Identity Installation Pack 2005Q4M3 SP2 功能

在安裝或升級 Sun Java™ System Identity Installation Pack 軟體前，請檢閱此版本說明的「安裝與更新注意事項」一節，以及最新的 Identity Manager 2005Q4M3 服務軟體隨附的任何文件。

此發行版本中的新增功能和修正的缺陷

本小節包含 Identity Installation Pack 2005Q4M3 SP2 新增功能的摘要和詳細資訊。請參閱本章的各個小節，以取得詳細資訊。

安裝與更新

增加了 waveset.serverId 系統屬性。若您的部署包括多個指向單一實體伺服器中之某一儲存庫的 Identity Manager 實例，請使用此屬性來設定唯一的伺服器名稱。(ID-11578)

此安裝程式目前支援升級已重新命名、刪除或停用預設 Configurator 帳號的安裝。此安裝程式會在升級後處理期間，提示您輸入可匯入 update.xml 的正確使用者名稱和密碼。若輸入的使用者或密碼不正確，則會最多三次提示使用者輸入正確的密碼。錯誤應顯示於其後面的文字方塊中。(ID-13006)

若為手動安裝，您必須提供 -U <username> -P <password> 旗標，才能將憑證傳送到 UpgradePostProcess 程序。

Identity Manager 在沒有圖形卡的機器上也可以正確地安裝。(ID-14258)

管理員介面

當您在 [尋找使用者] 畫面中按一下 [重設查詢] 時，名稱下拉式清單與結果限制會重設至其初始狀態。(ID-8961)

若設定了 noApplet=true 和 sorted=true 特性，則 MultiSelect 物件會排序可用值。(ID-12823)

對包含靜態清單的配置物件進行變更不會被帳號 Treetable 偵測到。例如，管理員的控制組織是由從配置物件擷取靜態清單的規則所決定的。在過去，伺服器必須重新開機才能偵測到對配置物件的變更。現在，使用者登出其目前的階段作業並再次登入後，treetable 即變更為配置物件。(ID-14442)

DatePicker 現在可設定日期範圍，只允許從行事曆中挑選特定的日期。(ID-10100)

已修改了「伺服器配置範本」和「修改電子郵件範本」，讓管理員決定是否應在 SMTP 伺服器上進行 SSL 或認證。(ID-12465)

continueLogin.jsp 頁面現在可正確顯示訊息。(ID-13193)

若權限不足的使用者嘗試刪除組織物件，則不會解除對該物件的鎖定，此問題已修正。(ID-14942)

表單

在表單中，於 <Expansion> 內使用 <set> 已可正確運作。(ID-9617)

驗證規則訊息會以用戶端的語言環境出現，而非伺服器的語言環境。(ID-12780)

Identity Auditor

現在可將「稽核策略」配置為只掃描限定的資源組。(ID-9127)

「資料庫表格」和 Microsoft Identity Information Server 會使用為這兩個資源指定的自訂表單。(ID-10302)

正確顯示 [使用者存取報告] 的標題。(ID-11538)

現在可在動態組織上運作「存取掃描」作業。(ID-12437)

可將使用者檢視選項 CallViewValidators (UserViewConstants.OP_CALL_VIEW_VALIDATORS) 設定為字串「true」或「false」，以便在佈建期間 (分別) 啟用或停用稽核策略檢查。(ID-12757)

升級程序不會再覆寫「存取檢閱通知」電子郵件範本 (ID-13216)

Identity Manager SPE

服務遭不當關閉時 (例如，由於記憶體不足的錯誤導致應用程式伺服器結束)，Identity Manager SPE 現在可以恢復正在處理的作業事件。(ID-14579)

Identity Manager SPE 作業事件現在支援可配置的使用者更新一致性層級。必須修改現有的作業事件儲存資料庫，才能增加一個附加欄 userId VARCHAR(N)，其中的 N 足以包含 Identity Manager SPE 使用者 DN 預期的最大長度，再加上其他 8 個字元。執行升級程序檔時，不會自動發生此資料庫變更。(ID-13830)

本土化

現在結果頁面會正確顯示做為認證問題的訊息金鑰。(ID-13076)

記錄

Active Sync 事件會記錄在系統記錄檔中。(ID-12446)

變更使用者的認證問題會記錄在稽核記錄中。(ID-13082)

現在可追蹤直接和間接方法子呼叫。(ID-13436) 這在除錯特定輸入方法中某個層級發生的已知問題時非常有用。若要啟用此功能，請以 subcalls 修飾鍵來設定範圍的追蹤層級，如下列範例：

trace 4,subcalls=2
com.waveset.recon.ReconTask$WorkerThread#reconcileAccount

這會追蹤在層級 4 的 reconcileAccount() 方法，以及所有在層級 2 的子呼叫。

發生在排程程式中的錯誤會寫入系統記錄檔，而不會保留在 TaskSchedule 物件中。(ID-14261)

協調

「通知調解完成」作業定義被指定為「調解後工作流程」時會順利完成 (ID-9259)

有大量的 Account 物件存在時 (這些物件是調解和佈建的結果)，調解和佈建效能會急劇降低。

若要解決這個問題，應在儲存庫中 [帳號] 表格的 [名稱] 欄中建立索引。範例目錄中提供的某些程序檔會有所幫助。account_index.sqlserver 是針對 Microsoft SQL Server；而 account_index.sql 是針對所有其他資料庫。(ID-14478)

報告

「資源使用者報告」現在可正確產生 CSV 和 PDF 檔案。(ID12509、13701)

「使用者報告」會在以分號隔開的清單中，針對資源上的所有帳號顯示資源 accountId。(ID-12820) 也會列出透過角色或資源群組間接指定的帳號和資源。若只有一個資源帳號，則只有在其不等於 Identity Manager accountId 時才會顯示資源帳號的 accountId。

資源

新資源

Siebel 7.8

OS/400 v4r5、v5r2、v5r3 及 v5r4 (5.2、5.3 和 5.4)。

一般

RACF 配接卡包括 listAllObjects 的搜尋篩選支援。(ID-10895)

LDAP 配接卡不會再為新帳號建立非法的辨別名稱 (DN)。(ID-10951)

com.sun.idm.util.ldap.DnUtil 中的退出方法現在可用於表單，將退出以 LDAP DN 格式插入資源配接卡的身份識別範本中的值。或者，已核取 [必要的 LDAP DN 格式] 選項的 accountId 策略，可用來驗證透過輸入 (如使用者輸入、ActiveSync 及調解) 進入 Identity Manager 的 LDAP 辨別名稱。

Siebel 配接卡中的 isPickListAttribute 方法不會再被誤認為追蹤系統中的 isMVGAttribute。(ID-11471)

對於 SecurId 資源，用戶端屬性會被視為選擇性屬性。(ID-11509)

LDAP 資源上要同步化的物件類別的 Active Sync 屬性的預設值會預設為 inetorgperson。(ID-11644)

增加到 Oracle ERP 配接卡的多個屬性可支援稽核功能。(ID-11725) 請參閱「Oracle ERP 配接卡」以取得詳細資訊。

現在，可正確執行在 Active Sync 資源上配置的最大 Active Sync 記錄檔數目。(ID-11848)

Solaris 和 Linux 配接卡會在上次登入資訊中傳回年份。(ID-12182)

Oracle ERP 配接卡現在可以正常關閉 Oracle 資料庫游標。以前，關閉失敗會造成下列錯誤：(ID-12222)

ORA-01000:超出所允許的最大開啟游標數

若為 Domino 配接卡，則以 NSFNoteComputeWithForm() API 呼叫同步更新具有多個使用者的 HTTPPassword 不會再導致「-551」閘道錯誤。(ID-12466)

當發生錯誤而無法同步 diff 作業時，「Flat File Active Sync」配接卡會在 Active Sync 記錄檔 (若有啟用的話) 中提供警告訊息。(ID-12484)

不需重新啟動 Identity Manager，對 AttrParse 物件的修改即可生效。(ID-12516)

SAP 和 SAP HR 配接卡提供三個新的資源屬性，可在網路失敗時提供參數以重試 SAP 作業。(ID-12579) 這些屬性如下：

[SAP BAPI 重試計數] - 重試作業的次數

[SAP 連線重試計數] - 嘗試重新連線到 SAP 伺服器的次數

[SAP 連線重試等待時間] - 嘗試重新連線到 SAP 伺服器前的等待毫秒數。

「資料庫表格」精靈不再允許您配置無法存取的表格。(ID-12643)

在以 NIS 配置的 Solaris 資源中檢視帳號資訊時，群組成員資格資訊會顯示群組名稱，而非數字的群組 ID。(ID-12667)

即使 Siteminder 使用者因嘗試登入失敗而遭鎖定，「Siteminder LDAP 配接卡」仍會正確執行下列作業：
(ID-12824)

啟用

停用

使密碼過期 (透過啟用/停用)

使密碼不過期 (透過啟用/停用)

RACF 配接卡不會再針對於 listAllObjects 中擷取的每個使用者搜尋大型字串，這通常可為大量使用者在此功能中產生較佳的效能。(ID-12829)

變更 LDAP 群組成員資格會使用單一的增加和移除，而不會重寫整個群組 (也就是替代整個 uniqueMember 屬性)。(ID-13035)

Identity Manager 會在嘗試刪除 Secure ID 使用者之前，先清除 Admin 權限 (若有的話)。(ID-13053)

「VLV 排序」現為可配置的。已將 VLV 排序屬性 (vlvSortAttribute) 增加到 LDAP 資源。若設定了此屬性，該值會用於排序，但若未設定，則會使用「uid」值。(ID-13321)

在 SAP 資源上使用 CUA 模式時，可將密碼設為不過期。(ID-13355)

已對 AttrParse 進行效能增強。一般剖析不會再針對已剖析的緩衝區中的每個字元丟出和擷取異常。(ID-13384)

已更正在 VMS 上執行調解時遇到的問題。(ID-13425)

UNIX 配接卡的 SecurID 會在與 RSA 互通時，執行 UTF-8 字元編碼和解碼。(ID-13451)

「Shell 程序檔」配接卡可在使用者建立和更新功能期間，偵測由 ResourceAction 產生的錯誤。(ID-13465)

經由 Windows NT 資源配接卡在 Windows NT 資源上建立帳號時，建立使用者結果頁面不會再顯示下列錯誤訊息：「請求密碼時發生錯誤：put_PasswordRequired(): 0X80004005:E_FAIL」。(ID-13618)

可在更新期間設定 Active Directory PasswordNeverExpires 屬性。(ID-13710)

已將新的資源配置參數 enableEmptyString 增加到「資料庫表格」配接卡，以便在表格模式中定義為非空的字元型欄內，寫入空的字串而非 NULL 值。此選項不會影響為 Oracle 型表格寫入字串的方式。(ID-13737)

使用 Oracle ERP 配接卡來更新 Oracle ERP 帳號的責任，不會再導致更新與該帳號相關的其他責任。(ID-13889) 因此，只會更新已修改責任的 Oracle ERP 稽核時間戳記。其他帳號責任的 Oracle ERP 稽核時間戳記則維持不變。

NDS Active Sync 配接卡不會再依據使用者物件的 lastModifiedTimeStamp 輪詢變更。每當使用者登入/登出時，即會更新此屬性。為了修補這個問題，上一次修改的值會根據在模式對映中定義之使用者屬性的 lastModifiedTimestamp 來進行計算。若屬性的 lastModifiedTimestamp 大於配接卡提供的高浮水印，則閘道會將此使用者以已修改狀態傳回伺服器。(ID-13896)

已更正會導致新建的 NDS 使用者無法存取其主目錄的問題。(ID-14208)

「Shell 程序檔」配接卡可支援重新命名、停用及啟用功能。(ID-14472)

Active Directory 資料擷取逾時不會再導致調解過早結束。(ID-14564)

已更正由於至閘道的連線未關閉而導致 Active Directory Active Sync 配接卡當機的問題。(ID-14597)

「執行程序檔的 JDBC」配接卡可正確更新其原始值為空但被設為非空值的屬性。(ID-14655)

若 SAP 系統不包含 PASSWORD_FORMAL_CHECK 功能模組，SAP 配接卡將不會再丟出 JCO_ERROR_FUNCTION_NOT_FOUND 異常。(ID-14663)

已將 person_fullname 帳號屬性增加到 Oracle ERP 配接卡的模式對映。在 Oracle ERP 使用者表單中，此屬性會用來顯示 [人員名稱] 欄位。此欄位為唯讀的，而且如果使用員工編號將 Oracle ERP 帳號連結到 Oracle HR 系統，則會顯示使用者的全名。(ID-14675)

SAP 配接卡會正確報告已停用帳號的狀態。(ID-14834)

LDAP 配接卡允許 nsaccountlock 啟動捷徑在確定是否已停用 LDAP 使用者時，根據值存在/缺少來使用邏輯。(ID-14925) 如需詳細資訊，請參閱「停用與啟用帳號」

若在完整調解期間無法存取「Oracle ERP 資源」，則 Oracle ERP 配接卡會防止取消連結資源帳號。(ID-14960) (有多種原因可導致無法存取資源，其中包括資源連線配置不正確。)

報告

已更正產生過長 (大於 MAX_NAME_LENGTH) 的 TaskTemplate 名稱的問題。(ID-13790)

PDF 報告會正確顯示欄名。(ID-12794)

儲存庫

IDM 儲存庫加快了初始化速度。(ID-14937)

安全性

管理員透過 SPML 或其他方式對一般使用者密碼所作的變更，將不會增加到密碼歷程記錄。此修正會增加 [系統配置] 選項和 [檢視] (表單) 選項，允許管理員切換想要的運作方式。[檢視] 選項始終會置換任何系統配置設定。在 [系統配置] 中，管理員可根據登入應用程式來切換。因為管理員可能不想要會影響所有應用程式的運作方式，所以這可提供相當大的彈性。(ID-13029)

伺服器

終止作業時會正確刪除 TaskInstance 子物件 (如核准)。(ID-3258)

Identity Manager 現在要求對 tmp 目錄的存取權。(ID-7804) 為了滿足此要求，如果您的 Application Server 使用安全策略，您需要增加以下權限：

permission java.io.FilePermission "$(java.io.tmpdir)$(/)*", "read,write,delete";

在叢集環境中，登入一般使用者頁面失敗不會再產生序列化相關的異常。(ID-10556)

若伺服器花費太久的時間處理作業資訊，它將不會再觸發容錯移轉機制並終止自己的作業。(ID-10920)

可從使用者物件中正確刪除 [使用者延伸屬性]。(ID-11721)

已針對在沒有父系組織之管理員存取權的子組織中的使用者，更正了 [全部作業] 頁面上導致 [沒有快取記憶體錯誤] 的條件。(ID-12288)

兩個括號之間的分割元處理受到抑制。因此，所有在括號集內找到的字元都會被視為索引或篩選器。備註：目前沒有機制可退出右括號「]」。(ID-12384)

現在作業實例終止動作被稽核為「終止」動作，而非「修改」。(ID-12791)

刪除直接指定至使用者的資源後，可對使用者執行使用者動作。(ID-14806)

SOAP

若請求中包含的篩選器使用了尚未實作的運算子，SPML 伺服器會傳回錯誤。(ID-11343)

工作流程

執行工作流程時，不會再傳回「無效的 checkReference」警告。(ID-10802)

若使用 notification.redirect 將訊息重新導向至檔案，則在透過電子郵件傳送時會如訊息般利用 emailNotifier.contentCharset 來撰寫檔案。這可讓檔案包含非 ISO-8859-1 的字元。(ID-10331、14984)

當核准人嘗試核准或拒絕已獲准或遭拒的工作項目時，會將更多資訊增加到工作流程訊息。(ID-11045)

已將 RoleAdminTask authType 指定到「管理角色 TaskDefinition」，並將 ResourceAdminTask authType 指定到「管理資源 TaskDefinition」。(ID-12768)

其他已修正的缺陷

10235、10475、13434、14044、14178、14792、14874

已知問題

依照預設，當使用者鍵入答案到認證問題時，字元會以星號 (*) 顯示。然而，這會停用某些輸入法編輯器 (IME) 建立複雜字元的功能，如日文漢字中使用的字元。

若要讓使用者可使用 IME 回答認證問題，請使用 [除錯] 頁面將「問題登入表單 UserForm」中的 secret 屬性值變更為 false。

備註： 將此值設為 false 會有安全性風險，因為認證問題的答案在螢幕上變為使用者可閱讀的。答案則仍會以加密方式儲存。(ID-7424)

顯示在 Identity Manager 管理員介面中的某些配置選項無法與 Identity Manager SPE 配合使用。(ID-10843)。這些配置選項為︰

資源精靈配置選項︰排除帳號規則、核准人及組織

角色屬性

FireFox 1.5 不會正確顯示某些 Identity Manager 表單。例如，瀏覽器在 [標籤式使用者] 表單中不會使標籤換行，這會將所有內容推向右方。(ID-13109)

在 [使用者] 和 [使用者問題] 報告中，會列出兩次 [僅報告具下列使用者名稱的使用者] 核取方塊。一個核取方塊有 [i] 按鈕，但是另一個核取方塊並沒有。分別使用任一個核取方塊都會傳回正確的資料。(ID-13155)

若登入 SPE 一般使用者頁面會發生「HTTP Status 500」錯誤，這表示 SPE 配置中有多個加密金鑰。這可能是在升級程序期間，Identity Manager 中所產生的新加密金鑰導致的。

解決方法是從 SPE 配置目錄中刪除加密金鑰，然後從 Identity Manager 中重新匯出。(ID-13162)

一旦設定使用者的電子郵件屬性值，就無法加以移除。可變更該值，但無法設定回空值。(ID-13164)

若您已在 Identity Manager 6.0 版本中編輯了「存取檢閱通知」電子郵件範本，則必須在升級 Identity Manager 之前儲存該範本，或在升級後編輯該範本。(升級程序會以預設值來覆寫範本。) (ID-13216)

[編輯伺服器設定] 頁面之 [電子郵件範本] 標籤的說明頁面不完整。請參閱「指導」說明，以取得有關此發行版本新增欄位的詳細資訊。(ID-14899)

不控制「頂層」組織的核准人無法檢視先前已獲准或已遭拒的核准。(ID-15271)

上一頁目錄下一頁
Sun Java System Identity Installation Pack 2005Q4M3 SP2 版本說明