既知の問題点

3 既知の問題点

この節では、次の製品に関する既知の問題点と回避策について説明します。

Identity Manager

Identity Manager Service Provider Edition (SPE)

Identity Auditor

Identity Manager

一般

cookie が無効な場合、特定のページを表示しようとするとログインプロンプトが表示されます (ID-158)。

「ワトソン博士」がポップアップ通知を表示しないように、Sun Identity Manager Gateway が稼働するシステムを設定する必要があります。このポップアップ通知が有効に設定されている場合、ゲートウェイでエラーが発生すると、ポップアップウィンドウを閉じるまでプロセスはハングします。

無効化フォーム要素では、display.session 変数と display.subject 変数を使用できません。フォームの再計算のたびに式が実行されるため、長く実行される可能性のあるアクティビティーを無効化要素内に作成することはお勧めできません。その代わりに、頻繁に実行されない別のフォーム要素内で計算を行うことをお勧めします。

Identity Manager Web インタフェースで作業しているときに最高のパフォーマンスを得るには、Identity Manager にバンドルされている OpenSPML ツールキットを使用します。openspml.org Web サイトから入手した openspml.jar ファイルを使用すると、メモリーリークの原因となる場合があります (ID-11889)。

Identity Manager のインストールディレクトリへのパスに空白文字が含まれる場合は、次のように、二重引用符 (") なしで WSHOME 環境変数を指定する必要があります。

set WSHOME=c:Program FilesApache GroupTomcat 4.1lighthouse

または

set WSHOME=c:Progra~1Apache~1Tomcat~1lighthouse

次のような指定は機能しません。

set WSHOME="c:Program FilesApache GroupTomcat 4.1lighthouse"

リソーススキーママップに設定する必要のあるフィールドは、ユーザーアカウントの作成時にだけチェックされます (ID-220)。ユーザーの更新時にフィールドが必要になる場合は、フィールドが必須フィールドになるようにユーザーフォームを設定する必要があります。

組織名、管理者名、アカウント名、ユーザー属性名 (スキーママップの左辺)、タスク名の文字の有効性はチェックされません (ID-1145、1206、1679、1734、1767、2413、3331)。ドル記号 ($)、コンマ (,)、ピリオド (.)、アポストロフィ (')、アンパサンド (&)、左角括弧 ( [ )、右角括弧 ( ] )、コロン (:) をこれらのオブジェクトの名前に使用することはできません。

セッションのタイムアウト後にアクションを実行しようとすると、操作に関連しないエラーメッセージがアカウントページに表示されます (ID-1223)。

ブラウザが大きなフォントを使用している場合、カレンダオブジェクトの一部が表示されなくなります (ID-2120)。

「検索結果」ページと「タスクのリスト」ページの「すべてを選択」チェックボックスは、リスト内のいずれかの項目が選択されていない場合、未選択状態になりません (ID-5090)。リストのすべての要素に対応するすべてのチェックボックスが選択されていない場合、結果表示アクションの実行時に「すべてを選択」チェックボックスは無視されます。

カスタムメッセージカタログに変更を加えた場合、変更を表示に反映させるには、サーバーを再起動する必要があります (ID-6792)。

複数ユーザーの有効化または無効化時は、サイドバータブ (「アカウントリスト」、「ユーザーの検索」など) は確認ページに表示されません (ID-6866)。ページの内容を確認して結果を表示すると、タブは再表示されます。

障害が発生したサーバーを検出する現在のメカニズムは、Identity Manager クラスタ内のすべてのシステムが、時間的に同期されているものと見なします (ID-7064)。障害検出の 5 分のデフォルト間隔では、1 つのサーバーの同期が 5 分間以上別のサーバーとずれている場合、時間的に先行するサーバーは遅れているサーバーが非活性であることを宣言し、予期せぬ結果を生じます。これを解決するには、同期の時間的なずれをより少なく維持するか、フェイルオーバー間隔を長めに設定します。

Windows で、マシンのデフォルトのエンコーディングが 1 バイト文字しかサポートしない場合、名前に 2 バイト文字を含むユーザーとしてログインするには、USER_JPI_PROFILE 環境変数を 1 バイト文字だけを含む既存のディレクトリに設定する必要があります (ID-8540)。

ブラウザでアカウントアプレットが読み込みに失敗した場合は、すべてのユーザーがアプレット JAR ファイルを含むディレクトリおよび IDM_install_dir/applet/tt22.jar アプレット JAR ファイルの読み取り権限と実行権限を持っていることを確認してください (ID-8541)。

リソースオブジェクトが、照会可能な属性 typeString (Attribute.TYPE_STRING) を公開するようになりました。この属性には、以前は type として公開されていたリソースタイプ値が含まれています。

type (Attribute.TYPE) に基づいてリソースを問い合わせるカスタムコードがある場合は、できるだけ早く、typeString (Attribute.TYPE_STRING) の問い合わせに変更してください。Attribute.TYPE_STRING はリソースオブジェクトに対してはインライン化されるため、Attribute.TYPE_STRING への変換によりパフォーマンスが向上します。

アイデンティティーインストールパックの次のフルリリースでは、Attribute.TYPE としてのリソースタイプ値の公開は行わない予定です (ID-11124、11125)。

ツリーテーブルビューで、オブジェクトの削除後にリソースオブジェクトが正しく更新されません。手動でページを更新するとオブジェクトが正しく表示されます (ID-12241)。

インストールとアップデート

Identity Manager を idm.war ファイルからインストールした場合、UNIX シェルスクリプトに実行ビットが設定されません (ID-2371)。これを解決するには、idm/bin ディレクトリで UNIX の chmod コマンドを実行します。

更新の、カスタマイゼーション保存段階でエラーが発生すると、「インストール」ボタンはアクティブなように表示されますが、クリックしても機能しなくなります (ID-3797)。

DN に空白文字が含まれる場合、Identity Manager は LDAP リポジトリに接続できません (ID-6066)。

Identity Manager が Tomcat 5.x 環境にインストールされている場合、レポートを実行すると Java エラーが発生します (ID-6652)。これを回避するには、次の処理を実行します。

cd $WSHOMEWEB-INFclasses

jar xvf ..libj2ee.jar javax/activation/DataSource.class

AD Active Sync リソースは非推奨になり、AD リソースによって置き換えられました。AD Active Sync を新しいリリースに移行するには、次の手順を実行します (ID-11363)。

コマンド行またはデバッグページから、既存の AD Active Sync リソースオブジェクトを xml ファイルにエクスポートします。

既存のリソースを削除します。これは、Identity Manager ユーザーまたはリソースアカウントユーザーには影響しません。

Active Sync である新しい AD リソースを作成します。

この新しいリソースオブジェクトを XML ファイルにエクスポートします。

このファイルを編集し、id 属性および name 属性の値を、手順 1 で保存した古いリソースオブジェクトの値と一致するように変更します。これらの属性は <Resource id='idnumber' name='AD' ...> タグにあります。

変更をファイルに保存します。

「設定」の「交換ファイルのインポート」ページまたはコマンド行を使用して、変更したオブジェクトをふたたび Identity Manager にインポートします。

Identity Manager 6.0 にアップグレードするときに、PBE サーバーキーの生成で問題が発生する場合があります。サーバーキー暗号化に pkcs5 を使用するように 6.0 以前のシステムを設定していた場合、アップグレード後はライセンスキーが機能しなくなります。その結果、次回のサーバー起動時にログインまたはコンソールの起動ができなくなります (ID-12026、12027)。

「セキュリティー保護された新規ランダム PBE パスワードの生成」を選択することによって、新しい PBE パスワードを生成することをお勧めします。このオプションは、アップグレードの前に PKCS#5 が選択されていた場合にのみ表示され、選択可能となります。

アップグレードされたシステムリポジトリ内のシステム設定を編集/インポートすることもできます。pkcs5Encrypt または updatePkcs5Password 属性の値の追加、削除、または変更は、サーバーキーの暗号化に次のように影響します。

pkcs5Encrypt = 'false'、updatePkcs5Password = 'true' または 'false'

これは、デフォルトの暗号化キーを使ってすべてのサーバー暗号化キーを再暗号化します。

pkcs5Encrypt = 'true'、updatePkcs5Password = 'false'

これは、リポジトリ内の pbe パスワードから生成された pcks5 暗号化キーを使って、すべてのサーバー暗号化キーを再暗号化します。

pkcs5Encrypt = 'true'、updatePkcs5Password = 'true'

これは、リポジトリの一意でセキュアなランダム pbe パスワードを更新します (例: miscData)。

またこれは、リポジトリ内の更新された pbe パスワードから生成された pcks5 暗号化キーを使って、すべてのサーバー暗号化キーを再暗号化します。

アカウント管理

NT のネイティブツールが管理できない 20 文字を超えるアカウント名を持つ NT アカウントが作成できてしまいます (ID-710)。

管理者は、管理対象ではない組織を含むリソースまたはロールを保存することができません。

Identity Manager は、NT で制限されている文字についてユーザーアカウント名をチェックしません (ID-844)。NT で使用が制限されている文字は次のとおりです。

" / [ ] : ; | = , + * ? < >

また、ピリオドと空白文字だけで構成されるユーザー名を作成することはできません。

「プロビジョニング結果」ページのカラムをソートすると、結果に空の追加行が作成されます (ID-1105)。

数百におよぶユーザーアカウントの承認には長時間かかります (ID-1149)。これを回避するには、より小さなグループ単位でユーザーアカウントを承認します。

承認特権を持たなくなった管理者が所有する承認レコードを承認することはできません (ID-1150)。これを解決するには、その管理者が承認特権を持つリソース、ロール、組織から管理者を削除し、管理者の削除、または管理者の削除特権の削除前に未処理であった承認レコードを承認します。

修正なしでユーザーを更新しても、詳細結果ページは表示されません (ID-2327)。

ユーザーを新規作成したり、既存のユーザーにリソースを追加したりする場合、ユーザーの識別名が誤っていると、管理者がログアウトするまで誤った値がキャッシュされます (ID-2508)。識別名の修正後にユーザーを再作成しようとしても、管理者がログアウトするまでは成功しません。

Netscape 4.7 では、Identity Manager のユーザーインタフェースログイン画面にアカウントロックアウトメッセージが表示されません (ID-2680)。ページの URL にはエラーメッセージが表示されます。

リソーススキーママップでは、「name」という名前はビューの予約語であるため、Identity Manager のユーザー属性として使用することはできません (ID-2918)。

Windows Active Directory では、ディレクトリを作成できる管理者としてゲートウェイを実行する必要があります (ID-2919)。Identity Manager は Windows 2000 システム上にホームディレクトリを作成できます。ホームディレクトリアカウントの作成は、リソース定義に指定されている管理者ではなく、ゲートウェイを実行しているユーザーによって行われます。これを解決するには、ゲートウェイを実行しているユーザーをローカルシステムから、リモート共有の作成と、その共有の特権の設定を実行できるアカウントに変更します。このアカウントは、バイパストラバースチェックの特権と、オペレーティングシステムとして動作する特権も必要とします。

ユーザーアカウントの無効化時にエラーが発生すると、Windows NT リソースはエラーメッセージではなく、誤った警告メッセージをスローします (ID-3222)。

ユーザー編集ページからユーザーのすべてのリソースを削除すると、java.lang.NullPointerException が出力されることがあります (ID-4811)。この問題を回避するには、ユーザー削除ページを使用してリンクを解除するか、ユーザーからこれらのリソースアカウントを削除します。

Identity Manager ユーザーが作成され、ユーザーアカウントがすでに存在する Windows Active Directory リソースに割り当てられると、リソース情報に GUID 属性を持たない状態でユーザーが作成されます。GUID は、ディレクトリ内のユーザーの組織または名前に加えられた変更の検出に使用されます。この問題は、リソースから調整を実行すると解決されます。

ユーザーの作成時に、直接割り当てられたリソースを含むユーザーにロールを追加する場合は警告が出力されます (ID-5385)。

ユーザーの作成時に「転送先」管理者を指定できません。このオプションは、ユーザーの編集時にだけ設定できます (ID-5695)。

削除ユーザーの「割り当て解除」操作は、1 リソースあたり複数のアカウントを処理できません (ID-6305)。

承認

ユーザーを更新し、更新をバックグラウンドで実行するように選択した場合、承認アクティビティーはタスク結果ページに表示されます (ID-3301)。この承認は無視できます。

管理者の承認レコードは、ユーザーの名前が変更されたあとは表示されません (ID-3386)。これを回避するには、ユーザー名を変更する前に、未処理のすべての承認を解決します。

承認されるユーザーが、承認者の制御対象ではない組織に属する場合、管理者は、過去に承認された、または過去に拒否された承認レコードを表示できません (ID-3494)。

設定者の承認保留リストに、リソース再試行タスクが表示されます (ID-3508)。

ログイン設定

Domino リソースでは、パススルー認証モジュールは機能しません (ID-1646)。

「管理者ログインセットアップ」および「ユーザーログインセットアップ」ページで加えた変更を、ログインしているほかの管理者が表示することはできません (ID-3487)。変更を表示するには、ほかの管理者は管理者インタフェースからログアウトし、ログインし直す必要があります。

管理者がログインし、「自分のパスワードの変更」を選択してから別のタブを選択すると、ロックの期限が切れるまでアカウントがロックされます (ID-3705)。

ロックされた状態の管理者を別の管理者が編集しようとすると、「com.waveset.util.WavesetException: 現在、アカウント #ID#Configurator にアクセスできません。あとでやり直してください。」というメッセージが出力されます。「OK」ボタンをクリックすると、最後のアクションからのワークフロープロセスダイアグラムが表示されます。

組織

複数の組織を削除する場合、1 つの組織で削除に失敗すると、残るすべての組織も削除されません (ID-517)。

組織の名前を変更すると、その組織に属するユーザーを含むプロビジョニング要求が保留されている場合は、そのプロビジョニング要求は失敗します (ID-564)。これを回避するには、組織名を変更する前に、未処理の要求が存在しないことを確認します。

新規組織の作成時に、組織名の指名前に「ユーザーメンバー規則」オプションが選択されていると、ページの更新後に組織名のフィールドに組織の ID が表示されます (ID-6302)。新しい組織を保存する前に、正しい名前を設定できます。

( ) - 警告: フィールド [Approvers] 中のカッコ内の値が、許可された値のいずれとも一致しません。

ユーザーが動的な組織規則によって組織に割り当てられ、その組織にも同じユーザーが存在する場合、「アカウントのリスト」アプレットにユーザーが 2 回表示されます (ID-6413)。

ポリシーと機能

Identity Manager アカウントポリシー属性「リセット通知オプション」に指定されている「管理者」というオプション値は効力を持ちません (ID-944)。有効なオプション値は、「即時」と「ユーザー」だけです。

複数ロールの削除時にエラーが発生すると、ほかのロールに対する処理は継続されず、操作全体が停止します。

ユーザーによる回答が必要な質問の最小数に、定義されている質問の数より大きな値を設定できてしまいます。このような状況では、ユーザーは「パスワードをお忘れですか」オプションを使用してログインすることができません。

ポリシーの編集、名前の変更、新規オブジェクト作成の選択によって、デフォルトのアカウントポリシーのクローンを作成することはできません (ID-5147)。アカウントポリシーを新規作成する必要があります。

ユーザーの調整とインポート

ユーザーがすでに Identity Manager に存在する場合、CSV ファイルからユーザーをインポートしても、リソース属性は更新されません (ID-2041)。

CSV (コンマ区切りの値) ファイルで、一重引用符 (') を含むアカウント ID が読み込まれると、疑問符 (?) に変換されます (ID-2100)。

「スケジュールされている」オプションを使用している場合、「タスクの検索」ページでの検索ではスケジュールされているタスクは表示されません (ID-5001)。

RedHat バージョン 8 リソースに対して実行した場合、調整は失敗します (ID-6087)。

リソースの接続プールが有効化されている場合、Oracle ERP リソースの調整は完了しますが、エラーが出力されます (ID-6386)。これを回避するには、調整時の接続プールを無効にします。

レポート

セキュリティー管理者はレポートを実行または作成できません (ID-1217)。これを解決するには、管理者にレポート管理者機能を与えます。

リスト分析レポートが、レポート管理者以外の管理者に対しても表示されてしまいます (ID-1224)。

プレーンテキストオプションで電子メール送信されるレポート結果の書式を設定することはできません (ID-2191)。これを解決するには、電子メールの HTML オプションを使用します。

大規模な結果では、監査ログエントリが記録されないことがあります (ID-5050)。

組織名にアポストロフィ (') が含まれる場合、選択してもティッカーは表示されません (ID-5653)。

管理者レポートの実行時に、管理者を持たない組織に対して、特定の組織に所属する管理者のみをレポートするオプションを選択した場合、java.lang.NullPointerException エラーが返されます (ID-5722)。

「User」オブジェクトタイプを参照して Identity Manager 5.0 SP4 で作成または変更された監査レポートや使用状況レポートは、編集時に、「Directory User」を参照します。これらのレポートは機能していなかった可能性がありますが、存在している場合は手動で編集し、「Directory User」が選択されていれば代わりに「User」を選択し直す必要があります (ID-9737)。

リソース

リソーステストボタンを使用しても、一部のフィールドはテストされません (ID-51)。

リソースポートの割り当てには、65535 より大きな値を設定できてしまいます (ID-59)。

誤った Active Directory グループ名を設定すると、不正確なエラーメッセージが表示されます (ID-363)。Active Directory グループ名に「cn=groupname,cn=builtin,dc=waveset,dc=com」ではなく「groupname」を指定した場合、「配列インデックスが境界を超えた」ことを示すエラーメッセージが表示されます。

名前が同じで、必須フラグが設定されていないアカウント属性を持つ別のリソースが存在する場合、必須アカウント属性が無視されることがあります (ID-1161)。

特権を持たないリソースに対して管理者が組織を追加しようとすると、エラーが表示されます。このため、リソースの編集はキャンセルされ、そのリソースにその他の変更を加えるには、再編集が必要となります (ID-1274)。

PeopleSoft リソースで、リソースアカウントパスワードまたはユーザー名が誤っていた場合、エラーメッセージがクリアされません (ID-2235)。エラーメッセージの状態は次のとおりです。

bea.jolt.ApplicationException: TPESVCFAIL - application level service failure

終了ステータス %DISPLAY_INFO_CODE% を使用する Windows Active Directory リソースアクションは、アクションを失敗させ、エラーが出力されます (ID-2827)。

Windows NT リソースアクションは、終了コードの返値がゼロ以外の場合でも、アクションの終了ステータスが「失敗」となりません (ID-2828)。

ユーザーの作成時に、Active Directory でユーザーの一次グループ ID を設定できません (ID-3221)。これを解決するには、一次グループ ID を設定せずにユーザーを作成し、ユーザーを編集して値を設定します。一次グループ ID は、グループの識別名ではなく、番号でも設定できます。

リソース IP アドレスは、ホスト名が IP アドレスに解決されたあとに JVM にキャッシュされます。リソース IP アドレスが変更されたときは、Identity Manager が変更を検出できるように、アプリケーションサーバーを再起動する必要があります (ID-3635)。これは、Sun JDK (バージョン 1.3 以降) での設定で、sun.net.inetaddr.ttl プロパティーによって制御されます。このプロパティーは、通常は jre/lib/security/java.security 内で設定されます。

Oracle リソース上の 1 ユーザーに複数のアカウントを作成することはできません (ID-3832)。

エンドユーザーは、Domino リソースアカウントの自己検索機能を使用できません (ID-4775)。

Active Directory 組織内のサブコンテナでユーザーの出し入れを行った場合、Active Sync アダプタは変更を検出しますが、編集ページにユーザーを表示すると (または、変更を加えてから確認ページを表示すると)、ユーザーのアカウント ID が元の DN (識別名) として表示され続けます (ID-4950)。ユーザーの修正には GUID が使用されるため、これが操作上の問題を生じることはありません。この問題は、リソースに対して調整を実行すると解決されます。

組織 (OU) からサブ組織にユーザーを移動すると、LDAP ChangeLog アダプタは変更を認識せずに、ユーザーが削除されたものと見なします。ユーザーオブジェクトは LH (これが現在の設定である場合) でロックされ、移動されたアカウントに代わる「新規」アカウントは作成されません。

UNIX リソースアダプタが使用するプールされた接続は、コマンドまたはスクリプトの実行中にエラーが発生した場合、状態が未確定のまま残されることがあります (ID-5406)。

NDS 組織は、リソースのベースコンテキストを「[ROOT]」に設定した場合にだけ、ツリーの最上位に作成できます (ID-5509)。

「リソースのリスト」ページでマウスの右クリックメニューからリソースオブジェクトを検索する場合、「is not」オプションを指定しても正しいオブジェクトリストが返されません (ID-6194)。

NDS では、初期プロビジョンのフィールド (グレースログイン制限など) を編集し、ブールフィールドに値を指定しない場合、すべてのブールフィールドは false に設定されます (ID-6770)。これにより、特定のチェックボックスの値を true に設定しなければならない、制限タブ上のその他のフィールドを設定できなくなります。これを回避するには、ほかのフィールドの編集時に正しくプッシュされるように、true に設定する必要のあるすべてのブールフィールドを必ず true に設定します。

「接続の管理」 --> 「リソースパスワードの変更」機能を使用して UNIX マシンのパスワードを変更する場合、タスク名は次のようになります。

_FM_PASSWORD_CHANGING_TASK null:null

本来は、意味のわかりやすい名前が表示されるべきです (ID-6947)。

NIS を使用する UNIX リソースでは、接続の管理機能は使用できません (ID-6948)。ルートのパスワードが変更の対象となりますが、NIS はルートアカウントを管理していないため、エラーとなります。

Identity Manager 組織で更新を選択してユーザーを更新する場合、ネイティブで作成され、Identity Manager に読み込まれた、Sun ONE ID Server アカウントを持つユーザーはエラーとなります (ID-7094)。これを回避するには、これらのユーザーを個別に更新します。

アイデンティティーインストールパックには、非推奨になった次のクラスがまだ含まれています。

com.waveset.object.IAPI

com.waveset.object.IAPIProcess

com.waveset.object.IAPIUser

今後、カスタムアダプタでこれらのクラスを参照しないようにしてください。代わりに、パッケージ com.waveset.adapter.iapi 内の対応するクラスを参照するようにしてください (ID-8246)。

DatabaseTableResourceAdapter スキーマのアカウント属性を、ブール値に設定しないでください。このアダプタは、ブール属性をブールオブジェクトとして正しく返さないので、ネイティブの変更監査者は変更が行われたものと誤って認識してしまいます (ID-8746)。

サーバーのスタートアップ後にはじめて ActivCard に接続したときに、java.security.NoSuchAlgorithmException エラーが標準出力に書き出されることがあります。このエラーによる悪影響はありません (ID-8905)。

PeopleSoft コンポーネントインタフェースリソース上にアカウントを持つユーザーを削除しようとすると、エラーが発生します。現在、このリソースはアカウントの削除をサポートしていません (ID-9000)。

Access Manager と Identity Manager 5.5 (およびそれ以降) を、Application Server 上に一緒に配備しないでください。Access Manager がデフォルトのセキュリティープロバイダを変更するため、Identity Manager がライセンスの署名の検証に失敗します。

ライセンス署名が検証できない場合、ブラウザの初期ページにエラーメッセージが表示されます。ほとんどの場合、このエラーはセキュリティープロバイダとの互換性の問題が原因で表示されます (ID-10518、10750、11011)。

エラーは次のように表示されます。

Failed to verify signature: 例外エラー

リソースオブジェクトの管理

「リソースのリスト」ページでは、Windows Active Directory オブジェクト (グループ、組織単位、またはコンテナ) の名前を変更できません (ID-3329)。

リストに多数のリソースが含まれる場合、リソース管理アプレットを開くときに数秒かかります (ID-3456)。

複数の CN 値を持つユーザーが存在する場合、新しい LDAP グループを作成できません (ID-3848)。これを解決するには、LDAP グループ作成フォームで設定される CN の代わりに DN を使用してグループのメンバーを管理します。

リソースグループ

「リソースグループの作成」または「リソースグループの編集」ページで Return キーを使用すると、ページに加えた変更がクリアされます (ID-3430)。

リソースグループレポートを CSV ファイルとして保存できません (ID-8001)。

セキュリティー

暗号化されたデータを含むオブジェクトをインポートし、そのデータが、データのインポート先であるリポジトリに存在しない暗号化キーで暗号化されていた場合、オブジェクトのインポートは行われますが、サーバー暗号化キーが見つからないためデータを復号化できないという警告メッセージが表示されます (ID-12143)。

Sun Identity Manager Gateway

「NT サービス」画面で「終了」ボタンをクリックしても、Sun Identity Manager Gateway は停止しないことがあります (ID-590)。これを解決するには、サービス停止要求 (ハング状態が継続している場合) をキャンセルしてからサービスを停止し直すか、NT サービスダイアログを終了してから再表示し、終了処理を再実行します。

ゲートウェイがリモート信頼ドメインにある場合、NT ドメインにはグループを追加できません (ID-711)。

「net stop "Sun Identity Manager Gateway"」を実行しても、ゲートウェイが停止しないことがあります (ID-2337)。

タスク

Identity Manager 管理者特権を持つ管理者は、タスクリストにリスク分析タスクが含まれる場合、タスクの管理ページを表示できません (ID-1225)。

組織「Top」を管理していない管理者は、検索またはリソーススキャナのスケジュールされたタスクを作成できません (ID-1414)。

「タスクの検索」ページには、検索条件と一致するタスクの数が表示されません (ID-5152)。

スケジュールされたタスクを編集するときは、開始日を MM/DD/YYYY 形式で入力し直す必要があります (ID-5675)。

組織「Top」を管理していない委任された管理者は、タスクをスケジュールし、タスク結果を表示することができますが、作成後にタスクを表示することはできません (ID-6659)。スケジュールされたタスクはトップに配置され、委任された管理者には、そのオブジェクトを表示する特権がありません。

「Deferred Tasks」という名前のフィールドがライブラリに追加されました。このフィールドによって、ユーザーは延期タスクをリスト表示できるようになります。このフィールドを実装するには、次の行を Tabbed User Form および Tabbed View User Form に追加する必要があります (ID-7660)。

ワークフロー、フォーム、規則、XPRESS

文字列 TRUE または FALSE、または整数 1 または 2 とブール値の比較に XPRESS <eq> 関数を使用することはできません (ID-3904)。これを解決するには、次を使用します。

<cond>

<isTrue><ref>Boolean_variable</ref></isTrue>

<s>True action</s>

<s>False action</s>

</cond>

dolist によって汎用オブジェクトのリストを反復させる場合、パス表現は機能しません (ID-4920)。

<ref>listOfGenericObjects</ref>

<ref>genericObj.name</ref>

</dolist>

これを解決するには、次のように <get> / <set> を使用します。

<ref>listOfGenericObjects</ref>

<get><ref>genericObject</ref><s>name</s>

</dolist>

ユーザーフォームのフィールドでグローバル属性名値を使用し、その属性が複数のリソースで共有される場合、導出 (Derivation) 規則も定義する必要があります (ID-5074)。定義しない場合、いずれかのリソースで属性をネイティブに変更すると、属性の変更がほかのリソースに伝播されたり、されなかったりします。

フォームの HTML コンポーネントでは、& から始まる特殊文字列は使用できません。たとえば、  は空白文字を表さなくなりました。この問題は、選択リストでの特殊文字 (&<>') のサポートの変更によって生じました (ID-5548)。

<Comment> タグに指定されたフォーム、ワークフロー、規則のコメントには、改行文字を表す文字列として 
 が含まれます (ID-6243)。これらの文字は、これらのオブジェクトの XML を表示した場合にだけ表示され、Identity Manager サーバーとビジネスプロセスエディタは、これらの文字を正しく処理します。

「Resource Table User Form」を使用してユーザーの編集を行うと、ユーザーのリソースの編集時、フォームが最初に表示されるときにリソースの属性がフェッチされません。回避策として、「更新」ボタンをクリックすれば、属性データがフェッチされます (ID-10551)。

Identity Manager SPE

Identity Manager SPE と Sun Java System Portal Server に互換性がない場合があります。暗号化されたライブラリに関連する問題があります (ID-10744)。

この問題は、Portal Server の /etc/opt/SUNWam/config/AMConfig.properties ファイルに次の値を設定して Web コンテナを再起動すると修正できます。

com.iplanet.security.encryptor=com.iplanet.services.util.JCEEncryption
com.iplanet.security.SSLSocketFactoryImpl=netscape.ldap.factory.
JSSESocketFactory
com.iplanet.security.SecureRandomFactoryImpl=com.iplanet.am.util.
SecureRandomFactoryImpl

SPE ダッシュボードの操作時: グラフを最初に読み込むときに何分もかかってしまう場合は、ブラウザが Microsoft Java Virtual Machine (MSJVM) を使用するように設定されていないことを確認してください。Identity Manager SPE は、MSJVM を使用したブラウザのアプレットの実行をサポートしていません (ID-10837)。

Identity Manager 管理者インタフェースに表示される設定オプションの一部は、Identity Manager SPE では使用されません (ID-10843)。該当するものには次のようなオプションがあります。

リソースウィザード設定オプション: パスワードポリシー、アカウントポリシー、アカウント除外規則、承認者、および組織

ロール属性

デフォルトでは、IDMXContext API が呼び出す checkinObject および deleteObject を使用すると監査は実行されません。監査を実行するには、これらのメソッドに渡されるオプションマップで IDMXContext.OP_AUDIT キーを true に設定することで、明示的に要求する必要があります。ApiUsage クラスの createAndLinkUser() メソッドに、監査の要求方法が示されています (ID-11261)。

Active Sync の LDAP リソースアダプタを設定する場合は、「Active Sync の一般設定」ページの「変更者フィルタ」フィールドにある「リソースパラメータ」ページの「ユーザー DN」フィールドに値を指定する必要があります。この値を設定しない場合、Active Sync は独自の変更を処理し続けるため、プロセスは完了しません (ID-11323)。

Identity Auditor

管理インタフェース

「是正」タブの「完了」サブタブの選択時に、色が変わりません (ID-9149)。

Identity Auditor および Identity Manager でローカライズが有効になっている場合、アプリケーションサーバーのロケール設定によって 2 つの言語が表示されてしまうことがあります (ID-9468)。

回避策: ロケール値を「C」に設定すると、この問題を解決できることがあります。

承認

Identity Manager の承認は、Identity Auditor の「是正」ページではサポートされていません。承認を実行するには、Identity Manager の「承認」ページを開きます (ID-9479)。

監査ポリシー

スキャン中は、リソースから取得できないなどの失敗が発生したユーザーアカウントの再試行はサポートはされていません。これらの失敗はスキャンの完了時にレポートされますが、アカウントの再スキャンを自動的に実行する方法はありません (ID-9112)。

スキャンが起動するスレッド数を設定するには、タスクを起動しているフォームに maxThreads という名前のフィールドを追加します。デフォルト値は 5 です (ID-9127)。

Identity Auditor は、ユーザーが編集されたときには必ずポリシーを適用することによって、ポリシーのスキャンから次回のスキャンまでの間、ユーザーがポリシーに適合した状態を保持するようにします。監査ポリシーを割り当てられているユーザーがポリシー違反をしている場合は、そのユーザーを編集してもユーザーへの変更を保存することができません。これは、ユーザーを別の組織に移動するなどの単純な変更でも該当します (ID-9504)。

回避策: ユーザーアプレット上の右クリック移動機能 (または検索後に移動機能) を使用します。または、監査ポリシーのチェックを一時的に無効にします。

監査ポリシーのチェックを無効にするには、システム設定を編集し、userViewValidators プロパティーを削除します。このプロパティーは文字列のリストを値に持ちますが、init.xml または upgrade.xml のインポート中に追加されます。

レポート

監査ポリシー別、リソース別、および組織別の違反履歴レポートで、対数スケールを「積み重ね」のグラフに実装すると、表示に異常が生じることがあります (ID-9522)。

前へ目次次へ

前へ目次次へ
Sun Java System Identity Installation Pack 2005Q4M3 リリースノート