Problèmes connus

3 Problèmes connus

Les sections suivantes listent les problèmes connus et leurs solutions pour :

Identity Manager

Identity Manager Service Provider Edition (SPE)

Identity Auditor

Identity Manager

Généralités

Une invite de connexion s'affiche lorsque vous essayez de visiter des pages spécifiques si les cookies sont désactivés (ID-158).

Les systèmes qui exécutent Sun Identity Manager Gateway doivent être configurés de sorte que Dr. Watson ne génère pas de notifications visuelles. Si cette fonction est définie et que la passerelle rencontre une erreur, le processus se bloque jusqu'à ce que la fenêtre contextuelle soit fermée.

Les variables display.session et display.subject ne sont pas disponibles pour les éléments de formulaire Disable. Il n'est pas recommandé de créer des activités s'exécutant potentiellement pendant longtemps dans les éléments Disable car ces expressions s'exécuteront à chaque fois que le formulaire sera recalculé. À la place, il est recommandé d'effectuer les calculs dans un autre élément de formulaire ne s'exécutant pas aussi fréquemment.

Pour de meilleures performances lorsque vous travaillez avec l'interface Web d'Identity Manager, utilisez le kit d'outils OpenSPML fourni avec Identity Manager. Utiliser le fichier openspml.jar depuis le site Web openspml.org peut causer des pertes de mémoire. (ID-11889)

S'il y a un espace dans le chemin du répertoire d'installation d'Identity Manager, vous devez spécifier la variable d'environnement WSHOME sans guillemets doubles ("), comme indiqué ci-dessous.

set WSHOME=c:\Program Files\Apache Group\Tomcat 4.1\lighthouse

set WSHOME=c:\Progra~1\Apache~1\Tomcat~1\lighthouse

L'exemple suivant ne fonctionnera pas :

set WSHOME="c:\Program Files\Apache Group\Tomcat 4.1\lighthouse"

Les champs obligatoires définis sur la mappe du schéma des ressources ne sont contrôlés que lorsqu'un compte utilisateur est créé (ID-220). Si un champ doit être obligatoire lors des mises à jour de l'utilisateur, le formulaire de l'utilisateur doit être configuré pour assurer que ce champ soit obligatoire.

Aucun contrôle de la présence de caractères invalides n'est effectué sur le nom de l'organisation, le nom de l'administrateur, le nom du compte, le nom de l'attribut de l'utilisateur (côté gauche de la mappe de schéma) ni sur les noms de tâches (ID-1145, 1206, 1679, 1734, 1767, 2413, 3331). Vous ne pouvez pas utiliser de dollar ($), de virgule (,), de point (.), d'apostrophe ('), de perluète (&), de crochet d'ouverture ( [ ), de crochet de fermeture ( ] ) ni de deux-points (:) dans le nom de ces types d'objets.

Un message d'erreur trompeur est donné sur la page du compte si vous essayez d'effectuer une action une fois votre session arrivée à échéance (ID-1223).

L'objet calendrier ne peut pas être affiché complètement si le navigateur utilise de grandes polices (ID-2120).

La case à cocher Tous les sélectionner sur la page Résultats de la recherche et la page Lister tâches n'est pas désélectionnée si l'un des éléments de la liste est désélectionné (ID-5090). La cas à cocher Tous les sélectionner est ignorée pendant l'action résultante si tous les membres de la liste n'ont pas leur case à cocher sélectionnée.

Si vous apportez une modification à un catalogue de messages personnalisé, il est nécessaire de redémarrer le serveur pour voir les modifications. (ID-6792)

Les onglets de la barre latérale (tels que Liste des comptes, Rechercher l'utilisateur) ne s'affichent pas sur la page de confirmation lors de l'activation ou de la désactivation de plusieurs utilisateurs (ID-6866). Une fois la page confirmée et les résultats affichés, les onglets réapparaissent.

Le mécanisme courant pour la détection d'un serveur en panne assume que tous les systèmes d'un cluster Identity Manager sont synchronisés par rapport au temps. (ID-7064) Avec un intervalle de panne par défaut de cinq minutes, si un serveur est décalé de cinq minutes par rapport à un autre serveur, le serveur en tête déclare que le serveur en retard mort, causant des résultats imprévisibles. La solution consiste à maintenir une meilleure synchronisation temporelle ou à augmenter l'intervalle de panne.

Sur Windows, si vous vous connectez comme un utilisateur dont le nom contient des caractères de deux octets et que le codage par défaut de la machine ne prend en charge que les caractères à un octet, vous devez définir la variable d'environnement USER_JPI_PROFILE sur un répertoire existant dont le nom contient uniquement des caractères à un octet. (ID-8540)

Si l'applet du compte ne parvient pas à se charger dans le navigateur, assurez-vous que tous les utilisateurs ont des permissions de lecture et d'exécution pour le fichier JAR de l'applet, rép_installation_IDM/applet/tt22.jar, ainsi que pour le répertoire contenant le fichier JAR de l'appel. (ID-8541)

Les objets de ressources exposent maintenant un attribut typeString interrogeable (Attribute.TYPE_STRING). Cet attribut contient la valeur du type de ressource exposée au préalable en tant que type.

Changez aussi rapidement que possible tout code personnalisé qui interroge les ressources sur la base du type (Attribute.TYPE) pour les interroger sur la base du typeString (Attribute.TYPE_STRING). Attribute.TYPE_STRING est en ligne pour les objets ressources, de sorte que la conversion en Attribute.TYPE_STRING améliore la performance.

La prochaine version intégrale d'Identity Installation Pack n'exposera plus la valeur de type de ressource comme Attribute.TYPE. (ID-11124, 11125)

Dans la vue arborescente, les objets de ressources ne s'actualisent pas correctement après la suppression d'un objet. Actualiser manuellement la page permet d'afficher correctement les objets. (ID-12241)

Installation et mise à jour

Lorsque vous installez Identity Manager à partir du fichier idm.war, les bits d'exécution ne sont pas définis sur les scripts de shell d'UNIX (ID-2371). La solution consiste à exécuter une commande chmod UNIX sur le répertoire idm/bin.

Si la mise à jour rencontre une erreur pendant la phase Preserving Customizations, le bouton Install est encore actif mais sa pression n'a aucun effet (ID-3797).

Identity Manager ne peut pas de connecter à un référentiel LDAP s'il y a des espaces dans le DN (ID-6066).

Lorsque Identity Manager est installé dans un environnement Tomcat 5.x, l'exécution des rapports donne une erreur java (ID-6652). La solution consiste en ce qui suit :

cd $WSHOME\WEB-INF\classes

jar xvf ..\lib\j2ee.jar javax/activation/DataSource.class

La ressource AD Active Sync a été abandonnée et remplacée par la ressource AD. Suivez les étapes ci-après pour migrer AD Active Sync vers les nouvelles versions : (ID-11363)

Exportez l'objet de ressource AD Active Sync existant dans un fichier xml (depuis la ligne de commande ou depuis les pages de débogage).

Supprimez la ressource existante (cela n'affectera pas les utilisateurs de Identity Manager ou les utilisateurs du compte de la ressource)

Créez une nouvelle ressource AD qui soit Active Sync.

Exportez cette nouvelle ressource dans un fichier XML.

Éditez ce fichier et changez la valeur de l'attribut id et la valeur de l'attribut name pour qu'elles correspondent aux valeurs de l'ANCIEN objet de ressource enregistrée à l'étape 1. Ces attributs sont dans la balise <Resource id='idnumber' name='AD' ...>.

Enregistrez les changements dans le fichier.

Réimportez l'objet modifié dans Identity Manager en utilisant au choix la page Configurer->Importer fichier d’échange ou la ligne de commande.

Il est possible que vous rencontriez des problèmes avec la génération des clés du serveur PBR lors d'une mise à niveau vers Identity Manager. Si vous aviez configuré votre système pré-6.0 pour utiliser pkcs5 pour le chiffrement des clés du serveur, la clé de licence ne fonctionnera plus après la mise à niveau. Résultat, vous ne pourrez plus vous connecter à la console ni la démarrer au prochain démarrage du serveur. (ID-12026, 12027)

Vous devriez générer un nouveau mot de passe PBE en sélectionnant Générez un nouveau mot de passe PBE aléatoire sécurisé. Cette option ne s'affiche et est sélectionnable que si PKCS#5 était sélectionné avant la mise à niveau.

Vous pouvez aussi éditer/importer la configuration système dans un référentiel système mis à niveau. Ajouter, supprimer ou changer les valeurs des attributs pkcs5Encrypt ou updatePkcs5Password affecte le chiffrement des clés de serveur comme suit :

pkcs5Encrypt = 'false', updatePkcs5Password = 'true' or 'false'

Ceci rechiffre toutes les clés de chiffrement de serveur en utilisant la clé de chiffrement par défaut.

pkcs5Encrypt = 'true', updatePkcs5Password = 'false'

Ceci rechiffre toutes les clés de chiffrement de serveur en utilisant une clé de chiffrement pcks5 générée à partir du mot de passe PBE du référentiel.

pkcs5Encrypt = 'true', updatePkcs5Password = 'true'

Ceci met à jour le mot de passe PBE aléatoire sécurisé unique du référentiel (par exemple : miscData).

Ceci rechiffre aussi toutes les clés de chiffrement de serveur en utilisant une clé de chiffrement pcks5 générée à partir du mot de passe PBE mis à jour dans le référentiel.

Gestion des comptes

Il est possible de créer des comptes NT dont les noms dépassent 20 caractères et que les outils natifs de NT ne peuvent pas gérer (ID-710).

Un administrateur ne peut pas enregistrer de ressources ou de rôles qui contiennent des organisations qu'il ne gère pas (ID-839).

Identity Manager ne recherche pas les noms de comptes d'utilisateur contenant des caractères limités sur NT (ID-844). Les caractères limités sur NT sont les suivants :

" / \ [ ] : ; | = , + * ? < >

En plus, un nom d'utilisateur ne peut pas être uniquement composé de points (.) et d'espaces.

Trier les colonnes dans la page Résultats du provisioning ajoute des lignes vides supplémentaires aux résultats (ID-1105).

Les approbations de plusieurs centaines de compte d'utilisateurs peuvent prendre un temps considérable (ID-1149). La solution consiste à approuver les enregistrements de comptes d'utilisateurs en groupes plus petits.

Les enregistrements d'approbation qui appartiennent à un administrateur qui n'a plus la capacité d'approuver ne peuvent pas être approuvés (ID-1150). La solution consiste à supprimer l'administrateur des ressources, rôles et organisations dans lesquels il a des droits d'approbation, puis d'approuver les enregistrements d'approbation en attente avant de supprimer l'administrateur ou la capacité d'approbation pour cet adminsitrateur.

La mise à jour d'un utilisateur sans effectuer de modifications n'affiche pas de page de résultats détaillés (ID-2327).

Lors de la création d'un nouvel utilisateur ou de l'ajout d'une ressource à un utilisateur existant, si le nom distinctif de l'utilisateur est incorrect, la valeur incorrecte est masquée jusqu'à ce que l'administrateur se déconnecte (ID-2508). Toutes les tentatives visant à recréer l'utilisateur après en avoir corrigé le nom distinctif échoueront tant que l'aministrateur ne se sera pas déconnecté.

Le message de compte verrouillé ne s'affiche pas sur l'écran de connexion de l'interface utilisateur d'Identity Manager sur Netscape 4.7 (ID-2680). Le message d'erreur s'affiche dans l'URL de la page.

Le nom “name” est un mot réservé aux vues et ne doit pas être utilisé en tant qu'attribut d'utilisateur de Identity Manager sur les mappes de schéma de ressources (ID-2918).

Windows Active Directory requiert que la passerelle s'exécute comme un administrateur pouvant créer des répertoires (ID-2919). Identity Manager peut créer des répertoires de base sur les systèmes Windows 2000. La création du compte du répertoire de base est effectuée par l'utilisateur sous le nom duquel le processus passerelle est exécuté, et non pas par l'administrateur spécifié dans la définition de la ressource. La solution consiste à changer l'utilisateur sous le nom duquel la passerelle s'exécute de Système local à un compte qui a le droit de créer des partages distants et de définir des permissions sur ces partages. Ce compte aura aussi besoin de Bypass traverse checking et Act en tant que privilèges du système d'exploitation.

La ressource Windows NT envoie par erreur un message d'avertissement au lieu d'un message d'erreur lorsqu'une erreur se produit pendant la désactivation d'un compte d'utilisateur (ID-3222).

Une java.lang.NullPointerException peut être vue lors de la suppression de toutes les ressources d'un utilisateur par le biais de la page Éditer l'utilisateur (ID-4811). Une solution à ce problème consiste à utiliser la page de suppression d'utilisateur pour soit supprimer ces comptes de ressources de l'utilisateur soit en supprimer les liens.

Si un utilisateur Identity Manager est créé et assigné à une ressource Windows Active Directory où le compte d'utilisateur existe déjà, l'utilisateur sera créé sans attribut GUID dans l'info de la ressource (ID-5114). Ce GUID est utilisé pour détecter les changements apportés à l'organisation de l'utilisateur ou au nom dans l'annuaire. Exécuter la réconciliation depuis la ressource corrigera ce problème.

Lors de la création d'un utilisateur, un avertissement est donné si vous ajoutez un rôle à l'utilisateur qui contient une ressource qui est assignée directement (ID-5385).

Un “Transmettre à” administrateur ne peut pas être spécifié quand un utilisateur est en cours de création. Cette option ne peut être définie que pendant l'édition de l'utilisateur (ID-5695).

L'opération « unassign » de Supprimer utilisateur ne gère pas plusieurs comptes par ressource (ID-6305).

Approbations

Lors de la mise à jour d'un utilisateur et de la sélection de l'exécution de la mise à jour en arrière-plan, une activité d'approbation s'affiche sur la page de résultats de la tâche (ID-3301). Cette approbation peut être ignorée.

Les enregistrements d'approbation pour un administrateur ne s'apparaissent pas après le renommage de l'utilisateur (ID-3386). La solution consiste à résoudre toutes les approbations en attente avant de renommer l'utilisateur.

Les enregistrements d'approbation approuvés ou rejetés au préalable ne peuvent pas être affichés par un administrateur si l'utilisateur en cours d'approbation appartient à une organisation que l'approbateur ne contrôle pas (ID-3494).

Les tâches de relance de ressource s'affichent dans la liste des approbations en attente pour Configurator (ID-3508).

Configuration de connexion

Le module d'authentification d'intercommunication ne fonctionne pas pour la ressource Domino (ID-1646).

Les modifications apportées aux pages Établir l’ouverture de session d’administrateur et Établir l’ouverture de session d’utilisateur ne sont pas visibles pour les autres administrateurs connectés (ID-3487). Pour voir les modifications, les autres administrateurs doivent se déconnecter de l'interface administrateur puis s'y reconnecter.

Si un administrateur se connecte et sélectionne “Changer mon mot de passe” puis sélectionne un autre onglet, son compte est verrouillé jusqu'à ce que le verrou expire. (ID-3705)

Si un autre administrateur tente d'éditer cet administrateur verrouillé, le message « com.waveset.util.WavesetException: Incapable d’accéder à compte #ID#Configurator à ce moment-là. Veuillez essayer de nouveau plus tard. » s'affiche. S'il clique sur le bouton « OK », le diagramme du processus de flux de travaux de la dernière action s'affiche.

Organisations

Lors de la suppression de plusieurs organisations, si la suppression échoue au niveau d'une organisation, aucune des organisations restantes n'est supprimée (ID-517).

Renommer une organisation quand des demandes de provisioning ayant des utilisateurs appartenant à cette organisation sont en attente cause l'échec de la demande de provisioning (ID-564). La solution consiste à s'assurer de l'absence de toute demande en attente avant de renommer une organisation.

Lors de la création d'une nouvelle organisation, si l'option Règle de membres utilisateurs est sélectionnée avant la spécification d'un nom d'organisation, un OD d'organisation s'affichera dans le champ du nom de l'organisation lors de l'actualisation de la page (ID-6302). Le nom peut toujours être défini avant d'enregistrer la nouvelle organisation.

( ) - Avertissement : Les valeurs entre parenthèses dans le champ ’Approvers’ n’apparient aucune valeur admise.

Un utilisateur figure deux fois dans l'applet List Accounts, s'il est assigné à une organisation par le biais d'une règle d'organisation dynamique et existe aussi dans cette organisation (ID-6413).

Stratégies et fonctions

L'attribut de stratégie de compte d'Identity Manager Option de notification de la réinitialisation a une option de valeur « administrateur » qui n'a aucun effet (ID-944). Les seules options valables sont « immédiat » et « utilisateur ».

Si, lors de la suppression de plusieurs rôles, une erreur se produit, l'ensemble de l'opération s'arrête au lieu de poursuivre avec les autres rôles (ID-1168).

Le nombre minimum de questions auxquelles un utilisateur doit répondre peut être défini sur une valeur supérieure au nombre de questions définies (ID-1834). Si ce cas de figure se présente, l'utilisateur sera dans l'impossibilité de se connecter en utilisant l'option « Mot de passe oublié ».

La Default Lighthouse Account Policy ne peut pas être clonée en éditant la stratégie, en changeant le nom et en sélectionnant la création d'un nouvel objet (ID-5147). La solution consiste à créer une nouvelle stratégie de compte.

Réconciliation et importation d'utilisateurs

L'importation d'utilisateurs depuis un fichier CSV ne met pas à jour les attributs de ressource si l'utilisateur existe déjà dans Identity Manager (ID-2041).

Les guillemets simples (') des ID de comptes du fichier CSV (Comma-separated-value, valeurs séparées par des virgules) qui est chargé sont convertis en points d'interrogation (?) (ID-2100).

Les tâches planifiées n'apparaîtront pas dans une recherche sur la page « Rechercher tâches » lorsque l'option « Is Scheduled » est utilisée (ID-5001).

La réconciliation échoue lorsqu'elle est exécutée à l'encontre d'une ressource Red Hat version 8 (ID-6087).

La réconciliation d'une ressource Oracle ERP se fera avec des erreurs si le groupement de connexions sur la ressource est activé (ID-6386). La solution consiste à désactiver le groupement de connexion pendant la réconciliation.

Rapports

Les administrateurs de la sécurité ne peuvent pas créer ni exécuter de rapports (ID-1217). La solution consiste à attribuer aux administrateurs la fonction Administrateur des rapports.

Les rapports d'analyse de risques peuvent être affichés par des aministrateurs autres que les administrateurs de rapports (ID-1224).

Les résultats de rapports qui sont envoyés par e-mail avec l'option texte normal ne sont pas formatés (ID-2191). La solution consiste à utiliser l'option HTML pour l'e-mail.

Les entrées du journal d'audit ne peuvent pas être enregistrées pour des résultats importants (ID-5050).

Le ticker ne s'affiche pas lorsqu'il est sélectionné s'il y a des organisations dont le nom contient des apostrophes (') (ID-5653).

Si vous essayez d'exécuter un rapport d'administrateur et sélectionnez de ne rapporter que les administrateurs qui appartiennent à une organisation spécifique qui n'en a pas, une erreur java.lang.NullPointerException est retournée (ID-5722).

Tous les rapports d'audit/utilisation créés ou modifiés dans Identity Manager 5.0 SP4 qui référençaient le type d'objet « User » référenceront « Directory User » une fois édités. Même si ces rapports n'auraient pas été fonctionnels, s'ils existent vous devez les éditer manuellement et sélectionner « User » au lieu de « Directory User ». (ID-9737)

Ressources

Le bouton de test de ressource ne teste pas tous les champs (ID-51).

Les assignations de ports de ressource peuvent être définies sur des valeurs supérieures à 65535 (ID-59).

Un message d'erreur erroné s'affiche lors de la définition d'un nom de groupe Active Directory incorrect (ID-393). Si vous essayez de définir un nom de groupe Active Directory sur “groupname” du lieu de “cn=groupname,cn=builtin,dc=waveset,dc=com”, un message d'erreur indiquant “array index out of bounds” s'affiche.

Les attributs de compte obligatoires sont parfois ignorés s'il y a une autre ressource ayant le même nom d'attribut de compte qui n'a pas l'indicateur requis de défini (ID-1161).

Si un administrateur tente d'ajouter une organisation à une ressource sur laquelle il n'a pas de droits, une erreur s'affiche. L'édition d'une ressource doit ensuite être annulée et la ressource éditée de nouveau pour apporter toute autre modification à la ressource (ID-1274).

Le message d'erreur qui s'affiche quand un mot de passe ou un nom d'utilisateur de compte de ressource n'est pas correct sur une ressource PeopleSoft n'est pas clair (ID-2235). Ce message d'erreur indique :

bea.jolt.ApplicationException: TPESVCFAIL - application level service failure

Les actions de ressources Windows Active Directory qui utilisent le statut de sortie %DISPLAY_INFO_CODE% causent l'échec de l'action avec des erreurs (ID-2827).

Les actions de ressources Windows NT qui retournent un code de sortie autre que zéro n'entraînent pas l'échec de l'action (ID-2828).

Définir l'ID de groupe principal d'un utilisateur sur Active Directory n'est pas faisable lors de la création de l'utilisateur (ID-3221). La solution consiste à créer l'utilisateur sans définir l'ID de groupe principal, puis à éditer l'utilisateur et à définir la valeur. L'ID de groupe principal est aussi défini par le numéro et pas par le nom distinctif du groupe.

Les adresses IP des ressources sont cachées dans le JVM une fois le nom d'hôte est résolu en adresse IP. Si l'adresse IP d'une ressource est modifiée, le serveur d'application devra être redémarré pour qu'Identity Manager détecte la modification (ID-3635). Il s'agit là d'un paramètre du Sun JDK (version 1.3 et sup.) qui peut être contrôlé avec la propriété qui est en général définie dans jre/lib/security/java.security.

Vous ne pouvez pas créer plusieurs comptes pour un unique utilisateur sur les ressources Oracle (ID-3832).

Les utilisateurs finals ne peut pas utiliser la fonction de détection automatique pour les comptes de ressources Domino (ID-4775).

Si un utilisateur est déplacé depuis ou vers un sous-conteneur au sein de l'organisation Active Directory, l'adaptateur Active Sync détecte le changement mais lorsque vous visualisez l'utilisateur sur la page d'édition (ou effectuez une modification et visualisez la page de confirmation), l'ID de compte de l'utilisateur est encore affiché comme le DN (nom distinctif) d'origine (ID-4950). Étant donné que nous utilisons GUID pour modifier l'utilisateur, ceci ne cause pas de problèmes opérationnels. Exécuter une réconciliation à l'encontre de la ressource corrige le problème.

Si un utilisateur est déplacé d'une organisation (OU) à une sous-organisation, l'adaptateur LDAP ChangeLog ne reconnaît pas le changement et assume que l'utilisateur a été supprimé. L'objet utilisateur est ensuite verrouillé dans LH (s'il s'agit du paramètre actuel) et un “nouveau” compte n'est pas créé pour le compte déplacé (ID-4953).

Les connexions groupées utilisées par les adaptateurs de ressources peut être laissé dans un état indéterminé si une erreur se produit pendant l'exécution d'une commande ou d'un script (ID-5406).

Les organisations NDS peuvent être créées dans le niveau supérieur de l'arborescence uniquement en définissant le contexte de base pour la ressource sur « [ROOT] » (ID-5509).

Lors de la recherche d'objets de ressources à partir du menu s'affichant avec le bouton droit de la souris sur la page Lister ressources, l'option « is not » ne retourne pas la liste d'objets appropriée.(ID-6194)

Sur NDS, si vous éditez un champ (par exemple Grace Login Limit) sur la provision initiale et en fournissez pas de valeurs pour les champs booléens, tous les champs booléens sont mis sur false (ID-6770). Cela vous empêche de définir d'autres champs sur l'onglet de restriction qui requiert que certaines valeurs de case à cocher soient vraies. Pour éviter cela, assurez-vous que tous vos champs booléens sont vrais lorsque vous vous y attendez, de sorte qu'ils soient correctement transmis lors de l'édition d'autres champs.

Si vous changez le mot de passe pour une machine UNIX en utilisant la fonction Gérer connexion --> Changer le mot de passe de la ressource, le nom de tâche qui s'affiche est le suivant :

_FM_PASSWORD_CHANGING_TASK null:null

Un nom convivial devrait s'afficher. (ID-6947)

Vous ne pouvez pas utiliser la fonction de gestion de connexion pour les ressources UNIX qui utilisent NIS (ID-6948). Une erreur est émise car le mot de passe que vous essayez de changer est celui du root, mais NIS ne gère pas le compte root.

Lorsque des utilisateurs sont mis à jour en sélectionnant la mise à jour depuis une organisation d'Identity Manager, les utilisateurs qui ont un compte Sun One ID Server obtiennent une erreur s'ils ont été créés nativement puis chargés dans Identity Manager (ID-7094). La solution consiste à mettre à jour ces utilisateurs individuellement.

Identity Installation Pack contient toujours les classes abandonnées suivantes :

com.waveset.object.IAPI

com.waveset.object.IAPIProcess

com.waveset.object.IAPIUser

Les classes de l'adaptateur personnalisé ne devraient plus faire référence à ces classes mais à des classes correspondantes du package com.waveset.adapter.iapi. (ID-8246)

Ne définissez pas d'attributs de compte dans le schéma DatabaseTableResourceAdapter sur booléen. L'adaptateur ne retourne pas correctement les attributs booléens sous la forme d'objets booléens, poussant l'auditeur du changement natif à penser par erreur que les changements ont été effectués. (ID-8746)

Un erreur java.security.NoSuchAlgorithmException peut être écrite dans la sortie standard la première fois après l'établissement d'une connexion avec ActivCard à la suite du démarrage du serveur. Il s'agit là d'une erreur bénigne. (ID-8905)

Une erreur se produit lors d'une tentative de suppression d'un utilisateur ayant un compte sur la ressource PeopleSoft Component Interface. Cette ressource ne prend pas actuellement en charge les suppressions de comptes. (ID-9000)

Access Manager et Identity Manager 5.5 (et sup.) ne doivent pas être déployés ensemble sur le serveur d'application. Access Manager change le fournisseur de sécurité par défaut, ce qui fait qu'Identity Manager ne parvient pas à valider la signature de la licence.

La page initiale du navigateur affiche un message d'erreur s'il n'est pas possible de vérifier la signature de la licence. Dans la plupart des cas, cette erreur se produit à cause d'un problème de compatibilité avec le fournisseur de sécurité. (ID-10518, 10750, 11011)

L'erreur se produisant est la suivante :

Failed to verify signature: Exception Error

Gestion des objets de ressources

Un objet Windows Active Directory (groupe, unité organisationnelle ou conteneur) ne peut pas être renommé sur la page Lister ressources (ID-3329).

L'ouverture de l'applet de gestion de ressources peut prendre plusieurs secondes s'il y a un grand nombre de ressources dans la liste (ID-3456).

Impossible de créer de nouveaux groupes LDAP s'il y a des utilisateurs avec des CN de plusieurs valeurs (ID-3848). La solution consiste à gérer les membres du groupe par leur DN et non pas par leur CN qui est configuré dans le LDAP Create Group Form.

Groupes de ressources

Utiliser la clé retour sur la page Créer ou Éditer groupe de ressources efface les modifications apportées sur la page (ID-3430).

Les rapport de groupe de ressources ne peuvent pas être enregistrés dans un fichier CSV. (ID-8001)

Sécurité

Si vous importez un objet contenant des données chiffrées qui ont été chiffrées avec un clé de chiffrement qui n'est pas dans le référentiel dans lequel les données sont importées, l'objet est importé mais vous recevez un message d'avertissement indiquant que les données ne peuvent pas être déchiffrées vu qu'il manque la clé de chiffrement du serveur. (ID-12143)

Sun Identity Manager Gateway

Il arrive que Sun Identity Manager Gateway ne s'arrête pas lorsque le bouton Arrêter est pressé sur l'écran Services NT (ID-590). La solution consiste à annuler la demande d'arrêt du service (si elle est toujours bloquée) et à arrêter de nouveau le service, ou à quitter la boîte de dialogue des services NT, y revenir et retenter l'opération d'arrêt.

Les utilisateurs ne peuvent pas être ajoutés en groupes dans un domaine NT si la passerelle se trouve dans un domaine de confiance distant (ID-711).

Il arrive que la passerelle ne s'arrête pas lorsque « net stop "Sun Identity Manager Gateway" » est utilisé (ID-2337).

Tâches

Les administrateurs dotés de privilèges d'administrateur d'Identity Manager ne peuvent pas afficher la page de gestion des tâches s'il y a une tâche d'analyse des risques dans la liste des tâches (ID-1225).

Les administrateurs qui ne contrôlent pas Haut ne peuvent pas créer de tâches planifiées Discovery ou ResourceScanner (ID-1414).

La page Rechercher tâches n'affiche pas le nombre des tâches correspondant aux critères de recherche (ID-5152).

Lors de l'édition d'une tâche programmée, la date de début doit être réentrée en utilisant le format MM/JJ/AAAA (ID-5675).

Les administrateurs délégués qui ne contrôlent pas Haut peuvent planifier des tâches et en afficher les résultats, mais ils ne peuvent pas visualiser une tâche après sa création (ID-6659). La tâche planifiée a été placée dans Haut et l'administrateur délégué n'a pas de droits lui permettant d'afficher l'objet.

Un champ nommé Tâches différées a été ajouté à la bibliothèque. Il permet de lister les tâches différées sur un utilisateur. Pour implémenter ce champ, la lignes suivante doit être ajoutée au Tabbed User Form et au Tabbed View User Form (ID-7660).

Flux de travaux, formulaires, règles et XPRESS

La fonction XPRESS <eq> ne peut pas être utilisée pour comparer les valeurs booléennes aux chaînes TRUE ou FALSE ni aux entiers 1 ou 2 (ID-3904). La solution consiste à utiliser :

<cond>

<isTrue><ref>Boolean_variable</ref></isTrue>

<s>True action</s>

<s>False action</s>

</cond>

Les expressions de chemin ne fonctionnent pas lors de l'itération d'une liste d'objets génériques via une dolist (ID-4920).

<ref>listOfGenericObjects</ref>

<ref>genericObj.name</ref>

</dolist>

La solution consiste à utiliser <get> / <set> comme indiqué :

<ref>listOfGenericObjects</ref>

<get><ref>genericObject</ref><s>name</s>

</dolist>

Si vous utilisez les variables global.attrname pour les champs de votre formulaire d'utilisateur et que l'attribut est partagé entre plusieurs ressources, vous devez aussi définir une règle de dérivation (ID-5074). Sinon, si l'attribut a été changé nativement sur une des ressources, l'attribut peut être ou non recueilli et propagé vers d'autres ressources.

Impossible d'utiliser des chaînes spéciales en commençant par & dans les composants HTML des formulaires. Par exemple,   ne s'affichera pas comme un espace. Ce problème a été introduit à cause d'un changement pour la prise en charge des caractères spéciaux (&\<>') dans les listes de sélection (ID-5548).

Les commentaires de formulaires, flux de travaux et règles contenus dans les balises <Comment> contiennent des chaînes 
 qui représentent le caractère d'ajout de ligne (ID-6243). Ces caractères ne se voient que lors de la visualisation du XML de ces objets ; le serveur d'Identity Manager et le Business Process Editor les traiteront correctement.

Si vous utilisez le Resource Table User Form pour éditer les utilisateurs, lors de l'édition de la ressource d'un utilisateur, les attributs de la ressource ne sont pas récupérés lorsque le formulaire s'affiche pour la première fois. La solution consiste à cliquer sur le bouton « Régénérer » qui extraira les données de l'attribut. (ID-10551)

Identity Manager SPE

Identity Manager SPE et Sun Java System Portal Server peuvent ne pas être compatibles à cause d'un problème lié aux bibliothèques chiffrées. (ID-10744)

Ce problème peut être corrigé en définissant les valeurs suivantes dans le fichier /etc/opt/SUNWam/config/AMConfig.properties de Portal Server et en redémarrant le webcontainer :

com.iplanet.security.encryptor=com.iplanet.services.util.JCEEncryption
com.iplanet.security.SSLSocketFactoryImpl=netscape.ldap.factory.
JSSESocketFactory
com.iplanet.security.SecureRandomFactoryImpl=com.iplanet.am.util.
SecureRandomFactoryImpl

Lorsque vous travaillez avec des tableaux de bord SPE : Si les graphes prennent plusieurs minutes pour se charger la première fois, vous devez vérifier que votre navigateur n'est pas configuré pour utiliser la Microsoft Java Virtual Machine (MSJVM). Identity Manager SPE ne prend pas en charge l'utilisation de MSJVM pour exécuter les applets de navigateur. (ID-10837)

Certaines options de configuration qui apparaissent dans l'interface administrateur d'Identity Manager ne sont pas utilisées avec Identity Manager SPE. (ID-10843). Il s'agit entre autres des :

Options de configuration de l'assistant de ressource : stratégie de mot de passe, stratégie de compte, règle d'exclusion de comptes, approbateurs et organisations.

Attributs de rôle

Par défaut, l'audit n'est pas effectué lors de l'utilisation des appels d'API checkinObject etdeleteObject. L'audit doit être expressément demandé en définissant la clé IDMXContext.OP_AUDIT sur true dans la mappe d'options transmise à ces méthodes. La méthode createAndLinkUser() dans la classe ApiUsage indique comment demander l'audit. (ID-11261)

Lors de la configuration de l'adaptateur de ressources LDAP pour Active Sync, vous devez spécifier la valeur dans le champ DN sur la page Paramètres de ressource dans le champ Filtrer les changements par sur la page Paramètres généraux d’Active Sync. Sinon, le processus Active Sync ne se termine jamais car il traite continuellement ses propres modifications. (ID-11323)

Identity Auditor

Interface administrateur

Le sous-onglet Terminé(e) de l'onglet Résolutions ne change pas de couleur quand il est sélectionné. (ID-9149)

Le paramètre d'environnement linguistique du serveur d'application peut entraîner l'affichage de deux langues lorsque la localisation est activée sur Identity Auditor et Identity Manager. (ID-9468)

Solution : Définir la valeur de l'environnement linguistique sur « C » peut résoudre ce problème.

Approbations

Les approbations d'Identity Manager ne sont pas prises en charge dans la page Résolutions d'Identity Auditor. Pour effectuer des approbations, allez à la page Approbations dans Identity Manager. (ID-9479)

Stratégies d'audit

Pendant un balayage, les relances visant à récupérer des comptes d'utilisateurs qui n'ont pas été extraits des ressources ou quand d'autre défaillances se sont produites ne sont pas prises en charge Ces défaillances sont rapportées à la fin du balayage mais il n'y a pas de moyen automatique de rebalayer ces comptes. (ID-9112)

Pour configure le nombre de threads qu'un balayage lance, ajoutez un champ nommé maxThreads au formulaire qui lance la tâche. La valeur par défaut est 5. (ID-9127)

Identity Auditor tente de conserver les utilisateurs en conformité entre les balayages de stratégie en imposant la stratégie quand l'utilisateur est édité. Si vous éditez un utilisateur qui a des stratégies d'audit assignées et est également en position de violation d'une stratégie, vous ne pouvez pas enregistrer les modifications apportées à cet utilisateur, même si la modification est aussi simple que le transfert de l'utilisateur vers une autre organisation. (ID-9504)

Solution : Utilisez la fonction de déplacement affichée par un clic du bouton droit (ou rechercher puis déplacer) sur l'applet de l'utilisateur ou désactivez temporairement les contrôles de la stratégie d'audit.

Pour désactiver temporairement les contrôles de la stratégie d'audit, éditez la configuration système et supprimez la propriété userViewValidators. Cette propriété qui a une valeur de liste de chaînes est ajoutée pendant l'importation de init.xml ou upgrade.xml.

Rapports

Dans les rapports AuditPolicy, Ressource et Historique des violations par organisation, implémenter une mise à l'échelle logarithmique pour le type de diagramme pile, peut entraîner un comportement d'affichage inhabituel. (ID-9522)

Chapitre précédent Table des matières Chapitre suivant

Chapitre précédent Table des matières Chapitre suivant
Sun Java™ System Notes de version de Identity Installation Pack 2005Q4M3