Sun Java System Identity Installation Pack 2005Q4M3 SP4 发行说明 |
先前的功能和错误修复
先前的功能本节介绍了在先前的 Identity Installation Pack 2005Q4M3 服务包中添加的功能。
安装和更新
- 如果将 SQL Server 2000 SP4 用作系统信息库,并且使用 Microsoft 的 JDBC 驱动程序,则必须使用 SQL Server 2000 Driver for JDBC SP3 驱动程序。(ID-9917)
- 增加了 waveset.serverId 系统属性。当部署包含多个 Identity Manager 实例,并且这些实例指向单个物理服务器上的同一个系统信息库时,可以使用此属性设置唯一的服务器名称。(ID-11578)
- Identity Manager 现在支持将 Oracle Database 10g Release2® 作为系统信息库。(ID-12908)
- 安装程序现在支持已经重命名、删除或禁用默认 Configurator 帐户的升级安装。安装程序现在提示输入正确的用户名和密码,用于在升级后处理过程中导入 update.xml。如果输入的用户或密码不正确,则系统会提示用户输入正确的密码,最多三次。此错误应显示在其后的文本框中。(ID-13006)
对于手动安装,必须提供 -U <username> -P <password> 标志,以将证书传给 UpgradePostProcess 过程。
- Identity Manager 能够被正确地安装在不带显卡的计算机上。(ID-14258)
管理员界面和用户界面
- 配置 > 服务器 > 编辑服务器设置/编辑默认服务器设置面板现在包含“电子邮件模板”选项卡。此选项卡包含默认/每个服务器 SMTP 主机变量,带有 $(smtpHost) 变量的所有电子邮件模板都会将此主机变量用作其默认值。如果 SMTP 主机字段为空,则此选项卡还使用服务器配置变量。(ID-3574)
- 在单击“查找用户”屏幕中的“重设查询”时,名称下拉列表和结果限制现在会重置为初始状态。(ID-8961)
- Identity Manager 管理员界面中的“更改用户密码”页和“重设用户密码”页现在包含针对搜索类型的菜单选项。这些下拉选项包括开始于、包含和等于操作数,用于搜索需要更改或重设密码的用户。(ID-8965)
- 现在,“调试”页提供有导出默认值和导出全部选项。这些选项的用法与控制台选项的用法类似,只不过“调试”页选项没有为导出的文件名提供选择。Identity Manager 会改为创建名为 export<date>.xml 的文件,可以从“调试”页保存此文件。(ID-9270)
- 导入包含“抄送”地址的电子邮件模板现在得到支持。(ID-9768)
- “身份属性”页现在会显示“密码”部分,它说明与身份属性有关的密码生成状态。根据默认值、规则或分配生成密码的 Identity System 帐户策略,可以配置 Identity Manager 来将密码分配给新用户。(ID-10274、12560)
- 修改了与策略编辑相关的错误消息。(ID-12187)
- Identity Manager 现在包含默认的管理器属性,它为构建好的管理人员与雇员关系提供支持。此信息存储在 Identity Manager 用户对象中。有关详细信息,请参见本发行说明中的“文档补充和更正”一节。(ID-12416)
- 现在可以根据最近对资源的更改(编辑或创建操作)配置身份属性。(ID-12678) 如果自上次在 Identity Manager 管理员界面中保存身份属性后资源已进行了更改,则“身份属性”页会显示以下消息:“自上次保存身份属性以来,已修改一个或多个资源。如果这些更改会影响身份属性,则应通过‘在资源更改中配置身份属性’页面将其同化”。Identity Manager 提供指向“在资源更改中配置身份属性”页面的链接,从而可以选择应将已修改资源模式映射中的哪些属性用作身份属性的来源或目标。
在保存“资源向导”或“帐户属性”页中的资源后,Identity Manager 会显示一个页面,询问是否要根据资源的最近更改配置身份属性。选择是会转至“在资源更改中配置身份属性”页。选择否会返回至资源列表。
要禁用此页,请选中以后不再询问。这将通过将登录用户的 idm_showMetaViewFromResourceChangesPage 属性设置为 false 来禁用此页。
- 当设置 noApplet=true 和 sorted=true 属性时,多选对象现在会对可用的值排序。(ID-12823)
- 帐户 Treetable 检测不到对包含静态列表的配置对象所做的更改。例如,管理员的受控组织由从配置对象中获取静态列表的规则决定。以前,服务器必须重新启动才能检测对配置对象的更改。现在在用户注销当前会话并再次登录后,即可对配置对象进行 treetable 更改。(ID-14442)
- DatePicker 现在可以使用日期范围集,以便只从日历中挑选某些日期。(ID-10100)
- 修改了“服务器配置”和“修改电子邮件模板”,管理员可以决定是否在 SMTP 服务器上使用 SSL 或验证。(ID-12465)
- continueLogin.jsp 页现在可以正确显示消息。(ID-13193)
- 对 Identity Manager 7.1 Identity Manager 集成开发环境 (IDE) 进行了如下更改,以便为 Identity Manager 版本 2005Q4M3 SP3 提供支持:(ID-14089、15211)
- 现在,默认情况下将启用 Identity Manager 调试器。
如果要部署到生产环境,建议将系统配置属性设置为 serverSettings.default.debugger.enabled=false。
- 现在,Identity Manager 调试器支持在规则库中设置断点。
- 直接模式密码同步需要在 web.xml 中配置 SimpleRpcHandler。但是,SimpleRpcHandler 会影响某些 RemoteSession 调用。如果未使用直接模式密码同步,而 RemoteSession 调用又出现问题,则可以通过从 rpcrouter2 servlet 删除 SimpleRpcHandler 配置来解决 RemoteSession 问题。
在 web.xml 中将以下条目:
<init-param>
<param-name>handlers</param-name>
<param-value>com.waveset.rpc.SimpleRpcHandler,com.waveset.rpc.PasswordSyncHandler</param-value>
</init-param>
更改为:
<init-param>
<param-name>handlers</param-name>
<param-value>com.waveset.rpc.PasswordSyncHandler</param-value>
</init-param>
如果要同时使用 RemoteSession 和直接模式密码同步,请配置一个独立的 servlet 来处理 RemoteSession 调用。
- 修复了在无足够权限的用户尝试删除某个组织对象时,无法对此组织对象解除锁定的问题。(ID-14942)
表单
网关
HTML 显示组件
- DatePicker 显示类包含新的 strict 属性。如果设置此属性,则会使系统验证手动输入的日期。(ID-11037)
- 现在可以禁用强制重新生成“最终用户菜单”,方法是在“最终用户菜单”表单上添加 doNotRegenerateEndUserMenu 属性。(ID-11327)
- 在显示到 HTML 时,SortingTable 组件现在会优先实现由表格组成的子组件的 align、valign 和 width 属性。还可以使用 InlineAlert 组件在表单中显示错误、警告、成功和信息消息。(ID-12560)
- treetable 组件现在支持可调列。现在可以通过 CSS 将用户列表和资源列表表格中的列宽度设置为固定像素宽或某个百分比值。还可以使用鼠标单击并拖动列标题的右边框来调整列。(ID-11474)
注 在 Firefox/Mozilla 和其他基于 Gecko 的浏览器中,调整列的宽度可能使浏览器文本被选中。不过 Internet Explorer 或 Safari 不会出现这种情况,因为可以禁止 onselectstart DHTML 行为。
Identity Auditor
- 现在可以将“审计策略”配置为仅扫描受限制的资源集合。(ID-9127)
- 数据库表和 Microsoft Identity Information Server 现在可以使用为这两种资源指定的自定义表单。(ID-10302)
- “用户访问报告”的标题能够正确显示。(ID-11538)
- “访问扫描”任务现在对动态组织有效。(ID-12437)
- 可以将用户视图选项 CallViewValidators (UserViewConstants.OP_CALL_VIEW_VALIDATORS) 设为字符串 "true" 或 "false",用于在置备期间分别启用或禁用审计策略。(ID-12757)
- 升级过程不再覆盖“访问查看通知”电子邮件模板 (ID-13216)
Identity Manager SPE
Identity Manager SPE 2005Q4M3 SP1 引入了以下新功能。有关这些功能的详细信息,请参见 Identity Manager Service Provider Edition 管理补充资料 和 Identity Manager SPE 部署。
增强的最终用户页
现在可以使用增强的最终用户页。示例页包含以下功能:
可以在部署时自定义此页。可以自定义以下几项:
密码和帐户 ID 策略
现在 Identity Manager SPE 和资源帐户已有帐户 ID 和密码策略。这些策略是以与 Identity Manager 相同的策略基础结构实现的。(ID-12556)
活动同步和 Identity Manager SPE 同步共存
现在可以在同一 Identity Manager 服务器上运行活动同步和 SPE 同步。请不要在同一资源上同时运行两者。(ID-12178)
分隔 LDAP 用户和配置目录
用户和配置信息现在可以存储在不同的 LDAP 实例中。这些实例是在初始配置过程中选择的。(ID-12548)
Access Manager 集成
现在可以在 Identity Manager SPE 最终用户页上使用 Sun Java System Access Manager 7 2005Q4 进行验证。Access Manager 确保只有经过验证的用户才能访问最终用户页。
其他的错误修复
本地化
日志
- 现在可以在系统日志中记录活动同步事件。(ID-12446)
- 现在可以在审计日志中记录用户验证问题的更改。(ID-13082)
- 现在可以跟踪直接和间接方法子调用。(ID-13436) 在特定输入方法下的某个级别发生已知调试问题时,此功能很有用。要启用此功能,请使用 subcalls 修饰符设置某个范围的跟踪级别,如下例所示:
trace 4,subcalls=2
com.waveset.recon.ReconTask$WorkerThread#reconcileAccount此示例会跟踪级别 4 的 reconcileAccount() 方法和级别 2 的所有子调用。
- 调度程序中发生的错误现在会写入系统日志,而不是保留在 TaskSchedule 对象中。(ID-14261)
协调
报告
- Identity Manager 现在可以在创建和修改权能时创建审计事件。(ID-9734)
- Identity Manager 现在提供了一个在选择要为每个用户显示的 Identity Manager 属性字段中指定的新角色选项。为新报告和现有报告选择此选项会导致在报告中显示逗号分隔的角色列表。(ID-9777)
- 现在,可以在 CSV 和 PDF 报告中指定要在其自身的列中显示的属性列表。如果没有指定列表,则所有属性都会显示在名为“可审计”属性的单个列中。(ID-10468)
- 默认情况下,以下报告现在会自动限于登录管理员所控制的组织集合,除非通过选择一个或多个组织,针对其要运行的报告进行明确覆盖。(ID-12116)
- 有两种新报告引入对管理人员与雇员关系的内置支持:我的直属部下摘要、我的直接雇员摘要、我的直接和间接雇员摘要和我的直属部下个人。(ID-12416、ID-12689)
- “资源用户报告”现在可以正确生成 CSV 和 PDF 文件。(ID12509、13701)
- 现在,对管理员角色的创建、修改和删除操作支持审计日志记录。(ID-12514)
- 用户报告现在包含搜索属性,以便于根据用户的管理器来运行报告。(ID-12689)
- “用户报告”现在会在以分号分隔的列表中显示资源上所有帐户的资源 accountId。(ID-12820) 还列出了通过角色或资源组间接分配的帐户和资源。如果只有一个资源帐户,则仅在此 accountId 不同于 Identity Manager accountId 时才显示此 accountId。
- 列名现在可以在 PDF 报告中正确显示。(ID-12794)
- 已更正生成 TaskTemplate 名称太长(大于 MAX_NAME_LENGTH)的问题。(ID-13790)
系统信息库
- Identity Manager 现在支持将 Oracle Database 10g Release2® 作为系统信息库。(ID-12908)
- 现在支持将 SQL Server 2005 用作系统信息库。(ID-14755) 要使用此版本的 SQL Server,请执行下列步骤。
- 从 Microsoft Web 站点下载适用于 SQLServer 2005(版本 1.2)的 JDBC 驱动程序。
- 对先前版本的驱动程序进行归档,该驱动程序位于 $WSHOME/WEB-INF/lib 目录中。然后在该目录中,使用 sqljdbc.jar 驱动程序替换旧版驱动程序。
- 查看数据库创建脚本。创建数据库时,您可能希望取消以下行的注释:
ALTER DATABASE waveset SET READ_COMMITTED_SNAPSHOT ON
GO
有关此设置的信息,请参见 SQLServer 2005 文档。
- 通过 lh setup 或 lh setRepo 命令设置系统信息库时,请使用以下设置:
type = SQLServer
jdbc driver = com.microsoft.sqlserver.jdbc.SQLServerDriver
url = jdbc:sqlserver://MachineName:Port;DatabaseName=waveset
您将需要使用有效的设置来替换 URL 中的计算机名称和端口。
- IDM 系统信息库现在可以更快地初始化。(ID-14937)
资源
新资源
从 Identity Manager 2005Q4M3 开始,已增加对以下资源的支持:有关详细信息,请参见 Identity Manager 资源参考补充资料。
常规
- Identity Manager 现在支持存储二进制帐户属性。以下适配器支持此功能:(ID-8851、12665)
- Active Directory
- LDAP
- Flat File Active Sync
- 数据库表
- 执行脚本的 JDBC
- Sun Java System Communications Services
Active Directory 现在支持 thumbnailPhoto(Windows 2000 Server 和更高版本)和 jpegPhoto (Windows 2003) 二进制属性。其他适配器现在支持 jpegPhoto、audio 和 userCertificate 等属性。
如果试图将二进制属性或复杂属性发送到不支持二进制属性的资源,则 Identity Manager 会抛出异常。
二进制属性应尽可能保持为最小。如果加载的二进制属性太大(如 200 KB),则可能会出现一条错误消息,指明超出了允许的最大包大小。如果需要管理较大大小的属性,请与客户支持部门联系,以获得指导。
- 代理资源适配器现在提供可选的资源属性,它支持块操作期间的连接保持:RA_HANGTIMEOUT。此属性指定对网关的请求超时并视为挂起之前的超时值(秒)。此属性的默认值为 0,表示不检查挂起连接。(ID-12455)
- 对 AttrParse 对象的修改现在无需重新启动 Identity Manager 即可生效。(ID-12516)
- 提高了 AttrParse 的性能。正常解析不再对解析缓冲区中的每个字符抛出和捕捉异常。(ID-13384)
- 现在,Identity Manager 支持通过适用于 Web Emulator Class Library 的 Attachmate Reflection 连接到主机资源。有关设置此功能的信息,请参见本发行说明中的“文档补充和更正”一节。(ID-14815)
活动同步
- 活动同步向导现已更加彻底地被国际化。(ID-10504)
- 该系统现在对资源支持活动同步重试。要启用此功能,请更新资源 XML,使其包含表单的另外两个资源属性:
<ResourceAttribute name='syncRetryCountLimit' type='string' multi='false' facets='activesync' value='180'/>
<ResourceAttribute name='syncRetryInterval' type='string' multi='false' facets='activesync' value='10000'/>
syncRetryCountLimit 是重试更新的次数,syncRetryInterval 是两次重试之间等待的毫秒数。随后,在配置活动同步时,这些值将显示为自定义资源设置。最好指定 displayName;如果要进行本地化,应使用自定义的目录关键字。(ID-11255)
- 现在可以正确遵守在活动同步资源上配置的活动同步日志的最大数。(ID-11848)
Domino
目录
- Identity Manager 现在提供更加可伸缩的机制来编辑大型列表值资源对象属性。sample/forms/LDAPgroupScalable.xml 中提供了使用此方法管理 LDAP 组的示例表单。(ID-9882)
- LDAP 资源适配器现在直接使用 JSSE 提供者。(ID-9958) Identity Manager 支持的最低 Java 版本现在为 1.3,对于 Domino、LDAP 和 NDS SecretStore 资源适配器,此版本允许使用第三方安全提供者来进行 SSL 通信。可以使用标准的 java.security 文件注册第三方安全提供者库。
有关详细信息,请参见 http://java.sun.com/j2se/1.4.2/docs/guide/security/CryptoSpec.html#ProviderInstalling
- 现在可以编辑名称中包含正斜杠的 LDAP 组。(ID-9872)
已将 ldapJndiConnectionFactory.alwaysUseNames 配置属性添加到 Waveset.properties 文件。
默认情况下,此属性处于启用状态。启用此属性后,所有字符串名称都会使用上下文的 NameParser 解析成一个名称。这有助于避免发生 JNDI 转义问题。此选项仅在 ldapJndiConnectionFactory.wrapUnpooledConnections 选项设置为 true 时才有意义。
采用默认值 (true) 或明确将此值设为 true 需要 1.4 或更高版本的 JVM。由于 JNDI 存在问题,所以在早期的 JVM 中,如果启用此选项,某些重命名操作便会失败。
- LDAP 适配器不再为新帐户创建非法的标识名 (DN)。(ID-10951)
com.sun.idm.util.ldap.DnUtil 中的 escape 方法现在可以用在表单中,用于以 LDAP DN 格式转义插入到资源适配器身份模板的值。或者,可以将选中“必需的 LDAP DN 格式”选项的 accountId 策略用于验证通过各种输入方式(如用户输入、ActiveSync 和协调)输入 Identity Manager 的 LDAP 标识名。
- LDAP 资源上 Objectclasses to synchronize 活动同步属性的默认值现在为 inetorgperson。(ID-11644)
- 优化了 LDAPActiveSync 搜索过滤器(在更改日志中搜索更改)的性能。已从默认搜索过滤器中删除了过滤器部分 (objectClass=changelogEntry)。(ID-11722)
可通过将值为 false 的 Remove objectClass from Search Params Filter 资源属性直接添加到资源定义中来恢复旧的行为,如下所示:
<ResourceAttribute name='Remove objectClass from Search Params Filter' displayName='Remove objectClass from Search Params Filter' facets='activesync' value='false'>
</ResourceAttribute>注:无法从 GUI 中更改此设置。
- 更改 LDAP 组成员关系现在使用单个添加和删除,而不是重写整个组(即替换整个 uniqueMember 属性)。(ID-13035)
- 可以对 LDAP 适配器进行配置,以便对除 uid 以外的值进行 VLV 排序。(ID-13321) 要更改此值,请将以下内容添加到资源定义中:
<ResourceAttribute name='vlvSortAttribute' displayName='VLV Sort Attribute' description='VLV Sort Attribute' value='myValue'></ResourceAttribute>
- 现在可以在更新期间设置 Active Directory PasswordNeverExpires 属性。(ID-13710)
- NDS Active Sync 适配器不再根据用户对象的 lastModifiedTimeStamp 轮询更改。只要有一个用户登录/注销,就会更新此属性。为修复此问题,现在会根据模式映射中定义的用户属性的 lastModifiedTimestamp 计算上次修改的值。如果属性的 lastModifiedTimestamp 大于适配器提供的最高使用标记 (highwater mark),则在修改时间戳后,网关会将用户发送回服务器。(ID-13896)
- 更正了导致新创建的 NDS 用户无法访问其主目录的问题。(ID-14208)
- Active Directory 数据检索超时将不再导致提前结束协调。(ID-14564)
- 更正了导致 Active Directory Active Sync 适配器因没有关闭网关连接而挂起的问题。(ID-14597)
- 在确定是否禁用 LDAP 用户时,LDAP 适配器允许 nsaccountlock 激活快捷方式,以根据值的存在/不存在来使用逻辑。(ID-14925) 有关详细信息,请参见本发行说明中的“文档补充和更正”一节。
Oracle ERP
- 向 Oracle ERP 适配器添加了多个属性来支持审计功能。(ID-11725) 有关详细信息,请参见本发行说明中的“文档补充和更正”一节。
- Oracle ERP 适配器可以正确关闭 Oracle 数据库游标。以前,此失败会导致以下错误:(ID-12222)
- 在表单中,对于 Oracle ERP 适配器而言,com.waveset.ui.FormUtil 类中的 listResourceObjects 方法现在可以返回用户的特定职责,并且可以进行过滤以返回所有职责,或仅返回活动职责。(ID-12629)
传递的选项有:
- Oracle ERP 适配器现在提供 sysdate 或 SYSDATE 关键字。可以使用此关键字和 to_date 指定某个职责的过期日期,以 Oracle E-Business Suite (EBS) 服务器的本地时间为准。(ID-12709)
- Identity Manager 的 Oracle ERP 适配器现在提供新的 employee_number 帐户属性。此属性代表 per_people_f 表中的 employee_number。有关详细信息,请参见本发行说明中的“文档补充和更正”一节。(ID-12710)
- 使用 Oracle ERP 适配器更新 Oracle ERP 帐户的职责不再影响与要更新的帐户相关的其他职责。(ID-13889) 因此,只更新已修改职责的 Oracle ERP 审计时间戳。其他帐户职责的 Oracle ERP 审计时间戳仍保持不变。
- 已将 person_fullname 帐户属性添加到 Oracle ERP 适配器的模式映射。在 Oracle ERP 用户表单中,此属性用于显示“人员名称”字段。此字段是只读字段,在使用雇员编号将 Oracle ERP 帐户链接到 Oracle HR 系统时将显示用户的全名。(ID-14675)
- 如果完全协调期间 Oracle ERP Resource 不可访问,Oracle ERP 适配器现在能够防止解除资源帐户的链接。(ID-14960)(资源可能出于多种原因而不可访问,包括不正确的资源连接配置。)
- Oracle ERP 适配器现在支持 Oracle E-Business Suite 12。有关详细信息,请参阅本发行说明中的“文档补充和更正”。(ID-15062、16705)
- 在 Oracle ERP 适配器中添加了 npw_number 帐户属性,以便支持临时员工帐户。(ID-16507)
SAP 和 SAP HR
- 现在可以配置 SAP HR 适配器处理任意消息类型的 IDOC。以前只能处理 HRMD_A 类型的 IDOC。(ID-12120)
ORA-01000:超过打开的最大游标数
- SAP 和 SAP HR 适配器现在提供三个新的资源属性,这些属性提供网络发生故障时重试 SAP 操作的参数。(ID-12579) 这些属性是:
- 当在 SAP 资源上使用 CUA 模式时,密码可以设置为不过期。(ID-13355)
- 在 SAP 系统不包含 PASSWORD_FORMAL_CHECK 功能模块时,SAP 适配器不再抛出 JCO_ERROR_FUNCTION_NOT_FOUND 异常。(ID-14663)
- SAP 适配器现在可以正确报告已禁用帐户的状态。(ID-14834)
- 现在,可以使用开始日期和结束日期来更新 CUA 环境中的活动组(角色)和配置文件。(ID-15613)
对于角色,请将适配器中的 activityGroups 属性映射到:
CUA->directLocalActivityGroupObjects
对于配置文件,请将 profiles 映射到:
CUA->directLocalProfileObjects
- 现在,SAP 适配器支持在 SAP 中更新 ALIAS 字段。模式配置中的属性映射为 ALIAS->USERALIAS。(ID-16320)
UNIX
- 基于 UNIX 的适配器现在包含主基本目录资源属性。如果存在此属性,则它会覆盖正在创建帐户的本机资源上的主目录设置。此设置是在此属性上附加了 accountID 的值。如果在帐户属性中设置用户的主目录,则此设置将优先于主基本目录。(ID-8587)
- 现在可以通过资源类型策略设置超时默认值。另外,还可以使用 maxWaitMilliseconds 属性控制 Identity Manager 的执行脚本的适配器在等待资源完成任务时使用的轮询频率。(ID-11906)
- Solaris 和 Linux 适配器现在会返回上次登录信息上的年份。(ID-12182)
- 在查看使用 NIS 配置的 Solaris 资源中的帐户信息时,组成员信息以组名显示,而不是以数字组 ID 显示。(ID-12667)
- 向 Solaris、AIX、HP-UX、Red Had Linux 和 SuSE Linux 资源适配器添加了两个资源属性:“默认主要组”和“登录 Shell”。(ID-15034)
其他适配器
- RACF 资源适配器现在允许您直接控制数据集规则,而不是让 Identity Manager 来管理这些规则。通过此功能,您可以创建不同于 Identity Manager 自带规则的数据集规则。(ID-10446)
在下面的示例中,"after create" 规则创建了一个 <user id>.test1.** 数据集规则,而不是 Identity Manager 默认的 <user id>.** 规则。
<?xml version='1.0' encoding='UTF-8'?>
<!DOCTYPE ResourceAction PUBLIC 'waveset.dtd' 'waveset.dtd'>
<ResourceAction name='create after action'>
<ResTypeAction restype='RACF'>
<act>
var TSO_PROMPT = " READY";
var TSO_MORE = " ***";
var cmd1 = "addsd '"+identity+".test1.**' owner('"+identity+"')[enter]";
var result1 = hostAccess.doCmd(cmd1, TSO_PROMPT, TSO_MORE);
</act>
</ResTypeAction>
</ResourceAction>
- RACF 适配器现在包含对 listAllObjects 的搜索过滤器支持。(ID-10895)
- 现在可以在 Siebel 中创建和更新需要父/子业务组件导航的对象。有关详细信息,请参见本发行说明中的“文档补充和更正”一节。(ID-11427)
- Siebel 适配器中的 isPickListAttribute 方法不再被误识别为跟踪系统中的 isMVGAttribute。(ID-11471)
- 对于 SecurId 资源,客户机属性现在被视为可选属性。(ID-11509)
- 在防止 diff 操作进行同步发生错误时,Flat File Active Sync 适配器现在会在活动同步日志(如果启用)中提供一条警告消息。(ID-12484)
- 如果要配置 Identity Manager 以置备到 RSA Clear Trust 5.5.2 资源,则先前的 Clear Trust 版本在进行 SSL 通信时不需要其他库。(ID-12499)
- “数据库表”向导不再允许您配置无法访问的表。(ID-12643)
- 现在即使 Siteminder 用户因尝试登录失败而遭锁定,Siteminder LDAP 适配器也可以正确执行以下操作: (ID-12824)
- RACF 适配器不再为 listAllObjects 中检索到的每个用户搜索一次长字符串,对于大量用户而言,这通常可以提高此功能的性能。(ID-12829)
- 临时表空间不遵循配额设置,如果从 Oracle 10gR2 进行尝试,则会发生 SQL 异常。(ID-12843)
以前,资源适配器将会对临时表空间设置配额,即使未映射 oracleTempTSQuota 帐户属性,也是如此。现在,此行为已有所更改。如果映射 oracleTempTSQuota 属性,将保持旧的行为(无更改);但如果删除此映射,将不会对临时表空间设置配额。
对于 Oracle 10gR2 资源,请从资源适配器中删除 oracleTempTSQuota 属性。
- Identity Manager 现在会在尝试删除安全 ID 用户前清除 Admin 权限(如果有)。(ID-13053)
- 更正了在 VMS 上执行协调时遇到的问题。(ID-13425)
- 用于 UNIX 适配器的 SecurID 现在可以在与 RSA 进行互操作时执行 UTF-8 字符编码和解码。(ID-13451)
- Shell 脚本适配器现在可以在用户创建和更新功能期间检测 ResourceAction 生成的错误。(ID-13465)
- 当通过 Windows NT 资源适配器在 Windows NT 资源上创建帐户时,不会在“创建”用户结果页中显示以下错误消息:“需要密码:put_PasswordRequired():0X80004005:E_FAIL”。(ID-13618)
- 已将新资源配置参数 enableEmptyString 添加到数据库表适配器,对于在表结构中定义为非空值的基于字符的列,这将允许写入空字符串,而不是空值。此选项不会影响在 Oracle 表中写入字符串的方式。(ID-13737)
- Shell 脚本适配器现在支持重命名、禁用和启用功能。(ID-14472)
- 执行脚本的 JDBC 适配器现在可以正确更新初始值为空但设置为非空值的属性。(ID-14655)
角色
- 角色和资源组现在可以(单独或组合使用)将资源上的多个帐户分配给用户。有关详细信息,请参见本发行说明中的“文档补充和更正”一节。(ID-6684)
- 如果导入的角色包含指向现有超级角色的链接,Identity Manager 现在可以更新这些现有角色,使其也包含指向新导入角色的链接。(ID-15482)
Identity Manager 可以检测和创建从现有超级角色到引用它们的子角色之间的链接。在升级过程中,Identity Manager 将调用角色修复所用到的 RoleUpdater 类。
通过导入位于 sample/forms/RoleUpdater.xml 中的新 RoleUpdater.xml 文件,可以将角色更新与升级过程分开执行。默认情况下,Identity Manager 会在升级过程中或导入 RoleUpdater.xml 时添加子角色链接。
要禁用此新功能,请将 RoleUpdater 属性 nofixsubrolelinks 设置为 true。例如,
<MapEntry key='nofixsubrolelinks' value='true' />
有关在导入过程中自动更新角色的相关信息,请参见“已知问题”中所述的 ID-15053。
安全
- 具有批准者权能的用户现在可以将其未来的批准请求委托给一个或多个用户,这些用户本身在一段指定的时间内不是 Identity Manager 批准者。用户可以从三个界面进行委托:(ID-8485)
- 密码生成功能现在可以正常工作,并且会在没有正确生成密码时失败。(ID-12275)
- Identity Manager 现在提供最终用户 EndUserLibrary 授权类型 (authType)。EndUser 权能 (AdminGroup) 现在对其 authType 为 EndUserLibrary 的库具有列表和查看的访问权限。(ID-12469)
要授予最终用户对库内容的访问权限,请设置 authType='EndUserLibrary' 并确保库的 MemberObjectGroup 为 All。
- Identity Manager 用户可以使用并发登录会话。不过,您可以将并发会话的数目限定为每个登录应用程序一个,方法是更改系统配置对象中 security.authn.singleLoginSessionPerApp 配置属性的值。此属性是一个对象,它为每个登录应用程序名称(如管理员界面、用户界面或 BPE)包含一个属性。将此属性的值更改为 true 会强制每个用户在一个登录会话中。(ID-12778)
如果实施强制,则用户可以登录到多个会话。不过,只有上次登录的会话保持活动和有效。如果用户对无效会话执行操作,系统会自动强制他离开会话,并且此会话终止。
- 管理员通过 SPML 或其他方法进行的最终用户密码更改将不会添加到密码历史记录。 现在,可以通过下列两种方式来配置应用程序,使其将密码保存到用户历史记录中。仅使用其中的一种方式即可。(ID-13029)
- 使用“视图”选项(如果有或为 true,则优先选用)在目标表单上设置 "savePasswordHistory" 属性。例如:
<Field name='savePasswordHistory'>
<Default>
<Boolean>true</Boolean>
</Default>
</Field>- 使用以下系统配置设置切换所需界面的行为。如果系统配置对象中尚不存在此配置,则需要添加它。
<Attribute name='security'>
<Object>
<Attribute name='admin'>
<Object>
<Attribute name='changePassword'>
<Object>
<Attribute name='Administrator Interface'>
<Object>
<Attribute name='savePasswordHistory'>
<Boolean>true</Boolean>
</Attribute>
</Object>
</Attribute>
<Attribute name='Command Line Interface'>
<Object>
<Attribute name='savePasswordHistory'>
<Boolean>true</Boolean>
</Attribute>
</Object>
</Attribute>
<Attribute name='IVR Interface'>
<Object>
<Attribute name='savePasswordHistory'>
<Boolean>false</Boolean>
</Attribute>
</Object>
</Attribute>
<Attribute name='SOAP Interface'>
<Object>
<Attribute name='savePasswordHistory'>
<Boolean>true</Boolean>
</Attribute>
</Object>
</Attribute>
<Attribute name='User Interface'>
<Object>
<Attribute name='savePasswordHistory'>
<Boolean>false</Boolean>
</Attribute>
</Object>
</Attribute>
</Object>
</Attribute>
</Object>
</Attribute>
....服务器
- 在终止任务时,现在可以正确删除 TaskInstance 子对象,如批准。(ID-3258)
- Identity Manager 现在要求访问 tmp 目录。(ID-7804) 为了满足此要求,如果应用服务器使用安全策略,需要添加以下权限:
permission java.io.FilePermission "$(java.io.tmpdir)$(/)*", "read,write,delete";
- “查找用户”页现在可以处理许多组织的深层嵌套分层结构。(ID-10352)
- 在群集环境中,登录最终用户页失败不再生成与序列化相关的异常。(ID-10556)
- 如果服务器处理任务信息的时间太长,服务器不再自行触发故障转移机制并终止它自己的任务。(ID-10920)
- “用户扩展属性”现在可以从用户对象中正确删除。(ID-11721)
- 现在,ResourceConnectionManager 会收到暂挂关闭的通知。因此,服务器不必等待 SSH 连接超时就能退出。(ID-12214)
- 对于子组织中无管理访问权限来访问父组织的用户,更正了在“所有任务”页上导致“无高速缓存错误”的情况。(ID-12288)
- 现在在括号之间禁止分隔处理。因此,括号集之间的所有字符现在被视为索引或过滤器。注:当前没有转义右括号“]”的机制。(ID-12384)
- 任务实例终止操作现在作为“终止”操作而不是“修改”操作进行审计。(ID-12791)
- 在删除直接分配给用户的资源后,可以对用户执行用户操作。(ID-14806)
SOAP
- 已对 SPML 支持进行扩展,不仅包含人员,还包含角色和资源组。(ID-8850)
- 新 SPMLAccess 权能允许帐户管理员访问 SPML 界面。(ID-10854)
- 对于包含使用尚未实现的运算符的过滤器的请求,SPML 服务器现在会返回错误。(ID-11343)
- Identity Manager SPML 界面提供 login ExtendedRequest,允许调用方以管理员身份登录。到本发行版为止,SPML 界面还提供 loginUser ExtendedRequest,允许调用方获取用于用户自置备的会话。此 loginUser ExtendedRequest 支持使用密码或回答安全问题的方式登录。(ID-12103)
视图
工作流
- 在运行工作流时,不再返回无效的 checkReference 警告。(ID-10802)
- 如果使用 notification.redirect 将消息重定向到文件,则将使用
emailNotifier.contentCharset 写入此文件,就像写入消息一样(如果已使用电子邮件发送该消息)。这将允许文件包含非 ISO-8859-1 字符。(ID-10331、14984)- 在批准者尝试批准或拒绝已批准或已拒绝的工作项目时,更多信息将被添加到工作流消息中。(ID-11045)
- Identity Manager 现在提供 auditPolicyScan 工作流服务。可以使用此工作流服务调用来根据分配给用户的策略扫描用户的审计策略违规。如果没有分配给用户任何策略,则使用分配给组织的策略(如果有)。有关详细信息,请参见本发行说明中的“文档补充和更正”一节。(ID-12589)
- 已将 RoleAdminTask authType 分配给管理角色 TaskDefinition,且已将 ResourceAdminTask authType 分配给管理资源 TaskDefinition。(ID-12768)
上一发行版中修复的缺陷本节详细介绍自 Identity Installation Pack 2005Q4M3 后修复的缺陷。
安装和更新
管理员界面
- 当您为“用户 Applet”菜单配置新用户操作时,现在可以正常显示文本关键字。(ID-8400)
- Identity Manager 在帮助显示内容包含特殊字符时,现在可以正确处理触发错误的帮助显示内容。(ID-8747)
- 当登录应用程序的 singleLoginSessionPerApp 属性设置为 true 时,Identity Manager 的行为如下所示:用户可以多次登录到同一个应用程序。不过,只有用户最后一次登录的会话才是活动的、有效的会话。如果用户在其他登录会话期间尝试以同一个 Identity Manager 用户的身份执行任务,则系统会自动强制此用户离开,并且此会话被终止。(ID-9543)
- 如果用户直接分配给某个组织,而 UserMemberRule 又将此用户分配给同一组织,则列表中不再复制此用户。(ID-10410)
- 会话超时登录页现在可以本地化,并以用户语言环境指定的语言显示。(ID-10571)
- 示例 LDAP Password Sync 表单 (sample/forms/LDAPPasswordActiveSyncForm.xml) 现在设置 waveset.password 字段,而不是设置 password.password 和 password.confirmpassword 字段。(ID-11660)
- Identity Manager 在搜索结果包含带有单引号的用户名且后续命令在链接中使用该用户名时,管理员界面不再生成错误。(ID-11123)
- 多选组件现在可以正确显示单个字符串。(ID-11979)
- 在尝试编辑不支持更新的资源对象类型时,Identity Manager 现在可以显示正确的错误消息。(ID-12242)
- 在使用 treetable 列出资源时,名称中包含下划线字符的节点现在可以正常展开。(ID-12478)
- 在从 ActiveSync 配置子菜单中选择非向导选项时,联机帮助现在可以显示正确的帮助页。(ID-12597)
- 当使用法语语言环境时,现在可以成功地删除用户。(ID-12642)
- 在 Identity Manager 管理器的名称出现在括号中时,treetable、“帐户”页和“查找结果”页现在可以显示未解析的管理器属性。每次更新用户时,Identity Manager 都会尝试解析未解析的管理器属性。如果解析了此属性,Identity Manager 会去掉括号,并对新值执行约束检查。(ID-12726)
- 匿名用户登录的收件箱链接现在指向新最终用户工作项目列表表格。(ID-12816)
- 现在可以定位 TabPanel 组件按钮。(ID-12797)
- Identity Manager 现在可以将具有默认 mail.example.com 的电子邮件模板转换为新服务器配置变量功能。(ID-12720)
- 在 Identity Manager 用户界面不包含 LH 登录模块且为用户分配了 AdminRole 时,密码字段现在会有条件地显示。(ID-12692)
- Identity Manager 现在按资源组列表(可从“资源”选项卡进行访问)的保存顺序显示这些列表。(以前是对资源进行排序。)(ID-14117)
- 现在,可以从“查找角色”页中查找具有大量组织的角色,而不会显示对象组错误。(ID-15303)
- 现在,通过编辑用户功能取消分配用户的资源帐户后,帐户索引中这些帐户的“状况”在所有情况下均进行正确更新。(ID-15310)
- “角色”选项卡 >“查找角色”>“批准者”菜单现在可以显示具有“角色批准者”权能的用户。(ID-15373)
- 对当 URL 中的字符数超过 2000 个时 Internet Explorer 出现故障这一问题进行了更正。(ID-15801)
- 对于具有安全更新 912812 的 Internet Explorer 6 或 7,用户不必再通过双击多重选择框来突出显示该框,或者通过双击某个项目来对其进行移动。(ID-15824)
- 如果将“ActiveSync 输入”表单上的 IAPI.cancel(用于取消为处理中的用户检测到的所有暂挂更新)指定为 true,用户视图在处理之后不再保持锁定状态。(ID-15912)
- 执行用户搜索时,如果选择了“用户组织”以及其他搜索选项,现在可以返回有效的结果。(ID-16076)
- 现在,对“查找角色”页上的批准者列表进行了排序。(ID-16392)
- DatePicker 组件在所有时区均可正常工作。(ID-16618)
业务进程编辑器
表单
- Identity Manager 提供新的示例 LDAP 创建和更新组表单,以允许使用非唯一成员名。(ID-8831)
- 多选组件现在能正确处理具有相同标签(显示名称)的项目。(ID-10964)
- 文本组件的默认最大长度现在无限制(原来限制为 256 个字符)(ID-11995)。
- NTForm 和 NDSUserForm 组字段现在可以正确实现 ListObjects 规则。(ID-12301)
- 主机适配器资源向导现在能够更好地管理 affinityAdmin 字段,防止出现重复条目和 null 条目。(ID-12024)
- LDAP 更新组表单在 net 成员关系保持不变时不再忽略编辑。(ID-12162)
- com.waveset.ui.FormUtil 的 listResourceObjects 方法现在能够正确执行定义的过滤器。有关此方法的其他信息,请参阅 JavaDoc。(ID-14422)
Identity Auditor
Identity Manager SPE
- 在创建资源帐户时,如果此资源无法使用,则 Identity Manager SPE 会记住此资源的属性值。下次在 Identity Manager SPE 中编辑用户时,如果此资源可用,则会在此资源上创建帐户。(ID-11168)
- 现在可以禁用 SPE 中跟踪的事件,方法是取消选中服务提供商 > 编辑主配置页上的“启用跟踪的事件收集”。在同一页上,还可以有选择地为每个时间范围禁用“收集跟踪的事件”数据。与此页上的所有设置一样,必须将修改的配置对象导出到 SPE 主目录,然后才能生效。(ID-12033)
- SPE IDMXContext deleteObjects 方法现在可以正确删除目录存储中的对象。(ID-11251)
- Service Provider Edition 审计子系统不再在容器关闭时抛出 null 指针异常。(ID-12845)
- 如果与视图特定的属性相关的表单为 null,且这些属性不是包含、目标和传递给视图处理器方法 (create/checkin/checkout/refresh) 的选项映射,则使用 IDMXUserViewer 抛出 null 指针异常。(ID-12861)
- 现在,当停用的资源重新可用后,将会传播 LDAP 已删除的属性。(ID-15471)
登录
密码同步
协调
报告
- Windows 2000 Active Directory 非活动帐户扫描(位于风险分析顶部菜单栏下的一个任务)现在可以成功完成。(ID-11148)
- 现在可以对多个用户使用资源用户报告。(ID-11420)
- 在委托管理员运行用户报告时,现在包含因使用 UserMembersRule 而成为组织成员的用户。(ID-11871)
- 如果为使用情况报告的 Y 轴选择资源名称,现在可以在查询中使用该值。
(ID-12035)- 默认情况下,以下报告将会自动限于登录管理员所控制的组织集合,除非通过选择一个或多个组织,针对其要运行的报告进行明确覆盖。为支持此功能,组织范围组件已从单个 Select 组件更改为 MultiSelect 组件。(ID-12116)
- Identity Manager 现在可以正确审计对 LDAP 组成员关系的修改。(现在它包含旧值和新值。)(ID-12163)
- 现在可以自定义使用 UTF-8 字符集以及多字节文本编码的 CSV 报告,以便在不支持 UTF-8 编码的应用程序(例如 Microsoft Excel)中显示这种报告。
(ID-13574、15407)- 现在,用电子邮件发送的 PDF 报告遵循在任何级别指定的字体以及字体嵌入设置。(ID-15328)
- HTML <b></b> 标记现在已从下列 PDF 报告中删除:(ID-15408)
- 现在,指定 X 轴属性值时需要使用情况报告表单。(ID-15777)
系统信息库
- Identity Manager 系统信息库现在可以执行对 BLOB 列的 Oracle 专用处理。Oracle 的示例脚本现在将 xml 列定义为 BLOB 数据类型(而非 LONG VARCHAR)。对于全新安装,创建的所有表都含有 BLOB xml 列。在升级过程中,只有新表才会有 BLOB xml 列,但通过执行升级脚本中记录的更改,可以将其余的表转换为 BLOB(对于大型部署,此升级过程可能需要几个小时)。应该升级到最新的 Oracle JDBC 驱动程序,以获得 BLOB 带来的最佳性能。(ID-11999)
- 已更改 Identity Manager 系统信息库来避免 Microsoft SQL Server 2000 特有的死锁。系统信息库在为某个类型选择最近修改过的值时,现在使用 LAST_MOD_ITEM 的 ID(而不是名称)。(ID-12297)
- 较慢的 Oracle 数据库系统不再导致暂停任务在多个调度程序上同时执行。
(ID-15372)- 从类似用户组内的某个用户中删除角色时,不再影响其他用户的系统信息库条目,并且在按角色进行搜索时不再禁止查找这些用户。(ID-15584)
资源
网关
常规
- 可以在密码中安全地使用单引号。(ID-10043)
- 主机适配器资源向导现在能够更好地管理 affinityAdmin 字段,防止出现重复条目和 null 条目。(ID-12024)
- 采用“以故障转移方式自动启动”的启动方式,运行在 Websphere 群集上的活动同步进程不再挂起。(ID-12540)
- 现在,对于某些资源适配器,将在协调过程中获取用户之前应用排除规则,这可以排除特定的用户、防止资源生成错误以及为大量用户提高性能。(ID-14436)
- 现在,Identity Manager 遵循资源的支持功能 deny 和 ignore 组合设置。如果选择 ignore,将不会执行操作,但在某些情况下,可能会在 GUI 中将其显示为一条消息。(ID-14948)
- 如果在“系统配置”中将公共资源配置为供登录使用,并且公共资源登录失败,当登录模块堆栈中的另一个资源不是公共资源并且它需要的验证属性不同于以前的任何登录模块资源时,登录将不再失败。(ID-15047)
- 如果将“创建不匹配帐户”设置为 true 并且超出了“允许的错误计数”,活动同步将不再继续运行。(ID-15662)
目录服务
- Active Directory 资源适配器现在会在指定无效加密类型时抛出异常。有效值为无(空)、None、Kerberos 和 SSL。(ID-9011)
- Identity Manager 现在会存储 LDAP 连接。(ID-10219)
- 如果将 msExchHideFromAddressLists 设置为 true,则管理启用邮件的 Active Directory (Exchange) 用户的“不在办公室”属性将不再失败。另外,示例 Active Directory 用户表单已经更新,以禁止在启用 msExchHideFromAddressLists 时 Identity Manager 显示“不在办公室”属性。(ID-12231)
- LDAP Changelog 活动同步处理现在可以处理不含值的 MODIFY changetype。(ID-12298)
- 现在,ADSIResourceAdapter 会在查询资源对象时关闭连接。(ID-15098)
- Identity Manager 不再从 LDAP 目录或 Active Directory 中读取只写帐户属性。(ID-15838)
主机
- 在 RACF 适配器中,更改 DFLTGRP 现在会导致将 DFLTGRP 添加到 GROUPS(如果需要),以确保将 DFLTGRP 设置为新默认组。(ID-9987)
- 主机资源适配器连接现已正确存储,不再导致主机操作挂起。(ID-12388)
- 现在用于创建 NaturalResourceAdapter 帐户的终端模拟允许使用 8 个字符的用户名,而不使用选项卡来选择“复制链接”属性。(ID-12503)
- 扩展了默认 RACF List User AttrParse 机制,以处理大量的 "CLASS AUTHORIZATIONS" 和包含组条目(如 "GROUP SYS1 USER CONNECTION NOT INDICATED")的模板用户。(ID-15021)
- 如果 RACF 上的资源关联帐户没有足够的权限来列出用户,则 Identity Manager 将显示相应的错误消息。(ID-15331)
- 现在删除 RACF 帐户时,系统会通过搜索掩码查询用户的数据集配置文件,对这些配置文件进行枚举,然后删除单个的数据集(而不是尝试通过 DELDSD .** 删除所有数据集)。(ID-15413)
- 以前,清除表单中的 RACF 属性不会导致 Identity Manager 在提交该表单后清除用户上的相应属性,这样做不会执行任何操作。现在,Identity Manager 会清除该属性。(ID-15971)
- 对用户执行启用和禁用操作时,Top Secret 资源适配器现在可以正确处理 ASUSPEND、PSUSPEND、VSUSPEND 和 XSUSPEND。(ID-16295)
- 更正了 Top Secret 适配器中导致加载不完整用户属性的问题。(ID-16334)
Oracle 和 Oracle ERP
- 在与 OracleResource 适配器会话期间,所有 Oracle 游标都会关闭,即使发生异常也是如此。(ID-10357)
- 对于使用瘦驱动程序连接到 Oracle RAC 环境的 Oracle 和 Oracle ERP 资源适配器,请使用以下格式:(ID-10875)
jdbc:oracle:thin:@(DESCRIPTION=(LOAD_BALANCE=on)(ADDRESS=(PROTOCOL=TCP)(HOST=host01)(PORT=1521))(ADDRESS=(PROTOCOL=TCP)(HOST=host02)(PORT=1521))(ADDRESS=(PROTOCOL=TCP)(HOST=host03)(PORT=1521))(CONNECT_DATA=(SERVICE_NAME=PROD)))
- 通过将资源属性 activeAccountsOnly 设置为 TRUE,Oracle ERP 可以有选择地限制帐户迭代器和 listObjects 接口返回的帐户。默认值为 FALSE。如果设置为 FALSE,则返回资源上的所有帐户。如果设置为 TRUE,则只返回 START_DATE 和 END_DATE 位于 SYSDATE(即现在)两侧的帐户。(ID-12303)
- Oracle ERP 适配器已经更新,可以更一致地关闭 PreparedStatements,减少打开游标的数量。(ID-12564)
SAP
- SAP 适配器现在可以处理从 listAllObjects() 返回重复活动组的情况。(ID-7776)
- 如果 SAP 适配器无法将密码设置为不过期,则会提供在 WavesetResult 对象中返回临时生成密码的权能。只有在以下条件下才发生此情况:
- 如果请求更改管理员密码且 expirePassword 标志为 false,则 SAP 适配器现在可以根据用户的当前密码更有效地检查其密码。这可防止在所需密码与当前密码相同时发生错误情况。(ID-12447)
- 如果以冒号分隔信息,在集中用户管理 (Central User Administration, CUA) 环境中写入 SAP 活动组和配置文件时,不会再将一个新表行拆分成两行。(ID-14371)
UNIX
- UNIX 适配器提供基本的 sudo 初始化和重设功能。不过,如果资源操作已定义且在脚本中包含需要 sudo 授权的命令,则必须指定 sudo 命令以及 UNIX 命令。(例如,必须指定 sudo useradd 而不只是 useradd。)必须在本机资源上注册需要 sudo 的命令。可以使用 visudo 注册这些命令。(ID-10206)
- Red Hat Linux 和 SuSE Linux 适配器现在可以在批量列表处理(如“从资源加载”和“导出到文件”)过程中填充主要组、辅助组和上次登录字段。(ID-11627)
如果模式映射指定要跟踪上次登录字段,则批量列表处理速度可能会显著下降,因为适配器必须分别为每个用户请求上次登录信息。
- 现在可以将 Solaris、HP-UX 和 Linux 适配器上的 time_last_login resource 属性映射到不同于默认值(上次登录时间)的属性名称。(ID-11692)
- 现在,如果对 Solaris NIS 服务器资源执行“创建资源对象”操作,然后在“用户”中选择多个帐户并单击“保存”,则会将所有帐户添加到受管 NIS 服务器的 NIS 密码源目录下的组文件中。以前,此操作仅适用于选择一个帐户的情况。(ID-15085)
- 对于 Solaris NIS,Identity Manager 不再添加 netid 目标,此目标不是必需的,并且会导致跟踪中出现错误消息。(ID-15503)
- 对于 Solaris NIS,如果包含 Solaris NIS passwd、shadow 和 group 模板文件的目录启用了管理员用户读取保护,Identity Manager 将不再禁止使用 sudo 命令。(ID-15505)
- 对于 Solaris NIS,如果默认主要组完全丢失或在组文件中找不到其名称,将不再部分创建帐户。(ID-15509)
- 以前,如果使用没有用户或组的环境,且模板 passwd 和 group 文件位于 /etc 以外的目录中,则会导致无法生成 Solaris NIS 用户或组 ID,现在此问题已得到更正。(ID-15510)
- 对于 Solaris NIS,如果连续创建了两个帐户,并且为第一个帐户指定了 shell,但没有为第二个帐户指定(在 defadduser 文件中没有对其进行定义,或者没有 defadduser 文件),将不再使用第一个帐户的 shell 创建第二个帐户。(ID-15511)
- 在 Solaris NIS 上,/usr/sadm/defadduser 文件用作新建帐户的默认值的可选来源。在先前版本的 Identity Manager 中,系统未能使用此文件中的正确元素来为新的 Identity Manager 用户设置默认主要组。但是现在,系统可以使用正确的元素(即 defgname)来设置默认主要组。此默认主要组值将被默认主要组资源属性覆盖,而后者又将被名称相似的帐户属性覆盖。(ID-15512)
- 更新帐户时,Identity Manager 不再将 Solaris NIS 和 HP-UX NIS 加密密码同时存储在 passwd 和 shadow NIS 模板文件中。现在,占位符值 "x" 会被存储在 passwd 文件中。(ID-15593)
- 更正了允许在 Solaris NIS 资源上使用现有组的名称或 ID 创建组的问题。(ID-15755)
- 从 Solaris 资源删除用户时,如果因用户当前已登录到该资源而导致删除失败,Identity Manager 不会再给出误报结果。(ID-15761)
其他
- 当 Identity System 用户帐户属性的默认名称发生更改时,SecurID UNIX 适配器可以正确处理这些属性。(ID-10521)
- 如果有使用 LH_AUDIT_RANGE_COMP_INTF 组件接口的 PeopleSoft Component 活动同步资源,则必须更改此资源才能继续使用 LH_AUDIT_RANGE_COMP_INTF 组件接口。(ID-11226)
确认资源的 auditLegacyGetUpdateRows 资源属性设置为 true。
<ResourceAttribute name='auditLegacyGetUpdateRows'
value='true'
displayName='Use Legacy Get Update Rows'
type='boolean'
multi='false'
facets='activesync' >
</ResourceAttribute>
- 现在可以从 Identity Manager 资源 applet 中删除 Sun Access Manager 组织对象。(随后,Identity Manager 会删除所有子对象,且无需确认。)(ID-11516)
- 在管理 SecurId 用户时,Identity Manager 现在支持每用户三个令牌。(ID-11723)
- 对于数据库表适配器,在重复和轮询期间数据库连接现在会尽早关闭,以防止不必要地保持未使用的连接。(ID-11986)
- JMS 侦听器适配器在 Websphere 6.0 上不再失败。从异步消息处理更改为同步消息处理现在允许 JMS 侦听器在禁止在 Web 应用程序中进行异步 JMS 消息处理的 J2EE 服务器上工作。现在应该为 JMS 侦听器资源定义轮询频率。(ID-12654)
- SecurID 适配器强制执行 RSA 要求,即默认登录属性只能由单字节英文字符组成。(ID-13805)
- 现在,使用 Tivoli Access Manager 和 Active Directory 部署 Identity Manager 时,网关可正确设置(创建和更新)包含 7 位 ASCII 范围以外的字符的密码。(ID-15006)
- Shell 脚本适配器现在可“捕获”并报告公开返回错误的删除脚本中的输出。(ID-15340)
- 数据库表格适配器允许您指定重新抛出所有 SQLException 资源参数。如果未选中此选项,抛出 SQLException 并显示 0 ErrorCode 的 SQL 语句将捕获并禁止异常。(ID-15390)
- 修复了使用活动同步和 PeopleSoft 资源时导致发生死锁的问题。(ID-16109)
协调
系统信息库
角色
安全
- 通过将 Waveset.properties 文件中的 ui.web.disableStackTraceComments 属性设置为 true,可以禁用在 HTML 注释中隐藏的详细调试信息。如果从 Identity Manager 的上一版本升级,需要将此属性添加到 config/Waveset.properties。如果属性文件中没有此属性,则忽略此属性(等同于将此属性设置为 false)。(ID-10499)
- 匿名用户现在可以访问各对象类型(如规则),而无需在系统配置对象中设置已过时的 endUserAccess 属性。(ID-11248)
- 要配置此发行版以置备到 Clear Trust 5.5.2 资源,必须从 Clear Trust 5.5.2 安装 CD 中安装 ct_admin_api.jar。不需要使用其他库来进行 SSL 通信。(ID-12449)
- 在创建 AdminRole 期间,Identity Manager 现在可以正确处理所有对象类型的包含和排除。(ID-12491)
- 具有以下权能的管理员现在可以访问“列出资源”页:(ID-12647)
- 现在,可以在创建用户时将密码添加到用户的密码历史记录中。(ID-15179)
- 不控制“顶级”组织的批准者现在可以查看以前的批准/拒绝情况。(ID-15271)
- 如果删除了拥有任何暂挂工作项目的用户,Identity Manager 现在可确保该工作项目不会丢失,如下所示:(ID-15868)
服务器
SOAP
现在可以通过 debug/callTimer.jsp 设备监视 SPML 1.0 调用。最外面的调用(即 com.waveset.rpc.SpmlHandler 的 doRequest() 方法)在确定 SOAP/SPML 性能时非常有用。为方便监视,还对各个 SPML 方法(如 addRequest)进行定时。(ID-8463)
工作流
修复的其他缺陷
6496, 8586, 8739, 8958, 8960, 9936, 10235, 10475, 10483, 10832, 11232, 11642, 11767, 11979,12135, 12203, 12234, 12274, 12368, 12377, 12464,12483, 12510, 12585, 12611, 12614, 12673, 12967, 13054, 13338, 13434, 13965, 14044, 14178, 14334, 14792, 14874, 14893, 14899, 15036, 15073, 15219, 15474, 16107, 16282, 16389, 16395, 16610, 17346