|
| |
| Sun Java System Identity Installation Pack 2005Q4M3 リリースノート | |
2
アイデンティティーインストールパック 2005Q4M3 の機能
Sun Java™ System Identiy Installation Pack ソフトウェアのインストールまたはアップグレードの前に、リリースノートに記載されているインストールとアップグレードに関する注意事項、および最新の Identity Manager v5 サービスパックに付属するドキュメントを参照してください。
新しい機能この節では、アイデンティティーインストールパック 2005Q4M3 の新機能の概要と詳細を示します。
機能の概要
ここでは、このリリースでの主な新機能の概要を説明します。詳細については、この章の各機能別の節を参照してください。
- Identity Manager のユーザーインタフェースには、新しいナビゲーションタブを備えた新しいスキンが用意されています (ID-11077、11079)。
- 新しいシステムログには、重要な例外に関するログが記録されます。Identity Manager の多くのシステムメッセージとシステムエラーが、標準エラー出力または標準出力に書き込まれる代わりにリポジトリに記録されるようになりました (ID-2914)。
- 「すべて」、「いずれか」、または「ランダム」の質問ポリシーを使用して、ユーザーが独自の認証質問を定義できるようになりました (ID4808)。
- 次の新しいアダプタが利用可能になりました。
- Novell SuSE Linux Enterprise Server 9 SP1 に Identity Manager をインストールできるようになりました。
- Identity Manager はアプリケーションサーバーとして Websphere 6 をサポートします。
- 既存のアダプタが次のソフトウェアバージョンをサポートするようになりました。
- リソースアダプタ上の機能を無効にできるようになりました。管理者インタフェースを使用して、個別のリソースインスタンスに対して機能を無効化できます (ID-6192)。
- 変更ログのための Meta-Directory の Universal Connector (UTC) 機能が追加されました (ID-7077)。
- アクティブな同期プロセスの間に障害が発生した場合の、代替ドメインコントローラへのフェイルオーバーがサポートされるようになりました (ID-7537)。
- PasswordSync の設計が変更されています。Java Messaging Server メッセージキューと連携して機能するようになりました。詳細については『Identity Manager 管理ガイド』を参照してください (ID-7649、10268、10356)。
- Identity Manager が改ざん防止監査ログをサポートするようになりました。改ざん防止監査ログを有効にする方法と、監査ログの侵害をレポートする方法については、『Identity Manager 管理ガイド』を参照してください (ID-8688)。
- アカウントとリソースの一覧ページが新しくなりました。実行するリソース一覧ビューアを選択するスイッチは、ResourceUIConfig オブジェクトの ResourceListViewer です。有効な値は、新しいビューアを使用する場合の「treetable」と、アカウントアプレットを使用する場合の「applet」です (ID-10496)。
- Identity Manager が承認のデジタル署名をサポートするようになりました。有効化および設定の方法については、『Identity Manager 管理ガイド』を参照してください (ID-9137)。
- ID 属性と呼ばれる新しい機能が Identity Manager に追加されました。ID 属性の設定により、管理ユーザーインタフェース、エンドユーザーインタフェース、Active Sync、一括操作、および SPML を対象にリソース間のデータフローを制御できます (ID-10867)。
- Identity Manager ユーザーをロックできるようになりました (ID-10851)。
- 新しい helpTool 機能により、Identity Manager の HTML 形式のオンラインヘルプファイルおよびマニュアルファイルを検索できます。詳細については、「ドキュメントの追加事項と修正事項」の章の「helpTool の使用」を参照してください (ID-11620)。
マニュアル
このリリースでは、『Identity Manager Technical Deployment』および『Identity Manager Technical Reference』が次のマニュアルに再編成されています。
- 『Identity Manager Technical Deployment Overview』 − オブジェクトのアーキテクチャーなど、Identity Manager 製品の概念面の概要を示し、製品の基本コンポーネントを紹介します。
- 『Identity Manager Workflows, Forms, and Views』 − リファレンスと手順説明を通じて、Identity Manager のワークフロー、フォーム、およびビューの使用方法を説明します。これらのオブジェクトをカスタマイズするために必要なツールに関する情報も記載されています。
- 『Identity Manager Deployment Tools』 − リファレンスと手順説明を通じて、各種の Identity Manager 配備ツールの使用方法を説明します。規則と規則ライブラリ、共通のタスクとプロセス、辞書のサポート、Identity Manager サーバーによって提供される SOAP ベースの Web サービスインタフェースなどの事項についても説明します。
- 『Identity Manager Resources Reference』 − リファレンスと手順説明を通じて、アカウント情報をリソースから Sun Java™ System Identity Manager にロードして同期する方法を説明します。
- 『Identity Manager Audit Logging』 − リファレンスと手順説明を通じて、アカウント情報をリソースから Sun Java™ System Identity Manager にロードして同期する方法を説明します。
- 『Identity Manager Tuning, Troubleshooting, and Error Messages』 − リファレンスと手順説明を通じて、Identity Manager のエラーメッセージと例外について説明し、作業中に発生する問題を追跡して解決する手順を示します。
次の表に、移動された章と移動先のマニュアルを示します。
管理者インタフェースとユーザーインタフェース
「リソース」ページ
「リソース」ページでのアプレットビューへの復帰
注 applet ビューアは非推奨になりました。ここに示す手順は、下位互換性のみを目的としたものです (ID-11415)。
Identity Manager では、「リソース」ページのリソース表示を applet ビューに戻すためのスイッチが用意されています。
- ビジネスプロセスエディタ (BPE) を使用して ResourceUIConfig オブジェクトを開きます。BPE の使用法については、『Identity Manager Deployment Tools』の「Introduction to the Business Process Editor」を参照してください。
- ResourceListViewer 属性の値 treetable を applet に置き換えます。
<Attribute name='ResourceListViewer' value='applet'/>
- オブジェクトを保存して Identity Manager を再起動します。以後、製品の「リソース」ページで applet ビューアが表示されるようになります。
注 treetable ビューアに戻すには、前の手順の属性値 applet を treetable に置き換えます。
「アカウント」ページでのアプレットビューへの復帰
注 applet ビューアは非推奨になりました。ここに示す手順は、下位互換性のみを目的としたものです (ID-11415)。
Identity Manager では、「アカウント」ページのリソース表示を applet ビューに戻すためのスイッチが用意されています。
- ビジネスプロセスエディタ (BPE) を使用して UserUIConfig オブジェクトを開きます。BPE の使用法については、『Identity Manager Deployment Tools』の「Introduction to the Business Process Editor」を参照してください。
- UserListViewer 属性の値 treetable を applet に置き換えます。
<UserListViewer>
<String>treetable</String>
</UserListViewer>
</UserUIConfig>
- オブジェクトを保存して Identity Manager を再起動します。以後、製品の「アカウント」ページで applet ビューが表示されるようになります。
注 treetable ビューアに戻すには、前の手順の属性値 applet を treetable に置き換えます。
ビジネスプロセスエディタ
- BPE が拡張され、ワークスペースの概念が導入されました。ワークスペースにはリポジトリ接続情報、オプション、ブレークポイント、オープンソース、および自動保存ファイルが保存されます (ID-9857)。
ユーザーインタフェースに多数の変更が行われました。
- BPE の起動時に、新しいワークスペースを選択するか、または「Create new workspace」をクリックして新しいワークスペースを作成する必要があります。
- エディタのオプションフォームにあった「Default server」、「Default user」、「Default password」などがなくなりました。現在、これらはすべてワークスペースの一部としてセットアップされます。各ワークスペースは特定のリポジトリと結び付けられます。
- リポジトリメニュー項目への「File」 > 「Connect」がなくなりました。接続は常に自動的に行われるようになりました。
- デバッガのメニュー項目から「Debug」 > 「Breakpoints」がなくなりました。これは、ブレークポイントダイアログがデバッガパネルの一部になったことに伴う変更です。
- 「Breakpoints」パネルで、新しい「Sources」ブレークポイントタブにすべてのソースブレークポイントが一覧表示されるようになり、ブレークポイントへの移動やブレークポイントの解除がすばやく行えるようになりました。
- 「Launch debugger」ダイアログは廃止されました。この情報はワークスペースの一部となり、デバッガの起動は自動的に行われるようになりました。
- BPE で、TabPanel および WizardPanel の各フォームと、SortingTable、InlineHelp、および ErrorMessage の各フィールドの編集が可能になりました (ID-10418)。
lh
lh スクリプトおよび lh.bat スクリプトで、配備ごとに異なる変数に対して環境ファイルがインポートされるようになりました。たとえば、リポジトリに WebSphere 5 データソースを使用している場合には、追加の環境変数が必要です。この目的のためのサンプルファイルが sample/other/idm-env.*.ws5 に収められています (ID-10443)。
ログ
Identity Manager が承認のデジタル署名をサポートするようになりました。有効化および設定の方法については、『Identity Manager 管理ガイド』を参照してください (ID-9137)。
PasswordSync
調整と探索
調整をスケジュールするときに、スケジュールのカスタマイズに使用する規則の名前を指定できるようになりました。たとえば、規則によって、土曜日にスケジュールされた調整を次の月曜日に延期することができます (ID-8538)。
リポジトリ
- Identity Manager リポジトリは、CLOB 列に対して Oracle 独自の処理を実行するようになりました。Oracle 用のサンプルスクリプトは、(LONG VARCHAR ではなく) CLOB データ型で xml 列を定義するようになりました (ID-5286)。
- Identity Manager リポジトリは MySQL 4.1 をサポートするようになり、MySQL 4.0 はサポートされなくなりました。MySQL 4.0 データを保持する場合は、2005Q4M3 リリースへのアップグレードの際に、スクリプト upgradeto2005Q4M3.mysql に記述された手順に従って MySQL 4.1 にアップグレードする必要があります (ID-10041)。
- データベースアップグレードスクリプトが、log テーブルに 2 つのオプション列 sequence および xml を追加するようになりました。これらの列は、ログレコードおよび承認レコードの署名などの新しい機能のために必要なものです (ID-11013)。
- IDM リポジトリの「set」操作のパフォーマンスが向上しました (ID-11673)。
リソース
ERP リソース
ディレクトリリソース
- LDAP リソースアダプタは、Sun Java System Directory Server における Active Sync を介したパスワード変更を検出できるようになりました。この機能を利用するには、ターゲットディレクトリサーバーにカスタムプラグインをインストールする必要があります (詳細は、『Identity Manager Resources Reference』を参照) (ID-8870)。
- LDAP リソースアダプタが、posixGroup エントリの管理 (作成、更新、削除) に加えて、LDAP アカウントへの posixGroup メンバーシップの割り当てをサポートするようになりました (ID-9748)。
ゲートウェイリソース
- Active Sync プロセスの間に障害が発生した場合の、代替ドメインコントローラへのフェイルオーバーがサポートされるようになりました。Active Directory リソースのポーリング中に障害が検出された場合、設定可能なワークフロープロセスを呼び出して、代替ドメインコントローラへのフェイルオーバーを促進することができます (ID-7537)。
- 新しいリソース属性Authentication Timeout が Active Directory リソースアダプタに追加されました。これはパススルー認証のみが対象です。この属性には、ゲートウェイ側に問題がある場合にアダプタがハングアップするのを防ぐ役割があります (ID-9526)。
セキュリティー
- 新しい管理者ロール「User」を使用して、実行時に管理者機能をエンドユーザーに割り当てることができます。詳細は、『Identity Manager 管理ガイド』を参照してください (ID-6607)。
- 「すべて」、「いずれか」、または「ランダム」の質問ポリシーを使用しているときの、ユーザー定義の認証質問のサポートが追加されました (ID4808)。
「すべて」、「ランダム」、および「いずれか」では、回答する質問の完全なリストが有効になります。
RoundRobin: 利用可能な質問のリストから 1 つの質問を選択し、ユーザーがその 1 つの質問に対する回答を作成できるようにします。
- License Administrator と呼ばれる新しい機能が追加されました。この新しい機能の使用法については、『Identity Manager 管理ガイド』を参照してください (ID-7481)。
サーバー
延期タスクスキャナで、スキャナが個別のオブジェクトを処理している間に発生するエラーが捕捉され、レポートされるようになりました。オブジェクトの一覧表示の失敗など、直接的に発生する一部の種類のエラーによってスキャン全体が停止する可能性はまだあります。しかし、特定のオブジェクトに固有のエラーによってスキャン全体が停止することはなくなりました (ID-10967)。
ワークフロー
- 同じ名前の同じ延期タスク定義の複数のバージョンをユーザーに追加できるようになりました (ID-6464)。
- ワークフローサービスの runResourceAction メソッドの説明が、『Identity Manager Workflows, Forms, and Views』の「Workflow Service Methods」の章に追加されました。このメソッドは、ワークフローからのリソースアクションの実行をサポートします。リソース ID、リソースアクション、および引数の Map を指定してこのメソッドを呼び出すと、リソースのリソースアダプタに対してリソースアクションが実行され、結果が返されます (ID-9068)。
- ワークフローサービスの Session メソッドクラスに、2 つの新しいワークフローサービスメソッド getResourceObject および listResourceObjects が追加されました。また、『Identity Manager Workflows, Forms, and Views』の「Workflow Service Methods」の章にこれらのメソッドの説明が追加されました (ID-9107)。
このリリースで解決された不具合この節では、アイデンティティーインストールパック 2005Q4M3 で解決された不具合について詳しく説明します。
管理者インタフェース
- ロールの同期の結果に数値の ID が表示されなくなりました。代わりに、ユーザーにとってわかりやすい表示名が表示されるようになりました (ID-6937)。
- Identity Manager Web アプリケーションが、サーブレット仕様のバージョン 2.3 をサポートするようになりました。この結果、Websphere Application Server のバージョン 5 を使用している場合でも、Identity Manager Web アプリケーションで Websphere Application Server バージョン 4 のデータソースを使用できるようになりました (ID-7913)。
- すべてのバージョンについて、国旗を表すイメージが製品の配布から排除されました (ID-8937)。
- LoginApp を管理者インタフェースから無効にできるようになりました (ID-9021)。
- 「アクティブプロセス」ページで、時間の値が説明フィールドに 24 時間形式で 1 つだけ表示されるようになりました (ID-9472)。
- SimpleTable ユーザーインタフェースコンポーネントで、noWrap プロパティーがフォーム XPRESS での設定どおりに正しく解釈されるようになりました (ID-9763)。
- サンライズタブ上のチェックボックスを使用して、2 つの異なる方法でサンライズにアカウントを作成させるオプションが新しく用意されました。また、ユーザーを有効化し、延期されたリソースアカウントを作成するために、延期タスクが使用されるようになりました (ID-10174)。
- Active Sync 設定の「相関規則」および「確認規則」選択リストに、適切なサブタイプの規則だけが一覧表示されます (ID-10247)。
- Active Sync が利用可能になる前 (たとえば、Active Sync の起動直後) にその状態を表示するエラーが発生しなくなりました (ID-10475)。
- Identity Manager で ResetSession を取得するために、匿名ログインページを同時に使用できるようになりました (ID-10846)。
- リソースに対する Active Sync を、Identity Manager クラスタ内のどのサーバーからでも停止および開始できるようになりました (ID-10821)。
- Identity Manager ユーザーをロックできるようになりました (ID-10851)。
- 「ユーザーの検索」の結果ページに「編集」ボタンが追加されました。また、結果リストでユーザーを選択して編集したあとに、インタフェースが「ユーザーの検索」の結果ページに戻るようになりました (ID-10913)。
- ロールの同期タスクが正しく機能するようになりました (ID-11190)。
- プロパティー gui.enableTaskTemplateEditor が Waveset.properties ファイルから削除されました。このオプションはデフォルトでオンになりました (ID-11611)。
- 指定された選択基準に一致するタスクの数が結果の制限数を超えたときに、「タスクの検索」ページ (task/findtasks.jsp) がハングアップしなくなりました (ID-11803)。
- ChangeLog が削除操作をサポートするようになりましたが、権限ソースとして単一のリソースを使用していない場合、一部のデータ値が欠落します。ID 属性および ChangeLog ビューの一部の場合、accountId が存在します (ID-11917)。
監査
Identity Manager が改ざん防止監査ログをサポートするようになりました。改ざん防止監査ログを有効にする方法と、監査ログの侵害をレポートする方法については、『Identity Manager 管理ガイド』を参照してください (ID-8688)。
ビルド
Javadoc の完全なセットがビルド時にコンパイルされるようになりました (ID-11158)。
ビジネスプロセスエディタ
BPE で階層ライブラリの作成がサポートされなくなりました (ID-9971)。
「IE Bridge」が、BPE の優先される Web ブラウザのオプション (「Tools」 > 「Options」) から除外されました (ID-10617)。
フォーム
- 新しいサンプルフォームの「LDAP Create Group」 および「LDAP Update Group」 では、一意でないメンバー名が許可されます (ID-8831)。
- Identity Manager は検証式を実行する前に、検証式内部のフィールドを一時的に復号化するようになりました。検証式内部のフィールドを復号化する回避方法を使用している場合や、式でフィールドが EncryptedData であることを想定して decryptToString を呼び出していた場合、フォームで不定の例外が発生する可能性があります。この方法を使用している場合、アップグレード後は使用しないでください (ID-9024)。
- 名前付きポリシーの文字列の品質をチェックする新しいメソッドが FormUtil および WorkflowServices に追加されました。これは、パスワードポリシーの不一致をデバッグする際に役立ちます (ID-9689)。
- リソースオブジェクトタイプを管理するためのリソースフォームを、個々のリソースインスタンスに対して指定できるようになりました。これまでは、リソースフォームはリソースタイプレベルでしか指定できませんでした。(ID-9753)。
- StripNonAlphaNumeric 規則が正しい部分文字列を返すようになりました (ID-10275)。
- ユーザーの編集時に、除外可能なリソースのリストの内容が、Role や ResourceGroup の割り当てを介して間接的に割り当てられるリソースだけになりました。直接割り当てられるリソースはこのリストに含まれません (ID-11585)。
- フォームライブラリが更新され、「ユーザーの編集」ページでリソース名が正しく表示されるようになりました (ID-11699)。
Identity Auditor
Identity Manager SPE
デフォルトでは、API 呼び出し checkinObject および deleteObject IDMXContext を使用すると監査は実行されません。監査を実行するには、これらのメソッドに渡されるオプションマップで IDMXContext.OP_AUDIT キーを true に設定することによって、監査を明示的に要求する必要があります。ApiUsage クラスの createAndLinkUser メソッドに、監査の要求方法が示されています (ID-11261)。
インストールと更新
- Cryptix の .jar ファイルがソフトウェアインストールから除外され、サポートされなくなりました (ID-8238)。
waveset.properties ファイルをカスタマイズした場合は、security.jce.workaround property が false に設定されているか、削除されていることを確認します。true に設定すると、例外が発生します。
- インストーラが update.xml を自動的にインポートするようになりました。(ID-8269)。
- ライセンスの問題により、次の JAR が削除されました。これらの JAR は次に示すリソースアダプタに対して必要です。各 JAR とベンダーからの入手方法に関する情報を次に示します (ID-9338)。
Adapter: OS400ResourceAdapter
URL: http://jt400.sourceforge.net
Project: JTOpen
JAR: jt400.jar
Version: 2.03
Adapter: ONTDirectorySmartAdapter
URL: http://my.opennetwork.com
Project: Directory Smart
JARs: dsclass.jar, DSUtils.jar
Version: N/A
- セットアップの実行時、LocateIndexPanel で「JDBC 2.0 Data Source」が独立した選択肢として表示されなくなりました。その代わりにこのパネルでは、サポート対象の各 DBMS に対して「JDBC Driver」および「Data Source」が表示されるようになりました (ID-9903)。
- 現在の Identity システムソフトウェアをサポートするために必要な Java プラットフォームのバージョンは JDK 1.4.2 です (ID-10347)。
- アイデンティティーインストールパックのセットアップで、別途ライセンスの指定をしないかぎり、デフォルトで無償使用ライセンスが使用されるようになりました (ID-11720)。
javax/mail/MessagingException
アプリケーションサーバーによっては、次の .jar ファイルを WEB-INF/lib ディレクトリにダウンロードしてインストールする必要があります。
インストールされていない場合、javax/mail/MessagingException を受け取り、Identity Manager ユーザーを正常に作成できない可能性があります (ID-10207)。
lh コマンド
lh set license コマンドが改訂されました (ID-10715)。
使用方法
License [options] { status | set {parameters} }
オプション
パラメータ
set オプションのパラメータは、次のどちらかの形式でなくてはなりません。
{ -f <file> }
{ <stdin> }ログ
- Identity Manager の多くのシステムメッセージとシステムエラーが、標準エラー出力または標準出力に書き込まれる代わりにリポジトリに記録されるようになりました (ID-2914)。
- カスタム Java コードがインストールされた配備について: com.waveset.util.Trace および com.waveset.adapter.Trace によって実装されたトレース機能が、com.sun.idm.logging.Trace 内の新しい機能に置き換えられたことに注意してください。古い機能も引き続きサポートされますが、非推奨になったので、新しい機能への移行を開始することをお勧めします (ID-10494)。
ローカリゼーション
- 国際化がデフォルトで有効になりました (ID-7216)。
- これまでローカライズされていなかった多数のメッセージがローカライズされました (ID-7709)。
- 「すべてのコンプライアンス違反」レポートのデフォルトインスタンスの列名がローカライズされました (ID-9728)。
- 「期限切れパスワード」レポートの各種テキストフィールドが適切な言語で表示されるようになりました (ID-9920)。
- すべての EmailTemplate オブジェクトが国際化されました。オブジェクト名は以前と同じままですが、displayName 属性は、オブジェクトの言語固有の名前を含むメッセージタグに設定されます (ID-10627)。
- Identity Manager および Identity Auditor によって生成される CSV レポートのエンコーディングが UTF-8 になりました。これらのスプレッドシートを正しく表示するために、レポートのデフォルト拡張子を認識されていない拡張子に変更して、スプレッドシートアプリケーションでファイルのエンコーディングを選択できるようにする作業が必要な場合があります (ID-10667)。
PasswordSync
調整
- 調整ポリシーで複数の調整サーバーを指定できるようになりました。これにより、1 つのサーバーが使用できなくなった場合でもサービスを継続できるようになりました (ID-9627)。
- 調整要求が管理者インタフェースを無期限にハングアップさせる可能性がなくなりました (ID-10326)。
- 調整ワークフローからのエラーを調整結果の一部として参照できるようになりました。また、調整前ワークフローにエラーがあった場合に調整を継続できなくなりました (ID-10334)。
- リソースアプレットの表示中に、フラグ抑制調整ポリシー検索が導入されました 同じタイプのリソースが多数 (400 個以上) 存在する配備では、これによってパフォーマンスが向上する場合があります (ID-11697)。
レポート
リポジトリ
- 揮発性のタスク関連オブジェクト (たとえば、Type.WORK_ITEM、Type.TASK_INSTANCE、Type.TASK_RESULT、および Type.TASK_RESULT_PAGE のインスタンス) が、1 対の独立したデータベーステーブル (task、taskattr) に格納されるようになり、デフォルトテーブル (object、attribute) には格納されません。(ID-8813)。
- ACCOUNT テーブルのインデックスの設計が見直され、リポジトリのパフォーマンスが改善されるとともに、DBMS のインデックス保守のオーバーヘッドが軽減されました (ID-9742)。
- DB2 を除くすべての DBMS について、データベースアップグレードスクリプトが account テーブルの accountName 列を null 以外に変更するようになりました (ID-9749)。
- setRepo コマンドで、コマンド行引数として指定された JNDI プロパティーが正しく保持されるようになりました (ID-10136)。
- オブジェクトの XML 文字列のサイズが設定された制限値を超えると、違反したオブジェクトがリポジトリの例外メッセージで識別されるようになりました (ID-10670)。次に例を示します。
Item 'User:joebob' length (5937) exceeds configured maximum (5000).
- このリリースでは次のメソッドが非推奨になりました。
com.waveset.object.Attribute#getDbColumnName
com.waveset.object.Attribute#getDbColumnLength
カスタムコードでこれらのメソッドを使わないようにしてください。
- サブ組織の数が 1000 を超える組織に含まれるユーザーを検索しても、Oracle でエラーが発生しなくなりました (ID-10559)。
- 長さが 4000 バイトを超える可能性があるバインド値が LOB または LONG のバインドに続くときに、Oracle 9 または Oracle 10 で Identity Manager リポジトリのエラーが発生しなくなりました (ID-10693)。
- アイデンティティーインストールパック が Attribute.CONTAINED_BY_OBJECT_GROUP (containedByObjectGroup) を公開するようになりました。これにより呼び出し元が、オブジェクトグループの包含関係に基づいて (たとえば、IDM オブジェクトグループが定義する組織階層内部の直接的および間接的な包含関係に基づいて) より効率的に問い合わせを行えるようになりました (ID-11392)。
- 組織 (たとえば、Type.OBJECT_GROUP のインスタンス) が、1 対の独立したデータベーステーブル (org、orgattr) に格納されるようになり、デフォルトテーブル (object、attribute) には格納されません。これにより、Identity Manager 組織のパフォーマンス、スケーラビリティー、および保守性が向上します (ID-11393)。
- 汎用の RelationalDataStore を使用して Oracle、MySQL、DB2、または SQL Server データベースにアクセスしようとした場合、Identity Manager リポジトリの初期化によって、RelationalDataStore の適切なサブクラスが自動的に構築されます。
このオーバーヘッドを避けるために、Setup または setRepo を使用して、リポジトリの場所のタイプとしてその DBMS を指定することをお勧めします。(ID-11429)。
- サブ組織に関連付けられた 1000 名を超えるユーザーを UserMemberRule で取得しようとしても、Oracle 上でエラーが発生しなくなりました (ID-11432)。
- オブジェクトの概要文字列が 1000 文字を超えるときに、Oracle 9 または Oracle 10 で Identity Manager リポジトリのエラーが発生しなくなりました (ID-11565)。
リソース
Active Sync
ERP
- 接続先の SAP システムに PASSWORD_FORMAL_CHECK 関数モジュールが含まれていないときに、SAP アダプタが NullPointerException をスローしなくなりました (ID-9946)。
- SAP HR Active Sync アダプタが、複数の値を含む属性に対して List オブジェクトを返すことができるようになりました。加えて、IDoc のより深い階層にある任意の属性を取得できるように、属性はパス表現で指定されるようになりました (ID-10387)。
- SAP リソースアダプタは SAP Note 750390 Installed? リソース属性をサポートしなくなりました (ID-10039)。
- Identity Manager 内で作成、更新、削除が繰り返されないように、Peoplesoft プロジェクト内のビュー「SQL for AUDIT_EFFDT_LH Record」が変更されました (ID-10481)。
ゲートウェイ
- テキストリストのロード方法に関するロジックの問題点が修正されました。以前は、Domino 拡張機能が空のテキストリスト属性を処理するときに、ゲートウェイのクラッシュが発生していました (ID-9581)。
- タスクのスケジュール時のホスト名比較で大文字と小文字が区別されるようになりました。これは、waveset.hostname に対して使われるホスト名と、sources.<Resource>.hosts および sources.hosts 内で使われるホスト名に関係します (ID-9606)。
- SecurID アダプタで、Forms 環境内部のリソースから adminLevel、adminTaskList、adminTaskListTasks、adminGroup、adminSite の各値を取得できるようになりました (ID-9750)。
- Domino リソースからのユーザーを調整している場合、「ブロック数」のユーザーが処理されたあとに調整プロセスが終了しなくなりました。「ブロック数」はエージェントアダプタのパラメータで、ブロックが操作中に保持できるユーザーの最大数を制限するために使われます (ID-10929)。
- リソースから返されるアカウント名 (ID) がリソースの ID テンプレートで指定されたものと異なる場合に、Domino の事後のアクションが実行されるようになりました。これは通常、大文字と小文字の違いが原因です (ID-11156)。
その他のリソース
- LDAP Listener Active Sync アダプタで、「同期させる属性」リソース属性を空のまま (変更はフィルタリングされない) にした場合でも属性が正しく機能するようになり、LDAP 削除イベントは正しく処理されます (ID-5658)。
- HostAccess クラスとそれが依存するクラス群への依存性を排除するために、次の非推奨メソッドが ResourceAdapterBase クラスから削除されました。
protected void runResourceAttributeJavascriptAction(String resAttrName,
HostAccess hostAccess, HostAccessLogin hostAccessLogin,
String user, EncryptedData password) throws Exception
カスタマイズされたアダプタがそのメソッドを参照している場合は、このメソッドの実装を持つ HostAccessResourceAdapter を拡張するようにアダプタを修正することをお勧めします (ID-6033)。
- 管理者インタフェースを使用して、個別のリソースインスタンスに対して機能を無効にできるようになりました (ID-6192)。
- Novell SuSE Linux Enterprise Server 9 SP1 がサポート対象プラットフォームとなりました (ID-6715)。
- HPUX Resource Adapter が、ユーザーの作成時にユーザー ID を割り当てることができるようになりました (ID-7348)。
- SunISResourceAdapter の名前が SunAccessManagerResourceAdapter に変更されました。SunISResourceAdapter は非推奨になりました (ID-7556)。
関連するすべてのサンプルフォームも追加されています。
- SunAMUserForm.xml
- SunAMUpdateStaticGroupForm.xml
- SunAMUpdateRoleForm.xml
- SunAMUpdateOrganizationForm.xml
- SunAMUpdateFilteredGroupForm.xml
- SunAMUpdateDynamicGroupForm.xml
- SunAMCreateStaticGroupForm.xml
- SunAMCreateRoleForm.xml
- SunAMCreateOrganizationForm.xml
- SunAMCreateFilteredGroupForm.xml
- SunAMCreateDynamicGroupForm.xml
- カスタムアダプタを再コンパイルするときに、親クラスで実装されている com.waveset.object.Constants に依存することが原因で、そのアダプタのコンパイルが失敗する場合があります。問題を解決するには、コンパイルエラーごとにフィールドを静的に参照します (ID-8215)。
次に例を示します。
/tmp/wd151610/waveset/idm/backward/5_0SP1/com/waveset/adapter/DominoHt tpResourceAdapter.java:270:
cannot resolve symbol
symbol : variable DOMINO_PASSWORD
location: class com.waveset.adapter.DominoHttpResourceAdapter
+ " <AuthnProperty name='"+DOMINO_PASSWORD+"'
displayName='"+Messages.UI_PWD_LABEL+"' formFieldType='password'/>n"
^
「DOMINO_PASSWORD」が解決できない場合があります。先頭に「Constants.」を付加し、「com.waveset.object.Constants」のインポートを追加すれば問題は解決します。
- LDAP リソースアダプタが拡張され、名前変更の前後でユーザーのグループを保持するようになりました (ID-8348)。
- LDAP リソースアダプタは、Sun Java System Directory Server における Active Sync を介したパスワード変更を検出できるようになりました。この機能を利用するには、ターゲットディレクトリサーバーにカスタムプラグインをインストールする必要があります (ID-8870)。
- データベーステーブルアダプタで、列名にスペースまたはその他の標準外文字を使用できるようになりました (ID-9016)。
- Active Sync ポーリングの起動時間が、開始時刻、開始日、およびポーリング間隔を認識するようになりました。開始日と開始時刻が Active Sync パラメータとして指定されている場合、最初の poll() 時刻はこれらのフィールドを適切に認識します。開始日も開始時刻も指定されていない、またはこれらのフィールドのどちらか一方しか指定されていない場合、poll はただちに起動します (ID-9083)。
- メインフレームリソース、スクリプトリソース (UNIX など)、および LDAP リソースに対してエラー時続行機能がサポートされるようになりました。この機能は調整および Active Sync に影響します (リソースでサポートされている場合)。この機能を有効にすると、個別ユーザーの処理エラーはログに記録されますが、処理は継続されます (ID-9602)。
- LDAP リソースアダプタが拡張され、LDAP アカウントを有効化/無効化するときに使うメカニズムとパラメータを指定できるようになりました (ID-9774)。
- サンプルのスケルトンアダプタコードが簡素化され、Active Sync 実装に対して IAPIFactory を利用するように更新されました (ID-9985)。
- FlatFile アダプタ XMLResourceAdapter と、それから派生するタイプが、そのリソース上で新しい (場合によっては部分的な) アカウントを作成しなくなりました (ID-10127)。
- UNIX システム上で特定のコマンドを実行するために、管理者は sudo によって権限を付与される必要があります。テスト接続を使用して、次のことをテストできます。
- DatabaseTable アダプタが ORDER BY 句をサポートするようになりました (ID-10546)。
- ホストリソースアダプタが、同じホストに接続している複数のホストリソースでの親和性管理者に対して最大接続数を強制しなくなりました。代わりに、各ホストリソース内部の親和性管理者に対して最大接続数が強制されます (ID-11001)。
同じシステムを管理している複数のホストリソースがあり、現在それらのリソースが同じ管理者アカウントを使うように設定されている場合、同じ管理者がリソースに対して同時にアクションを実行しようとしていないことを保証するために、リソースの更新が必要な場合があります。
- フェイルオーバーを使用する場合に、複数の Active Sync アダプタのスタートアップの種類を「自動」に設定できるようになりました (ID-11014)。
- Solaris システム上で、スクリプト相互排他ロック獲得ファイルが別の Identity Manager プロビジョニングプロセスによって削除された場合に、Solaris アダプタがエラーメッセージを出力しなくなりました (ID-11044)。
- すべての UNIX アダプタで、属性値が null (または空の文字列) の場合に WSUSER_<attribute_name> 変数が null に設定されるようになりました。<attribute_name> が値を持たないか、空文字列の値を持っていた場合には、これまでは WSUSER_<attribute_name> の値が使われていました (ID-11113)。
- TopSecret が CICS セグメントから OPTIME および OPID 属性を管理できるようになりました。また、追加のカスタム属性をサポートするように TopSecret を設定できるようになりました (ID-11249)。
- (ストックの) FlatFile リソースに対して調整が試みられた場合、例外の代わりに次のエラーメッセージが表示されるようになりました (ID-11340)。
アダプタは、リソース <リソース名> に関するアカウントを調整するために、アカウントの反復処理をサポートしなければなりません。
- IdPak 2005Q4M3 で、STARTUP_TYPE に関係するいくつかの定数が、com.waveset.object.Attribute から com.waveset.object.Resource に移動されています。
STARTUP_TYPE_AUTO
STARTUP_TYPE_AUTO_FAILOVER
STARTUP_TYPE_MANUAL
STARTUP_TYPE_DISABLED
STARTUP_TYPES
STARTUP_TYPES_DISPLAY_NAMES
com.waveset.object.Attribute の非推奨になった定数は、将来のリリースで削除される予定です。非推奨になった定数を参照しているカスタムコードがある場合、com.waveset.object.Resource の新しい定数を参照するように変更することをお勧めします (ID-11675)。
- グループ割り当てを変更せずにユーザーが更新されたときに、ClearTrust グループ割り当て (userGroup 属性) が削除されなくなりました (ID-11952)。
- 未使用の接続が不必要に保持されるのを防ぐために、反復処理とポーリングの間、データベース接続ができるだけ早く閉じられるようになりました (ID-11986)。
レポート
セキュリティー
- 質問ログイン成功後のパスワード変更チャレンジを省略するための新しいプロパティー questionLogin.bypassChangePassword が追加されました。この新しい機能の使用法については、『Identity Manager 管理ガイド』を参照してください (ID-10465)。
- HTTP の actionControl パラメータに関連するクロスサイトスクリプティングの脆弱性が解決されました (ID-11417)。
- 次の FormUtil メソッドの Javadoc が修正または加筆されました (ID-11592)。
- 組織の userMemberRule に渡すことのできる新しい引数が追加されました (ID-11621)。
- Identity Manager が新規インストールに対して、キー暗号化キーとしてデフォルトキーの代わりに PKCS#5 (PBE) キーを使用するように、またデフォルトキーを使用する代わりに一意なサーバー暗号化キーを生成するようになりました (ID-11719)。
これにより、すべての新規インストール間で、キー暗号化キーまたはサーバー暗号化キーの重複が起きないようにします。既存のインストールは、キー暗号化キーとサーバー暗号化キーに関する以前の設定に基づいて動作し続けます。
サーバー
- 延期タスクスキャナのパフォーマンスが向上しました。完了までの時間が短縮され、リソースの消費も少なくなりました (ID7763)。
- Identity Manager で tmp ディレクトリへのアクセスが必要になりました (ID-7804)。アプリケーションサーバーでセキュリティーポリシーを使用する場合、この変更に伴って次の権限を追加する必要があります。
permission java.io.FilePermission "${java.io.tmpdir}"${/}*" "read,write"
- AdminRole に含める、またはそこから除外するオブジェクトを選択するための新しい方法が用意されています。AdminRole を作成または編集するためのユーザーインタフェースで、1 つ以上の制御対象組織を選択したあとに、AdminRole に含める (または除外する) オブジェクトのリストを選択する方法が変更されました (ID-9002)。
- 「Include Related Items」機能が Work Item ビューに追加されました。これにより、プロセス内のほかのアクティブ作業項目についての情報を承認フォームに表示できるようになりました (ID-9157)。
- セキュリティー上の理由から、savedObjects は現在 /WEB-INF ディレクトリにあります (ID-10506)。
- 致命的な例外の捕捉後に、延期タスクスキャナが NullPointerException でクラッシュしなくなりました (ID-11155)。
- LDAP グループの 2 回目の変更を行ってもエラーが発生しなくなりました (ID-11158)。
- 承認のための「転送先」ドロップボックスに関連するパフォーマンスの問題が解決されました。この問題は一般に、管理者ロールを介して機能を割り当てられる管理者の数が 1000 名を超えるような場合に発生していました (ID-11507)。
- 作業項目の処理が改善され、関連付けられた TaskInstance が不必要に取得されなくなりました (ID-11668)。
- コンソールの削除コマンドで、破損したオブジェクト (無効な XML を含むオブジェクトなど) が自動的に削除されるようになりました。これまでは、状況によっては、削除コマンドが成功したように見えても実際には破損したオブジェクトが削除されていない、ということがありました (ID-11861)。
トレース
ワークフロー
- 監査ワークフローで、一連の WorkflowServices 呼び出しを挿入する必要がなくなりました。代わりに、<WFProcess> 要素または <Activity> 要素で audit=true 属性を設定します (ID-10178)。
- TaskDefinition が 1 つ以上のアクティブタスク (TaskInstance オブジェクト) によって使用中の場合、TaskDefinition 内のワークフローステップ (埋め込みの WFProcess オブジェクト) を変更できません (ID-10460、10462)。
- bulkReProvision ワークフローサービスが、複数のユーザーを正しく再プロビジョニングするようになりました。reProvision 操作の間、ロール属性がユーザーに正しく適用されるようになりました (ID-10541)。
マニュアル
- 『Identity Manager Workflows, Forms, and Views』の「HTML Display Components」の章で、JavaScript と任意の HTML の両方に対する HTML コンポーネントのサポートについての説明が追加されています (ID-4922)。
- 『Identity Manager Workflows, Forms, and Views』の「User View in the Views」の章の説明に、変数ネームスペースについての情報が追加されました (ID-10389)。
- 『Identity Manager 管理ガイド』の「PasswordSync」の章で、PasswordSync を各ドメインコントローラにインストールする必要があるという注記が明示されました (ID-10514)。
- 『Install Pack Installation』で、WebSphere クラスタ内のデータソースの設定方法についての説明が追加されました (ID-11210)。
- 『Identity Manager 管理ガイド』の「データの同期と読み込み」の章で、Active Sync ウィザードの「一般設定」パネルでのイベント作成時に Active Sync リソースを割り当てる方法についての説明が追加されました (ID-11217)。
- 『Identity Manager Deployment Tools』の「Variable Namespaces」の章で、相関規則および確認規則の有効なコンテキストの一覧が修正されました (ID-11297)。
- 『Identity Manager Resources Reference』で、サポート対象のすべてのアダプタおよびリソースバージョンの一覧表が追加されています (ID-11332)。
- 『Identity Manager Tuning, Troubleshooting, and Error Messages』の「Troubleshooting and Tracing」の章が更新され、workflow.trace パラメータの修正手順が変更されています。
このパラメータは Waveset.properties から移動しました。SystemConfiguration オブジェクト内の workflow.trace パラメータを編集するように説明されています (ID-11910)。
- 『Install Pack Installation』の第 9 章で、Sun Java System Application Server ユーザーの server.policy ファイルに関する正しい情報が追加されています。現在のリリースにアップグレードしている場合、この情報を server.policy ファイルに追加してください (ID-11983)。
解決されたその他の不具合
8354、8384、9084、10512、10644、10827、10992、11106、11491