![]() | |
Sun Java System Identity Installation Pack 2005Q4M3 SP2 版本說明 |
先前的功能和錯誤修正
先前的功能本小節包含為 Identity Installation Pack 2005Q4M3 先前服務軟體增加之功能的摘要和詳細資訊。
安裝與更新
管理員與使用者介面
- [配置] > [伺服器] > [編輯伺服器設定]/[編輯預設伺服器設定] 面板會包括 [電子郵件範本] 標籤。此標籤包括預設/每個伺服器 SMTP 主機變數,所有具備 $(smtpHost) 變數的電子郵件範本都會用做其預設值。若 SMTP 主機欄位為空白,此標籤也會使用伺服器配置變數。(ID-3574)
- Identity Manager 管理員介面中的 [變更使用者密碼] 和 [重設使用者密碼] 頁會包含可搜尋類型的功能表選項。這些下拉式選項包括 [開頭為]、[包含] 及 [是] 做為運算元,以搜尋密碼需要變更或重設的使用者。(ID-8965)
- [除錯] 頁面會提供 [匯出預設值] 和 [全部匯出] 選項。除了 [除錯] 頁面選項不支援選擇匯出的檔案名稱之外,這些選項的作業方式與主控台選項類似。相反地,Identity Manager 會建立名為 export<date>.xml 的檔案,讓您可從 [除錯] 頁面進行儲存。(ID-9270)
- 支援匯入包含「副本」地址的電子郵件範本。(ID-9768)
- [身份識別屬性] 頁面會顯示 [密碼] 區段,說明與「身份識別」屬性相關之密碼產生的狀態。您可根據預設值、規則,或藉由指定產生密碼的「Identity 系統帳號策略」,配置 Identity Manager 以將密碼指定給新的使用者。(ID-10274、12560)
- 已修改與策略編輯相關的錯誤訊息。(ID-12187)
- Identity Manager 包括預設的「管理員」屬性,為建好的「管理員-員工」關係提供支援。此資訊會儲存在 Identity Manager 使用者物件。如需詳細資訊,請參閱此版本說明的「文件增訂與更正」一節。(ID-12416)
- 您可根據最近對資源的變更 (編輯或建立作業),來配置「身份識別屬性」。(ID-12678) 若資源在上次將「身份識別屬性」儲存在 Identity Manager 管理員介面之後有變更,則 [身份識別屬性] 頁面會顯示此訊息: 「自從上次儲存身份識別屬性以來,已修改一個或多個資源。如果這些變更影響身份識別屬性,則應透過 [根據資源變更配置身份識別屬性] 頁面加以修改。」Identity Manager 會提供至 [根據資源變更配置身份識別屬性] 頁面的連結,以便從修改的資源模式對映中,選取應做為「身份識別屬性」的來源或目標的屬性。
在 [資源精靈] 或 [帳號屬性] 頁面中儲存資源後,Identity Manager 會顯示一個頁面,詢問您是否要根據最近的資源變更來配置「身份識別屬性」。選取 [是],即可前進到 [根據資源變更配置身份識別屬性] 頁面。選取 [否],則會返回資源清單。
若要停用此頁面,請選取 [不要再詢問我]。這會藉由將登入使用者的 idm_showMetaViewFromResourceChangesPage 特性設為 false 來停用此頁面。
閘道
HTML 顯示元件
- DatePicker 顯示類別具有新的 strict 特性。若設定的話,此特性會導致手動輸入的日期需進行驗證。(ID-11037)
- 您可藉由在 [一般使用者功能表] 表單上增加 doNotRegenerateEndUserMenu 特性,來停用強制重新產生「一般使用者功能表」。(ID-11327)
- 在描繪到 HTML 時,SortingTable 元件會讓組成表格之子元件的 align、valign 及 width 特性優先。InlineAlert 元件也可用來在表單中顯示錯誤、警告、成功及資訊訊息。(ID-12560)
- treetable 元件現在支援可調整欄。您可透過 CSS 在使用者清單和資源清單表格中,將欄設為固定像素或百分比值。您也可使用滑鼠按一下並拖曳欄標頭的右方邊框,來重新調整欄。(ID-11474)
備註
在 Firefox/Mozilla 和其他 Gecko 型的瀏覽器中,重新調整欄可能會選取瀏覽器文字。這在 Internet Explorer 或 Safari 中並不會發生,因為可以抑制 onselectstart DHTML 運作。
Identity Manager SPE
Identity Manager SPE 2005Q4M3 SP1 增加了下列新功能。如需有關這些功能的詳細資訊,請參閱「Identity Manager Service Provider Edition Administration Addendum」和「Identity Manager SPE Deployment」。
增強的一般使用者頁面
現在提供增強的一般使用者頁面。範例頁面包括下列功能:
可針對您的部署自訂頁面。可自訂下列項目:
密碼和帳號 ID 策略
現在有 Identity Manager SPE 和資源帳號的帳號 ID 和密碼策略。這些策略會以與 Identity Manager 相同的策略基礎架構來實作。(ID-12556)
Active Sync 和 Identity Manager SPE Sync 同時存在
您可在相同的 Identity Manager 伺服器上執行 Active Sync 和 SPE 同步化。請勿在相同的資源上同時執行。(ID-12178)
隔開 LDAP 使用者和配置目錄
使用者和配置資訊現在可以儲存在獨立的 LDAP 實例中。這些實例是在初始配置期間選取的。(ID-12548)
Access Manager 整合
您可在 Identity Manager SPE 一般使用者頁面上使用 Sun Java System Access Manager 7 2005Q4 進行認證。Access Manager 可確保只有經認證的使用者才能存取一般使用者頁面。
報告
- Identity Manager 會在建立和修改「權能」時建立稽核事件。(ID-9734)
- 依照預設,下列報告會自動將範圍設定為由登入管理員控制的組織集,除非透過選取一或多個執行報告所倚賴的組織而明確地加以置換。(ID-12116)
- Identity Manager 會提供在 [選取您希望為每位使用者顯示的 Identity Manager 屬性] 欄位中命名的新 [角色] 選項。為新的和現有的報告選取此選項後,結果會在報告中顯示以逗號分隔的角色清單。(ID-9777)
- 您可指定在 .csv 和 .pdf 報告中各自欄上要顯示的屬性清單。若您不指定清單,所有屬性都會顯示在名為 [可稽核屬性] 的單一欄中。(ID-10468)
- 有兩個新的報告支援引入對「管理員-員工」關係的內建支援:「我的直接報告摘要」、「我的直接員工摘要」、「我的直接和間接員工摘要」及「我的個別直接報告」。(ID-12416、ID-12689)
- 「使用者報告」包含搜尋屬性,可根據使用者的管理員加速執行報告。(ID-12689)
儲存庫
資源
新資源
從 Identity Manager 2005Q4M3 開始,已增加下列資源的支援:如需詳細資訊,請參閱 「Identity Manager Resources Reference Addendum」。
一般
- Identity Manager 支援儲存二進位帳號屬性。下列配接卡支援此功能: (ID-8851、12665)
- Active Directory
- LDAP
- Flat File Active Sync
- 資料庫表格
- 執行程序檔的 JDBC
- Sun Java System Communications Services
Active Directory 支援 thumbnailPhoto (Windows 2000 Server 與更新版本) 和 jpegPhoto (Windows 2003) 二進位屬性。其他配接卡支援的屬性為 jpegPhoto、audio 和 userCertificate。
若您嘗試將二進位或複雜屬性傳送到不支援二進位屬性的資源,Identity Manager 會丟出異常。
二進位屬性應盡可能小。若您載入太大的二進位屬性 (例如,200 KB),則可能會遇到錯誤訊息,說明您已超過允許的資料封包大小上限。若您要管理較大的屬性,請連絡客戶支援部門以取得指導。
- 代理程式資源介面提供選擇性的資源屬性,可在暫停作業期間保留連線: RA_HANGTIMEOUT。此屬性會指定在閘道請求逾時且被認為當機前的逾時值 (以秒數為單位)。其預設值為 0,表示不會對當機連線進行檢查。(ID- 12455)
Active Sync
Domino
LDAP
- Identity Manager 會提供更靈活的可擴充機制,以編輯大型清單值的資源物件屬性。sample/forms/LDAPgroupScalable.xml 提供了使用此方法來管理 LDAP 群組的範例表單。(ID-9882)
- LDAP 資源介面現在會直接使用 JSSE 提供者。(ID-9958) Identity Manager 支援的 Java 最低版本為 1.3,若為 Domino、LDAP 及 NDS SecretStore 資源介面,可使用第三方安全性提供者進行 SSL 通訊。您可利用標準的 java.security 檔案,來註冊第三方安全性提供者程式庫。
如需詳細資訊,請參閱 http://java.sun.com/j2se/1.4.2/docs/guide/security/CryptoSpec.html#ProviderInstalling
- 您現在可編輯名稱包含斜線的 LDAP 群組。(ID-9872)
已將 ldapJndiConnectionFactory.alwaysUseNames 配置屬性增加到 Waveset.properties 檔案。
依照預設,會啟用此特性。啟用時,會利用環境的 NameParser 將所有「字串」名稱剖析為「名稱」。這有助於避免 JNDI 退出問題。只有在將 ldapJndiConnectionFactory.wrapUnpooledConnections 選項設為 true 時,此選項才有意義。
依賴預設值 (true) 或明確地將此值設為 true,都需要 1.4 或更高版本的 JVM。在較低版本的 JVM 中,由於 JNDI 發生問題,啟用此選項時某些重新命名作業會失敗。
UNIX
其他配接卡
- 您可在 Siebel 中建立和更新需要父/子商務元件瀏覽的物件。請參閱此版本說明中的「文件增訂與校正」,以取得更多資訊。(ID-11427)
- 您可配置 SAP HR 配接卡,以處理任何訊息類型的 IDOC。之前,只能處理 HRMD_A 類型的 IDOC。(ID-12120)
- SAP HR Active Sync 配接卡現在支援 mySAP ERP ECC 5.0 (SAP 5.0)。(ID-12408)
- 若您要配置 Identity Manager 以佈建至 RSA Clear Trust 5.5.2 資源,利用先前的 Clear Trust 版本時,SSL 通訊不需要其他程式庫。(ID-12499)
- 在 Oracle ERP 配接卡的表單中,com.waveset.ui.FormUtil 類別中的 listResourceObjects 方法會傳回使用者特定的責任,並可進行篩選以傳回所有責任或只傳回使用中的責任。(ID-12629)
傳遞的選項為:
- Identity Manager 的 Oracle ERP 配接卡會提供 sysdate 或 SYSDATE 關鍵字。將此關鍵字與 to_date 同時使用,以 Oracle E-Business Suite (EBS) 伺服器的本機時間來指定責任的過期日期。(ID-12709)
- Identity Manager 的 Oracle ERP 配接卡會提供新的 employee_number 帳號屬性。此屬性代表 per_people_f 表格中的 employee_number。如需詳細資訊,請參閱此版本說明的「文件增訂與更正」一節。(ID-12710)。
角色
安全性
- 具有核准人權能的使用者會在一段指定的時間,把將來的核准請求委託給一或多個本身並非 Identity Manager 核准人的使用者。使用者可在三個介面中進行委託:(ID-8485)
- 密碼可正確產生,而未正確產生密碼時會按預期失敗。(ID-12275)
- Identity Manager 會提供一般使用者 EndUserLibrary 授權類型 (authType)。EndUser 權能 (AdminGroup) 對於 authType 為 EndUserLibrary 的程式庫,具有「列出」和「檢視」存取權。(ID-12469)
若要給予使用者對於程式庫內容的存取權,設定 authType='EndUserLibrary',並確定程式庫的 MemberObjectGroup 為 [全部]。
- Identity Manager 使用者具有同步運作的登入階段作業。然而,您可藉由變更在「系統配置」物件中的 security.authn.singleLoginSessionPerApp 配置屬性值,將同步運作的階段作業限制為每個登入應用程式一個。此屬性是物件,針對每個登入應用程式名稱 (如管理員介面、使用者介面或 BPE) 皆包含一個屬性。將此屬性的值變更為 true,強制使每個使用者只有單一的登入階段作業。(ID-12778)
若強制執行的話,使用者可登入多個階段作業。然而,只有上次登入的階段作業可保持使用中和有效狀態。若使用者在無效的階段作業中執行動作,則會自動被強制退出階段作業並終止該階段作業。
伺服器
SOAP
檢視
工作流程
先前發行版本中修正的缺陷本小節將詳細說明自 Identity Installation Pack 2005Q4M3 後修正的缺陷。
管理員介面
- 當您為 [使用者 Applet] 功能表配置新的 [使用者動作] 時,會正確顯示文字金鑰。(ID-8400)
- Identity Manager 會正確處理說明顯示,當顯示包含特殊字元時會觸發錯誤。(ID-8747)
- 將登入應用程式的 singleLoginSessionPerApp 屬性設為 true 時,Identity Manager 的行為如下: 使用者可多次登入相同的應用程式。然而,只有使用者上次登入的階段作業為使用中且有效的階段作業。如果使用者在其他登入階段作業期間,做為相同的 Identity Manager 使用者嘗試執行作業,則會自動被強制退出並終止該階段作業。(ID-9543)
- 直接將使用者指定給組織,並且 UserMemberRule 也將此使用者指定給相同的組織時,則將不再在清單中複製此使用者。(ID-10410)
- 階段作業逾時登入頁面現在可以本土化,而且會以使用者語言環境所指定的語言顯示。(ID-10571)
- 範例 LDAP Password Sync 表單 (sample/forms/LDAPPasswordActiveSyncForm.xml) 現在會設定 waveset.password 欄位,而非 password.password 和 password.confirmpassword。(ID-11660)
- 當搜尋結果包括的使用者名稱內含單引號,且該名稱會用於隨後指令的連結中時,Identity Manager 管理員介面不會再產生錯誤。(ID-11123)
- 「多重選取」元件會正確顯示單一字串。(ID-11979)
- 當您嘗試編輯不支援更新的資源物件類型時,Identity Manager 會顯示正確的錯誤訊息。(ID-12242)
- 使用樹狀表格列出資源時,其名稱包含底線字元的節點會正確展開。(ID-12478)
- 從 ActiveSync 配置子功能表中選取非精靈選項時,線上說明會顯示正確的說明頁面。(ID-12597)
- 您可在使用法語語言環境時,成功刪除使用者。(ID-12642)
- Identity Manager 管理員的名稱包含在括弧內時,樹狀表格、[帳號] 頁面和 [尋找結果] 頁面會顯示未解析的「管理員」屬性。每次更新使用者時,Identity Manager 都會嘗試解析此未解析的「管理員」屬性。若解析了屬性,Identity Manager 會去除括弧,並在新值上執行限制檢查。(ID-12726)
- 匿名使用者登入用的收件匣連結會指向新的一般使用者工作項目清單表格。(ID-12816)
- 您現在可設定 TabPanel 元件按鈕的位置。(ID-12797)
- Identity Manager 可將具有預設 mail.example.com 的電子郵件範本轉換為新的伺服器配置變數功能。(ID-12720)
- 當 Identity Manager 使用者介面不包括 LH 登入模組,並將使用者指定為 AdminRole 時,會有條件地顯示密碼欄位。(ID-12692)
業務程序編輯器
表單
- Identity Manager 會提供新的範例 LDAP 建立和更新群組表單以允許非唯一成員名稱。(ID-8831)
- 「多重選取」元件現在會正確處理具有相同標籤 (顯示名稱) 的項目。(ID-10964)
- 「文字」元件的預設最大長度現在不受限制 (從 256 個字元變更) (ID-11995)。
- [NTForm 群組] 和 [NDSUserForm 群組] 欄位會正確實作 ListObjects 規則。(ID-12301)
- 主機配接卡資源精靈會更有效地管理 affinityAdmin 欄位,以防止重複和空值項目。(ID-12024)
- 當網路成員資格保持相同時,[LDAP 更新群組] 表單不會再忽略編輯。(ID-12162)
Identity Auditor
Identity Manager SPE
- 建立資源帳號時,若關閉該資源,Identity Manager SPE 會記住資源屬性值。下次在 Identity Manager SPE 中編輯該使用者時,會在資源 (若有的話) 上建立帳號。(ID-11168)
- 您可藉由在 [服務提供者] > [編輯主配置] 頁面上取消選取 [啟用追蹤事件收集],在 SPE 中停用 [追蹤的事件]。您也可針對每個 [時間範圍],從相同的頁面選擇性地停用「收集追蹤事件」資料。就像使用此頁面上的所有設定一樣,修改後的配置物件必須先匯出至 SPE 主目錄才能生效。(ID-12033)
- SPE IDMXContext deleteObjects 方法會正確地從目錄存放區中刪除物件。(ID-11251)
- Service Provider Edition 稽核子系統不會再於容器關閉時丟出空指標異常。(ID-12845)
- 以前,若表單與檢視指定特性相關而非與包括或目標相關,且傳送到檢視處理器方法 (create/checkin/checkout/refresh) 的選項對映為空值,IDMXUserViewer 會丟出空指標異常。(ID-12861)
登入
報告
- 「Windows 2000 Active Directory 非使用中帳號掃描」(位於 [風險分析] 頂端功能表列下方的作業) 會順利完成。(ID-11148)
- 您可與多位使用者一起使用 [資源使用者報告]。(ID-11420)
- 受委託的管理員執行「使用者報告」時,會包括由於 UserMembersRule 而成為組織成員的使用者。(ID-11871)
- 依照預設,下列報告會自動將範圍設定為由登入管理員控制的組織集,除非透過選取一或多個執行報告所倚賴的組織而明確地加以置換。為了支援這項功能,已將組織範圍元件從單一的 [選取] 元件變更為「多重選取」元件。(ID-12116)
- Identity Manager 現在可正確稽核 LDAP 群組成員資格的修改。(現在會包括舊值和新值。) (ID-12163)
儲存庫
- Identity Manager 儲存庫現在可執行對 BLOB 欄的 Oracle 專用處理。Oracle 的範例程序檔現在將 xml 欄定義為資料類型 BLOB (而非 LONG VARCHAR)。若為新的安裝,則會在所有表格中建立 BLOB xml 欄。在升級期間,只有新的表格會具備 BLOB xml 欄,但是可在升級程序檔中進行變更,將剩餘的表格轉換為 BLOB (若為大型的部署,此升級程序會花費數小時)。您應升級到最新的 Oracle JDBC 驅動程式,以使得 BLOB 達到最佳效能。(ID-11999)
- 已變更 Identity Manager 儲存庫,以避免 Microsoft SQL Server 2000 特定的死結。該儲存庫在為某 [類型] 選取其上次修改值時,會使用 LAST_MOD_ITEM 的 ID (而非名稱)。(ID-12297)
資源
閘道
一般
目錄
- 若指定的加密類型無效,Active Directory 資源配接卡會丟出異常。有效值為沒有 (空)、「無」、「Kerberos」及「SSL」。(ID-9011)
- Identity Manager 現在可池儲存 LDAP 連線。(ID-10219)
- 若將 msExchHideFromAddressLists 設為 true,管理啟用郵件之 Active Directory (Exchange) 使用者的「不在辦公室」屬性將不會再失敗。此外,已更新範例 Active Directory 使用者表單,以防止啟用 msExchHideFromAddressLists 時,Identity Manager 顯示「不在辦公室」屬性。(ID-12231)
- LDAP Changelog Active Sync 處理過程現在會處理沒有值的 MODIFY changetype。(ID-12298)
主機
Oracle 和 Oracle ERP
- 在使用 Oracle 資源介面的階段作業期間,即使發生異常,所有 Oracle 游標都是關閉的。(ID-10357)
- 若是使用精簡型驅動程式將 Oracle 和 Oracle ERP 資源介面連線到 Oracle RAC 環境,請使用下列格式:(ID-10875)
jdbc:oracle:thin:@(DESCRIPTION=(LOAD_BALANCE=on)(ADDRESS=(PROTOCOL=TCP)(HOST=host01)(PORT=1521))(ADDRESS=(PROTOCOL=TCP)(HOST=host02)(PORT=1521))(ADDRESS=(PROTOCOL=TCP)(HOST=host03)(PORT=1521))(CONNECT_DATA=(SERVICE_NAME=PROD)))
- Oracle ERP 可將資源屬性 activeAccountsOnly 設為 TRUE,以選擇性地限制由帳號迭代器和 listObjects 介面傳回的帳號。預設值為 FALSE。設為 FALSE 時,會傳回資源上的所有帳號。若為 TRUE,則僅傳回其 START_DATE 和 END_DATE 跨越 SYSDATE (現在) 的帳號。(ID-12303)
- 已更新 Oracle ERP 配接卡以更一致地關閉 PreparedStatements,進而減少開啟游標的數目。(ID-12564)
SAP
UNIX
- UNIX 配接卡會提供基本的 sudo 初始化和重設功能。然而,若已經定義資源動作,且在需要 sudo 授權的程序檔中包含指令,則您必須一併指定 sudo 指令和 UNIX 指令。(例如,您必須指定 sudo useradd 而不僅僅是 useradd。) 必須在本機資源上註冊需要 sudo 的指令。使用 visudo 來註冊指令。(ID-10206)
- Red Hat Linux 和 SuSE Linux 配接卡可在批次列出程序 (如從資源載入並匯出到檔案) 期間,寫入主要群組、次要群組及上次登入的欄位。(ID-11627)
若模式對映表示要追蹤上次登入的欄位,則會大大地降低批次列出程序的速度,因為配接卡必須針對每個使用者分別請求上次登入資訊。
- 您可將 Solaris、HP-UX 及 Linux 配接卡上的「time_last_login resource」屬性對映到屬性名稱,而非預設值 (上次登入時間)。(ID-11692)
其他
- 若您有使用 LH_AUDIT_RANGE_COMP_INTF 元件介面的 PeopleSoft Component Active Sync 資源,且想要繼續使用 LH_AUDIT_RANGE_COMP_INTF 元件介面,則必須變更資源。(ID-11226)
請確認您的資源的 auditLegacyGetUpdateRows 資源屬性已設為 true。
<ResourceAttribute name='auditLegacyGetUpdateRows'
value='true'
displayName='Use Legacy Get Update Rows'
type='boolean'
multi='false'
facets='activesync' >
</ResourceAttribute>
- 您現在可從 Identity Manager 資源 applet 中刪除 Sun Access Manager Organization 物件。(Identity Manager 隨後不進行確認即會刪除所有子物件。) (ID-11516)
- 管理 SecurId 使用者時,對每個使用者 Identity Manager 會支援三個記號。(ID-11723)
- 若為「資料庫表格」配接卡,反覆運算和輪詢期間資料庫連線會儘快關閉,以防止不必要地保持未使用的連線。(ID-11986)
- 在 Websphere 6.0 中「JMS 偵聽程式」配接卡不會再失敗。從非同步變更至同步訊息處理允許 JMS 偵聽程式在 J2EE 伺服器上運作,該伺服器禁止在 Web 應用程式內進行非同步 JMS 訊息處理。應為 [JMS 偵聽程式] 資源定義輪詢頻率。(ID-12654)
協調
儲存庫
角色
安全性
- 您可將 Waveset.properties 檔案中的 ui.web.disableStackTraceComments 特性設為 true,從而不顯示隱藏在 HTML 註釋中的除錯詳細資訊。若您要從 Identity Manager 的舊版本進行升級,必須將此特性增加到 config/Waveset.properties。若該特性並未出現在特性檔案中,則可予以忽略 (等同將該特性設為 false)。(ID-10499)
- 匿名使用者不需設定「系統配置」物件中停用的 endUserAccess 屬性,即可存取不同的物件類型 (如規則)。(ID-11248)
- 若要配置此發行版本以佈建 Clear Trust 5.5.2 資源,必須從 Clear Trust 5.5.2 安裝 CD 中安裝 ct_admin_api.jar。您不需要附加的 SSL 通訊程式庫。(ID-12449)
- 在 AdminRole 建立期間,Identity Manager 會正確包含和排除所有物件類型。(ID-12491)
- 具有下列權能的管理員可存取 [列出資源] 頁面:(ID-12647)
伺服器
SOAP
您可以透過 debug/callTimer.jsp 工具來監視 SPML 1.0 呼叫。最外面的呼叫 (com.waveset.rpc.SpmlHandler 的 doRequest() 方法) 對於決定 SOAP/SPML 效能很有用。為了監視方便,還可定時執行個別的 SPML 方法 ( 例如 addRequest)。(ID-8463)
文件
已更新下列書籍,因為這些書籍已大幅更新或包含大量的新資訊。
另請參閱此版本說明中的「文件增訂與校正」,以取得 2005Q4M3 文件集的更新。
其他已修正的缺陷
6496、8586、8739、8958、8960、9936、10483、10832、11232、12135、12234、12464、12483、12611、11642、11767、11979、12203、12274、12368、12377、12510、12614、12673、12967、13054