt. (ID-14925) Weitere Informationen hierzu finden Sie im Abschnitt Erweiterungen und Korrekturen der Dokumentation dieser Versionshinweise.
Oracle ERP
- Der Oracle ERP-Adapter wurde zur Unterstützung von Überprüfungsfunktionen um mehrere Attribute erweitert. (ID-11725) Genauere Informationen hierzu finden Sie im Abschnitt Erweiterungen und Korrekturen der Dokumentation dieser Versionshinweise.
- Der Oracle ERP-Adapter schließt jetzt Oracle-Datenbankzeiger. Vorher wurde dadurch der folgende Fehler verursacht: (ID-12222).
- In Formularen für Oracle ERP-Adapter kann die Methode listResourceObjects der Klasse com.waveset.ui.FormUtil jetzt die spezifischen Zuständigkeitsbereiche eines Benutzers zurückgeben und so gefiltert werden, dass entweder alle oder nur die aktiven Zuständigkeitsbereiche zurückgegeben werden. (ID-12629).
Die übergebenen Optionen sind:
- Der Oracle ERP-Adapter bietet jetzt das Schlüsselwort sysdate bzw. SYSDATE. Sie können dieses Schlüsselwort mit to_date zur Angabe eines Ablaufdatums (in der lokalen Zeit eines Oracle E-Business Suite-Servers, EBS) für einen Zuständigkeitsbereich verwenden. (ID-12709).
- Der Oracle ERP-Adapter von Identity Manager bietet jetzt das neue Kontoattribut employee_number. Dieses Attribut stellt eine Mitarbeiternummer (employee_number) aus der Tabelle per_people_f dar. Weitere Informationen hierzu finden Sie im Abschnitt Erweiterungen und Korrekturen der Dokumentation dieser Versionshinweise. (ID-12710).
- Das Aktualisieren des Zuständigkeitsbereiches eines Oracle ERP-Kontos mithilfe des Oracle ERP-Adapter aktualisiert keine anderen, zu diesem Konto gehörigen Zuständigkeitsbereiche mehr. (ID-13889) Infolgedessen wird nur der Oracle ERP-Überprüfungszeitstempel für den geänderten Zuständigkeitsbereich aktualisiert. Die Oracle ERP-Überprüfungszeitstempel für die anderen Konto-Zuständigkeitsbereiche bleiben unverändert.
- Zur Schema-Zuordnung für den Oracle ERP-Adapter wurde das Attribut „person_fullname account“ hinzugefügt. Im Oracle ERP-Benutzerformular dient dieses Attribut zur Anzeige des Felds „Personenname“. Dieses Feld ist schreibgeschützt und zeigt den vollständigen Namen eines Benutzers an, wenn ein Oracle ERP-Konto mit einem Oracle HR-System, das mit Mitarbeiternummern arbeitet, verknüpft ist. (ID-14675).
- Der Oracle ERP-Adapter verhindert jetzt das Löschen von Ressourcenkonten-Verknüpfungen, wenn eine Oracle ERP-Ressource während einer vollständigen Abstimmung nicht zugänglich ist. (ID-14960) (Eine Ressource kann aus vielen Gründen, z.B. wegen nicht otrdnungsgemäßer Konfiguration der Ressourcenverbindung, unzugänglich sein.)
- Der Oracle ERP-Adapter unterstützt jetzt Oracle E-Business Suite 12. Nähere Informationen finden Sie unter Erweiterungen und Korrekturen der Dokumentation in diesen Versionshinweisen. (ID-15062, 16705).
- Der Oracle ERP-Adapter wurde zur Unterstützung von Kontingentausführungen um das Kontoattribut npw_number erweitert. (ID-16507).
SAP und SAP HR
- Sie können den SAP HR-Adapter jetzt für die Verarbeitung von IDOCs beliebiger Meldungstypen konfigurieren. Vorher konnten nur IDOCs vom Typ HRMD_A verarbeitet werden. (ID-12120).
ORA-01000: maximum open cursors exceeded
- Die SAP- und SAP HR-Adapter enthalten jetzt drei neue Ressourcenattribute, die Parameter zum Wiederholen einer SAP-Operation nach Netzwerkfehlern verfügbar machen.(ID-12579) Diese Attribute sind:
- SAP-BAPI-Wiederholungen - gibt an, wie oft der betreffende Vorgang wiederholt werden soll.
- SAP-Verbindungswiederholungen - gibt an, wie oft der Versuch der Verbindungsherstellung zum SAP-Server wiederholt werden soll.
- Intervall für SAP-Verbindungswiederholungen - gibt an, wie lange (in ms) gewartet werden soll, bis der Versuch der Verbindungsherstellung zum SAP-Server wiederholt wird.
- Bei der Verwendung des CUA.Modus auf SAP-Ressourcen können Passwörter jetzt als nicht abgelaufen gesetzt werden. (ID-13355).
- Der SAP-Adapter erzeugt keine JCO_ERROR_FUNCTION_NOT_FOUND-Ausnahme mehr, wenn das SAP-System das PASSWORD_FORMAL_CHECK-Funktionsmodul nicht enthält. (ID-14663).
- Der SAP-Adapter meldet den Status deaktivierter Konten jetzt ordnungsgemäß. (ID-14834).
- Aktivitätsgruppen (Rollen) und Profile können in einer CUA-Umgebung nun mit einem Anfangs- und Enddatum aktualisiert werden. (ID-15613).
Für Rollen ordnen Sie dem activityGroups-Attribut im Adapter Folgendes zu:
CUA->directLocalActivityGroupObjects
Für Profile ordnen Sie profiles Folgendes zu:
CUA->directLocalProfileObjects
- Der SAP-Adapter unterstützt jetzt die Aktualisierung des ALIAS-Felds in SAP. Die Attributzuordnung in der Schemakonfiguration ist ALIAS->USERALIAS. (ID-16320).
UNIX
- UNIX-basierte Adapter enthalten jetzt das Ressourceattribut „Ausgangsverzeichnis-Basis“. Wenn es vorhanden ist, hat die Einstellung dieses Attributs Vorrang vor der des Ausgangsverzeichnisses auf der nativen Ressource, auf der das Konto erstellt werden soll. Die Einstellung für diesen Wert ist der eigentliche Attributwert gefolgt von der Konto-ID. Wenn in den Kontenattributen des Benutzers ein Ausgangsverzeichnis angegeben ist, so hat dieses jedoch Vorrang gegenüber der Einstellung in „Ausgangsverzeichnis-Basis“. (ID-8587).
- Über „Ressourcentyp-Richtlinie“ können Sie jetzt Standardwerte für Zeitüberschreitungen festlegen. Darüber hinaus können Sie mit der Eigenschaft maxWaitMilliseconds auch die Abfragefrequenz steuern, die der Skript-Adapter von Identity Manager verwendet, wenn er auf das Abschließen einer Aufgabe durch eine Ressource wartet. (ID-11906).
- Solaris- und Linux-Adapter liefern jetzt Anmeldeinformationen des letzten Jahres. (ID-12182).
- Beim Anzeigen von Kontoinformationen von einer mit NIS konfigurierten Solaris-Ressource werden mit dem Gruppennamen anstatt der numerischen Gruppen-ID Informationen zur Gruppenmitgliedschaft angezeigt. (ID-12667)
- Die Solaris-, AIX-, HP-UX-, Red Had Linux- und SuSE Linux-Ressourcenadapter wurden um zwei Ressourcenattribute erweitert: Default Primary Group und Login Shell. (ID-15034).
Sonstige Adapter
- Mit dem RACF-Ressourcenadapter können Sie jetzt Dataset-Regeln direkt überwachen, statt sie von Identity Manager verwalten zu lassen. Dadurch können Sie Dataset-Regeln erstellen, die sich von den Identity Manager-nativen Regeln unterscheiden. (ID-10446).
Im folgenden Beispiel wird mit der „after create“-Regel anstatt der Identity Manager-Standardregel von <user id>.** die Dataset-Regel von <user id>.test1.** erstellt.
<?xml version="1.0" encoding="UTF-8"?>
<!DOCTYPE ResourceAction PUBLIC "waveset.dtd" "waveset.dtd">
<ResourceAction name="create after action">
<ResTypeAction restype="RACF">
<act>
var TSO_PROMPT = "READY";
var TSO_MORE = "***";
var cmd1 = "addsd ""+identity+".test1.**" owner(""+identity+"")[enter]";
var result1 = hostAccess.doCmd(cmd1, TSO_PROMPT, TSO_MORE);
</act>
</ResTypeAction>
</ResourceAction>
- Der RACF-Adapter unterstützt jetzt Suchfilter für listAllObjects. (ID-10895).
- Sie können in Siebel jetzt Objekte erstellen und aktualisieren, die eine Navigation durch eine Hierarchie mit Business-Komponenten erfordern. Weitere Informationen hierzu finden Sie im Abschnitt Erweiterungen und Korrekturen der Dokumentation in diesen Versionshinweisen. (ID-11427).
- Die Methode isPickListAttribute im Siebel-Adapter wird vom Verfolgungssystem nicht mehr fälschlicherweise als isMVGAttribute erkannt. (ID-11471).
- Bei SecurId-Ressourcen wird das Attribut „Clients“ jetzt als optionales Attribut behandelt. (ID-11509).
- Der Flat File Active Sync-Adapter zeigt jetzt im Active Sync-Protokoll (falls aktiviert) einen Warnhinweis an, wenn ein Fehler auftritt, der für Synchronisierungszwecke eine diff-Aktion verhindert. (ID-12484).
- Wenn Sie Identity Manager zur Bereitstellung für eine RSA Clear Trust 5.5.2-Ressource konfigurieren, sind zur SSL-Kommunikation im Gegensatz zu früheren Clear Trust-Versionen keine weiteren Bibliotheken erforderlich. (ID-12499).
- Im Datenbanktabellenassistent können Sie keine Tabellen mehr konfigurieren, für die Sie keine Zugriffsrechte besitzen. (ID-12643).
- Der Siteminder LDAP-Adapter führt jetzt die folgenden Operationen auch dann ordnungsgemäß aus, wenn Siteminder-Benutzer aufgrund fehlgeschlagener Anmeldungen gesperrt wurden. (ID-12824).
- Der RACF-Adapter sucht für jeden einzelnen in listAllObjects aufgeführten Benutzer keine lange Zeichenkette mehr. Dadurch wird diese Funktion bei einer großen Benutzeranzahl schneller. (ID-12829).
- Kontingenteinstellungen sind für temporäre Tablespaces nicht zulässig. Wenn in Oracle 10gR2 versucht wird, solche Einstellungen vorzunehmen, kommt es zu einer SQL-Ausnahme. (ID-12843).
Bislang legte der Ressourcenadapter für temporäre Tablespaces ein Kontingent fest, auch wenn das Kontoattribut oracleTempTSQuota nicht zugeordnet wurde. Dieses Verhalten wurde geändert. Wenn Sie das Attribut oracleTempTSQuota zuordnen, ändert sich das Verhalten nicht. Wenn Sie die Zuordnung löschen, wird für temporäre Tablespaces dagegen kein Kontingent festgelegt.
Löschen Sie für Oracle 10gR2-Ressourcen das Attribut oracleTempTSQuota aus dem Ressourcenadapter.
- Identity Manager setzt vor dem Löschen eines Benutzers mit sicherem ID jetzt Admin-Zugriffsrechte (falls vorhanden) zurück. (ID-13053).
- Es wurde ein Problem behoben, das beim Ausführen einer Abstimmung auf VMS auftrat. (ID-13425).
- SecurID für UNIX-Adapter führt bei der Zusammenarbeit mit RSA jetzt UTF-8-Codierung und -Decodierung aus. (ID-13451).
- Der Shell-Skript-Adapter erkennt jetzt Fehler, die von einer Ressourcenaktion während des Erstellens von Benutzern und Aktualisierens von Funktionen generiert wurden.(ID-13465)
- Beim Erstellen eines Kontos auf einer Windows NT-Ressource über den Windows NT-Ressourcenadapter wird auf der Ergebnisseite „Benutzer erstellen“ die folgende Fehlermeldung nicht mehr angezeigt: “Error requiring password: put_PasswordRequired(): 0X80004005:E_FAIL”. (ID-13618).
- Zum Datenbanktabellenadapter wurde der neue Ressourcenkonfigurationsparameter „enableEmptyString“ hinzugefügt. Damit wird in zeichenbasierten Spalten, die im Tabellenschema als ungleich null definiert wurden, anstatt eines NULL-Wertes das Schreiben eines Leerstrings ermöglicht. Diese Option hat keinen Einfluss darauf, wie Strings für Oracle-basierte Tabellen geschrieben werden. (ID-13737).
- Der Shell-Skript-Adapter unterstützt jetzt die Umbenennungs-. Deaktivierungs- und Aktivierungsfunktionen. (ID-14472).
- Der Skript-JDBC-Adapter aktualisiert jetzt Attribute ordnungsgemäß, deren ursprünglicher Wert null war, die aber auf einen Wert ungleich null gesetzt werden. (ID-14655).
Rollen
- Mithilfe von Rollen und Ressourcengruppen können Benutzern jetzt einzeln oder in Kombinationen auf einer Ressource mehrere Konten zugewiesen werden. Weitere Informationen hierzu finden Sie im Abschnitt Erweiterungen und Korrekturen der Dokumentation dieser Versionshinweise. (ID-6684).
- Beim Importieren von Rollen, die Verknüpfungen zu vorhandenen übergeordneten Rollen enthalten, aktualisiert Identity Manager jetzt die vorhandenen Rollen mit den Verknüpfungen zu den neu importierten Rollen. (ID-15482).
Identity Manager erkennt und erstellt Verknüpfungen von vorhandenen übergeordneten Rollen zu den untergeordneten Rollen, die darauf verweisen. Bei einer Aufrüstung führt Identity Manager die Klasse RoleUpdater aus, die zum Reparieren von Rollen dient.
Sie können Rollen außerhalb des Upgrade-Prozesses aktualisieren, indem Sie die Datei RoleUpdater.xml unter sample/forms/RoleUpdater.xml neu importieren. Identity Manager fügt während der Aufrüstung oder beim Importieren von RoleUpdater.xml standardmäßig die Verknüpfungen für untergeordnete Rollen hinzu.
Um diese neue Funktion zu deaktivieren, setzen Sie das RoleUpdater-Attribut nofixsubrolelinks auf „true“. Zum Beispiel:
<MapEntry key="nofixsubrolelinks" value="true" />
Weitere Informationen zum automatischen Aktualisieren von Rollen während des Imports finden Sie unter ID-15053 im Abschnitt „Bekannte Probleme“.
Sicherheit
- Benutzer mit der Berechtigung „Genehmiger“ können alle zukünftigen Genehmigungsanforderungen für einen bestimmten Zeitraum an einen oder mehrere Benutzer, die keine Identity Manager-Genehmiger sind, delegieren. Die Delegierung ist mithilfe dreier Methoden möglich: (ID-8485).
- Die Passworterzeugung funktioniert jetzt ordnungsgemäß und schlägt erwartungsgemäß fehl, wenn Passwörter nicht ordnungsgemäß generiert wurden. (ID-12275).
- Identity Manager bietet jetzt den Authentifizierungstyp „EndUserLibrary“. Die Fähigkeit „EndUser“ (AdminGroup) kann jetzt Bibliotheken mit dem Authentifizierungstyp „EndUserLibrary“ anzeigen und deren Inhalt auflisten. (ID-12469).
Setzen Sie authType="EndUserLibrary" und vergewissern Sie sich, dass Parameter „MemberObjectGroup“ der Bibliothek auf „All“ gesetzt ist.
- Identity Manager-Benutzer Sitzungen mit mehreren gleichzeitigen Anmeldungen ausführen. Sie können dies so einschränken, dass nur noch eine Sitzung pro Anmeldeanwendung möglich ist. Hierzu ändern Sie den Wert des Konfigurationsattributs „security.authn.singleLoginSessionPerApp“ im Systemkonfigurationsobjekt. Dieses Attribut ist ein Objekt, das wiederum ein Attribut pro Anmeldeanwendung enthält (z. B. für die Administratoroberfläche, die Benutzeroberfläche oder BPE). Ändern Sie den Wert dieses Attributs auf „true“, damit für jeden Benutzer nur noch eine einzige Anmeldesitzung möglich ist. (ID-12778).
Wenn dies gewünscht ist, können sich Benutzer mit mehreren Sitzungen gleichzeitig anmelden. Es bleibt jedoch nur die letzte Anmeldesitzung aktiv und gültig. Wenn der Benutzer versucht, unter einer ungültigen Sitzung eine Aktion auszuführen, wird die Sitzung automatisch beendet.
- Von Administratoren durchgeführte Endbenutzer-Passwortänderungen, die über SPML oder andere Verfahren durchgeführt wurden, werden nicht in der Passwortabfolge aufgezeichnet. Es stehen nun zwei Möglichkeiten zur Verfügung, die Anwndung so zu konfigurieren, dass ein Passwort in der Historie des Benutzers gespeichert wird. Nur eine Methode ist erforderliche. (ID-13029).
- Ansichtsoption (hat Vorrang, sofern vorhanden oder „true“). Setzen Sie das Attribut savePasswordHistory im Zielformular. Beispiel:
<Field name="savePasswordHistory">
<Default>
<Boolean>true</Boolean>
</Default>
</Field>- Schalten Sie das Verhalten der gewünschten Schnittstelle mit der folgenden Systemkonfigurationseinstellung um. Sofern noch nicht vorhanden, muss diese dem Systemkonfigurationsobjekt hinzugefügt werden.
<Attribute name="security">
<Object>
<Attribute name="admin">
<Object>
<Attribute name="changePassword">
<Object>
<Attribute name="Administrator Interface">
<Object>
<Attribute name="savePasswordHistory">
<Boolean>true</Boolean>
</Attribute>
</Object>
</Attribute>
<Attribute name="Command Line Interface">
<Object>
<Attribute name="savePasswordHistory">
<Boolean>true</Boolean>
</Attribute>
</Object>
</Attribute>
<Attribute name="IVR Interface">
<Object>
<Attribute name="savePasswordHistory">
<Boolean>false</Boolean>
</Attribute>
</Object>
</Attribute>
<Attribute name="SOAP Interface">
<Object>
<Attribute name="savePasswordHistory">
<Boolean>true</Boolean>
</Attribute>
</Object>
</Attribute>
<Attribute name="User Interface">
<Object>
<Attribute name="savePasswordHistory">
<Boolean>false</Boolean>
</Attribute>
</Object>
</Attribute>
</Object>
</Attribute>
</Object>
</Attribute>
....Server
- Von TaskInstance abgeleitete Objekte wie z.B. Genehmigungen werden jetzt bei Beendigung einer Aufgabe ordnungsgemäß gelöscht. (ID-3258).
- Identity Manager benötigt jetzt Zugriff auf das Verzeichnis tmp. (ID-7804) Wenn Ihr Anwendungsserver eine Sicherheitsrichtlinie verwendet, müssen Sie folgende Berechtigung festlegen:
permission java.io.FilePermission "$(java.io.tmpdir)$(/)*", "read,write,delete";
- Die Seite „Benutzer suchen“ kann jetzt tief verschachtelte Hierarchien vieler Organisationen verarbeiten. (ID-10352).
- In Cluster-Umgebungen erzeugt eine fehlgeschlagene Anmeldung auf den Endbenutzerseiten keinen Serialisierungsausnahmefehler mehr. (ID-10556).
- Server lösen keine Failover-Mechanismen mehr an sich selbst aus und beenden Ihre eigenen Aufgaben, wenn die Verarbeitung von Aufgabeninformationen zu lange dauert. (ID-10920).
- Erweiterte Benutzerattribute werden jetzt ordnungsgemäß aus Benutzerobjekten gelöscht. (ID-11721).
- ResourceConnectionManager wird jetzt über das bevorstehende Herunterfahren des Systems informiert. Deswegen braucht der Server nicht mehr auf Zeitüberschreitungen von SSH-Verbindungen zu warten, bevor er beendet wird. (ID-12214).
- Es wurde ein Problem behoben, durch das auf der Seite „Aufgaben verwalten“ für Benutzer in untergeordneten Organisationen, die keinen administrativen Zugriff auf übergeordnete Organisationen haben, der Fehler „no cache error“ ausgelöst wurde. (ID-12288).
- Die Verarbeitung von Begrenzungszeichen wird jetzt zwischen eckigen Klammern unterdrückt. Als Folge davon werden jetzt alle zwischen eckigen Klammern erkannten Zeichen als Index oder Filter interpretiert. Hinweis: Gegenwärtig existiert kein Verfahren zum Umschalten nach Erkennung der schließenden eckigen Klammer „]“. (ID-12384).
- Das Beenden von Aufgabeninstanzen wird jetzt als Terminate-Aktion anstatt Modify-Aktion protokolliert. (ID-12791).
- Benutzeraktionen können an Benutzern ausgeführt werden, nachdem Ressourcen, die diesen Benutzern direkt zugewiesen waren, gelöscht wurden. (ID-14806).
SOAP
- Die SPML-Unterstützung wurde erweitert, sodass jetzt neben Personen auch Rollen und Ressourcengruppen unterstützt werden. (ID-8850).
- Die neue Fähigkeit „SPMLAccess“ ermöglicht den Kontenadministratorzugriff auf die SPML-Schnittstelle. (ID-10854).
- Der SPML-Server gibt jetzt Fehler für Anforderungen zurück, die Filter mit noch nicht implementierten Operatoren enthalten. (ID-11343).
- Die SPML-Schnittstelle von Identity Manager bietet den Anmeldeparameter „login ExtendedRequest“, mit dessen Hilfe sich Benutzer als Administrator anmelden können. Ab dieser Version bietet die SPML-Schnittstelle auch einen Parameter „loginUser ExtendedRequest“, mit dessen Hilfe Benutzern eine Sitzung für die Selbstbereitstellung zugewiesen werden kann. Dieser „loginUser ExtendedRequest“ unterstützt die Anmeldung mit Passwort oder mit Antworten auf Sicherheitsfragen. (ID-12103).
Ansichten
- Die Benutzeransicht bietet jetzt das folgende Steuerattribut: (ID-4383).
accounts[Resname].waveset.forceUpdate
Hierbei ist Resname der Name der Ressource. Der Wert dieses Attributs ist eine Liste mit Ressourcenkontenattributen, die immer dann zur Aktualisierung an eine Ressource gesendet werden, wenn ein Benutzer geändert wird.
- Die Ansichten für Ressourcenkonten (DeprovisionViewer, DisableViewer, EnableViewer, PasswordViewer, RenameUserViewer, ReprovisionViewer und UnlockViewer) unterstützen jetzt zwei neue Optionen zum Abrufen von Ressourcenkontenattributen für Benutzer: (ID-10176).
- fetchAccounts – (Boolean) Wenn dieser Parameter auf „true“ gesetzt ist, enthält die Ansicht Kontenattribute für die dem Benutzer zugewiesenen Ressourcen.
- fetchAccountResources – eine Liste mit Ressourcennamen, die abgerufen werden können. Wenn hier nichts angegeben ist, verwendet Identity Manager alle zugewiesenen Ressourcen.
Workflow
- Bei der Ausführung von Workflows wird keine „checkReference“-Warnung mehr ausgegeben. (ID-10802).
- Wenn Meldungen mithilfe von notification.redirect in eine Datei umgeleitet werden, wird diese Datei jetzt mithilfe der Methode emailNotifier.contentCharset geschrieben. Diese Methode dient auch zum Erstellen von E-Mails aus Meldungen. Dadurch kann die Datei auch Zeichen enthalten, die nicht im ISO-8859-1-Zeichensatz enthalten sind. (ID-10331, 14984).
- Workflow-Meldungen enthalten ausführlichere Informationen, wenn ein Genehmiger Arbeitseinheiten genehmigt oder ablehnt, die bereits genehmigt bzw. abgelehnt wurden. (ID-11045).
- Identity Manager bietet jetzt den Workflow-Dienst auditPolicyScan. Sie können diesen Workflow-Dienst dazu nutzen, Benutzer auf der Grundlage der ihnen zugewiesenen Richtlinien nach Verstößen gegen Überprüfungsrichtlinien abzufragen. Wenn dem betreffenden Benutzer keine Richtlinie zugewiesen ist, wird die seiner Organisation zugewiesene Richtlinie (falls vorhanden) verwendet. Weitere Informationen hierzu finden Sie im Abschnitt Erweiterungen und Korrekturen der Dokumentation dieser Versionshinweise. (ID-12589).
- Der Authentifizierungstyp „RoleAdminTask“ wurde zur Aufgabendefinition „Rolle verwalten“ und der Authentifizierungstyp „ResourceAdminTask“ zur Aufgabendefinition „Ressource verwalten“ hinzugefügt. (ID-12768).
In früheren Versionen behobene FehlerDieser Abschnitt beschreibt Fehler, die seit Identity Installation Pack 2005Q4M3 behoben wurden.
Installation und Aktualisierung
Administratorbenutzeroberfläche
- Wenn Sie für das Benutzerapplet-Menü eine neue Benutzeraktion konfigurieren, werden Textschlüssel jetzt ordnungsgemäß angezeigt. (ID-8400).
- Identity Manager behandelt jetzt Hilfeanzeigen, die Fehler auslösten, weil sie Sonderzeichen enthielten, ordnungsgemäß. (ID-8747).
- Wenn das Attribut „singleLoginSessionPerApp“ einer Anmeldeanwendung auf „true“ gesetzt ist, verhält sich Identity Manager wie folgt: Benutzer können sich an der gleichen Anwendung mehrmals anmelden. Die aktive und gültige Sitzung ist jedoch die, bei der sich der Benutzer zuletzt angemeldet hat. Wenn der betreffende Benutzer als der gleiche Identity Manager-Benutzer während einer anderen Anmeldesitzung eine Aufgabe ausführen will, wird er automatisch abgemeldet und die Sitzung wird beendet. (ID-9543).
- Wenn ein Benutzer direkt einer Organisation zugewiesen ist und eine UserMemberRule diesen Benutzer der gleichen Organisation zuweist, wird der betreffende Benutzer in der Liste nicht mehr dupliziert. (ID-10410).
- Die Seite „Sitzungstimeout für die Anmeldung“ kann jetzt lokalisiert werden und wird in der vom Gebietsschema des Benutzers angegebenen Sprache angezeigt. (ID-10571).
- Das Beispielformular zur LDAP-Passwortsynchronisierung (sample/forms/LDAPPasswordActiveSyncForm.xml) setzt jetzt das Feld waveset.password anstatt password.password und password.confirmpassword. (ID-11660).
- Die Administratorbenutzeroberfläche von Identity Manager generiert keine Fehler mehr, wenn Suchergebnisse einen Benutzernamen mit einfachem Anführungszeichen enthalten und dieser Name in einem Link für einen nachfolgend auszuführenden Befehl verwendet wird. (ID-11123).
- MultiSelect-Komponenten zeigen jetzt einfache Zeichenfolgen ordnungsgemäß an. (ID-11979).
- Identity Manager zeigt jetzt eine korrekte Fehlermeldung an, wenn Sie versuchen, einen Ressourcenobjekttyp zu bearbeiten, der keine Aktualisierungen unterstützt. (ID-12242).
- Beim Auflisten von Ressourcen mithilfe der Strukturtabelle werden jetzt Knoten mit Namen, die Unterstriche enthalten, ordnungsgemäß aufgeklappt. (ID-12478).
- Die Online-Hilfe zeigt jetzt die richtigen Hilfeseiten an, wenn im ActiveSync-Konfigurationsteilmenü Optionen, die nicht im Assistenten verfügbar sind, ausgewählt werden. (ID-12597).
- Benutzer können im französischen Gebietsschema jetzt ordnungsgemäß gelöscht werden. (ID-12642).
- Strukturtabelle, Kontoseite und die Seite „Suchergebnisse“ zeigen jetzt als Managername von Identity Manager ein unaufgelöstes Manager-Attribut in Klammern an. Bei jeder Benutzeraktualisierung versucht Identity Manager, dieses Manager-Attribut aufzulösen. Wenn das Attribut aufgelöst werden kann, entfernt Identity Manager die Klammern und führt am neuen Wert eine Beschränkungsüberprüfung aus. (ID-12726).
- Der Link im Anmeldefenster für eine anonyme Benutzeranmeldung zeigt jetzt auf die neue Endbenutzer-Arbeitseinheitentabelle. (ID-12816).
- Schaltflächen der TabPanel-Komponente können jetzt positioniert werden. (ID-12797).
- Identity Manager konvertiert jetzt E-Mail-Vorlagen mit der Standarddatei mail.example.com in die neue Variablenfunktionalität der Serverkonfiguration. (ID-12720).
- Passwortfelder werden jetzt bedingt angezeigt, wenn die Identity Manager-Benutzeroberfläche das LH-Anmeldemodul nicht enthält und dem betreffenden Benutzer eine Admin-Rolle zugewiesen ist. (ID-12692).
- Identity Manager zeigt Ressourcengruppenlisten, auf die über die Registerkarte “Ressourcen” zugegriffen wird, jetzt in der Reihenfolge an, in der die Listen gespeichert wurden. (Bisher wurden die Ressourcen sortiert.) (ID-14117).
- Wenn Sie über die Seite „Rollen finden“ Rollen suchen, die in vielen Organisationen vorkommen, wird jetzt kein Objektgruppenfehler mehr angezeigt. (ID-15303).
- Beim Aufheben von Zuweisungen von Ressourcenkonten zu Benutzern mithilfe der Funktion „Benutzer bearbeiten“ wird das Feld SITUATION im Kontenindex für alle Klassen jetzt ordnungsgemäß aktualisiert. (ID-15310).
- Über Registerkarte „Rollen“ > Rollen finden > Menü „Genehmiger“ können jetzt Benutzer mit der Fähigkeit „Genehmigungsbeauftragter für Regeln“ angezeigt werden. (ID-15373).
- Es wurde ein Problem behoben, durch das Internet Explorer bei URLs mit mehr als 2000 Zeichen fehlschlug. (ID-15801).
- Wenn Sie Internet Explorer 6 oder 7 mit Sicherheitsupdate 912812 verwenden, müssen Sie nicht mehr auf ein Multioptionsfeld doppelklicken, um das Feld zu markieren, oder auf ein Element doppelklicken, um dieses zu verschieben. (ID-15824).
- Wenn Sie im ActiveSync-Eingabeformular für IAPI.cancel den Wert true angeben und damit alle anstehenden Aktualisierungen abbrechen, die für den verarbeiteten Benutzer erkannt wurden, ist die Benutzeransicht nach der Verarbeitung nicht mehr gesperrt. (ID-15912).
- Eine Benutzersuche mit Auswahl der Option für Benutzerorganisationen und anderen Suchoptionen ergibt nun gültige Resultate. (ID-16076).
- Die Liste der Genehmiger auf der Seite „Rollen finden“ ist nun sortiert. (ID-16392).
- Die DatePicker-Komponente funktioniert für alle Zeitzonen ordnungsgemäß. (ID-16618).
Business Process Editor
Formulare
- Identity Manager bietet neue LDAP-Beispielformulare zum Erstellen und Aktualisieren von Gruppen für nicht eindeutige Mitgliedernamen. (ID-8831).
- MultiSelect-Komponenten behandeln Elemente mit identischen Beschriftungen (Anzeigenamen) jetzt ordnungsgemäß (ID-10964).
- Der Standardwert für die maximal zulässige Länge einer Textkomponente ist jetzt unbegrenzt (früher betrug die Maximallänge 256 Zeichen) (ID-11995).
- Die Gruppenfelder „NTForm“ und „NDSUserForm“ implementieren die ListObjects-Regel jetzt ordnungsgemäß. (ID-12301).
- Ressourcenassistenten für Host-Adapter verwalten die affinityAdmin-Felder jetzt optimaler und vermeiden so Duplikationen und Nulleinträge. (ID-12024).
- Das LDAP-Formular zum Aktualisieren von Gruppen ignoriert keine Änderungen mehr, wenn die Net-Mitgliedschaft gleich bleibt. (ID-12162).
- Die Methode listResourceObjects von com.waveset.ui.FormUtil führt definierte Filter jetzt ordnungsgemäß aus. Weitere Informationen zu dieser Methode finden Sie in JavaDocs. (ID-14422).
Identity Auditor
Identity Manager SPE
- Beim Erstellen eines Ressourcenkontos speichert Identity Manager SPE die Werte von Ressourcenattributen ab, wenn die Ressource heruntergefahren ist. Wenn der betreffende Benutzer das nächste Mal in Identity Manager SPE bearbeitet wird, wird das Konto auf der jeweiligen Ressource erstellt, wenn sie verfügbar ist. (ID-11168).
- Sie können verfolgte Ereignisse jetzt in SPE deaktivieren, indem Sie „Erfassung verfolgter Ereignisse aktivieren“ auf der Seite Service Provider > Hauptkonfiguration bearbeiten auswählen. Darüber hinaus können Sie auf der gleichen Seite das Erfassen verfolgter Ereignisdaten für jeden Zeitraum selektiv deaktivieren. Wie bei allen Einstellungen auf dieser Seite auch müssen die geänderten Konfigurationsobjekte erst in das SPE-Hauptverzeichnis exportiert werden, bevor sie wirksam werden. (ID-12033).
- Die SPE-Methode „IDMXContext deleteObjects“ löscht jetzt Objekte ordnungsgemäß aus dem Verzeichnisspeicher. (ID-11251).
- Das Prüf-Teilsystem der Service Provider Edition löst beim Schließen von Containern keinen Nullzeiger-Ausnahmefehler mehr aus. (ID-12845).
- IDMXUserViewer löste früher einen Nullzeiger-Ausnahmefehler aus, wenn ein zu den in einer Ansicht angegebenen Eigenschaften zugehöriges Formular keine Ziele enthielt oder die den Ansichtsbehandlungsmethoden (create/checkin/checkout/refresh) übergebene Optionszuordnung null war. (ID-12861).
- Über LDAP gelöschte Attribute werden jetzt propagiert, sobald eine ausgefallene Ressource wieder zur Verfügung steht. (ID-15471).
Anmelden
- Das Aufrufen einer benutzerdefinierten Aufgabe während der Anmeldung verlangsamt die Anmeldung nicht mehr übermäßig. (ID-12377).
- Identity Manager protokolliert jetzt fehlgeschlagene Administrator-Anmeldeversuche ordnungsgemäß für Benutzer, die keine Fähigkeiten, Organisationen oder Fähigkeiten/Organisationen besitzen. (ID-12497).
Passwortsynchronisation
- Die Anwendung zum Konfigurieren der Passwortsynchronisation (Configure.exe) kürzt JMS-Eigenschaften beim Lesen vom Repository nicht mehr am Gleichheitszeichen (=). (ID-12658).
- Die Bibliothek passwordsync.dll gibt bei Verbindungsfehlern jetzt die richtige Fehlermeldung aus. Diese Änderung beseitigt auch eventuell von Behandlungsroutinen verursachte Speicherlecks nach dem Fehlschlagen von Verbindungen. (ID-15451).
- Passwörter mit Zeichen, die außerhalb des 7-Bit-ASCII-Bereichs liegen, werden vor der Verschlüsselung jetzt richtig in UTF-8 codiert. (ID-15829).
Abstimmung
- Abstimmungen werden nicht mehr gestoppt, wenn Ressourcen doppelte Benutzer haben. (ID-14949).
- Um unnötige Abstimmungsfehler zu vermeiden, werden einige nicht eindeutige Kontoübereinstimmungen während einer Abstimmung nun als bevorzugte Übereinstimmung behandelt. (ID-14965).
- Abstimmungen werden nicht mehr gestoppt, wenn alle Ressourceninformationen durch eine Benutzernormalisierung von einem Benutzer entfernt werden. (ID-15028).
Berichte
- Die Abfrage nach inaktiven Windows 2000 / Active Directory-Konten (eine Aufgabe in der oberen Menüleiste „Risikoanalyse“) wird jetzt erfolgreich abgeschlossen. (ID-11148).
- Sie können den Ressourcenbenutzerbericht jetzt mit mehreren Benutzern verwenden. (ID-11420).
- Wenn ein delegierter Administrator einen Benutzerbericht ausführt, werden Benutzer, die aufgrund einer UserMembersRule-Regel Mitglieder einer Organisation sind, jetzt einbezogen. (ID-11871).
- Bei Auswahl eines Ressourcennamens für die Y-Achse eines Einsatzberichts wird dieser Wert jetzt in der Abfrage verwendet. (ID-12035).
- Der Gültigkeitsbereich der folgenden Berichtstypen wird standardmäßig auf die vom angemeldeten Administrator kontrollierten Organisationen abgestimmt, es sei denn, es wurden explizit eine oder mehrere Organisationen ausgewählt, für die der betreffende Bericht gelten soll: Zur Unterstützung dieser Funktion wurde die Komponente „Organisationsumfang“ von einer Select- in eine MultiSelect-Komponente umgewandelt. (ID-12116).
- Identity Manager protokolliert jetzt Änderungen von LDAP-Gruppenmitgliedschaften ordnungsgemäß. (Es sind jetzt sowohl alte als auch neue Werte enthalten.) (ID-12163).
- Im UTF-8-Zeichensatz und mit Multibyte-Text codierte CSV-Berichte können nun für die Anzeige in Anwendungen angepasst werden, die keine UTF-8-Kodierung unterstützen, z. B. Microsoft Excel. (ID-13574, 15407).
- Bei per E-Mail versendeten PDF-Berichten werden nun die Einstellungen für Schriftart und Schriftarteinbettung, die auf einer beliebigen Ebene festgelegt wurden, richtig beachtet. (ID-15328).
- Die HTML-Tags <b></b> werden jetzt aus den folgenden PDF-Berichten entfernt: (ID-15408).
- Zur Angabe eines Werts für das X-Achsenattribut sind nun Formulare für Einsatzberichte erforderlich. (ID-15777).
Repository
- Das Identity Manager-Repository führt jetzt die Oracle-Abwicklung für die BLOB-Spalten aus. Die Beispielskripten für Oracle definieren jetzt die Spalte xml als Datentyp BLOB (statt als LONG VARCHAR). Bei neuen Installationen werden alle Tabellen mit BLOB-xml-Spalten erstellt. Während einer Aufrüstung besitzen nur neue Tabellen eine BLOB-xml-Spalten. Die übrigen Tabellen können jedoch in BLOBs konvertiert werden, indem die angemerkten Änderungen in einem Aufrüstungsskript ausgeführt werden. (Bei großen Deployments kann dieser Aufrüstungsprozess einige Stunden dauern). Sie sollten auf den neuesten Oracle JDBC-Treiber aufrüsten, um mit BLOBs eine optimale Leistung zu erhalten. (ID-11999).
- Das Repository von Identity Manager wurde dahin gehend geändert, dass für Microsoft SQL Server 2000 spezifische Deadlock-Fehler verhindert werden. Das Repository verwendet jetzt anstatt des Namens die ID von LAST_MOD_ITEM, wenn der zuletzt geänderte Wert eines Typs ausgewählt wird. (ID-12297).
- Bei langsamen Oracle-Datenbanksystemen kann es nicht mehr vorkommen, dass angehaltene Aufgaben auf mehreren Schedulern gleichzeitig ausgeführt werden. (ID-15372).
- Durch die Entfernung einer Rolle von einem Benutzer in einer ähnlichen Gruppe von Benutzern werden die Repository-Einträge anderer Benutzer nicht mehr beeinträchtigt. Zudem wird dadurch auch nicht mehr verhindert, diese Benutzer beim Suchen nach einer Rolle zu lokalisieren. (ID-15584).
Ressourcen
Gateway
Allgemein
- In Passwörtern können jetzt einfache Anführungszeichen verwendet werden. (ID-10043).
- Ressourcenassistenten für Host-Adapter verwalten die affinityAdmin-Felder jetzt optimaler und vermeiden so Duplikationen und Nulleinträge. (ID-12024).
- Active Sync-Prozesse, die auf einem Websphere-Cluster mit dem Starttyp „Automatisch mit Failover“ laufen, hängen sich nicht mehr auf. (ID-12540).
- Für einige Ressourcenadapter werden nun Ausschlussregeln angewendet, bevor Benutzer im Rahmen der Abstimmung abgerufen werden. Dadurch können bestimmte Benutzer ausgeschlossen werden und es kann verhindert werden, dass Fehler von der Ressource erzeugt werden. Darüber hinaus kann die Leistung für eine große Anzahl von Benutzern verbessert werden. (ID-14436).
- Identity Manager beachtet nun für eine Ressource die Kombinationseinstellung deny, ignore von unterstützten Funktionen. Bei Auswahl von ignore wird die Aktion nicht ausgeführt, sie wird jedoch in einigen Fällen u. U. in Form einer Meldung auf der GUI angezeigt. (ID-14948).
- Wenn in der Systemkonfiguration gemeinsame Ressourcen für den Gebrauch bei der Anmeldung festgelegt wurden und die Anmeldung einer gemeinsamen Ressource fehlschlägt, schlagen Anmeldungen nicht mehr fehl, solange sich im Stapel des Anmeldemoduls eine andere Ressource befindet, bei der es sich nicht um eine gemeinsame Ressource handelt und für die andere Authentifizierungseigenschaften benötigt werden als für die vorherigen Anmeldemodul-Ressourcen. (ID-15047).
- Active Sync wird nicht mehr weiter ausgeführt, wenn „Konten ohne Übereinstimmung erstellen“ auf „true“ eingestellt ist und die zulässige Fehleranzahl überschritten wird. (ID-15662).
Verzeichnisse
- Der Active Directory-Ressourcenadapter löst bei Angabe eines ungültigen Verschlüsselungstyps jetzt einen Ausnahmefehler aus. Gültige Werte sind nichts (leer), „keiner“, „kerberos“ und „ssl“. (ID-9011).
- Identity Manager fasst jetzt LDAP-Verbindungen in einem Pool zusammen. (ID-10219).
- Die Verwaltung von „Nicht-im-Büro“-Attributen eines Active Directory-Benutzers (Exchange) mit aktivierter E-Mail schlägt nicht mehr fehl, wenn msExchHideFromAddressLists auf „true“ gesetzt ist. Darüber hinaus wurde der Active Directory-Beispielbenutzer aktualisiert, damit Identity Manager keine „Nicht-im-Büro“-Attribute anzeigt, wenn msExchHideFromAddressLists aktiviert ist. (ID-12231).
- Die Active Sync-Verarbeitung von LDAP-Ändenrungsprotokollen behandelt jetzt MODIFY-Änderungstypen ohne Werte. (ID-12298).
- Verbindungen werden beim Abfragen von Ressourcenobjekten nun vom ADSIResourceAdapter geschlossen. (ID-15098).
- Identity Manager liest keine Kontoattribute mehr, die ausschließlich für den Schreibzugriff vorgesehen sind, von einem LDAP-Verzeichnis oder Active Directory (ID-15838).
Mainframe
- Beim RACF-Adapter ruft eine Änderung in DFLTGRP jetzt ein Hinzufügen (falls erforderlich) von DFLTGRP zu den GROUPS hervor, um zu gewährleisten, dass DFLTGRP als neue Standardgruppe eingestellt werden kann. (ID-9987).
- Verbindungen mit dem Mainframe-Ressourcenadapter werden jetzt ordnungsgemäß in Pools zusammengefasst und verursachen kein Aufhängen von Mainframe-Operationen mehr. (ID-12388).
- Die zum Erstellen eines Natural-Ressourcenadapters verwendete Terminalemulation ermöglicht Benutzernamen mit 8 Zeichen Länge und ohne Tabulatorzeichen jetzt die Auswahl des Attributs „Copy Links“. (ID-12503).
- Der standardmäßige RACF-Mechanismus AttrParse zum Angeben von Benutzern wurde erweitert und kann nun eine große Anzahl von „CLASS AUTHORIZATIONS“ und Vorlagenbenutzern mit Gruppeneinträgen wie „GROUP SYS1 USER CONNECTION NOT INDICATED“ bearbeiten. (ID-15021).
- Wenn das Ressourcenaffinitätskonto in RACF ungenügende Berechtigungen zum Anzeigen eines Benutzers hat, zeigt Identity Manager eine entsprechende Fehlermeldung an. (ID-15331).
- Zum Löschen von RACF-Konten fragt das System jetzt mithilfe einer Suchmaske die Dataset-Profile des Benutzers ab, sucht das Dataset sequenziell über diese Profile ab und löscht die einzelnen Datasets (anstatt sie mit DELDSD.** gemeinsam zu löschen). (ID-15413).
- Durch das Löschen eines RACF-Attributs in einem Formular wurde das Attribut für den Benutzer in Identity Manager beim Übermitteln des Formulars nicht gelöscht (nichts geschah). Jetzt wird das Attribut in Identity Manager gelöscht. (ID-15971).
- Der Top Secret-Ressourcenadapter ist nun in der Lage, ASUSPEND, PSUSPEND, VSUSPEND und XSUSPEND bei der Aktivierung und Deaktivierung von Benutzern richtig zu bearbeiten. (ID-16295)
- Es wurde ein Problem im Top Secret-Adapter behoben, durch das unvollständige Benutzerattribute geladen wurden. (ID-16334).
Oracle und Oracle ERP
- Während einer Sitzung mit dem Oracle-Ressourcenadapter werden alle Oracle-Zeiger auch beim Auftreten von Ausnahmefehlern geschlossen. (ID-10357).
- Bei Oracle- und Oracle ERP-Ressourcenadaptern, die mit Oracle RAC-Umgebungen Verbindungen mithilfe eines Thin-Treibers herstellen, sollte das folgende Format verwendet werden: (ID-10875).
jdbc:oracle:thin:@(DESCRIPTION=(LOAD_BALANCE=on)(ADDRESS=(PROTOCOL=TCP)(HOST=host01)(PORT=1521))(ADDRESS=(PROTOCOL=TCP)(HOST=host02)(PORT=1521))(ADDRESS=(PROTOCOL=TCP)(HOST=host03)(PORT=1521))(CONNECT_DATA=(SERVICE_NAME=PROD)))
- Oracle ERP kann optional Konten, die vom Kontoiterator und den listObjects-Schnittstellen zurückgegeben werden, durch Setzen des Ressourcenattributs activeAccountsOnly auf TRUE beschränken. Der Standardwert ist FALSE. Ist er auf FALSE gesetzt, werden alle Konten der betreffenden Ressource zurückgegeben. Ist er TRUE, werden nur Konten zurückgegeben, bei denen SYSDATE (der aktuelle Zeitpunkt) zwischen START_DATE und END_DATE liegt. (ID-12303).
- Die Oracle ERP-Adapter wurden entsprechend aktualisiert, damit PreparedStatements konsistenter geschlossen werden und somit die Anzahl geöffneter Zeiger verringert wird. (ID-12564).
SAP
- Der SAP-Adapter behandelt jetzt Fälle, in denen von der Methode listAllObjects() duplizierte Aktivitätsgruppen zurückgegeben werden. (ID-7776).
- Der SAP-Adapter kann jetzt temporäre generierte Passwörter im WavesetResult-Objekt zurückzugeben, wenn der Adapter das betreffende Passwort nicht als nicht abgelaufen setzen konnte. Dies tritt unter den folgenden Bedingungen auf:
- es wird die Änderung eines Administratorpassworts angefordert und expirePassword = false
- das gewünschte Passwort entspricht nicht den SAP-Passwortrichtlinien
Dieser Fehler tritt höchstwahrscheinlich dann auf, wenn sich das gewünschte Passwort bereits in der SAP-Passwortabfolge befindet.
Das Ressourcenattribut Bei Fehler temporäre SAP-Passwörter zurückgeben wurde erstellt, um diese Fähigkeiten zu aktivieren, funktioniert jedoch zurzeit noch nicht. (ID-12185).
- Der SAP-Adapter überprüft das gewünschte Passwort eines Benutzers jetzt sicherer gegen sein aktuelles Passwort, wenn das Administratorpasswort geändert werden soll und das Flag expirePassword auf „false“ gesetzt ist. Dadurch wird eine Fehlerbedingung verhindert, wenn das gewünschte Passwort und das aktuelle Passwort des Benutzers gleich sind. (ID-12447).
- Durch das Schreiben von SAP-Aktivitätsgruppen und -Profilen in eine CUA-Umgebung (CUA, Central User Administration) wird eine neue Tabellenzeile nicht mehr in zwei Zeilen aufgeteilt, wenn die Daten durch ein Semikolon getrennt sind. (ID-14371).
UNIX
- Die UNIX-Adapters bieten eine grundlegende sudo-Initialsierung und -Zurücksetzung. Wenn jeodch eine Ressourcenaktion definiert wird und im Skript einen Befehl enthält, für den eine sudo-Autorisierung erforderlich ist, müssen Sie den Befehl sudo zusammen mit dem UNIX-Befehl eingeben. (So müssen Sie beispielsweise sudo useradd statt lediglich useradd eingeben.) Befehle, die sudo erfordern, müssen auf der nativen Ressource angemeldet werden. Sie können diese Befehle mithilfe von visudo registrieren. (ID-10206).
- Die Red Hat Linux- und SuSE Linux-Adapters füllen bei Massenprozessen wie z.B. „Aus Ressource importieren“ und „In Datei exportieren“ jetzt die Primärgruppe, Sekundärgruppe sowie die letzten Anmeldefelder. (ID-11627).
Wenn die Schema-Zuordnung anweist, dass das letzte Anmeldefeld verfolgt werden soll, kann sich der betreffende Massenprozess beträchtlich verlangsamen, weil der Adapter für jeden Benutzer einzeln die Informationen der letzten Anmeldung abrufen muss.
- Sie können jetzt das Attribut time_last_login resource auf Solaris-, HP-UX- und Linux-Adaptern zu Attributnamen, die nicht dem Standardwert (letzte Anmeldezeit) entsprechen, zuordnen. (ID-11692).
- Wenn Sie für eine Solaris NIS-Serverressource ein Ressourcenobjekt erstellen, unter „Benutzer“ mehrere Konten auswählen und dann auf Speichern klicken, werden der Gruppendatei im NIS-Passwortquellverzeichnis des verwalteten NIS-Server nun alle Konten hinzugefügt. Dieser Vorgang konnte zuvor nur bei der Auswahl eines Kontos richtig ausgeführt werden. (ID-15085).
- Identity Manager fügt für Solaris NIS nicht mehr das netid-Ziel hinzu, das nicht benötigt wurde und in den Protokollen Fehlermeldungen verursacht hat. (ID-15503).
- Identity Manager verhindert für Solaris NIS nicht mehr den Gebrauch des Befehls sudo, wenn das Verzeichnis, in dem sich die Solaris NIS-Vorlagendateien passwd, shadow und group befinden, vom Administrator schreibgeschützt wurde. (ID-15505).
- Für Solaris NIS werden keine Konten mehr partiell erstellt, wenn die primäre Standardgruppe entweder vollständig fehlt oder deren Name in der Gruppendatei nicht gefunden werden kann. (ID-15509).
- Das Generieren von IDs für Solaris NIS-Benutzer bzw. -Gruppen schlug fehl, wenn in der Ausgangsumgebung keine Benutzer oder Gruppen vorhanden waren. Dieser Fehler wurde korrigiert. Die Vorlagendateien passwd und group befinden sich jetzt nicht mehr im Verzeichnis /etc. (ID-15510).
- Wenn für Solaris NIS zwei Konten nacheinander erstellt werden — wobei für das erste Konto eine Shell angegeben ist, aber für das zweite nicht (entweder ist es in der Datei defadduser nicht definiert oder die Datei defadduser ist nicht vorhanden) —, wird das zweite Konto nicht mehr mit der Shell des ersten erstellt. (ID-15511).
- Bei Solaris NIS wird nun die Datei /usr/sadm/defadduser als optionale Quelle für Standardwerte für neu erstellte Konten verwendet. In vorherigen Versionen von Identity Manager griff das System zum Festlegen der Standard-Primärgruppe neuer Identity Manager-Benutzer auf ein falsches Element dieser Datei zu. Jetzt wird die Standard-Primärgruppe richtig durch das Element defgname gesetzt. Dieser Standardwert für die Primärgruppe wird vom Ressourcenattribut Standardmäßige Primärgruppe überschrieben, das seinerseits von dem Kontenattribut mit demselben Namen überschrieben wird. (ID-15512).
- Identity Manager speichert die verschlüsselten Solaris NIS- und HP-UX NIS-Passwörter bei der Aktualisierung eines Kontos nicht mehr in den NIS-Vorlagendateien passwd und shadow. Der Platzhalterwert „x“ wird nun in der Datei passwd gespeichert. (ID-15593).
- Ein Problem, durch das es möglich war, auf Solaris NIS-Ressourcen Gruppen mit dem Namen oder der ID einer bereits vorhandenen Gruppe zu erstellen, wurde behoben. (ID-15755).
- Beim Löschen eines Benutzers von einer Solaris-Ressource liefert Identity Manager nicht mehr ein fälschlicherweise positives Ergebnis, wenn der Benutzer gerade bei der Ressource angemeldet ist und der Löschvorgang misslingt. (ID-15761).
Andere
- Der SecurID-UNIX-Adapter verarbeitet Benutzerkontenattribute von Identity System bei Änderung der Standardnamen ordnungsgemäß. (ID-10521).
- Wenn Sie mit einer Active Sync-Ressource für PeopleSoft-Komponenten arbeiten, die die Komponentenschnittstelle LH_AUDIT_RANGE_COMP_INTF verwenden, müssen Sie an der Ressource Änderungen vornehmen, wenn Sie die Komponentenschnittstelle LH_AUDIT_RANGE_COMP_INTF weiterhin nutzen möchten. (ID-11226).
Vergewissern Sie sich, dass Ihre Ressource ein Ressourcenattribut auditLegacyGetUpdateRows besitzt und dieses auf „true“ gesetzt ist.
<ResourceAttribute name="auditLegacyGetUpdateRows"
value="true"
displayName="Use Legacy Get Update Rows"
type="boolean"
multi="false"
facets="activesync" >
</ResourceAttribute>
- Sie können jetzt Sun Access Manager Organization-Objekte aus dem Identity Manager-Ressourcenapplet löschen. (Identity Manager löscht anschließend alle untergeordneten Objekte ohne Bestätigung.) (ID-11516).
- Beim Verwalten von SecurId-Benutzern unterstützt Identity Manager jetzt drei Token pro Benutzer. (ID-11723).
- Beim Datenbanktabellenadapter werden Datenbankverbindungen jetzt so schnell wie möglich während der Iteration und des Pollings geschlossen, um zu verhindern, dass nicht verwendete Verbindungen unnötig gehalten werden. (ID-11986).
- Der JMS Listener-Adapter schlägt auf Websphere 6.0 nicht mehr fehl. Durch den Übergang von asynchroner zu synchroner Meldungsverarbeitung funktioniert der JMS Listener jetzt auf J2EE-Servern, die asynchrone JMS-Meldungsverarbeitung innerhalb von Internetanwendungen verhindern. Die Polling-Frequenz muss jetzt für JMS Listener-Ressourcen definiert werden. (ID-12654).
- Die SecurID-Adapter erzwingen die RSA-Voraussetzung, dass das Standard-Anmeldeattribut nur aus englischen Einzelbytezeichen bestehen kann. (ID-13805)
- Passwörter mit Zeichen, die außerhalb des ASCII-7-bit-Bereichs liegen, werden nun vom Gateway richtig eingestellt (Erstellung und Aktualisierung), wenn Identity Manager mit Tivoli Access Manager und Active Directory bereitgestellt wird. (ID-15006).
- Die Ausgabe von Lösch-Skripten, die mit einem Fehler zurückgegeben werden, werden jetzt vom Shell Script-Adapter abgefangen und gemeldet. (ID-15340).
- Der Datenbanktabellenadapter ermöglicht die Angabe des Ressourcenparameters Rethrow all SQLExceptions. Wenn diese Option nicht aktiviert ist, werden bei SQL-Anweisungen, die SQLExceptions mit einem Fehlercode 0 erzeugen, diese Ausnahmen abgefangen und unterdrückt. (ID-15390).
- Ein Problem, das bei Verwendung von Active Sync und der PeopleSoft-Ressource Deadlocks verursachte, wurde behoben. (ID-16109).
Abstimmung
Repository
Rollen
- Rollennamen, die Apostrophe enthalten, werden beim Bearbeiten von Rollen nicht mehr abgeschnitten. (ID-8806).
- Identity Manager behandelt das Hinzufügen bzw. Entfernen von zugewiesenen Gruppen durch Rollenattribute jetzt ordnungsgemäß. (ID-10832).
- Rollen, die in Identity Manager 5.0 erstellt wurden und Unterrollen anderer Rollen waren, enthalten jetzt Verknüpfungen auf ihre übergeordneten Rollen. (ID-11477).
- Bei der Umbenennung einer Ressource referenzieren Rollenattribute jetzt weiter korrekt die jeweilige Ressource. (ID-11689).
- Wenn waveset.roles nur eine Rolle enthält, kann diese durch Massenaktionen entfernt werden. (ID-14568).
- Das System aktualisiert unter- und übergeordnete Rollen während einer SaveAs-Aktion jetzt ordnungsgemäß. (ID-16010).
Sicherheit
- Sie können die ausführlichen, in HTML-Kommentaren enthaltenen Debugging-Informationen unterdrücken, indem Sie die Eigenschaft ui.web.disableStackTraceComments in der Datei Waveset.properties auf „true“ setzen. Wenn Sie von einer früheren Identity Manager-Version aufrüsten, müssen Sie diese Eigenschaft zur Datei config/Waveset.properties hinzufügen. Die Eigenschaft wird ignoriert (was dem Setzen der Eigenschaft auf „false“ entspricht), wenn sie sich nicht in der Eigenschaftendatei befindet. (ID-10499)
- Anonyme Benutzer können jetzt auf verschiedene Objekttypen wie Regeln zugreifen, ohne das verworfene Attribut endUserAccess im Systemkonfigurationsobjekt setzen zu müssen. (ID-11248).
- Zur Konfiguration dieser Version für eine Bereitstellung für eine Clear Trust 5.5.2-Ressource müssen Sie die Datei ct_admin_api.jar von der Clear Trust 5.5.2-Installations-CD installieren. Für die SSL-Kommunikation benötigen Sie keine zusätzlichen Bibliotheken. (ID-12449).
- Während der Erstellung von Admin-Rollen behandelt Identity Manager jetzt das Einbeziehen und Ausschließen aller Objekttypen ordnungsgemäß. (ID-12491).
- Administratoren mit den folgenden Fähigkeiten haben jetzt Zugriff auf die Seite „Ressourcen auflisten“: (ID-12647).
- Sie können einer Passworthistorie eines Benutzers nun beim Erstellen eines Benutzers Passwörter hinzufügen. (ID-15179).
- Genehmiger, die nicht die Organisation an der Hierarchiespitze kontrollieren, können keine vorher genehmigten bzw. abgelehnten Genehmigungsanforderungen anzeigen. (ID-15271)
- Wenn ein Benutzer, der in Besitz noch ausstehender Arbeitselemente ist, gelöscht wird, stellt Identity Manager nun wie folgt sicher, dass die Arbeitselemente nicht verloren gehen: (ID-15868).
- Wenn ein ausstehendes Arbeitselement delegiert und der Delegierende nicht gelöscht wurde, wird das ausstehende Arbeitselement an den Delegierenden zurückgegeben; der Delegierende ist dann der neue Inhaber des Arbeitselements.
- Wenn ein ausstehendes Arbeitselement delegiert und der Delegierende auch gelöscht wurde oder wenn ein ausstehendes Arbeitselement nicht delegiert wurde, schlägt jeder Löschvorgang fehl, bis das ausstehende Arbeitselement des Benutzers entweder aufgelöst oder zu einem anderen Benutzer weitergeleitet wurde.
Server
- Der Anwendungsserver stürzt bei der Verwendung von Oracle OCI-Treibern mit SSL nicht mehr ab. (ID-7109)
- Bei der Anmeldung im Endbenutzermenü wird kein „Null pointer“-Ausnahmefehler mehr ausgelöst, wenn der Identity Manager-Benutzer eine Rolle auf einer Ressource besitzt, in der dieser Benutzer nicht existiert. (ID-12379).
- Die Sitzung wird jetzt während Erweiterungen und Ableitungen ordnungsgemäß konfiguriert, wenn das Erstellen von Ressourcenkonten in Massenaktionen verarbeitet wird. (ID-16181).
- Unter bestimmten Umständen war es möglich, dass eine geplante Aufgabe für eine bestimmte Startzeit von mehreren Servern verarbeitet wurde. Dies kommt nun nicht mehr vor. (ID-16318).
SOAP
SPML 1.0-Aufrufe können jetzt durch debug/callTimer.jsp überwacht werden. Der Aufruf der obersten Ebene (die Methode doRequest() von „com.waveset.rpc.SpmlHandler“) ist zur Ermittlung der SOAP/SPML-Leistung äußerst nützlich. Die Zeitdauern der einzelnen SPML-Methoden (z.B. addRequest) werden zur Überwachung ebenfalls gemessen. (ID-8463).
Workflow
- Unter bestimmten Umständen konnte ein abgelaufenes Arbeitselement ohne Fehlermeldung bearbeitet werden. Jetzt wird ein Fehler zurückgegeben, der angibt, dass das Arbeitselement nicht mehr gültig ist. (ID-15439).
- Die Workflow-Variable WF_ACTION_ERROR wird jetzt beim Auftreten von Fehlern im Remedy-Ressourcenadapter richtig gesetzt. (ID-16360).
- Für weitergeleitete Genehmigungen können jetzt benutzerspezifische E-Mail-Vorlagen (emailTemplate) verwendet werden. Sie müssen die gewünschte Vorlage in den Genehmigungssubprozessen nach ID angeben. (ID-16468)
Weitere behobene Probleme
6496, 8586, 8739, 8958, 8960, 9936, 10235, 10475, 10483, 10832, 11232, 11642, 11767, 11979,12135, 12203, 12234, 12274, 12368, 12377, 12464,12483, 12510, 12585, 12611, 12614, 12673, 12967, 13054, 13338, 13434, 13965, 14044, 14178, 14334, 14792, 14874, 14893, 14899, 15036, 15073, 15219, 15474, 16107, 16282, 16389, 16395, 16610, 17346