Identity Manager 7.0: funciones

Novedades de esta versión

Sun Identity Manager 7.0 combina tres productos: Identity Manager, Identity Manager SPE e Identity Auditor, que se han unido en un solo producto denominado Sun Java System Identity Manager 7.0. Esta solución integrada proporciona una forma coherente y ampliable de aplicar controles basados en identidades a todos los procesos de aprovisionamiento y auditoría.

Además ofrece otras novedades, entre ellas:

Mejora en las funciones de la aplicación de auditoría, lo que incluye:

Posibilidad de hacer una revisión periódica de los accesos.

Informes de separación de tareas detallados o resumidos.

Mejora de la interfaz, que incluye la posibilidad de acceder mediante un solo clic a las opciones de remediación y revisión de los accesos.

Interfaz de usuario lista para la implantación, lo que incluye:

Acceso con un solo clic a las opciones de trabajo.

Panel con fichas para facilitar el desplazamiento y la personalización.

Actualización de la edición de proveedor de servicios, lo que incluye:

Administración delegada basada en el directorio.

Posibilidad de introducir notificaciones y llamadas de flujo de trabajo.

Nuevo entorno de desarrollo integrado de Identity Manager incorporado a NetBeans.

Otras funciones, entre ellas:

Compatibilidad con SPML 2.0.

Informe de métricas sobre eventos de los que se ha hecho seguimiento.

La sección Resumen de funciones contiene información complementaria sobre las nuevas funciones incorporadas a Identity Manager 7.0.

Resumen de funciones

En esta sección se resumen las nuevas funciones incorporadas a Identity Manager 7.0.

Instalación y actualización

Ahora, Identity Manager admite Oracle Database 10g Release2® como respositorio. (ID-12908)

Los objetos UserEntitlement ahora se almacenan en su propia tabla de la base de datos. (ID-13612)

Antes de sustituir una instalación existente de Identity Manager por la versión 7.0, es preciso ejecutar la secuencia de comandos de base de datos upgradeto70.*. Este archivo añade a la base de datos las tablas necesarias para poder utilizar los objetos de revisión periódica de los accesos en Identity Manager.

Se ha suprimido la estructura de licencias del producto. Se habilitará una actualización a Identity Manager 7.0 totalmente funcional para todos los productos. No existen paneles ni opciones de la línea de comandos para obtener la licencia. Si trata de configurar la licencia del producto, aparecerá el error “command not found”. (ID-13632 13501)

Interfaces de administrador y usuario

La página Atributos de identidad ahora incluye una sección de contraseñas en la que se describe el estado de la generación de contraseñas con respecto a los atributos de identidad. Puede configurar Identity Manager de forma que asigne contraseñas a los nuevos usuarios en función de un valor predeterminado o una regla, o bien asignando una Directiva de cuentas del sistema Identity que genere las contraseñas. (ID-10274, 12560)

El componente de tabla jerarquizada (treetable) ahora admite columnas ajustables. Es posible utilizar las hojas de estilo en cascada para establecer el ancho de las columnas en la lista de usuarios y las tablas de listas de recursos con un valor porcentual o un valo fijo expresado en píxeles. También se puede cambiar el tamaño de las columnas haciendo clic con el ratón sobre el borde derecho de la cabecera de columna y arrastrándolo. (ID-11474)

Las tablas jerárquicas de cuentas y recursos ahora permiten ordenar su contenido. (ID-12086)

La jerarquía de menús para las páginas de usuario final ahora puede personalizarse. (ID-12415)

Identity Manager ahora incluye un atributo administrador (manager) predeterminado que permite utilizar una relación superior-subordinado integrada. Esta información se almacena en el objeto usuario de Identity Manager. (ID-12416)

Los mensajes de información y errores del nivel de página ahora aparecen en la parte superior de la página, en un recuadro que muestra un icono de error o información. Antes, estos mensajes aparecían en texto rojo en el caso de los errores o con un pequeño icono en el caso de los mensajes informativos. (ID-12625)

Ahora, los usuarios pueden solicitar la asignación o denegación del acceso a las afiliaciones a roles y recursos. Los administradores también pueden realizar esta función para empleados subordinados. (ID-13018)

Ahora se puede cambiar la polaridad de las filas alternativamente grises y blancas añadiendo la propiedad rowPolarity a los componentes EditForm de XPRESS. El valor true es el comportamiento predeterminado. El valor false invierte la polaridad y asigna al primer campo del formulario un fondo blanco. (ID-13971)

La interfaz de usuario ahora admite el vínculo Self Discovery. El vínculo “Informar a Identity System (Sistema de identidad) sobre otras cuentas” se ha trasladado desde la página inicial de usuario final a la nueva ficha Self Discovery de la barra de navegación situada bajo Perfil. (ID-14698)

En la tabla siguiente puede verse cómo se han reorganizado las fichas principales y secundarias en esta versión:


Fichas de la versión anterior		Fichas de esta versión		Comentarios
Aprobaciones		Elementos de trabajo >	Aprobaciones
			Mis elementos de trabajo	Esta nueva ficha muestra un resumen de todos los elementos de trabajo y proporciona un punto de partida para resolver estos elementos.
			Atestaciones	Esta nueva ficha permite utilizar la función Revisión periódica de los accesos. Con ella, los usuarios resuelven los elementos de trabajo de atestación.
			Otros	Esta ficha permite a los usuarios resolver elementos de trabajo asignados que no estén en el grupo de Aprobaciones, Atestaciones o Remediaciones.
			Historial	Esta ficha muestra un informe de todas las aprobaciones, denegaciones, mitigaciones y remediaciones realizadas por el usuario.
			Delegar mis elementos de trabajo	Esta ficha nueva permite delegar todos los elementos de trabajo a otro usuario.
		Cumplimiento >	Administrar directivas Administrar exploraciones de acceso Revisión de acceso	Estas nuevas fichas se utilizan para configurar y administrar las directivas de auditoría y las revisiones de los accesos.
Configurar >	Informes	Informes >	Configurar	Este cambio en las fichas ordena mejor las funciones de generación de informes.
Configurar >	Recursos administrados	Recursos >	Configurar tipos	Este cambio mejora la alineación de esta función con los recursos.
Configurar >	Roles de administrador Capacidades Certificados Iniciar sesión Directivas	Seguridad >	Roles de administrador Capacidades Certificados Iniciar sesión Directivas	Se ha introducido la ficha Seguridad en esta versión para reorganizar mejor las funciones relacionadas con el acceso seguro a las cuentas y los privilegios de acceso.
Configurar >	Vista Meta	Vista Meta >	Atributos de identidad Eventos de identidad	Esta ficha permite editar directamente los atributos y eventos de identidad.
Análisis de riesgo >	Ejecutar informes Administrar informes	Informes >	Ejecutar análisis de riesgo Ver análisis de riesgo	Este cambio de fichas alinea estos informes con otros informes.
Edición de proveedor de servicios	Gráficos del panel de control Ver paneles de control	Informes >	Gráficos del panel de control Ver paneles de control	Estas nuevas fichas, situadas bajo Informes, recogen nuevas funciones procedentes de la edición de proveedor de servicios que permiten ver y agrupar informes gráficos.
Edición de proveedor de servicios		Cuentas	Administrar los usuarios de proveedor de servicios	Esta ficha permite administrar tipos de usuarios de la edición de proveedor de servicios en la interfaz de Identity Manager.
Edición de proveedor de servicios >	Buscar transacciones	Tareas del servidor	Transacciones de proveedor de servicios	La ficha Buscar transacciones se ha trasladado de la ficha Proveedor de servicios de la edición de proveedor de servicios a la ficha Transacciones de proveedor de servicios de Tareas del servidor.
Tareas		Tareas del servidor		Se ha cambiado el nombre de esta ficha para reflejar mejor que las tareas son procesos que se ejecutan en el servidor.
Cambios de fichas entre la interfaz de Identity Auditor y la interfaz de Identity Manager 7.0
Cumplimiento >	Usuarios Vista de directiva Vista de recurso Vista de organización	Cuentas	Menú Acciones de Usuario	Todas las acciones de usuario se realizan desde la ficha Cuentas de Identity Manager. Se han suprimido las fichas Vista de directiva, Vista de recurso y Vista de organización. Los informes correspondientes siguen estando disponibles en la ficha Informes. Las acciones “Ver registro de violación de cumplimiento” y “Ver estado de cumplimiento” ahora están disponibles en el menú Acciones de Usuario.
Controles >	Administrar directivas	Cumplimiento >	Administrar directivas
Configurar >	Directivas	Cuentas >	Menú Acciones de Usuario	Edición de directivas de auditoría de usuarios Edición de directivas de auditoría de organizaciones
Remediaciones>	Remediaciones Pendiente Completado	Elementos de trabajo >	Remediaciones Historial	Las fichas Pendiente y Completado se han suprimido. La ficha Remediaciones muestra las remediaciones pendientes. La ficha Historial muestra los elementos de trabajo de remediación terminados.
Informes >	Ejecutar informes Administrar informes	Informes >	Ejecutar informes Ver informes	Todos los informes de auditor pueden seleccionarse en la ficha Informes eligiendo el tipo Informes de Auditor.
Tareas		Tareas del servidor

Auditoría

Identity Manager e Identity Manager SPE han combinado sus dos modelos de auditoría con los siguientes cambios: (ID-13148)

Ya no tienen modelos de registro de auditoría distintos.

Las interfaces de registro de auditoría de Identity Manager SPE se han invalidado.

El servicio de registro de auditoría unificado permite a terceros desarrollar publicadores para manejar los eventos de auditoría relacionados con Identity Manager e Identity Manager SPE.

La documentación de tipo Javadoc de las nuevas interfaces públicas está disponible en el kit de referencia.

Se ha incluido en el kit de referencia código de ejemplo que demuestra las funciones modulares del modelo de registro de auditoría.

Auditor

La Revisión periódica de los accesos permite automatizar la recopilación y atestación de los derechos de acceso de los usuarios que son críticos para los sistemas y las aplicaciones. Con ella, es posible crear registros que contengan el acceso que un determinado usuario tiene a uno o varios sistemas y aplicaciones. Cada uno de estos registros pueden atestarse automáticamente mediante reglas de directivas o dirigirse a la persona adecuada para su atestación manual. (ID-9719)

La revisión de los accesos normalmente se realiza de forma periódica para comprobar si los usuarios han realizado demasiados accesos a sistemas críticos. Al guardar los datos de acceso de los usuarios a varios sistemas y aplicaciones en un mismo registro, los revisores tienen una visión completa del usuario, lo que mejora su capacidad para realizar juicios más precisos. El proceso automático se realiza mediante herramientas de seguimiento que indican qué parte del trabajo ha terminado el proceso de revisión, cuánto queda y quién es responsable del trabajo restante. El proceso de revisión se integra con la exploración de directivas de auditoría tradicional, de forma que las revisiones pueden realizar tanto la comprobación de cumplimiento (exploración de directivas de atestación) y la revisión de los accesos (generación de informes y autenticación).

La revisión de los accesos puede personalizarse para proporcionar mayor nivel de automatización. Esto incluye:

Uso de reglas para decidir si un usuario debe atestarse o no.

Uso de reglas para decidir si un usuario puede atestarse o rechazarse de forma automática.

Uso de reglas a fin de decidir para quién debería efectuar la atestación manual de un determinado usuario.

Atestación manual basada en el flujo de trabajo, lo que incluye reenvío, delegación y subida de nivel.

Los atestantes no tienen por qué ser administradores de Identity Manager, vale cualquier cuenta de la aplicación.

La generación de informes de separación de tareas también es una función nueva en Auditor y constituye una forma de detectar conflictos de acceso específicos que permitirían a un usuario sortear los controles internos. (ID-12716) Estos conflictos son más graves en sistemas ERP y financieros, donde la existencia de un conflicto sin resolver puede dar lugar a errores financieros. Auditor detecta y señala estos conflictos con un registro de infracción que indica el usuario, el sistema o la aplicación y el conflicto del que se trata, además de incluir la configuración exacta de la cuenta que lo ha ocasionado. La función Separación de tareas de Auditor puede detectar conflictos de configuración de cuentas relativos a un solo sistema o aplicación, o a varios sistemas.

Estos conflictos se resumen en un informe con formato de matriz cuyas celdas contienen información adicional desplegable.

Formularios

La función de selección múltiple ahora proporciona la nueva propiedad displayCase, que puede configurarse como “upper” (mayúsculas) o “lower” (minúsculas). Esta función tiene un efecto similar al de definir un mapa de valores (valueMap) que asocie cada uno de los valores admitidos (allowedValues) a sus equivalentes en letra mayúscula o minúscula. (ID-8356)

Componentes de visualización HTML

Al generar la representación HTML, el componente SortingTable ahora respeta las propiedades align, valign y width de los componentes secundarios que contenga la tabla. También se ha introducido el componente InlineAlert para mostrar mensajes de error, advertencia, ejecución correcta o información en los formularios. (ID-12560)

Entorno de desarrollo integrado (IDE) de Identity Manager

El Entorno de desarrollo integrado de Identity Manager (IDE de Identity Manager) es una aplicación Java que le permite ver, personalizar y depurar objetos de Identity Manager en su implantación.

Entre las funciones más importantes de este IDE, se incluyen:

Ventana de Explorador integrada que permite obtener vistas de tiempo de ejecución o basadas en directorios de los proyectos.

Menús de acciones para la modificación de documentos.

Editores personalizados, lo que incluye:

Hojas de propiedades de objetos y editores de valores gráficos para enumerar las propiedades de los objetos XML y editar tipos de objetos básicos, XPRESS y objetos XML sin escribir código XML.

Paleta para añadir servicios y tareas de flujos de trabajo, aprobaciones y usuarios a archivos XML de origen con sólo arrastrar el ratón y soltar, y sin escribir código XML.

Archivo de definición waveset.dtd que permite marcar la sintaxis y completar automáticamente los elementos y atributos de XML.

Depurador integrado para flujos de trabajo, formularios y reglas.

Verificador de reglas para comprobar reglas independientes y de bibliotecas.

Visualizador de formularios para obtener una vista previa de los formularios en un navegador externo y solucionar problemas.

La función Vista para suprimir permite retirar, modificar y registrar vistas de Identity Manager (como la de un usuario).

Integración de valores separados por comas (CVS).

El IDE de Identity Manager es un complemento en formato NetBeans diseñado para sustituir a la aplicación Business Process Editor (BPE) de Identity Manager. Para obtener más información sobre la instalación y el uso del IDE de Identity Manager, consulte el capítulo titulado Using the Identity Manager IDE del documento Identity Manager Deployment Tools.

Identity Manager SPE

La configuración y los datos de eventos recopilados ya no se almacenan en servidores de directorio LDAP. (ID-12170)

Ahora, los componentes de Identity Manager SPE acceden a estos datos directamente desde el repositorio de Identity Manager. Por tanto, ya no es preciso seleccionar y exportar los objetos de configuración que necesita Identity Manager SPE. Es posible utilizar el programa de instalación de Identity Manager para actualizar implantaciones de Identity Manager SPE in situ.

Si los datos de eventos recopilados se están guardando en el directorio de configuración de Identity Manager SPE, deberían exportarse en formato XML antes de realizar la actualización. Una vez realizada la actualización, los datos pueden importarse a Identity Manager. Asimismo, una vez que la actualización se ha realizado correctamente, es posible borrar el directorio LDAP de configuración.

El acceso a los objetos mediante Identity Manager SPE ya no exige ningún tipo de contexto por separado. Los formularios de Identity Manager SPE ya no necesitan establecer la propiedad needSpeContext ni hacer referencia a este contexto con :display.speContext. (ID-12171)

Se ha creado una interfaz pública para que los clientes puedan hacer llamadas personalizadas antes de que se ejecute el aprovisionamiento y después de que termine de ejecutarse. (ID-12173)

Identity Manager SPE ahora proporciona mejores páginas JSP de usuario final de ejemplo. (ID-12175)

Identity Manager ahora proporciona un modelo de administración y autorización delegada personalizable al que se puede acceder desde el servidor de usuarios de Identity Manager SPE e Identity Manager. Este modelo aprovecha los atributos del directorio y no depende de las organizaciones ni de las capacidades de Identity Manager. (ID-12176)

Ahora es posible ejecutar Active Sync y la sincronización de SPE en el mismo servidor de Identity Manager, pero no pueden ejecutarse ambos en el mismo recurso. (ID-12178)

El atributo XML de usuario de Identity Manager SPE ahora puede almacenarse en formato comprimido para reducir el tamaño del directorio de usuarios de SPE. (ID-12186)

Ahora, las transacciones de Identity Manager SPE pueden utilizar niveles de coherencia de actualización de usuarios configurables. Las bases de datos de almacenamiento de transacciones existentes deberán modificarse para agregar una columna más, userId VARCHAR(N), donde N es lo suficientemente grande como para contener la longitud máxima previsible para los ND de usuario de Identity Manager SPE y otros 8 caracteres más. Este cambio de la base de datos no se realiza automáticamente cuando se ejecutan los archivos de comandos de actualización. (ID-13830)

Vista Meta

Se ha añadido la función Eventos de identidad a la vista meta. Esta opción permite definir un modelo para decidir el momento en que se producen eventos en los recursos y la forma más apropiada de responder a ellos. También permite detectar, borrar, inhabilitar y habilitar eventos de forma nativa en el recurso o mediante la evaluación de una regla si el recurso no admite la detección del evento.

Es posible responder a los eventos combinando como se desee la supresión, desasignación, desvinculación, habilitación e inhabilitación de cuentas de recursos y usuarios. Los eventos de identidad se aplican sólo durante la ejecución de Active Sync. Como ocurre con los atributos de identidad, estos eventos se aplican únicamente si se ha seleccionado Active Sync como aplicación habilitada para la vista meta. (ID-12561)

Se ha añadido la opción Informes eliminados a la interfaz de administrador. Esta función se aplica a adaptadores de recursos que admitan el uso de Active Sync para determinar si una cuenta se ha suprimido. (ID-13206)

La metavista ahora admite una nueva opción para configurar los valores de los campos de destino. También pueden fusionarse atributos con múltiples valores. (ID-13212)

Informes

Los resultados de las acciones globales ahora pueden descargarse en un archivo con formato CSV. (ID-9297)

En principio, los informes siguientes se configuran de forma automática para abarcar el conjunto de organizaciones controlado por el administrador que haya abierto la sesión, a menos que este comportamiento predeterminado se modifique seleccionando las organizaciones que debe abarcar el informe: Informe de resumen de roles de administración, Informe resumido del administrador, Informe resumido de roles, Informe resumido de preguntas del usuario e Informe resumido de usuario. El componente de ámbito de org ha pasado de admitir una sola selección a varias selecciones. (ID-12116)

Identity Manager ahora permite supervisar una serie de componentes utilizando JMX (Java Management Extensions). (ID-12405)

Los nuevos informes ahora pueden reflejar relaciones superior-subordinado: My Direct Reports Summary, My Direct Employee Summary, My Direct and Indirect Employee Summary y My Direct Reports Individual. (ID-12416, ID-12689)

Los informes con valores separados por comas (CSV) codificados con el juego de caracteres UTF-8 y texto de varios bytes ahora pueden personalizarse para aparecer en aplicaciones que no admiten la codificación UTF-8, como es el caso de Excel de Microsoft. (ID-13574)

Repositorio

El administrador puede inhabilitar un sondeo automático de conexiones internas del repositorio de Identity Manager configurando el atributo connectionPoolDisable del objeto RepositoryConfiguration con el valor true. El anterior método basado en configurar com.waveset.repository.ConnectionPoolDisable=true ha quedado invalidado. (ID-10924)

En Identity Manager 7.0 desaparece la firma de métodos del repositorio #getLastMod(Type, long). En Identity Manager 5.0 SP2 se invalidó esta firma de métodos para sustituirla por #getLastMod(Type). Las aplicaciones personalizadas no deben referirse a este método ni hacer referencia directa a ninguna clase o interfaz del paquete com.waveset.repository. (ID-11761)

El controlador predeterminado de JDBC para Microsoft SQL Server ahora es la versión para Microsoft SQL Server 2005, que sustituye al antiguo controlador de JDBC para Microsoft SQL Server 2000. Este nuevo controlador cambia el nombre de clase del controlador de JDBC y el formato de las URL donde se encuentran las bases de datos de SQL Server. También suprime el requisito de agregar el componente “SelectMethod=Cursor” a estas URL. (ID-14136)

Recursos

Identity Manager 7.0 permite utilizar los siguientes recursos:

JDBC con secuencias de comandos (ID-7540)

La aplicación SmartRoles de BridgeStream (ID-12262)

Uso de dominios en Sun Java System Access Manager (ID-12414)

Los adaptadores de SecurId ahora pueden recuperar tokens según su estatus (por ejemplo todos los tokens PERDIDOS o todos los HABILITADOS). (ID-7646)

Se ha añadido compatibilidad con OS/400 v4r5, v5r2, v5r3 y v5r4 (5.2, 5.3 y 5.4). (ID-9928, 13122)

Se han añadido múltiples atributos al adaptador de Oracle ERP para que admita funciones de auditoría. (ID-11725)

El adaptador de RACF ahora admite filtros de búsqueda para listAllObjects. (ID-10895)

El adaptador de Active Sync para SAP HR ahora es compatible con mySAP ERP ECC 5.0 (SAP 5.0). (ID-12408)

Los adaptadores de SAP y SAPHR ahora admiten tres nuevos atributos de recursos que proporcionan los parámetros necesarios para reintentar operaciones de SAP cuando se produce un fallo en la red: (ID-12579)

Recuento de reintentos BAPI SAP: número de veces que debe intentarse la operación.

Recuento de reintentos de conexión con SAP: número de veces que debe intentarse la conexión con el servidor SAP.

Tiempo de espera de reintento de conexión con SAP: cantidad de milisegundos que es preciso esperar antes de volver a intentar la conexión con el servidor de SAP.

El adaptador de Oracle ERP ahora admite la funcionalidad SOB (conjunto de libros). (ID-12715)

Ahora se puede configurar un atributo de clasificación VLV. Se ha agregado el atributo de clasificación VLV (vlvSortAttribute) al recurso de LDAP. Si se configura este atributo, su valor se utiliza para la clasificación pero, si no se configura, se utiliza el valor de “uid”. (ID-13321)

Roles

Los grupos de roles y recursos ahora ofrecen la posibilidad (en solitario o en combinación) de asignar a los usuarios varias cuentas en un recurso. (ID-6684)

Seguridad

Los usuarios con atributos de aprobador ahora pueden, durante un periodo de tiempo especificado, delegar sus peticiones de aprobación futuras en uno o varios usuarios que no sean aprobadores de Identity Manager. La delegación puede realizarse desde tres interfaces: (ID-8485)

Menú principal de Usuario final: vínculo Delegar aprobaciones

Ficha de aprobaciones del administrador: opción Delegar mis aprobaciones

Ventanas Crear, Editar o Ver usuario de la interfaz de administrador: sección Seguridad

Servidor

Identity Manager 7.0 ahora es compatible con JBoss Application Server. (ID-10620)

Identity Manager 7.0 ahora ofrece la posibilidad de crear y mantener grandes cantidades de recursos similares. (ID-11325)

SOAP

Identity Manager 7.0 ahora es compatible con SPML (Service Provisioning Markup Language) versión 2.0. (ID-12417)

Flujo de trabajo

En la nueva versión, cualquier usuario puede configurar la delegación de elementos de trabajo. Esta opción puede configurarse en la interfaz de administrador y en la nueva interfaz predeterminada de usuario final. (ID-14110)

Problemas corregidos en esta versión

En esta sección se describen errores que se han corregido para Identity Manager 7.0.

Instalación y actualización

Ahora es posible pasar credenciales a com.waveset.install.UpgradePostProcess. Este cambio facilita el proceso de actualización, en especial cuando se ha cambiado la contraseña de Configurator y se va a realizar una actualización manual sin acceso a interfaces gráficas de usuario. (ID-13006)

Se ha suprimido la interfaz de inicio de sesión de Auditor. (ID-14481)

Consideraciones relativas a la actualización:

Cualquier directiva de cuentas existente que tenga preguntas definidas para la aplicación Auditor se modificará de la forma siguiente:

Si la directiva también tiene preguntas definidas para el administrador o la aplicación predeterminada, se descartarán las preguntas destinadas a Auditor y se respetarán las del administrador o la aplicación predeterminada.

Si la directiva no tiene preguntas definidas para el administrador o la aplicación predeterminada, las preguntas destinadas a Auditor se redesignarán como preguntas para el administrador.

Cualquier respuesta de autenticación de los usuarios que se haya definido en la aplicación Auditor se modificará de la forma siguiente:

Si el usuario también tiene respuestas definidas para el administrador o la aplicación predeterminada, se descartan las respuestas de Auditor.

Si el usuario no tiene respuestas definidas para el administrador o la aplicación predeterminada, las respuestas destinadas a Auditor se redesignarán como respuestas para el administrador.

Las actualizaciones procedentes de una instalación anterior que tuviese una copia de Identity Auditor habilitada ahora mostrarán la organización de Auditor en la tabla de cuentas y organizaciones. Las instalaciones nuevas no contienen organizaciones de Auditor. (ID-14636)

Si se ha escrito una regla de directiva de auditoría para la separación de tareas en una versión anterior y, por este motivo, se ha personalizado el formulario de detalles de violación de conflictos, necesitará guardar ese formulario antes de la actualización. (ID-14772)

Interfaces de administrador y usuario

Si un usuario trata de acceder cuando el recurso en el que se encuentra definido está desactivado, aparece un mensaje de error explicando el problema. (ID-1905)

Ahora es posible configurar mensajes que aparezcan de forma predeterminada con los mensajes de errores considerados como graves y también se puede registrar información complementaria en syslog. Los adaptadores de recursos de UNIX se han modificado para utilizar esta forma de visualización de los mensajes. (ID-5495)

Ahora puede sustituir el nombre del producto que aparece en la barra de título del navegador por una cadena de caracteres de su elección. (ID-10905)

La tarea de sincronización de roles finalizada ya no muestra ningún mensaje indicando que aún se está ejecutando. Además, la tarea se ha mejorado con una tabla de datos estadísticos. Ahora aparece informacón de errores y excepciones sobre la tarea finalizada. (ID-11181)

La página de usuario “Cambiar las respuestas a las preguntas de autenticación” ahora maneja de forma más eficiente los usuarios que no tengan preguntas de autenticación. (ID-11773)

El vínculo del buzón de entrada de usuarios anónimos que inician la sesión ahora señala a la nueva tabla que contiene la lista de elementos de trabajo de usuario final. (ID-12816)

Los objetos de selección múltiple (MultiSelect) ahora ordenan los valores disponibles cuando se configuran las propiedades noApplet=true y sorted=true. (ID-12823)

Ya no aparecen cuadros de diálogo emergentes en la pantalla del usuario cuando entra o sale de un sitio seguro. (ID-13054)

Los formularios que muestran el resumen de directivas de contraseña de las cuentas por recurso ahora ajustan el contenido a la tabla. Antes, la información de resumen se salía por la parte derecha de la ventana del navegador. (ID-13109)

Ahora, el parámetro security.delegation.historyLength del archivo sysconfig controla el número de delegaciones que se han registrado con anterioridad. (ID-13141)

La versión de administrador de continueLogin.jsp ya muestra correctamente los mensajes del catálogo. (ID-13193)

Ya no se produce el error de puntero nulo que se generaba cuando un usuario cancelaba la edición de un recurso después de una operación de búsqueda o filtrado. (ID-13434)

Cuando se crea un nuevo rol, ya no aparece la opción “Grupos disponibles de recursos” duplicada a la izquierda y derecha del panel. (ID-13573)

Si se copia un recurso existente por el procedimiento de cambiar el nombre del recurso y seleccionar Crear en lugar de Cambiar nombre, ahora se duplican correctamente las facetas del recurso, como si se habilita ActiveSync. (ID-14175)

El bloqueo y desbloqueo de cuentas ahora funciona correctamente aunque no se haya definido la directiva de cuentas en la configuración principal de la edición de proveedor de servicios. Antes, el botón de bloqueo sólo funcionaba en la página de edición de cuentas de la versión para proveedor de servicios si se había configurado una directiva de cuentas en dicha versión. (ID-14181)

Formularios

La función de clasificación de la clase de visualización SortingTable ya no provoca errores durante acciones manuales. (ID-12508)

Los mensajes de reglas de verificación ahora aparecen en el entorno regional del cliente y no en el servidor. (ID-12780)

Identity Auditor

Ahora puede crearse una directiva de auditoría para examinar sólo un conjunto restringido de recursos. (ID-9127)

Ya pueden verse las directivas asignadas de forma indirecta. (ID-11886)

Es posible configurar UserViewConstants.OP_CALL_VIEW_VALIDATORS para comprobar las directivas durante el aprovisionamiento. (ID-12757)

La comprobación de directivas durante las operaciones de aprovisionamiento de usuarios pueden realizarse en el propio subproceso de aprovisionamiento. Antes era preciso utilizar una tarea independiente para realizar la comprobación. Si se ha personalizado el comportamiento de la tarea y ésta se omite, es posible que no se utilicen las personalizaciones. Para corregir este problema, defina el atributo de configuración del sistema user.view.alwaysUseTask con el valor true para forzar el uso del comportamiento anterior. (ID-14086)

Identity Manager SPE

El temporizador de eventos de transacción no se reinicia durante las transacciones. Antes, el tiempo de procesamiento de las transacciones de Identity Manager SPE no incluía el tiempo empleado en evaluar la directiva de cuentas (ID-14416)

Ahora, Identity Manager SPE reanuda el procesamiento de las transacciones cuando el servicio se detiene de forma irregular (por ejemplo, el servidor de aplicaciones se cierra con un error de falta de memoria). (ID-14579)

Configuraciones regionales

Las claves de mensajes utilizadas como preguntas de autenticación ahora se muestran correctamente en la página de resultados. (ID-13076)

Mainframe

El adaptador de RACF ya no examina una cadena de caracteres larga una vez por cada usuario recuperado en listAllObjects, lo que normalmente da lugar a un mejor rendimiento de esta función cuando maneja grandes cantidades de usuarios. (ID-12829)

Informes

Los valores de atributos antiguos ahora son correctos en el informe de auditoría. (ID-12287)

Ya se ha corregido el error por el que se generaban nombres de TaskTemplate demasiado largos (superiores al valor de MAX_NAME_LENGTH). (ID-13790)

Repositorio

Cuando se utiliza Oracle 10g como repositorio con cargas elevadas de datos (por ejemplo, más de 100.000 usuarios), a veces se produce un descenso del rendimiento en la creación y modificación de usuarios. Para recuperar el rendimiento, trate de actualizar las estadísticas de la tabla userobj con la siguiente sentencia SQL: (ID-14605)

analyze table waveset.userattr compute statistics;

Recursos

El atributo removeDenyGroupsDuringDelete del adaptador de recursos de Domino especifica si un usuario debe suprimirse de los grupos de denegación de acceso cuando se borre a través de Identity Manager. Al configurar este atributo con el valor true, se indica que el usuario debe suprimirse de los grupos. El valor predeterminado de este atributo es false para proporcionar compatibilidad con versiones anteriores. (ID-10466)

El adaptador de LDAP ya no crea nombres distinguidos (ND) incorrectos para las cuentas nuevas. (ID-10951)

El método escape de com.sun.idm.util.ldap.DnUtil ahora puede utilizarse en los fomularios para que se introduzcan valores de escape en las plantillas de identidades de los adaptadores de recursos con el formato de ND de LDAP. Como alternativa, puede utilizarse una directiva accountId con la opción “Required LDAP DN format” (formato de ND de LDAP necesario) seleccionada para validar la entrada de nombres distinguidos de LDAP en Identity Manager a través de datos introducidos por los usuarios, ActiveSync y procesos de reconciliación.

El método normalize de RFC2253Parser ahora reconoce y comunica la existencia de nombres distinguidos (ND) de LDAP incorrectos. (ID-10952)

El método getSiguienteIndex de DblBufferIterator ya no accede a la información de tamaño de la matriz fuera de la sincronización del objeto. (ID-11129)

Se ha mejorado el estado de sincronización en entornos de clúster. (ID-11250)

El método isPickListAttribute de com.waveset.adapter.SiebelResourceAdapter ya no se identifica erróneamente como isMVGAttribute en el sistema de seguimiento. (ID-11471)

El valor predeterminado del atributo Objectclasses to synchronize de Active Sync en los recursos de LDAP ahora es inetorgperson. (ID-11644)

El número máximo de registros de Flat File Active Sync configurados en un recurso de Active Sync ahora se crea correctamente. (ID-11848)

La asignación del atributo objectClass ya no es necesaria en el mapa de esquema de recursos de LDAP para que Active Sync pueda funcionar. Los adaptadores de recursos personalizados que amplíen el constructor com.waveset.adapter.LDAPResourceAdapter y sustituyan a los métodos poll() y getUpdateRows(UpdateRow) deberían modificarse para llamar a LDAPResourceAdapterBase.ensureObjectClassInSchemaMap() en cualquiera de los dos métodos. (ID-11880)

El adaptador de recursos de Domino ahora permite configurar la opción “Almacenar ID en un archivo” con el valor false como atributo de recursos, lo que inhabilita la creación del archivo de ID del usuario en un disco local. No obstante, sigue siendo necesario suministrar el archivo de ID al crear el usuario. (ID-12139)

Los adaptadores de Solaris y Linux ahora devuelven un año en la última información de inicio de sesión. (ID-12182)

El adaptador de Oracle ERP ahora cierra los cursores de base de datos de Oracle. Antes, el adaptador no podía cerrar los cursores, lo cual, transcurrido un periodo largo, provocaba el error “ORA-01000: maximum open cursors exceeded”. (ID-12222)

Ahora se registran los errores de cuentas o usuarios bloqueados de Active Sync. (ID-12446)

Si se produce un fallo con Active Sync porque una cuenta o un usuario que debería actualizarse está bloqueada por otro proceso, la cuenta o el usuario causante del error se escribe en syslog, lo que permite volver a ejecutar la transacción cuando la cuenta no está bloqueada.

En el adaptador de recursos de Domino, las actualizaciones concurrentes de HTTPPassword con varios usuarios mediante la llamada al API NSFNoteComputeWithForm() ya no da como resultado el error de puerta de enlace “-551”. (ID-12466)

Los usuarios que utilizan las API directamente sin pasar por Identity Manager ya no sufren bloqueos de la puerta de enlace. (ID-12481)

El adaptador de Flat File Active Sync ahora proporciona un mensaje de advertencia en el archivo de registro de Active Sync (si está habilitado) cada vez que se produce un error que impide la acción diff para efectuar la sincronización. (ID-12484)

La emulación de terminal utilizada para crear una cuenta del adaptador de recursos de Natural se ha modificado para que los nombres de usuario de 8 caracteres no utilicen una ficha para seleccionar el atributo Copy Links. (ID-12503)

No es preciso reiniciar el sistema después de modificar los objetos AttrParse para que los nuevos valores entren en efecto. (ID-12516)

El adaptador de Siteminder LDAP ahora realiza las siguientes operaciones de forma correcta aunque el usuario de Siteminder esté bloqueado tras haber fracasado en sucesivos intentos de iniciar la sesión. (ID-12824)

Habilitar

Inhabilitar

Caducar contraseña (con habilitar/inhabilitar)

No caducar contraseña (con habilitar/inhabilitar)

El cambio de la afiliación a grupos de LDAP ahora permite añadir o suprimir miembros de uno en uno sin necesidad de volver a escribir el grupo completo (es decir, sustituir el atributo uniqueMember completo). (ID-13035)

Identity Manager ahora borra los privilegios de administrador, si existen, antes de tratar de eliminar un usuario de Secure ID. (ID-13053)

Se ha corregido una fuga de cursor en el adaptador de tablas Oracle (DatabaseTableResourceAdapter). (ID-13111)

La sintaxis compleja del atributo auditorObject para el recurso de Oracle ERP se ha modificado para incluir un espacio de nombres que facilite la obtención de información de GenericObject. La sintaxis del atributo ahora incluye un “auditorResps” de alto nivel que contiene una lista de objetos de responsabilidad. (ID-13302)

Se han introducido mejoras en AttrParse. El análisis ya no envía ni capta una excepción por cada carácter del búfer analizado. (ID-13384)

El adaptador de SecurID para UNIX ahora codifica y decodifica el juego de caracteres UTF-8 cuando interopera con RSA. (ID-13451)

Al crear una cuenta en un recurso de Windows NT a través del adaptador de recursos de Windows NT, ya no aparece el mensaje de error siguiente en la página de resultados de Crear usuario: “Error requiring password: put_PasswordRequired(): 0X80004005:E_FAIL”. (ID-13618)

El atributo PasswordNeverExpires de Active Directory ahora puede configurarse durante las actualizaciones. (ID-13710)

El servidor de Identity Manager 7.0 ahora notifica los subprocesos en espera haciendo una llamada a notify después de suprimir una conexión en la puerta de enlace. (ID-14044)

Seguridad

Un usuario que tenga la capacidad de “Administrador de organizaciones” con respecto a una organización ya no puede crear organizaciones en otras organizaciones, aunque ese usuario tenga capacidades de “Administrador de cuentas” y “Administrador de roles”. (ID-10235)

La generación de contraseñas ahora funciona correctamente con contraseñas que no siguen ninguna directiva. (ID-12275)

Ahora aparece un mensaje en la interfaz de administrador que avisa de que las contraseñas han caducado. (ID-13236)

La capacidad de Aprobador ya no tiene derechos sobre los elementos de trabajo (WorkItem) de Remediación. (ID-14163)

En el caso de instalaciones previas a Identity Manager 7.0, la capacidad de Aprobador tiene derechos completos sobre WorkItem. Los tipos de autoridad (authTypes) RemediationWorkItem y AttesationWorkItem son ampliaciones de WorkItem, por tanto, el Aprobador tiene derechos completos sobre RemediationWorkItems y posiblemente sobre otras atestaciones (Attestations) de usuario.

Este problema se ha corregido en las nuevas instalaciones de Identity Manager 7.0 y en instalaciones de actualización a Identity Manager 7.0. Para proporcionar compatibilidad con versiones anteriores, las instalaciones previas a Identity Manager 7.0 pueden corregir este problema siguiendo estos pasos:

Cualquier referencia a la capacidad de Aprobador debería reasignarse al nuevo Administrador de aprobadores. Esto incluye referencias al grupo de administración del usuario y cualquier regla o flujo de trabajo que pueda asignar la capacidad de Aprobador.

Asegúrese de que cualquier elemento de trabajo que se cree en flujos de trabajo tenga un authType especificado o adopte Aprobación como valor predeterminado de authType.

Ejecute WorkItemUpdater en update.xml para que cualquier elemento de trabajo con authType nulo adopte el valor Aprobación para authType (lo que significa que es flexible para configurar cualquier authType necesario). Las sentencias e instrucciones están en el archivo, pero inhabilitadas de forma predeterminada.

Los usuarios sin capacidades de administrador ahora pueden ver roles y recursos. (ID-14745)

Antes, los usuarios que no tuvieran derechos de administración sobre las organizaciones no tenían acceso a roles ni recursos, y un usuario que seleccionase “Actualizar mis roles” o “Actualizar mis recursos” no podía ver los roles ni recursos disponibles para selección.

Servidor

Los subobjetos TaskInstance, como aprobaciones, ahora se borran adecuadamente cuando finaliza la tarea. (ID-3258)

En los formularios, el uso de <set> dentro de <Expansion> ahora funciona correctamente. (ID-9617)

Ya no desaparece el último registro de auditoría cuando falla un reintento después del cambio de nombre de un recurso. (ID-9714)

En entornos en clúster, un inicio de sesión fallido en las páginas de usuario final ya no genera ninguna excepción relacionada con la serialización. (ID-10556)

El servidor ya no trata de detectarse a sí mismo como servidor que no responde cuando se tarda mucho tiempo en procesar la información de tareas. (ID-10920)

El objeto de configuración de IAPI se ha trasladado a IAPI XmlData, que los recursos de ActiveSync utilizan principalmente para almacenar información sobre el último cambio procesado. (ID-11266)

La carga de update.xml hace que ResourceUpdater traslade los datos de “marca de agua superior” desde el objeto de configuración de IAPI a un objeto de XmlData con el nombre visualizado de SYNC_resourceName, y suprima el objeto de configuración original.

Se han suprimido las referencias a visores y el servidor de “sesión” que se invalidaron en Identity Manager 5.0 SP1. (ID-11873)

El procesamiento de delimitadores ahora se suprime entre corchetes. Por tanto, todos los caracteres que se encuentren entre corchetes se tratarán como un índice o un filtro. Nota: en estos momentos no hay ningún mecanismo de escape para el corchete de cierre “]”. (ID-12384)

Ahora, el nombre del archivo changelog puede contener puntos (.) en el prefijo. (ID-12470)

Las finalizaciones de instancias de tareas ahora se auditan como acciones Finalizar en lugar de acciones Modificar. (ID-12791)

El rendimiento de la creación de objetos Cuenta se ha mejorado, lo cual debería provocar también una mejora del rendimiento en las operaciones de reconciliación y aprovisionamiento. (ID-13341)

Un nuevo valor de configuración del servidor situado bajo Configurar->Servidores permite establecer un límite para el número máximo de tareas que un servidor puede ejecutar de forma simultánea. (ID-13343)

Flujo de trabajo

Ya pueden resolverse referencias anidadas relativas a un nombre de regla ubicado en la misma biblioteca, pero que no está precedido por el nombre de la biblioteca. Tampoco se produce ningún error de Regla no resuelta. (ID-10265)

Si se utiliza notification.rediret para redirigir los mensajes a un archivo, ese archivo ahora se reescribe utilizando emailNotifier.contentCharset, igual que ocurriría si se enviase por correo electrónico. Gracias a esto, el archivo puede contener caracteres no pertenecientes al juego ISO-8859-1. (ID-10331)

Ahora se añade más información al mensaje de flujo de trabajo cuando un aprobador trata de aprobar o rechazar un elemento de trabajo que ya ha sido aprobado o rechazado. (ID-11045)

El depurador ahora está habilitado de forma predeterminada. Para implantaciones de producción, se recomienda inhabilitar el depurador definiendo la siguiente propiedad de configuración del sistema: “serverSettings.default.debugger.enabled=false”. (ID-14076)

Documentación

Con la fusión de las funciones de Identity Auditor y Service Provider Edition en esta versión de Identity Manager, se han invalidado las siguientes publicaciones:

Identity Auditor Administration

Identity Manager Service Provider Edition Administration Addendum

Identity Manager Audit Logging

Estas publicaciones se han consolidado con el documento Identity Manager Administration.

Otros problemas corregidos

10475, 11052, 12452, 13434, 14178

Anterior Siguiente

Anterior Siguiente
Notas de la versión de Sun Java™ System Identity Manager 7.0