|
| |
| Notes de version de Sun Java System Identity Installation Pack 2005Q4M3 SP4 | |
Ajouts et corrections de la documentation
À propos des guides du logiciel de système d’identitéLa documentation du logiciel de système d’identité est organisée en plusieurs guides, qui sont fournis au format Acrobat (.pdf) sur le CD Identity Install Pack. La version inclut les guides suivants.
Logiciel de système d’identité
Installation du package d’installation (Identity_Install_Pack_Installation_2005Q4M3.pdf) — Décrit l’installation et la mise à jour du logiciel de système d’identité.
Identity Manager
- Identity Manager Administration (IDM_Administration_2005Q4M3.pdf) — Présente les interfaces administrateur et utilisateur d’ Identity Manager.
- Identity Manager Upgrade (IDM_Upgrade_2005Q4M3.pdf) — Fournit des informations facilitant la planification et l’exécution des mises à niveau.
Remarque Pour cette version, les publications Identity Manager Technical Deployment et Identity Manager Technical Reference ont été réorganisés en plusieurs ouvrages, à savoir :
- Identity Manager Technical Deployment Overview (IDM_Deployment_Overview_2005Q4M3.pdf) — Présentation conceptuelle du produit Identity Manager (architectures des objets comprise) avec une introduction aux composants de base du produit.
- Identity Manager Workflows, Forms, and Views (IDM_Workflows_Forms_Views_2005Q4M3.pdf) — Informations de référence et procédurales décrivant l’utilisation des flux de travaux, formulaires et vues d’ Identity Manager — inclut des informations sur les outils dont vous avez besoin pour personnaliser ces objets.
- Identity Manager Deployment Tools (IDM_Deployment_Tools_2005Q4M3.pdf) — Informations de référence et procédurales décrivant l’utilisation des différents outils de déploiement d’Identity Manager et notamment des règles et des bibliothèques de règles, des tâches et processus communs, du support des dictionnaires et de l’interface du service Web basée sur SOAP fournie par le serveur Identity Manager.
- Identity Manager Resources Reference (IDM_Resources_Reference_2005Q4M3.pdf)— Informations de référence et procédurales décrivant le chargement et la synchronisation des informations de compte d’une ressource dans Sun Java™ System Identity Manager. Les adaptateurs supplémentaires sont documentés dans ResourcesRef_Addendum_2005Q4M3SP1.pdf
- Identity Manager Audit Logging (IDM_Audit_Logging_2005Q4M3.pdf) — Informations de référence et procédurales décrivant le chargement et la synchronisation des informations de compte d’une ressource dans Sun Java™ System Identity Manager.
- Identity Manager Tuning, Troubleshooting, and Error Messages (IDM_Troubleshooting_2005Q4M3.pdf) — Informations de référence et procédurales décrivant les messages d’erreur et les exceptions d’ Identity Manager, fournit des instructions pour le suivi et le dépannage des problèmes auxquels vous risquez de vous heurter en travaillant.
Identity Auditor
Identity Auditor Administration (IDA_Administration_2005Q4M3.pdf) : contient la présentation de l’interface administrateur d’Identity Auditor.
Identity Manager Service Provider Edition
- Identity Manager Service Provider Edition Administration Addendum (SPE_Administration_Addendum_2005Q4M3SP1.pdf) : présente les fonctions d’Identity Manager SPE.
- Identity Manager Service Provider Edition Deployment (SPE_Deployment_2005Q4M3_SP1.pdf) : fournit des informations sur le déploiement d’Identity Manager SPE.
Navigation dans les guides en ligneUtilisez la fonction Signets d’Acrobat pour naviguer dans les guides. Cliquez sur le nom d’une session dans le panneau des signets pour aller directement à son emplacement dans le document.
L’ensemble de documentation d’Identity Manager peut être visualisé depuis toute installation d’Identity Manager en navigant vers idm/doc dans un navigateur Web.
Installation du package d’installationCorrections
Préface
La référence croisée erronée à l’Annexe H dans Comment trouver les informations dans ce guide a été supprimée. (ID-12369)
Chapitre 1 : Opérations préliminaires à l’installation
- Microsoft Exchange 5.5 a été supprimé du tableau des ressources prises en charge. Il a été désapprouvé. (ID-12682)
- Lotus Notes® 6.5.4 (Domino) a été ajouté au tableau des ressources prises en charge. (ID-12226)
- JDK 1.5 a été ajouté comme version de Java prise en charge à plusieurs reprises. (ID-12984)
- Les informations SAP des systèmes ERP dans le tableau des ressources prises en charge ont été modifiées comme suit : (ID-12635)
- Les informations Red Hat dans le tableau des ressources prises en charge ont été modifiées comme suit :
- La section Serveurs de bases de données de référentiel et les informations ci-après ont été ajoutées dans Logiciels et environnements pris en charge : (ID-12425)
Chapitre 2 : Installation d’Identity Install Pack pour Tomcat
Le chapitre couvre désormais le serveur d’application Apache Tomcat, Versions 4.1.x ou 5.0.x.
Chapitre 4 : Installation d’Identity Install Pack pour Websphere
- Le chapitre traite maintenant de l’installation de Websphere 5.1 express et 6.0. (ID-12655, 12656) Les remarques et informations suivantes ont été ajoutées aux points indiqués :
Remarque L’étape suivante n’est pas nécessaire pour installer Identity Install Pack 6.0 ou version ultérieure.
4. Passez au répertoire de transfert et supprimez les fichiers suivants, au besoin :
WEB-INF\lib\cryptix-jce-provider.jar
WEB-INF\lib\cryptix-jce-api.jar
25. Téléchargez le plus récent jlog package de WebSphere à l’adresse :
http://www.alphaworks.ibm.com/tech/loggingtoolkit4j
Remarque Le jlog package est dorénavant intégré à WebSphere’6.0. Ne le téléchargez que pour les versions antérieures.
- Étant donné que vous devez installer JDK 1.4.2 pour cette version, la section Pour JDK 1.3.x : n’est plus applicable. Dans le même chapitre, la section Pour JDK 1.4 doit être remplacée par Pour JDK 1.4.2.
Chapitres 7 et 8 : Installation d’Identity Install Pack pour Sun ONE/Sun Java System Application Server 7/8
- Les informations corrigées suivantes ont été ajoutés dans les Étapes d’installation > Étape 5 : Edit the server.policy File > exemples de permission : (ID-12292)
permission java.io.FilePermission "/opt/SUNWappserver/domains/domain1/applications/j2ee-modules/ idm/config/trace1.log", "read,write,delete";
permission java.io.FilePermission "$(java.io.tmpdir)$(/)*", "read,write,delete";
- Les informations suivantes ont été ajoutés dans les Étapes d’installation > Étape 5 : Edit the server.policy File > exemples de permission :
Pour exécution avec Identity Manager Service Provider Edition, ajoutez la permission suivante aux entrées de fichier server.policy ci-dessus.
permission java.lang.RuntimePermission "shutdownHooks";
Chapitre 14 : Désinstallation des applications
_Version_ a été supprimé de l’exemple de syntaxe dans Supprimer le logiciel > sous UNIX > Étape 3. (ID-7762)
Chapitre 15 : Installation des applications (installation manuelle)
L’exemple de syntaxe a été corrigé dans Étapes d’installation > Étape 3: Configuration de l’identité Pack d’installation Connexion à la base de données index > Environnements non-Xwindows > Étape 3 à : (ID-5821)
3. Définissez votre clé de licence avec les commandes suivantes :
cd idm/bin
./lh license set -f LicenseKeyFileAnnexe A : Référence de la base de données index
La ligne décrivant le serveur SQL a été modifiée de la manière suivante :
Annexe C : Configuration des sources de données pour Identity Manager
- Plusieurs URL IIOP ne sont pas prises en charge. (ID-12499) Les informations erronées suivantes ont été supprimées de Configuration d’une source de données WebSphere pour Identity Manager > Configuration d’une source de données Websphere 5> Configuration d’une source de données dans un cluster Websphere :
Lorsque les serveurs d’application n’ont pas le même port spécifié dans la propriété BOOTSTRAP_ADDRESS, java.naming.provider.url peut spécifier plusieurs URL, par exemple :
iiop://localhost:9812,iiop://localhost:9813.
- Toutes les propriétés j2c.qui étaient utilisées dans la version 5 de WebSphere font maintenant partie du fichier resources.xml dans WebSphere version 6. Des informations relatives à Configuration d’une source de données Websphere 5.1/6.x et à Configuration des données d’authentification 6.x ont été ajoutées. Les informations relatives à Configuration d’une source de données Websphere 4.x ont été supprimées. (ID-12767) Modifications concernées dans les sections suivantes :
Configuration d’un fournisseur JDBC
Utilisez la console d’administration de WebSphere pour configurer un nouveau fournisseur JDBC.
- Cliquez sur l’onglet Resources dans le panneau de gauche pour afficher la liste des types de ressources.
- Cliquez sur JDBC Providers pour afficher un tableau des fournisseurs JDBC configurés.
- Cliquez sur le bouton New au-dessus du tableau des fournisseurs JDBC configurés.
- Choisissez le type jdbc et le type d’implémentation dans la liste des types de bases de données JDBC. Cliquez sur Next.
Oracle, Oracle JDBC Drive, et Connection pool Data Source sont utilisés dans cet exemple.
- Continuez la configuration des propriétés générales.
- Spécifiez le nom.
- Spécifiez le chemin d’accès au JAR qui contient le pilote JDBC dans le champ Classpath. Par exemple, pour spécifier le pilote léger Oracle, spécifiez un chemin d’accès similaire au suivant :
/usr/WebSphere/AppServer/installedApps/idm/idm.ear/idm.war/WEB- INF/lib/oraclejdbc.jar
Remarque Vous pouvez utiliser la console d’administration pour spécifier le chemin d’accès au JAR qui contient le pilote JDBC. Dans le menu intitulé Environment, sélectionnez l’option WebSphere Variable. Dans ce panneau, choisissez d’abord le noeud, de cellule et le serveur pour lesquels définir cette variable d’environnement. Spécifiez ensuite le chemin d’accès au JAR comme valeur de cette variable.
- Spécifiez le nom entièrement qualifié de la classe JDBC Driver dans le champ Implementation ClassName.
- Vous pouvez aussi changer le nom ou la description du fournisseur à votre guise.
Un fois terminé, cliquez sur le bouton OK en bas du tableau. Le panneau de droite doit afficher le fournisseur que vous avez ajouté.
Pour configurer une source de données qui utilise ce fournisseur JDBC, consultez « Pointer le référentiel Identity Manager vers la source de données ».
Configuration d’une source de données JDBC Websphere
Avant de terminer la configuration de la source de données, vous devez configurer les données d’authentification. Les alias contiennent les informations d’identification utilisées pour connexion aux DBMS.
Configurez les données d’authentification 5.1
- Cliquez sur l’onglet Security dans le panneau de gauche pour afficher la liste des types de configuration de sécurité.
- Cliquez sur l’onglet JAAS Configuration dans le panneau de gauche pour afficher la liste des types de configuration JAAS.
- Cliquez sur l’onglet J2C Authentication Data dans le panneau de gauche. Le panneau de droite affiche le tableau des entrées de données d’authentification.
- Cliquez sur le bouton New au-dessus du tableau des entrées de données d’authentification. Le panneau de droite affiche le tableau des propriétés générales qui peuvent être configurées.
- Configurez les propriétés générales de la nouvelle entrée de données d’authentification. Notez ce qui suit :
Configurez ensuite la source de données.
Configurez les données d’authentification 6.x
- Cliquez sur Security > Global security.
- Sous Authentication, cliquez sur JAAS configuration > J2C authentication data. Le panneau J2C Authentication Data Entries est affiché.
- Cliquez sur New.
- Entrez un alias unique, une ID utilisateur valide, un mot de passe valide et une courte description (facultative).
- Cliquez sur OK ou sur Apply. Aucune validation de l’ID et du mot de passe utilisateur n’est requise.
- Cliquez sur Save.
Remarque L’entrée juste créée est visible sans redémarrer le processus du serveur d’application pour utilisation dans la définition de source de données. Toutefois l’entrée ne prend effet qu’après redémarrage du serveur.
Configurez la source de données
Remarque Si vous configurez une source de données dans un cluster Websphere 5.x, consultez “Configurer la source de données dans un cluster Websphere” pour des informations plus détaillées.
- Cliquez sur l’onglet Resources dans le panneau de gauche pour afficher la liste des types de ressources.
- Cliquez sur JDBC Providers pour afficher un tableau des fournisseurs JDBC configurés.
- Cliquez sur le nom d’un fournisseur JDBC dans le tableau. Le panneau de droite affiche le tableau des propriétés générales configurées pour le fournisseur JDBC sélectionné.
- Faites défiler jusqu’au tableau de propriétés supplémentaires. Cliquez sur Data Sources. Le panneau de droite affiche le tableau des sources de données configurées pour utilisation avec ce fournisseur JDBC.
Remarque Notez le champ Scope en haut du cadre dans la console d’administration de WebSphere. Vérifiez que Node et Server sont vides que sorte que les informations de cellule soient présentées pour configuration sous les boutons New et Delete.
- Cliquez sur le bouton New au-dessus du tableau des sources de données. Le panneau de droite affiche le tableau des propriétés générales à configurer.
- Configurez les propriétés générales de la nouvelle source de données. Notez ce qui suit :
- JNDI Name est le chemin d’accès à l’objet source de données dans le service de répertoire.
Vous devez spécifier cette même valeur comme argument -f dans
setRepo -tdbms -iinitCtxFac -ffilepath.- Container-managed persistence ne doit pas être coché. Identity Install Pack n’utilise pas les Enterprise Java Beans (EJB).
- Component-managed Authentication Alias pointe vers les informations d’identification utilisées pour accéder au DBMS (vers lequel cette source de données pointe).
- Sélectionnez dansla liste déroulante l’alias qui contient l’ensemble d’informations d’identification DBMS approprié. Pour plus d’informations, voir Configurez les données d’authentification 5.1.
- Container-managed Authentication Alias n’est pas utilisé Définissez cette valeur sur (none). Identity Install Pack établit sa propre connexion au DBMS (vers lequel cette source de données pointe).
- Cliquez sur OK une fois panneau configuré. La page Data Sources est affichée.
- Cliquez sur la source de données que vous avez créée. Faites ensuite défiler jusqu’au tableau des propriétés supplémentaire près du bas. Cliquez sur le lien Custom Properties.
Le panneau de droite affiche le tableau des propriétés DBMS spécifiques.
- Configurez les propriétés personnalisées pour cette source de données. Cliquez sur le lien de chaque propriété pour définir sa valeur. Notez ce qui suit :
- URL est la seule propriété obligatoire. Cette URL de base de données identifie l’instance de base de données qui contient driverType, serverName, portNumber et databaseName. Vous pouvez aussi spécifier certaines de ces propriétés individuelles.
- dans cet exemple, driverType est léger.
- serverName est un nom d’hôte (ou une adresse IP).
- databaseName est généralement un nom de base de données court.
- portNumber est 1521 par défaut pour Oracle.
- preTestSQLString peut être configuré sur une valeur comme SELECT 1 FROM USEROBJ. La demande SQL confirme que le tableau USERJOB existe et qu’il est accessible.
- Depuis le tableau des propriétés supplémentaires, vous pouvez aussi cliquer sur le lien Connection Pool si vous souhaitez configurer ces propriétés pour le réglage des performances.
Annexe E : Configuration JCE
La remarque suivante doit figurer :
Remarque Étant donné que vous devez installer JDK 1.4.2 pour cette version, tous les environnements pris en charge devraient disposer de JCE 1.2 et les informations contenues dans cette annexe ne sont plus applicables.
Ajouts
Chapitre 1 : Opérations préliminaires à l’installation
- La remarque suivante a été ajoutée sous Configuration du flux de tâches > Puce Installer et configurer le logiciel Identity Install Pack : (ID-8431)
Remarque Sur les systèmes Unix ou Linux :
- Lors de l’installation des versions 5.0 – 5.0 SP1 d’Identity Install Pack, /var/tmp doit exister et être inscriptible par l’utilisateur qui exécute le programme d’installation.
- Lors de l’installation des versions 5.0 SP2 et supérieures d’Identity Install Pack, /var/opt/sun/install doit exister et être inscriptible par l’utilisateur qui exécute le programme d’installation.
- Les notes suivantes ont été ajoutées aux tâches préalables > Configurer une base de données index > Configurer un serveur SQL > étape 3b : (ID-11835)
Remarque Les fichiers suivants doivent se trouver dans le répertoire $WSHOME/WEB-INF/lib :
db2jcc
db2jcc_license_cisuz.jar or db2jcc_license_cu.jar- La note suivante a été ajoutée sous Logiciels et environnements pris en charge > Serveurs d’application : (ID-12385)
Remarque Votre conteneur de serveur d’application actuel doit prendre UTF-8 en charge.
Chapitre 2 : Installation d’Identity Install Pack pour Tomcat
- L’étape suivante a été ajoutés dans les Étapes d’installation > Étape 1 : Installer le logiciel Tomcat > Installation sur UNIX : (ID-12487)
2. Ajoutez les fichiers Java mail.jar et activation.jar au répertoire ./tomcat/common/lib. Les fichiers jar mail et activation se trouvent à l’adresse :
http://java.sun.com/products/javamail
http://java.sun.com/products/beans/glasgow/jaf.html- Les étapes suivantes ont été ajoutées dans les Étapes d’installation > Étape 1 : Installer le logiciel Tomcat > Installation sur UNIX : (ID-12462)
3. Lorsque vous configurez Tomcat pour la prise en charge UTF-8, ajoutez l’attribut URIEncoding="UTF-8" à l’élément connector dans le fichier TOMCAT DIRconf/server.xml, par exemple :
<!—Définissez un connecteur Coyote HTTP/1.1 non SSL sur le port spécifié pendant l’installation -->
<Connector port="8080"
maxThreads="150"
minSpareThreads="25"
maxSpareThreads="75"
enableLookups="false" redirectPort="8443"
acceptCount="100" debug="0" connectionTimeout="20000"
disableUploadTimeout="true"
URIEncoding="UTF-8" />
4. Lorsque vous configurez Tomcat pour la prise en charge UTF-8, ajoutez également -Dfile.encoding=UTF-8 dans vos options de machine virtuelle Java.
Chapitre 13 : Mise à jour d’Identity Manager
Une référence croisée vers la mise à niveau d’Identity Manager pour aider les utilisateurs à trouver les informations de mise à niveau complètes a été ajoutée. (ID-12366)
Chapitre 15 : Installation des applications (installation manuelle)
La remarque suivante a été ajoutée dans les Étapes d’installation > Étape 2 : Installer le logiciel d’application : (ID-8344)
Remarque À partir de la version 5.0 SP3, les classes d’adaptateur sont contenues dans le fichier idmadapter.jar. Si vous disposez d’un adaptateur personnalisé, vous devez peut-être mettre à jour votre chemin de classe.
Annexe B : Configuration de MySQL
Les informations suivantes ont été ajoutées sous Configuration de MySQL > étape 3 Démarrage du processus MySql : (ID-12461)
Si ce processus n’a pas été démarré, procédez comme suit pour enregistrer et démarrer MySQL.
Sous Windows, si vous installez un autre répertoire que c:\mysqlcréez un fichier appelé c:\my.cnf avec le contenu suivant :[mysqld]
basedir=d:/mysql/
default-character-set=utf8
default-collation=utf8_binSous Windows, installez et démarrez le service :
cd <MySQL_Install_Dir>/bin
mysqld-nt --install
net start mysqlAnnexe C : Configuration des sources de données pour Identity Manager
Les informations suivantes ont été ajoutées sous Configurer une source de données Websphere pour Identity Manager > Pointer le référentiel Identity Manager vers la source de données : (ID-12071)
8. Pointez le référentiel vers le nouvel emplacement. Par exemple :
lh -Djava.ext.dirs=$JAVA_HOME/jre/lib/ext:$WAS_HOME/lib setRepo
-tdbms -iinitCtxFac
-ffilepath -uiiop://localhost:bootstrap_port
-Uusername
-Ppassword
-toracle icom.ibm.websphere.naming.WsnInitialContextFactory - fDataSourcePathDans l’exemple ci-dessus, DataSourcePath peut être jdbc/jndiname. bootstrap_port est le port d’adresse de démarrage du serveur WebSphere.
L’option -Djava.ext.dirs ajoute tous les fichiers JAR dans les répertoires WebSphere lib/ et java/jre/lib/ext/ à CLASSPATH. Cela est nécessaire pour que la commande setrepo fonctionne normalement.
Changez l’option -f pour qu’elle corresponde à la valeur spécifiée pour le champ JNDI Name lors de la configuration de la source de données. Voir Référence setrepo pour plus d’informations sur cette commande.
Guide Identity Manager UpgradeAjouts
Chapitre 1 : Vue d’ensemble de la mise à niveau
L’élément suivant a été ajouté dans la section Exemple de mise à niveau: (ID-12467)
Soyez prudent lorsque vous éditez le champ de super rôle dans le formulaire de rôle. Le super rôle peut-être lui même un rôle imbriqué. Les super et sous-rôles indiquent une imbrication des rôles et de leurs ressources ou groupes de ressources associés. Lorsqu’il est appliqué à un utilisateur, le super rôle inclut les ressources associées à tout sous-rôle désigné. Le champ de super rôle est affiché pour indiquer les rôles qui contiennent le rôle affiché.
Chapitre 3 : Développer le plan de mise à niveau
Ce qui suit a été ajouté à la section Mise à niveau de l’environnement d’Identity Manager 5.x vers 6.x. (ID-12361)
Étape 2 : Mettre à jour le schéma de la base de données référentielle
Identity Manager 6.0 introduit un changement de schéma qui fournit de nouveaux tableaux pour les tâches, les groupes, les organisations et le tableau du journal syslog. Vous devez créer ces nouvelles structures de tableaux et déplacer les données existantes.
Remarque Avant de mettre à jour le schéma du référentiel, effectuez une sauvegarde complète des tableaux de référentiel.
- Identity Manager utilise deux tableaux pour stocker les objets utilisateur. Les exemples de script (dans le répertoire sample) peuvent servir à effectuer les modifications de schéma.
Reportez-vous au script sample/upgradeto2005Q4M3.DatabaseName pour mettre à jour vos tableaux de référentiel.
Remarque La mise à niveau des bases de données MySQL est très intense. Pour plus d’informations à ce sujet, reportez-vous au fichier sample/upgradeto2005Q4M3.mysql.
Guide Identity Manager AdministrationAjouts
- Si l’ouverture est configurée, créer un utilisateur crée un élément de travail qui peut être affiché depuis l’onglet Approbations. Approuver cet élément remplace la date d’ouverture et crée le compte, rejeter l’élément annule la création du compte.
- Lors de la planification de la réconciliation, vous pouvez fournir le nom d’une règle pour qu’elle soit utilisée pour personnaliser la planification. Par exemple, une règle pourra repousser les réconciliations prévues pour un samedi au lundi suivant. (ID-11391)
Chapitre 4 : Administration
Délégation des approbations
Si vous avez des capacités d’approbateur, vous pouvez déléguer vos futures demandes d’approbation à un ou plusieurs utilisateurs (délégués) pendant une durée spécifique. Il n’est pas nécessaire que les utilisateurs possèdent des capacités d’approbateur pour être délégués.
La fonction de délégation ne s’applique qu’aux demandes d’approbation à venir. Les demandes existantes (qui figurent dans l’onglet En attente d’approbation) sont transmises par la fonction de transfert.
Pour configurer la délégation, sélectionnez l’onglet Delegate My Approvals dans la zone Approvals.
Remarques
- L’accès à la fonction délégation est disponible si vous possédez une capacité qui vous octroie le droit d’accès à WorkItem ou toute extension authType de WorkItem, notamment Approval, OrganizationApproval, ResourceApproval et RoleApproval ; ou tout sous-type personnalisé qui étend WorkItem ou l’un de ses authTypes.
- Vous pouvez aussi déléguer les approbations depuis l’onglet de formulaire Security des pages Create/Edit/View User et depuis le menu principal de l’interface utilisateur.
Les délégués peuvent approuver pour votre compte toutes les demandes pendant la période de délégation effective. Les demandes d’approbation déléguées contiennent le nom du délégué.
Entrées du journal d’audit pour les demandes
Les entrés du journal d’audit pour les demandes d’approbation approuvées et rejetées contiennent votre nom (le délégataire) si la demande est déléguée. Les modifications des informations d’approbateur délégué d’un utilisateur sont journalisées dans la section des modifications détaillées de l’entrée du journal d’audit lorsqu’un utilisateur est créé ou modifié.
Chapitre 5 : Configuration
Configuration des attributs d’identité à partir des changements de ressource
Les attributs d’identité définissent la relation mutuelle des attributs sur les ressources. Lorsque vous créez ou modifiez une ressource, les relations de ces attributs peuvent être affectées.
Lorsque vous enregistrez une ressource, Identity Manager affiche la page Configurer les attributs d’identité ? Dès lors, vous pouvez choisir parmi les possibilités suivantes :
- Continuer vers la page Configurer les attributs d’identité à partir des modifications apportées aux ressources et configurer les attributs. Cliquez sur Oui pour continuer.
- Revenir à la liste de ressources. Cliquez sur Non pour revenir.
- Désactiver cette page pour les prochaines mises à jour de la ressource. Cliquez sur Ne plus me poser cette question pour désactiver cette page.
Remarque Le bouton Ne plus me poser cette question n’est visible que pour les utilisateurs qui ont la capacité de modifier la métavue.
Page Réactiver la configuration des attributs d’identité ?
Lorsque cette page est désactivée, utilisez l’une des méthodes suivantes pour la réactiver :
- Utilisez la fonction de débogage d’Identity Manager pour éditer l’objet WSUser de l’utilisateur connecté. Changez la valeur de la propriété idm_showMetaViewFromResourceChangesPage pour vrai.
- Ajoutez un champ similaire à l’exemple suivant au formulaire utilisateur (par exemple, le Tabbed User Form) puis utilisez la page Edit User pour changer la valeur de ce paramètre :
<Field name=‘accounts[Lighthouse].properties.displayMetaViewPage’>
<Display class=‘Checkbox’>
<Property name=‘label’ value=‘Display Meta View?’/>
</Display>
</Field>Configuration des attributs
Utilisez Configurer les attributs d’identité de la page des modifications apportées aux ressources afin de sélectionner les attributs dans les cartes schématiques des ressources modifiées à utiliser comme sources et cibles des attributs d’identité. Dans certains cas, vous ne pouvez pas sélectionner d’attributs dans les colonnes Source et Cible. Vous ne pouvez pas sélectionner un attribut comme source dans les cas suivants :
Vous ne pouvez pas sélectionner un attribut comme cible dans les cas suivants :
- Un attribut d’identité est stocké de façon globale sous le même nom. Par exemple, s’il existe un attribut d’identité global intitulé « firstname », l’option cible de firstname est sélectionnée et ne peut pas être désélectionnée.
- L’attribut est marqué en lecture seule dans la carte schématique.
- Les fonctions de création et de mise à jour de la ressource sont désactivées et ne sont pas prises en charge par la ressource.
Chapitre 7 : Sécurité
- La remarque suivante a été insérée dans la section « Configuring Authentication for Common Resources » (Configuration de l’authentification des ressources communes). (ID-16805)
Toutes les ressources listées dans un groupe de ressources communes doivent également être incluses dans la définition du module de connexion. Si une liste complète des ressources communes ne figure pas non plus dans la définition du module de connexion, cette fonctionnalité ne se comportera pas correctement.
- Des informations relatives aux limitations de session de connexion simultanée ont été ajoutées. (ID-12778)
Limitation des sessions de connexion simultanées
Par défaut, un utilisateur d’Identity Manager peut disposer de sessions de connexion simultanées. Vous pouvez toutefois limiter les sessions simultanées à une par application de connexion en changeant la valeur de l’attribut de configuration security.authn.singleLoginSessionPerApp dans l’objet configuration système. Cet attribut est un objet qui contient un attribut pour chaque nom d’application de connexion (par exemple, l’interface administrateur, l’interface utilisateur ou BPE). Changer la valeur de cet attribut pour vrai impose une session à connexion unique à chaque utilisateur.
Dans ce cas, un utilisateur ne peut se connecter qu’à une seule session ; toutefois, seule la dernière session de connexion demeure active et valide. Si l’utilisateur exécute une action dans une session invalide, il est automatiquement forcé hors de la session et celle-ci se termine.
Chapitre 8 : Génération de rapports
Dans la section intitulée Rapports récapitulatifs, la description du rapport utilisateur contient désormais la capacité de rechercher les utilisateurs par responsable : (ID-12690)
Chapitre 10 : PasswordSync
- Des instructions de configuration de Windows PasswordSync avec un serveur Sun JMS ont été ajoutées. Voir le document Configuration de PasswordSync avec un serveur Sun JMS qui accompagne ces notes de version. (ID-11788)
- La nouvelle section suivante sur la description de l’architecture haute disponibilité avec un basculement pour PasswordSync a été ajoutée. (ID-12634)
- Une section qui décrit comment implémenter PasswordSync sans utiliser de serveur de messagerie Java a été ajoutée. (ID-14974)
Déploiement de basculement pour Windows PasswordSync
L’architecture de PasswordSync permet l’élimination d’un tous les points d’échec individuels du déploiement de la synchronisation de mot de passe Windows pour Identity Manager.
Si vous configurez chaque Active Directory Domain Controller (ADC) pour se connecter à l’un parmi une série de clients JMS par l’intermédiaire d’un équilibrage de charge (voir la figure ci-après), les clients JMS peuvent envoyer des messages à un cluster Message Queue Broker, qui assure qu’aucun message n’est perdu en cas de défaillance d’une file d’attente de messages.
Remarque Votre cluster Message Queue nécessitera probablement une base de données pour la permanence des messages. (Les instructions de configuration d’un cluster Message Queue broker doivent être fournies dans la documentation de votre fournisseur.)
Le serveur Identity Manager qui exécute l’adaptateur JMS Listener configuré pour basculement automatique contactera le cluster Message Queue broker. Bien que l’adaptateur ne s’exécute que sur un seul Identity Manager à la fois, en cas de défaillance du serveur ActiveSync principal, l’adaptateur commence à rechercher les messages relatifs à un mot de passe sur un serveur Identity Manager secondaire et à propager les changements de mot de passe vers les ressources en aval.
Implémentation de PasswordSync sans service de messagerie Java
Pour implémenter PasswordSync sans JMS, lancez l’application de configuration avec l’indicateur suivant :
Configure.exe -direct
Lorsque l’indicateur -direct est spécifié, l’application de configuration affiche l’onglet User. Configurez PasswordSync à l’aide des procédures décrites dans « Configuration de PasswordSync », avec les exceptions suivantes :
Si vous implémentez PasswordSync sans JMS, il est inutile de créer un adaptateur JMS Listener. Par conséquent, omettez les procédures indiquées dans « Déploiement de PasswordSync ». Si vous souhaitez configurer des notifications, vous devrez peut être modifier le flux de travaux Changer le mot de passe utilisateur.
Remarque Si vous exécutez ultérieurement l’application de configuration sans spécifier l’indicateur -direct, la configuration de PasswordSync nécessite un JMS. Relancez l’application avec l’indicateur -direct pour contourner à nouveau le JMS.
Corrections
Chapitre 5 : Ressources
Dans le tableau de classes de ressources personnalisées, la classe de ressource personnalisée pour l’adaptateur ClearTrust a été corrigée comme suit : (ID-12681)
com.waveset.adapter.ClearTrustResourceAdapter
Chapitre 10 : PasswordSync
Dans la section intitulée Configuration de PasswordSync, sous Boîte de dialogue des paramètres JMS, la description suivante Queue Name a été corrigée comme suit :
lh Reference
La syntaxe de commande a été mise à jour pour indiquer correctement un espace après les options spécifiées. (ID-12798)
Lorsque vous utilisez l’option -p, pour des raisons de sécurité, Password doit être spécifié sous forme de chemin d’accès à un fichier texte contenant un mot de passe, plutôt que directement au niveau de la ligne de commande.
Exemples
Commande license
Utilisation
license [options] { status | set {paramètres} }
Options
Les paramètres de l’option set doivent adopter la forme -f File.
Identity Manager Workflows, Forms, and ViewsChapitre 1 : Flux de travaux
La présentation des actions manuelles dans ce chapitre doit contenir les informations suivantes :
Si le type itemType d’un élément de travail est défini sur l’assistant, l’élément de travail contournera par défaut l’obtention d’approbateurs de transfert lors de l’extraction de la vue Élément de travail. Si le type d’élément (itemType) est différent de l’assistant, Identity Manager extrait toujours les approbateurs de transfert à moins que la liste CustomUserList soit définie sur true (vrai) en tant que propriété du formulaire utilisée avec l’action manuelle. (ID-10777)
Pour cela, incluez le code suivant dans le formulaire:
<Form>
<Properties>
Property name=‘CustomUserLists’ value=‘true’/>
</Properties>
Chapitre 2 : Services de flux de travaux
- Le tableau Arguments du service de flux de travaux de session createView est inexact. Le tableau suivant décrit les arguments disponibles dans ce service.
- Identity Manager offre la méthode de service de flux de travaux checkStringQualityPolicy, qui contrôle la valeur d’une chaîne désignée par rapport à la stratégie associée à la chaîne. (ID-12428, 12440)
La méthode retourne un objet checkPolicyResult. Une valeur true indique que la chaîne passe le test de la stratégie. Si la chaîne ne passe pas le test de la stratégie, la méthode retourne un message d’erreur. Si vous avez défini l’option returnNull sur true dans le paramètre map, la méthode retourne un objet nul après réussite.
- Identity Manager propose désormais le service de flux de travaux auditPolicyScan (ID-12615). Faites appel à ce service de flux de travaux pour analyser les violations de stratégie d’audit de l’utilisateur en fonction des stratégies qui lui ont été assignées. Lorsqu’aucune stratégie n’est assignée à l’utilisateur, Identity Manager utilise une stratégie assignée à l’organisation, le cas échéant.
Cette méthode admet un argument, view, qui spécifie la vue Utilisateur de l’utilisateur indiqué. Elle retourne la variable de flux de travaux checkPolicyResult. Cette variable contient l’une de ces valeurs :
Chapitre 3 : Formulaires
Identity Manager peut déterminer dans l’affichage si un attribut dans une carte schématique de ressource est requis. Le formulaire Éditer l’utilisateur indique ces attributs par un * (astérisque). Par défaut, Identity Manager affiche cet astérisque après le champ de texte qui suit le nom de l’attribut. (ID-10662)
Pour personnaliser l’emplacement de l’astérisque, procédez comme suit :
- À l’aide de l’éditeur BPE ou XML d’Identity Manager de votre choix, ouvrez l’objet de configuration Component Properties.
- Ajoutez EditForm.defaultRequiredAnnotationLocation=left à l’indicateur <SimpleProperties>.
La valeurs correctes pour defaultRequiredAnnotationLocation comprennent left, right, et none.
- Enregistrez vos modifications et redémarrez votre serveur d’application.
Chapitre 4 : Méthodes FormUtil
- Identity Manager offre la nouvelle méthode FormUtil checkStringQualityPolicy, qui contrôle la valeur d’une chaîne désignée par rapport à la stratégie associée à la chaîne. (ID-12428, 12440)
checkStringQualityPolicy(LighthouseContext s, String policy, Object value, Map map, List pwdhistory, String owner)
Cette méthode retourne une valeur true pour indiquer que la chaîne passe le test de la stratégie. Si la chaîne ne passe pas le test de la stratégie, la méthode retourne un message d’erreur. Si vous avez défini l’option returnNull sur true dans le paramètre map, la méthode retourne un objet nul après réussite.
- Identity Manager offre désormais la méthode FormUtil controlsAtLeastOneOrganization. (ID-9260)
controlsAtLeastOneOrganization(LighthouseContext s, List organizations)
throws WavesetException {
Détermine si un utilisateur actuellement authentifié contrôle les organisations spécifiées sur une liste d’un ou plusieurs noms d’organisation (ObjectGroup). La liste des organisations prises en charge comprend celles retournées en listant tous les objets de type ObjectGroup.
Cette méthode retourne :
true – Indique que l’utilisateur actuellement authentifié d’Identity Manager contrôle l’une des organisations de la liste.
false – Indique que l’utilisateur actuellement authentifié d’Identity Manager ne contrôle aucune des organisations de la liste.
Chapitre 5 : Vues
Types de compte
Cette version d’Identity Manager offre une aide pour assigner plusieurs comptes aux utilisateurs sur une ressource contenant des types de compte. (ID-12697) Vous pouvez désormais assigner facultativement un type de compte à une ressource lorsque vous assignez des ressources à un utilisateur, avec les limitations suivantes :
Un administrateur doit préalablement définir un type de compte sur une ressource avant de pouvoir l’associer à une ressource. Une IdentityRule doit aussi être définie. (Voir samples/identityRules.xml pour des exemples de règles d’identité.)
Identity Manager utilise le sous-type IdentityRule pour associer une règle à un type de compte. Cette règle génère les accountIds selon les besoins. (Ces règles fonctionnent de façon similaire au modèle d’identité, mais sont implémentées dans XPRESS et peuvent accéder à l’API LighthouseContext).
Consultez Identity Manager Administration pour le mode d’emploi de l’interface administrateur d’Identity Manager pour assigner des types de comptes aux ressources.
Omission du type de compte
Si vous omettez le type de compte d’une ressource, Identity Manager assigne le type de compte par défaut, qui offre une compatibilité ascendante. Toutefois, lorsqu’une ressource n’a pas de type de compte défini, cette fonction est désactivée.
Le type de compte par défaut utilise le modèle d’identité. Toutefois, vous pouvez aussi spécifier que le type par défaut utilise une règle spécifiée au lieu du modèle d’identité.
Le type de compte par défaut est unique en ce sens qu’un utilisateur peut assigner plusieurs comptes de ce type. Toutefois, la meilleure pratique suggère de ne pas assigner plusieurs comptes du même type.
Modifications liées à la vue
Les changements suivants des vues d’Identity Manager prennent en charge les types de compte.
- La vue Resource possède désormais un attribut accountType (Liste). Chaque entrée est un objet avec un attribut identityRule, qui nomme la règle utilisée pour générer les accountIds pour ce type.
- L’attribut resources des vues Role et Application permettent désormais d’utiliser des assignations de ressource qualifiées. La syntaxe de ces assignations qualifiées est <resource name>|<account type>.
- La vue User contient désormais l’attribut waveset.resourceAssignments, qui prend les assignations de ressource qualifiées. (waveset.resources contient uniquement des références non qualifiées). Vous pouvez changer l’un ou l’autre des attributs, mais la meilleure pratique suggère d’utiliser uniquement waveset.resourceAssignment pour les mises à jour et waveset.resources pour la lecture seule.)
La façon d’accéder aux objets dans l’attribut accounts de la vue User n’a pas changé avec l’ajout de cette nouvelle fonction. Utilisez des noms de ressource qualifiés pour indexer la listeaccounts (par exemple, accounts[resource|type] sélectionne le compte de ressource pour cette combinaison de ressource et de type. Si vous ne spécifiez pas de type, vous pouvez quand même accéder à ces objets via accounts[resource].)
- Les vues associées, notamment Deprovision et Change Password, utilisent aussi ce type d’adressage. Les objets de cette liste ont également un nouvel attribut accountType, qui spécifie le type de compte du compte de ressource.
Vue Approbateurs délégués
Utilisez cette vue pour assigner un ou plusieurs utilisateurs Identity Manager comme approbateurs délégués d’un approbateur existant. Ceci permet à un approbateur de déléguer ses capacités d’approbation pendant une période de temps spécifiée à des utilisateurs qui ne sont pas obligatoirement approbateurs. Les attributs de haut niveau comprennent : (ID-12754)
Remarque La vue User contient ces mêmes attributs, (sauf l’attribut de nom). Ces nouveaux attributs sont contenus dans les comptes [Lighthouse]. namespace.
name
Identifie l’utilisateur qui délègue les approbations.
delegateApproversTo
Spécifie à qui l’utilisateur délègue les approbations, les valeurs correctes incluant manager, selectedUsers, ou delegateApproversRule.
delegateApproversSelected
delegateApproversStartDate
Spécifie la date de début de la délégation des approbations. Par défaut, l’heure et les minutes de la date de début sont 12 :01 de ce jour.
delegateApproversEndDate
Spécifie la date de fin de la délégation des approbations. Par défaut, l’heure et les minutes de la date de fin sélectionnée sont 11 :59 de ce jour.
La documentation de la vue Role a été mise à jour comme suit. (ID-12390)
Vue Rôle
Utilisée pour définir les objets de rôle d’Identity Manager.
Lorsqu’elle est archivée, cette vue lance le flux de travaux Manage Role. Par défaut, ce flux de travaux enregistre simplement les changements de la vue dans le référentiel, et fournit des points d’ancrage pour les approbations et les autres personnalisations.
Le table suivant liste les attributs de haut niveau de cette vue.
Tableau 1. Attributs de la vue Role
name
Identifie le nom du rôle. Ceci correspond au nom de l’objet Role dans le référentiel d’Identity Manager.
resources
Spécifie les noms de ressources assignées localement.
applications
Spécifie les noms des applications assignées localement (Groupes de ressources).
roles
Spécifie les noms des rôles assignés localement.
assignedResources
Liste à plat de toutes les ressources assignées via les ressources, les applications et les rôles.
resourceNameIdentifie le nom de la ressource assignée.
nameIdentifie le nom ou l’ID de la ressource (de préférence l’ID).
attributesIdentifie les caractéristiques de la ressource. Tous les sous-attributs sont des chaînes modifiables.
Tableau 2. Options des attributs (Vue Rôle)
- notifications -- Liste les noms des administrateurs qui doivent approuver l’assignation de ce rôle à un utilisateur.
- approvers -- Spécifie les noms des approbateurs qui doivent approuver l’assignation de ce rôle à un utilisateur.
- properties -- Identifie les propriétés définies par l’utilisateur qui sont stockées dans ce rôle.
- organizations -- Liste les organisations dont ce rôle est un membre.
- Les vues Resource Account (Deprovision, Disable, Enable, Password, Rename User, Reprovision, et Unlock) prennent désormais en charge deux nouvelles options de vue que vous pouvez utiliser pour récupérer les attributs de compte de ressource pour l’utilisateur. (ID-12482)
- fetchAccounts - (Booléen) Provoque l’inclusion dans la vue des attributs de compte pour les ressources assignées à l’utilisateur.
- fetchAccountResources - Liste les noms de ressources parmi lesquelles extraire. Sans spécification, toutes les ressources sont utilisées.
Vous pouvez très facilement définir ces options comme propriétés de formulaire. (Pour plus d’informations, voir la discussion de la vue WorkItem List dans le chapitre Vues de ce guide).
Chapitre 6 : Langage XPRESS
- La fonction instanceOf n’est pas actuellement documentée dans le chapitre langage XPRESS. Cette fonction détermine si un objet est une instance du type spécifié dans le paramètre name. (ID-12700)
name – identifie le type d’objet par rapport auquel vous vérifiez.
Cette fonction retourne 1 ou 0 (vrai ou faux) selon que l’objet de sous-expression est une instance du type spécifié dans le paramètre name.
L’expression suivante retourne 1 car ArrayList est une liste
<instanceof name=‘List’>
<new class=‘java.util.ArrayList’/>
</instanceof>
Chapitre 8 : HTML Display Components
- La description du composant SortingTable a été révisée comme suit :
Utilisez-le pour créer un tableau dont le contenu peut être trié par titre de colonne. Les composants enfant déterminent le contenu de ce tableau. Créez un composant enfant par colonne (définie par la propriété columns). Les colonnes sont généralement contenues dans un FieldLoop.
Ce composant respecte les propriétés align, valign et width des composants enfant lors de la conversion des cellules du tableau. (ID-12606)
- Identity Manager offre désormais le composant d’affichage InlineAlert. (ID-12606)
Affiche une boîte d’alerte d’erreur, d’avertissement, de réussite ou informative. Ce composant est généralement situé en haut d’une page. Vous pouvez afficher plusieurs alertes dans une seule boîte en définissant des composants enfant de typeInlineAlert$AlertItem.
Les propriétés de ce composant d’affichage comprennent :
- alertType – Spécifie le type d’alerte à afficher. Cette propriété détermine les styles et les images à utiliser. Les valeurs correctes sont error, warning, success et info. La valeur par défaut de cette propriété est info. Cette propriété n’est valable que pour InlineAlert.
- header – Spécifie le de la boîte d’alerte à afficher. Ce peut être une chaîne ou un objet de message. Cette propriété est valable pour InlineAlert ou InlineAlert$AlertItem.
- alertType – Spécifie le message d’alerte à afficher. Cette valeur peut être une chaîne ou un objet de message. Cette propriété est valable pour InlineAlert ou InlineAlert$AlertItem.
- linkURL – Spécifie une URL facultative à afficher en bas de l’alerte. Cette propriété est valable pour InlineAlert ou InlineAlert$AlertItem.
- linkText – Spécifie le texte de linkURL. Ce peut être une chaîne ou un objet de message. Cette propriété est valable pour InlineAlert ou InlineAlert$AlertItem.
- linkText – Spécifie le titre de linkURL. Ce peut être une chaîne ou un objet de message. Cette propriété est valable pour InlineAlert ou InlineAlert$AlertItem.
Exemples
Message d’alerte unique<Field>
<Display class=‘InlineAlert’>
<Property name=‘alertType’ value=‘warning’/><Property name=‘header’ value=‘Data not Saved’/>
<Property name=‘value’ value=‘The data entered is not yet saved.
Please click Save to save the information.’/></Display>
</Field>
Messages d’alertes multiplesDéfinissez alertType uniquement dans la propriété InlineAlert. Vous pouvez définir d’autres propriétés dans InlineAlert$AlertItems.
<Field>
<Display class=‘InlineAlert’>
<Property name=‘alertType’ value=‘error’/>
</Display>
<Field>
<Display class=‘InlineAlert$AlertItem’>
<Property name=‘header’ value=‘Server Unreachable’/>
<Property name=‘value’ value=‘The specified server could not
be contacted. Please view the logs for more information.’/>
<Property name=‘linkURL’ value=‘viewLogs.jsp’/>
<Property name=‘linkText’ value=‘View logs’/>
<Property name=‘linkTitle’ value=‘Open a new window with
the server logs’/>
</Display>
</Field>
<Field>
<Display class=‘InlineAlert$AlertItem’>
<Property name=‘header’ value=‘Invalid IP Address’/>
<Property name=‘value’ value=‘The IP address entered is
in an invalid subnet. Please use the 192.168.0.x subnet.’/> </Display>
</Field>
</Field>
- Identity Manager offre désormais le composant d’affichage Selector. (ID-12729)
Offre un champ à une ou plusieurs valeurs (similaire aux composants Text ou ListEditor, respectivement) avec les champs de recherche ci-dessous. Après l’exécution d’une recherche, Identity Manager affiche les résultats sous les champs de recherche et insère les résultats dans le champ de valeur.
Contrairement aux autres composants de conteneur, Selector a une valeur (le champ où les résultats de recherche sont insérés). Les champs contenus sont généralement des champs de critère de recherche. Selector implémente une propriété pour afficher le contenu des résultats de recherche.
Les propriété comprennent :
- fixedWidth – Spécifie si le composant doit avoir une largeur fixe (même comportement que Multiselect). (Booléen)
- multivalued – Indique si la valeur est une liste ou une chaîne. (La valeur de cette propriété détermine si un champ ListEditor ou Text est produit pour la valeur). (Booléen)
- allowTextEntry – Indique si les valeurs doivent être sélectionnées dans la liste fournie ou entrées manuellement. (Booléen)
- valueTitle – Spécifie l’étiquette à utiliser sur le composant value. (Chaîne)
- valueTitle – Spécifie l’étiquette à utiliser sur le composant picklist. (Chaîne)
- pickValues – les valeurs disponibles dans le composant liste de sélection (si elles sont nulles, la liste de sélection n’est pas affichée). (Liste)
- pickValueMap – mappage des étiquettes d’affichage pour les valeurs de la liste de sélection. (mappage ou liste)
- sorted – Indique que les valeurs doivent être triées dans la liste de sélection (en cas de valeurs multiples non ordonnées, la liste de valeurs est également triée). (booléen)
- clearFields – Liste les champs qui doivent être réinitialisés lorsque le bouton Effacer est sélectionné. (liste)
Les propriétés suivantes ne sont valables que dans un composant à plusieurs valeurs :
- ordered – Indique que l’ordre des valeurs importe. (booléen)
- allowDuplicates – Indique si la liste des valeurs peut contenir des doublons. (booléen)
- ValueMap – offre un mappage des étiquettes d’affichage pour les valeurs de la liste. (mappage)
Ces propriétés ne sont valables que dans un composant à valeur unique :
- nullLabel – Spécifie une étiquette à utiliser pour indiquer une valeur nulle. (chaîne)
- Les descriptions des composants Select et MultiSelect ont été révisées comme suit pour inclure les discussions relatives à la propriété caseInsensitive. (ID-13364)
Composant MultiSelect
Affiche un objet à sélection multiple, qu’Identity Manager affiche sous forme de deux touches de sélection de texte côte à côte dans lesquelles un ensemble de valeurs défini dans une boîte peut être déplacé dans une autre. Les valeurs dans la boîte de gauche sont définies par la propriété allowedValues, les valeurs sont souvent obtenues dynamiquement en appelant une méthode Java comme FormUtil.getResources. Les valeurs affichées dans la boîte à sélection multiple de droite sont remplies à partir de la valeur actuelle de l’attribut de vue associé, qui est identifié par le nom de champ.
Vous pouvez définir les titres de formulaire pour chacune des boîtes de cet objet à sélection multiple par l’intermédiaire des propriétés availabletitle et selectedtitle.
Si vous voulez un composant MultiSelect qui n’utilise pas d’applet, définissez la propriété noApplet sur true.
Remarque Si vous exécutez Identity Manager sur un système qui exécute le navigateur Safari, vous devez personnaliser tous les formulaires contenant des composants MultiSelect pour définir l’option noApplet. Définissez cette option comme suit :
<Display class=‘MultiSelect’>
<Property name=‘noApplet’ value=‘true’/>
...
Les propriétés de ce composant d’affichage comprennent :
- availableTitle – Spécifie le titre de la boîte disponible.
- selectedTitle – Spécifie le titre de la boîte sélectionnée.
- ordered – Définit si les éléments sélectionnés peuvent être déplacés vers le haut ou le bas dans la liste d’éléments de la boîte de texte. Une valeur true indique que d’autres boutons seront produits pour permettre de monter ou descendre les éléments sélectionnés.
- allowedValues – Spécifie les valeurs associoées à la boîte de gauche de l’objet à sélection multiple. Cette valeur doit être une liste de chaînes. Remarque : L’élément <Constraints> peut servir à remplir cette boîte, mais son utilisation a été désapprouvée.
- sorted – Spécifie que les valeurs des deux boîtes seront triées alphabétiquement.
- noApplet – Spécifie si le composant MultiSelect sera implémenté avant un applet ou avec une paire de boîtes de sélection HTML standard. Un applet est utilisé par défaut, ce qui est préférable pour traiter les longues listes de valeurs. Voir la remarque précédente pour des informations sur l’utilisation de cette option sur les systèmes exécutant le navigateur Safari.
- typeSelectThreshold – (Disponible uniquement lorsque la propriété noApplet est réglée sur true.) Contrôle si une boîte de sélection pré-saisie apparaît sous
la liste allowedValue. Lorsque le nombre d’entrées dans la boîte de sélection
de gauche atteint le seuil défini par cette propriété, un champ de saisie de texte supplémentaire apparaît sous la boîte de sélection. A mesure que vous tapez des caracatères dans ce champ de texte, la boîte défile pour afficher l’entrée correspondante si elle existe. Par exemple, si vous entrez w, la boîte de sélection défile jusqu’à la première entrée qui commence par w.- width – Spécifie la largeur de la boîte sélectionnée en pixels. La valeur par défaut est 150.
- height – Spécifie la hauteur de la boîte sélectionnée en pixels. La valeur par défaut est 400.
- caseInsensitive -- A utiliser pour effectuer des comparaisons insensibles à la casse.
Composant Select
Affiche un objet à sélection unique. Les valeurs de la boîte de liste doivent être fournies par la propriété allowedValues.
Les propriétés de ce composant d’affichage sont les suivantes :
- allowedValues – Spécifie la liste des valeurs sélectionnables pour affichage dans la boîte de liste.
- allowedOthers – spécifie que les valeurs initiales qui ne figuraient pas dans la liste allowedValues doivent être tolérées et ajoutées silencieusement à la liste.
- autoSelect – Définie sur true, cette propriété provoque la sélection automatique de la première valeur dans allowedValues si la valeur initiale du champ est nulle.
- caseInsensitive -- A utiliser pour effectuer des comparaisons insensibles à la casse.
- multiple – Définie sur true, permet de sélectionner plusieurs valeurs.
- nullLabel – Spécifie le texte affiché en haut de la boîte de liste lorsqu’aucune valeur n’est sélectionnée.
- optionGroupMap – Permet au sélecteur de produire des options dans les groupes utilisant l’indicateur <optgroup>. Formatez le mappage de sorte que les clés des mappages correspondent aux étiquettes de groupes, et que les élements désignent les listes d’éléments sélectionnables. (Les valeurs doivent être membres de allowedValues pour pouvoir être générées.)
- size – (Facultatif) Spécifie le nombre maximal de lignes à afficher. Si le nombre de lignes dépasse cette taille, une barre de défilement est ajoutée.
- sorted – Définie sur true, provoque le tri des valeurs de la liste.
- valueMap – Mappe les valeurs brutes aux valeurs affichées.
Le composant prend en charge les propriétés command et onChange.
- La discussion du composant DatePicker doit décrire les nouvelles propriétés suivantes. (ID-14802)
Le composant HTML DatePicker permet désormais de sélectionner des dates discrètes. Vous pouvez spécifier une plage de dates qui permettent de sélectionner des dates particulières dans le calendrier.
DatePicker implémente les deux propriétés nouvelles suivantes :
SelectAfter -- Limite les dates sélectionnables affichées dans le calendrier aux dates égales ou supérieures à la date entrée. La valeur de cette propriété peut être une chaîne de date ou un objet Java Date.
<Property name=‘SelectAfter’ value=‘**/**/****’/>
SelectBefore -- Limite les dates sélectionnables affichées dans le calendrier aux dates égales ou inférieures à la date entrée. La valeur de cette propriété peut être une chaîne de date ou un objet Java Date.
<Property name=‘SelectBefore’ value=‘**/**/****’/>
Lorsque vous utilisez un formulaire qui implémente l’indicateur <Display class=‘DatePicker’>, ajoutez ces variables au formulaire pour définir la plage de dates. Si vous ne définissez pas ces propriétés, les dates sélectionnables dans le calendrier seront illimitées.
Identity Manager Technical Deployment OverviewLa discussion suivante consacrée aux flux de travaux, formulaires et JSP fait partie de la présentation de l’architecture de Identity Manager Technical Deployment Overview (ID-7332).
Exécution du processus
Lorsqu’un utilisateur entre des données dans un champ d’une page et clique sur Save, les composants vue, flux de travaux et formulaire travaillent ensemble pour exécuter les processus nécessaires au traitement des données.
Chaque page d’Identity Manager a une vue, un flux de travaux et un formulaire associé qui effectue le traitement des données nécessaire. Ces associations de flux de travaux, vue et formulaire sont indiquées dans les deux tableaux ci-après.
Processus de l’interface utilisateur d’Identity Manager
Les tableaux suivants indique les formulaires, les vues et les flux de travaux impliqués dans les processus initiés à partir des pages de l’interface utilisateur d’Identity Manager suivantes :
Processus de l’interface administrateur
Les tableaux suivants identifient les formulaires, les vues, les flux de travaux et les JSP impliqués dans les processus initiés depuis ces pages de l’interface administrateur d’Identity Manager :
Les pages Java Server (JSP) et leur rôle dans Identity Manager
Les tableaux suivants décrivent les JSP qui sont expédiés avec le système ainsi que leurs pages administrateur et interface utilisateur
JSP pour l’interface utilisateur d’Identity Manager
JSPs for Admin Interface
Annexe A, Modification des objets Configuration
À la page A-4, la liste de noms QueryableAttrNames par défaut devrait également inclure idmManager.
Référence des ressources d’Identity Manager 6.0
- La liste des attributs de compte pris en charge dans Resources Reference > Active Directory > Account Attributes > Account Attribute Support est plus actuelle dans la version PDF du document que dans la version HTML. Reportez-vous à la version PDF. (ID-12630)
- Le nœud supérieur d’Identity Manager 6.0 Resources Reference 2005Q4M3 de l’URL suivante ne contient pas de lien vers la section intitulée Domino : (ID-12636)
http://docs.sun.com/app/docs/doc/819-4520
Recherchez la section Domino en ouvrant Contents sur ce noeud à l’URL suivante :
http://docs.sun.com/source/819-4520/Domino_Exchange.html#wp999317
Adaptateur Access Manager
L’étape 5 de la procédure « Configuration générale » doit indiquer :
5. Ajoutez les lignes suivantes au fichier java.security si elles n’y sont pas déjà :
security.provider.2=com.ibm.crypto.provider.IBMJCE
security.provider.3=com.ibm.net.ssl.internal.ssl.ProviderLe nombre qui suit security.provider sur chaque ligne spécifie l’ordre dans lequel Java consulte les classes de fournisseurs de sécurité et doit être unique. La numérotation peut varier en fonction de votre environnement. Si vous avez déjà plusieurs fournisseurs de sécurité dans le fichier java.security, insérez les nouveaux dans l’ordre indiqué ci-dessus et renumérotez les fournisseurs de securité existants. Ne supprimez pas les fournisseurs de sécurité existants et ne les dupliquez pas. (ID-12044)
Adaptateur Active Directory
Active Directory prend désormais en charge les attributs binaires thumbnailPhoto (Windows 2000 Server et supérieur) et jpegPhoto (Windows 2003).
Adaptateur BridgeStream SmartRoles
Identity Manager offre désormais un adaptateur de ressources BridgeStream SmartRoles qui provisionne les utilisateurs dans les SmartRoles. Cet adaptateur place les utilisateurs dans les organisations appropriées au sein des SmartRoles afin que ces derniers puissent déterminer de quels rôles professionnels ces utilisateurs doivent disposer.
En retirant un utilisateur des SmartRoles, l’adaptateur retire les rôles professionnels de l’utilisateur. Ces rôles professionnels peuvent être utilisés dans Identity Manager pour déterminer les rôles, les ressources, les attributs et l’accès qui doivent être assignés à l’utilisateur.
De plus, les SmartRoles peuvent être une source de changements des utilisateurs utilisant Active Sync. Vous pouvez charger les utilisateurs SmartRoles dans Identity Manager et les réconcilier.
Pour des informations détaillées sur cet adaptateur, consultez l’addenda Sun Java™ System Identity Manager Resources Reference. (ID-12714)
Adaptateur ClearTrust
- L’adaptateur de ressources ClearTrust prend désormais en charge la version 5.5.2 de ClearTrust.
- Les étapes 2 et 3 de la procédure Installation Notes d’Identity Manager doivent indiquer (ID-12906) :
- Copiez le fichier ct_admin_api.jar depuis votre CD d’installation Clear Trust dans le répertoire WEB-INF\lib.
- Si vous utilisez SSL, copiez les fichiers suivants dans le répertoire WEB-INF\lib.
Remarque Si vous provisionnez vers une ressource RSA Clear Trust 5.5.2, les bibliothèques supplémentaires ne sont pas nécessaires pour la communication SSL.
Adaptateur Database Table
Cet adaptateur prend en charge les types de données binaires, y compris les BLOB dans Oracle. Les attributs correspondants doivent être marqué comme binaires sur la carte schématique. Les exemples d’attributs binaires comprennent les fichiers graphiques, les fichiers audio et les certificats.
Adaptateur Active Sync fichier plat
- L’utilisateur administratif doit disposer de droits d’accès en lecture et écriture au répertoire qui contient le fichier plat. Cet utilisateur doit aussi disposer d’un accès en suppression si le paramètre Active Sync Process Differences Only est activé.
En outre, le compte administrateur doit disposer d’autorisations de lecture, écriture et suppression sur le répertoire spécifié dans le champ Active Sync Log File Path. (ID-12477)
- Si le format de fichier est LDIF, les attributs binaires tels que les fichiers graphiques, les fichiers audio et les certificats peuvent être spécifiés. Les attributs binaires ne sont pas pris en charge pour les fichiers CSV et délimités par pipe.
Adaptateur HP OpenVMS
Identity Manager offre désormais un adaptateur de ressources HP OpenVMS qui prend en charge les version 7.0 et supérieures de VMS. Pour des informations détaillées sur cet adaptateur, consultez l’addenda Sun Java™ System Identity Manager Resources Reference. (ID-8556)
Adaptateur JMS Listener
L’adaptateur JMS Listener prend désormais en charge le traitement synchrone des message au lieu du traitement asynchrone. Par conséquent, le deuxième paragraphe de la section Connexions des Notes d’usage doit indiquer :
L’adaptateur JMS Listener fonctionne en mode synchrone. Il établit un consommateur de message synchrone sur la file d’attente ou la destination du sujet spécifiée par le champ JNDI name of Destination. Pendant chaque intervalle d’interrogation, l’adaptateur reçoit et traite tous les messages disponibles. Les messages peuvent être en outre (facultativement) qualifiés en définissant une chaîne de sélecteur de message JMS valide pour le champ Message Selector.
La section Mappage des messages doit contenir :
Lorsque l’adapateur traite un message qualifié, le message JMS reçu est d’abord converti en mappage de valeurs nommées en utilisant le mécanisme spécifié par le champ Message Mapping. Ce mappage est appelé mappage de valeur du message.
Le mappage de valeur du message est ensuite converti en mappage ActiveSync à l’aide de la carte schématique des attributs de compte. Si des attributs de compte sont spécifiés pour l’adaptateur, celui-ci recherche des noms clés dans le mappage de valeur du message qui figurent également comme attribut utilisateur de la ressource dans la carte schématique. Si elle est présente, la valeur est copiée dans le mappage ActiveSync, mais le nom d’entrée figurant dans le mappage ActiveSync est converti selon le nom spécifié dans la colonne d’attribut utilisateur Identity System d’identité dans la carte schématique.
Si le mappage de valeur du message contient une entrée non convertible à l’aide de la carte schématique des attributs de compte, cette entrée est copiée sans modification dans le mappage ActiveSync.
Adaptateur LDAP
Prise en charge de l’attribut de compte binaire
Les attributs de compte binaire suivants de la classe d’objet inetOrgPerson sont désormais pris en charge :
Attribut Resource User
Syntaxe LDAP
Description
audio
Audio
Un fichier audio.
jpegPhoto
JPEG
Une image au format JPEG.
userCertificate
certificate
Un certificat au format binaire.
D’autres comptes binaires peuvent être pris en charge, mais ils n’ont pas été testés.
Désactivation et activation des comptes
L’adaptateur LDAP offre plusieurs méthodes pour désactiver les comptes sur une ressource LDAP. Utilisez l’une des techniques suivantes pour désactiver les comptes.
Changer le mot de passe pour une valeur inconnuePour désactiver les comptes en changeant le mot de passe pour une valeur de comptes inconnue, laissez les champs Méthode d’activation LDAP et Paramètre d’activation LDAP vides. Il s’agit de la méthode de désactivation des comptes par défaut. Le compte peut être réactivé en assignant un nouveau mot de passe.
Assigner le rôle nsmanageddisabledrolePour utiliser le rôle LDAP nsmanageddisabledrole pour désactiver et activer les comptes, configurez la ressource LDAP comme suit :
- Sur la page Paramètres de ressource, définissez le champ Méthode d’activation LDAP sur nsmanageddisabledrole.
- Définissez le champ Paramètre d’activation LDAP sur IDMAttribute=CN=nsmanageddisabledrole,baseContext. (IDMAttribute sera spécifié sur le schéma à l’étape suivante.)
- Sur la page Attributs de compte, ajoutez IDMAttribute comme attribut utilisateur d’Identity System. Définissez l’attribut Utilisateur de la ressource sur nsroledn. Cet attribut doit être de type chaîne.
- Créez un groupe nommé nsAccountInactivationTmp sur la ressource LDAP et assignez CN=nsdisabledrole,baseContext comme membre.
Les comptes LDAP peuvent maintenant être désactivés. Pour vérifier à l’aide de la console LDAP, contrôlez la valeur de l’attribut nsaccountlock. Une valeur true indique que le compte est verrouillé.
Si le compte est réactivé ultérieurement, il est supprimé du rôle.
Définissez l’attribut nsAccountLockPour utiliser l’attribut nsAccountLock pour désactiver et activer les comptes, configurez la ressource LDAP comme suit :
- Sur la page Paramètres de ressource, définissez le champ Méthode d’activation LDAP sur nsaccountlock.
- Définissez le champ Paramètre d’activation LDAP sur IDMAttribute=true. (IDMAttribute sera spécifié sur le schéma à l’étape suivante.) Par exemple, accountLockAttr=true.
- Sur la page Attributs de compte, ajoutez la valeur spécifiée dans le champ Paramètre d’activation comme attribut utilisateur d’Identity System. Définissez l’attribut Utilisateur de la ressource sur nsaccountlock. Cet attribut doit être de type chaîne.
- Définissez l’attribut LDAP nsAccountLock de la ressource sur true.
Identity Manager définit nsaccountlock sur true lors de la désactivation d’un compte. Il présuppose également que les utilisateurs LDAP existants dont nsaccountlock est défini sur true sont désactivés. Si nsaccountlock est défini sur une autre valeur que true (null compris), le système en déduit que l’utilisateur est activé.
Désactiver les comptes sans les attributs nsmanageddisabledrole et nsAccountLockSi les attributs nsmanageddisabledrole et nsAccountLock ne sont pas disponibles sur votre serveur d’annuaire, mais que ce dernier dispose d’une méthode similaire de désactivation des comptes, entrez l’un des noms de classe suivantes dans le champ Méthode d’activation LDAP. La valeur à entrer dans le champ Paramètre d’activation LDAP varie en fonction de la classe.
Adaptateurs de mainframe (ACF2, Natural, RACF, Top Secret)
Vous pouvez utiliser Attachmate Reflection pour Web Emulator Class Library (Reflection ECL) afin de vous connecter à une ressource mainframe. Cette bibliothèque est compatible avec l’API IBM Host on Demand. Suivez la totalité des instructions d’installation fournies avec le produit. Effectuez ensuite les procédures décrites dans les sections « Remarques sur l’installation » et « Configuration SSL ».
Remarques sur l’installation
Effectuez les étapes ci-dessous pour configurer des connexions à l’aide d’Attachmate Reflection ECL :
- Ajoutez la ressource à la liste des ressources d’Identity Manager, comme décrit dans Identity Manager Resources Reference.
- Copiez les fichiers JAR pertinents dans le répertoire WEB-INF/lib de votre installation d’Identity Manager.
- Ajoutez les définitions suivantes au fichier Waveset.properties afin de définir le service chargé de gérer la session de terminal :
serverSettings.serverId.mainframeSessionType=Valeur
serverSettings.default.mainframeSessionType=Valeur
Vous pouvez définir la Valeur de la manière suivante :
- Une fois les bibliothèques Attachmate installées dans un WebSphere Application Server, ajoutez la propriété com.wrq.profile.dir=LibraryDirectory au fichier WebSphere/AppServer/configuration/config.ini.
Cette opération permet au code Attachmate de trouver le fichier de licence.
- Redémarrez le serveur d’application afin de prendre en compte les modifications apportées au fichier Waveset.properties.
Effectuez les étapes décrites à la section Configuration SSL.
Configuration SSL
Attachmate Reflection pour Web Emulator Class Library (Reflection ECL) est compatible avec IBM Host sur l’API Demand. Suivez la totalité des instructions d’installation fournies avec le produit. Effectuez ensuite les étapes ci-dessous dans Identity Manager.
- Si un attribut de ressource nommé Propriétés de session n’existe pas encore pour la ressource, utilisez l’EDI Identity Manager ou déboguer les pages afin d’ajouter l’attribut à l’objet ressource. Insérez la définition suivante dans la section <ResourceAttributes> :
<ResourceAttribute name=‘Session Properties’ displayName=‘Session Properties’ description=‘Session Properties’ multi=‘true’>
</ResourceAttribute>
- Allez à la page Paramètres de ressource pertinente et ajoutez les valeurs suivantes à l’attribut de ressource Propriétés de la session :
encryptStream
true
hostURL
tn3270://nom-hôte:SSLport
keystoreLocation
Path_To_Trusted_ps.pfx_fileAdaptateurs Oracle/Oracle ERP
Le chapitre Oracle/Oracle ERP dans Identity Manager Resources Reference a été divisé en deux chapitres distincts pour cette version. Voir l’addenda Sun Java™ System Identity Manager Resources Reference pour afficher ces deux chapitres. (ID-12758)
Adaptateur Oracle
- La prise en charge d’Oracle 8i a été supprimée par erreur du tableau des adaptateurs et de la section adaptateur Oracle au chapitre 1 de Référence des ressources Identity Manager. Identity Manager prend toujours en charge Oracle 8i comme ressource. (ID-13078)
- Le nom de section updateableAttributes a été corrigé pour updatableAttributes dans la première étape de la Suppressions Cascade de ce chapitre, comme suit (ID-13075) :
- L’attribut de compte noCascade indique s’il convient d’effectuer des abandons en cascade lors de la suppression des utilisateurs. Par défaut, les abandons en cascade sont effectués. Afin de désactiver les abandons en cascade, ajoutez une entrée à la section updatableAttributes de l’objet Configuration système.
- La description du compte oracleTempTSQuota devrait être la suivante :
Quantité maximale de tablespace temporaire que l’utilisateur peut allouer. Si l’attribut figure dans la carte schématique, le quota est toujours défini sur le tablespace temporaire. Si l’attribut est supprimé de la carte schématique, aucun quota ne sera défini sur le tablespace temporaire. L’attribut doit être supprimé pour les adaptateurs qui communiquent avec les ressources Oracle 10gR2. (ID-12843)
Adaptateur Oracle ERP
- L’adaptateur Oracle ERP offre désormais un attribut de compte employee_number qui représente un employee_number du tableau per_people_f (ID-12796):
- Lorsque vous entrez une valeur à la création, l’adaptateur tente de rechercher un enregistrement utilisateur dans le tableau per_people_f, de récupérer person_id dans l’API de création et d’insérer person_id dans la colonne employee_id du tableau fnd_user.
- Si aucun employee_number n’est entré à la création, aucune tentative n’est faite pour établir le lien.
- Si vous entrez un employee_number à la création et que ce numéro est introuvable, l’adaptateur émet une exception.
- L’adaptateur tente de retourner employee_number sur un getUser, si employee_number se trouve dans le schéma de l’adaptateur.
- L’attribut de compte npw_number prend en charge les travailleurs contingents. Il fonctionne de la même manière que employee_number. Les attributs employee_number et npw_number s’excluent mutuellement. Si vous les saisissez tous les deux à la création, employee_number a la priorité. (ID-16507)
Responsabilités d’audit
Plusieurs attributs ont été ajoutés à l’adaptateur Oracle ERP afin de prendre en charge les fonctions d’audit. (ID-11725)
Pour auditer les sous-éléments (comme les formulaires et les fonctions) de responsabilités assignées aux utilisateurs, ajoutez auditorObject à la carte schématique. auditorObject est un attribut complexe qui contient un ensemble d’objets de responsabilité. Les attributs suivants sont toujours retournés dans un objet de responsabilité :
- responsibility
- userMenuNames
- menuIds
- userFunctionNames
- functionIds
- formIds
- formNames
- userFormNames
- readOnlyFormIds
- readWriteOnlyFormIds
- readOnlyFormNames
- readOnlyUserFormNames
- readWriteOnlyFormNames
- readWriteOnlyUserFormNames
- functionNames
- readOnlyFunctionNames
- readWriteOnlyFunctionNames
Remarque les attributs readOnly et ReadWrite sont identifiés en interrogeant la colonne PARAMETERS dans le tableau fnd_form_functions pour l’un des suivants :
Si le paramètre de ressource Return Set of Books and/or Organization est défini sur TRUE, les attributs suivants sont également retournés :
À l’exception des attributs responsibility, setOfBooksName, setOfBooksId, organizationalUnitId et organizationalUnitName, les noms d’attribut correspondent aux noms d’attribut de compte pouvant être ajoutés à la carte schématique. Les attributs de compte contiennent un ensemble global de valeurs assignées à l’utilisateur. Les attributs contenus dans les objets responsibility sont spécifiques à la responsabilité.
La vue auditorResps[] permet d’accéder aux attributs de responsabilité. Le fragment de formulaire suivant retourne toutes les responsabilités actives (et leurs attributs) assignées à un utilisateur.
<defvar name=‘audObj’>
<invoke name=‘get’>
<ref>accounts[Oracle ERP 11i VIS].auditorObject</ref>
</invoke>
</defvar>
<!—ceci retourne la liste des objets de responsabilité -->
<defvar name=‘respList’>
<invoke name=‘get’>
<ref>audObj</ref>
<s>auditorResps[*]</s>
</invoke>
</defvar>
Par exemple :
Prise en charge d’Oracle EBS 12
L’adaptateur Oracle ERP prend en charge Oracle E-Business Suite (EBS) version 12. Il n’est plus nécessaire d’éditer ou de mettre en commentaires des sections du OracleERPUserForm, selon la version d’ERP installée comme décrit dans l’Identity Manager Resources Reference.
L’attribut FormRef prend maintenant en charge les propriétés suivantes :
- RESOURCE_NAME — Spécifie le nom de la ressource ERP
- VERSION - Spécifie la version de la ressource ERP Les valeurs autorisées sont 11.5.9, 11.5.10, 12.
- RESP_DESCR_COL_EXISTS — Définit la présence de la colonne de description dans le tableau fnd_user_resp_groups_direct. Cette propriété est nécessaire si la version est 11.5.10 ou 12. Les valeurs admises sont TRUE et FALSE.
Ces propriétés doivent être saisies à chaque fois qu’il est fait référence au formulaire de l’utilisateur. Par exemple, le formulaire Tabbed User Form peut avoir besoin de lignes telles que les suivantes pour assurer la prise en charge de la version 12.
<FormRef name=‘Oracle ERP User Form’>
<Property name=‘RESOURCE_NAME’ value=‘Oracle ERP R12’/>
<Property name=‘VERSION’ value=‘12’/>
<Property name=‘RESP_DESCR_COL_EXISTS’ value=‘TRUE’/>
</FormRef>Adaptateur SAP
- Dans la section Attributs de compte, le tableau qui décrit les infotypes iDoc par défaut pris en charge par l’adaptateur Active Sync SAP HR a été corrigé. Le sous-type pris en charge indiqué pour l’infotype 0105 Communication a été changé de EMAIL pour MAIL comme suit (ID-12880) :
Par défaut, les infotypes suivants sont pris en charge :
SAPHRActiveSyncAdapter prend désormais en charge mySAP ERP ECC 5.0 (SAP 5.0).
Les changements suivants ont par conséquent été apportés aux notes de configuration de la ressource (ID-12769) :Adaptateur de ressources SAP
Les notes de configuration de ressources suivantes s’appliquent uniquement à l’adaptateur de ressources SAP.
Procédez comme suit pour activer la capacité d’un utilisateur à changer son propre mot de passe SAP :
Adaptateur Active Sync SAP HR
Les notes de configuration de ressources suivantes s’appliquent uniquement à l’adaptateur de ressources Active Sync SAP HR.
La technologie SAP Application Link Enabling (ALE) permet la communication entre les systèmes SAP et externes tels qu’Identity Manager. L’adaptateur Active Sync SAP HR utilise une interface de sortie ALE. Dans une interface de sortie ALE, le système logique de base devient l’expéditeur des messages sortants et le récepteur des messages entrants. Un utilisateur SAP sera probablement connecté au système/client logique de base lors de changements dans la base de données (par exemple, embauche d’un employé, mise à jour de données de position, fin de contrat d’un employé, etc.). Un système/client logique doit aussi être défini pour le client destinataire. Ce système logique sert de récepteur des messages sortants. En ce qui concerne le type de message entre les deux systèmes, l’adaptateur Active Sync utilise un type de message HRMD_A. Un type de message caractérise les données envoyées par les systèmes et se rapporte à la structure des données, également appelée type IDoc (par exemple, HRMD_A05).
Les étapes suivantes fournissent les configurations nécessaires sur SAP pour que l’adaptateur Active Sync reçoive les alimentations d’autorisation provenant de SAP HR :
Remarque Vous devez configurer les paramètres système SAP pour permettre le traitement Application Link Enabling (ALE) des IDocs HRMD_A. Ceci permet de distribuer les données entre deux systèmes d’application, également appelé messagerie.
Création d’un système logique
En fonction de votre environnement SAP actuel, il ne sera peut-être pas nécessaire de créer un système logique. Il suffira peut-être de modifier un modèle de distribution en ajoutant le type de message HRMD_A à une vue de modèle précédemment configurée. Il importe toutefois de respecter les recommandations SAP pour les systèmes logiques et la configuration de votre réseau ALE. Les instructions suivantes supposent que vous créez de nouveaux systèmes logiques et une nouvelle vue de modèle.
- Entrez le code de transaction SPRO, puis affichez SAP Reference IMGproject (ou le projet applicable à votre organisation).
- Sur la base de la version SAP que vous utilisez, effectuez l’une des opérations suivantes :
- Pour SAP 4.6, cliquez sur Basis Components > Application Link Enabling (ALE) > Sending and Receiving Systems > Logical Systems > Define Logical System.
- Pour SAP 4.7, cliquez sur SAP Web Application Server > Application Link Enabling (ALE) > Sending and Receiving Systems > Logical Systems > Define Logical System.
- Pour SAP 5.0, cliquez sur SAP Netweaver > SAP Web Application Server > IDOC Interface/Application Link Enabling (ALE) > Basic Settings > Logical Systems > Define Logical System.
- Cliquez sur Edit > New Entries.
- Entrez un nom et une description pour le système logique que vous souhaitez créer (IDMGR).
- Enregistrez votre entrée.
Assignation d’un client au système logique
- Entrez le code de transaction SPRO, puis affichez SAP Reference IMGproject (ou le projet applicable à votre organisation).
- Sur la base de la version SAP que vous utilisez, effectuez l’une des opérations suivantes :
- Pour SAP 4.6, cliquez sur Basis Components > Application Link Enabling (ALE) > Sending and Receiving Systems > Logical Systems > Assign Client to Logical System.
- Pour SAP 4.7, cliquez sur SAP Web Application Server > Application Link Enabling (ALE) > Sending and Receiving Systems > Logical Systems > Assign Client to Logical System.
- Pour SAP 5.0, cliquez sur SAP Netweaver > SAP Web Application Server > IDOC Interface/Application Link Enabling (ALE) > Basic Settings > Logical Systems > Assign Client to Logical System.
- Sélectionnez le client.
- Cliquez sur GOTO > Details pour afficher la boîte de dialogue Client Details.
- Dans le champ Logical System, entrez le système logique que vous souhaitez assigner à ce client.
- Dans la section Changes and Transports for Clients, cliquez sur Automatic Recording of Changes.
- Enregistrez votre entrée.
Création d’un modèle de distribution
Pour créer un modèle de distribution :
- Vérifiez que vous êtes connecté au système/client expéditeur.
- Entrez le code de transaction BD64. Vérifiez que vous êtes en mode Change.
- Cliquez sur Edit > Model View > Create.
- Entrez le nom abrégé et technique de votre vue, ainsi que la date de début et de fin, puis cliquez sur Continue.
- Sélectionnez la vue que vous avez créée, et cliquez sur Add Message Type.
- Définissez le nom du système expéditeur/logique.
- Définissez le nom du récepteur/serveur.
- Dans la section Protection Client Copier and Comparison Tool, cliquez sur Protection Level: No Restriction.
- Définissez le type de message que vous souhaitez utiliser (HRMD_A) et cliquez sur Continue.
- Cliquez sur Save.
Enregistrement du module RFC Server avec la passerelle SAP
Lors de l’initialisation, l’adaptateur Active Sync s’enregistre avec la passerelle SAP. Il utilise l’ID “IDMRFC”. Cette valeur doit correspondre à la valeur définie dans l’application SAP. Vous devez configurer l’application SAP de sorte que le module RFC Server puisse créer un identificateur vers elle. Pour enregistrer le module RFC Server comme destination RFC :
- Dans l’application SAP, accédez à la transaction SM59.
- Développez le répertoire de connexions TCP/IP.
- Cliquez sur Create (F8).
- Dans le champ de destination RFC, entrez le nom du système de destination RFC. (IDMRFC).
- Définissez le type de connexion sur T (Démarrer un programme externe via TCP/IP).
- Entrez une description pour la nouvelle destination RFC et cliquez sur Save.
- Cliquez sur le bouton d’enregistrement pour le type d’activation.
- Définissez l’ID du programme. Nous vous recommandons d’utiliser la même valeur que la destination RFC (IDMRFC), puis de cliquer sur Entrée.
- Si le système SAP est un système Unicode, le port doit être configuré pour Unicode. Cliquez sur l’onglet Special Options et recherchez la section Character Width In Target System. Il existe un paramètre pour unicode et non-unicode.
- A l’aide des boutons supérieurs - Test Connection et Unicode Test - testez la connexion d’Identity Manager à la ressource. L’adaptateur doit être démarré pour passer le test.
Création d’une définition de port
Le port est le canal de communication auquel les IDocs sont envoyés. Le port décrit le lien technique entre les systèmes d’envoi et de réception. Vous devez configurer un port RFC pour cette solution. Pour créer une définition de port :
Modification de définition de port
Lors de la génération d’un profil partenaire, la définition de port peut avoir été entrée incorrectement. Pour que votre système fonctionne correctement, vous devez modifier la définition de port.
- Entrez le code de transaction WE20.
- Sélectionnez Partner Type LS.
- Sélectionnez le profil de votre partenaire récepteur.
- Sélectionnez Outbound Parameters puis cliquez sur Display.
- Sélectionnez le type de message HRMD_A.
- Cliquez sur Outbound Options puis modifiez le port récepteur afin qu’il ait le nom du port RFC que vous avez créé (IDMGR).
- En mode Output, sélectionnez Transfer IDoc Immediately pour envoyer les IDocs immédiatement après leur création.
- Depuis la section IDoc Type, sélectionnez un type de base :
- Cliquez sur Continue/Save.
Adaptateur JDBC sous forme de script
Identity Manager Offre désormais un adaptateur de ressources JDBC sous forme de script pour prendre en charge la gestion de tous les schémas de base de données dans toutes les bases de données accessibles à JDBC. Cet adaptateur prend également Active Sync en charge pour interroger les modifications de compte dans la base de données. Pour des informations détaillées sur cet adaptateur, consultez l’addenda Sun Java™ System Identity Manager Resources Reference. (ID-12506)
Adaptateur Shell Script
Identity Manager offre désormais un adaptateur de ressources Shell Script pour prendre en charge la gestion des ressources contrôlées par scripts de shell exécutés sur le système hôte de la ressource. Cet adaptateur, qui est à usage général, est très hautement configurable.
Adaptateur Siebel CRM
Les objets Siebel qui nécessitent une navigation dans le composant professionnel parent/enfant peuvent désormais être créés et mis à jour. Il s’agit d’une fonction avancée qui n’est généralement pas implémentée dans Identity Manager.
La fonction de navigation avancée vous permet de spécifier facultativement les informations suivantes nécessaires pour créer et mettre à jours les composants professionnel enfant:
Une règle de navigation avancée peut être utilisée au cours des actions de création et de mise à jour. Elle ne peut pas être utilisée pour d’autres types d’actions.
Pour implémenter la fonction de navigation avancée de l’adaptateur Siebel CRM, procédez comme suit :
- Ajoutez un attribut à la carte schématique dans laquelle l’attribut Resource User (côté droit) s’intitule PARENT_COMP_ID.
- Utilisez la page de débogage pour ajouter manuellement l’attribut de ressource suivant à l’XML de votre ressource
<ResourceAttribute name=‘AdvancedNavRule’
displayName=‘Advanced Nav Rule’
value=‘MY_SIEBEL_NAV_RULE‘></ResourceAttribute>
Remplacez MY_SIEBEL_NAV_RULE par un nom de règle valide.
- Écrivez la règle de navigation avancée. La règle doit attendre la présence de deux variables :
resource.action — La valeur doit être create ou update.
resource.objectType — Pour la maintenance de compte normale, cette valeur sera account.
La règle doit retourner un mappage avec une ou plusieurs des paires nom/valeur suivantes :
Un exemple de règle de navigation est fourni dans $WSHOME/sample/rules/SiebelNavigationRule.xml.
Adaptateur Sun Java System Access Manager
Installation et configuration d’Sun Java System Access Manager (Versions antérieures à Access Manager 7.0)
Les étapes 4 et 8 de la procédure « Installation et configuration de Sun Java System Access Manager » doivent indiquer (ID-13087) :
- Créez un répertoire pour y placer les fichiers qui seront copiés depuis le serveur Sun Java System Access Manager. Ce répertoire est intitulé CfgDir dans cette procédure. L’emplacement de Sun Java System Access Manager sera appelé AccessMgrHome.
- Copiez les fichiers suivants depuis AccessMgrHome vers CfgDir. Ne copiez pas la structure du répertoire.
- Sous UNIX, vous devrez peut-être modifier les permissions des fichiers jar dans CfgDir pour permettre un accès universel en lecture. Exécutez la commande suivante pour changer les permissions
chmod a+r CfgDir/*.jar
- Faites précéder le chemin de classe JAVA des éléments suivants :
- Si vous utilisez la version 6.0, définissez la propriété système de Java afin qu’elle pointe vers votreCfgDir. Utilisez une commande similaire à la suivante :
java -Dcom.iplanet.coreservices.configpath=CfgDir
- Si vous utilisez la version 6.1 ou supérieure, ajoutez ou modifiez les lignes suivantes dans le fichier CfgDir/AMConfig.properties :
com.iplanet.services.configpath=CfgDircom.iplanet.security.
SecureRandomFactoryImpl=com.iplanet.am.util.SecureRandomFactoryImplcom.iplanet.security.SSLSocketFactoryImpl=netscape.ldap.
factory.JSSESocketFactorycom.iplanet.security.encryptor=com.iplanet.services.util.
JCEEncryptionLa première ligne définit le chemin configpath. Les trois dernières lignes changent les paramètres de sécurité.
- Copiez les fichiers CfgDir/am_*.jar dans $WSHOME/WEB-INF/lib. Si vous utilisez la version 6.0, copiez aussi le fichier jss311.jar dans le répertoire $WSHOME/WEB-INF/lib.
- Si Identity Manager est exécuté sous Windows et que vous utilisez Identity Server 6.0, copiez IdServer\lib\jss\*.dll dans CfgDir et ajoutez CfgDir à votre chemin système.
Remarque Dans un environnement où Identity Manager est installé sur un autre système que Sun Java System Access Manager, contrôlez les conditions d’erreur suivantes. Si une erreur java.lang.ExceptionInInitializerError, suivie de java.lang.NoClassDefFoundError, lors de tentatives successives, est retournée en essayant de vous connecter à la ressource Sun Java System Access Manager, recherchez des données de configuration incorrectes ou manquantes.
Vérifiez également que la classe du fichier jar est celle indiquée par java.lang.NoClassDefFoundError. Faites précéder le chemin de classe du fichier jar contenant la classe du chemin de classe JAVA sur le serveur d’application.
Installation et configuration de Sun Java System Access Manager (Versions 7.0 et supérieures en mode Legacy)
Utilisez les étapes suivantes pour installer et configurer l’adaptateur de ressources au mode legacy.
- Suivez les instructions fournies dans le Sun Java™ System Guide du développeur Access Manager 7 2005Q4 pour construire le SDK client depuis l’installation Sun Access Manager.
- Extrayez les fichiers AMConfig.properties et amclientsdk.jar du fichier war produit.
- Placez une copie de AMConfig.properties dans le répertoire suivant :
InstallDir/WEB-INF/classes
- Placez une copie de amclientsdk.jar dans le répertoire suivant :
InstallDir/WEB-INF/lib
Adaptateur de Services de communications Sun Java System
- L’exemple de script qui peut être exécuté sur la ressource proxy après la création d’un utilisateur est indiqué de façon incorrecte. Le script ci-après peut être utilisé à la place : (ID-12536)
SET PATH=c:\Sun\Server-Root\lib
SET SYSTEMROOT=c:\winnt
SET CONFIGROOT=C:/Sun/Server-Root/Config
mboxutil -c -P user/%WSUSER_accountId%.*
- Les attributs de compte binaire suivants de la classe d’objet inetOrgPerson sont désormais pris en charge :
D’autres comptes binaires peuvent être pris en charge, mais ils n’ont pas été testés.
Adaptateur Top Secret
Identity Manager Resources Reference indique de façon erronée que l’adaptateur Top Secret prend en charge la fonction renommer les comptes. L’adaptateur ne prend pas cette fonction en charge pour les comptes Top Secret.
Chapitre 3 : Adding Actions to Resources
Dans la section « Exemples sous Windows NT », les noms des champs (Field) des trois exemples sont mal définis. Remplacez toutes les instances de accounts[NT].attributes. par resourceAccounts.currentResourceAccounts[NT].attributes. Par exemple, à la section « Exemple 3 : Action that Follows the Deletion of a User », le nom Field à l’étape 4 devrait êtr rectifié de la sorte :
<Field name= ‘resourceAccounts.currentResourceAccounts[NT].attributes.delete after action’>
Messages de réglage, de dépannage et d’erreur d’Identity ManagerAjouts
- Vous pouvez maintenant utiliser l’utilitaire de suivi standard sur com.waveset.task.Scheduler pour suivre l’ordonnanceur de tâches si une tâche pose problème.
Pour plus d’informations, voir Tracing the Identity Manager Server dans Sun Java™ System Identity Manager Messages de réglage, de dépannage et d’erreur.
- Pour déboguer un problème qui survient à un niveau inférieur à une méthode d’entrée spécifique, envisagez le suivi au niveau de la méthode. Identity Manager offre désormais la possibilité de suivre uniquement une méthode et ses sous-appels directs et indirects. (ID-14967)
Pour activer cette fonction, définissez le niveau de suivi pour une étendue avec le modificateursubcalls, comme dans l’exemple suivant :
trace 4,subcalls=2 com.waveset.recon.ReconTask$WorkerThread#reconcileAccount
La méthode reconcileAccount() est ainsi suivie au niveau 4 et tous les sous-appels au niveau 2.
Voir Définition d’une configuration de suivi dans Messages de réglage, de dépannage et d’erreur de Sun Java™ System Identity Manager pour des informations plus détaillées.
Corrections
Étant donné que vous devez installer JDK 1.4.2 pour cette version, les instructions indiquant de supprimer les fichiers jar Cryptix (cryptix-jceapi.jar et cryptix-jce-provider.jar) du répertoire idm\WEB-INF\lib dans le chapitre 1: Réglage de performance, optimisation de l’environnement J2EE, ne s’appliquent plus (sauf si vous effectuez une mise à niveau depuis une version précédente d’Identity Manager).
Outils de déploiement d’Identity ManagerCorrections
Chapitre 7 : Utilisation des services web d’Identity Manager
L’exemple launchProcess fourni dans la section Exemples ExtendedRequest a été corrigé comme suit (ID-13044) :
launchProcess
L’exemple qui suit affiche un format type pour une demande launchProcess.
(Vue — Vue processus).ExtendedRequest req = new ExtendedRequest();
req.setOperationIdentifier("launchProcess");
req.setAsynchronous(false);
req.setAttribute("process", "Custom Process Name");
req.setAttribute("taskName", "Custom Process Display Name");
SpmlResponse res = client.request(req);
Utilisation de helpToolDans la version Identity Manager 6.0, une nouvelle fonction vous permettant d’effectuer des recherches dans l’aide en ligne et les fichiers de documentation, dont le format est HTML, a été ajoutée. Le moteur de recherche est basé sur la technologie de moteur de recherche « Nova » de SunLabs.
L’utilisation du moteur Nova se fait en deux phases : l’indexation et la récupération. Pendant la phase d’indexation, les documents d’entrée sont analysés et un index, qui sera utilisé en phase de récupération, est créé. Lors de la récupération, il est possible d’extraire des « passages » constituant le contexte dans lequel les termes demandés ont été trouvés. Le processus de récupération des passages requiert la présence des fichiers HTML d’origine, qui doivent donc figurer à un emplacement accessible au moteur de recherche dans le système de fichiers.
helpTool est un programme Java qui effectue deux fonctions de base :
Vous exécutez helpTool à partir de la ligne de commande en procédant comme suit :
$ java -jar helpTool.jar
usage: HelpTool
-d Répertoire de destination
-h Ces informations d’aide
-i Répertoire ou JAR contenant les fichiers d’entrée, sans caractères génériques
-n Répertoire de l’index Nova
-o Nom du fichier de sortie
-p Fichier des propriétés d’indexation
Reconstruction/Recréation de l’index de l’aide en ligne
Les fichiers HTML de l’aide en ligne sont compressés dans un fichier JAR. Vous devez les extraire dans un répertoire pour le moteur de recherche. Utilisez la procédure suivante :
- Décompressez la distribution de helpTool dans un répertoire temporaire. (Details TBD)
Dans cet exemple, nous allons extraire les fichiers dans /tmp/helpTool.
- Dans un shell UNIX ou une fenêtre de commande Windows, passez au répertoire dans lequel l’application Identity Manager a été déployée dans votre conteneur Web.
Par exemple, un répertoire pour Sun Java System Application Server ressemble à celui-ci :
/opt/SUNWappserver/domains/domain1/applications/j2ee-modules/idm
- Faites du répertoire help/ votre répertoire de travail courant.
Remarque Il est important d’exécuter helpTool depuis ce répertoire, sinon l’index risque de ne pas être compilé correctement. En outre, vous devez supprimer les anciens fichiers d’index en effaçant le contenu du sous-répertoire index/help/.
- Rassemblez les informations suivantes pour les arguments de ligne de commande :
- Exécutez la commande suivante :
$ java -jar /tmp/helpTool/helpTool.jar -d html/help/en_US -i ../
WEB-INF/lib/idm.jar -n index/help -o help_files_help.txt -p index/index.propertiesExtracted 475 files.
[15/Dec/2005:13:11:38] PM Init index/help AWord 1085803878
[15/Dec/2005:13:11:38] PM Making meta file: index/help/MF: 0
[15/Dec/2005:13:11:38] PM Created active file: index/help/AL
[15/Dec/2005:13:11:40] MP Partition: 1, 475 documents, 5496 terms.
[15/Dec/2005:13:11:40] MP Finished dumping: 1 index/help 0.266
[15/Dec/2005:13:11:40] IS 475 documents, 6,56 MB, 2,11 s, 11166,66 MB/h
[15/Dec/2005:13:11:40] PM Waiting for housekeeper to finish
[15/Dec/2005:13:11:41] PM Shutdown index/help AWord 1085803878
Reconstruction/Recréation de l’index de la documentation
Utilisez la procédure suivante pour reconstruire ou recréer l’index de la documentation :
- Décompressez la distribution de helpTool dans un répertoire temporaire. (Details TBD)
Dans cet exemple, nous allons extraire les fichiers dans /tmp/helpTool.
- Dans un shell UNIX ou une fenêtre de commande Windows, passez au répertoire dans lequel l’application Identity Manager a été déployée dans votre conteneur Web.
Par exemple, un répertoire pour Sun Java System Application Server ressemble à celui-ci :
/opt/SUNWappserver/domains/domain1/applications/j2ee-modules/idm
- Faites du répertoire help/ votre répertoire de travail courant.
Remarque Il est important d’exécuter helpTool depuis ce répertoire, sinon l’index risque de ne pas être compilé correctement. En outre, vous devez supprimer les anciens fichiers d’index en effaçant le contenu du sous-répertoire index/docs/.
- Rassemblez les informations suivantes pour les arguments de ligne de commande :
- Exécutez la commande suivante :
$ java -jar /tmp/helpTool/helpTool.jar -d html/docs -i ../doc/HTML/en_US -n index/docs -o help_files_docs.txt -p index/index.properties
Copied 84 files.
Copied 105 files.
Copied 1 files.
Copied 15 files.
Copied 1 files.
Copied 58 files.
Copied 134 files.
Copied 156 files.
Copied 116 files.
Copied 136 files.
Copied 21 files.
Copied 37 files.
Copied 1 files.
Copied 13 files.
Copied 2 files.
Copied 19 files.
Copied 20 files.
Copied 52 files.
Copied 3 files.
Copied 14 files.
Copied 3 files.
Copied 3 files.
Copied 608 files.
[15/Dec/2005:13:24:25] PM Init index/docs AWord 1252155067
[15/Dec/2005:13:24:25] PM Making meta file: index/docs/MF: 0
[15/Dec/2005:13:24:25] PM Created active file: index/docs/AL
[15/Dec/2005:13:24:28] MP Partition: 1, 192 documents, 38488 terms.
[15/Dec/2005:13:24:29] MP Finished dumping: 1 index/docs 0.617
[15/Dec/2005:13:24:29] IS 192 documents, 14.70 MB, 3.81 s, 13900.78 MB/h
[15/Dec/2005:13:24:29] PM Waiting for housekeeper to finish
[15/Dec/2005:13:24:30] PM Shutdown index/docs AWord 1252155067
