Identity Manager 7.0 功能

此發行版本中的新功能

Sun Identity Manager 7.0 將Identity Manager、Identity Manager SPE 和 Identity Auditor 三個產品合併為單一產品 Sun Java System Identity Manager 7.0。此整合解決方案可提供一致性和伸縮性方式以透過佈建和稽核程序套用基於身份識別的控制。

其他新增功能包括：

增強的 Auditor 功能，包括

支援定期存取檢閱

責任分離報告的摘要和詳細資訊

增強的介面，單按一下即可存取修正以及存取檢閱工作項目

部署就緒使用者介面，包括

單按一下存取工作項目

便於瀏覽和自訂的標籤式面板

服務提供者更新，包括

基於目錄的委託管理

支援工作流程圖說文字和通知

建立在 NetBeans 上的新 Identity Manager 整合開發環境

附加功能，包括

支援 SPML 2.0

具有追蹤事件的矩陣報告

「功能摘要」小節可提供關於 Identity Manager 7.0 提供的新增功能的附加資訊。

功能摘要

此小節概述了 Identity Manager 7.0 中的新增功能。

安裝與更新

Identity Manager 現在支援將 Oracle Database 10g Release2 做為儲存庫。(ID-12908)

UserEntitlement 物件現在儲存於資料庫中各自的表格中。(ID-13612)

如需升級現有 Identity Manager 安裝，則必須在升級 Identity Manager 7.0 之前執行相應的 upgradeto70.* 資料庫程序檔。這些程序檔會增加所需的資料庫表格，以支援 Identity Manager 定期存取檢閱物件。

授權結構已從產品中移除。對 Identity Manager 7.0 的升級即是對所有產品的升級。沒有適用於授權的授權面板或指令行選項。如果您嘗試授權該產品，則會得到「找不到指令」錯誤。(ID-13632 13501)

管理員介面和使用者介面

[身份識別屬性] 頁面現在顯示了一個 [密碼] 區段，該區段描述了與身份識別屬性有關的密碼產生狀態。您可以配置 Identity Manager 以依據某個預設值、某個規則或透過指定產生密碼的某個 Identity 系統帳號策略，將密碼指定給新的使用者。(ID-10274、12560)

Treetable 元件現在支援可調整欄。您現在可以透過 CSS 將使用者清單和資源清單表格中的欄寬設定為固定像素或百分比值。您也可以使用滑鼠，按一下並拖曳欄標頭的右邊界，調整欄大小。(ID-11474)

現在可對帳號和資源樹狀結構表格內容排序。(ID-12086)

現在可自訂一般使用者頁面的功能表階層。(ID-12415)

Identity Manager 現在包括預設 Manager 屬性，該屬性可提供對建立管理員-員工型關係的支援。此資訊儲存於 Identity Manager 使用者物件中。(ID-12416)

現在，所有頁面層級錯誤和參考性訊息均顯示於頁面頂端帶有錯誤或資訊圖示的方塊中。先前，這些訊息與紅色錯誤文字或參考性訊息的小圖示一同顯示。(ID-12625)

使用者現在可以請求被授予或移除對角色和資源成員的存取權。管理員也可以對某個從屬員工執行此功能。(ID-13018)

您現在可以透過將 rowPolarity 特性增加至 XPRESS 中的 EditForm 元件來變更間隔灰白兩列顏色的極性。預設運作方式為 true 值。值為 false 會轉換極性，且為首個表單欄位提供白色背景。(ID-13971)

使用者介面現在支援 [自我探索] 連結。[通知 Identity 系統其他帳號] 連結已從一般使用者首頁移至 [設定檔] 下瀏覽列中的 [自我探索] 標籤。(ID-14698)

下列表格列出了此發行版本中如何重新編排了標籤和子標籤：


先前發行版本中的標籤		此發行版本中的標籤		註釋
核准		工作項目 >	核准
			我的工作項目	此新增標籤顯示了對所有工作項目的摘要，並提供了解決工作項目的啟動點。
			驗證	此新增標籤支援定期存取檢閱功能；允許使用者解決驗證工作項目
			其他	此新增標籤允許使用者解決除核准、驗證或修正之外的指定工作項目。
			歷程記錄	此標籤顯示了使用者已執行的所有核准、拒絕、緩解和修正的報告
			委託我的工作項目	此新增標籤可啟用將所有工作項目委託給其他使用者。
		規範遵循 >	管理策略管理存取掃描存取檢閱	這些新增標籤用於設定和管理稽核策略和存取檢閱。
配置 >	報告	報告 >	配置	此標籤變更後可更密切配合報告功能。
配置 >	受管資源	資源 >	配置類型	此標籤變更後可更密切配合資源功能。
配置 >	管理員角色權能憑證登入策略	安全性 >	管理員角色權能憑證登入策略	此發行版本中的 [安全性] 標籤是新增的，以重新配合與安全帳號存取和權限相關的功能。
配置 >	中介檢視	中介檢視 >	身份識別屬性身份識別事件	此標籤可讓您直接編輯身份識別屬性和事件。
風險分析 >	執行報告管理報告	報告 >	執行風險分析檢視風險分析	此標籤變更後可使這些報告配合其他報告。
Service Provider Edition	面板圖形檢視面板	報告 >	面板圖形檢視面板	報告下方的這些新增子標籤表示合併自 Service Provider Edition (其可啟用檢視和群組化圖形報告) 的新增功能。
Service Provider Edition		帳號	管理「服務提供者」使用者	此標籤可讓您在 Identity Manager 介面中管理服務提供者使用者類型。
Service Provider Edition >	搜尋作業事件	伺服器作業	服務提供者作業事件	[搜尋作業事件] 標籤已從 Service Provider Edition 中的 [服務提供者] 標籤移至 [伺服器作業] 標籤下的 [服務提供者作業事件] 標籤
作業		伺服器作業		此標籤已重新命名以更好地反映作業是要在伺服器上執行的程序。
標籤從 Identity Auditor 介面變更為 Identity Manager 7.0 介面
規範遵循 >	使用者策略檢視資源檢視組織檢視	帳號	使用者動作功能表	所有使用者動作均從 Identity Manager 中的 [帳號] 標籤執行。 [策略檢視]、[資源檢視] 和 [組織檢視] 標籤已移除，它們相應的報告仍然保存在 [報告] 標籤中。「檢視規範遵循違規記錄」和「檢視規範遵循狀態」動作現已在 [使用者動作] 中可用。
控制 >	管理策略	規範遵循 >	管理策略
配置 >	策略	帳號 >	使用者動作功能表	編輯使用者稽核策略編輯組織稽核策略
修正>	修正擱置已完成	工作項目 >	修正歷程記錄	[擱置] 和 [已完成] 標籤已移除。 [修正] 標籤可顯示擱置的修正。[歷程記錄] 標籤可顯示已完成的修正工作項目。
報告 >	執行報告管理報告	報告 >	執行報告檢視報告	透過選擇 [Auditor 報告] 類型，即可從 [報告] 標籤中使用所有的 Auditor 報告。
作業		伺服器作業

稽核

Identity Manager 和 Identity Manager SPE 已合併它們的兩個稽核架構，變更如下：(ID-13148)

Identity Manager 和 Identity Manager SPE 不再具有獨立的稽核記錄架構。

Identity Manager SPE 的稽核記錄介面已停用。

統一稽核記錄服務可允許協力廠商開發自訂稽核發佈程式，以處理 Identity Manager 和 Identity Manager SPE 相關稽核事件。

新增公用介面的 Javadoc 樣式說明文件可在參照工具組中使用。

驗證稽核記錄架構之可插接式功能的範例代碼已增加至參照工具組。

稽核員

定期存取檢閱可提供設備，以自動收集和驗證使用者目前對重要系統和應用程式的存取權限。此功能允許將記錄 (包含某個使用者所具有的目前存取) 建立至一個或多個系統以及應用程式。這些記錄中的每一條均可透過策略規則自動驗證，或路由至相應的人員手動驗證。(ID-9719)

存取檢閱通常基於定期執行以確保使用者不能越權存取重要系統。透過在單一記錄中保留多個系統和應用程式的使用者存取資料，檢閱者可全面瞭解使用者，這樣可增強他們做出準確判斷的能力。自動處理受到追蹤工具支援，追蹤工具可指出檢閱已完成的工作量、剩餘的工作量，以及負責剩餘工作的人員。檢閱處理與傳統稽核策略掃描整合，以便於檢閱可同時執行規範遵循檢查 (稽核策略掃描) 和存取檢閱 (報告和驗證)。

存取檢閱可自訂以提供附加自動操作，其中包括：

基於規則確定是否應該驗證使用者

基於規則確定是否應該自動驗證/拒絕使用者

基於規則確定誰應該對特定使用者執行手動驗證

基於工作流程手動驗證，包含轉寄、委託和提升

驗證者無需做為 IdM 管理員，任何 IdM 帳號均可工作

責任分離報告對 Auditor 也是新的，它可提供擷取特定存取衝突 (可允許使用者略過內部安全保護) 的方式。(ID-12716) 這些衝突是 ERP 和財務系統中最嚴重的衝突，其中衝突違規可能導致財務錯誤。Auditor 可使用違規記錄 (指出使用者、系統/應用程式和包括分析衝突的確切帳號設定之特定衝突) 擷取此類衝突。Auditor 責任分離可以偵測單一系統/應用程式中的帳號設定衝突或多個系統中的帳號設定衝突。

這些衝突總結在衝突矩陣報告中，其中還包含矩陣中每個儲存格後面的深入研究詳細資訊。

表單

MultiSelect 現在支援新的 displayCase 特性，可將其設定為「大寫」或「小寫」。此功能等效於定義一個 valueMap，可將每個 allowedValues 對映至它們等效的大寫或小寫。(ID-8356)

HTML 顯示元件

描繪 HTML 時，SortingTable 元件現在可使用組成表格的子元件的對齊、垂直對齊和寬度特性。InlineAlert 元件也可使用表單顯示錯誤、警告、成功和參考性訊息。(ID-12560)

Identity Manager 整合開發環境 (IDE)

Identity Manager 整合開發環境 (Identity Manager IDE) 為 Java 應用程式，可讓您在自己的部署中檢視、自訂和除錯 Identity Manager 物件。

Identity Manager IDE 的主要功能包括：

整合式檔案總管視窗允許專案、基於目錄或某個專案的執行階段檢視

文件修改的動作功能表

自訂編輯器，包括：

物件特性表和圖形值編輯器 (用於列舉 XML 物件特性和編輯基本物件類型、XPRESS 和 XML 物件而無需鍵入 XML)

拖放調色板，用於將工作流程服務、核准、使用者和工作流程作業增加至 XML 來源而無需鍵入 XML

已註冊的 waveset.dtd 定義檔，其可啟用語法反白顯示和 XML 元素和屬性的自動完成

用於工作流程、表單和規則的整合除錯程式

用於驗證獨立規則和程式庫規則的規則測試程式

用於在外部瀏覽器中預覽和疑難排解表單的表單預覽程式

簽出檢視功能可讓您簽出、修改和簽入 Identity Manager 檢視 (例如使用者檢視)。

CVS 整合

Identity Manager IDE 是完全整合的 NetBeans 外掛程式，用於替代 Identity Manager 的業務程序編輯器 (BPE) 應用程式。如需有關安裝和使用 Identity Manager IDE 的更多資訊，請參閱「Identity Manager 部署工具」中標題為「使用 Identity Manager IDE」的章節。

Identity Manager SPE

Identity Manager SPE 配置和追蹤事件資料不再儲存於 LDAP 目錄伺服器中。(ID-12170)

而是由 Identity Manager SPE 元件從 Identity Manager 儲存庫直接存取此資料。因此，您無需再選取和匯出 Identity Manager SPE 所需的配置物件。Identity Manager 安裝程式可用於更新適用的 Identity Manager SPE 部署。

如果追蹤事件資料儲存於 Identity Manager SPE 配置目錄中，則應在進行升級之前將其匯出為 XML。升級之後，追蹤事件資料可匯入至 Identity Manager。此外，成功升級之後，您可以安全地刪除配置 LDAP 目錄。

透過 Identity Manager SPE 存取物件不再需要獨立的環境類型。Identity Manager SPE 表單不再需要設定 needSpeContext 特性和使用 :display.speContext 參考此環境。(ID-12171)

建立一個公用介面，以允許客戶在佈建執行之前和完成佈建之後呼叫自訂圖說文字。(ID-12173)

Identity Manager SPE 現在可提供更好的一般使用者 JSP 頁面範例。(ID-12175)

Identity Manager 現在提供可自訂的委託管理和授權模式，此模式可從 Identity Manager 和 Identity Manager SPE 使用者伺服器存取。此模式使用目錄屬性，而且不依賴於 Identity Manager 組織和權能。(ID-12176)

您現在可在同一台 Identity Manager 伺服器上執行 Active Sync 和 SPE 同步化。但是，請勿在同一資源上執行這兩者。(ID-12178)

Identity Manager SPE 使用者 XML 屬性現以壓縮格式儲存，以減少 SPE 使用者目錄佔用空間。(ID-12186)

Identity Manager SPE 作業事件現在支援可配置的使用者更新一致性層級。現有作業事件儲存資料庫需要進行修改以增加附加欄，userId VARCHAR(N) 其中 N 足以包含 Identity Manager SPE 使用者 DN 預期的最大長度，加上附加的 8 個字元。執行升級程序檔時不會自動發生此資料庫變更。(ID-13830)

中介檢視

新增身份識別事件功能已增加至中介檢視。此選項可讓您定義一個模型，以確定資源上的事件何時發生，以及如何恰當地回應這些事件。此功能也可讓您從本機對資源偵測刪除、停用和啟用事件，或透過某個規則的評估 (如果資源不支援偵測該事件) 執行上述作業。

您可以將刪除、解除指定、解除連結、啟用和停用使用者以及資源帳號任意組合，來回應這些事件。身份識別事件僅在 Active Sync 期間套用。由於具有身份識別屬性，因此只有在選取 Active Sync 做為中介檢視的已啟用應用程式時才套用這些事件。(ID-12561)

在管理員介面中，已增加刪除的報告功能。此功能適用於支援 Active Sync (在本機確定某個帳號是否已刪除) 的資源配接卡。(ID-13206)

中介檢視現在支援設定目標欄位值的新選項。也可以合併多值屬性。(ID-13212)

報告

批次處理動作的結果現在可下載至 CSV 格式的檔案。(ID-9297)

依預設，下列報告自動限定範圍為已登入管理員控制的組織集合，除非根據應執行的報告選取一個或多個組織明確覆寫：管理員角色摘要、管理員摘要、角色摘要、使用者問題摘要和使用者摘要。org 範圍元件也已從單一選取元件變更為多個選取元件。(ID-12116)

Identity Manager 現在支援使用 Java 管理延伸 (JMX) 監視各種元件。(ID-12405)

新報告現在支援管理員-員工型關係：我的直接報告摘要、我的直接員工摘要、我的直接和間接員工摘要，以及我的個別直接報告。(ID-12416、ID-12689)

現在可以自訂使用 UTF-8 字元集和多位元組文字編碼的 CSV 報告，因此它可以在不支援 UTF-8 編碼的應用程式中顯示，例如 Microsoft Excel。(ID-13574)

儲存庫

管理員可以透過將 RepositoryConfiguration 物件的 connectionPoolDisable 屬性設定為 true，來停用某個 Identity Manager 儲存庫的自動內部連線池。設定 com.waveset.repository.ConnectionPoolDisable=true 的舊方法現在已停用。(ID-10924)

Identity Manager 7.0 可移除儲存庫方法簽名 #getLastMod(Type, long)。Identity Manager 5.0 SP2 已停用此方法簽名有利於 #getLastMod(Type)。自訂應用程式不應參考此方法或直接參考 com.waveset.repository 套裝軟體中的任何類別或介面。(ID-11761)

Microsoft SQL Server 的預設 JDBC 驅動程式現在為 Microsoft SQL Server 2005 JDBC Driver。此驅動程式可替代舊的 Microsoft SQL Server 2000 JDBC Driver。此新的預設驅動程式可變更 JDBC 驅動程式類別名和 SQL Server 資料庫 URL 的格式。它還會移除需求，以將「SelectMethod=Cursor」附加至此類 URL。(ID-14136)

資源

Identity Manager 7.0 支援下列資源：

Scripted JDBC (ID-7540)

BridgeStream SmartRoles (ID-12262)

Sun Java System Access Manager 中的範圍支援 (ID-12414)

SecurId 配接卡現在可根據狀態擷取記號 (例如，所有的 LOST 記號或所有的 ENABLED 記號)。(ID-7646)

已增加對 OS/400 v4r5、v5r2、v5r3 和 v5r4 (5.2、5.3 和 5.4) 的支援。(ID-9928、13122)

已將多個屬性增加至 Oracle ERP 配接卡以支援稽核功能。(ID-11725)

RACF 配接卡現在包括支援 listAllObjects 的搜尋篩選器。(ID-10895)

SAP HR Active Sync 配接卡現在支援 mySAP ERP ECC 5.0 (SAP 5.0)。(ID-12408)

SAP 和 SAPHR 配接卡現在提供三個新增資源屬性，這些屬性可在發生網路故障時提供 SAP 作業的重試參數。(ID-12579)

SAP BAPI 重試計數：重試作業的次數。

SAP 連線重試計數：嘗試重新連線至 SAP 伺服器的次數。

SAP 連線重試等待時間：嘗試重新連線至 SAP 伺服器之前等待的毫秒數。

Oracle ERP 配接卡現在支援文件集合 (SOB) 功能。(ID-12715)

VLV 排序現在可配置。VLV 排序屬性 (vlvSortAttribute) 已增加至 LDAP 資源。如果設定該屬性，則該值將用於排序，但如果未設定它，則將使用「uid」值。(ID-13321)

角色

角色和資源群組現在可提供單一和組合的功能，以指定給使用者資源上的多個帳號。(ID-6684)

安全性

具有核准人權能的使用者，現在可以在指定的時間段內，將他們未來的核准請求委託給不是 Identity Manager 核准人的一個或多個使用者。使用者可以從三個介面進行委託：(ID-8485)

一般使用者主功能表：[委託核准] 連結

[管理核准] 標籤：[委託我的核准] 子標籤

管理建立/編輯/檢視使用者：安全區段

伺服器

Identity Manager 7.0 現在支援 JBoss Application Server。(ID-10620)

Identity Manager 7.0 現在可提供建立和維護大量相似資源的功能。(ID-11325)

SOAP

Identity Manager 7.0 現在支援 Service Provisioning Markup Language (SPML) 2.0 版本。(ID-12417)

工作流程

任何使用者現在均可設定工作項目委託。此選項可在管理員介面中配置，也可在新增預設一般使用者介面中配置。(ID-14110)

已在此發行版本中修正的錯誤

此小節描述了 Identity Manager 7.0 中修正的錯誤。

安裝與更新

現在可將憑證傳送至 com.waveset.install.UpgradePostProcess。此變更有助於升級程序，特別是 Configurator 的密碼已變更，而您正在執行手動升級卻無法存取 GUI 時。(ID-13006)

Auditor 登入介面已移除。(ID-14481)

升級的注意事項包括：

任何現有帳號策略 (具有為 Auditor 應用程式定義的問題) 均將按照下列方式進行變更：

如果該策略也具有為該管理員和/或預設應用程式定義的問題，則將捨棄 Auditor 應用程式的問題，而將優先處理管理員和/或預設問題。

如果該策略沒有為管理員或預設應用程式定義的問題，則會將 Auditor 應用程式的問題重新指定為管理員問題。

為 Auditor 應用程式定義的使用者的任何認證答案均將按照下列方式進行變更：

如果使用者也具有為管理員和/或預設應用程式定義的答案，則將捨棄 Auditor 應用程式的答案。

如果該使用者沒有為管理員或預設應用程式定義的答案，則會將 Auditor 應用程式的答案重新指定為管理員答案。

從先前安裝 (具有已啟用的 Identity Auditor) 進行升級時，將會看到帳號/組織表中的 Auditor 組織。新的安裝沒有 Auditor 組織。(ID-14636)

如果您在先前的發行版本 (其導致您自訂 [衝突違規詳細資料表單]) 中寫入責任分離的稽核策略規則，您將需要在進行升級之前儲存該表單。(ID-14772)

管理員介面和使用者介面

如果定義某個使用者的資源中斷，而該使用者又嘗試登入，則會顯示有意義的錯誤訊息。(ID-1905)

視作嚴重錯誤的訊息現在可與已配置的預設訊息一起顯示，而且可將附加資訊記錄至 syslog。UNIX 資源配接卡已修改為使用此錯誤訊息顯示。(ID-5495)

您現在可以使用自己選擇的可本土化字串替代瀏覽器標題列中的產品名稱字串。(ID-10905)

已完成的角色同步化作業不再顯示作業仍在執行的訊息。此作業也已使用統計表格增強。現在可顯示已完成作業的錯誤和異常。(ID-11181)

「變更認證問題的答案」一般使用者頁面現在可以更合理地處理沒有認證問題的使用者。(ID-11773)

用於匿名使用者登入的收件匣連結現在指向新增一般使用者工作項目清單表格。(ID-12816)

當設定 noApplet=true 和 sorted=true 特性時，MultiSelect 物件現在會將可用值排序。(ID-12823)

進入或離開安全站點時，一般使用者不會再遇到快顯式對話方塊。(ID-13054)

根據資源顯示帳號密碼策略摘要的表單現在將包裝表格內的內容。先前，摘要資訊將捲動離開瀏覽器視窗的右側。(ID-13109)

在 sysconfig 檔案中，security.delegation.historyLength 參數現在可控制先前已記錄委託的數目。(ID-13141)

continueLogin.jsp 的管理員版本現在可正確顯示目錄訊息。(ID-13193)

當使用者在搜尋和篩選之後取消對資源的編輯時，現在不會拋出空指標異常。(ID-13434)

當您建立新角色時，「可用資源群組」不會同時在面板的左側和右測重複顯示。(ID-13573)

透過重命名資源和選取 [建立並重命名] 來複製現有資源，現在可正確複製資源屬性，例如是否已啟用 ActiveSync。(ID-14175)

如果未設定服務提供者主要配置中的帳號策略，則帳號鎖定和解鎖現在可正常使用。先前，當為服務提供者配置帳號策略時，鎖定按鈕僅可在服務提供者帳號編輯頁面使用。(ID-14181)

表單

手動操作期間 SortingTable 顯示類別的排序功能不會再導致錯誤。(ID-12508)

驗證規則訊息現在顯示於本機客戶端而不是伺服器中。(ID-12780)

Identity Auditor

現在可配置稽核策略來僅掃描限定資源集。(ID-9127)

現在可以檢視間接指定的策略。(ID-11886)

佈建期間可以為策略檢查設定 UserViewConstants.OP_CALL_VIEW_VALIDATORS。(ID-12757)

使用者佈建作業期間可以在佈建執行緒中執行策略檢查。先前的運作方式一直使用獨立作業來執行該檢查。如果已自訂作業運作方式，略過該作業可能導致無法使用自訂。若要解決該問題，請將系統配置 user.view.alwaysUseTask 屬性設定為 true，這樣將強制使用舊的運作方式。(ID-14086)

Identity Manager SPE

作業事件期間不會重新啟動作業事件事件計時器。先前，Identity Manager SPE 中的作業事件處理時間不包括用於計算帳號策略的時間。(ID-14416)

現在，即使服務關閉不當 (例如，應用程式伺服器因記憶體不足錯誤而結束)，Identity Manager SPE 仍可繼續處理作業事件。(ID-14579)

本土化

用做認證問題的訊息金鑰現在可在結果頁面中正確顯示。(ID-13076)

主機

RACF 配接卡搜尋 listAllObjects 中擷取的每個使用者之後，就不會再搜尋長字串，這通常會為大量使用者提供此功能的更佳效能。(ID-12829)

報告

稽核報告中的舊屬性值現在是正確的。(ID-12287)

產生過長 (超過 MAX_NAME_LENGTH) 的 TaskTemplate 名稱現在已修正。(ID-13790)

儲存庫

在高負載情況下 (例如，多於 100,000 使用者) 使用 Oracle 10g 做為儲存庫時，可能有時會發生使用者建立和修改的效能下降。若要復原效能，請使用下列 SQL 敘述更新 userobj 表格的統計：(ID-14605)

analyze table waveset.userattr compute statistics;

資源

Domino 資源配接卡的 removeDenyGroupsDuringDelete 資源屬性可指定是否在透過 Identity Manager 刪除使用者時從拒絕存取群組成員資格中移除使用者。將該屬性設定為 true 可指示群組中應處理的移除作業。此屬性的預設值為 false，以便於向後相容。(ID-10466)

LDAP 配接卡不再為新增帳號建立非法辨別名稱 (DN)。(ID-10951)

com.sun.idm.util.ldap.DnUtil 中的退出方法現在可用於表單中，以退出要插入身份識別範本 (具有 LDAP DN 格式的資源配接卡) 中的值。或者，可使用具有已核取的「必要 LDAP DN 格式」選項之 accountId 策略驗證 LDAP 辨別名稱，該名稱可透過輸入 (例如使用者輸入、ActiveSync 和調解) 進入 Identity Manager。

RFC2253Parser 中的正規化方法現在可以識別和報告無效的 LDAP 辨別名稱 (DN)。(ID-10952)

DblBufferIterator 的 getNextIndex 方法不再存取物件同步化外部支援陣列的大小資訊。(ID-11129)

叢集環境中的同步化狀態已改善。(ID-11250)

com.waveset.adapter.SiebelResourceAdapter 中的 isPickListAttribute 方法不再錯誤識別為追蹤系統中的 isMVGAttribute。(ID-11471)

LDAP 資源上的要同步化的 Objectclass Active Sync 屬性的預設值現在預設為 inetorgperson。(ID-11644)

在 Active Sync 資源上配置的 Flat File Active Sync 記錄的最大數目現在已正確建立。(ID-11848)

objectClass 屬性對映對於 Active Sync 運行來說在 LDAP 資源模式對映中已不再需要。應修改自訂資源配接卡延伸 com.waveset.adapter.LDAPResourceAdapter (其可置換 poll() 和 getUpdateRows(UpdateRow) 方法)，從而在每個方法中呼叫 LDAPResourceAdapterBase.ensureObjectClassInSchemaMap()。(ID-11880)

Domino 資源配接卡現在支援將「檔案中的儲存 ID」選項設定為 false 做為資源屬性，這樣可以在本機磁碟上停用建立使用者 ID 檔案。但是，在建立使用者時，仍必須提供 ID 檔案。(ID-12139)

Solaris 和 Linux 配接卡現在可傳回距上次登入一年內的資訊。(ID-12182)

Oracle ERP 配接卡現在可關閉 Oracle 資料庫游標。先前，配接卡無法關閉游標，從而導致時間久了發生「ORA-01000:maximum open cursors exceeded」錯誤。(ID-12222)

來自 Active Sync 鎖定帳號或使用者的錯誤現在已記錄。(ID-12446)

如果由於其他程序鎖定了應該更新的帳號或使用者，而導致 Active Sync 發生故障，則發生故障的帳號或使用者將寫入至 syslog，這樣可讓您在帳號未鎖定時重新執行作業事件。

對於 Domino 資源配接卡來說，HTTPPassword (具有多個採用 NSFNoteComputeWithForm() API 呼叫的使用者) 的同步運作的更新不會再導致「-551」閘道錯誤。(ID-12466)

客戶不透過 Identity Manager 而直接使用 API 不會再發生閘道當機。(ID-12481)

無論何時發生阻止 diff 動作進行同步化的錯誤，Flat File Active Sync 配接卡現在均可在 Active Sync 記錄 (如果已啟用) 中提供警告訊息。(ID-12484)

用於建立 Natural 資源配接卡帳號的終端模擬已修改，以便 8 字元使用者名稱不使用標籤選取 [複製連結] 屬性。(ID-12503)

修改 AttrParse 物件無需重新啟動，新增值即可生效。(ID-12516)

即使由於登入嘗試失敗造成 Siteminder 使用者鎖定，Siteminder LDAP 配接卡現在仍可正確執行下列作業。(ID-12824)

啟用

停用

過期密碼 (啟用/停用時)

未過期密碼 (啟用/停用時)

變更 LDAP 群組成員現在可使用單一增加和移除而不用重寫整個群組 (即替代整個 uniqueMember 屬性)。(ID-13035)

在嘗試刪除某個安全 ID 使用者之前，Identity Manager 現在可清除管理員權限 (如果有)。(ID-13053)

Oracle 表格配接卡 (DatabaseTableResourceAdapter) 中的游標漏洞已修正。(ID-13111)

Oracle ERP 資源的 auditorObject 複合屬性語法已修改為包括名稱空間，以更加利於從 GenericObject 取得資訊。該屬性的語法現在包括一個含有責任物件清單的頂層「auditorResps」。(ID-13302)

已為 AttrParse 進行了效能增強。正常剖析不再拋出和擷取已剖析緩衝區中每個字元的異常。(ID-13384)

與 RSA 互通時，UNIX 配接卡的 SecurID 現在可執行 UTF-8 字元編碼和解碼。(ID-13451)

透過 Windows NT 資源配接卡在 Windows NT 資源上建立帳號時，下列錯誤訊息不會再顯示於 [建立使用者結果] 頁面中：「請求密碼時發生錯誤：put_PasswordRequired():0X80004005:E_FAIL」。(ID-13618)

現在可在更新期間設定 Active Directory PasswordNeverExpires 屬性。(ID-13710)

Identity Manager 7.0 伺服器在透過閘道移除連線之後，現在可以透過呼叫 notify 通知正在等待的執行緒。(ID-14044)

安全性

具有某個組織「組織管理員」權能的使用者不可再在其他組織中建立組織，即使該使用者具有「帳號管理員」和「角色管理員」權能。(ID-10235)

現在可正常使用密碼產生功能產生不遵循策略的密碼。(ID-12275)

管理員介面現在會顯示密碼過期警告訊息。(ID-13236)

核准人權能不再具有修正 WorkItem 的權限。(ID-14163)

在 Identity Manager 7.0 之前的版本中，核准人權能具有完全的 WorkItem 權限。RemediationWorkItem 和 AttesationWorkItem authType 均延伸自 WorkItem，因此核准人具有對 RemediationWorkItems 的完全權限，也可能具有對其他使用者的 Attestations 的完全權限。

此問題在新的 Identity Manager 7.0 安裝和升級為 Identity Manager 7.0 的安裝中已修正。對於向後相容性問題，Identity Manager 7.0 之前的版本可按照下列步驟解決此問題：

對於核准人權能的任何參照將需要變更為新的核准人管理員。這包括使用者的管理員群組參照和可以指定核准人權能的任何規則或工作流程。

請確定工作流程中建立的任何 workitem 具有指定的 authType，或將預設為核准 authType。

執行 update.xml 中的 WorkItemUpdater 以將帶有空 authType 的任何 workitem 變更為具有核准 authType (實際上彈性設定任何必要的 authType)。檔案中有敘述和說明，但依預設已註釋出來。

不具有管理員權能的使用者現在可以看到角色和資源。(ID-14745)

先前，角色和資源對不具有組織管理員權限的使用者不可見，而且已選取 [更新我的角色] 或 [更新我的資源] 的使用者將無法看到任何角色或資源以進行選取。

伺服器

TaskInstance 子物件，例如核准，現在可在終止作業時適當地刪除。(ID-3258)

在表單中，使用 <Expansion> 中的 <set> 現在可正常工作。(ID-9617)

重命名資源之後重試失敗時，不會再遺失上次的稽核記錄。(ID-9714)

在叢集環境中，一般使用者頁面上失敗的登入不再會產生與串列化相關的異常。(ID-10556)

當伺服器花費長時間處理作業資訊時，不再因為無回應而嘗試自我偵測。(ID-10920)

IAPI 配置已遷移至 IAPI XmlData，其主要由 ActiveSync 資源使用以儲存關於上次處理變更的資訊。(ID-11266)

載入 update.xml 會導致 ResourceUpdater 將現有「高浮水印」資料從 IAPI 配置物件遷移至顯示名稱為 SYNC_resourceName 的 XmlData 物件，並移除原始配置物件。

對「階段作業」伺服器和檢視器 (已在 Identity Manager 5.0 SP1 發行版本中停用) 的參照已移除。(ID-11873)

現在在括號之間無法處理分隔符。因此，在一對括號中的所有字元現在將視為索引或篩選器。注意：目前沒有忽略右括號「]」的機制。(ID-12384)

changelog 檔案名稱現在可在前綴中包含小數點號 (.)。(ID-12470)

作業實例終止現在做為終止動作而不是修改動作稽核。(ID-12791)

帳號物件建立效能已提昇，這將提昇調解和佈建效能。(ID-13341)

[配置] -> [伺服器] 下方的新伺服器配置設定可讓您設定伺服器可同步運作之作業數目的上限。(ID-13343)

工作流程

對規則名稱的巢式參照位於同一程式庫中，但未前置程式庫名稱，現在已解決，而且不會發生未解決的規則錯誤。(ID-10265)

如果 notification.rediret 用於重新導向訊息至某個檔案，則該檔案現在使用 emailNotifier.contentCharset 寫入，就像已透過電子郵件傳送的訊息一樣。這可讓檔案包含非 ISO-8859-1 字元。(ID-10331)

當核准人嘗試核准或拒絕已核准或已拒絕的 workitem 時，更多訊息將增加至工作流程訊息。(ID-11045)

現在，依預設啟用除錯程式。對於生產部署，建議您透過設定下列系統配置特性來停用該除錯程式：「serverSettings.default.debugger.enabled=false」。(ID-14076)

文件

隨著 Identity Auditor 功能和 Service Provider Edition 功能合併入此發行版本 Identity Manager，下列出版物已停用：

「Identity Auditor 管理」

「Identity Manager Service Provider Edition 管理附錄」

「Identity Manager 稽核記錄」

這些出版物已與「Identity Manager 管理指南」合併。

其他已修正的缺陷

10475、11052、12452、13434、14178

上一頁下一頁
Sun Java™ System Identity Manager 7.0 版本說明