Identity Installation Pack 2005Q4M3 Funciones de SP2

Antes de instalar o actualizar el software Sun Java™ System Identity Installation Pack, consulte la sección Notas de instalación y actualización en las notas de la versión y cualquier documentación suministrada con el paquete de servicios más reciente de Identity Manager 2005Q4M3.

Funciones nuevas y defectos corregidos en esta versión

En esta sección se proporciona un resumen y detalles de las nuevas funciones de Identity Installation Pack 2005Q4M3 SP2. Consulte los detalles en las secciones correspondientes de este capítulo.

Instalación y actualización

Se ha añadido el atributo de sistema waveset.serverId. Utilice este atributo para definir nombres de servidor exclusivos cuando en la implantación se incluyan múltiples instancias de Identity Manager que señalen a un repositorio en un solo servidor físico. (ID-11578)

El instalador permite ahora actualizar instalaciones en las que se haya borrado, inhabilitado o cambiado el nombre de la cuenta predeterminada de Configurator. El instalador solicita ahora el nombre de usuario adecuado y la contraseña que pueden importar el archivo update.xml durante el proceso posterior de actualización. Si se introduce el usuario o contraseña incorrectos, el sistema solicitará al usuario hasta tres veces que introduzca la contraseña correcta. El error debe mostrarse en el cuadro de texto situado detrás. (ID-13006)

Para la instalación manual, debe proporcionar los indicadores -U <nombreusuario> -P <contraseña> para transferir las credenciales al procedimiento UpgradePostProcess.

Identity Manager se instala correctamente en máquinas sin tarjeta gráfica. (ID-14258)

Interfaz de administrador

Al hacer clic en Reinicializar consulta en la pantalla Buscar usuarios, el despliegue de nombres y el límite de resultados se reinicializan ahora al estado inicial. (ID-8961)

Los objetos de selección múltiple (MultiSelect) ahora ordenan los valores disponibles cuando se configuran las propiedades noApplet=true y sorted=true. (ID-12823)

En la tabla de árbol de cuentas no se detectaban los cambios realizados en un objeto de configuración que incluyese una lista estática. Por ejemplo, las organizaciones controladas de un administrador estaban determinadas por una regla que recuperaba una lista estática de un objeto de configuración. Antes, el servidor se debía reiniciar para detectar cambios realizados en el objeto de configuración. Ahora, la tabla de árbol cambia a objetos de configuración cuando los usuarios cierran la sesión actual y vuelven a iniciar otra. (ID-14442)

DatePicker puede tener ahora un rango de fechas definido para que sólo se puedan seleccionar determinadas fechas del calendario. (ID-10100)

Las plantillas de configuración de servidores y de modificación de correo electrónico se han modificado para que el administrador pueda determinar si se debe realizar SSL o autenticación en el servidor de SMTP. (ID-12465)

La página continueLogin.jsp muestra ahora el mensaje correctamente. (ID-13193)

Se ha solucionado un problema en que un objeto de organización no se desbloqueaba cuando un usuario con derechos insuficientes intentaba eliminarlo. (ID-14942)

Formularios

En los formularios, el uso de <set> dentro de <Expansion> ahora funciona correctamente. (ID-9617)

Los mensajes de reglas de verificación ahora aparecen en el entorno regional del cliente y no en el servidor. (ID-12780)

Identity Auditor

Ahora puede crearse una directiva de auditoría para examinar sólo un conjunto restringido de recursos. (ID-9127)

El servidor de información de identidad de Microsoft y de tablas de bases de datos utiliza ahora los formularios personalizados, especificados para estos dos recursos. (ID-10302)

El título del informe de acceso de usuario se muestra correctamente. (ID-11538)

La tarea de exploración de acceso funciona ahora en organizaciones dinámicas. (ID-12437)

La opción de vista de usuario CallViewValidators (UserViewConstants.OP_CALL_VIEW_VALIDATORS) se puede definir en la cadena "true" o "false" para habilitar o inhabilitar (respectivamente) la comprobación de directivas de auditoría durante el aprovisionamiento. (ID-12757)

El proceso de actualización ya no sobrescribe la plantilla de correo electrónico de aviso de revisión de accesos (ID-13216)

Identity Manager SPE

Ahora, Identity Manager SPE reanuda el procesamiento de las transacciones cuando el servicio se detiene de forma irregular (por ejemplo, el servidor de aplicaciones se cierra con un error de falta de memoria). (ID-14579)

Ahora, las transacciones de Identity Manager SPE pueden utilizar niveles de coherencia de actualización de usuarios configurables. Las bases de datos de almacenamiento de transacciones existentes deberán modificarse para agregar una columna más, userId VARCHAR(N), donde N es lo suficientemente grande como para contener la longitud máxima previsible para los ND de usuario de Identity Manager SPE y otros 8 caracteres más. Este cambio de la base de datos no se realiza automáticamente cuando se ejecutan los archivos de comandos de actualización. (ID-13830)

Localización

Las claves de mensajes utilizadas como preguntas de autenticación ahora se muestran correctamente en la página de resultados. (ID-13076)

Inicio de sesión

Los eventos de Active Sync se registran ahora en el registro del sistema. (ID-12446)

Los cambios en las preguntas de autenticación del usuario se registran ahora en los registros de auditoría. (ID-13082)

Ahora es posible realizar el seguimiento de subllamadas de método directas e indirectas. (ID-13436) Esto puede ser útil a la hora de depurar problemas que se sabe que se producen en algún nivel inferior a un método de entrada específico. Para habilitar esta función, defina el nivel de seguimiento para un ámbito con el modificador subcalls, como se indica en el siguiente ejemplo:

trace 4,subcalls=2
com.waveset.recon.ReconTask$WorkerThread#reconcileAccount

De esta forma se realizará el seguimiento del método reconcileAccount() en el nivel 4 y de todas las subllamadas en el nivel 2.

Los errores que se producen en el Programador de actividades se registran ahora en el registro del sistema, en lugar de conservarse en el objeto TaskSchedule. (ID-14261)

Reconciliación

La definición de la tarea de notificación de finalización de reconciliaciones se completa correctamente cuando se especifica como flujo de trabajo posterior a la reconciliación (ID-9259)

Cuando existe un gran número de objetos de cuenta (éstos se crean como resultado de reconciliaciones y provisiones), el rendimiento de reconciliación y aprovisionamiento puede disminuir drásticamente.

Para tratar esta cuestión, se debe crear un índice en la columna "name" de la tabla "account" del repositorio. En el directorio de ejemplo se proporcionan varias secuencias de comandos que facilitan esta tarea. account_index.sqlserver es para Microsoft SQL Server; account_index.sql es para las demás bases de datos. (ID-14478)

Informes

El informe de usuario de recursos genera ahora archivos CSV y PDF correctamente. (ID12509, 13701)

Los informes de usuario muestran ahora el ID de todas las cuentas del recurso en una lista separada por puntos y comas.(ID-12820) También se enumeran las cuentas y los recursos asignados indirectamente mediante un rol o un grupo de recursos. Si sólo hay una cuenta de recursos, el ID de cuenta sólo se mostrará si no es el mismo que el ID de cuenta de Identity Manager.

Recursos

Recursos nuevos

Siebel 7.8

OS/400 v4r5, v5r2, v5r3 y v5r4 (5.2, 5.3 y 5.4).

General

El adaptador de RACF ahora admite filtros de búsqueda para listAllObjects. (ID-10895)

El adaptador de LDAP ya no crea nombres distinguidos (ND) incorrectos para las cuentas nuevas. (ID-10951)

El método escape de com.sun.idm.util.ldap.DnUtil ahora puede utilizarse en los formularios para que se introduzcan valores de escape en las plantillas de identidades de los adaptadores de recursos con el formato de ND de LDAP. Como alternativa, puede utilizarse una directiva de ID de cuenta con la opción “Required LDAP DN format” seleccionada para validar la entrada de nombres distinguidos de LDAP en Identity Manager a través de datos introducidos por los usuarios, ActiveSync y procesos de reconciliación.

El método isPickListAttribute del adaptador de Siebel ya no se identifica erróneamente como isMVGAttribute en el sistema de seguimiento. (ID-11471)

Para recursos SecurId, el atributo de clientes se trata ahora como atributo opcional. (ID-11509)

El valor predeterminado del atributo Objectclasses to synchronize de Active Sync en los recursos de LDAP ahora es inetorgperson. (ID-11644)

Se han añadido múltiples atributos al adaptador de Oracle ERP para que admita funciones de auditoría. (ID-11725) Consulte Adaptador de Oracle ERP para obtener más información.

El número máximo de registros de Active Sync configurados en un recurso de Active Sync ahora se corresponde correctamente. (ID-11848)

Los adaptadores de Solaris y Linux ahora devuelven un año en la última información de inicio de sesión. (ID-12182)

El adaptador de Oracle ERP ya no falla a la hora de cerrar cursores de base de datos de Oracle. Anteriormente, el fallo provocaba el siguiente error: (ID-12222)

ORA-01000: superado el número máximo de cursores abiertos

En el adaptador de Domino, las actualizaciones concurrentes de HTTPPassword con varios usuarios mediante la llamada a la API NSFNoteComputeWithForm() ya no da como resultado el error de puerta de enlace “-551”. (ID-12466)

El adaptador de Flat File Active Sync ahora proporciona un mensaje de advertencia en el archivo de registro de Active Sync (si está habilitado) cada vez que se produce un error que impide la acción diff para efectuar la sincronización. (ID-12484)

Las modificaciones realizadas en objetos AttrParse pueden surtir efecto ahora sin reiniciar Identity Manager. (ID-12516)

Los adaptadores de SAP y SAP HR ahora admiten tres nuevos atributos de recursos que proporcionan los parámetros necesarios para reintentar operaciones de SAP cuando se produce un fallo en la red. (ID-12579) Estos atributos son:

Recuento de reintentos BAPI de SAP: número de veces de reintento de la operación

Recuento de reintentos de conexión con SAP: número de veces que debe intentarse la conexión con el servidor de SAP

Tiempo de espera de reintento de conexión con SAP: cantidad de milisegundos que es preciso esperar antes de volver a intentar la conexión con el servidor de SAP.

El asistente de tablas de bases de datos ya no permite configurar tablas a las que no se puede acceder. (ID-12643)

Al visualizar información de cuentas de un recurso Solaris configurado con NIS, se muestra información de afiliación a grupos con el nombre de grupo, en lugar del ID de grupo numérico. (ID-12667)

El adaptador de Siteminder LDAP ahora realiza las siguientes operaciones de forma correcta aunque el usuario de Siteminder esté bloqueado tras haber fracasado en sucesivos intentos de iniciar la sesión: (ID-12824)

habilitar

inhabilitar

caducar contraseña (con habilitar/inhabilitar)

no caducar contraseña (con habilitar/inhabilitar)

El adaptador de RACF ya no examina una cadena de caracteres larga una vez por cada usuario recuperado en listAllObjects, lo que normalmente da lugar a un mejor rendimiento de esta función cuando maneja grandes cantidades de usuarios. (ID-12829)

El cambio de la afiliación a grupos de LDAP ahora permite añadir o suprimir miembros de uno en uno sin necesidad de volver a escribir el grupo completo (es decir, sustituir el atributo uniqueMember completo). (ID-13035)

Identity Manager ahora borra los privilegios de administrador, si existen, antes de tratar de eliminar un usuario de Secure ID. (ID-13053)

Ahora se puede configurar un atributo de clasificación VLV. Se ha agregado el atributo de clasificación VLV (vlvSortAttribute) al recurso de LDAP. Si se configura el atributo, su valor se utilizará para la clasificación pero, si no se configura, se utilizará el valor de “uid”. (ID-13321)

Las contraseñas se pueden configurar ahora como no caducadas al utilizar el modo CUA en un recurso de SAP. (ID-13355)

Se han introducido mejoras en AttrParse. El análisis ya no envía ni capta una excepción por cada carácter del búfer analizado. (ID-13384)

Se ha corregido un problema que se producía al realizar una reconciliación en VMS. (ID-13425)

El adaptador de SecurID para UNIX ahora codifica y decodifica el juego de caracteres UTF-8 cuando interopera con RSA. (ID-13451)

El adaptador de Shell Script puede detectar ahora errores generados a partir de una acción de recurso durante las funciones de creación y actualización de usuarios. (ID-13465)

Al crear una cuenta en un recurso de Windows NT a través del adaptador de recursos de Windows NT, ya no aparece el mensaje de error siguiente en la página de resultados de Crear usuario: “Error requiring password: put_PasswordRequired(): 0X80004005:E_FAIL”. (ID-13618)

El atributo PasswordNeverExpires de Active Directory ahora puede configurarse durante las actualizaciones. (ID-13710)

Se ha añadido un nuevo parámetro de configuración de recursos (enableEmptyString) al adaptador de tabla de base de datos que permite escribir una cadena vacía, en lugar de un valor NULL, en columnas basadas en caracteres definidas como no nulas en el esquema de tablas. Esta opción no afecta a la manera en que se escriben las cadenas para tablas basadas en Oracle. (ID-13737)

La actualización de una responsabilidad de una cuenta de Oracle ERP utilizando el adaptador de Oracle ERP ya no provoca que se actualicen otras responsabilidades asociadas a la cuenta. (ID-13889) Como resultado, sólo se actualiza la marca de tiempo de auditoría de Oracle ERP correspondiente a la responsabilidad modificada. Las marcas de tiempo de auditoría de Oracle ERP de las demás responsabilidades de cuenta no se modifican.

El adaptador de NDS Active Sync ya no interroga sobre cambios basados en la marca de tiempo lastModifiedTimeStamp del objeto de usuario. Este atributo se actualizaba cuando un usuario iniciaba una sesión o la finalizaba. Para solucionar este problema, el último valor modificado se calcula ahora en función de la marca de tiempo lastModifiedTimestamp de los atributos de un usuario definidos en el mapa de esquema. Si la marca de tiempo lastModifiedTimestamp de un atributo es superior a la marca alta de agua que presenta el adaptador, la puerta de enlace enviará a este usuario al servidor como modificado. (ID-13896)

Se ha corregido un problema que provocaba que los usuarios de NDS recién creados no pudieran acceder a sus directorios iniciales. (ID-14208)

El adaptador de Shell Script admite ahora las funciones de cambio de nombre, de inhabilitación y de habilitación. (ID-14472)

Los tiempos de espera de recuperación de datos de Active Directory ya no provocan que las reconciliaciones finalicen prematuramente. (ID-14564)

Se ha corregido un problema por el que el adaptador de Active Sync de Active Directory se bloqueaba al no cerrarse las conexiones con la puerta de enlace. (ID-14597)

El adaptador de Scripted JDBC actualiza ahora correctamente un atributo en el que el valor original era nulo pero se definía como valor no nulo. (ID-14655)

El adaptador de SAP ya no devolverá una excepción JCO_ERROR_FUNCTION_NOT_FOUND cuando el sistema SAP no contenga el módulo de función PASSWORD_FORMAL_CHECK. (ID-14663)

Se ha añadido el atributo de cuenta person_fullname al mapa de esquema para el adaptador de Oracle ERP. En el formulario de usuario de Oracle ERP, este atributo se utiliza para mostrar el campo Person Name. Este campo es de sólo lectura y mostrará el nombre completo del usuario si una cuenta de Oracle ERP está vinculada al sistema Oracle HR mediante el número de empleado. (ID-14675)

El adaptador de SAP informa ahora correctamente del estado de las cuentas inhabilitadas. (ID-14834)

El adaptador de LDAP permite que el método abreviado de activación nsaccountlock utilice una lógica basada en la existencia o ausencia de valor al determinar si un usuario de LDAP está inhabilitado. (ID-14925) Consulte Inhabilitación y habilitación de cuentas para obtener más información.

El adaptador de Oracle ERP evita ahora la desvinculación de cuentas de recursos si no se puede acceder al recurso de Oracle ERP durante una reconciliación completa. (ID-14960) (El recurso puede ser inaccesible por varios motivos, por ejemplo, por ser incorrecta la configuración de conexión con los recursos.)

Informes

Ya se ha corregido el error por el que se generaban nombres de TaskTemplate demasiado largos (superiores al valor de MAX_NAME_LENGTH). (ID-13790)

Los nombres de columna se muestran ahora correctamente en informes en PDF. (ID-12794)

Repositorio

El repositorio de IDM se inicializa ahora con mayor rapidez. (ID-14937)

Seguridad

Los cambios de contraseña de usuario final iniciados por administradores, a través de SPML u otros medios, no se añadirán al historial de contraseñas. Esta corrección introduce una opción de configuración del sistema y otra de vista (formulario) que permiten al administrador cambiar al comportamiento deseado. La opción de vista sustituirá siempre a los valores de configuración del sistema. En la configuración del sistema, el administrador puede cambiar basándose en la aplicación de inicio de sesión. Esto proporciona una mayor flexibilidad, puesto que los administradores pueden no desear un comportamiento que afecte a todas las aplicaciones. (ID-13029)

Servidor

Los subobjetos TaskInstance, como aprobaciones, ahora se borran adecuadamente cuando finaliza la tarea. (ID-3258)

Identity Manager ahora requiere acceder al directorio tmp. (ID-7804) Para lograrlo, si el servidor de aplicación utiliza una directiva de seguridad, necesita añadir el permiso siguiente:

permission java.io.FilePermission "$(java.io.tmpdir)$(/)*", "read,write,delete";

En entornos en clúster, un inicio de sesión fallido en las páginas de usuario final ya no genera ninguna excepción relacionada con la serialización. (ID-10556)

El servidor ya no activa en sí mismo el mecanismo de reconexión de emergencia y finaliza sus propias tareas cuando tarda demasiado tiempo en procesar información de tareas. (ID-10920)

Los atributos ampliados de usuario se eliminan ahora correctamente de objetos de usuario. (ID-11721)

Se ha corregido la condición que provocaba un error por inexistencia de antememoria ("no cache error") en la página Todas las tareas para usuarios de suborganizaciones que no disponen de acceso de administrador a organizaciones principales. (ID-12288)

El procesamiento de delimitadores ahora se suprime entre corchetes. Por tanto, todos los caracteres que se encuentren entre corchetes se tratarán como un índice o un filtro. Nota: en estos momentos no hay ningún mecanismo de escape para el corchete de cierre "]". (ID-12384)

Las acciones de finalización de instancias de tareas ahora se auditan como acciones Finalizar en lugar de acciones Modificar. (ID-12791)

Las acciones de usuario se pueden realizar en usuarios después de eliminar un recurso directamente asignado a ellos. (ID-14806)

SOAP

El servidor de SPML devuelve ahora errores para solicitudes que contienen filtros que utilizan operadores no implementados aún. (ID-11343)

Flujo de trabajo

Ya no se devuelven advertencias de comprobaciones de referencias (checkReference) no válidas al ejecutar flujos de trabajo. (ID-10802)

Si se utiliza notification.redirect para redirigir los mensajes a un archivo, ese archivo ahora se escribe utilizando emailNotifier.contentCharset, igual que ocurriría si el mensaje se enviase por correo electrónico. Gracias a esto, el archivo puede contener caracteres no pertenecientes al juego ISO-8859-1. (ID-10331, 14984)

Ahora se añade más información al mensaje de flujo de trabajo cuando un aprobador trata de aprobar o rechazar un elemento de trabajo que ya ha sido aprobado o rechazado. (ID-11045)

Se ha asignado el tipo de autorización (authType) RoleAdminTask a Manage Role TaskDefinition y se ha asignado el tipo de autorización ResourceAdminTask a Manage Resource TaskDefinition. (ID-12768)

Otros problemas corregidos

10235, 10475, 13434, 14044, 14178, 14792, 14874

Problemas detectados

De forma predeterminada, cuando un usuario introduce una respuesta a una pregunta de autenticación, los caracteres se enmascaran con asteriscos (*). No obstante, esta práctica inhabilita la capacidad de ciertos editores de métodos de entrada (IME) para crear caracteres complejos, tales como los utilizados en japonés kanji.

Para que los usuarios puedan utilizar un IME a fin de responder a preguntas de autenticación, utilice la página de depuración para cambiar el valor de la propiedad secret a false en el formulario de usuario de inicio de sesión con preguntas.

Nota: La definición de este valor como “false” supone un riesgo de seguridad, ya que las respuestas a las preguntas de autenticación se podrán leer en la pantalla. Aún así, las respuestas se guardan cifradas. (ID-7424)

Algunas de las opciones de configuración que aparecen en la interfaz del administrador de Identity Manager no se utilizan con Identity Manager SPE. (ID-10843). Entre ellas se encuentran:

Opciones de configuración del asistente de recursos: excluir regla de cuentas, aprobadores y organizaciones

Atributos de función

FireFox 1.5 no muestra correctamente algunos formularios de Identity Manager. Por ejemplo, en el formulario de usuario con fichas, el explorador no ajusta las etiquetas, por lo que todos los elementos se desplazan a la derecha. (ID-13109)

La casilla de verificación "Report only users whose user name" aparece enumerada dos veces en los informes de usuario y de preguntas de usuario. Una casilla de verificación dispone de i-help, mientras que la otra no. Cualquiera de las casillas de verificación devolverá los datos correctos al utilizarse individualmente. (ID-13155)

Si se produce un error HTTP Status 500 al conectarse a las páginas de usuario final SPE, ello podría indicar que hay múltiples claves de cifrado en la configuración de SPE. Esto podría estar provocado por generarse una nueva en Identity Manager durante el proceso de actualización.

La solución es eliminar las claves de cifrado del directorio de configuración de SPE y volver a exportarlas desde Identity Manager. (ID-13162)

Una vez definido un valor para un atributo de correo electrónico de un usuario, no se podrá eliminar. El valor se puede cambiar, pero no se puede volver a definir como nulo. (ID-13164)

Si edita la plantilla de correo electrónico de aviso de revisión de acceso en la versión 6.0 de Identity Manager, deberá guardar la plantilla antes de actualizar Identity Manager o bien deberá editarla después de realizar la actualización. (El proceso de actualización sobrescribe la plantilla con los valores predeterminados.) (ID-13216)

La página de ayuda de la ficha Plantilla de correo electrónico de la página Editar ajustes del servidor está incompleta. Consulte la información de ayuda de guía sobre los campos nuevos que se han añadido en esta versión. (ID-14899)

Un aprobador que no controle la organización superior no puede ver las aprobaciones anteriormente aprobadas o rechazadas. (ID-15271)

Anterior Contenido Siguiente

Anterior Contenido Siguiente
Sun Java System Identity Installation Pack 2005Q4M3 SP2 Notas de la versión