已知问题

如果禁用了 cookie，则在试图访问特定页面时，会出现登录提示 (ID-158)。

应对运行 Sun Identity Manager 网关的系统进行配置，使 Dr. Watson 不生成可视化通知。如果设置了此功能，则当网关出错时，进程将会挂起，直到弹出窗口关闭。

display.session 和 display.subject 变量对于“禁用”表单元素不可用。建议不在“禁用”元素中创建可能会长时间运行的活动，因为每次重新计算表单时，这些表达式都要运行。取而代之，建议在其他不会同样频繁运行的表单元素中完成计算。

为了在使用 Identity Manager Web 界面时获得最佳性能，请使用与 Identity Manager 捆绑的 OpenSPML 工具包。从 openspml.org Web 站点使用 openspml.jar 文件可能导致内存泄漏。(ID-11889)

如果通向 Identity Manager 安装目录的路径中含有空格，则应设置不带双引号 (") 的 WSHOME 环境变量，如下所示。



注	在指定路径时，即使该路径中不含空格，也不要使用末尾斜杠 ( \ )。

仅当创建了用户帐户时，才会检查设置在资源模式映射上的必填字段 (ID-220)。如果用户更新时要求必须填写某个字段，则应对该用户表单进行配置，以确保该字段为必填字段。

不对组织名称、管理员名称、帐户名称、用户属性名称（模式映射的左侧）或任务名称进行字符有效性检查（ID-1145、1206、1679、1734、1767、2413、3331）。不能在上述对象类型的名称中使用美元符号 ($)、逗号 (,)、句点 (.)、撇号 (')、“和”符号 (&)、左方括号 ( [ )、右方括号 ( ] ) 或冒号 (:)。

如果试图在会话超时后执行某个操作，则会在帐户页上出现一个误导性错误消息 (ID-1223)。

如果浏览器使用的是大字体，则无法看到完整的日历对象
(ID-2120)。

即使未选择列表中的项目之一，“查找结果”页和“列出任务”页中的“全选”复选框也不会被取消选中 (ID-5090)。如果列表中所有成员的“全选”复选框未被全部选中，则在为获得结果而进行操作的过程中将忽略此“全选”复选框。

如果对自定义消息目录进行了更改，则必须重新启动服务器才能看到所做的更改。(ID-6792)

当启用或禁用多个用户时，工具条选项卡（如“帐户列表”、“查找用户”）不出现在确认页中 (ID-6866)。当该页得到确认并显示结果后，这些选项卡会再次出现。

当前用于检测有故障的“服务器”的机制假定 Identity Manager 群集中的所有系统在时间上是同步的。(ID-7064) 在默认故障间隔时间为 5 分钟的情况下，如果一台服务器在 5 分钟内未能与另一台服务器同步，则前面的服务器会声明其后面的服务器发生故障，从而导致不可预测的结果。解决方法是保持更好的时间同步，或增加故障转移时间间隔。

对于 Windows，如果登录时使用的用户名包括双字节字符，而机器的默认编码仅支持单字节字符，则必须将环境变量 USER_JPI_PROFILE 设置为其名称仅包含单字节字符的现有目录。(ID-8540)

安装和更新

当通过 idm.war 文件安装 Identity Manager 时，在 UNIX shell 脚本中未设置可执行位 (ID-2371)。解决方法是在 idm/bin 目录下执行 UNIX chmod 命令。

如果在 Tomcat 5.x 环境中安装 Identity Manager，则运行报告会导致出现 java 错误 (ID-6652)。解决方法是执行以下命令：

AD 活动同步资源已过时并已被 AD 资源替换。执行以下步骤，将 AD 活动同步迁移至更新的版本：(ID-11363)

将现有 AD 活动同步资源对象导出至 xml 文件（可以从命令行或调试页进行）。

删除现有资源（这不会影响 Identity Manager 用户或资源帐户用户）

创建为“活动同步”的新 AD 资源。

将此新资源对象导出至 XML 文件。

编辑此文件并更改其 ID 属性和名称属性的值，使之与在步骤 1 中保存的旧资源对象的值匹配。这些属性在 <Resource id='idnumber' name='AD' ...> 标记中。

保存对文件的更改。

使用“配置”->“导入交换文件”页或命令行，将已修改的对象导入至 Identity Manager。

如果通过安装 6.x 进行更新但要使用新的最终用户页面启动，需要手动将系统配置 ui.web.user.showMenu 更改为 "true" 才能使水平导航栏出现。(ID-14900)

帐户管理

可以创建名称超过 20 个字符的 NT 帐户，但 NT 本地工具却不能管理这些帐户 (ID-710)。

管理员不能保存含有其不能管理的组织的资源或角色 (ID-839)。

对“置备结果”页上的列进行排序会在结果中添加额外的空行 (ID-1105)。

批准数以百计的用户帐户需要花费大量时间 (ID-1149)。解决方法是将用户帐户记录分成多个较小的组进行批准。

不再拥有批准权能的管理员所拥有的批准记录不能被批准 (ID-1150)。解决方法是从管理员拥有批准权限的资源、角色和组织中删除该管理员，然后在删除该管理员或该管理员的批准权能之前，批准任何未完成的批准记录。

如果更新用户而未进行任何更改，则不显示详细结果页 (ID-2327)。

当创建新用户或将资源添加到现有用户时，如果该用户的标识名不正确，则此错误值将保留在高速缓存中，直到管理员注销 (ID-2508)。如果要在更正标识名后重新创建该用户，则必须在管理员注销后才能成功。

帐户锁定消息不会在 Netscape 4.7 上的 Identity Manager 的“用户界面”登录屏幕中显示 (ID-2680)。该错误消息会在 URL 页中出现。

名称 "name" 是视图的保留词，不应用作资源模式映射的 Identity Manager 用户属性 (ID-2918)。

Windows Active Directory 要求网关作为可以创建目录的管理员运行 (ID-2919)。Identity Manager 可以在 Windows 2000 系统上创建主目录。主目录帐户由用以运行网关进程的用户创建，取代了在资源定义中指定的管理员。解决方法是从“本地系统”将用以运行网关的用户更改为有权创建远程共享以及为这些共享设置权限的帐户。此帐户还需要“跳过遍历检查”和“以操作系统方式操作”权限。

当因禁用某个用户帐户而导致出现错误时，Windows NT 资源错误地发出一条警告消息，而不是错误消息 (ID-3222)。

当通过编辑用户页删除用户的所有资源时，可能会出现 java.lang.NullPointerException (ID-4811)。解决此问题的方法是使用“用户删除”页，解除该用户与这些资源帐户的链接或删除该用户的这些资源帐户。

如果创建了一个 Identity Manager 用户，并将其分配给已经有该用户帐户的 Windows Active Directory 资源，则在资源信息中创建该用户时将不含 GUID 属性 (ID-5114)。此 GUID 属性用于检测该用户在 Directory 资源中的组织或名称的变化。从该资源运行协调可以修复此问题。

创建用户时，如果为含有直接分配的资源的用户添加了“角色”，则会出现警告 (ID-5385)。

创建用户时不能指定“转发”管理员。此选项只能在编辑用户时设置 (ID-5695)。

批准

当更新一个用户，并选择在后台运行更新时，“任务结果”页会出现一个批准活动 (ID-3301)。可以忽略此批准。

在重命名用户后，不出现管理员的批准记录 (ID-3386)。解决方法是在重命名用户前，解决所有未完成的批准。

如果要批准的用户属于不受批准者控制的组织，则管理员将无法看到以前批准或拒绝的批准记录 (ID-3494)。

资源重试任务出现在“配置器”的暂挂批准列表中 (ID-3508)。

集成开发环境 (Integrated Development Environment, IDE)

多数节点在“属性”窗口中都有一个相关的属性表，而且这些节点中的大多数都有“名称”属性，用于管理名称的值。如果通过特定对象的节点重命名此特定对象（方法是通过右键单击并选择“重命名”，或通过单击该节点并在标签上键入文本），则节点的标签将更新并且 XML 将更改。但是，属性表无法更新。可以单击其他节点然后再次单击重命名的节点，属性表就会更新以反映新名称。还可以单击属性表的标题以更新为正确值。(ID-13696)

使用 Identity Manager IDE 重命名对象时，应通过右键单击“项目”资源管理器中的上下文菜单完成，而不是通过使用编辑器编辑 XML 完成。(ID-13828)

在 IDM IDE 中已禁用 XML Navigator。Windows -> Navigator 会打开 "Navigator" 面板，屏幕将显示<“无可用视图”>。(ID-13390)

不支持项目删除功能。(ID-14013)

当前不支持规则库，但可以在规则测试器中执行基本的 XML 编辑和测试。当前尚未实现导航和属性支持。(ID-14093)

如果数据类型为整型或布尔型，则无法使用属性编辑器设置表单属性值。(ID-14128)

下载、上载或重新加载对象会导致锁定系统信息库中的对象。因此，在锁定时间到期前，非项目设置中指定的用户尝试访问对象可能会失败。(ID-14132)

要避免设计选项卡和工作流工具栏出现显示问题，请使“显示工具栏”高级选项处于选中状态。(ID-14138)

关闭项目时，“全部放弃”选项无法正常工作。如果要放弃对对象的更改，必须关闭编辑器窗口并选择“放弃”。这是 NetBeans 的已知问题（错误 84236）。(ID-14164)

从 NetBeans 中的上下文菜单重命名对象需要保存更改。更改后，用户可以在不打开文件的情况下通过“文件”->“保存”保存更改。如果文件处于打开状态，则使用“文件”->“保存”，或关闭文件并在出现提示时选择保存更改。(ID-14420)

将字段的 displayClass 设置为 InlineAlert 时，如果字段有名称，则 InlineAlert 的值属性将不会显示。(ID-14456)

登出 Identity Manager IDE 中的用户视图会锁定对象。登入视图或关闭视图不会释放锁定。锁定会在 5 分钟后自动释放。以管理员身份（已凭借该身份登出 IDM IDE 中的视图）登录 Identity Manager 并查看用户也可以释放锁定。(ID-14797)

登录配置

传递验证模块对 Domino 资源无效 (ID-1646)。

其他登录的管理员看不到对“管理员登录设置”页和“用户登录设置”页所做的更改 (ID-3487)。其他管理员需要从“管理员界面”注销后再登录，才能看到这些更改。

如果管理员登录，选择“更改我的密码”，然后选择另一个选项卡，则其帐户将锁定直至该锁到期。(ID-3705)

组织

在删除多个组织时，如果对一个组织的删除失败，则其余所有组织将不能被删除 (ID-517)。

当存在暂挂置备请求，且其中含有属于某个组织的用户时，如果重命名该组织，将导致该置备请求失败 (ID-564)。解决方法是在重命名组织前，确保无未完成的请求。

当创建新组织时，如果在指定组织名称之前选择了“用户成员规则”选项，则当刷新该页时，在“组织”名称字段中将出现一个组织 ID (ID-6302)。在保存新组织之前仍然可以设置该名称。

策略和权能

Identity Manager 帐户策略属性“重设通知选项”有一个不起任何作用的“管理员”值选项 (ID-944)。只有“即时”和“用户”选项有效。

当删除多个角色时，如果出现错误，则整个删除操作将会停止，而不会继续删除其他角色 (ID-1168)。

用户必须回答的问题的最小数量可以设置为大于定义的问题的数量 (ID-1834)。如果出现这种情况，用户将不能使用“忘记密码”选项登录。

“默认 Lighthouse 帐户策略”不能通过编辑该策略、更改其名称和选择创建新对象进行克隆 (ID-5147)。解决方法是创建新的帐户策略。

协调和导入用户

如果用户已经存在于 Identity Manager，则从 CSV 文件导入该用户不会更新资源属性 (ID-2041)。

逗号分隔值 (CSV) 文件的帐户 ID 中包含的单引号 (') 在载入时转换为问号 (?) (ID-2100)。

使用“预定”选项后，在“查找任务”页上进行的搜索不显示预定的任务 (ID-5001)。

为 Red Hat 版本 8 资源运行协调失败 (ID-6087)。

如果启用了资源的连接池，则 Oracle ERP 资源的协调会完成，但有错误 (ID-6386)。解决方法是在协调过程中关闭连接池。

报告

安全管理员不能运行或创建报告 (ID-1217)。解决方法是授予管理员“报告管理员”权能。

风险分析报告可被管理员而非报告管理员查看 (ID-1224)。

在电子邮件中使用纯文本选项发送的报告结果未被格式化 (ID-2191)。解决方法是在电子邮件中使用 HTML 选项。

对于大量的结果，可能不会记录“审计日志”条目 (ID-5050)。

如果存在名称中含有撇号 (') 的组织，则不会显示选定的 ticker (ID-5653)。

如果试图运行“管理员报告”，并选择仅报告属于无管理员的特定组织的管理员，将返回 java.lang.NullPointerException 错误 (ID-5722)。

资源

资源测试按钮不测试所有字段 (ID-51)。

资源端口分配可设置为大于 65535 的值 (ID-59)。

如果设置了错误的 Active Directory 组名，则会显示严重的错误消息 (ID-393)。如果尝试将 Active Directory 组名称设置为 "groupname" 而不是 "cn=groupname,cn=builtin,dc=waveset,dc=com"，将显示错误消息“数组索引超过界限”。

如果其他资源具有的同名帐户属性名称未设置必需标志，则这些必需的帐户属性有时会被忽略 (ID-1161)。

如果管理员试图向一个他没有管理权限的资源添加组织，则会出错。必须取消对该资源进行的编辑，然后重新编辑该资源，才能对其进行任何其他更改 (ID-1274)。

当资源帐户密码或用户名在 PeopleSoft 资源上不正确时，错误消息不明确 (ID-2235)。该错误消息为：

使用退出状态 %DISPLAY_INFO_CODE% 的 Windows Active Directory 资源操作导致该操作因出错而失败 (ID-2827)。

返回非零退出代码的 Windows NT 资源操作不会导致操作失败 (ID-2828)。

不能在创建用户时在 Active Directory 上设置该用户的主要组 ID (ID-3221)。解决方法是创建用户时不设置主要组 ID，然后编辑该用户，并设置该值。主要组 ID 也是通过编号而非标识名 (DN) 进行设置。

在主机名解析为 IP 地址后，资源 IP 地址将保存在 JVM 的高速缓存中。如果改变了资源的 IP 地址，则需要重新启动应用服务器，使 Identity Manager 能够检测所做更改 (ID-3635)。这是 Sun JDK（1.3 及更高版本）中的设置，可以使用 sun.net.inetaddr.ttl 属性（通常在 jre/lib/security/java.security 中设置）控制。

不能在 Oracle 资源上为单个用户创建多个帐户 (ID-3832)。

最终用户不能对 Domino 资源帐户使用自行搜索功能 (ID-4775)。

如果用户被移出或移入 Active Directory 组织内的子容器，则活动同步适配器会检测到该变化，但是当在编辑页上查看该用户（或在进行修改后查看确认页）时，该用户的帐户 ID 仍然显示为原来的 DN（distinguished name，标识名）(ID-4950)。由于我们使用 GUID 修改用户，因此它不会造成任何操作性问题。对该资源运行协调可以修复此问题。

如果用户从一个“组织”(OU) 移动到一个子组织，则 LDAP ChangeLog 适配器不会识别出此变化，并会认为该用户已被删除。随后用户对象在 Identity Manager 中被锁定（如果这是当前设置），而且不会为已移动的帐户创建一个“新”帐户 (ID-4953)。

如果在执行命令或脚本时出错，则 UNIX 资源适配器使用的存储连接可能被置于未确定状态 (ID-5406)。

只有将资源的“基本上下文”设置为 "[ROOT]"，才能在树的顶层创建 NDS 组织 (ID-5509)。

在 NDS 上，如果编辑初始置备的某个字段（如“暂缓登录限制”），并且未提供布尔字段的值，则所有布尔字段将设置为 false (ID-6770)。这会阻止您对限制选项卡上的其他一些字段进行设置（这些字段要求特定复选框值为 true）。为避免这种情况，在需要所有布尔字段值为 true 的时候，请确保它们始终为 true，以便在编辑其他字段时，能将其正确推入。

如果使用“管理连接”-->“更改资源密码”功能更改 UNIX 机器的密码，则显示的任务名为：

不能对使用 NIS 的 UNIX 资源使用管理连接功能 (ID-6948)。由于要更改的密码是超级用户密码，而 NIS 不能管理超级用户帐户，因此会出现错误。

通过从 Identity Manager 组织中选择更新来对用户进行更新时，如果具有 Sun One ID Server 帐户的用户是在本机创建，然后加载到 Identity Manager，则会为这些用户返回一个错误 (ID-7094)。解决方法是单独更新这些用户。

Identity Manager 仍包含以下已过时类：

com.waveset.object.IAPI

com.waveset.object.IAPIProcess

com.waveset.object.IAPIUser

尝试删除在 PeopleSoft 组件接口资源中存在帐户的用户时，会出现一个错误。此资源当前不支持帐户删除。(ID-9000)

资源对象管理

不能在“列出资源”页上重命名 Windows Active Directory 对象（组、组织单位或容器）(ID-3329)。

如果存在拥有多值 CN 的用户，则不能创建新的 LDAP 组 (ID-3848)。解决方法是使用 DN 取代 CN（在“LDAP 创建组表单”中配置）管理组成员。

资源组

在“创建资源组”或“编辑资源组”页上按回车键，会清除在该页上所做的更改 (ID-3430)。

“资源组”报告不能保存为 CSV 文件。(ID-8001)

安全

如果导入包含任何已加密数据的对象，而加密该数据使用的加密密钥不属于该数据要导入的系统信息库，则仍将导入此对象。但是系统将显示一条警告消息，表明由于缺少服务器加密密钥而无法解密数据。(ID-12143)

服务器

无法通过现成可用的 RemoteSession 接口创建视图。需要更新部署描述符 (web.xml)。(ID-14756)

将以下 servlet 定义添加到部署描述符

<servlet>
   <servlet-name>rpcrouter3</servlet-name>
   <display-name>OpenSPML SOAP Router</display-name>
   <description>no description</description>
   <servlet-class>
      org.openspml.server.SOAPRouter
   </servlet-class>

   <init-param>
      <param-name>handlers</param-name>
      <param-value>com.waveset.rpc.PasswordSyncHandler</param-value>
   </init-param>

   <init-param>
      <param-name>spmlHandler</param-name>
      <param-value>com.waveset.rpc.SpmlHandler</param-value>
   </init-param>

   <init-param>
      <param-name>rpcHandler</param-name>
      <param-value>com.waveset.rpc.RemoteSessionHandler</param-value>
   </init-param>
</servlet>

将以下 servlet 映射添加到部署描述符：

Sun Identity Manager 网关

在“NT 服务”屏幕上按“停止”按钮时，有时 Sun Identity Manager 网关不会停止 (ID-590)。解决方法是取消停止服务请求（如果该请求仍然处于未决状态），然后再次停止该服务，或者退出 NT 服务对话框，然后重新进入，并再次尝试停止操作。

如果网关位于远程信任域中，则不能将用户添加到属于该 NT 域的组中 (ID-711)。

当使用 'net stop "Sun Identity Manager Gateway"' 时，网关有时不会停止 (ID-2337)。

任务

如果任务列表中含有“风险分析”任务，则拥有 Identity Manager 的“管理员”权限的管理员不能查看管理任务页 (ID-1225)。

不控制“顶层”的管理员不能创建“搜索”或“资源扫描程序”预定任务 (ID-1414)。

“查找任务”页不显示与搜索条件匹配的任务数量 (ID-5152)。

编辑预定任务时，必须使用 MM/DD/YYYY 格式重新输入开始日期 (ID-5675)。

不控制“顶层”的委托管理员可以预定任务和查看任务结果，但不能在任务创建后查看该任务 (ID-6659)。预定任务被置于“顶层”，因此委托管理员没有查看该对象的权限。

一个名为“延迟任务”的字段被加入到库中。该字段可列出用户的延迟任务。要实现该字段，“选项卡式用户表单”和“选项卡式查看用户表单”中必须添加下面的行 (ID-7660)。

工作流、表单、规则和 XPRESS

XPRESS <eq> 函数不能用于将布尔值与字符串 TRUE 或 FALSE 或者与整数 1 或 2 进行比较 (ID-3904)。解决方法是使用：

在通过 dolist 迭代一个通用对象列表时，路径表达式无效 (ID-4920)。

如果对用户表单中的字段使用 global.attrname 变量，而且该属性由多个资源共享，则还应定义一个“派生”规则 (ID-5074)。否则，如果该属性在其中一个资源上进行了本机更改，则该属性不一定会被提取出来并传播至其他资源。

不能在表单的 HTML 部分中使用以 & 开始的特殊字符串。例如，  将不再显示为空格。此问题是由于更改“选择”列表中的支持特殊字符 (&\<>') 而产生的 (ID-5548)。

包含在 <Comment> 标记中的表单、工作流和规则注释，含有代表换行符的 
 字符串 (ID-6243)。这些字符仅在查看上述对象的 XML 时才能看到；Identity Manager 服务器和“业务流程编辑器”会正确处理这些字符。

如果使用“资源表格用户表单”编辑用户，则编辑用户资源时，首次显示表单时不能获取资源属性。解决方法是单击“刷新”按钮，这将会获取属性数据。(ID-10551)

Service Provider Edition

Identity Manager SPE 和 Sun Java System Portal Server 可能不兼容，存在与加密库相关的问题。(ID-10744)

使用 SPE 面板时：如果首次加载图形时持续了几分钟时间，则应核实未将浏览器配置为使用 Microsoft Java 虚拟机 (Microsoft Java Virtual Machine, MSJVM)。Identity Manager SPE 不支持使用 MSJVM 来运行浏览器 applet。(ID-10837)

Identity Manager 管理员界面上显示的某些配置选项不能与 Identity Manager SPE 一起使用。(ID-10843)。其中包括：

资源选项：排除帐户规则、批准者和分配资源的组织。

角色属性

默认情况下，当使用 checkinObject 和 deleteObject IDMXContext API 调用时，不会进行审计。必须通过在传递给这些方法的选项映射中将 IDMXContext.OP_AUDIT 关键字设置为 True 来明确请求审计。ApiUsage 类中的 createAndLinkUser() 方法显示了如何请求审计。(ID-11261)

从 6.0 升级时，Service Provider Edition 的配置主页可能会显示某些参数值（例如：SPE 用户目录）无效的警告，即使这些参数在相应的下拉式列表中显示为有效的设置。解决方法是从下拉式列表中选择无括号的相同值并保存配置。(ID-14818)

默认 Service Provider 登录模块组希望将 Service Provider 资源命名为“SPE 最终用户目录”。如果资源的名称不同，则 Service Provider 最终用户登录页面将不能正常工作。该页面将不会显示与登录相关的字段。(ID-14891)

审计者

管理界面

选择“修正”选项卡的“已完成”子选项卡时，其颜色不变。(ID-9149)

启用本地化后，应用服务器的语言环境设置可能会导致显示两种语言。(ID-9468)

缺少“创建和编辑审计策略”页面的帮助页。(ID-13040)

审计策略

扫描过程中，不支持重新扫描无法从资源获取或发生其他错误的用户帐户。扫描完成后将报告这些错误，但没有重新扫描帐户的自动方法。(ID-9112)

只要用户被编辑，审计者就会试图通过强制执行策略保持用户在策略扫描间的遵从性。如果编辑分配了审计策略并且违反了某个策略的帐户，则不能保存对用户的更改，即便此更改如同将用户移至另一组织这样简单。(ID-9504)

“审计策略”向导 GUI 允许指定 3 个级别的修正者，并且他们之间存在一个提交时段。如果指定了时间段，则必须指定修正者。否则，将删除修正。(ID-14198)

报告

在“审计策略违规历史”、“资源违规历史”和“组织违规历史”报告中，对 STACK 图表类型实行对数换算可能导致异常显示。(ID-9522)

用户遵循性违规日志不应显示在“审计者报告”选择器下“报告”下列式列表中。这是默认遵循性审计报告任务，应隐藏。(ID-14721)

如果在早期版本中自定义了“冲突违规详细信息表单”表单，应在升级到 7.0 之前导出该表单。如果愿意，可在升级后重新导入保存的表单。(ID-14772)

审计者访问扫描报告管理员无法安排审计策略扫描。(ID-14713)