Identity Installation Pack 2005Q4M3 Caractéristiques SP2

Avant d'installer ou de mettre à niveau le logiciel Pack d’installation Identity Manager Sun Java™ System, consultez la section Notes sur l'installation et la mise à jour de ces notes de version ainsi que toute la documentation fournie avec le service pack Identity Manager 2005Q4M3 le plus récent.

Nouveautés et défauts corrigés dans cette version

Cette section résume puis détaille les nouveautés d'Identity Installation Pack 2005Q4M3 SP2. Pour de plus amples détails, reportez-vous aux différentes sections de ce chapitre.

Installation et mise à jour

L’attribut système waveset.serverId a été ajouté. Utilisez cet attribut pour définir des noms de serveurs uniques lorsque votre déploiement comprend plusieurs exemplaires d’ Identity Manager pointant vers un seul référentiel sur un seul serveur physique. (ID-11578)

Le programme d’installation prend dorénavant en charge la mise à niveau d’installations ayant renommé, supprimé ou désactivé le compte Configurator par défaut. Le programme d’installation demande maintenant le nom d’utilisateur et le mot de passe permettant d’importer le fichier update.xml lors du post-traitement. Si le nom d’utilisateur ou le mot de passe saisi est erroné, vous êtes à nouveau invité à le taper (à trois reprises au maximum). L’erreur doit être affichée dans la zone de texte en arrière-plan. (ID-13006)

Pour effectuer une installation manuelle, vous devez spécifier les indicateurs -U <nom-utilisateur > -P <mot-de-passe > afin de passer les informations d’identification à la procédure UpgradePostProcess.

Identity Manager s’installe correctement sur les machines sans carte graphique. (ID-14258)

Interface administrateur

Lorsque vous cliquez sur Réinitialiser la requête dans l’écran Rechercher Utilisateurs, la liste déroulante du nom et la limite de résultat sont dorénavant restaurées dans leur état initial. (ID-8961)

Les objets à sélection multiple trient à présent les valeurs disponibles lorsque les propriétés noApplet=true et sorted=true sont définies. (ID-12823)

Les modifications d’un objet de configuration contenant une liste statique n’ont pas été supprimés par l’arborescence des comptes. Par exemple, les organisation contrôlées par un administrateur ont été déterminées par une règle qui a récupéré une liste statique d’un objet de configuration. Auparavant, le serveur aurait redémarré pour détecter les modifications de l’objet de configuration. Dorénavant, l’arborescence passe en objets de configuration lorsque vous fermez la session avant de vous reconnecter. (ID-14442)

Il est possible de définir une plage de dates pour le sélecteur de date afin de permettre le choix de certaines dates seulement dans le calendrier. (ID-10100)

Les modèles Configuration serveur et Modifier email sont été changés pour permettre à l’administrateur de déterminer si les opérations SSL ou authentification doivent être effectuées sur le serveur SMTP. (ID-12465)

La page continueLogin.jsp affiche le message correctement à présent. (ID-13193)

Un problème qui empêchait le déverrouillage d’un objet d’organisation lorsqu’un utilisateur ayant des droits insuffisants tentait de le supprimer a été résolu. (ID-14942)

Formulaires

Dans un formulaire, l’utilisation de <set> au sein d’<Expansion> fonctionne normalement à présent. (ID-9617)

Les messages relatifs aux règles de vérification s’affichent à présent dans la langue du client et non plus celle du serveur. (ID-12780)

Identity Auditor

Il est à présent possible de configurer une stratégie d’audit en vue d’analyser un ensemble limité de ressources. (ID-9127)

Database Table et Microsoft Identity Information Server utilisent maintenant les formulaires personnalisés spécifiés pour ces deux ressources. (ID-10302)

Le titre User Access Report s’affiche correctement. (ID-11538)

La tâche Access Scan fonctionne maintenant sur les organisations dynamiques. (ID-12437)

L’option d’affichage utilisateur CallViewValidators (UserViewConstants.OP_CALL_VIEW_VALIDATORS) peut être réglée sur « true » ou « false » pour activer ou désactiver respectivement le contrôle de stratégie d’audit pendant le provisioning. (ID-12757)

Le processus de mise à niveau n’efface plus le modèle d’email Access Review Notice (ID-13216)

Identity Manager SPE

Identity Manager SPE reprend à présent le traitement des transactions après l’arrêt brutal du service (par exemple, lorsque le serveur d’application se ferme suite à un manque de mémoire). (ID-14579)

Les transactions Identity Manager SPE prennent désormais en charge les niveaux de cohérence des mises à jour d’utilisateurs configurables. Les bases de données de stockage des transactions existantes doivent être modifiées et comprendre une colonne supplémentaire, userId VARCHAR(N) où N est suffisamment grand pour contenir la longueur maximale attendue pour un DN utilisateur Identity Manager SPE, suivi de 8 caractères supplémentaires. Ce changement apporté à la base de données ne se produit pas automatiquement lors de l’exécution des scripts de mise à niveau. (ID-13830)

Localisation

Les clés de message servant de questions d’authentification s’affichent correctement à présent sur la page des résultats. (ID-13076)

Journalisation

Les événements Active Sync sont maintenant enregistrés dans le journal système. (ID-12446)

Les changements de questions d’authentification de l’utilisateur sont maintenant enregistrés dans les journaux d’audit. (ID-13082)

Les sous-appels par méthode directe ou indirecte peuvent désormais être suivis. (ID-13436) Cette fonction peut être utile pour déboguer des problèmes connus pour survenir à un niveau inférieur à une méthode d’entrée spécifique. Pour activer cette fonction, définissez le niveau pour une étendue avec le modificateursubcalls, comme dans l’exemple suivant :

trace 4,subcalls=2
com.waveset.recon.ReconTask$WorkerThread#reconcileAccount

La méthode reconcileAccount() est ainsi suivie au niveau 4 et tous les sous-appels au niveau 2.

Les erreurs qui surviennent dans Ordonnanceur sont maintenant écrites dans le journal système, au lieu d’être conservées dans l’objet TaskSchedule. (ID-14261)

Réconciliation

La définition de la tâche Notify Reconcile Finish se termine correctement lorsqu’elle est spécifiée comme Post-Reconciliation Workflow (ID-9259)

Lorsqu’il existe un grand nombre d'objets Compte (dont la création résulte des réconciliations et des provisions), les performances de réconciliation et de provisioning peuvent diminuer considérablement.

Pour corriger ce problème, un index doit être créé dans la colonne « name » de la table « account » dans le référentiel. Certains scripts qui y contribuent sont fournis dans le répertoire d’exemples. account_index.sqlserver pour Microsoft SQL Server ; account_index.sql pour toutes les autres bases de données. (ID-14478)

Rapports

Resource User Report génère maintenant les fichiers CSV et PDF correctement. (ID12509, 13701)

Les rapports utilisateur indiquent maintenant l’accountId pour tous les comptes de la ressource dans une liste séparée par des points-virgules.(ID-12820) Les comptes et les ressources indirectement assignés, via un rôle ou un groupe de ressources, sont également indiqués. Lorsqu’il n’existe qu’un seul compte de ressource, l’accountId n’est affiché que si elle est différente de l'accountId d’Identity Manager.

Ressources

Nouvelles ressources

Siebel 7.8

SE/400 v4r5, v5r2, v5r3, et v5r4 (5.2, 5.3, et 5.4).

Généralités

L’adaptateur RACF comprend maintenant des filtres de recherche pour listAllObjects. (ID-10895)

L’adaptateur LDAP ne crée plus de nom distinctif (DN) erroné pour les nouveaux comptes. (ID-10951)

La méthode d’échappement de com.sun.idm.util.ldap.DnUtil est également applicable aux formulaires pour neutraliser les valeurs d’échappement à insérer dans les modèles d’identité des adaptateurs de ressources au format DN LDAP. Autre solution possible, l’utilisation d’une stratégie accountId avec l’option « Requérir le format DN LDAP » cochée pour valider les noms distinctifs LDAP insérés dans Identity Manager par entrée (entrée utilisateur, ActiveSync et réconciliation, par exemple).

La méthode isPickListAttribute de l’adaptateur Siebel n’est plus mal identifiée comme isMVGAttribute dans le système de suivi. (ID-11471)

Pour les ressources SecurId, l’attribut du client est maintenant traité comme un attribut optionnel. (ID-11509)

La valeur par défaut de l’attribut Objectclasses to synchronize d’Active Sync sur les ressources LDAP est désormais définie sur inetorgperson. (ID-11644)

Plusieurs attributs ont été ajoutés à l’adaptateur Oracle ERP afin de prendre en charge les fonctions d’audit. (ID-11725) Adaptateur Oracle ERP pour plus de détails.

Le nombre maximum de journaux Active Sync configurés sur une ressource Active Sync est désormais reconnu correctement. (ID-11848)

Les adaptateurs Solaris et Linux renvoient désormais des informations sur la dernière connexion remontant à une année. (ID-12182)

L’adaptateur Oracle ERP n’échoue plus pour fermer les curseurs de base de données Oracle. Auparavant, ce défaut provoquait l’erreur suivante : (ID-12222)

ORA-01000: nombre maximum de curseurs ouverts dépassé

Pour l’adaptateur de ressources Domino, les mises à jour simultanées de HTTPPassword pour plusieurs utilisateurs disposant de l’appel d’API NSFNoteComputeWithForm() ne génèrent plus d’erreur de passerelle de type -551. (ID-12466)

L’adaptateur Active Sync fichier plat fournit à présent un message d’avertissement dans le journal Active Sync (si activé) chaque fois qu’une erreur empêchant l’exécution d’une action diff à des fins de synchronisation se produit. (ID-12484)

Les modifications d’objets AttrParse peuvent à présent prendre effet sans redémarrer Identity Manager. (ID-12516)

Les adaptateurs SAP et SAPHR offrent à présent trois nouveaux attributs de ressources dotés des paramètres permettant d’effectuer une nouvelle tentative d’opération SAP suite à une panne de réseau. (ID-12579) Il s’agit des attributs :

Nombre des relances BAPI SAP – Nombre de nouvelles tentatives de l’opération

Nombre des relances de connexion SAP - nombre de nouvelles tentatives de reconnexion au serveur SAP.

Temps d'attente entre les relances de connexion SAP - nombre de millisecondes d’attente avant de tenter une reconnexion au serveur SAP.

L’assistant Table de base de données ne permet plus de configurer des tables inaccessibles. (ID-12643)

Lors de l’affichage des informations de compte depuis une ressource Solaris configurée avec NIS, les informations d’appartenance à un groupe sont affichées avec le nom du groupe, au lieu de l’ID numérique du groupe. (ID-12667)

L’adaptateur LDAP Siteminder effectue à présent correctement les opérations suivantes, même lorsque l’utilisateur Siteminder est verrouillé suite à l’échec de ses tentatives de connexion :
(ID-12824)

activer

désactiver

expiration du mot de passe (avec activation/désactivation)

non expiration du mot de passe (avec activation/désactivation)

L’adaptateur RACF ne recherche plus une chaîne longue pour chaque utilisateur récupéré dans listAllObjects, ce qui augmente généralement les performances de cette fonction dans le cas d’un nombre important d’utilisateurs. (ID-12829)

Le changement d’appartenance à un groupe LDAP utilise à présent des ajouts et retraits individuels au lieu de réécrire intégralement le groupe (c.-à-d., remplacer entièrement l’attribut uniqueMember). (ID-13035)

Le cas échéant, Identity Manager efface les privilèges admin avant de tenter de supprimer un utilisateur à ID sécurisé. (ID-13053)

Un tri VLV est dorénavant configurable. L’attribut de tri VLV (vlvSortAttribute) a été ajouté à la ressource LDAP. Si l’attribut est défini, sa valeur est utilisée pour le tri, sinon la valeur uid est appliquée. (ID-13321)

Les mots de passe peuvent maintenant être définis comme non expirés en utilisant le mode CUA sur une ressource SAP. (ID-13355)

Les performances d’AttrParse ont été améliorées. L’analyse standard n’émet plus ni ne saisit d’exception pour chaque caractère compris dans un tampon analysé. (ID-13384)

Un problème rencontré en effectuant une réconciliation sur VMS a été corrigé. (ID-13425)

Le SecurID de l’adaptateur UNIX effectue désormais le codage et le décodage de caractères UTF-8 lors d’opérations avec RSA. (ID-13451)

L’adaptateur Shell Script peut maintenant détecter les erreurs générées depuis une ResourceAction au cours des fonctions de création et de mise à jour utilisateur.(ID-13465)

Lors de la création d’un compte sur une ressource Windows NT via l’adaptateur de ressources Windows NT, le message d’erreur suivant ne s’affiche plus sur la page des résultats de la création d’un utilisateur : “Error requiring password: put_PasswordRequired(): 0X80004005:E_FAIL ». (ID-13618)

L’attribut PasswordNeverExpires d’Active Directory peut désormais être défini lors d’une mise à jour. (ID-13710)

Un nouveau paramètre de configuration de ressource, enableEmptyString, a été ajouté à l’adaptateur Database Table pour permettre l’écriture d’une chaîne vide, au lieu d’une valeur NULLE, dans les colonnes de caractères définies comme non nulles dans le schéma du tableau. Cette option n’influence pas la façon dont les chaînes sont écrites pour les tableaux Oracle. (ID-13737)

La mise à jour d'une responsabilité de compte Oracle ERP en utilisant l’adaptateur Oracle ERP n'entraîne plus la mise à jour des autres responsabilités associées au compte. (ID-13889) Par conséquent, seule l’horodate d’audit Oracle ERP de la responsabilité modifiée est mise à jour. Les horodates d’audit Oracle ERP des autres responsabilités du compte demeurent inchangées.

L’adaptateur NDS Active Sync n’interroge plus les changements fondés sur lastModifiedTimeStamp de l’objet utilisateur. Cet attribut était auparavant mis à jour dès qu’un utilisateur se connectait ou se déconnectait. Pour surmonter ce problème, la dernière valeur modifiée est maintenant calculée sur la base lastModifiedTimestamp des attributs d’un utilisateur définis dans la mappe du schéma. Lorsque la valeur lastModifiedTimestamp d’un attribut est supérieure à la marque maximale présentée par l'adaptateur, la passerelle renvoie cet utilisateur au serveur comme modifié.(ID-13896)

Un problème qui empêchait les utilisateurs NDS récemment créés d'accéder à leur répertoires de base a été corrigé. (ID-14208)

L’adaptateur Shell Script prend maintenant en charge les fonctions renommer, désactiver et activer. (ID-14472)

Les délais d’attente de récupération des données Active Directory ne provoquent plus la fin prématurée des réconciliations.(ID-14564)

Un problème qui provoquait le blocage de l’adaptateur Active Directory Active Sync en raison des connexions à la passerelle restant ouvertes a été corrigé. (ID-14597)

L’adaptateur JDBC sous forme de script met à jour correctement un attribut dans lequel la valeur d'origine était nulle mais qui est définie comme une valeur non nulle. (ID-14655)

L’adaptateur SAP n’émet plus une exception JCO_ERROR_FUNCTION_NOT_FOUND lorsque le système SAP ne contient pas le module de fonction PASSWORD_FORMAL_CHECK. (ID-14663)

L’attribut de compte person_fullname a été ajouté à la mappe du schéma pour l’adaptateur Oracle ERP. Dans la forme utilisateur d’Oracle ERP, cet attribut sert à afficher le champ Person Name. Ce champ est en lecture seule et affiche le nom complet de l’utilisateur lorsqu'un compte Oracle ERP est lié au système Oracle HR utilisant le numéro d’employé. (ID-14675)

L’adaptateur SAP rapporte correctement à présent l’état des comptes désactivés. (ID-14834)

L’adaptateur LDAP permet au raccourci d’activation nsaccountlock d’utiliser une logique basée sur la présence/absence d’une valeur pour déterminer si un utilisateur LDAP est désactivé. (ID-14925) Voir Désactivation et activation des comptes pour plus de détails.

L’adaptateur Oracle ERP empêche dorénavant de supprimer les liens des comptes de ressource si la ressource Oracle ERP est inaccessible lors de la réconciliation complète. (ID-14960) (La ressource peut être inaccessible pour de nombreuses raisons, notamment une configuration de connexion incorrecte.)

Rapports

La génération de noms TaskTemplate trop longs (dépassant la valeur MAX_NAME_LENGTH) a été corrigée. (ID-13790)

Les noms des colonnes sont maintenant correctement affichés dans les rapports PDF. (ID-12794)

Référentiel

Le référentiel IDM s’initialise plus rapidement à présent. (ID-14937)

Sécurité

Les changements de mot de passe utilisateur initiés par les administrateurs, via SPML ou autre, ne sont pas ajoutés à l’historique du mot de passe. Cette correction introduit une option System Configuration et une option View (formulaire) qui permet à un administrateur de permuter le comportement de son choix. Cette option View remplacera toujours les paramètres de configuration système. Dans System Configuration, un administrateur peut permuter en fonction de l’application de connexion. Ceci apporte une plus grande souplesse, les administrateurs ne souhaitant pas forcément un comportement affectant toutes les applications. (ID-13029)

Serveur

Les sous-objets TaskInstance tels que les approbations sont désormais supprimés correctement à la fin d’une tâche. (ID-3258)

Identity Manager a maintenant besoin d'accéder au répertoire tmp. (ID-7804) Pour cela, si votre serveur d'application utilise une stratégie de sécurité, vous devez ajouter la permission suivante :

permission java.io.FilePermission "$(java.io.tmpdir)$(/)*", "read,write,delete";

Dans un environnement clusterisé, un échec de connexion sur les pages de l’utilisateur final n’entraîne plus d’exception liée à la sérialisation. (ID-10556)

Un serveur ne déclenche plus de mécanisme de basculement sur lui-même et termine ses propres tâches si le serveur prend trop longtemps pour traiter les informations de tâche. (ID-10920)

Les attributs utilisateur étendus sont désormais supprimés correctement des objets utilisateur. (ID-11721)

La condition qui provoquait une erreur « no cache » sur la page All Tasks pour les utilisateurs des sous-organisations ne possédant pas d’accès admin aux organisations parentes a été corrigée. (ID-12288)

Le traitement des séparateurs est désormais supprimé entre crochets. De ce fait, tous les caractères compris entre les deux crochets sont traités comme un index ou un filtre. Remarque : il n’existe actuellement aucun mécanisme pour neutraliser le crochet de fermeture ]. (ID-12384)

Les fins d’instances de tâches sont désormais auditées en tant qu’actions de type Terminer et non plus de type Modifier. (ID-12791)

Les actions utilisateur peuvent être effectuées sur les utilisateurs après suppression d'une ressource leur étant directement assignée. (ID-14806)

SOAP

Le serveur SPML retourne désormais des erreurs pour les demandes qui contiennent des filtres utilisant des opérateurs qui ne sont pas encore implémentés. (ID-11343)

Flux de travaux

Les avertissements Invalid checkReference ne sont plus retournés lors de l’exécution des flux de travaux. (ID-10802)

Si vous utilisez notification.rediret pour rediriger les messages vers un fichier, ce dernier est désormais écrit à l’aide de emailNotifier.contentCharset, comme le serait le message s’il était envoyé par e-mail. Cela permet au fichier de contenir des caractères non-ISO-8859-1. (ID-10331, 14984)

Des informations supplémentaires sont ajoutées à un message de flux de travaux lorsqu’un approbateur tente d’approuver ou de rejeter un élément de travail déjà approuvé ou rejeté. (ID-11045)

RoleAdminTask authType a été assigné à Manage Role TaskDefinition et ResourceAdminTask authType à Manage Resource TaskDefinition. (ID-12768)

Autres défauts corrigés

10235, 10475, 13434, 14044, 14178, 14792, 14874

Problèmes connus

Par défaut, lorsqu’un utilisateur tape la réponse à une question d'authentification, les caractères sont masqués par des astérisques (*). Toutefois, cette pratique désactive la capacité de certains éditeurs de méthode d'entrée (IME) de créer des caractères complexes, comme ceux utilisés en japonais kanji.

Pour permettre l'utilisation d'un IME pour répondre aux questions d’authentification, utilisez la page Debug pour modifier la valeur de la propriété secret sur false dans Question Login Form UserForm.

Remarque : Définir cette valeur sur false présente un risque de sécurité car les réponses aux questions d’authentification son désormais lisibles à l’écran. Les réponses sont toujours stockés sous forme cryptée. (ID-7424)

Certaines options de configuration qui apparaissent dans l'interface administrateur d'Identity Manager ne sont pas utilisées avec Identity Manager SPE. (ID-10843). Il s'agit entre autres des :

Options de configuration de l'assistant de ressource : exclure les règles de comptes, les approbateurs et les organisations

Attributs de rôle

FireFox 1.5 n’affiche pas correctement certains formulaires d’Identity Manager. Par exemple, dans le formulaire Tabbed User, le navigateur n’intègre pas les étiquettes, ce qui a pour effet de pousser l'ensemble vers la droite. (ID-13109)

La case « Report only users whose user name » figure deux fois dans les rapports User et User Question. L’une des case possède i-help, mais pas l’autre. Les deux cases, utilisées individuellement, retournent les données correctes. (ID-13155)

Si la journalisation dans les pages utilisateur final SPE produit une erreur HTTP Status 500, cela peut indiquer qu’il existe plusieurs EncryptionKeys dans la configuration SPE. Ceci peut être provoqué par la création d’une nouvelle dans Identity Manager pendant le processus de mise à niveau.

La solution consiste à supprimer les EncryptionKeys dans le répertoire de configuration SPE et de ré-exporter depuis Identity Manager. (ID-13162)

Lorsqu’une valeur a été définie pour un attribut email d’un utilisateur, elle ne peut pas être supprimée. Il est possible de changer la valeur, mais pas de la redéfinir comme nulle. (ID-13164)

Si vous avez modifié le modèle Avis de révision d'accès dans la version 6.0 d’Identity Manager vous devez enregistrer le modèle avant la mise à niveau Identity Manager ou le modifier après. (Le processus de mise à niveau efface le modèle et les valeurs par défaut.) (ID-13216)

La page d’aide de l’onglet Courrier électronique modèle de la page Modifier les paramètres de serveur est incomplète. Consultez les détails d’aide des instructions relatives aux nouveaux champs ajoutés dans cette version. (ID-14899)

Un approbateur ne contrôlant pas l’organisation supérieure ne peut pas afficher les approbations précédemment approuvées/rejetées.(ID-15271)

Précédent Table des matières Suivant

Précédent Table des matières Suivant
Notes de version de Sun Java System Identity Installation Pack 2005Q4M3 SP2