Problèmes connus

Les sections suivantes indiquent les problèmes connus et leurs solutions concernant :

Identity Manager

Généralités

Une invite de connexion s’affiche lorsque vous tentez de visiter des pages spécifiques si les cookies sont désactivés (ID-158).

Les systèmes exécutant Sun Identity Manager Gateway doivent être configurés de sorte que Dr. Watson ne génère pas de notifications visuelles. Si cette fonction est définie et que la passerelle rencontre une erreur, le processus se bloque jusqu’à ce que la fenêtre contextuelle soit fermée.

Les variables display.session et display.subject ne sont pas disponibles pour les éléments de formulaire de désactivation (Disable). Il est déconseillé de créer des activités potentiellement longues à exécuter dans les éléments de type Disable, car ces expressions sont exécutées chaque fois que le formulaire est recalculé. Il est préférable alors d’effectuer les calculs dans un autre élément de formulaire exécuté moins fréquemment.

Pour optimiser les performances lorsque vous travaillez à partir de l’interface Web d’Identity Manager, servez-vous du kit d’outils OpenSPML fourni avec Identity Manager. L’utilisation du fichier openspml.jar à partir du site Web openspml.org peut causer des fuites de mémoire. (ID-11889)

Si le chemin d’accès au répertoire d’installation d’Identity Manager contient un espace, indiquez la variable d’environnement WSHOME sans guillemets doubles ("), comme indiqué ci-dessous.



Remarque	Les barres obliques inverses (\) ne doivent pas être utilisées lors de la spécification du chemin même si celui-ci ne contient pas d’espaces.

set WSHOME=c:\Program Files\Apache Group\Tomcat 4.1\lighthouse

set WSHOME=c:\Progra~1\Apache~1\Tomcat~1\lighthouse

L’exemple suivant ne fonctionnerait pas :

set WSHOME=“c:\Program Files\Apache Group\Tomcat 4.1\lighthouse”

Les champs obligatoires définis sur le mappage du schéma des ressources sont seulement contrôlés lors de la création d’un compte utilisateur (ID-220). Si un champ doit être obligatoire lors des mises à jour de l’utilisateur, le formulaire associé doit être configuré à cet effet.

Aucun contrôle de la présence de caractères incorrects n’est effectué sur les noms de l’organisation, de l’administrateur, du compte, de l’attribut de l’utilisateur (côté gauche du mappage de schéma) ou sur les noms de tâches (ID-1145, 1206, 1679, 1734, 1767, 2413, 3331). Vous ne pouvez pas utiliser de dollar ($), de virgule (,), de point (.), d’apostrophe (‘), de perluète (&), de crochet d’ouverture ( [ ), de crochet de fermeture ( ] ) ni de deux-points (:) dans le nom de ces types d’objets.

Un message d’erreur trompeur est donné sur la page du compte lorsque vous tentez d’effectuer une action une fois la session arrivée à échéance (ID-1223).

Il est impossible d’afficher entièrement l’objet calendrier lorsque le navigateur utilise de grandes polices (ID-2120).

La case à cocher de sélection globale disponible sur la page des résultats de la recherche et la page répertoriant les tâches n’est pas désactivée si l’un des éléments de la liste est désélectionné (ID-5090). Cette case à cocher n’est pas prise en compte pendant l’action résultante si la case à cocher affichée en regard de chaque membre de la liste n’est pas sélectionnée.

Si vous apportez une modification à un catalogue de messages personnalisé, vous devez redémarrer le serveur pour qu’elle soit prise en compte. (ID-6792)

Les onglets de la barre latérale (tels que Lister les comptes, Rechercher des utilisateurs) ne s’affichent pas sur la page de confirmation lors de l’activation ou de la désactivation de plusieurs utilisateurs (ID-6866). Une fois la page confirmée et les résultats affichés, les onglets réapparaissent.

Pour le mécanisme habituel de détection d’un serveur en panne, il est supposé que tous les systèmes d’un cluster Identity Manager sont synchronisés sur la même heure (ID-7064). Avec un intervalle de panne par défaut de cinq minutes, si un serveur est décalé de cinq minutes par rapport à un autre, le serveur qui avance déclare que le serveur en retard est non opérationnel, causant des résultats inattendus. La solution consiste à maintenir une meilleure synchronisation temporelle ou à augmenter l’intervalle de basculement.

Sous Windows, si vous vous connectez en tant qu’utilisateur dont le nom contient des caractères codés sur deux octets et que le codage par défaut de la machine ne prend en charge que les caractères codés sur un octet, vous devez définir la variable d’environnement USER_JPI_PROFILE sur un répertoire existant dont le nom contient uniquement des caractères codés sur un octet. (ID-8540)

Installation et mise à jour

Lorsque vous installez Identity Manager à partir du fichier idm.war, les bits d’exécution ne sont pas définis sur les scripts de shell d’UNIX (ID-2371). La solution consiste à exécuter une commande chmod UNIX sur le répertoire idm/bin.

Lorsque Identity Manager est installé dans un environnement Tomcat 5.x, l’exécution des rapports génère une erreur java (ID-6652). La solution est la suivante :

cd $WSHOME\WEB-INF\classes

jar xvf ..\lib\j2ee.jar javax/activation/DataSource.class

La ressource AD Active Sync a été désapprouvée et remplacée par la ressource AD. Suivez les étapes ci-après pour migrer AD Active Sync vers des versions plus récentes : (ID-11363)

Exportez l’objet de ressource AD Active Sync existant dans un fichier xml (à partir de la ligne de commande ou des pages de débogage).

Supprimez la ressource existante (cela n’aura aucun impact sur les utilisateurs de Identity Manager ni sur les utilisateurs du compte de la ressource)

Créez une nouvelle ressource AD qui soit Active Sync.

Exportez cette nouvelle ressource dans un fichier XML.

Éditez ce fichier et changez les valeurs des attributs id et name afin qu’elles correspondent aux valeurs de l’ANCIEN objet de ressource enregistrées à l’étape 1. Ces attributs sont contenus dans la balise <Resource id=‘numéroID‘ name=‘AD’ ...>.

Enregistrez les changements dans le fichier.

Réimportez l’objet modifié dans Identity Manager en utilisant au choix la page Configurer >Importer un fichier d’échange ou la ligne de commande.

Si vous procédez à une mise à jour à partir d’une installation 6.x mais que vous souhaitez utiliser à présent les nouvelles pages conçues pour l’utilisateur final, vous devez modifier manuellement la valeur de la configuration système ui.web.user.showMenu sur true afin d’afficher la barre de navigation horizontale. (ID-14900)

Gestion des comptes

Il est possible de créer des comptes NT dont les noms dépassent 20 caractères et que les outils natifs de NT ne peuvent pas gérer (ID-710).

Un administrateur ne peut pas enregistrer de ressources ni de rôles contenant des organisations qu’il ne gère pas lui-même (ID-839).

Le tri des colonnes sur la page Résultats du provisioning ajoute des lignes vides supplémentaires aux résultats (ID-1105).

Les approbations de plusieurs centaines de comptes utilisateur peuvent prendre un temps considérable (ID-1149). La solution consiste à approuver les enregistrements de comptes utilisateur par petits groupes.

Il est impossible d’approuver des enregistrements d’approbation détenus par un administrateur ne disposant plus de la capacité correspondante (ID-1150). La solution consiste à supprimer l’administrateur des ressources, rôles et organisations pour lesquels il détient des droits d’approbation, puis à approuver les enregistrements d’approbation en attente avant de supprimer l’administrateur ou la capacité d’approbation correspondante.

La mise à jour d’un utilisateur sans que des modifications soient ne effectuées n’entraîne pas l’affichage de page de résultats détaillés (ID-2327).

Lors de la création d’un nouvel utilisateur ou de l’ajout d’une ressource à un utilisateur existant, si le nom distinctif de l’utilisateur est incorrect, la valeur incorrecte est masquée jusqu’à ce que l’administrateur se déconnecte (ID-2508). Toutes les tentatives visant à recréer l’utilisateur après en avoir corrigé le nom distinctif échoueront tant que l’administrateur restera connecté.

Le message de verrouillage de compte ne s’affiche pas sur l’écran de connexion de l’interface utilisateur d’Identity Manager sur Netscape 4.7 (ID-2680). Le message d’erreur s’affiche dans l’URL de la page.

Le nom « name » est un mot réservé aux vues et ne doit pas être utilisé en tant qu’attribut d’utilisateur d’Identity Manager sur les mappages de schémas de ressources (ID-2918).

Windows Active Directory exige que la passerelle soit exécutée en tant qu’administrateur habilité à créer des répertoires (ID-2919). Identity Manager peut créer des répertoires de base sur les systèmes Windows 2000. La création du compte du répertoire de base est effectuée par l’utilisateur sous le nom duquel le processus passerelle est exécuté, et non pas par l’administrateur spécifié dans la définition de la ressource. La solution consiste à changer l’utilisateur sous le nom duquel la passerelle fonctionne (de Système local à un compte autorisé à créer des partages distants et à définir des permissions sur ces partages). Ce compte aura également besoin de Bypass traverse checking et Act en tant que privilèges du système d’exploitation.

La ressource Windows NT envoie par erreur un message d’avertissement au lieu d’un message d’erreur lorsqu’une erreur se produit pendant la désactivation d’un compte utilisateur (ID-3222).

Une exception de type java.lang.NullPointerException s’affiche dans certains cas lors de la suppression de toutes les ressources d’un utilisateur par le biais de la page Éditer l’utilisateur (ID-4811). Une solution à ce problème consiste à utiliser la page de suppression d’utilisateur pour soit supprimer ces comptes de ressources de l’utilisateur soit en supprimer les liens.

Si un utilisateur Identity Manager est créé et assigné à une ressource Windows Active Directory où le compte d’utilisateur existe déjà, l’utilisateur sera créé sans attribut GUID dans l’info de la ressource (ID-5114). Ce GUID est utilisé pour détecter les changements apportés à l’organisation de l’utilisateur ou au nom dans l’annuaire. L’exécution de la réconciliation à partir de la ressource permet de corriger ce problème.

Lors de la création d’un utilisateur, un avertissement est donné si vous ajoutez un rôle à l’utilisateur contenant une ressource assignée directement (ID-5385).

Il est impossible de spécifier une option « Transmettre à » l’administrateur lorsqu’un utilisateur est en cours de création. Cette option ne peut être définie que pendant l’édition de l’utilisateur (ID-5695).

Approbations

Lors de la mise à jour d’un utilisateur et de la configuration de l’exécution de la mise à jour en arrière-plan, une activité d’approbation s’affiche sur la page de résultats de la tâche (ID-3301). Cette approbation peut être ignorée.

Les enregistrements d’approbation relatifs à un administrateur ne sont pas visibles après le changement de nom de l’utilisateur (ID-3386). La solution consiste à résoudre toutes les approbations en attente avant de renommer l’utilisateur.

Les enregistrements d’approbation approuvés ou rejetés au préalable ne peuvent pas être affichés par un administrateur si l’utilisateur en cours d’approbation fait partie d’une organisation que l’approbateur ne contrôle pas (ID-3494).

Les tâches de relance de ressource s’affichent dans la liste des approbations en attente pour Configurator (ID-3508).

Integrated Development Environment (IDE)

La plupart des nœuds disposent d’une feuille de propriétés associée dans les fenêtres de propriétés et sont dotés d’une propriété « Name » permettant de gérer la valeur du nom. Si vous renommez un objet particulier par le biais de son nœud, soit en cliquant avec le bouton droit de la souris et en choisissant Renommer, soit en cliquant sur le nœud et en tapant du texte sur le libellé, le libelle du nœud est mis à jour et le code XML change. La feuille de propriétés n’est toutefois pas mise à jour. Vous pouvez cliquer sur un autre nœud, puis cliquer à nouveau sur le nœud renommé afin de mettre à jour la feuille de propriétés en conséquence. Une autre solution consiste à cliquer sur le titre de la feuille de propriétés afin de mettre à jour les valeurs appropriées. (ID-13696)

Vous devez effectuer le changement de nom d’objets à l’aide d’Identity Manager IDE via le menu contextuel (disponible au moyen du bouton droit de la souris) de l’explorateur des projets et pas en modifiant le code XML dans l’éditeur. (ID-13828)

Le navigateur XML a été désactivé dans IDM IDE. Windows > Navigator ouvre le panneau Navigator, lequel indique <No view available> (Aucune vue disponible). (ID-13390)

La fonction de suppression de projet n’est pas prise en charge. (ID-14013)

Les bibliothèques de règles ne sont pas prises en charge pour l’instant pour d’autres tâches que l’édition et le test XML de base dans le testeur de règles. La navigation et la prise en charge des propriétés ne sont pas implémentées pour l’instant. (ID-14093)

Il est impossible de définir les valeurs des propriétés de formulaire à l’aide de l’éditeur de propriétés si les données sont de type Entier ou Booléen. (ID-14128)

Solution : modifiez la valeur associée à la propriété directement dans le code XML.

Le téléchargement en amont ou en aval, ou le rechargement, d’un objet entraîne le verrouillage de ce dernier dans le référentiel. Par conséquent, les tentatives d’accès à l’objet par des utilisateurs autres que celui indiqué dans les paramètres du projet pendant la période d’expiration du verrou risquent d’échouer. (ID-14132)

Pour éviter de rencontrer des problèmes d’affichage avec l’onglet de conception et la barre d’outils de flux de travaux, cochez l’option avancée « Show Toolbar » (Afficher la barre d’outils). (ID-14138)

Au terme d’un projet, l’option « Discard All » (Tout abandonner) ne fonctionne pas normalement. Si vous tentez d’abandonner les modifications apportées à un objet, vous devez fermer la fenêtre de l’éditeur et sélectionner Discard (Abandonner). Il s’agit d’un problème connu survenant avec NetBeans (bogue 84236). (ID-14164)

Il est nécessaire d’enregistrer un changement de nom d’objet lorsque cette opération est effectuée à partir du menu contextuel de NetBeans. Une fois le changement de nom apporté, l’utilisateur procède à l’enregistrement de la modification via Fichier > Enregistrer sans ouvrir le fichier. Si le fichier est ouvert, il utilise Fichier > Enregistrer ou ferme le fichier et accepte d’enregistrer les modifications lorsqu’un message l’y invite. (ID-14420)

Lors de la définition de la classe displayClass d’un champ sur InlineAlert, la propriété de la valeur d’InlineAlert ne s’affiche pas si le champ est doté d’un nom. (ID-14456)

L’extraction d’une vue utilisateur dans Identity Manager IDE verrouille l’objet. L’archivage ou la fermeture de la vue n’entraîne pas le déverrouillage de la vue. Le verrou disparaît automatiquement au bout de 5 minutes. Une autre solution consiste à se connecter à Identity Manager en tant qu’administrateur ayant extrait la vue dans IDM IDE et à afficher l’utilisateur. (ID-14797)

Configuration de connexion

Le module d’authentification d’intercommunication ne fonctionne pas pour la ressource Domino (ID-1646).

Les modifications apportées aux pages Configurer la connexion de l’administrateur et Configurer la connexion de l’utilisateur ne sont pas visibles pour les autres administrateurs connectés (ID-3487). Pour visualiser ces modifications, les autres administrateurs doivent se déconnecter de l’interface administrateur puis s’y reconnecter.

Si un administrateur se connecte et sélectionne « Changer mon mot de passe » puis active un autre onglet, son compte est verrouillé jusqu’à l’expiration du verrou. (ID-3705)

Si un autre administrateur tente d’éditer l’administrateur verrouillé, le message suivant s’affiche : « com.waveset.util.WavesetException : Impossible d’accéder au compte #ID#Configurator en ce moment. Veuillez essayer de nouveau plus tard. ». S’il clique sur le bouton « OK », le diagramme du processus de flux de travaux de la dernière action s’affiche.

Organisations

Lors de la suppression de plusieurs organisations, si l’opération échoue pour l’une d’entre elles, toutes les organisations restantes sont conservées (ID-517).

Lorsque des demandes de provisioning comptant des utilisateurs appartenant à une organisation dont vous êtes en train de changer le nom sont en attente, elles aboutissent à un échec (ID-564). La solution consiste à s’assurer de l’absence de toute demande en attente avant de renommer une organisation.

Si l’option Règles de membres utilisateurs est sélectionnée avant la spécification du nom de l’organisation que vous êtes en train de créer, un ID d’organisation s’affiche dans le champ du nom de l’organisation après le rafraîchissement de la page (ID-6302). Le nom peut encore être défini avant l’enregistrement de l’organisation.

( ) - Avertissement : Les valeurs entre parenthèses dans le champ ‘Approbateurs’ ne correspondent à aucune des valeurs admises.

Stratégies et fonctions

L’attribut de stratégie de compte d’Identity Manager « Option de notification de la réinitialisation » dispose d’une option de valeur « administrateur » sans aucun effet (ID-944). Les seules options valables sont « immédiat » et « utilisateur ».

Si, lors de la suppression de plusieurs rôles, une erreur se produit, l’ensemble de l’opération s’arrête au lieu de reprendre avec les autres rôles (ID-1168).

Le nombre minimum de questions auxquelles un utilisateur doit répondre peut être défini sur une valeur supérieure au nombre de questions définies (ID-1834). Si ce cas de figure se présente, l’utilisateur sera dans l’impossibilité de se connecter à l’aide de l’option « Mot de passe oublié ».

Il est impossible de cloner la stratégie de compte Lighthouse par défaut en l’éditant, en la renommant et en sélectionnant la création d’un nouvel objet (ID-5147). La solution consiste à créer une nouvelle stratégie de compte.

Réconciliation et importation d’utilisateurs

L’importation d’utilisateurs à partir d’un fichier CSV ne met pas à jour les attributs de ressources si l’utilisateur existe déjà dans Identity Manager (ID-2041).

Les guillemets simples (‘) des ID de comptes du fichier CSV (Comma-separated-value, valeurs séparées par des virgules) chargé sont convertis en points d’interrogation (?) (ID-2100).

Les tâches planifiées ne figurent pas dans une recherche lancée sur la page « Rechercher tâches » lorsque l’option de tâche planifiée est activée (ID-5001).

La réconciliation échoue lorsqu’elle est exécutée sur une ressource Red Hat version 8 (ID-6087).

La réconciliation d’une ressource Oracle ERP comprend des erreurs si le groupement de connexions sur la ressource est activé (ID-6386). La solution consiste à désactiver le groupement de connexions pendant la réconciliation.

Rapports

Les administrateurs de la sécurité ne peuvent ni créer ni exécuter de rapports (ID-1217). La solution consiste à attribuer aux administrateurs la fonction Administrateur de rapports.

Les rapports d’analyse des risques peuvent être affichés par des administrateurs autres que les administrateurs de rapports (ID-1224).

Les résultats de rapports envoyés par e-mail avec l’option texte normal ne sont pas formatés (ID-2191). La solution consiste à utiliser l’option HTML pour l’envoi par e-mail.

Les entrées du journal d’audit ne peuvent pas être enregistrées pour des résultats volumineux (ID-5050).

Les alertes (même activées) ne s’affichent pas si certains noms d’organisations comportent des apostrophes (‘) (ID-5653).

Si vous tentez d’exécuter un rapport d’administrateur en activant l’option « Rapporter seulement les administrateurs qui appartiennent à l’organisation » x ou Y qui ne dispose d’aucun administrateur, une erreur java.lang.NullPointerException est renvoyée (ID-5722).

Ressources

Le bouton de test de ressources ne teste pas tous les champs (ID-51).

Les assignations de ports de ressources peuvent être définies sur des valeurs supérieures à 65 535 (ID-59).

Un message d’erreur erroné s’affiche lors de la définition d’un nom de groupe Active Directory incorrect (ID-393). Si vous tentez de définir un nom de groupe Active Directory sur « groupname » au lieu de « cn=groupname,cn=builtin,dc=waveset,dc=com », un message d’erreur du type « index de la baie hors limites » s’affiche.

Les attributs de compte obligatoires sont parfois ignorés si une autre ressource dotée du même nom d’attribut sans indicateur obligatoire défini existe (ID-1161).

Si un administrateur tente d’ajouter une organisation à une ressource pour laquelle il ne dispose d’aucun droit, une erreur s’affiche. Il est alors nécessaire d’annuler l’édition de la ressource puis de rééditer celle-ci en cas de nouvelles modifications à lui apporter (ID-1274).

Le message d’erreur qui s’affiche quand un mot de passe ou un nom d’utilisateur de compte de ressources est incorrect sur une ressource PeopleSoft n’est pas clair (ID-2235). Ce message d’erreur indique :

bea.jolt.ApplicationException: TPESVCFAIL - application level service failure

Les actions de ressources Windows Active Directory utilisant le statut de sortie %DISPLAY_INFO_CODE% entraînent l’échec de l’action avec des erreurs (ID-2827).

Les actions de ressources Windows NT renvoyant un code de sortie autre que zéro n’entraînent pas l’échec de l’action (ID-2828).

La définition de l’ID de groupe principal d’un utilisateur sur Active Directory n’est pas possible au moment de la création de l’utilisateur (ID-3221). La solution consiste à créer l’utilisateur sans définir l’ID de groupe principal, puis à éditer l’utilisateur et à définir la valeur. L’ID de groupe principal est aussi défini par le numéro et pas par le nom distinctif du groupe.

Les adresses IP des ressources sont mises en cache dans le JVM une fois le nom d’hôte résolu en adresse IP. Si l’adresse IP d’une ressource est modifiée, vous devez redémarrer le serveur d’application afin qu’Identity Manager détecte la modification (ID-3635). Il s’agit là d’un paramètre de Sun JDK (versions 1.3 et ultérieures) pouvant être contrôlé à l’aide de la propriété sun.net.inetaddr.ttl, généralement définie dans jre/lib/security/java.security.

Vous ne pouvez pas créer plusieurs comptes pour un utilisateur unique sur les ressources Oracle (ID-3832).

Les utilisateurs finaux ne peuvent pas appliquer la fonction de détection automatique aux comptes de ressources Domino (ID-4775).

Si un utilisateur est déplacé depuis ou vers un sous-conteneur au sein de l’organisation Active Directory, l’adaptateur Active Sync détecte le changement. Toutefois, lorsque vous affichez l’utilisateur sur la page d’édition (ou lorsque vous effectuez une modification et visualisez la page de confirmation), l’ID de compte de l’utilisateur est encore affiché sous la forme du DN d’origine (ID-4950). Étant donné que nous utilisons GUID pour modifier l’utilisateur, cela n’entraîne pas de problèmes de fonctionnement. L’exécution d’une réconciliation par rapport à la ressource corrige le problème.

Si un utilisateur passe d’une organisation (OU) à une sous-organisation, l’adaptateur LDAP ChangeLog ne reconnaît pas le changement et suppose que l’utilisateur a été supprimé. L’objet utilisateur est ensuite verrouillé dans Identity Manager (s’il s’agit du paramètre actif) et aucun « nouveau » compte n’est créé pour le compte déplacé (ID-4953).

Les connexions groupées utilisées par les adaptateurs de ressources UNIX peuvent être conservées dans un état indéterminé si une erreur se produit pendant l’exécution d’une commande ou d’un script (ID-5406).

Il est possible de créer des organisations NDS au niveau supérieur de l’arborescence en définissant seulement le contexte de base de la ressource sur [ROOT] (ID-5509).

Sur NDS, si vous éditez un champ (par exemple Grace Login Limit) sur la provision initiale et si vous ne fournissez pas de valeurs pour les champs booléens, ces derniers sont définis sur false (ID-6770). Cela vous empêche de définir d’autres champs sur l’onglet de restriction, lequel exige que certaines cases à cocher soient définies sur la valeur true. Pour éviter cela, assurez-vous que tous les champs booléens sont définis sur true lorsque cela est prévu, de sorte qu’ils soient transmis correctement au moment de l’édition d’autres champs.

Si vous changez le mot de passe d’une machine UNIX à l’aide de la fonction Gérer une connexion --> Changer le mot de passe de la ressource, le nom de tâche qui s’affiche est le suivant :

_FM_PASSWORD_CHANGING_TASK null:null

Un nom convivial devrait s’afficher. (ID-6947)

Vous ne pouvez pas utiliser la fonction de gestion des connexions pour les ressources UNIX faisant appel au service NIS (ID-6948). Une erreur est émise, car le mot de passe que vous tentez de changer est celui de l’utilisateur root, mais NIS ne gère pas le compte root.

Lorsque vous mettez à jour des utilisateurs en procédant à partir d’une organisation d’Identity Manager, les utilisateurs dotés d’un compte Sun One ID Server reçoivent une erreur s’ils ont été créés en natif puis chargés dans Identity Manager (ID-7094). La solution consiste à mettre à jour ces utilisateurs de manière individuelle.

Identity Manager contient toujours les classes désapprouvées suivantes :

com.waveset.object.IAPI

com.waveset.object.IAPIProcess

com.waveset.object.IAPIUser

Les classes de l’adaptateur personnalisé ne devraient plus faire référence à ces classes mais à des classes correspondantes du package com.waveset.adapter.iapi. (ID-8246)

Une erreur se produit lors d’une tentative de suppression d’un utilisateur doté d’un compte sur la ressource PeopleSoft Component Interface. Cette ressource ne prend pas actuellement en charge les suppressions de comptes. (ID-9000)

Gestion des objets de ressources

Il est impossible de renommer un objet Windows Active Directory (groupe, unité organisationnelle ou conteneur) sur la page Lister les ressources (ID-3329).

Impossible de créer des groupes LDAP si certains utilisateurs disposent de CN à valeurs multiples (ID-3848). La solution consiste à gérer les membres du groupe par leur DN et non pas par leur CN, lequel est configuré dans le formulaire de groupe de création LDAP.

Groupes de ressources

L’utilisation de la touche Retour sur la page Création d’un groupe de ressources ou Édition d’un groupe de ressources efface les modifications effectuées sur la page (ID-3430).

Les rapport de groupe de ressources ne peuvent pas être enregistrés dans un fichier CSV. (ID-8001)

Sécurité

Si vous importez un objet contenant des données chiffrées à l’aide d’une clé de chiffrement ne figurant pas dans le référentiel dans lequel les données sont importées, l’objet est certes importé, mais un message d’avertissement vous signale qu’il est impossible de déchiffrer les données vu qu’il manque la clé de chiffrement du serveur. (ID-12143)

Serveur

Il est impossible de créer directement des vues via l’interface RemoteSession. Le descripteur de déploiement (web.xml) doit être mis à jour au préalable. (ID-14756)

Ajoutez la définition de servlet suivante au descripteur de déploiement :

<servlet>
   <servlet-name>rpcrouter3</servlet-name>
   <display-name>OpenSPML SOAP Router</display-name>
   <description>no description</description>
   <servlet-class>
      org.openspml.server.SOAPRouter
   </servlet-class>

   <init-param>
      <param-name>handlers</param-name>
      <param-value>com.waveset.rpc.PasswordSyncHandler</param-value>
   </init-param>

   <init-param>
      <param-name>spmlHandler</param-name>
      <param-value>com.waveset.rpc.SpmlHandler</param-value>
   </init-param>

   <init-param>
      <param-name>rpcHandler</param-name>
      <param-value>com.waveset.rpc.RemoteSessionHandler</param-value>
   </init-param>
</servlet>

Ajoutez le mappage de servlet suivant au descripteur de déploiement :

<servlet-mapping>
<servlet-name>rpcrouter3</servlet-name>
<url-pattern>/servlet/rpcrouter3</url-pattern>
</servlet-mapping>

Pour utiliser createView with RemoteSession, vous devez utiliser le servlet rpcrouter3. Pour accéder à ce celui-ci, utilisez le constructeur RemoteSession(URL, String, EncryptedData).

Sun Identity Manager Gateway

Si Sun Identity Manager Gateway ne s’arrête pas lorsque vous cliquez sur le bouton Arrêter sur l’écran Services NT (ID-590), annulez la demande d’arrêt du service (si elle est toujours bloquée) et arrêtez de nouveau le service. Vous pouvez aussi quitter la boîte de dialogue des services NT, y revenir et retenter l’opération d’arrêt.

Les utilisateurs ne peuvent pas être ajoutés en groupes à un domaine NT si la passerelle se trouve dans un domaine de confiance distant (ID-711).

Il arrive que la passerelle ne s’arrête pas lorsque « net stop “Sun Identity Manager Gateway” » est utilisé (ID-2337).

Tâches

Les administrateurs dotés de privilèges d’administrateur d’Identity Manager ne peuvent pas afficher la page de gestion des tâches si une tâche d’analyse des risques figure dans la liste des tâches (ID-1225).

Les administrateurs ne contrôlant pas le sommet ne peuvent pas créer de tâches planifiées de type Discovery ou ResourceScanner (ID-1414).

La page Rechercher tâches n’affiche pas le nombre des tâches correspondant aux critères de recherche (ID-5152).

Lors de l’édition d’une tâche planifiée, la date de début doit être ressaisie au format MM/JJ/AAAA (ID-5675).

Les administrateurs délégués ne contrôlant pas le sommet peuvent planifier des tâches et en afficher les résultats, mais ils ne peuvent pas visualiser une tâche après sa création (ID-6659). La tâche planifiée a été placée au sommet et l’administrateur délégué ne dispose pas de droits lui permettant d’afficher l’objet.

Un champ nommé Tâches différées a été ajouté à la bibliothèque. Il permet de lister les tâches différées pour un utilisateur. Pour implémenter ce champ, la ligne suivante doit être ajoutée aux formulaires utilisateur tabulés (Tabbed User Form) et aux formulaires utilisateur d’affichage tabulé (Tabbed View User Form) (ID-7660).

Flux de travaux, formulaires, règles et XPRESS

La fonction XPRESS <eq> ne permet pas de comparer les valeurs booléennes aux chaînes TRUE ou FALSE ni aux entiers 1 ou 2 (ID-3904). La solution consiste à utiliser :

<cond>
   <isTrue><ref>variable_booléenne</ref></isTrue>
   <s>True action</s>
   <s>False action</s>
</cond>

Les expressions de chemin ne fonctionnent pas lors de l’itération d’une liste d’objets génériques via une dolist (ID-4920).

<dolist name=‘genericObj’>
<ref>listOfGenericObjects</ref>
<ref>genericObj.name</ref>
</dolist>

La solution consiste à utiliser <get> / <set> comme indiqué :

<dolist name=‘genericObj’>
<ref>listOfGenericObjects</ref>
<get><ref>genericObject</ref><s>name</s>
</dolist>

Si vous utilisez les variables global.attrname pour les champs du formulaire utilisateur et que l’attribut est partagé entre plusieurs ressources, vous devez aussi définir une règle de dérivation (ID-5074). À défaut, si l’attribut a été changé en natif sur l’une des ressources, l’attribut n’est pas forcément recueilli et propagé vers d’autres ressources.

Impossible d’utiliser des chaînes spéciales commençant par & dans les composants HTML des formulaires. Par exemple,   ne s’affiche pas sous forme d’espace. Ce problème a été introduit suite à un changement conçu pour permettre la prise en charge des caractères spéciaux (&\<>‘) dans les listes de sélection (ID-5548).

Les commentaires de formulaires, flux de travaux et règles contenus dans les balises <Comment> contiennent des chaînes 
 représentant le caractère d’ajout de ligne (ID-6243). Ces caractères sont uniquement visibles dans les pages XML de ces objets ; le serveur Identity Manager et Business Process Editor les traitent correctement.

Si vous vous servez du formulaire utilisateur de tableau des ressources (Resource Table User Form) pour éditer les utilisateurs, les attributs de la ressource ne sont pas récupérés lorsque le formulaire s’affiche pour la première fois au moment de l’édition de la ressource d’un utilisateur. La solution consiste à cliquer sur le bouton « Actualiser » qui récupère les données de l’attribut. (ID-10551)

Service Provider Edition

Identity Manager SPE et Sun Java System Portal Server peuvent ne pas être compatibles en raison d’un problème lié aux bibliothèques chiffrées. (ID-10744)

Il est possible de corriger ce problème en définissant les valeurs suivantes dans le fichier /etc/opt/SUNWam/config/AMConfig.properties de Portal Server puis en redémarrant le conteneur Web :

com.iplanet.security.encryptor=com.iplanet.services.util.JCEEncryption
com.iplanet.security.SSLSocketFactoryImpl=netscape.ldap.factory.
JSSESocketFactory
com.iplanet.security.SecureRandomFactoryImpl=com.iplanet.am.util.
SecureRandomFactoryImpl

Lorsque vous utilisez des tableaux de bord SPE : si le chargement initial des graphes prend plusieurs minutes, assurez-vous que le navigateur n’est pas configuré pour utiliser la machine virtuelle java de Microsoft (MSJVM). Identity Manager SPE ne prend pas en charge l’utilisation de MSJVM pour exécuter les applets de navigateur. (ID-10837)

Certaines options de configuration disponibles dans l’interface administrateur d’Identity Manager ne sont pas utilisées avec Identity Manager SPE. (ID-10843). Il s’agit entre autres des suivantes :

Options de ressources : règle d’exclusion de comptes, approbateurs et organisation à laquelle la ressource est assignée.

Attributs de rôle

Par défaut, l’audit n’est pas effectué lors de l’utilisation des appels d’API checkinObject etdeleteObject. Vous devez expressément demander l’audit en définissant la clé IDMXContext.OP_AUDIT sur true dans le mappage d’options transmis à ces méthodes. La méthode createAndLinkUser() figurant dans la classe ApiUsage indique comment demander l’audit. (ID-11261)

Lors d’une mise à niveau effectuée à partir de la version 6.0, la page de configuration principale de Service Provider Edition peut afficher des avertissements concernant des valeurs incorrectes pour certains paramètres (exemple : répertoire des utilisateurs SPE) bien que ces derniers s’affichent correctement dans la liste déroulante correspondante. La solution consiste à sélectionner la même valeur sans parenthèses dans la liste déroulante et à enregistrer la configuration. (ID-14818)

Le groupe du module de connexion Service Provider par défaut s’attend à ce que la ressource Service Provider s’intitule « SPE End-User Directory » (Répertoire des utilisateurs finaux SPE). Si le nom de la ressource est différent, la page de connexion de l’utilisateur final Service Provider présentera des dysfonctionnements. Elle n’affichera pas les champs de connexion. (ID-14891)

Pour résoudre ce problème, mettez à jour le nom de la ressource dans l’objet UI_LOGIN_MOD_GRP_DEFAULT_SPE_PWD LoginModGroup de manière à référencer le nom correct.

Auditor

Interface administrateur

Le sous-onglet Terminé(e) de l’onglet Résolutions ne change pas de couleur après sa sélection. (ID-9149)

Le paramètre d’environnement linguistique du serveur d’application peut entraîner l’affichage de deux langues lorsque la localisation est activée. (ID-9468)

Solution : la définition de la valeur de l’environnement linguistique sur « C » peut résoudre ce problème.

Il manque la page d’aide associée à la page Création et modification d’une stratégie d’audit. (ID-13040)

Stratégies d’audit

Pendant un balayage, il est impossible de renouveler des tentatives visant à récupérer des comptes utilisateur non extraits à partir des ressources ou suite à d’autres pannes. Ces défaillances sont signalées à la fin du balayage, mais il n’existe aucun moyen automatisé de rebalayer ces comptes. (ID-9112)

Auditor tente de conserver les utilisateurs en conformité entre les balayages de stratégie en appliquant systématiquement la stratégie quand l’utilisateur est édité. Si vous éditez un utilisateur auquel des stratégies d’audit sont assignées et qui enfreint une stratégie, vous ne pouvez pas enregistrer les modifications apportées à cet utilisateur, même si la modification est aussi simple que le transfert de l’utilisateur vers une autre organisation. (ID-9504)

Solution : utilisez la fonction de déplacement (ou de recherche puis de déplacement) disponible dans le menu contextuel sur l’applet de l’utilisateur ou désactivez temporairement les contrôles de la stratégie d’audit.

Pour désactiver temporairement les contrôles de la stratégie d’audit, éditez la configuration système et supprimez la propriété userViewValidators. Cette propriété, qui a une valeur de liste de chaînes, est ajoutée pendant l’importation du fichier init.xml ou upgrade.xml.

L’IG de l’assistant de création d’une stratégie d’audit permet de spécifier 3 programmes de résolution, et une période de signalisation entre eux. Si vous avez défini cette période, vous devez préciser le programme de résolution. À défaut, la résolution est supprimée. (ID-14198)

Rapports

Dans les rapports Historique des violations des stratégies d’audit, Historique des violations par ressource et Historique des violations par organisation, l’implémentation d’une évolutivité logarithmique pour un type de diagramme PILE peut entraîner un comportement d’affichage inhabituel. (ID-9522)

Le Journal des violations de conformité des utilisateurs ne doit pas s’afficher dans la liste déroulante des rapports sous le sélecteur Rapports de l’auditeur. Il s’agit de la tâche Rapport d’audit de conformité par défaut qui doit être masquée. (ID-14721)

Si vous avez personnalisé le formulaire de détails de la violation des conflits dans une version antérieure, exportez-le avant de procéder à la mise à niveau vers la version 7.0. Le cas échéant, réimportez le formulaire enregistré après la mise à niveau. (ID-14772)

Il est impossible pour un administrateur de rapports de balayage d’accès Auditor de planifier un balayage des stratégies d’audit. (ID-14713)

La solution consiste à assigner le privilège de création sur TaskSchedule ou de planifier le rapport avec des capacités minimales Administrateur Auditor ou Administrateur Waveset.

Si vous avez créé des rapports de balayage de stratégies d’audit dans des versions antérieures d’Identity Auditor, vous ne pourrez pas les afficher lorsque vous passerez à la version Identity Manager 7.0. Pour corriger ce problème, un administrateur doté de la capacité Administrateur de rapports Auditor (ou d’une capacité supérieure) peut éditer ces rapports spécifiques et définir la visibilité sur run. (ID-14881)

Examens d’accès périodiques

Si, après avoir lancé un examen d’accès périodique, vous affichez la page de l’examen d’accès, le balayage que vous avez effectué ne figure pas dans la liste tant que vous ne cliquez pas sur le bouton d’actualisation. (D-14169)

Une erreur s’affiche lorsque vous éditez un rapport d’informations détaillées sur l’examen d’accès dans lequel la cible d’examen spécifiée a été supprimée. (ID-14805)

Solution : supprimez le rapport et créez-en un nouveau.

Il est impossible d’effectuer un balayage d’audit ou un examen des accès si l’étendue de l’utilisateur est définie sur une organisation dynamique. Cela est dû à un défaut du code de balayage, en raison duquel l’évaluation de la règle d’organisation dynamique échoue, car l’objet de balayage n’a pas été défini. (ID-14886)

La solution (pour l’examen des accès) consiste à créer une règle d’étendue de l’utilisateur disposant de la même logique que la règle d’organisation dynamique, et à utiliser cette règle pour définir l’étendue d’un examen d’accès.

Éléments de travail

Quand un élément de travail d’attestation est transmis, les commentaires fournis par l’attestateur initial sont inclus dans l’élément de travail de manière à intégrer les commentaires des autres attestateurs lorsque l’élément de travail est attesté pour de bon. (ID-14643)

Précedént Suivant

Précedént Suivant
Notes de version de Sun Java™ System Identity Manager