Identity Manager 7.0 - Fonctions

Nouveautés de cette version

Sun Identity Manager 7.0 fusionne trois produits, Identity Manager, Identity Manager SPE et Identity Auditor, en un seul : Sun Java System Identity Manager 7.0. Cette solution intégrée constitue une méthode homogène et évolutive d’application de contrôles basés sur l’identité à l’ensemble des processus de provisioning et d’audit.

Les autres nouvelles fonctions disponibles sont les suivantes.

Amélioration des fonctions d’Auditor, notamment :

la prise en charge des examens d’accès périodiques ;

les rapports récapitulatifs et les rapports de séparation des obligations détaillés ;

l’amélioration de l’interface avec l’accès par un simple clic aux éléments de travail de résolution et d’examen des accès.

Interface utilisateur prête pour le déploiement, caractérisée notamment par :

un accès aux éléments de travail par un simple clic ;

un panneau à onglets facilitant la navigation et la personnalisation.

Mises à jour de Service Provider, dont :

l’administration déléguée reposant sur les répertoires ;

la prise en charge des notifications et des légendes de flux de travaux.

Nouvel environnement Identity Manager Integrated Development Environment construit sur NetBeans

Fonctions supplémentaires, dont :

la prise en charge de SPML 2.0 ;

les rapports sur les mesures avec les événements suivis.

La section Résumé des nouvelles fonctions fournit des informations supplémentaires sur les nouveautés que présente Identity Manager 7.0.

Résumé des nouvelles fonctions

Cette section récapitule les nouveautés que présente Identity Manager 7.0.

Installation et mise à jour

Identity Manager prend désormais en charge Oracle Database 10g Release2® comme référentiel. (ID-12908)

Les objets de type UserEntitlement sont à présent stockés dans leur propre tableau dans la base de données. (ID-13612)

Pour procéder à la mise à niveau d’une installation Identity Manager existante, exécutez le script de base de données upgradeto70.* approprié avant de mettre à niveau Identity Manager 7.0. Ces scripts ajoutent les tableaux de base de données nécessaires à la prise en charge des objets de type Examen d’accès périodique Identity Manager.

La structure de licences a été supprimée du produit. Une mise à niveau vers Identity Manager 7.0 sera entièrement opérationnelle pour l’ensemble des produits. Aucun panneau de licence ou aucune option de ligne de commande ne sont associés à la licence. Si vous tentez de valider une licence pour le produit, une erreur de type « commande introuvable » sera générée. (ID-13632, 13501)

Interfaces administrateur et utilisateur

La page Attributs d’identité comprend désormais une section Mots de passe, laquelle présente le statut de la génération des mots de passe par rapport aux attributs d’identité. Vous pouvez configurer Identity Manager de sorte qu’il assigne des mots de passe aux nouveaux utilisateurs à partir d’une valeur par défaut ou d’une règle, ou au moyen d’une stratégie de comptes du système d’identité générant des mots de passe. (ID-10274, 12560)

Le composant treetable prend désormais en charge les colonnes ajustables. Vous pouvez ainsi définir la largeur des colonnes dans les tableaux Liste des utilisateurs et Liste des ressources sur une valeur fixe (exprimée sous forme de pixels ou de pourcentage) au moyen de feuilles de style CSS. Vous avez également la possibilité de redimensionner les colonnes à l’aide de la souris en cliquant et en déplaçant la bordure droite de l’en-tête de colonne voulu. (ID-11474)

Le tri du contenu des tableaux d’arborescences de comptes et de ressources est dorénavant possible. (ID-12086)

La hiérarchie des menus des pages destinées à l’utilisateur final est désormais personnalisable. (ID-12415)

Identity Manager comprend à présent un attribut de responsable par défaut, lequel assure la prise en charge d’une relation responsable-subordonné construite. Ces informations sont stockées sur l’objet utilisateur Identity Manager. (ID-12416)

Tous les messages d’information et d’erreur au niveau de la page sont désormais affichés en haut de la page dans une zone présentant une icône d’erreur ou d’information. Dans les versions antérieures, ces messages étaient affichés en rouge (pour les erreurs) ou signalés par une petite icône (pour les messages d’information). (ID-12625)

Un utilisateur a désormais la possibilité de demander l’octroi ou l’interdiction d’accès pour certains rôles et certaines appartenances de ressources. Un responsable peut également s’acquitter de cette fonction dans le cas d’un employé qui lui est subordonné. (ID-13018)

Vous avez également la possibilité de modifier la polarité des couleurs de lignes alternées (grises et blanches) en ajoutant la propriété rowPolarity aux composants EditForm de XPRESS. Le comportement par défaut utilise une valeur true (vrai). La valeur false (faux) inverse la polarité et donne au premier champ de formulaire un arrière-plan de couleur blanche. (ID-13971)

L’interface utilisateur prend désormais en charge un lien de détection automatique (Self Discovery). Le lien « Inform Identity system of other accounts » (Système des autres comptes Inform Identity) a été déplacé de la page d’accueil de l’utilisateur final vers le nouvel onglet Self Discovery (Détection automatique) sur la barre de navigation, sous Profil. (ID-14698)

Le tableau suivant indique la réorganisation des onglets et des sous-onglets effectuée dans la version actuelle :


Onglets de la version précédente		Onglets de la version actuelle		Commentaires
Approbations		Éléments de travail >	Approbations
			Mes éléments de travail	Ce nouvel onglet affiche un résumé de tous les éléments de travail et sert de point de départ à la résolution des éléments de travail.
			Attestations	Ce nouvel onglet prend en charge la fonction Examen d’accès périodique et permet aux utilisateurs de résoudre les éléments de travail d’attestation.
			Autre	Ce nouvel onglet permet aux utilisateurs de résoudre les éléments de travail assignés autres que ceux de type Approbations, Attestations ou Résolutions.
			Historique	Cet onglet affiche un rapport sur l’ensemble des approbations, des rejets, des atténuations et des résolutions effectués par l’utilisateur.
			Déléguer mes éléments de travail	Ce nouvel onglet permet de déléguer tous les éléments de travail d’un utilisateur à une autre personne.
		Conformité >	Gérer les règles Gérer les balayages d’accès Examen des accès	Ces nouveaux onglets permettent de configurer et de gérer des stratégies d’audit et des examens d’accès.
Configurer >	Rapports	Rapports >	Configurer	Ce changement d’onglet renforce l’alignement des fonctions de rapport.
Configurer >	Ressources gérées	Ressources >	Configurer les types	Ce changement d’onglet renforce l’alignement de cette fonction sur les ressources.
Configurer >	Rôles admin Capacités Certificats Connexion Règles	Sécurité >	Rôles admin Capacités Certificats Connexion Règles	Le nouvel onglet Sécurité sert à réaligner les fonctions liées à la sécurisation des privilèges et accès aux comptes.
Configurer >	Métavue	Métavue >	Attributs d’identité Événements d’identité	Cet onglet vous permet de modifier directement les événements et attributs d’identité.
Analyse de risque >	Exécuter rapports Gérer rapports	Rapports >	Exécuter analyse de risque Afficher analyse de risque	Ce changement d’onglet aligne ces rapports sur les autres.
Service Provider Edition	Graphes du tableau de bord Afficher les tableaux de bord	Rapports >	Graphes du tableau de bord Afficher les tableaux de bord	Ces nouveaux sous-onglets (disponibles sous Rapports) représentent de nouvelles fonctions fusionnées à partir de Service Provider Edition et permettant de visualiser et de regrouper les rapports graphiques.
Service Provider Edition		Comptes	Gérer les utilisateurs Service Provider	Cet onglet vous permet de gérer les utilisateurs de type Service Provider à partir de l’interface d’Identity Manager.
Service Provider Edition >	Rechercher les transactions	Tâches du serveur	Transactions du fournisseur de services	L’onglet Rechercher les transactions a été déplacé de l’onglet Service Provider dans Service Provider Edition vers l’onglet Transactions du fournisseur de services (sous l’onglet Tâches du serveur).
Tâches		Tâches du serveur		Cet onglet a été renommé afin de mieux exprimer le fait que les tâches sont des processus à exécuter sur le serveur.
Changements d’onglets de l’interface d’Identity Auditor vers celle d’Identity Manager 7.0
Conformité >	Utilisateurs Vue des stratégies Vue des ressources Vue des organisations	Comptes	Menu Actions utilisateur	Toutes les actions utilisateur sont effectuées à partir de l’onglet Comptes d’Identity Manager. Les onglets Vue des stratégies, Vue des ressources et Vue des organisations ont été supprimés ; les rapports correspondants sont encore disponibles sous l’onglet Rapports. Les actions de type Afficher le journal de violation de conformité et Afficher l’état de conformité figurent à présent parmi les actions utilisateur.
Contrôles >	Gérer les règles	Conformité >	Gérer les règles
Configurer >	Règles	Comptes >	Menu Actions utilisateur	Éditer les stratégies d’audit utilisateur Éditer les stratégies d’audit de l’organisation
Résolutions>	Résolutions En cours Terminé	Éléments de travail >	Résolutions Historique	Les onglets En cours et Terminé ont été supprimés. L’onglet Résolutions affiche les résolutions en attente. L’onglet Historique affiche les éléments de travail de type résolution terminés.
Rapports >	Exécuter rapports Gérer rapports	Rapports >	Exécuter rapports Afficher les rapports	Tous les rapports de l’auditeur sont disponibles à partir de l’onglet Rapports, en choisissant le type Rapports de l’auditeur.
Tâches		Tâches du serveur

Audit

Identity Manager et Identity Manager SPE ont fusionné leurs deux structures d’audit, en apportant les modifications suivantes : (ID-13148)

Identity Manager et Identity Manager SPE ne disposent plus de structures de journaux d’audit distinctes.

Les interfaces de journaux d’audit d’Identity Manager SPE ont été désapprouvées.

Le service de journaux d’audit unifié permet à des parties tierces de développer des éditeurs d’audit personnalisés afin de traiter les événements d’audit liés à Identity Manager de même qu’à Identity Manager SPE.

La documentation de style Javadoc des nouvelles interfaces publiques est disponible dans le kit de référence.

Le kit de référence contient à présent des exemples de code illustrant les fonctions enfichables de la structure des journaux d’audit.

Auditor

La fonction d’examen d’accès périodique permet d’automatiser le regroupement et l’attestation des droits d’accès actuels des utilisateurs concernant les applications et les systèmes stratégiques. Elle permet ainsi de créer des enregistrements contenant le type d’accès actuel dont dispose un utilisateur concernant un(e) ou plusieurs systèmes et applications. Il est possible d’attester automatiquement chacun de ces enregistrements à l’aide de règles stratégiques ou de les acheminer à la personne appropriée à des fins d’attestation manuelle. (ID-9719)

En général, vous devez procéder à l’examen des accès de manière régulière afin de vous assurer qu’aucun utilisateur ne dispose de droits d’accès excessifs sur des systèmes stratégiques. En conservant les données d’accès utilisateur concernant plusieurs systèmes et applications dans un enregistrement unique, les examinateurs ont une vue d’ensemble de l’utilisateur, ce qui leur permet de formuler un jugement exact. Le processus automatisé est pris en charge par des outils de suivi indiquant la progression de l’examen en cours, ce qui reste à examiner et la personne chargée de ce travail. Le processus d’examen est intégré au balayage de stratégies d’audit classiques. De cette manière, les examens peuvent à la fois exécuter un contrôle de conformité (balayage des stratégies d’audit) et une vérification des accès (rapport et attestation).

Il est possible de personnaliser l’examen des accès en vue d’automatiser d’autres tâches, notamment :

savoir si un utilisateur est attesté ou non en fonction d’une règle ;

savoir si un utilisateur peut être attesté ou rejeté automatiquement en fonction d’une règle ;

définir la personne devant procéder à l’attestation manuelle d’un utilisateur donné en fonction d’une règle ;

attestation manuelle en fonction du flux de travaux (transfert, délégation et signalisation comprises) ;

les attestateurs ne doivent pas obligatoirement être des administrateurs IdM ; n’importe quel compte IdM est valable.

Le rapport de séparation des obligations est également nouveau dans Auditor. Il permet de capturer des conflits d’accès spécifiques permettant à un utilisateur de contourner des mesures de protection internes. (ID-12716) Ces conflits sont extrêmement graves dans les systèmes ERP et financiers où une violation de conflit peut aboutir à des erreurs financières. Auditor capture ce type de conflit dans un enregistrement de violation indiquant l’utilisateur, le système ou l’application et le conflit spécifique impliqués, notamment les paramètres de compte exacts ayant provoqué le conflit. La fonction de séparation des obligations d’Auditor permet de détecter des conflits liés aux paramètres de compte portant sur un système/une application ou sur plusieurs systèmes.

Ces conflits sont résumés dans un rapport de matrice spécifique, lequel comporte des informations détaillées sous chaque cellule de la matrice.

Formulaires

La fonction MultiSelect prend désormais en charge la nouvelle propriété displayCase, laquelle se définit sur « upper » (maj.) ou « lower » (min.). Cette fonction revient à définir un élément valueMap mappant chacune des allowedValues (valeurs autorisées) à leurs équivalents en majuscule ou en minuscule. (ID-8356)

Composants d’affichage HTML

Le composant SortingTable respecte à présent les propriétés align, valign et width des composants enfant constituant le tableau lors de la conversion au format HTML. Un composant InlineAlert est également disponible pour afficher des messages d’erreur, d’avertissement, de réussite et d’information dans les formulaires. (ID-12560)

Identity Manager Integrated Development Environment (IDE)

Identity Manager Integrated Development Environment (Identity Manager IDE) est une application Java vous permettant de visualiser, de personnaliser et de déboguer des objets Identity Manager dans le cadre de votre déploiement.

Identity Manager IDE présente les fonctions principales suivantes :

une fenêtre d’Explorateur intégrée affichant des vues projetées, sous forme de répertoires ou d’exécution d’un projet ;

des menus d’actions destinés à la modification des documents ;

des éditeurs personnalisés, dont :

des feuilles de propriétés d’objet et des éditeurs de valeurs graphiques permettant d’énumérer les propriétés d’objets XML et d’éditer les types d’objets de base, XPRESS et les objets XML sans recourir au code XML ;

une palette de glisser-déposer permettant d’ajouter des services de flux de travaux, des approbations, des utilisateurs et des tâches de flux de travaux à une source XML sans recourir au code XML ;

un fichier de définition waveset.dtd enregistré permettant la mise en surbrillance de la syntaxe et le remplissage automatique des attributs et des éléments XML.

un débogueur intégré pour les flux de travaux, les formulaires et les règles ;

un testeur de règles permettant de vérifier les règles autonomes et de bibliothèque ;

un outil de prévisualisation de formulaires permettant de prévisualiser et de corriger des formulaires dans un navigateur externe ;

une fonction de vérification des vues permettant d’extraire, de modifier et d’archiver des vues Identity Manager (comme une vue utilisateur).

l’intégration CVS.

Identity Manager IDE est un plug-in NetBeans entièrement intégré, conçu pour remplacer l’application Business Process Editor (BPE) d’Identity Manager. Pour plus d’informations sur l’installation et l’utilisation d’Identity Manager IDE, reportez-vous au chapitre intitulé « Using the Identity Manager IDE » (Utilisation d’Identity manager IDE) dans le guide Identity Manager Deployment Tools.

Identity Manager SPE

Les données de configuration et d’événements suivis d’Identity Manager SPE ne sont plus stockées dans un serveur d’annuaire LDAP. (ID-12170)

Les composants d’Identity Manager SPE accèdent dorénavant directement à ces données à partir du référentiel Identity Manager. Par conséquent, il est maintenant inutile de sélectionner et d’exporter les objets de configuration nécessaires à Identity Manager SPE. Le programme d’installation d’Identity Manager permet de mettre à jour un déploiement Identity Manager SPE en place.

Si des données d’événements suivis sont stockées dans le répertoire de configuration d’Identity Manager SPE, elles doivent être exportées au format XML avant la mise à niveau. Une fois la mise à niveau effectuée, il est possible d’importer ces données dans Identity Manager. De même, après une mise à niveau réussie, vous pouvez supprimer en toute sécurité le répertoire LDAP de configuration.

L’accès aux objets via Identity Manager SPE ne requiert plus de type de contexte distinct. Les formulaires Identity Manager SPE ne doivent plus définir la propriété needSpeContext et faire référence à ce contexte à l’aide de :display.speContext. (ID-12171)

Une interface publique a été créée afin de permettre aux clients d’appeler des légendes personnalisées avant et après l’exécution du provisioning. (ID-12173)

Identity Manager SPE propose à présent de meilleurs exemples de pages JSP pour l’utilisateur final. (ID-12175)

Identity Manager propose à présent un modèle d’administration et d’autorisation déléguées personnalisable, accessible à la fois à partir d’Identity Manager et du serveur des utilisateurs Identity Manager SPE. Ce modèle exploite les attributs de répertoire et ne dépend pas des organisations et capacités Identity Manager. (ID-12176)

Vous pouvez à présent exécuter Active Sync et SPE Synchronization sur le même serveur Identity Manager. Cependant, n’exécutez pas les deux sur la même ressource. (ID-12178)

Il est dorénavant possible de stocker l’attribut XML utilisateur Identity Manager SPE sous un format compressé afin de réduire l’encombrement du répertoire des utilisateurs SPE. (ID-12186)

Les transactions Identity Manager SPE prennent désormais en charge les niveaux de cohérence des mises à jour d’utilisateurs configurables. Les bases de données de stockage des transactions existantes doivent être modifiées et comprendre une colonne supplémentaire, userId VARCHAR(N) où N est suffisamment grand pour contenir la longueur maximale attendue pour un DN utilisateur Identity Manager SPE, suivi de 8 caractères supplémentaires. Ce changement apporté à la base de données ne se produit pas automatiquement lors de l’exécution des scripts de mise à niveau. (ID-13830)

Métavue

La nouvelle fonction Événements d’identité à été ajoutée à la métavue. Cette option vous permet de définir un modèle permettant de déterminer le moment où des événements se produisent sur des ressources et comment y répondre de manière adéquate. Elle vous donne également la possibilité de détecter, de supprimer, de désactiver et d’activer des événements en natif sur la ressource ou via l’évaluation d’une règle si la ressource ne prend pas en charge la détection de l’événement.

Vous pouvez répondre à des événements en appliquant toutes les combinaisons d’actions suivantes aux utilisateurs et aux comptes de ressources : suppression, annulation d’assignation, rupture de liaison, activation et désactivation. Les événements d’identité sont uniquement appliqués lors d’une opération Active Sync. À l’instar des attributs d’identité, ces événements ont lieu si Active Sync est sélectionnée en tant qu’application activée pour la métavue. (ID-12561)

Dans l’interface administrateur, la fonction Rapports supprimés a été ajoutée. Elle s’applique aux adaptateurs de ressources prenant en charge Active Sync en natif en vue de déterminer les comptes supprimés. (ID-13206)

La métavue prend à présent en charge une nouvelle option de définition des valeurs des champs cible. Il est également possible de fusionner les attributs à valeurs multiples. (ID-13212)

Rapports

Les résultats d’actions en masse sont maintenant téléchargeables dans un fichier au format CSV. (ID-9297)

Par défaut, les rapports suivants sont automatiquement étendus à l’ensemble des organisations contrôlées par l’administrateur connecté, à moins que ce comportement soit explicitement réduit à une ou plusieurs organisations spécifiques pour lesquelles le rapport doit être exécuté : Rapport récapitulatif du rôle admin, Rapport récapitulatif administrateur, Rapport récapitulatif du rôle admin, Rapport récapitulatif des questions des utilisateurs et Rapport récapitulatif des utilisateurs. Le composant d’étendue org a également été modifié en devenant un composant à sélection multiple. (ID-12116)

Identity Manager prend dorénavant en charge le contrôle de divers composants à l’aide de Java Management Extensions (JMX). (ID-12405)

Les nouveaux rapports sont désormais compatibles avec les relations responsable-subordonné : Récapitulatif de mes subordonnés directs, Récapitulatif de mon subordonné direct, Récapitulatif de mes subordonnés directs et indirects, et Rapport individuel de mes subordonnés directs. (ID-12416, ID-12689)

Il est à présent possible de personnaliser un rapport CSV codé avec le jeu de caractères UTF-8 en texte multioctet de manière à l’afficher dans des applications ne prenant pas en charge le codage UTF-8 (comme Microsoft Excel). (ID-13574)

Référentiel

Un administrateur a la possibilité de désactiver le groupement automatique des connexions internes d’un référentiel Identity Manager en définissant l’attribut connectionPoolDisable de l’objet RepositoryConfiguration sur true (vrai). L’ancienne méthode consistant à définir com.waveset.repository.ConnectionPoolDisable=true est maintenant désapprouvée. (ID-10924)

Identity Manager 7.0 supprime la signature de la méthode de référentiel #getLastMod(Type, long). Identity Manager 5.0 SP2 a désapprouvé cette signature de méthode au profit de #getLastMod(Type). Les applications personnalisées ne devraient pas faire référence à cette méthode ou renvoyer directement à une classe ou une interface comprise dans le package com.waveset.repository. (ID-11761)

Le pilote Microsoft SQL Server 2005 JDBC est à présent le pilote JDBC par défaut pour Microsoft SQL Server. Il remplace l’ancien pilote Microsoft SQL Server 2000 JDBC. Ce nouveau pilote par défaut modifie le nom de classe du pilote JDBC et le format des URL de base de données du serveur SQL. Il supprime également l’obligation d’ajouter « SelectMethod=Cursor » à ces URL. (ID-14136)

Ressources

Identity Manager 7.0 assure la prise en charge des ressources suivantes :

JDBC sous forme de script (ID-7540)

BridgeStream SmartRoles (ID-12262)

Prise en charge de domaines par Sun Java System Access Manager (ID-12414)

Les adaptateurs SecurId peuvent désormais récupérer les jetons par statut (par exemple, tous les jetons PERDUS ou tous les jetons ACTIVÉS). (ID-7646)

Les systèmes d’exploitation suivants sont à présent pris en charge : OS/400 v4r5, v5r2, v5r3 et v5r4 (5.2, 5.3 et 5.4). (ID-9928, 13122)

Plusieurs attributs ont été ajoutés à l’adaptateur Oracle ERP afin de prendre en charge les fonctions d’audit. (ID-11725)

L’adaptateur RACF prend maintenant en charge les filtres de recherche pour listAllObjects. (ID-10895)

L’adaptateur SAP HR Active Sync est désormais compatible avec mySAP ERP ECC 5.0 (SAP 5.0). (ID-12408)

Les adaptateurs SAP et SAPHR disposent à présent de trois nouveaux attributs de ressources dotés des paramètres permettant d’effectuer une nouvelle tentative d’opération SAP suite à une panne de réseau : (ID-12579)

Nombre des relances BAPI SAP : nombre de nouvelles tentatives de l’opération.

Nombre des relances de connexion SAP : nombre de nouvelles tentatives de reconnexion au serveur SAP.

Temps d’attente entre les relances de connexion SAP : laps de temps (exprimé en millisecondes) devant s’écouler avant toute nouvelle tentative de reconnexion au serveur SAP.

L’adaptateur Oracle ERP prend désormais en charge la fonctionnalité SOB (Set Of Books). (ID-12715)

Un tri VLV est dorénavant configurable. L’attribut de tri VLV (vlvSortAttribute) a été ajouté à la ressource LDAP. Si l’attribut est défini, sa valeur est utilisée pour le tri, sinon la valeur uid est appliquée. (ID-13321)

Rôles

Les rôles et groupes de ressources offrent désormais la possibilité (seuls ou à plusieurs) d’assigner à des utilisateurs plusieurs comptes sur une ressource. (ID-6684)

Sécurité

Les utilisateurs dotés de capacités d’approbateur peuvent désormais déléguer leurs futures demandes d’approbation à un ou plusieurs autres utilisateurs qui ne sont pas des approbateurs Identity Manager pendant une période spécifique. La délégation est possible à partir de trois interfaces : (ID-8485)

le menu principal de l’utilisateur final : lien Déléguer les approbations ;

l’onglet Approbations admin : sous-onglet Déléguer mes approbations ;

(Admin) Créer/Éditer/Afficher l’utilisateur : section Sécurité.

Serveur

Identity Manager 7.0 est dorénavant compatible avec les serveurs d’application JBoss. (ID-10620)

Identity Manager 7.0 permet désormais de créer et de conserver un grand nombre de ressources similaires. (ID-11325)

SOAP

Identity Manager 7.0 prend désormais en charge SPML (Service Provisioning Markup Language) version 2.0. (ID-12417)

Flux de travaux

La délégation d’éléments de travail peut être configurée par n’importe quel utilisateur à présent. Cette option est disponible à partir de l’interface admin et de la nouvelle interface par défaut de l’utilisateur final. (ID-14110)

Bogues corrigés dans cette version

Cette section décrit les bogues corrigés dans Identity Manager 7.0.

Installation et mise à jour

Les informations d’identification peuvent désormais être transmises à com.waveset.install.UpgradePostProcess. Ce changement facilite le processus de mise à niveau, tout particulièrement lorsque le mot de passe de Configurator a été modifié et que vous procédez à une mise à niveau manuelle sans accès à une interface graphique. (ID-13006)

L’interface de connexion d’Auditor Login a été supprimée. (ID-14481)

Points à prendre en compte dans le cadre d’une mise à niveau :

Toutes les stratégies de comptes existantes disposant de questions définies pour l’application Auditor seront modifiées comme suit :

Si la stratégie compte également des questions définies pour l’admin et/ou l’application par défaut, les questions concernant l’application Auditor seront ignorées au profit des questions admin et/ou par défaut.

Si la stratégie ne comporte pas de questions définies pour l’admin ou l’application par défaut, les questions conçues pour l’application Auditor seront redéfinies comme questions admin.

Les réponses d’authentification d’un utilisateur définies pour l’application Auditor seront modifiées comme suit :

Si l’utilisateur dispose également de réponses définies pour l’admin et/ou l’application par défaut, les réponses conçues pour l’application Auditor seront ignorées.

Si l’utilisateur ne dispose pas de réponses définies pour l’admin ou l’application par défaut, les réponses conçues pour l’application Auditor seront redéfinies comme réponses admin.

Les mises à niveau à partir d’une installation antérieure dont une fonction Identity Auditor était activée disposeront dorénavant de l’organisation Auditor dans le tableau des comptes/organisations. Les nouvelles installations ne comportent pas d’organisation Auditor. (ID-14636)

Si vous avez écrit une règle de stratégie d’audit pour la séparation des obligations dans une version antérieure ayant entraîné la personnalisation du formulaire de détails de la violation des conflits, vous devez enregistrer ce formulaire avant de procéder à la mise à niveau. (ID-14772)

Interfaces administrateur et utilisateur

Un message d’erreur clair s’affiche lorsqu’un utilisateur tente de se connecter alors que la ressource pour laquelle il est configuré est hors service. (ID-1905)

Il est dorénavant possible d’afficher les messages relatifs aux erreurs considérées comme fatales à l’aide d’un message configuré par défaut et de consigner des informations supplémentaires dans le fichier journal syslog. Les adaptateurs de ressources UNIX ont été modifiés de manière à utiliser ce mode d’affichage des messages d’erreur. (ID-5495)

Vous pouvez désormais remplacer la chaîne du nom de produit affichée sur la barre de titre du navigateur par une chaîne de votre choix dans la langue souhaitée. (ID-10905)

La tâche Synchronisation des rôles terminée n’affiche plus de message pendant son exécution. Elle a également été améliorée grâce à l’ajout d’un tableau de statistiques. Les erreurs et les exceptions s’affichent maintenant pour la tâche achevée. (ID-11181)

La page Changer les réponses aux questions d’authentification pour l’utilisateur final traite maintenant correctement les utilisateurs ne disposant pas de questions d’authentification. (ID-11773)

Le lien de boîte de réception disponible lors de la connexion d’un utilisateur anonyme pointe à présent vers le nouveau tableau répertoriant les éléments de travail de l’utilisateur final. (ID-12816)

Les objets à sélection multiple trient à présent les valeurs disponibles lorsque les propriétés noApplet=true et sorted=true sont définies. (ID-12823)

Les utilisateurs finaux ne reçoivent plus de boîtes de dialogue contextuelles lorsqu’ils accèdent à un site sécurisé ou le quittent. (ID-13054)

Les formulaires affichant un récapitulatif des stratégies de mots de passe de compte par ressource intègrent à présent le contenu dans le tableau. Dans les versions antérieures, ces informations récapitulatives défilaient sur le côté droit de la fenêtre du navigateur. (ID-13109)

Dans le fichier sysconfig, le paramètre security.delegation.historyLength contrôle à présent le nombre de délégations antérieures enregistrées. (ID-13141)

La version admin du fichier continueLogin.jsp affiche maintenant correctement les messages du catalogue. (ID-13193)

Une exception de pointeur nul générée dans les versions antérieures lorsqu’un utilisateur annulait et éditait une ressource après une recherche ou un filtrage ne se produit plus. (ID-13434)

Lors de la création d’un rôle, la mention « Groupes de ressources disponibles » n’apparaît plus deux fois (des deux côtés du panneau). (ID-13573)

La copie d’une ressource existante effectuée en renommant celle-ci et en sélectionnant Créer au lieu de Renommer duplique correctement les facettes de la ressource (l’activation ou non d’ActiveSync, par exemple). (ID-14175)

Le verrouillage et le déverrouillage de comptes fonctionnent maintenant correctement lorsque la stratégie de compte de la configuration principale de type Service Provider n’est pas définie. Dans les versions antérieures, le bouton de verrouillage fonctionnait seulement sur la page d’édition de compte Service Provider lorsqu’une stratégie de compte était configurée pour le fournisseur de services. (ID-14181)

Formulaires

La fonction de tri de la classe d’affichage SortingTable ne génère plus d’erreur lors d’une action manuelle. (ID-12508)

Les messages relatifs aux règles de vérification s’affichent à présent dans la langue du client et non plus celle du serveur. (ID-12780)

Identity Auditor

Il est à présent possible de configurer une stratégie d’audit en vue d’analyser un ensemble limité de ressources. (ID-9127)

Les stratégies assignées indirectement peuvent désormais être affichées. (ID-11886)

Il est possible de définir UserViewConstants.OP_CALL_VIEW_VALIDATORS pour un contrôle de stratégies lors du provisioning. (ID-12757)

Les contrôles de stratégies lors d’opérations de provisioning utilisateur sont disponibles à partir du fil de provisioning. Le comportement antérieur faisait systématiquement appel à une tâche distincte pour effectuer ce contrôle. Si le comportement de la tâche a été personnalisé, le contournement de la tâche peut désactiver les personnalisations. Pour remédier à ce problème, définissez l’attribut user.view.alwaysUseTask de l’objet de configuration système sur true, ce qui activera l’ancien comportement. (ID-14086)

Identity Manager SPE

L’horloge des événements transactionnels n’est pas redémarrée lors d’une transaction. Dans les versions antérieures, la durée du traitement des transactions au sein d’Identity Manager SPE excluait le temps passé à évaluer la stratégie de compte. (ID-14416)

Identity Manager SPE reprend à présent le traitement des transactions après l’arrêt brutal du service (par exemple, lorsque le serveur d’application se ferme suite à un manque de mémoire). (ID-14579)

Version traduite

Les clés de message servant de questions d’authentification s’affichent correctement à présent sur la page des résultats. (ID-13076)

Mainframe

L’adaptateur RACF ne recherche plus une chaîne longue pour chaque utilisateur récupéré dans listAllObjects, ce qui augmente généralement les performances de cette fonction dans le cas d’un nombre important d’utilisateurs. (ID-12829)

Rapports

Les anciennes valeurs d’attributs sont à présent correctes dans un rapport d’audit. (ID-12287)

La génération de noms TaskTemplate trop longs (dépassant la valeur MAX_NAME_LENGTH) a été corrigée. (ID-13790)

Référentiel

Si vous utilisez Oracle 10g comme référentiel avec une charge élevée (par exemple, plus de 100 000 utilisateurs), les performances accusent parfois une chute lors de la création et de la modification d’utilisateurs. Pour rétablir les performances, essayez de mettre à jour les statistiques du tableau userobj avec la déclaration SQL suivante : (ID-14605)

analyze table waveset.userattr compute statistics;

Ressources

L’attribut de ressources removeDenyGroupsDuringDelete de l’adaptateur de ressource Domino indique si un utilisateur doit être supprimé des appartenances au groupe d’accès refusé lors de la suppression via Identity Manager. La définition de cet attribut sur true valide la suppression des groupes. La valeur par défaut de cet attribut est false à des fins de compatibilité ascendante. (ID-10466)

L’adaptateur LDAP ne crée plus de nom distinctif (DN) erroné pour les nouveaux comptes. (ID-10951)

La méthode d’échappement de com.sun.idm.util.ldap.DnUtil est également applicable aux formulaires pour neutraliser les valeurs à insérer dans les modèles d’identité des adaptateurs de ressources au format DN LDAP. Autre solution possible, l’utilisation d’une stratégie accountId avec l’option « Requérir le format DN LDAP » cochée pour valider les noms distinctifs LDAP insérés dans Identity Manager par entrée (entrée utilisateur, ActiveSync et réconciliation, par exemple).

La méthode de normalisation de l’analyseur RFC2253Parser reconnaît et signale à présent les noms distinctifs (DN) LDAP incorrects. (ID-10952)

La méthode getNextIndex de DblBufferIterator n’accède plus aux informations de taille des baies de référence en dehors de la synchronisation de l’objet. (ID-11129)

Le statut de la synchronisation dans un environnement clusterisé a été amélioré. (ID-11250)

La méthode isPickListAttribute au sein de com.waveset.adapter.SiebelResourceAdapter n’est plus erronément identifiée comme isMVGAttribute dans le système de suivi. (ID-11471)

La valeur par défaut de l’attribut Objectclasses to synchronize d’Active Sync sur les ressources LDAP est désormais définie sur inetorgperson. (ID-11644)

Le nombre maximum de journaux Active Sync fichier plat configurés sur une ressource Active Sync est désormais défini correctement. (ID-11848)

Le mappage de l’attribut objectClass n’est plus nécessaire dans un mappage de schéma de ressources LDAP pour qu’Active Sync fonctionne. Il est nécessaire de modifier les adaptateurs de ressources personnalisés étendant com.waveset.adapter.LDAPResourceAdapter et remplaçant les méthodes poll() et getUpdateRows(UpdateRow) afin de pouvoir appeler LDAPResourceAdapterBase.ensureObjectClassInSchemaMap() selon l’une ou l’autre méthode. (ID-11880)

L’adaptateur de ressources Domino prend maintenant en charge la définition de l’option « Stocker l’ID dans un fichier » sur false en tant qu’attribut de ressource, ce qui désactive la création du fichier d’ID de l’utilisateur sur un disque local. Le fichier d’ID doit néanmoins être fourni lors de la création de l’utilisateur. (ID-12139)

Les adaptateurs Solaris et Linux renvoient désormais des informations sur la dernière connexion remontant à une année. (ID-12182)

L’adaptateur ERP Oracle ferme les curseurs de base de données Oracle. Dans les versions antérieures, l’adaptateur n’y parvenait pas, ce qui, après une période prolongée, générait une erreur du type « ORA-01000 : nombre maximum de curseurs ouverts dépassé ». (ID-12222)

Les erreurs relatives aux utilisateurs ou aux comptes verrouillés depuis Active Sync sont désormais consignées. (ID-12446)

Si une panne se produit avec Active Sync en raison du verrouillage par un autre processus d’un compte ou d’un utilisateur nécessitant une mise à jour, le compte ou l’utilisateur en question est consigné dans le journal syslog, lequel vous permet de renouveler l’exécution de la transaction une fois le compte déverrouillé.

Pour l’adaptateur de ressources Domino, les mises à jour simultanées de HTTPPassword pour plusieurs utilisateurs disposant de l’appel d’API NSFNoteComputeWithForm() ne génèrent plus d’erreur de passerelle de type -551. (ID-12466)

Les clients utilisant directement des API sans passer par Identity Manager ne subissent plus d’arrêts brutaux de la part de la passerelle. (ID-12481)

L’adaptateur Active Sync fichier plat fournit à présent un message d’avertissement dans le journal Active Sync (si activé) chaque fois qu’une erreur empêchant l’exécution d’une action diff à des fins de synchronisation se produit. (ID-12484)

L’émulation de terminal permettant de créer un compte d’adaptateur de ressources Natural a été modifiée de sorte qu’un nom d’utilisateur de 8 caractères n’utilise pas d’onglet pour sélectionner l’attribut de copie de liens. (ID-12503)

La modification d’objets AttrParse ne nécessite pas le redémarrage du système pour que les valeurs soient prises en compte. (ID-12516)

L’adaptateur LDAP Siteminder effectue à présent correctement les opérations suivantes, même lorsque l’utilisateur Siteminder est verrouillé suite à l’échec de ses tentatives de connexion. (ID-12824)

activation ;

désactivation ;

expiration du mot de passe (avec activation/désactivation) ;

non expiration du mot de passe (avec activation/désactivation).

Le changement d’appartenance à un groupe LDAP utilise à présent des ajouts et retraits individuels au lieu de réécrire intégralement le groupe (c.-à-d., remplacer entièrement l’attribut uniqueMember). (ID-13035)

Le cas échéant, Identity Manager efface les privilèges admin avant de tenter de supprimer un utilisateur à ID sécurisé. (ID-13053)

Une fuite de curseur dans l’adaptateur du tableau Oracle (DatabaseTableResourceAdapter) a été corrigée. (ID-13111)

La syntaxe de l’attribut complexe auditorObject relatif à la ressource ERP Oracle a été modifiée de manière à inclure un espace de noms. Cela facilite la récupération d’informations à partir de GenericObject. La syntaxe de l’attribut comprend désormais un auditorResps de niveau supérieur contenant une liste des objets de type responsabilité. (ID-13302)

Les performances d’AttrParse ont été améliorées. L’analyse standard n’émet plus ni ne saisit d’exception pour chaque caractère compris dans un tampon analysé. (ID-13384)

Le SecurID de l’adaptateur UNIX effectue désormais le codage et le décodage de caractères UTF-8 lors d’opérations avec RSA. (ID-13451)

Lors de la création d’un compte sur une ressource Windows NT via l’adaptateur de ressources Windows NT, le message d’erreur suivant ne s’affiche plus sur la page des résultats de la création d’un utilisateur : « Error requiring password: put_PasswordRequired(): 0X80004005:E_FAIL ». (ID-13618)

L’attribut PasswordNeverExpires d’Active Directory peut désormais être défini lors d’une mise à jour. (ID-13710)

Le serveur Identity Manager 7.0 avertit les fils d’attente en appelant notify après la rupture d’une connexion via la passerelle. (ID-14044)

Sécurité

Un utilisateur disposant de la capacité Administrateur d’organisation pour une organisation donnée ne peut plus créer d’organisations au sein d’organisations existantes, même s’il est doté des capacités Administrateur de compte et Administrateur des rôles. (ID-10235)

La génération des mots de passe fonctionne correctement pour les mots de passe n’obéissant à aucune stratégie. (ID-12275)

Un message d’avertissement d’expiration du mot de passe s’affiche à présent pour l’interface admin. (ID-13236)

La capacité d’approbateur ne bénéficie plus de droits sur les éléments de travail de résolution. (ID-14163)

Dans le cadre des installations antérieures à Identity Manager 7.0, la capacité d’approbateur disposait des droits intégraux WorkItem. Les types d’authentification RemediationWorkItem et AttestationWorkItem sont étendus à partir de WorkItem. Par conséquent, l’approbateur dispose des droits intégraux sur RemediationWorkItems et, éventuellement, sur les Attestations des autres utilisateurs.

Ce problème a été résolu dans les nouvelles installations d’Identity Manager 7.0 et dans les installations procédant à une mise à niveau vers Identity Manager 7.0. À titre de compatibilité ascendante, les installations antérieures à Identity Manager 7.0 permettent de résoudre ce problème de la manière suivante :

Les références à la capacité d’approbateur doivent être remplacées par la nouvelle capacité Administrateur des approbateurs. Cela concerne les références au groupe admin de l’utilisateur et toutes les règles ou tous les flux de travaux pouvant assigner la capacité d’approbateur.

Assurez-vous que les éléments de travail en cours de création dans les flux de travaux disposent d’un authType spécifié, sans quoi le type d’authentification sera défini par défaut sur l’authType d’approbation.

Exécutez WorkItemUpdater dans le fichier update.xml pour modifier les éléments de travail dotés d’une valeur nulle pour authType en leur attribuant la valeur authType d’approbation (acceptant la définition de tout type authType requis). Les déclarations et instructions se trouvent dans le fichier mais elles sont mises en commentaire par défaut.

Les utilisateurs ne disposant pas de capacités d’administrateur peuvent désormais visualiser les rôles et les ressources. (ID-14745)

Dans les versions antérieures, les rôles et les ressources n’étaient pas disponibles pour les utilisateurs sans droits d’admin sur les organisations. Ainsi, lorsqu’un utilisateur sélectionnait « Mettre à jour mes rôles » ou « Mettre à jour mes ressources », aucun élément ne s’affichait.

Serveur

Les sous-objets TaskInstance tels que les approbations sont désormais supprimés correctement à la fin d’une tâche. (ID-3258)

Dans un formulaire, l’utilisation de <set> au sein d’<Expansion> fonctionne normalement à présent. (ID-9617)

Le dernier enregistrement d’audit ne manque plus suite à l’échec d’une nouvelle tentative après le changement de nom d’une ressource. (ID-9714)

Dans un environnement clusterisé, un échec de connexion sur les pages de l’utilisateur final n’entraîne plus d’exception liée à la sérialisation. (ID-10556)

Un serveur ne tente plus de s’autodétecter comme étant sans réaction lorsqu’il met longtemps à traiter des informations sur les tâches. (ID-10920)

La configuration IAPI a migré sur IAPI XmlData, laquelle sert principalement aux ressources d’ActiveSync pour stocker des informations sur la dernière modification traitée. (ID-11266)

Le chargement du fichier update.xml entraîne ResourceUpdater à migrer les données de « limite supérieure du contrôle du débit » existantes de l’objet de configuration IAPI vers un objet XmlData en affichant le nom SYNC_resourceName, et à supprimer l’objet de configuration d’origine.

Les références au serveur de « session » et aux visionneurs désapprouvés dans la version Identity Manager 5.0 SP1 ont été supprimées. (ID-11873)

Le traitement des séparateurs est désormais supprimé entre crochets. De ce fait, tous les caractères compris entre les deux crochets sont traités comme un index ou un filtre. Remarque : il n’existe actuellement aucun mécanisme pour neutraliser le crochet de fermeture ]. (ID-12384)

Le nom de fichier changelog prend en charge les points (.) dans le préfixe. (ID-12470)

Les fins d’instances de tâches sont désormais auditées en tant qu’actions de type Terminer et non plus de type Modifier. (ID-12791)

Les performances de création d’objets de type compte ont été améliorées, ce qui devrait également accélérer les opérations de réconciliations et de provisioning. (ID-13341)

Un nouveau paramètre de configuration serveur (disponible sous Configurer > Serveurs) vous permet de définir une limite pour le nombre maximum de tâches pouvant être exécutées simultanément par le serveur. (ID-13343)

Flux de travaux

Il est possible de résoudre une référence imbriquée à un nom de règle située dans la même bibliothèque sans être ajoutée devant le nom de celle-ci. Aucune erreur de règle non résolue ne s’affiche désormais. (ID-10265)

Si vous utilisez notification.rediret pour rediriger les messages vers un fichier, ce dernier est désormais écrit à l’aide de emailNotifier.contentCharset, comme le serait le message s’il était envoyé par e-mail. Cela permet au fichier de contenir des caractères non-ISO-8859-1. (ID-10331)

Des informations supplémentaires sont ajoutées à un message de flux de travaux lorsqu’un approbateur tente d’approuver ou de rejeter un élément de travail déjà approuvé ou rejeté. (ID-11045)

Le débogueur est maintenant activé par défaut. Pour les déploiements en production, il est recommandé de désactiver le débogueur en définissant la propriété de configuration système suivante : serverSettings.default.debugger.enabled=false. (ID-14076)

Documentation

En fusionnant les fonctions d’Identity Auditor et de Service Provider Edition dans Identity Manager pour cette version, les publications suivantes ont été désapprouvées :

Identity Auditor Administration

Identity Manager Service Provider Edition Administration Addendum

Identity Manager Audit Logging

Ces publications ont été consolidées dans le guide Identity Manager Administration.

Autres défauts corrigés

10475, 11052, 12452, 13434, 14178

Précedént Suivant

Précedént Suivant
Notes de version de Sun Java™ System Identity Manager