Identity Manager 7.0 功能

此发行版的新增功能

Sun Identity Manager 7.0 将 Identity Manager、Identity Manager SPE 和 Identity Auditor 这三种产品融合到 Sun Java System Identity Manager 7.0 一种产品中。这种集成解决方案提供了一种稳定且具伸缩性的方法，可在置备和审计过程中应用基于身份的控制。

其他新增功能包括：

增强的 Auditor 功能，包括

支持周期性访问查看

概括性任务划分报告以及详细的任务划分报告

增强性界面，单击即可访问修正以及访问查看工作项目

部署就绪的用户界面，包括

单击即可访问工作项目

选项卡式面板，可轻松导航和自定义

服务提供商更新，包括

基于目录的委托管理

支持工作流标注和通知

在 NetBeans 基础上构建的新型 Identity Manager 集成开发环境

其他功能，包括

支持 SPML 2.0

针对跟踪事件的度量报告

功能摘要一节中提供了有关 Identity Manager 7.0 中的新增功能的其他信息。

功能摘要

本节总结了 Identity Manager 7.0 中的新增功能。

安装和更新

Identity Manager 现在支持 Oracle Database 10g Release2® 作为系统信息库。(ID-12908)

UserEntitlement 对象现在存储在数据库中其自己的表格中。(ID-13612)

对现有的 Identity Manager 进行升级时，必须在升级 Identity Manager 7.0 之前运行相应的 upgradeto70.* 数据库脚本。这些脚本将添加支持 Identity Manager 周期性访问查看对象所需的数据库表格。

已从产品中取消许可结构。对于所有产品来说，升级到 Identity Manager 7.0 均可具备完备的功能。不存在针对许可的许可面板或命令行选项。如果尝试向产品颁发许可，将出现“未找到命令”错误。(ID-13632 13501)

管理员界面和用户界面

现在，“身份属性”页面将显示“密码”部分，该部分说明了与身份属性相关的密码生成的状态。您可以将 Identity Manager 配置为根据默认值、规则或通过分配可以生成密码的 Identity System 帐户策略来向新用户分配密码。（ID-10274、12560）

TreeTable 组件现在支持可调整的列。现在，您可以在用户列表和资源列表中通过 CSS 将列宽设置为固定像素或百分比值。您还可以使用鼠标单击并拖动列标题的右边界，来调整列的大小。(ID-11474)

现在，可以对帐户和资源树表格中的内容进行排序。(ID-12086)

现在，可对最终用户页面的菜单层次结构进行自定义。(ID-12415)

Identity Manager 现在包含默认的管理员属性，可支持已确立的管理人员-雇员关系。该信息存储在 Identity Manager 用户对象中。(ID-12416)

所有页面级错误以及信息消息现在均显示在页面顶部的带有错误或信息图标的框中。以前，这些消息是通过红色文字（错误）或小图标（信息消息）来显示的。(ID-12625)

用户现在可以请求授予或删除角色和资源成员资格的访问权限。管理员也可以对下属雇员执行此功能。(ID-13018)

现在，通过在 XPRESS 中向 EditForm 组件添加 rowPolarity 属性，您可以更改交互的灰色行和白色行颜色的极性。True 值指默认行为。False 值会反转极性，使第一个表单字段为白色背景。(ID-13971)

用户界面现在支持“自行搜索”链接。“通知 Identity System 有关其他帐户的信息”链接已从最终用户主页移动到“配置文件”下导航栏中新增的“自行搜索”选项卡上。(ID-14698)

下表列出了此发行版中选项卡和子选项卡的重新排列方式：


先前版本中的选项卡		此发行版中的选项卡		注释
批准		工作项目 >	批准
			我的工作项目	该新增选项卡显示了所有工作项目的摘要并提供了用于解析工作项目的启动点。
			证明	该新增选项卡支持“周期性访问查看”功能；允许用户解析证明工作项目
			其他	该新增选项卡允许用户解析除批准、证明或修正外的已分配工作项目
			历史记录	该选项卡显示由该用户执行的所有批准、拒绝、缓解及修正的报告
			委托我的工作项目	使用该新增选项卡可以将所有工作项目委托给其他用户。
		遵循性 >	管理策略管理访问扫描访问查看	这些新增选项卡用于设置并管理审计策略和访问查看。
配置 >	报告	报告 >	配置	该选项卡更改后将功能集中到报告功能下。
配置 >	受管理的资源	资源 >	配置类型	该选项卡将此功能集中到“资源”主题下。
配置 >	管理员角色权能证书登录策略	安全 >	管理员角色权能证书登录策略	此发行版中的“安全”选项卡是新增的，其具有与安全帐户访问及权限相关的功能。
配置 >	元视图	元视图 >	身份属性身份事件	使用该选项卡可以直接编辑身份属性和事件。
风险分析 >	运行报告管理报告	报告 >	运行风险分析查看风险分析	该选项卡更改后将这些报告集中到其他报告。
Service Provider Edition	面板图形查看面板	报告 >	面板图形查看面板	位于“报告”下的这些新增子选项卡具有合并自 Service Provider Edition 的新增功能，使您可以查看图形报告并将它们分组。
Service Provider Edition		帐户	管理服务提供商用户	使用该选项卡，您可以在 Identity Manager 界面中管理服务提供商用户类型。
Service Provider Edition >	搜索事务	服务器任务	服务提供商事务	“搜索事务”选项卡是从 Service Provider Edition 中的“服务提供商”选项卡上移动到“服务器任务”选项卡下的“服务提供商事务”选项卡上的。
任务		服务器任务		已重命名该选项卡，以便更准确地反映出任务是指将在服务器上运行的进程。
从 Identity Auditor 界面更改为 Identity Manager 7.0 界面的选项卡
遵循性 >	用户策略视图资源视图组织视图	帐户	“用户操作”菜单	所有用户操作均在 Identity Manager 中的“帐户”选项卡上执行。 “策略视图”、“资源视图”以及“组织视图”选项卡已取消；其相应的报告仍位于“报告”选项卡上。现在可在“用户操作”中执行“查看遵循性违规日志”和“查看遵循性状态”操作。
控件 >	管理策略	遵循性 >	管理策略
配置 >	策略	帐户 >	“用户操作”菜单	编辑用户审计策略编辑组织审计策略
修正 >	修正暂挂已完成	工作项目 >	修正历史记录	“暂挂”和“已完成”选项卡已取消。 “修正”选项卡显示暂挂修正。“历史记录”选项卡显示已完成的修正工作项目。
报告 >	运行报告管理报告	报告 >	运行报告查看报告	在“报告”选项卡上选择“审计者报告”类型后，即可查看所有审计者报告。
任务		服务器任务

审计

Identity Manager 和 Identity Manager SPE 已将其审计框架合并，并进行以下变更：(ID-13148)

Identity Manager 和 Identity Manager SPE 不再具有各自的审计日志框架。

Identity Manager SPE 的审计日志界面已不再使用。

统一的审计日志服务允许第三方开发自定义审计发布器，以处理与 Identity Manager 和 Identity Manager SPE 相关的审计事件。

参考工具包中提供了新增公共界面的 Javadoc 样式文档。

参考工具包中增加了演示审计日志框架的可插接功能的样例代码。

审计者

周期性访问查看提供了工具，可自动收集和证明用户当前对重要系统和应用程序的访问权限。该功能可创建相关记录，包含用户当前对一个或多个系统和应用程序的访问权限。每个记录均可根据策略规则自动证明，或路由至相应的人员以进行手动证明(ID-9719)

通常定期执行访问查看，以确保用户不会越权访问重要系统。通过在单个记录中记录用户对多个系统和应用程序的访问数据，查看者可以全面地了解用户，提高了做出准确判断的能力。自动化的过程得到跟踪工具的支持，这些工具可以指示查看已完成的工作量、剩余的工作量以及负责剩余工作的人员。由于查看进行与原有审计策略扫描相集成，因此查看可以执行遵循性检查（审计策略扫描）和访问查看（报告和证明）。

可以自定义访问查看以提供其他自动操作，包括：

根据规则确定是否应证明用户

根据规则确定是否可以自动证明/拒绝用户

根据规则确定应对特定用户执行手动证明的人员

根据工作流手动证明，包括转发、委托以及提升

证明者无需为 IdM 管理员 — 任何 IdM 帐户均适用

Auditor 中的任务划分报告也是新增的，其提供了捕获特定访问冲突（允许用户绕过内部保护）的方法。(ID-12716) 这些冲突在 ERP 和财务系统中最为严重，其中一个冲突违规即可导致财务错误。Auditor 通过违规记录捕获此类冲突，违规记录中指出了用户、系统/应用程序以及包含准确帐户设置（可以推断冲突）的特定冲突。Auditor 任务划分可以通过单个系统/应用程序或多个系统中的帐户设置来检测冲突。

这些冲突在冲突矩阵报告中进行了总结，矩阵中每个单元格后的深入信息提供了详细信息。

表单

现在，MultiSelect 支持新增的 displayCase 属性，可以将该属性设置为“大写”或“小写”。此功能相当于定义 valueMap，其可将每个 allowedValues 映射到它们的大写或小写等效值。(ID-8356)

HTML 显示组件

现在，SortingTable 组件可以在转译成 HTML 时优先实现由表格组成的子组件的对齐、垂直对齐和宽度属性。InlineAlert 组件也可以显示表单中的错误、警告、成功以及信息消息。(ID-12560)

Identity Manager 集成开发环境 (Integrated Development Environment, IDE)

Identity Manager 集成开发环境 (Identity Manager IDE) 是一种 Java 应用程序，您可以通过它在部署中查看、自定义以及调试 Identity Manager 对象。

Identity Manager IDE 的主要功能包括：

集成的资源管理器窗口，可以显示项目的项目视图、基于目录的视图或运行时视图

文档修改的操作菜单

自定义编辑器，包括：

对象属性表和图形值编辑器，用于枚举 XML 对象属性和编辑基本对象类型、XPRESS 和 XML 对象而无需键入 XML

拖放调色板以将工作流服务、批准、用户以及工作流任务添加至 XML 源而无需键入 XML

已注册的 waveset.dtd 定义文件，可以突出显示语法并自动完成 XML 元素和属性

用于工作流、表单和规则的集成调试器

用于验证独立规则和库规则的规则测试器

用于在外部浏览器中预览表单以及对表单进行故障排除的表单预览程序

“登出视图”功能，使用该功能您可以登出、修改以及登入 Identity Manager 视图（例如用户视图）。

CVS 集成

Identity Manager IDE 是一款完全集成的 NetBeans 插件，用于取代 Identity Manager 的业务进程编辑器 (Business Process Editor, BPE) 应用程序。有关安装和使用 Identity Manager IDE 的详细信息，请参阅 Identity Manager 部署工具中标题为“使用 Identity Manager IDE”的章节。

Identity Manager SPE

Identity Manager SPE 配置和跟踪的事件数据不再存储在 LDAP 目录服务器中。(ID-12170)

而是 Identity Manager SPE 组件直接从 Identity Manager 系统信息库中访问该数据。因此，无需再选择和导出 Identity Manager SPE 所需的配置对象。可以使用 Identity Manager 安装程序在原位置更新 Identity Manager SPE 部署。

如果跟踪的事件数据存储在 Identity Manager SPE 配置目录中，则应在进行升级前将其导出为 XML。升级后，可将跟踪的事件数据导入到 Identity Manager 中。此外，成功升级后，还可以安全删除配置 LDAP 目录。

通过 Identity Manager SPE 访问对象时，不再需要单独的一类上下文。Identity Manager SPE 表单不再需要设置 needSpeContext 属性并通过 :display.speContext 参阅此上下文。(ID-12171)

已创建的公共界面，允许客户在执行置备之前以及完成置备之后调用自定义标注。(ID-12173)

Identity Manager SPE 现在提供了更好的最终用户 JSP 页面示例。(ID-12175)

Identity Manager 现在提供了可自定义的委托管理及授权模型，可从 Identity Manager 和 Identity Manager SPE 用户服务器进行访问。此模型利用目录属性，与 Identity Manager 组织和权能无关。(ID-12176)

现在，您可以在同一 Identity Manager 服务器上运行活动同步和 SPE 同步。但是，请勿在同一资源上运行这两者。(ID-12178)

现在可以使用压缩的格式来存储 Identity Manager SPE 用户 XML 属性，从而减少 SPE 用户目录的内存占用。(ID-12186)

Identity Manager SPE 事务现在可以支持可配置的用户更新一致性级别。现有的事务存储数据库需要再加一列 userId VARCHAR(N)，其中 N 应足够大以包含 Identity Manager SPE 用户 DN 预期的最大长度，外加其他 8 个字符。这种数据库的更改不会在运行升级的脚本时自动发生。(ID-13830)

MetaView

已对 MetaView 增加了新的身份事件功能。使用此选项，您可定义一个模型，用于确定事件在资源上的发生时间以及如何适当地响应这些事件。使用此功能，您还可以在资源上本地检测删除、禁用和启用事件，或通过评估规则（如果资源不支持检测事件）来检测上述事件。

您可以通过任意组合删除、取消分配、解除链接、启用和禁用用户和资源帐户等操作来响应事件。身份事件仅可在活动同步期间应用。与身份属性相同，这些事件仅在将活动同步选作为 MetaView 已启用的应用程序时应用。(ID-12561)

在管理员界面中，已加入“已删除报告”功能。该功能适用于支持活动同步（在本地确定是否已删除帐户）的资源适配器。(ID-13206)

MetaView 现在支持用于设置目标字段的值的新增选项。也可以合并多值属性。(ID-13212)

报告

现在可将批量操作的结果下载至 CSV 格式的文件。(ID-9297)

默认情况下，以下报告将自动划分到由登录的管理员控制的组织集合中，除非通过选择一个或多个应运行报告的组织进行明确覆盖：管理员角色摘要、管理员摘要、角色摘要、用户问题摘要以及用户摘要。已将 org 范围组件从单选组件更改为多选组件。(ID-12116)

Identity Manager 现在支持使用 Java Management Extensions (JMX) 来监控多种组件。(ID-12405)

新报告现在支持管理人员-雇员关系：我的直属部下摘要、我的直接雇员摘要、我的直接和间接雇员摘要和我的直属部下个人。（ID-12416、ID-12689）

现在可以自定义使用 UTF-8 字符集以及多字节文本编码的 CSV 报告，因此可以在不支持 UTF-8 编码的应用程序（例如 Microsoft Excel）中显示这种报告。(ID-13574)

系统信息库

管理员可以通过将 RepositoryConfiguration 对象的 connectionPoolDisable 属性设置为 true 来禁用 Identity Manager 系统信息库的自动内部连接池。先前设置 com.waveset.repository.ConnectionPoolDisable=true 的方法现已不再使用。(ID-10924)

Identity Manager 7.0 已取消系统信息库方法签名 #getLastMod(Type, long)。Identity Manager 5.0 SP2 不再使用该方法签名，而改为使用 #getLastMod(Type)。自定义应用程序不应再参考该方法或直接参考 com.waveset.repository 软件包中的任何类或界面。(ID-11761)

Microsoft SQL Server 的默认 JDBC 驱动程序现在为 Microsoft SQL Server 2005 JDBC 驱动程序。该驱动程序取代了先前的 Microsoft SQL Server 2000 JDBC 驱动程序。这种新增的默认驱动程序改变了 JDBC 驱动程序类名和 SQL Server 数据库 URL 的格式。其还取消了将 "SelectMethod=Cursor" 附加到此类 URL 的要求。(ID-14136)

资源

Identity Manager 7.0 支持以下资源：

执行脚本的 JDBC (ID-7540)

BridgeStream SmartRoles (ID-12262)

Sun Java System Access Manager 中的领域支持 (ID-12414)

SecurId 适配器现在可以按照状态检索标记（例如，所有 LOST 标记或所有 ENABLED 标记）。(ID-7646)

已增加了对 OS/400 v4r5、v5r2、v5r3 和 v5r4（5.2、5.3 以及 5.4）的支持。（ID-9928、13122）

已对 Oracle ERP 适配器增加了多个属性以支持审计功能。(ID-11725)

现在，RACF 适配器包含对 listAllObjects 的搜索过滤器支持。(ID-10895)

现在，SAP HR 活动同步适配器支持 mySAP ERP ECC 5.0 (SAP 5.0)。(ID-12408)

SAP 和 SAPHR 适配器现在提供了三个新增资源属性，这些属性可在发生网络故障时提供用于重试 SAP 操作的参数。(ID-12579)

SAP BAPI 重试计数：重试操作的次数。

SAP 连接重试计数：尝试重新连接到 SAP 服务器的次数。

SAP 连接重试等待时间：尝试重新连接到 SAP 服务器之前要等待的毫秒数。

Oracle ERP 适配器现在支持通讯录 (set of books, SOB) 功能。(ID-12715)

现在可对 VLV 排序进行配置。已对 LDAP 资源增加了 VLV 排序属性 (vlvSortAttribute)。如果设置该属性，则值将用于进行排序；如果不设置该属性，则将使用 "uid" 值。(ID-13321)

角色

角色和资源组现在具有可在资源上向用户单独分配和组合分配多个帐户的功能。(ID-6684)

安全

具有批准者权能的用户现在可以将他们将来的批准请求委托给一个或多个非 Identity Manager 批准者的用户，委托期限为指定的时间段。用户可从三个界面中进行委托：(ID-8485)

最终用户主菜单：“委托批准”链接

“管理员批准”选项卡：“委托我的批准”子选项卡

管理员创建/编辑/查看用户：“安全”部分

服务器

Identity Manager 7.0 现在支持 JBoss Application Server。(ID-10620)

Identity Manager 7.0 现在提供了创建并维护大量类似资源的权能。(ID-11325)

SOAP

Identity Manager 7.0 现在支持 Service Provisioning Markup Language (SPML) 2.0 版。(ID-12417)

工作流

现在，任何用户均可设置工作项目的委托。可以在管理员界面和新增的默认最终用户界面中配置该选项。(ID-14110)

此发行版中修复的错误

本部分介绍了已在 Identity Manager 7.0 中修复的错误。

安装和更新

现在，可将证书传递至 com.waveset.install.UpgradePostProcess。这种更改便于用户完成升级过程，尤其是在已更改配置器密码并且要执行不访问 GUI 的手动升级时。(ID-13006)

已取消审计者登录界面。(ID-14481)

有关升级的注意事项包括：

已为 Auditor 应用程序定义了问题的任何现有帐户策略均将按照以下方式进行改变：

如果策略还具有为管理员和/或默认应用程序定义的问题，则将放弃 Auditor 应用程序的问题，而采用管理员和/或默认问题。

如果策略不具有为管理员或默认应用程序定义的问题，则会将 Auditor 应用程序的问题重新指定为管理员问题。

为 Auditor 应用程序定义的用户的任何验证答案均将按照以下方式进行改变：

如果用户还具有为管理员和/或默认应用程序定义的答案，则将放弃 Auditor 应用程序的答案。

如果用户不具有为管理员或默认应用程序定义的答案，则会将 Auditor 应用程序的答案重新指定为管理员答案。

现在，从已启用了 Identity Auditor 的旧版本升级时，可以在帐户/组织表格中看到 Auditor 组织。新的安装不具有 Auditor 组织。(ID-14636)

如果在先前发行版中为任务划分写入了审计策略规则并导致您自定义“冲突违规详细信息表单”，则在升级前您将需要保存该表单。(ID-14772)

管理员界面和用户界面

如果用户尝试登录而在其上定义该用户的资源已关闭，则会显示有用的错误消息。(ID-1905)

被视为致命错误的消息现在可以按照已配置好的默认消息显示，并且其他信息可记录到 syslog 中。已修改 UNIX 资源适配器以使用该错误消息显示方式。(ID-5495)

现在，您可以将浏览器标题栏中的产品名称字符串替换为所选的可本地化的字符串。(ID-10905)

已完成的角色同步任务将不再显示任务仍在执行的消息。还为任务提供了统计信息表。现在可以显示已完成任务的错误和异常。(ID-11181)

现在，“更改验证问题答案”最终用户页面可以更合理地处理不具有验证问题的用户。(ID-11773)

匿名用户登录的收件箱链接现在指向新的最终用户工作项目列表表格。(ID-12816)

多选对象现在可在设置了 noApplet=true 和 sorted=true 属性后将可用的值排序。(ID-12823)

最终用户登录或退出安全站点时，将不再显示弹出式对话框。(ID-13054)

现在，按资源显示帐户密码策略摘要的表单会将内容换行以显示在表格内。以前，摘要信息的显示超出了浏览器窗口的右侧。(ID-13109)

在 sysconfig 文件中，security.delegation.historyLength 参数现在可以控制已记录的先前委托数。(ID-13141)

continueLogin.jsp 的管理员版现在可以正确显示目录消息。(ID-13193)

现在，用户在搜索或过滤后取消对资源的编辑时，将不会抛出 null 游标异常。(ID-13434)

创建新角色时，“可用资源组”将不再在面板左侧和右侧显示两次。(ID-13573)

现在，通过重命名资源并选择“创建并重命名”复制现有资源可以正确复制资源各方面，例如是否启用 ActiveSync。(ID-14175)

现在，如果服务提供商主配置中的帐户策略未设置，帐户锁定和解除锁定仍可正常工作。以前，锁定按钮仅在为服务提供商配置了帐户策略时在服务提供商帐户编辑页面上可用。(ID-14181)

表单

SortingTable 的排序功能在手动操作期间显示类将不再导致错误。(ID-12508)

现在，验证规则消息显示于客户机而非服务器的语言环境中。(ID-12780)

Identity Auditor

现在，可将审计策略配置为仅扫描受限制的资源集。(ID-9127)

现在可以查看间接分配的策略。(ID-11886)

可以设置 UserViewConstants.OP_CALL_VIEW_VALIDATORS 以在置备期间进行策略检查。(ID-12757)

在用户置备操作期间进行的策略检查可在置备线程中执行。先前行为始终使用单独的任务来执行该检查。如果已将任务行为进行自定义，则绕过该任务可能会导致不使用自定义内容。要修复此问题，请将系统配置 user.view.alwaysUseTask 属性设置为 true，这将强制执行旧的行为。(ID-14086)

Identity Manager SPE

事务事件计时器在事务期间不重新启动。以前，Identity Manager SPE 中的事务处理时间不包括用于评估帐户策略的时间。(ID-14416)

Identity Manager SPE 现在可以在服务异常关闭（例如，应用服务器因内存不足的错误而退出）时继续处理事务。(ID-14579)

本地化

用作验证问题的消息关键字现在可以在结果页面中正确显示。(ID-13076)

主机

RACF 适配器不再对 listAllObjects 中检索的每个用户搜索一遍大字符串，这通常可以增强用户较多时该功能的性能。(ID-12829)

报告

审计报告中的旧属性值现在是正确的。(ID-12287)

所生成的过长（超过 MAX_NAME_LENGTH）的 TaskTemplate 名称现已得到更正。(ID-13790)

系统信息库

使用 Oracle 10g 作为系统信息库并且负载较高（例如，超过 100,000 个用户）时，有时会出现用户创建和修改的性能下降的情况。要恢复性能，请尝试使用以下 SQL 语句更新 userobj 表格中的统计信息：(ID-14605)

analyze table waveset.userattr compute statistics;

资源

Domino 资源适配器的 removeDenyGroupsDuringDelete 资源属性指定了是否在通过 Identity Manager 进行删除时从“拒绝访问组”成员资格中删除用户。将此属性设置为 true 表明应从组中删除。此属性的默认值为 false，以便于向后兼容。(ID-10466)

LDAP 适配器不再为新帐户创建非法的标识名 (Distinguished Name, DN)。(ID-10951)

com.sun.idm.util.ldap.DnUtil 中的转义方法现在可在表单中使用，以将要插入到资源适配器的身份模板中的值转义为具有 LDAP DN 格式。或者，可以使用选中了“要求的 LDAP DN 格式”选项的 accountId 策略来验证通过输入（例如用户输入、ActiveSync 和协调）进入 Identity Manager 的 LDAP 标识名。

RFC2253Parser 中标准化的方法现在可以识别并报告无效的 LDAP 标识名 (Distinguished Name, DN)。(ID-10952)

DblBufferIterator 的 getNextIndex 方法不再访问对象同步之外的支持数组的大小信息。(ID-11129)

已改进群集环境中的同步状态。(ID-11250)

com.waveset.adapter.SiebelResourceAdapter 中的 isPickListAttribute 方法不再错误地标识为跟踪系统中的 isMVGAttribute。(ID-11471)

LDAP 资源上 Objectclasses to synchronize 活动同步属性的默认值现在默认为 inetorgperson。(ID-11644)

现在可以正确创建在活动同步资源上配置的 Flat File Active Sync 日志的最大数目。(ID-11848)

LDAP 资源模式映射中不再需要 objectClass 属性，活动同步即可发挥作用。应修改扩展 com.waveset.adapter.LDAPResourceAdapter 并覆盖 poll() 和 getUpdateRows(UpdateRow) 方法的自定义资源适配器，以便通过两种方法中的任一种调用 LDAPResourceAdapterBase.ensureObjectClassInSchemaMap()。(ID-11880)

Domino 资源适配器现在支持将"将 ID 存储在文件中"选项设置为 false 作为一种资源属性，以禁止在磁盘上本地创建用户 ID 文件。但是在创建用户时，仍须提供 ID 文件。(ID-12139)

Solaris 和 Linux 适配器现在可以保存一年的上次登录信息。(ID-12182)

Oracle ERP 适配器现在已关闭 Oracle 数据库游标。以前，适配器无法关闭游标，从而在长时间之后导致出现“ORA-01000：已超出打开的最大游标数”错误。(ID-12222)

现在可以记录活动同步中锁定帐户或用户的错误。(ID-12446)

如果因为要更新的帐户或用户已由另一进程锁定而导致活动同步出现故障，则会将失败的帐户或用户写入 syslog，以便使您可以在未锁定帐户时重新运行该事务。

对于 Domino 资源适配器，通过 NSFNoteComputeWithForm() API 调用同时更新若干用户的 HTTPPassword 不再导致出现 "-551" 网关错误。(ID-12466)

对于直接使用 API 而不通过 Identity Manager 的客户，将不再发生网关崩溃。(ID-12481)

现在，只要发生阻止 diff 操作而无法进行同步的错误，Flat File Active Sync 适配器均会在活动同步日志（如果已启用）中提供警告消息。(ID-12484)

已修改用于创建 Natural 资源适配器帐户的终端仿真，以便 8 字符用户名不再需要使用 Tab 键来选择“复制链接”属性。(ID-12503)

修改 AttrParse 对象不再需要重新启动即可使新值生效。(ID-12516)

现在，即使由于登录尝试失败而导致 Siteminder 用户被锁定，Siteminder LDAP 适配器仍可以正确执行以下操作。(ID-12824)

启用

禁用

使密码到期（启用/禁用）

不使密码到期（启用/禁用）

现在，可以使用添加和删除来更改 LDAP 组的成员资格，而无需重写整个组（即，替换整个 uniqueMember 属性）。(ID-13035)

现在，在尝试删除安全 ID 用户前，Identity Manager 取消了管理员权限（如果有）。(ID-13053)

已修复 Oracle 表格适配器 (DatabaseTableResourceAdapter) 中的游标溢出。(ID-13111)

Oracle ERP 资源的 auditorObject 复杂属性语法已修改为包含名称空间，以便于从 GenericObject 中提取信息。该属性的语法现在包含具有职责对象列表的顶级 "auditorResps"。(ID-13302)

已改进了 AttrParse 的性能。正常解析不再抛出和捕捉已解析缓冲区中每个字符的异常。(ID-13384)

现在，UNIX 适配器的 SecurID 在与 RSA 进行交互操作时可执行 UTF-8 字符编码和解码。(ID-13451)

在 Windows NT 资源上通过 Windows NT 资源适配器创建帐户时，“创建”用户结果页面中将不再显示以下错误消息："Error requiring password:put_PasswordRequired():0X80004005:E_FAIL"。(ID-13618)

现在可以在更新期间设置 Active Directory PasswordNeverExpires 属性。(ID-13710)

Identity Manager 7.0 服务器现在通过在删除网关上的连接后调用 notify 来通知等待线程。(ID-14044)

安全

对某个组织具有“组织管理员”权能的用户不再可以在其他组织中创建组织，即使该用户具有“帐户管理员”和“角色管理员”权能。(ID-10235)

密码生成现在对于不遵循策略的密码也可正常工作。(ID-12275)

现在可在管理员界面中显示密码到期警告消息。(ID-13236)

批准者权能不再对修正工作项目具有权限。(ID-14163)

对于 Identity Manager 7.0 之前的版本，批准者权能具有完全权限的 WorkItem。RemediationWorkItem 和 AttesationWorkItem authType 均扩展自 WorkItem，因此批准者对 RemediationWorkItems 具有完全权限，并可能对其他用户的 Attestations 具有完全权限。

在新的 Identity Manager 7.0 版本和升级到 Identity Manager 7.0 的版本中已修复该问题。为了向后兼容，Identity Manager 7.0 之前的版本可通过以下步骤修复该问题：

对批准者权能的任何引用均需更改为新的批准者管理员。这包括用户的管理员组引用以及任何可能分配批准者权能的规则或工作流。

请确保在工作流中创建的任何工作项目均具有指定的 authType，否则会将其默认设置为 Approval authType。

在 update.xml 中运行 WorkItemUpdater 以将任何具有 null authType 的工作项目更改为具有 Approval authType（实际上可灵活设置为任何所需的 authType）。语句和指令位于文件中，但默认情况下会将它们注释掉。

不具有管理员权能的用户现在也可以看到角色和资源。(ID-14745)

以前，对组织不具有管理员权限的用户无法看到角色和资源，选择了“更新我的角色”或“更新我的资源”的用户也无法看到可供选择的任何角色或资源。

服务器

TaskInstance 子对象（如批准）现在可以在终止任务时正确删除。(ID-3258)

在表单中，使用 <Expansion> 中的 <set> 现在可正常工作。(ID-9617)

重命名资源后重试失败将不再丢失上次的审计记录。(ID-9714)

在群集环境中，登录最终用户页面失败将不再生成与序列化相关的异常。(ID-10556)

服务器使用较长时间处理任务信息时将不再尝试将其自身检测为无响应。(ID-10920)

IAPI 配置已迁移到 IAPI XmlData，其主要由 ActiveSync 资源使用，以存储有关上次处理的更改的信息。(ID-11266)

加载 update.xml 会导致 ResourceUpdater 将 IAPI 配置对象中的现有“高水位标记”数据迁移到显示名称为 SYNC_resourceName 的 XmlData 对象，并删除原始配置对象。

取消了在 Identity Manager 5.0 SP1 发行版中已取消的对“会话”服务器和查看器的引用。(ID-11873)

禁止在括号内进行分隔符处理。因此，括号集内的所有字符现在均视为索引或过滤器。注：当前尚不存在转义右括号 "]" 的机制。(ID-12384)

changelog 文件名现在可在前缀中包含句点 (.)。(ID-12470)

任务实例终止现在审计为“终止”操作而非“修改”操作。(ID-12791)

已改进创建帐户对象的性能，这也促使协调和置备性能的改进。(ID-13341)

使用配置 -> 服务器下面新增的服务器配置设置，您可以设置服务器可并发运行的最大任务数限制。(ID-13343)

工作流

现在可以解析对位于同一库中但不以库名称作为前缀的规则名称的嵌套式引用，并且不会出现“未解析规则”错误。(ID-10265)

如果使用 notification.rediret 将消息重定向到文件，则将使用 emailNotifier.contentCharset 写入该文件，正如写入消息一样（如果已使用电子邮件发送该消息）。这允许文件包含非 ISO-8859-1 字符。(ID-10331)

批准者尝试批准或拒绝已批准或已拒绝的工作项目时，会向工作流消息中添加更多信息。(ID-11045)

现在，默认情况下将启用调试器。对于产品部署，建议您通过设置以下系统配置属性禁用调试器："serverSettings.default.debugger.enabled=false"。(ID-14076)

文档

通过在此发行版中将 Identity Auditor 功能和 Service Provider Edition 功能合并到 Identity Manager 中，以下出版物已不再适用：

Identity Auditor 管理

Identity Manager Service Provider Edition 管理补充资料

Identity Manager 审计日志

这些出版物已并入 Identity Manager 管理指南。

修复的其他缺陷

10475, 11052, 12452, 13434, 14178

上一页下一页
Sun Java[TM] System Identity Manager 7.0 发行说明