アイデンティティーインストールパック 2005Q4M3 SP2 の機能

Sun Java^TM System アイデンティティーインストールパックソフトウェアのインストールまたはアップグレードの前に、リリースノートに記載されているインストールとアップグレードに関する注意事項、および最新の Identity Manager 2005Q4M3 サービスパックに付属するドキュメントを参照してください。

このリリースの新機能と解決された不具合

この節では、アイデンティティーインストールパック 2005Q4M3 SP2 の新機能の概要と詳細について説明します。詳細については、この章の各機能別の節を参照してください。

インストールと更新

waveset.serverId システム属性が追加されました。配備内の複数の Identity Manager インスタンスが、あるサーバー上の同一のリポジトリを指している場合、この属性を使用して一意のサーバー名を設定します (ID-11578)。

インストーラは、デフォルトの Configurator アカウントの名前変更、削除、または無効化を行なったインストール環境のアップグレードをサポートするようになりました。インストーラは、アップグレードの事後処理時に、update.xml をインポートできる適切な資格を持ったユーザー名とパスワードを要求してきます。間違ったユーザー名またはパスワードを入力した場合、正しい値を 3 回まで入力し直すことができます。エラー情報はテキストボックスに表示されます (ID-13006)。

手動インストールの場合、入力した資格を UpgradePostProcess 手順に引き渡すには、-U <username> -P <password> フラグを指定する必要があります。

Identity Manager が、グラフィックスカードのないマシンにも正しくインストールされるようになりました (ID-14258)。

管理者インタフェース

「ユーザーの検索」画面で「クエリーのリセット」をクリックしたとき、名前のドロップダウンと表示する結果の制限値が初期状態にリセットされるようになりました (ID-8961)。

MultiSelect オブジェクトで noApplet=true および sorted=true プロパティーを設定すると、利用可能な値がソートされるようになりました (ID-12823)。

静的リストを含む設定オブジェクトの変更が、アカウントのツリーテーブルで検出されませんでした。たとえば、管理者の管理する組織は、設定オブジェクトから静的リストを取得する規則で決定されていました。以前は、設定オブジェクトへの変更を検出するにはサーバーを再起動する必要がありました。このリリースでは、ユーザーが現在のセッションからログアウトし再度ログインするだけで、ツリーテーブルが設定オブジェクトに合わせて変更されます (ID-14442)。

DatePicker に、特定の日付だけをカレンダから選択できる日付範囲セットを設定できるようになりました (ID-10100)。

サーバーの設定テンプレートと電子メールの変更テンプレートが変更され、SMTP サーバー上で SSL または認証を実行するかどうかを管理者が決定できるようになりました (ID-12465)。

continueLogin.jsp ページにメッセージが正しく表示されるようになりました (ID-13193)。

十分な権限を持たないユーザーが組織オブジェクトの削除を試行すると、組織オブジェクトのロックが解除されないという問題が解決されました (ID-14942)。

フォーム

フォームの <Expansion> 内で使用される <set> が、正常に機能するようになりました (ID-9617)。

検証規則のメッセージが、サーバーではなくクライアントのロケールで表示されるようになりました (ID-12780)。

Identity Auditor

設定した範囲のリソースのみをスキャンするように監査ポリシーを設定できるようになりました (ID-9127)。

データベーステーブルと Microsoft Identity Information Server で、これら2つのリソース用に指定されたカスタムフォームを使用するようになりました (ID-10302)。

ユーザーアクセスレポートのタイトルが正しく表示されるようになりました (ID-11538)。

アクセススキャンタスクが動的組織で動作するようになりました (ID-12437)。

ユーザービューオプション CallViewValidators (UserViewConstants.OP_CALL_VIEW_VALIDATORS) を文字列「true」または「false」に設定して、プロビジョニング中の監査ポリシーチェックをそれぞれ有効化または無効化できるようになりました (ID-12757)。

アップグレードプロセスでアクセスレビュー情報電子メールテンプレートが上書きされることはなくなりました (ID-13216)。

Identity Manager SPE

アプリケーションサーバーがメモリー不足エラーで終了するなどサービスが異常な方法で停止しても、Identity Manager SPE でトランザクション処理が再開されるようになりました (ID-14579)。

Identity Manager SPE トランザクションで、設定可能なユーザー更新整合性レベルがサポート可能になりました。既存のトランザクションストアデータベースを変更して、新しい列 userId VARCHAR(N) を追加する必要があります。N は、Identity Manager SPE ユーザー DN に 8 文字を追加した文字列として予期される最大長を格納できる大きさにしてください。このデータベースの変更が、アップグレードスクリプトの実行時に自動的に発生することはありません (ID-13830)。

ローカリゼーション

秘密の質問として使用されるメッセージキーが、結果ページに正しく表示されるようになりました (ID-13076)。

ログ

Active Sync イベントがシステムログに記録されるようになりました (ID-12446)。

ユーザーの秘密の質問の変更が監査ログに記録されるようになりました (ID-13082)。

直接および間接メソッドサブ呼び出しが追跡可能になりました (ID-13436)。これは、特定のエントリメソッドより下のレベルで発生している問題をデバッグする場合に有効です。この機能を有効にするには、subcalls 修飾子を使用して次のようにスコープのトレースレベルを設定します。

trace 4,subcalls=2
com.waveset.recon.ReconTask$WorkerThread#reconcileAccount

この例では、reconcileAccount() メソッドをレベル 4 で、すべてのサブ呼び出しをレベル 2 で追跡します。

スケジューラで発生したエラーが TaskSchedule オブジェクト内に保存されるのではなく、システムログに書き込まれるようになりました (ID-14261)。

調整

調整後ワークフローとして指定された調整完了通知タスクの定義が正常に完了するようになりました (ID-9259)。

調整とプロビジョンの結果として作成された多数の Account オブジェクトが存在する場合、調整とプロビジョニングのパフォーマンスが大幅に低下するおそれがあります。

この問題に対処するため、リポジトリの「account」テーブルの「name」列にインデックスを作成してください。この点で助けになるスクリプトがサンプルディレクトリで提供されています。account_index.sqlserver が Microsoft SQL Server 用、account_index.sql がほかのすべてのデータベース用です (ID-14478)。

レポート

リソースユーザーレポートで CSV ファイルと PDF ファイルが正しく生成されるようになりました (ID-12509、13701)。

ユーザーレポートに、リソース上のすべてのアカウントのリソース accountId が、セミコロン区切りリストで表示されるようになりました (ID-12820)。ロールまたはリソースグループ経由で間接的に割り当てられたアカウントとリソースも表示されます。リソースアカウントが 1 つだけの場合、accountId は、Identity Manager accountId と異なるときのみ表示されます。

リソース

新しくサポートされるリソース

Siebel 7.8

OS/400 v4r5、v5r2、v5r3、v5r4 (5.2、5.3、5.4)

改善点

RACF アダプタで listAllObjects の検索フィルタがサポートされました (ID-10895)。

LDAP アダプタで新規アカウントに不正な識別名 (DN) が作成されることはなくなりました (ID-10951)。

com.sun.idm.util.ldap.DnUtil のエスケープメソッドをフォーム内で使用して、エスケープ処理した値をリソースアダプタのアイデンティティーテンプレートに LDAP DN 形式で挿入できるようになりました。その代わりに、ユーザー入力、ActiveSync、調整などを経由して Identity Manager に入力される LDAP 識別名を、「LDAP 形式に従う」オプションを指定した accountId ポリシーを使用して検証することもできます。

Siebel アダプタ内の isPickListAttribute メソッドが、トレーシングシステムの isMVGAttribute と誤って識別されることがなくなりました (ID-11471)。

SecurId リソースで、クライアント属性がオプション属性として扱われるようになりました (ID-11509)。

LDAP リソースの Active Sync 属性の「同期するオブジェクトクラス」のデフォルト値が inetorgperson になりました (ID-11644)。

Oracle ERP アダプタに、監査機能をサポートする複数の属性が追加されました (ID-11725)。詳細は、「Oracle ERP Adapter」を参照してください。

Active Sync リソースに設定された Active Sync ログの最大値の設定どおりにログファイルが作成されるようになりました (ID-11848)。

Solaris アダプタと Linux アダプタが最後のログイン情報で年を表示するようになりました (ID-12182)。

Oracle ERP アダプタで Oracle データベースのカーソルを正常に閉じることができるようになりました。以前は、次のようなエラーが発生していました (ID-12222)。

ORA-01000: maximum open cursors exceeded

Domino アダプタで、NSFNoteComputeWithForm() API 呼び出しを使った複数ユーザーの HTTPPassword 同時更新が、「-551」ゲートウェイエラーにならなくなりました (ID-12466)。

フラットファイル Active Sync アダプタで、同期に対する diff アクションを妨げるエラーが発生した場合、Active Sync ログが有効であれば必ず警告メッセージが出力されるようになりました (ID-12484)。

AttrParse オブジェクトの変更が、Identity Manager の再起動なしで有効になるようになりました (ID-12516)。

SAP アダプタと SAP HR アダプタで、ネットワーク障害発生時の SAP 処理の再試行パラメータを提供する、次の 3 つの新しいリソース属性がサポートされました (ID-12579)。

SAP BAPI 再試行回数 - 処理を再試行する回数

SAP 接続再試行回数 - SAP サーバーへの再接続を試行する回数

SAP 接続再試行待ち時間 - SAP サーバーへの再接続を試行する前に待機する時間 (ミリ秒)。

データベーステーブルウィザードで、アクセス権のないテーブルの設定が許可されることはなくなりました (ID-12643)。

NIS で設定した Solaris リソースからのアカウント情報を表示する際、グループメンバーシップ情報が数字のグループ ID ではなくグループ名で表示されるようになりました (ID-12667)。

ログイン試行エラーのために Siteminder ユーザーがロックされている場合でも、Siteminder LDAP アダプタで次の操作を正しく実行できるようになりました (ID-12824)。

有効化

無効化

パスワードの期限設定 (有効化/無効化別)

パスワードの期限設定解除 (有効化/無効化別)

listAllObjects でユーザーを取得するたびに、RACF アダプタが長い文字列を検索することはなくなりました。通常はこれで、多数のユーザーに対するこの機能のパフォーマンスが向上します (ID-12829)。

LDAP グループメンバーシップの変更で、全体の uniqueMember 属性の置換によるグループ全体の書き換えの代わりに、単独の追加と削除が使用されるようになりました (ID-13035)。

Identity Manager で、SecureID ユーザーの削除を試行する前に、存在する管理者特権がクリアされるようになりました (ID-13053)。

VLV ソートが設定可能になりました。LDAP リソースに VLV ソート属性 (vlvSortAttribute) が追加されました。この属性を設定するとその値がソートに使用されますが、設定しないと「uid」値が使用されます (ID-13321)。

SAP リソースで CUA モードを使用すると、パスワードを期限なしで設定できるようになりました (ID-13355)。

AttrParse のパフォーマンスが向上しました。通常の解析で、解析対象バッファーにある 1 文字ごとに例外がスローやキャッチされることはありません (ID-13384)。

VMS 上の調整実行時に発生する問題が修正されました (ID-13425)。

UNIX アダプタの SecurID で、RSA との相互運用時に UTF-8 文字のエンコーディングとデコーディングが実行されるようになりました (ID-13451)。

シェルスクリプトアダプタで、ユーザー作成および更新関数の ResourceAction から生成されるエラーの検出が可能になりました (ID-13465)。

Windows NT リソースアダプタ経由で Windows NT リソースのアカウントを作成する際、「ユーザー作成の結果」ページに次のエラーメッセージが表示されることはなくなりました。「Error requiring password: put_PasswordRequired(): 0X80004005:E_FAIL」(ID-13618)。

Active Directory PasswordNeverExpires 属性が、更新時に設定可能になりました (ID-13710)。

新しいリソース設定パラメータ enableEmptyString がデータベーステーブルアダプタに追加され、テーブルスキーマで not-null として定義されている文字ベースの列に NULL 値の代わりに空文字列を書き込めるようになりました。このオプションは、Oracle ベースのテーブルに文字列を書き込む方法には影響しません (ID-13737)。

Oracle ERP アダプタを使用して Oracle ERP アカウントの責任を更新しても、そのアカウントに関連付けられたほかの責任の更新が発生することがなくなりました (ID-13889)。その結果、変更する責任の Oracle ERP 監査タイムスタンプのみが更新されます。ほかのアカウントの責任の Oracle ERP 監査タイムスタンプは変更されません。

NDS Active Sync アダプタで、ユーザーオブジェクトの lastModifiedTimeStamp に基づく変更のポーリングは行われなくなりました。この属性は、ユーザーのログイン/ログアウトのたびに更新されていました。この問題を解決するため、スキーママップで定義されたユーザーの属性の lastModifiedTimestamp に基づいて最終変更値が計算されるようになりました。属性の lastModifiedTimestamp がアダプタが示す最高値よりも大きい場合、ゲートウェイはこのユーザーを変更済みとしてサーバーに送り返します (ID-13896)。

新規作成した NDS ユーザーが自分のホームディレクトリにアクセスできなくなる問題が修正されました (ID-14208)。

シェルスクリプトアダプタで、名前変更、無効化、および有効化の関数がサポートされました (ID-14472)。

Active Directory のデータ検索タイムアウトが原因で調整が早期終了することはなくなりました (ID-14564)。

閉じられていないゲートウェイへの接続が原因で Active Directory Active Sync アダプタがハングアップする問題が修正されました (ID-14597)。

スクリプト JDBC アダプタで、元の値が null の属性を null 以外の値に設定する更新が正しく行われるようになりました (ID-14655)。

SAP システムに PASSWORD_FORMAL_CHECK 関数モジュールが含まれていないときに、SAP アダプタが JCO_ERROR_FUNCTION_NOT_FOUND 例外をスローしなくなりました (ID-14663)。

Oracle ERP アダプタのスキーママップに person_fullname アカウント属性が追加されました。この属性は、Oracle ERP ユーザーフォームで「Person Name」フィールドの表示に使用されます。このフィールドは読み取り専用で、Oracle ERP アカウントが従業員番号を使って Oracle HR システムにリンクされている場合に、ユーザーのフルネームが表示されます (ID-14675)。

SAP アダプタで、無効化されたアカウントのステータスが正しくレポートされるようになりました (ID-14834)。

LDAP ユーザーが無効になっているかどうかを調べる際に、LDAP アダプタで、nsaccountlock アクティブ化ショートカットが値 presence/absence に基づくロジックを使用できるように設定できます (ID-14925)。詳細は、「アカウントの無効化と有効化」を参照してください。

Oracle ERP アダプタで完全調整中に Oracle ERP リソースにアクセスできなくても、リソースアカウントのリンクが解除されないようになりました (ID-14960)。(リソースは、間違ったリソース接続設定など多くの原因でアクセス不能になり得る。)

レポート

MAX_NAME_LENGTH より長い TaskTemplate 名が生成されてしまうという問題が修正されました (ID-13790)。

PDF レポートで列名が正しく表示されるようになりました (ID-12794)。

リポジトリ

IDM リポジトリの初期化が高速化されました (ID-14937)。

セキュリティー

管理者が SPML またはその他の方法でエンドユーザーのパスワードを変更した場合に、パスワード履歴に追加されないように設定できるようになりました。この修正では、システム設定オプションとビュー (フォーム) オプションの両方がサポートされ、管理者が希望の動作を切り替えられるようになります。ビューオプションは、どのシステム設定値よりも常に優先します。システム設定では、ログインアプリケーションに基づいた切り替えが可能です。管理者がすべてのアプリケーションに影響する動作を望まない場合もあるので、これは柔軟性の高い機能です (ID-13029)。

サーバー

TaskInstance サブオブジェクトが、承認と同様に、タスクの終了時に正しく削除されるようになりました (ID-3258)。

Identity Manager で tmp ディレクトリへのアクセスが必要になりました (ID-7804)。アプリケーションサーバーでセキュリティーポリシーを使用する場合、この変更に伴って次の権限を追加する必要があります。

permission java.io.FilePermission "$(java.io.tmpdir)$(/)*", "read,write,delete";

クラスタ環境のエンドユーザーページでログインが失敗しても、直列化関連の例外が生成されなくなりました (ID-10556)。

サーバーでタスク情報の処理に時間がかかりすぎる場合でも、そのサーバー自体がフェイルオーバーメカニズムをトリガーし、自分のタスクを終了することはなくなりました (ID-10920)。

ユーザー拡張属性がユーザーオブジェクトから正しく削除されるようになりました (ID-11721)。

親組織への管理者アクセスを持たないサブ組織内のユーザーの「すべてのタスク」ページで、「no cache error」の原因となっていた条件が修正されました (ID-12288)。

角括弧の間の区切り文字処理を行わないようになりました。その結果、角括弧間のすべての文字がインデックスまたはフィルタとして処理されます。注: 終了角括弧「]」をエスケープするメカニズムは、現時点ではありません (ID-12384)。

タスクインスタンス終了アクションが、変更アクションではなく終了アクションとして監査されるようになりました (ID-12791)。

ユーザーに直接割り当てられたリソースの削除後でも、ユーザーに対してユーザーアクションを実行できます (ID-14806)。

SOAP

SPML サーバーで、未実装の演算子を使用するフィルタを含むリクエストに対してエラーを返すようになりました (ID-11343)。

ワークフロー

ワークフローの実行時に、無効な checkReference 警告が返されなくなりました (ID-10802)。

notification.redirect を使用してメッセージをファイルにリダイレクトすると、そのメッセージを電子メールで処理した場合と同じように emailNotifier.contentCharset を使用してファイルに出力されるようになりました。これにより、ファイルに ISO-8859-1 以外の文字を含めることができます (ID-10331、14984)。

承認者が、すでに承認または却下された作業項目を承認または却下しようとすると、ワークフローメッセージに詳細な情報が追加されます (ID-11045)。

ロールの管理 TaskDefinition に RoleAdminTask authType が割り当てられ、リソースの管理 TaskDefinition に ResourceAdminTask authType が割り当てられるようになりました (ID-12768)。

解決されたその他の不具合

10235, 10475, 13434, 14044, 14178, 14792, 14874

既知の問題点

デフォルトでは、ユーザーが秘密の質問への回答を入力するときに、入力中の文字列はアスタリスク (*) でマスクされます。この動作の影響で、一部の IME (input method editor) の機能が無効になり、日本語の漢字やひらがななどの文字を入力することができません。

ユーザーが IME を使用して秘密の質問に回答できるようにするには、「デバッグ」ページを使って「Question Login Form」ユーザーフォームの secret プロパティーの値を false に変更します。

注: この値を false に設定すると、秘密の質問の回答が画面上で読めるようになるため、セキュリティーリスクが生じます。回答の暗号化保存には影響ありません (ID-7424)。

Identity Manager 管理者インタフェースに表示される設定オプションの一部は、Identity Manager SPE では使用されません (ID-10843)。該当するものには次のようなオプションがあります。

リソースウィザード設定オプション: アカウント除外規則、承認者、および組織

ロール属性

FireFox 1.5 で正しく表示されない Identity Manager フォームがあります。たとえば、Tabbed User Form 上でブラウザはラベルを折り返さないので、すべてが右寄せで表示されます (ID-13109)。

ユーザーレポートとユーザー質問レポートで「次の条件と一致するユーザーのみをレポート: ユーザー名」チェックボックスが 2 回表示されます。一方のチェックボックスには i-help がありますが、他方にはありません。いずれのチェックボックスを使用しても、正しいデータが返されます (ID-13155)。

SPE のエンドユーザーページにログインすると HTTP Status 500 エラーが発生する場合、SPE 設定で複数の暗号化鍵が指定されている可能性があります。アップグレードプロセス中に Identity Manager で生成される新しい暗号化鍵がこれの原因になることがあります。

回避策は、SPE 設定ディレクトリからそれらの暗号化鍵を削除し、Identity Manager から再エクスポートすることです (ID-13162)。

ユーザーの電子メール属性に一度設定した値は削除できません。値を変更することはできますが、設定を null に戻すことはできません (ID-13164)。

Identity Manager version 6.0 でアクセスレビュー情報電子メールテンプレートを編集すると、Identity Manager のアップグレード前にテンプレートを保存するか、アップグレード後にテンプレートを編集する必要があります (アップグレードプロセスがテンプレートをデフォルト値で上書きするため) (ID-13216)。

「サーバー設定の編集」ページの「電子メールテンプレート」タブのヘルプページが不完全です。このリリースで追加された新しいフィールドについては、ガイダンスヘルプの詳細を参照してください (ID-14899)。

Top 組織を制御しない承認者が、以前に承認/却下された承認を表示できません (ID-15271)。

前へ目次次へ

前へ目次次へ
Sun Java System Identity Installation Pack 2005Q4M3 SP2 リリースノート