Sun Java System Identity Installation Pack 2005Q4M3 SP2 发行说明 |
Identity Installation Pack 2005Q4M3 SP2 功能
在安装或升级 Sun Java System Identity Installation Pack 软件之前,请查看本发行说明中的“安装和更新说明”部分和最新 Identity Manager 2005Q4M3 服务包提供的文档。
本发行版中的新增功能和修复的缺陷本部分包含 Identity Installation Pack 2005Q4M3 SP2 新增功能的摘要和详细信息。有关详细信息,请参见本章的各个部分。
安装和更新
- 增加了 waveset.serverId 系统属性。当部署包含指向单个物理服务器上一个系统信息库的多个 Identity Manager 实例时,可以使用此属性设置唯一的服务器名称。(ID-11578)
- 安装程序现在支持已经重命名、删除或禁用默认配置器帐户的升级安装。安装程序现在提示输入正确的用户名和密码,在升级后处理过程中会将用户名和密码导入 update.xml。如果输入的用户或密码不正确,则系统会提示用户输入正确的密码,最多三次。此错误应显示在其后的文本框中。(ID-13006)
对于手动安装,必须提供 -U <username> -P <password> 标志,以将证书传给 UpgradePostProcess 过程。
- Identity Manager 能够正确安装在不带显卡的计算机上。(ID-14258)
管理员界面
- 在单击“查找用户”屏幕中的“重设查询”时,名称下拉列表和结果限制现在会重设为其初始状态。(ID-8961)
- 当设置 noApplet=true 和 sorted=true 属性时,多选对象现在会对可用的值排序。(ID-12823)
- 帐户 Treetable 检测不到对包含静态列表的配置对象所做的更改。例如,管理员的受控组织由从配置对象中获取静态列表的规则决定。以前,服务器必须重新启动才能检测对配置对象的更改。现在在用户注销当前会话并再次登录后, treetable 就能检测到对配置对象的更改。(ID-14442)
- DatePicker 现在可以使用日期范围集,以便只从日历中挑选某些日期。(ID-10100)
- 修改了“服务器配置”和“修改电子邮件模板”,管理员可以决定是否在 SMTP 服务器上使用 SSL 或验证。(ID-12465)
- continueLogin.jsp 页现在可以正确显示消息。(ID-13193)
- 修复了在无足够权限的用户尝试删除某个组织对象时,无法对此组织对象解除锁定的问题。(ID-14942)
表单
Identity Auditor
- 现在可以将“审计策略”配置为仅扫描受限制的资源集合。(ID-9127)
- 数据库表和 Microsoft Identity Information Server 现在可以使用为这两种资源指定的自定义表单。(ID-10302)
- “用户访问报告”的标题能够正确显示。(ID-11538)
- “访问扫描”任务现在对动态组织有效。(ID-12437)
- 可以将用户视图选项 CallViewValidators
(UserViewConstants.OP_CALL_VIEW_VALIDATORS) 设为字符串“true”或“false”,用于在置备期间分别启用或禁用审计策略检查。(ID-12757)- 升级过程不再覆盖“访问查看通知”电子邮件模板 (ID-13216)
Identity Manager SPE
本地化
日志
- 现在可以在系统日志中记录活动同步事件。(ID-12446)
- 现在可以在审计日志中记录用户验证问题的更改。(ID-13082)
- 现在可以跟踪直接和间接方法子调用。(ID-13436) 在特定输入方法下的某个级别发生已知调试问题时,此功能很有用。要启用此功能,请使用 subcalls 修饰符设置某个范围的跟踪级别,如下例所示:
trace 4,subcalls=2
com.waveset.recon.ReconTask$WorkerThread#reconcileAccount此示例会跟踪级别 4 的 reconcileAccount() 方法和级别 2 的所有子调用。
- 调度程序中发生的错误现在会写入系统日志,而不是保留在 TaskSchedule 对象中。(ID-14261)
协调
报告
资源
新资源
常规
- RACF 适配器现在包含对 listAllObjects 的搜索过滤器支持。(ID-10895)
- LDAP 适配器不再为新帐户创建非法的标识名 (DN)。(ID-10951)
com.sun.idm.util.ldap.DnUtil 中的 escape 方法现在可以用在表单中,以 LDAP DN 格式转义插入到资源适配器身份模板的值。或者,可以将选中“必需的 LDAP DN 格式”选项的 accountId 策略用于验证通过各种输入方式(如用户输入、ActiveSync 和协调)输入 Identity Manager 的 LDAP 标识名。
- Siebel 适配器中的 isPickListAttribute 方法不再被误识别为跟踪系统中的 isMVGAttribute。(ID-11471)
- 对于 SecurId 资源,客户机属性现在被视为可选属性。(ID-11509)
- LDAP 资源上“要同步的 Objectclass”活动同步属性的默认值现在为 inetorgperson。(ID-11644)
- 向 Oracle ERP 适配器添加了多个属性来支持审计功能。(ID-11725) 有关详细信息,请参见Oracle ERP 适配器。
- 现在可以正确遵守在活动同步资源上配置的活动同步日志的最大数。(ID-11848)
- Solaris 和 Linux 适配器现在会返回上次登录信息上的年份。(ID-12182)
- Oracle ERP 适配器可以正确关闭 Oracle 数据库游标。以前,此失败会导致以下错误:(ID-12222)
ORA-01000: maximum open cursors exceeded
- 对于 Domino 适配器,多个用户使用 NSFNoteComputeWithForm() API 调用同时更新 HTTPPassword 不再产生“-551”网关错误。(ID-12466)
- 在防止 diff 操作进行同步发生错误时,Flat File Active Sync 适配器现在会在活动同步日志(如果启用)中提供一条警告消息。(ID-12484)
- 对 AttrParse 对象的修改现在无需重新启动 Identity Manager 即可生效。
(ID-12516)- SAP 和 SAP HR 适配器现在提供三个新的资源属性,这些属性提供网络发生故障时重试 SAP 操作的参数。(ID-12579) 这些属性是:
- “数据库表”向导不再允许您配置无法访问的表。(ID-12643)
- 在查看使用 NIS 配置的 Solaris 资源中的帐户信息时,组成员信息以组名显示,而不是以数字组 ID 显示。(ID-12667)
- 现在即使 Siteminder 用户因尝试登录失败而遭锁定,Siteminder LDAP 适配器也可以正确执行以下操作:(ID-12824)
- RACF 适配器不再为 listAllObjects 中检索到的每个用户搜索一次长字符串,对于大量用户而言,这通常可以提高此功能的性能。(ID-12829)
- 更改 LDAP 组成员关系现在使用单个添加和删除,而不是重写整个组(即替换整个 uniqueMember 属性)。(ID-13035)
- Identity Manager 现在会在尝试删除安全 ID 用户前清除 Admin 权限(如果有)。(ID-13053)
- VLV 排序现在是可配置的。VLV 排序属性 (vlvSortAttribute) 已添加到 LDAP 资源。如果设置了此属性,则此属性值将用于排序;如果没有设置此属性,则使用“uid”值进行排序。(ID-13321)
- 当在 SAP 资源上使用 CUA 模式时,密码可以设置为不过期。(ID-13355)
- 提高了 AttrParse 的性能。正常解析不再对解析缓冲区中的每个字符抛出和捕捉异常。(ID-13384)
- 更正了在 VMS 上执行协调时遇到的问题。(ID-13425)
- 用于 UNIX 适配器的 SecurID 现在可以在与 RSA 进行互操作时执行 UTF-8 字符编码和解码。(ID-13451)
- Shell 脚本适配器现在可以在用户创建和更新功能期间检测 ResourceAction 生成的错误。(ID-13465)
- 当通过 Windows NT 资源适配器在 Windows NT 资源上创建帐户时,不会在“创建”用户结果页中显示以下错误消息:“需要密码: put_PasswordRequired(): 0X80004005:E_FAIL”。(ID-13618)
- 现在可以在更新期间设置 Active Directory PasswordNeverExpires 属性。(ID-13710)
- 已将新资源配置参数 enableEmptyString 添加到数据库表适配器,对于在表结构中定义为非 null 的基于字符的列,将允许写入空字符串,而不允许写入 null 值。此选项不会影响在基于 Oracle 的表中写入字符串的方式。(ID-13737)
- 使用 Oracle ERP 适配器更新 Oracle ERP 帐户的职责不再影响与要更新的帐户相关的其他职责。(ID-13889) 因此,只更新已修改职责的 Oracle ERP 审计时间戳。其他帐户职责的 Oracle ERP 审计时间戳仍保持不变。
- NDS Active Sync 适配器不再根据用户对象的 lastModifiedTimeStamp 轮询更改。只要有一个用户登录/注销,就会更新此属性。为修复此问题,现在会根据模式映射中定义的用户属性的 lastModifiedTimestamp 计算上次修改的值。如果属性的 lastModifiedTimestamp 大于适配器提供的最高使用标记 (highwater mark),则在修改时间戳后,网关会将用户发送回服务器。(ID-13896)
- 更正了导致新创建的 NDS 用户无法访问其主目录的问题。(ID-14208)
- Shell 脚本适配器现在支持重命名、禁用和启用功能。(ID-14472)
- Active Directory 数据检索超时将不再导致提前结束协调。(ID-14564)
- 更正了导致 Active Directory Active Sync 适配器因没有关闭网关连接而挂起的问题。(ID-14597)
- 执行脚本的 JDBC 适配器现在可以正确更新初始值为 null 但设置为非 null 值的属性。(ID-14655)
- 在 SAP 系统不包含 PASSWORD_FORMAL_CHECK 功能模块时,SAP 适配器不再抛出 JCO_ERROR_FUNCTION_NOT_FOUND 异常。(ID-14663)
- 已将 person_fullname 帐户属性添加到 Oracle ERP 适配器的模式映射。在 Oracle ERP 用户表单中,此属性用于显示“姓名”字段。此字段是只读字段,在使用雇员编号将 Oracle ERP 帐户链接到 Oracle HR 系统时将显示用户的全名。(ID-14675)
- SAP 适配器现在可以正确报告已禁用帐户的状态。(ID-14834)
- 在确定是否禁用 LDAP 用户时,LDAP 适配器允许 nsaccountlock 激活快捷方式,以根据值的存在/不存在来使用逻辑。(ID-14925) 有关更多信息,请参见禁用和启用帐户。
- 如果完全协调期间 Oracle ERP Resource 不可访问,Oracle ERP 适配器现在能够防止解除资源帐户的链接。(ID-14960)(资源可能出于多种原因而不可访问,包括不正确的资源连接配置。)
报告
系统信息库
安全
服务器
- 在终止任务时,现在可以正确删除 TaskInstance 子对象,如批准。(ID-3258)
- Identity Manager 现在要求访问 tmp 目录。(ID-7804) 为了满足此要求,如果应用服务器使用安全策略,需要添加以下权限:
permission java.io.FilePermission "$(java.io.tmpdir)$(/)*", "read,write,delete";
- 在群集环境中,登录最终用户页失败不再生成与序列化相关的异常。(ID-10556)
- 如果服务器处理任务信息的时间太长,服务器不再自行触发故障转移机制并终止它自己的任务。(ID-10920)
- “用户扩展属性”现在可以从用户对象中正确删除。(ID-11721)
- 对于子组织中无管理访问权限来访问父组织的用户,更正了在“所有任务”页上导致“无高速缓存错误”的情况。(ID-12288)
- 现在在括号之间禁止分隔处理。因此,括号集之间的所有字符现在被视为索引或过滤器。注: 当前没有转义后括号“]”的机制。(ID-12384)
- 任务实例终止操作现在作为“终止”操作而不是“修改”操作进行审计。(ID-12791)
- 在删除直接分配给用户的资源后,可以对用户执行用户操作。(ID-14806)
SOAP
工作流
- 在运行工作流时,不再返回无效的 checkReference 警告。(ID-10802)
- 如果使用 notification.redirect 将消息重定向到文件,则将使用
emailNotifier.contentCharset 写入此文件,就像写入消息一样(如果已使用电子邮件发送该消息)。这将允许文件包含非 ISO-8859-1 字符。(ID-10331, 14984)- 在批准者尝试批准或拒绝已批准或已拒绝的工作项目时,更多信息将被添加到工作流消息中。(ID-11045)
- 已将 RoleAdminTask authType 分配给管理角色 TaskDefinition,且已将 ResourceAdminTask authType 分配给管理资源 TaskDefinition。(ID-12768)
修复的其他缺陷
10235, 10475, 13434, 14044, 14178, 14792, 14874
已知问题
- 默认情况下,在用户键入验证问题的答案时,会用星号 (*) 屏蔽这些字符。不过,这种方法无法使用某些输入方法编辑器 (IME) 来创建复杂字符,如日语 kanji 中的字符。
为使用户能使用 IME 回答验证问题,请在“问题登录表单”用户表单中使用“调试”页将 secret 属性值更改为 false。
<Property name='secret' value='false'/>
注:将此值设置为 false 有安全风险,因为验证问题的答案现在会以用户可读形式显示在屏幕上。答案仍以加密方式存储。(ID-7424)
- Identity Manager 管理员界面上显示的某些配置选项不能与 Identity Manager SPE 一起使用。(ID-10843)。其中包括:
- FireFox 1.5 无法正确显示某些 Identity Manager 表单。例如,在选项卡式用户表单上,浏览器不会对标签换行,这将使所有内容位于右侧。(ID-13109)
- “只报告以下用户名的用户”复选框在用户和用户问题报告中列出两次。一个复选框具有 i-help,但另一个复选框没有 i-help。单独使用任一复选框都会返回正确的数据。(ID-13155)
- 如果登录到 SPE 最终用户页发生 HTTP Status 500 错误,这可能表示在 SPE 配置中有多个加密密钥。在升级过程中 Identity Manager 生成新加密密钥会导致这一情况。
解决方法是从 SPE 配置目录中删除加密密钥并从 Identity Manager 重新导出。(ID-13162)
- 对用户的电子邮件属性设置某个值后,就无法删除此值。可以更改此值,但无法重新设置为 null。(ID-13164)
- 如果在 Identity Manager 6.0 版中编辑了“访问查看通知”电子邮件模板,则必须在升级 Identity Manager 前保存此模板,或在升级后编辑此模板。(升级过程会用默认值覆盖此模板。)(ID-13216)
- “编辑服务器设置”页的“电子邮件模板”选项卡的帮助页不完整。有关本发行版新增字段的信息,请参阅指导帮助详细信息。(ID-14899)
- 未控制“顶级”组织的批准者无法查看以前的批准/拒绝情况。(ID-15271)