Frühere Funktionen und Fehlerkorrekturen

Dieser Abschnitt enthält eine Zusammenfassung und Details zu neuen Funktionen, die zu früheren Service Packs für Identity Installation Pack 2005Q4M3 hinzugefügt wurden.

Installation und Aktualisierung

Wenn Sie SQL Server 2000 SP4 als Repository mit dem JDBC-Treiber von Microsoft verwenden, müssen Sie mit dem SQL Server 2000-Treiber für den für JDBC SP3-Treiber arbeiten. (ID-9917).

Identity Manager unterstützt jetzt als Repository Oracle Database 10g Release2®. (ID-12908).

Administratorbenutzeroberfläche und Benutzeroberflächen

Die Fenster Konfigurieren > Server > Servereinstellungen bearbeiten/Standardservereinstellungen bearbeiten enthalten jetzt die Registerkarte „E-Mail-Vorlagen“. Diese Registerkarte enthält die standardmäßige bzw. serverweise einzustellende SMTP-Hostvariable, die alle E-Mail-Vorlagen mit der Variable $(smtpHost) standardmäßig verwenden. Diese Registerkarte verwendet darüber hinaus die Serverkonfigurationsvariable, wenn das Feld „SMTP-Host“ leer ist. (ID-3574).

Die Seiten „Benutzerpasswort ändern“ und „Benutzerpasswort zurücksetzen“ in der Administratorbenutzeroberfläche von Identity Manager enthalten jetzt Menüoptionen für Suchtypen. Dazu gehören beginnt mit, enthält und ist als Operatoren, um nach Benutzern zu suchen, deren Passworte geändert oder zurückgesetzt werden müssen. (ID-8965).

Die Debug-Seite bietet jetzt die Optionen export default und export all. Diese Optionen funktionieren ähnlich wie die Konsolenoptionen. Der einzige Unterschied besteht darin, dass bei den Optionen auf der Debug-Seite der Name der exportierten Datei nicht ausgewählt werden kann. Stattdessen erstellt Identity Manager eine Datei namens export<date>.xml, die Sie von der Debug-Seite aus speichern können. (ID-9270).

Es wird jetzt der Import von E-Mail-Vorlagen mit „Kopie an"-Feldern unterstützt. (ID-9768).

Auf der Seite „Identity-Attribute“ gibt es jetzt einen Passwortbereich, in dem der Status der Passworterstellung in Bezug auf Identity-Attribute beschrieben wird. Sie können Identity Manager so konfigurieren, dass Passwörter neuen Benutzern aufgrund eines Standardwertes (z. B. einer Regel) oder einer Identity System-Kontorichtlinie, die Passwörter erzeugt, zugewiesen werden. (ID-10274, 12560).

Es wurden Fehlermeldungen im Zusammenhang mit dem Bearbeiten von Richtlinien überarbeitet. (ID-12187).

Identity Manager enthält jetzt das Standardattribut „Manager“, das eine Manager-Mitarbeiter-Beziehung unterstützt. Diese Information wird im Identity Manager-Benutzerobjekt gespeichert. Weitere Informationen finden Sie im Abschnitt Erweiterungen und Korrekturen der Dokumentation dieser Versionshinweise. (ID-12416).

Identity-Attribute können jetzt aufgrund vorheriger Änderungen an Ressourcen (Berabeitungs- oder Erstellungsoperationen) konfiguriert werden. (ID-12678) Wenn sich Ressourcen seit der letzten Speicherung von Identity-Attributen in der Administratorbenutzeroberfläche von Identity Manager geändert haben, wird auf der Seite „Identity-Attribute“ die folgende Meldung angezeigt: „Seit dem letzten Speichern der Identity-Attribute wurde mindestens eine Ressource geändert. Wenn diese Änderungen die Identity-Attribute betreffen, sollten sie auf der Seite Identity-Attribute aus Ressourcenänderungen konfigurieren aufgenommen werden.“ Identity Manager enthält einen Verweis auf die Seite „Identity-Attribute konfigurieren“ (auf der Seite „Ressourcen ändern“), mit dessen Hilfe Sie Attribute aus den Schemazuordnungen geänderter Ressourcen auswählen können, um sie als Quelle bzw. Ziel für Identity-Attribute zu verwenden.

Nach dem Speichern einer Ressource im Ressourcenassistent oder auf der Seite „Kontoattribute“ zeigt Identity Manager eine Seite an, in der Sie gefragt werden, ob Sie Identity-Attribute aufgrund kürzlich vorgenommener Ressourcenänderungen konfigurieren möchten. Klicken Sie auf Ja, um zur Seite „Identity-Attribute aus Ressourcenänderungen konfigurieren“ zu gehen. Klicken Sie auf Nein, um zur Ressourcenliste zurückzukehren.

Klicken Sie auf Diese Frage nicht mehr wiederholen, um diese Seite zu deaktivieren. Dadurch wird diese Seite durch Setzen der Eigenschaft idm_showMetaViewFromResourceChangesPage des angemeldeten Benutzers deaktiviert.

Gateway

Das Gateway läuft jetzt sowohl mit vmware-Abbildern unter Windows 2000 SP4 und Windows 2003 SP1. (ID-12826).

HTML Display Components

Die Anzeigeklasse „DatePicker“ besitzt die neue Eigenschaft strict. Wenn diese Eigenschaft gesetzt ist, werden manuell eingegebene Daten überprüft. (ID-11037).

Sie können die erzwungene Erstellung des Endbenutzermenüs jetzt deaktivieren, indem Sie die Eigenschaft doNotRegenerateEndUserMenu im Formular „Endbenutzermenü“ setzen. (ID-11327).

Die Komponente SortingTable unterstützt jetzt die Eigenschaften align, valign und width der untergeordneten Komponenten, die bei der HTML-Ausgabe die jeweilige Tabelle enthalten. Zur Anzeige von Fehlermeldungen, Warnhinweisen und Informationsmeldungen in Formularen steht darüber hinaus die InlineAlert-Komponente zur Verfügung. (ID-12560).

Die Strukturtabellenkomponente unterstützt jetzt veränderliche Tabellenspaltenbreiten. Mit CSS können Sie die Spaltenbreiten der Benutzerliste und der Ressourcenlistentabellen auf einen absoluten Pixelwert oder einen Prozentsatz einstellen. Sie können darüber hinaus Tabellenspaltenbreiten mit der Maus durch Klicken und Ziehen der Begrenzung der entsprechenden Spaltenüberschrift ändern. (ID-11474).

Identity Manager SPE

Identity Manager SPE 2005Q4M3 SP1 enthält die folgenden neuen Funktionen. Ausführliche Informationen zu diesen Funktionen finden Sie in den Dokumenten Identity Manager Service Provider Edition Administration Addendum und Identity Manager SPE Deployment.

Erweiterte Endbenutzerseiten

Es stehen jetzt erweiterte Endbenutzerseiten zur Verfügung. Die Beispielseiten enthalten die folgenden Funktionen:

An- und Abmeldung mit Authentifizierung mittels geheimer Fragen

Registrierung und Einschreibung

Ändern von Benutzernamen und Passwörtern

Geheime Authentifizierungfragen und Bearbeiten von Benachrichtigungsadressen

Behandlung vergessener Benutzernamen und Passwörter

Benachrichtigung per E-Mail

Überprüfung

Diese Seiten können für Ihr spezielles Deployment angepasst werden. Sie können Folgendes anpassen:

Erscheinungsbild

Konfigurationsoptionen (z. B. die Anzahl fehlgeschlagener Anmeldeversuche)

Hinzufügen und Entfernen von Seiten

Richtlinien zu Passwörtern und Konto-IDs

Für Identity Manager SPE und Ressourcenkonten existieren jetzt Richtlinien zu Konto-ID und Passwörtern. Diese Richtlinien werden mit der gleichen Richtlinieninfrastruktur wie bei Identity Manager implementiert. (ID-12556).

Gleichzeitiges Ausführen von Active Sync and Identity Manager SPE Sync

Active Sync- und SPE-Synchronisierungen sind jetzt auf dem gleichen Identity Manager-Server ausführbar, dürfen jedoch nicht auf der gleichen Ressource ausgeführt werden. (ID-12178).

Getrennte Benutzer- und Konfigurationsverzeichnisse für LDAP

Benutzer- und Konfigurationsinformation können jetzt in jeweils eigenen LDAP-Instanzen gespeichert werden. Diese Instanzen werden während der Anfangskonfiguration ausgewählt. (ID-12548).

Integration mit Access Manager

Sie können zur Authentifizierung auf Endbenutzerseiten von Identity Manager SPE jetzt Sun Java System Access Manager 7 2005Q4 verwenden. Access Manager stellt sicher, dass nur authentifizierte Benutzer Zugriff auf die Endbenutzerseiten haben.

Berichte

Identity Manager erstellt jetzt beim Erstellen und Ändern von Fähigkeiten Überprüfungsereignisse. (ID-9734).

Admin-Rolle - Zusammenfassung

Administrator-Zusammenfassung

Rollenzusammenfassung

Zusammenfassender Bericht zu Benutzerfragen

Benutzerzusammenfassung

Zur Unterstützung dieser Funktion wurde die Komponente „Organisationsumfang“ von einer Select- in eine MultiSelect-Komponente umgewandelt.

Identity Manager bietet jetzt im Feld Wählen Sie die Identity Manager -Attribute aus, die für die Benutzer angezeigt werden sollen eine neue Rollenoption. Durch Auswahl dieser Option für neue bzw. vorhandene Berichte wird im betreffenden Bericht eine kommaseparierte Liste mit Rollen angezeigt. (ID-9777).

Sie können jetzt eine Liste mit Attributen angeben, die in CSV- und PDF-Berichten in einer eigenen Spalte angezeigt werden soll. Wenn Sie keine Liste angeben, werden alle Attribute in einer einzelnen Spalte namens „Überwachbare Attribute“ angezeigt. (ID-10468).

Zwei neue Berichte unterstützen die integrierten Manager-Mitarbeiter-Beziehungen: „My Direct Reports Summary“, „My Direct Employee Summary“, „My Direct and Indirect Employee Summary“ und „My Direct Reports Individual“. (ID-12416, ID-12689)

Benutzerberichte enthalten jetzt ein Suchattribut, damit Berichte, die auf dem Manager eines Benutzers basieren, leichter ausgeführt werden können. (ID-12689).

Repository

Identity Manager unterstützt jetzt als Repository Oracle Database 10g Release2®. (ID-12908).

Ressourcen

Neue Ressourcen

Seit Identity Manager 2005Q4M3 werden die folgenden neuen Ressourcen unterstützt: Weitere Informationen finden Sie im Identity Manager Resources Reference Addendum.

HP OpenVMS (ID-8556)

BridgeStream SmartRoles (ID-12262)

Shell-Skript (ID-11906, ID-9866)

Skript-JDBC (ID-7540)

Realm-Unterstützung in Sun Java System Access Manager (ID-12414)

Allgemein

Identity Manager unterstützt jetzt das Speichern binärer Kontoattribute. Folgende Adapter unterstützen diese Funktion: (ID-8851, 12665).

Active Directory

LDAP

Flat File Active Sync

Datenbanktabelle

Skript-JDBC

Sun Java System Communications Services

Active Directory unterstützt jetzt die Binärattribute thumbnailPhoto (Windows 2000 Server und höher) und jpegPhoto (Windows 2003). Die anderen Adapter unterstützen jetzt Attribute wie jpegPhoto, audio und userCertificate.

Identity Manager löst eine Ausnahme aus, wenn binäre oder komplexe Attribute an Ressourcen gesendet werden, die Binärattribute nicht unterstützen.

Binärattribute sollten so klein wie möglich gehalten werden. Wenn Sie ein Binärattribut laden, das zu groß ist (z. B. 200 KB), kann es sein, dass eine Fehlermeldung auftritt, die Sie darauf hinweist, dass die maximal zulässige Datenpaketgröße überschritten wurde Wenden Sie sich an den Kundendienst, wenn Sie größere Attribute verwalten müssen.

Ressourcenagent-Adapter besitzen jetzt das optionale Ressourcenattribut RA_HANGTIMEOUT, das das Halten von Verbindungen bei Blockoperationen unterstützt. Dieses Attribut gibt die Zeitdauer (in s) an, bevor eine Anforderung an das Gateway außerhalb der Vorgabezeit liegt und als aufgehangen interpretiert wird. Der Standardwert ist 0, was bedeutet, dass nicht auf eine aufgehangene Verbindung geprüft wird. (ID-12455).

Active Sync

Der Active Sync-Assistent ist jetzt vollständiger lokalisiert. (ID-10504).

Domino

Sie können jetzt Domino-Benutzer ohne ID-Datei oder E-Mail-Adresse, aber mit einem Eintrag im Domino-Verzeichnis erstellen. (ID-11201).

Auf Domino 6.x-Ressourcen können Sie jetzt Konten deaktivieren, ohne eine Liste mit Verweigerungsgruppen erstellen zu müssen. Wenn keine Verweigerungsgruppen angegeben sind, nutzt Identity Manager zum Aktivieren bzw. Deaktivieren auf der Domino-Ressource das Attribut „CheckPassword“. Der Wert 2 deaktiviert ein Konto. (ID-12088).

LDAP

Identity Manager bietet jetzt einen skalierbareren Mechanismus zum Bearbeiten großer Attribute von Ressourcenobjekten. Beispielformulare zur Verwendung dieser Methode zum Verwalten von LDAP-Gruppen finden Sie in der Datei sample/forms/LDAPgroupScalable.xml. (ID-9882).

Der LDAP-Ressourcenadapter verwendet jetzt den JSSE-Provider direkt. (ID-9958) Die niedrigste unterstützte Java-Version auf Identity Manager ist jetzt 1.3. Dadurch können für die SSL-Kommunikation bei Domino, LDAP- und NDS SecretStore-Ressourcenadaptern Sicherheitsfremdanbieter verwendet werden. Sie können Bibliotheken von Sicherheitsfremdanbietern mithilfe der Datei java.security registrieren.

Weitere Informationen finden Sie unter http://java.sun.com/j2se/1.4.2/docs/
guide/security/CryptoSpec.html#ProviderInstalling.

LDAP-Gruppen, deren Namen Vorwärts-Schrägstriche enthalten, können jetzt bearbeitet werden. (ID-9872).

Das Konfigurationsattribut ldapJndiConnectionFactory.alwaysUseNames-Eigenschaft wurde zur Datei Waveset.properties hinzugefügt.

Standardmäßig ist diese Eigenschaft aktiviert. Wenn sie aktiviert ist, werden alle String-Namen mithilfe des NameParsers des Kontexts in einen Namenstring eingelesen. Dadurch werden Probleme mit JNDI-Escapezeichen vermieden. Diese Option ist nur sinnvoll, wenn die Option ldapJndiConnectionFactory.wrapUnpooledConnections auf „true“ gesetzt ist.

Sie benötigen JVM 1.4 oder neuer, wenn dieser Wert explizit auf „true“ gesetzt werden soll oder Sie mit dem „true"-Wert arbeiten wollen. Wegen eines Problems mit JNDI können in früheren JVM-Versionen Umbenennungsoperationen fehlschlagen, wenn diese Option aktiviert ist.

UNIX

UNIX-basierte Adapter enthalten jetzt das Ressourcenattribut „Ausgangsverzeichnis-Basis“. Wenn es vorhanden ist, hat die Einstellung dieses Attributs Vorrang vor der des Ausgangsverzeichnisses auf der nativen Ressource, auf der das Konto erstellt werden soll. Die Einstellung für diesen Wert ist der eigentliche Attributwert gefolgt von der Konto-ID. Wenn in den Kontenattributen des Benutzers ein Ausgangsverzeichnis angegeben ist, so hat dieses jedoch Vorrang gegenüber der Einstellung in „Ausgangsverzeichnis-Basis“. (ID-8587)

Über „Ressourcentyp-Richtlinie“ können Sie jetzt Standardwerte für Zeitüberschreitungen festlegen. Darüber hinaus können Sie mit der Eigenschaft maxWaitMilliseconds auch die Abfragefrequenz steuern, die der Skript-Adapter von Identity Manager verwendet, wenn er auf das Abschließen einer Aufgabe durch eine Ressource wartet. (ID-11906).

Sonstige Adapter

Sie können in Siebel jetzt Objekte erstellen und aktualisieren, die eine Navigation durch eine Hierarchie mit Business-Komponenten erfordern. Weitere Informationen hierzu finden Sie im Abschnitt Erweiterungen und Korrekturen der Dokumentation in diesen Versionshinweisen. (ID-11427).

Sie können den SAP HR-Adapter jetzt für die Verarbeitung von IDOCs beliebiger Meldungstypen konfigurieren. Vorher konnten nur IDOCs vom Typ HRMD_A verarbeitet werden. (ID-12120).

Der SAP HR Active Sync-Adapter unterstützt jetzt mySAP ERP ECC 5.0 (SAP 5.0) (ID-12408)

Wenn Sie Identity Manager zur Bereitstellung für eine RSA Clear Trust 5.5.2-Ressource konfigurieren, sind zur SSL-Kommunikation im Gegensatz zu früheren Clear Trust-Versionen keine weiteren Bibliotheken erforderlich. (ID-12499).

In Formularen für Oracle ERP-Adapter kann die Methode listResourceObjects der Klasse com.waveset.ui.FormUtil jetzt die spezifischen Zuständigkeitsbereiche eines Benutzers zurückgeben und so gefiltert werden, dass entweder alle oder nur die aktiven Zuständigkeitsbereiche zurückgegeben werden. (ID-12629).

Die übergebenen Optionen sind:

key id - (String) Die ID der Ressource, deren Zuständigkeitsbereiche zurückgegeben werden

activeRespsOnly - (String) „true“ oder „false“. Der Standardwert ist „false“.

Der Oracle ERP-Adapter von Identity Manager bietet jetzt das Schlüsselwort sysdate bzw. SYSDATE. Sie können dieses Schlüsselwort mit to_date zur Angabe eines Ablaufdatums (in der lokalen Zeit eines Oracle E-Business Suite-Servers, EBS) für einen Zuständigkeitsbereich verwenden. (ID-12709).

Der Oracle ERP-Adapter von Identity Manager bietet jetzt das neue Kontoattribut employee_number. Dieses Attribut stellt eine Mitarbeiternummer (employee_number) aus der Tabelle per_people_f dar. Weitere Informationen hierzu finden Sie im Abschnitt Erweiterungen und Korrekturen der Dokumentation dieser Versionshinweise. (ID-12710).

Rollen

Mithilfe von Rollen und Ressourcengruppen können Benutzern jetzt einzeln oder in Kombinationen auf einer Ressource mehrere Konten zugewiesen werden. Weitere Informationen hierzu finden Sie im Abschnitt Erweiterungen und Korrekturen der Dokumentation dieser Versionshinweise. (ID-6684).

Security

Benutzer mit der Berechtigung „Genehmiger“ können alle zukünftigen Genehmigungsanforderungen für einen bestimmten Zeitraum an einen oder mehrere Benutzer, die keine Identity Manager-Genehmiger sind, delegieren. Die Delegierung ist mithilfe dreier Methoden möglich: (ID-8485).

Endbenutzer-Hauptmenü - Link „Genehmigungen delegieren"

Registerkarte „Genehmigungen“ - Unterregisterkarte „Eigene Genehmigungen delegieren"

Admin - Benutzerkonto erstellen/bearbeiten/anzeigen - Abschnitt „Sicherheit"

Die Passworterzeugung funktioniert jetzt ordnungsgemäß und schlägt erwartungsgemäß fehl, wenn Passwörter nicht ordnungsgemäß generiert wurden. (ID-12275).

Identity Manager bietet jetzt den Authentifizierungstyp "EndUserLibrary“. Die Fähigkeit „EndUser“ (AdminGroup) kann jetzt Bibliotheken mit dem Authentifizierungstyp „EndUserLibrary“ anzeigen und deren Inhalt auflisten. (ID-12469).

Legen Sie authType="EndUserLibrary" fest, und vergewissern Sie sich, dass der Parameter „MemberObjectGroup“ der Bibliothek auf „All“ gesetzt ist.

Identity Manager-Benutzer können mehrere Sitzungen simultan ausführen. Sie können dies so einschränken, dass nur noch eine Sitzung pro Anmeldeanwendung möglich ist. Hierzu ändern Sie den Wert des Konfigurationsattributs „security.authn.singleLoginSessionPerApp“ im Systemkonfigurationsobjekt. Dieses Attribut ist ein Objekt, das wiederum ein Attribut pro Anmeldeanwendung enthält (z. B. für die Administratoroberfläche, die Benutzeroberfläche oder BPE). Ändern Sie den Wert dieses Attributs auf „true“, damit für jeden Benutzer nur noch eine einzige Anmeldesitzung möglich ist. (ID-12778).

Wenn dies gewünscht ist, können sich Benutzer mit mehreren Sitzungen gleichzeitig anmelden. Es bleibt jedoch nur die letzte Anmeldesitzung aktiv und gültig. Wenn der Benutzer versucht, unter einer ungültigen Sitzung eine Aktion auszuführen, wird die Sitzung automatisch beendet.

Server

Die Seite „Benutzer suchen“ kann jetzt tief verschachtelte Hierarchien vieler Organisationen verarbeiten. (ID-10352).

ResourceConnectionManager wird jetzt über das bevorstehende Herunterfahren des Systems informiert. Deswegen braucht der Server nicht mehr auf Zeitüberschreitungen von SSH-Verbindungen zu warten, bevor er beendet wird. (ID-12214).

SOAP

Die SPML-Unterstützung wurde erweitert, sodass jetzt neben Personen auch Rollen und Ressourcengruppen unterstützt werden. (ID-8850).

Die neue Fähigkeit „SPMLAccess“ ermöglicht den Kontenadministratorzugriff auf die SPML-Schnittstelle. (ID-10854).

Die SPML-Schnittstelle von Identity Manager bietet den Anmeldeparameter „login ExtendedRequest“, mit dessen Hilfe sich Benutzer als Administrator anmelden können. Ab dieser Version bietet die SPML-Schnittstelle auch einen Parameter „loginUser ExtendedRequest“, mit dessen Hilfe Benutzern eine Sitzung für die Selbstbereitstellung zugewiesen werden kann. Dieser „loginUser ExtendedRequest“ unterstützt die Anmeldung mit Passwort oder mit Antworten auf Sicherheitsfragen.
(ID-12103).

Ansichten

Die Benutzeransicht bietet jetzt das folgende Steuerattribut: (ID-4383).

accounts[Resname].waveset.forceUpdate

Hierbei ist Resname der Name der Ressource. Der Wert dieses Attributs ist eine Liste mit Ressourcenkontenattributen, die immer dann zur Aktualisierung an eine Ressource gesendet werden, wenn ein Benutzer geändert wird.

Die Ansichten für Ressourcenkonten (DeprovisionViewer, DisableViewer, EnableViewer, PasswordViewer, RenameUserViewer, ReprovisionViewer und UnlockViewer) unterstützen jetz zwei neue Optionen zum Abrufen von Ressourcenkontenattributen für Benutzer: (ID-10176).

fetchAccounts – (Boolean) Wenn dieser Parameter auf „true“ gesetzt ist, enthält die Ansicht Kontenattribute für die dem Benutzer zugewiesenen Ressourcen.

fetchAccountResources – eine Liste mit Ressourcennamen, die abgerufen werden können. Wenn hier nichts angegeben ist, verwendet Identity Manager alle zugewiesenen Ressourcen.

Workflow

Identity Manager bietet jetzt den Workflow-Dienst auditPolicyScan. Sie können diesen Workflow-Dienst dazu nutzen, Benutzer auf der Grundlage der ihnen zugewiesenen Richtlinien nach Verstößen gegen Überprüfungsrichtlinien abzufragen. Wenn dem betreffenden Benutzer keine Richtlinie zugewiesen ist, wird die seiner Organisation zugewiesene Richtlinie (falls vorhanden) verwendet. Weitere Informationen hierzu finden Sie im Abschnitt Erweiterungen und Korrekturen der Dokumentation dieser Versionshinweise. (ID-12589).

In früheren Versionen behobene Fehler

Dieser Abschnitt beschreibt Fehler, die seit Identity Installation Pack 2005Q4M3 behoben wurden.

Administratorbenutzeroberfläche

Wenn Sie für das Benutzerapplet-Menü eine neue Benutzeraktion konfigurieren, werden Textschlüssel jetzt ordnungsgemäß angezeigt. (ID-8400).

Identity Manager behandelt jetzt Hilfeanzeigen, die Fehler auslösten, weil sie Sonderzeichen enthielten, ordnungsgemäß. (ID-8747).

Wenn das Attribut „singleLoginSessionPerApp“ einer Anmeldeanwendung auf „true“ gesetzt ist, verhält sich Identity Manager wie folgt: Benutzer können sich an der gleichen Anwendung mehrmals anmelden. Die aktive und gültige Sitzung ist jedoch die, zu der sich der Benutzer zuletzt angemeldet hat. Wenn der betreffende Benutzer als der gleiche Identity Manager-Benutzer während einer anderen Anmeldesitzung eine Aufgabe ausführen will, wird er automatisch abgemeldet und die Sitzung wird beendet. (ID-9543).

Wenn ein Benutzer direkt einer Organisation zugewiesen ist und eine UserMemberRule diesen Benutzer der gleichen Organisation zuweist, wird der betreffende Benutzer in der Liste nicht mehr dupliziert. (ID-10410).

Die Seite „Sitzungstimeout für die Anmeldung“ kann jetzt lokalisiert werden und wird in der vom Gebietsschema des Benutzers angegebenen Sprache angezeigt. (ID-10571).

Das Beispielformular zur LDAP-Passwortsynchronisierung (sample/forms/LDAPPasswordActiveSyncForm.xml) setzt jetzt das Feld waveset.password anstatt password.password und password.confirmpassword. (ID-11660).

Die Administratorbenutzeroberfläche von Identity Manager generiert keine Fehler mehr, wenn Suchergebnisse einen Benutzernamen mit einfachem Anführungszeichen enthalten und dieser Name in einem Link für einen nachfolgend auszuführenden Befehl verwendet wird. (ID-11123).

MultiSelect-Komponenten zeigen jetzt einfache Zeichenfolgen ordnungsgemäß an. (ID-11979).

Identity Manager zeigt jetzt eine korrekte Fehlermeldung an, wenn Sie versuchen, einen Ressouurcenobjekttyp zu bearbeiten, der keine Aktualisierungen unterstützt. (ID-12242).

Beim Auflisten von Ressourcen mithilfe der Strukturtabelle werden jetzt Knoten mit Namen, die Unterstriche enthalten, ordnungsgemäß aufgeklappt. (ID-12478).

Die Online-Hilfe zeigt jetzt die richtigen Hilfeseiten an, wenn im ActiveSync-Konfigurationsteilmenü Optionen, die nicht im Assistenten verfügbar sind, ausgewählt werden. (ID-12597).

Benutzer können im französischen Gebietsschema jetzt ordnungsgemäß gelöscht werden. (ID-12642).

Strukturtabelle, Kontoseite und die Seite „Suchergebnisse“ zeigen jetzt als Managername von Identity Manager ein unaufgelöstes Manager-Attribut in Klammern an. Bei jeder Benutzeraktualisierung versucht Identity Manager, dieses Manager-Attribut aufzulösen. Wenn das Attribut aufgelöst werden kann, emtfernt Identity Manager die Klammern und führt am neuen Wert eine Beschränkungsüberprüfung aus. (ID-12726).

Der Link im Anmeldefenster für eine anonyme Benutzeranmeldung zeigt jetzt auf die neue Endbenutzer-Arbeitseinheitentabelle. (ID-12816).

Schaltflächen der TabPanel-Komponente können jetzt positioniert werden. (ID-12797).

Identity Manager konvertiert jetzt E-Mail-Vorlagen mit der Standarddatei mail.example.com in die neue Variablenfunktionalität der Serverkonfiguration. (ID-12720).

Passwortfelder werden jetzt bedingt angezeigt, wenn die Identity Manager-Benutzeroberfläche das LH-Anmeldemodul nicht enthält und dem betreffenden Benutzer eine Admin-Rolle zugewiesen ist. (ID-12692).

Business Process Editor

Sie können für manuelle Aktionen bei Zeitüberschreitungen negative Werte (in s) anzeigen und bearbeiten. (ID-9715).

Die Auswahl von Attribut in Identity Manager-Repository speichern bei der Bearbeitung eines MetaView-Attributs funktioniert jetzt ordnungsgemäß. (ID-12396).

Formulare

Identity Manager bietet neue LDAP-Beispielformulare zum Erstellen und Aktualisieren von Gruppen für nicht eindeutige Mitgliedernamen. (ID-8831).

MultiSelect-Komponents behandeln Elemente mit identischen Beschriftungen (Anzeigenamen) jetzt ordnungsgemäß (ID-10964).

Der Standardwert für die maximal zulässige Länge einer Textkomponente ist jetzt unbegrenzt (früher betrug die Maximallänge 256 Zeichen) (ID-11995).

Die Gruppenfelder „NTForm“ und „NDSUserForm“ implementieren die ListObjects-Regel jetzt ordnungsgemäß. (ID-12301).

Ressourcenassistenten für Host-Adapter verwalten die affinityAdmin-Felder jetzt optimaler und vermeiden so Duplikationen und Nulleinträge. (ID-12024).

Das LDAP-Formular zum Aktualisieren von Gruppen ignoriert keine Änderungen mehr, wenn die Net-Mitgliedschaft gleich bleibt. (ID-12162).

Identity Auditor

Die Richtlinienüberprüfung bei der Benutzererstellung erstellt keine zusätzlichen Aufgabeninstanzen mehr. (ID-10489).

Identity Manager SPE

Beim Erstellen eines Ressourcenkontos speichert Identity Manager SPE die Werte von Ressourcenattributen ab, wenn die Ressource heruntergefahren ist. Wenn der betreffende Benutzer das nächste Mal in Identity Manager SPE bearbeitet wird, wird das Konto auf der jeweiligen Ressource erstellt, wenn sie verfügbar ist. (ID-11168).

Sie können verfolgte Ereignisse jetzt in SPE deaktivieren, indem Sie „Erfassung verfolgter Ereignisse aktivieren“ auf der Seite Service Provider > Hauptkonfiguration bearbeiten auswählen. Darüber hinaus können Sie auf der gleichen Seite das Erfassen verfolgter Ereignisdaten für jeden Zeitraum selektiv deaktivieren. Wie bei allen Einstellungen auf dieser Seite auch müssen die geänderten Konfigurationsobjekte erst in das SPE-Hauptverzeichnis exportiert werden, bevor sie wirksam werden. (ID-12033).

Die SPE-Methode „IDMXContext deleteObjects“ löscht jetzt Objekte ordnungsgemäß aus dem Verzeichnisspeicher. (ID-11251).

Das Prüf-Teilsystem der Service Provider Edition löst beim Schließen von Containern keinen Nullzeiger-Ausnahmefehler mehr aus. (ID-12845).

IDMXUserViewer löste früher einen Nullzeiger-Ausnahmefehler aus, wenn ein zu den in einer Ansicht angegebenen Eigenschaften zugehöriges Formular keine Ziele enthielt oder die den Ansichtsbehandlungsmethoden (create/checkin/checkout/refresh) übergebene Optionszuordnung null war. (ID-12861).

Anmelden

Das Aufrufen einer benutzerdefinierten Aufgabe während der Anmeldung verlangsamt die Anmeldung nicht mehr übermäßig. (ID-12377).

Identity Manager protokolliert jetzt fehlgeschlagene Administrator-Anmeldeversuche ordnungsgemäß für Benutzer, die keine Fähigkeiten, Organisationen oder Fähigkeiten/Organisationen besitzen. (ID-12497).

Berichte

Die Abfrage nach inaktiven Windows 2000 / Active Directory-Konten (eine Aufgabe in der oberen Menüleiste „Risikoanalyse“) wird jetzt erfolgreich abgeschlossen. (ID-11148).

Sie können den Ressourcenbenutzerbericht jetzt mit mehreren Benutzern verwenden. (ID-11420).

Wenn ein delegierter Administrator einen Benutzerbericht ausführt, werden Benutzer, die aufgrund einer UserMembersRule-Regel Mitglieder einer Organisation sind, jetzt einbezogen. (ID-11871).

Der Gültigkeitsbereich der folgenden Berichtstypen wird standardmäßig auf die vom angemeldeten Administrator kontrollierten Organisationen abgestimmt, es sei denn, es wurden explizit eine oder mehrere Organisationen ausgewählt, für die der betreffende Bericht gelten soll: Zur Unterstützung dieser Funktion wurde die Komponente „Organisationsumfang“ von einer Select- in eine MultiSelect-Komponente umgewandelt. (ID-12116).

Identity Manager protokolliert jetzt Änderungen von LDAP-Gruppenmitgliedschaften ordnungsgemäß. (Es sind jetzt sowohl alte als auch neue Werte enthalten.) (ID-12163).

Repository

Das Identity Manager-Repository führt jetzt die Oracle-Abwicklung für die BLOB-Spalten aus. Die Beispielskripten für Oracle definieren jetzt die Spalte xml als Datentyp BLOB (statt als LONG VARCHAR). Bei neuen Installationen werden alle Tabellen mit BLOB xml-Spalten erstellt. Während einer Aufrüstung besitzen nur neue Tabellen eine BLOB xml-Spalten. Die übrigen Tabellen können jedoch in BLOBs konvertiert werden, indem die angemerkten Änderungen in einem Aufrüstungsskript ausgeführt werden. (Bei großen Deployments kann dieser Aufrüstungsprozess einige Stunden dauern). Sie sollten auf den neuesten Oracle JDBC-Treiber aufrüsten, um mit BLOBs eine optimale Leistung zu erhalten. (ID-11999).

Das Identity Manager-Repository wurde geändert, um einen unter Microsoft SQL Server 2000 auftretenden Deadlock zu vermeiden. Das Repository verwendet jetzt anstatt des Namens die ID von LAST_MOD_ITEM, wenn der letzte geänderte Wert eines Typs ausgewählt wird. (ID-12297).

Ressourcen

Gateway

Gateway-Abstürze ereignen sich nicht mehr, wenn die Identity Manager-APIs direkt ohne den Zugriff auf die Identity Manager-Oberfläche verwendet werden. (ID-12481).

Allgemein

In Passwörtern können jetzt einfache Anführungszeichen verwendet werden. (ID-10043).

Ressourcenassistenten für Host-Adapter verwalten die affinityAdmin-Felder jetzt optimaler und vermeiden so Duplikationen und Nulleinträge. (ID-12024).

Active Sync-Prozesse, die auf einem Websphere-Cluster mit dem Starttyp „Automatisch mit Failover“ laufen, hängen sich nicht mehr auf. (ID-12540).

Verzeichnisse

Der Active Directory-Ressourcenadapter löst bei Angabe eines ungültigen Verschlüsselungstyps jetzt einen Ausnahmefehler aus. Gültige Werte sind nichts (leer), „none“, „kerberos“ und „ssl“. (ID-9011).

Identity Manager fasst jetzt LDAP-Verbindungen in einem Pool zusammen. (ID-10219).

Die Verwaltung von „Nicht-im-Büro"-Attributen eines Active Directory-Benutzers (Exchange) mit aktivierter E-Mail schlägt nicht mehr fehl, wenn msExchHideFromAddressLists auf „true“ gesetzt ist. Darüber hinaus wurde der Active Directory-Beispielbenutzer aktualisiert, damit Identity Manager keine „Nicht-im-Büro"-Attribute anzeigt, wenn msExchHideFromAddressLists aktiviert ist. (ID-12231).

Die Active Sync-Verarbeitung von LDAP-Änderungsprotokollen behandelt jetzt MODIFY-Änderungstypen ohne Werte. (ID-12298).

Mainframe

Beim RACF-Adapter ruft eine Änderung in DFLTGRP jetzt ein Hinzufügen (falls erforderlich) von DFLTGRP zu den GROUPS hervor, um zu gewährleisten, dass DFLTGRP als neue Standardgruppe eingestellt werden kann. (ID-9987).

Verbindungen mit dem Mainframe-Ressourcenadapter werden jetzt ordnungsgemäß in Pools zusammengefasst und verursachen kein Aufhängen von Mainframe-Operationen mehr. (ID-12388).

Die zum Erstellen eines Natural-Ressourcenadapters verwendete Terminalemulation ermöglicht Benutzernamen mit 8 Zeichen Länge und ohne Tabulatorzeichen jetzt die Auswahl des Attributs „Copy Links“. (ID-12503).

Oracle und Oracle ERP

Während einer Sitzung mit dem Oracle-Ressourcenadapter werden alle Oracle-Zeiger auch beim Auftreten von Ausnahmefehlern geschlossen. (ID-10357)

Bei Oracle- und Oracle ERP-Ressourcenadaptern, die mit Oracle RAC-Umgebungen Verbindungen mithilfe eines Thin-Treibers herstellen, sollte das folgende Format verwendet werden: (ID-10875).

jdbc:oracle:thin:@(DESCRIPTION=(LOAD_BALANCE=on)(ADDRESS=(PROTOCOL=TCP)(HOST=host01)(PORT=1521))(ADDRESS=(PROTOCOL=TCP)(HOST=host02)(PORT=1521))(ADDRESS=(PROTOCOL=TCP)(HOST=host03)(PORT=1521))(CONNECT_DATA=(SERVICE_NAME=PROD)))

Oracle ERP kann optional Konten, die vom Kontoiterator und den listObjects-Schnittstellen zurückgegeben werden, durch Setzen des Ressourcenattributs activeAccountsOnly auf TRUE beschränken. Der Standardwert ist FALSE. Ist er auf FALSE gesetzt, werden alle Konten der betreffenden Ressource zurückgegeben. Ist er TRUE, werden nur Konten zurückgegeben, bei denen SYSDATE (der aktuelle Zeitpunkt) zwischen START_DATE und END_DATE liegt. (ID-12303).

Die Oracle ERP-Adapter wurden entsprechend aktualisiert, damit PreparedStatements konsistenter geschlossen werden und somit die Anzahl geöffneter Zeiger verringert wird. (ID-12564).

SAP

Der SAP-Adapter behandelt jetzt Fälle, in denen von der Methode listAllObjects() duplizierte Aktivitätsgruppen zurückgegeben werden. (ID-7776).

Der SAP-Adapter kann jetzt temporäre generierte Passwörter im WavesetResult-Objekt zurückzugeben, wenn der Adapter das betreffende Passwort nicht als nicht abgelaufen setzen konnte. Dies tritt unter den folgenden Bedingungen auf:

es wird die Änderung eines Administratorpassworts angefordert und expirePassword = false

das gewünschte Passwort entspricht nicht den SAP-Passwortrichtlinien

Dieser Fehler tritt höchstwahrscheinlich dann auf, wenn sich das gewünschte Passwort bereits in der SAP-Passwortabfolge befindet.

Das Ressourcenattribut Bei Fehler temporäre SAP-Passwörter zurückgeben wurde erstellt, um diese Fähigkeiten zu aktivieren, funktioniert jedoch zurzeit noch nicht. (ID-12185).

Der SAP-Adapter überprüft das gewünschte Passwort eines Benutzers jetzt sicherer gegen sein aktuelles Passowrt, wenn das Administratorpasswort geändert werden soll und das Flag expirePassword auf „false“ gesetzt ist. Dadurch wird eine Fehlerbedingung verhindert, wenn das gewünschte Passwort und das aktuelle Passwort des Benutzers gleich sind. (ID-12447).

UNIX

Die UNIX-Adapters bieten eine grundlegende sudo-Initialsierung und -Zurücksetzung. Wenn jeodch eine Ressourcenaktion definiert wird und im Skript einen Befehl enthält, für den eine sudo-Autorisierung erforderlich ist, müssen Sie den Befehl sudo zusammen mit dem UNIX-Befehl eingeben. (So müssen Sie beispielsweise sudo useradd statt lediglich useradd eingeben.) Befehle, die sudo erfordern, müssen auf der nativen Ressource angemeldet werden. Sie können diese Befehle mithilfe von visudo registrieren. (ID-10206).

Die Red Hat Linux- und SuSE Linux-Adapters füllen bei Massenprozessen wie z. B. „Aus Ressource importieren“ und „In Datei exportieren“ jetzt die Primärgruppe, Sekundärgruppe sowie die letzten Anmeldefelder. (ID-11627).

Wenn die Schema-Zuordnung anweist, dass das letzte Anmeldefeld verfolgt werden soll, kann sich der betreffende Massenprozess beträchtlich verlangsamen, weil der Adapter für jeden Benutzer einzeln die Informationen der letzten Anmeldung abrufen muss.

Sie können jetzt das Attribut time_last_login resource auf Solaris-, HP-UX- und Linux-Adaptern zu Attributnamen, die nicht dem Standardwert (letzte Anmeldezeit) entsprechen, zuordnen. (ID-11692).

Andere

Wenn Sie mit einer Active Sync-Ressource für PeopleSoft-Komponenten arbeiten, die die Komponentenschnittstelle LH_AUDIT_RANGE_COMP_INTF verwenden, müssen Sie an der Ressource Änderungen vornehmen, wenn Sie die Komponentenschnittstelle LH_AUDIT_RANGE_COMP_INTF weiterhin nutzen möchten. (ID-11226).

Vergewissern Sie sich, dass Ihre Ressource ein Ressourcenattribut auditLegacyGetUpdateRows besitzt und dieses auf „true“ gesetzt ist.

<ResourceAttribute name="auditLegacyGetUpdateRows"

value="true"

displayName="Use Legacy Get Update Rows"

type="boolean"

multi="false"

facets="activesync" >

</ResourceAttribute>

Sie können jetzt Sun Access Manager Organization-Objekte aus dem Identity Manager-Ressourcenapplet löschen. (Identity Manager löscht anschließend alle untergeordneten Objekte ohne Bestätigung.) (ID-11516).

Beim Verwalten von SecurId-Benutzern unterstützt Identity Manager jetzt drei Token pro Benutzer. (ID-11723).

Beim Datenbanktabellenadapter werden Datenbankverbindungen jetzt so schnell wie möglich während der Iteration und des Pollings geschlossen, um zu verhindern, dass nicht verwendete Verbindungen unnötig gehalten werden. (ID-11986).

Der JMS Listener-Adapter schlägt auf Websphere 6.0 nicht mehr fehl. Durch den Übergang von asynchroner zu synchroner Meldungsverarbeitung funktioniert der JMS Listener jetzt auf J2EE-Servern, die asynchrone JMS-Meldungsverarbeitung innerhalb von Internetanwendungen verhindern. Die Polling-Frequenz muss jetzt für JMS Listener-Ressourcen definiert werden. (ID-12654).

Abstimmung

Durch Setzen einer ControlledOrganizationRule in der Admin-Rolle eines Benutzers wird der Start der Reconciler-Dämons nicht mehr verhindert. (ID-12695).

Repository

Fehlermeldungen wie com.waveset.util.InternalError: Länge der Zusammenfassungs-Zeichenfolge (2185) überschreitet die maximale Länge (2048) treten beim Speichern von Benutzern oder anderen Objekten nicht mehr auf. (ID-12492).

Rollen

Rollennamen, die Apostrophe enthalten, werden beim Bearbeiten von Rollen nicht mehr abgeschnitten. (ID-8806).

Identity Manager behandelt das Hinzufügen bzw. Entfernen von zugewiesenen Gruppen durch Rollenattribute jetzt ordnungsgemäß. (ID-10832).

Rollen, die in Identity Manager 5.0 erstellt wurden und Unterrollen anderer Rollen waren, enthalten jetzt Verknüpfungen auf ihre übergeordneten Rollen. (ID-11477).

Bei der Umbenennung einer Ressource referenzieren Rollenattribute jetzt weiter korrekt die jeweilige Ressource. (ID-11689).

Sicherheit

Sie können die ausführlichen, in HTML-Kommentaren enthaltenen Debugging-Informationen unterdrücken, indem Sie die Eigenschaft ui.web.disableStackTraceComments in der Datei Waveset.properties auf „true“ setzen. Wenn Sie von einer früheren Identity Manager-Version aufrüsten, müssen Sie diese Eigenschaft zur Datei „config/Waveset.properties“ hinzufügen. Diese Eigenschaft wird ignoroert (was dem Setzen dieser Eigenschaft auf „false“ entspricht), wenn sie sich nicht in der Eigenschaftendatei befindet.(ID-10499)

Anonyme Benutzer können jetzt auf verschiedene Objekttypen wie Regeln zugreifen, ohne das verworfene Attribut endUserAccess im Systemkonfigurationsobjekt setzen zu müssen. (ID-11248).

Zur Konfiguration dieser Version für eine Bereitstellung für eine Clear Trust 5.5.2-Ressource müssen Sie die Datei ct_admin_api.jar von der Clear Trust 5.5.2-Installations-CD installieren. Für die SSL-Kommunikation benötigen Sie keine zusätzlichen Bibliotheken. (ID-12449).

Während der Erstellung von Admin-Rollen behandelt Identity Manager jetzt das Einbeziehen und Ausschließen aller Objekttypen ordnungsgemäß. (ID-12491).

Administratoren mit den folgenden Fähigkeiten haben jetzt Zugriff auf die Seite „Ressourcen auflisten“: (ID-12647).

Ressourcen-Passwort-Administrator

Ressourcenpasswortänderungs-Administrator

Ressourcenpasswortzurücksetzungs-Administrator

Active Sync-Ressourcenadministrator ändern

Active Sync-Ressourcenadministrator steuern

Abstimmungs-Administrator

Abstimmungsanforderungs-Administrator

Server

Der Anwendungsserver stürzt bei der Verwendung von Oracle OCI-Treibern mit SSL nicht mehr ab. (ID-7109)

Bei der Anmeldung im Endbenutzermenü wird kein „Null pointer"-Ausnahmefehler mehr ausgelöst, wenn der Identity Manager-Benutzer eine Rolle auf einer Ressource besitzt, in der dieser Benutzer nicht existiert. (ID-12379).

SOAP

SPML 1.0-Aufrufe können jetzt durch debug/callTimer.jsp überwacht werden. Der Aufruf der obersten Ebene (die Methode doRequest() von „com.waveset.rpc.SpmlHandler“) ist zur Ermittlung der SOAP/SPML-Leistung äußerst nützlich. Die Zeitdauern der einzelnen SPML-Methoden (z. B. addRequest) werden zur Überwachung ebenfalls gemessen. (ID-8463).

Dokumentation

Die folgenden Handbücher wurden aktualisiert, weil an ihnen bedeutende Änderungen vorgenommen wurden oder sie eine erhebliche Menge neuer Informationen enthalten.

Identity Manager Resources Reference Addendum

Identity Manager Service Provider Edition Administration Addendum

Identity Manager SPE Deployment

Configuring PasswordSync with a Sun JMS Server

Weitere behobene Probleme

6496, 8586, 8739, 8958, 8960, 9936, 10483, 10832, 11232, 12135, 12234, 12464,12483, 12611, 11642, 11767, 11979, 12203, 12274, 12368, 12377, 12510, 12614, 12673, 12967, 13054

Zurück Inhalt Weiter
Sun Java System Identity Installation Pack 2005Q4M3 SP2 - Versionshinweise