Erweiterungen und Korrekturen der Dokumentation

Dieser Abschnitt enthält neue Informationen und Korrekturen, die nach der Herausgabe der Identity Manager 7.1-Dokumentation bekannt wurden. Die Informationen sind wie folgt unterteilt:

Identity Manager Installation
Identity Manager Upgrade
Identity Manager Administration
Identity Manager Resources Reference
Identity Manager Technical Deployment Overview
Identity Manager Workflows, Forms, and Views
Identity Manager Deployment Tools
Identity Manager Tuning, Troubleshooting, and Error Messages
Identity Manager Service Provider Edition Deployment
helpTool verwenden

---

Identity Manager Installation

Dieser Abschnitt enthält neue Informationen und Dokumentationskorrekturen in Bezug auf Sun Java™ System Identity Manager Installation.

Der Exchange 5.5-Ressourcenadapter wird nicht unterstützt. Ignorieren Sie bitte alle Verweise auf diesen Adapter.

---

Identity Manager Upgrade

Dieser Abschnitt enthält neue Informationen und Dokumentationskorrekturen für Sun Java™ System Identity Manager Upgrade.

Vor der Aufrüstung müssen das Verzeichnis, in dem Identity Manager installiert ist, und die Datenbank, die von Identity Manager verwendet wird, gesichert werden. Zum Sichern des Identity Manager-Dateisystems können Sie Sicherungssoftware eines Drittanbieters oder ein mit Ihrem System geliefertes Sicherungsdienstprogramm verwenden. Die empfohlenen Sicherungsmethoden für die Datenbank schlagen Sie bitte in der Dokumentation zur Datenbank nach. (ID-2810)

Zum Erstellen von Sicherungskopien müssen Sie zunächst Identity Manager herunterfahren (in den Leerlauf schalten). Sichern Sie dann die Datenbank und das Dateisystem, in dem Identity Manager installiert ist, mit den jeweiligen Sicherungsdienstprogrammen.

Die AD ActiveSync-Ressource wurde verworfen und durch die AD-Ressource ersetzt. Führen Sie folgende Schritte aus, um zu AD ActiveSync für neuere Versionen zu migrieren: (ID-11363)
Exportieren Sie das vorhandene AD ActiveSync-Ressourcenobjekt in eine XML-Datei (über die Befehlszeile oder auf den Debug-Seiten).
Löschen Sie die vorhandene Ressource. (Von diesem Vorgang sind keine Benutzer von Identity Manager oder des Ressourcenkontos betroffen.)
Erstellen Sie eine neue AD-Ressource als ActiveSync-Ressource.
Exportieren Sie dieses neue Ressourcenobjekt in eine XML-Datei.
Setzen Sie in dieser Datei die Werte für das id-Attribut und das name-Attribut auf die Werte des ALTEN Ressourcenobjekts, das in Schritt 1 gespeichert wurde. Diese Attribute befinden sich im Tag <Resource id='ID-Nummer' name='AD' ...>.
Speichern Sie die Änderungen in der Datei.
Importieren Sie das geänderte Objekt zurück in Identity Manager. Verwenden Sie hierzu die Seite Konfigurieren->Exchange-Datei importieren oder die Befehlszeile.
Der Abschnitt „Other Custom Repository Objects“ enthält jetzt Anweisungen zur SnapShot-Funktion von Identity Manager, mit der sich ein Snapshot (eine Momentaufnahme) der benutzerdefinierten Repository-Objekte in einer Bereitstellungsumgebung erstellen lässt. (ID-14840)

Weitere benutzerdefinierte Repository-Objekte

Notieren Sie die Namen aller weiteren benutzerdefinierten Repository-Objekte, die Sie erstellt oder aktualisiert haben. Sie können diese Objekte aus der aktuellen Installation exportieren und nach der Aufrüstung in der neuen Identity Manager-Version importieren.

Admin-Gruppe
Admin-Rolle
Konfiguration
Richtlinie
Bereitstellungsaufgabe
Remedy-Konfiguration
Ressourcenformular
Ressourcenformular
Rolle
Regel
Aufgabendefinition
Aufgabenvorlage
Benutzerformular

Mit der SnapShot-Funktion von Identity Manager können Sie einen Snapshot (eine Momentaufnahme) der benutzerdefinierten Repository-Objekte in Ihrer Bereitstellungsumgebung erstellen. Dies kann beim Planen einer Aufrüstung sehr nützlich sein.

SnapShot kopiert zum Vergleich die folgenden Objekttypen des jeweiligen Systems:

AdminGroup
AdminRole
Configuration
EmailTemplate
Policy
ProvisionTask
RemedyConfig
ResourceAction
Resourceform
Role
Rule
TaskDefinition
TaskTemplate
UserForm

Danach können Sie durch einen Vergleich von zwei Snapshots vor und nach einer Aufrüstung ermitteln, welche Änderungen an bestimmten Systemobjekten vorgenommen wurden.

Hinweis	Diese Funktion gibt keinen detaillierten Aufschluss über fortlaufende XML-Unterschiede, sondern liefert einen Kurzbericht für einen ersten Vergleich.

So erstellen Sie einen Snapshot:

Klicken Sie auf der Debug-Seite in Identity Manager ( ) auf die Schaltfläche „SnapShot“, um die SnapShot-Verwaltungsseite aufzurufen.

Abbildung 1 SnapShot-Verwaltungsseite



Geben Sie in das Textfeld „Erstellen“ einen Namen für den Snapshot ein und klicken Sie auf die Schaltfläche „Erstellen“.

Identity Manager fügt den Snapshot hinzu. Der Name wird in der Menüliste „Vergleich“ und rechts neben „Exportieren“ angezeigt.

So vergleichen Sie zwei Snapshots:

Wählen Sie in jedem Menü „Vergleich“ einen Snapshot aus ( ).

Abbildung 2 SnapShot-Verwaltungsseite



Klicken Sie auf die Schaltfläche „Vergleich“.
Liegen keine Objektänderungen vor, zeigt die Seite an, dass keine Unterschiede gefunden wurden.
Wurden Objektänderungen erkannt, zeigt die Seite den Objekttyp und -namen an und ob ein Objekt anders, vorhanden oder nicht vorhanden ist.

Wenn ein Objekt z. B. in Momentaufnahme_1, nicht aber in Momentaufnahme_2 enthalten ist, wird in der Spalte „Momentaufnahme_1“ Present und in der Spalte „Momentaufnahme_2“ Absent angezeigt.

Ein Snapshot kann im XML-Format exportiert werden. Klicken Sie auf den Namen des Snapshots, um ihn in eine Datei zu exportieren.

Um einen Snapshot zu löschen, wählen Sie ihn im Menü „Löschen“ aus und klicken auf die Schaltfläche „Löschen“.

Der folgende Absatz ergänzt den Abschnitt „Modified JSPs“ mit Informationen zum Befehl inventory -m. Mit diesem Befehl lassen sich modifizierte JSPs in einer Bereitstellungsumgebung identifizieren: (ID-14840)

Mit dem Befehl inventory -m (siehe Erläuterungen weiter oben) können Sie alle in der jeweiligen Bereitstellungsumgebung vorgenommenen JSP-Modifikationen identifizieren.

Wenn Sie von einer 6.x-Installation auf Version 7.0 oder 7.1 aufrüsten und die neuen Identity Manager-Endbenutzerseiten verwenden möchten, müssen Sie in der Systemkonfiguration ui.web.user.showMenu manuell auf true einstellen, damit die horizontale Navigationsleiste angezeigt wird. (ID-14901)
Wenn Sie von 6.0 oder 7.0 auf Version 7.1 aufrüsten und LocalFiles verwenden, müssen Sie vor der Aufrüstung alle Ihre Daten exportieren und dann nach der Neuinstallation von 7.1 wieder importieren. (ID-15366)
Bei der Aufrüstung von Version 6.0 oder 7.0 auf Version 7.1 muss das Datenbankschema aufgerüstet werden. (ID-15392)
Bei der Aufrüstung von 6.0 auf 7.1 müssen Sie das upgradeto71.*-Skript für den jeweils verwendeten RDBMS-Typ ausführen.
Bei der Aufrüstung von 7.0 auf 7.1 müssen Sie das upgradeto71from70.*-Skript für den jeweils verwendeten RDBMS-Typ ausführen.
Während der Aufrüstung analysiert Identity Manager alle Rollen im System und aktualisiert alle fehlenden Verknüpfungen zwischen untergeordneten und übergeordneten Rollen mithilfe der Klasse RoleUpdater. (ID-15734)

Rollen können auch unabhängig von der Aufrüstung überprüft und aktualisiert werden. Importieren Sie dazu das neue Konfigurationsobjekt RoleUpdater. Es befindet sich in sample/forms/RoleUpdater.xml. Zum Beispiel:

<?xml version='1.0' encoding='UTF-8'?>
<!DOCTYPE Waveset PUBLIC 'waveset.dtd' 'waveset.dtd'>
<Waveset>
   <ImportCommand class='com.waveset.session.RoleUpdater' >
      <Map>
         <MapEntry key='verbose' value='true' />
         <MapEntry key='noupdate' value='false' />
         <MapEntry key='nofixsubrolelinks' value='false' />
   v</Map>
   </ImportCommand>
</Waveset>

Hierbei gilt Folgendes:

verbose: Beim Aktualisieren von Rollen erfolgt eine ausführliche Ausgabe. Geben Sie false an, wenn die Aktualisierung von Rollen ohne Ausgabe erfolgen soll.
noupdate: Hiermit legen Sie fest, ob die Rollen aktualisiert werden. Geben Sie false an, um eine reine Auflistung der Rollen zu erzeugen, die gegebenenfalls aktualisiert werden.
nofixsubrolelinks: Hiermit legen Sie fest, ob bei übergeordneten Rollen fehlende Verknüpfungen mit untergeordneten Rollen wiederhergestellt werden. Standardmäßig ist hier „false“ eingestellt und die Verknüpfungen werden repariert.

Wenn der Pfad zum Identity Manager-Installationsverzeichnis ein Leerzeichen enthält, müssen Sie die Umgebungsvariable WSHOME ohne Anführungszeichen angeben ("), wie im folgenden Beispiel gezeigt (ID-15470):

Hinweis	Nachstehende Schrägstriche (\) dürfen bei der Pfadangabe auch dann nicht verwendet werden, wenn der Pfad keine Leerzeichen enthält.

set WSHOME=c:\Program Files\Apache Group\Tomcat 4.1\idm

oder

set WSHOME=c:\Progra~1\Apache~1\Tomcat~1\idm

Die folgende Pfadangabe ist ungültig:

set WSHOME="c:\Program Files\Apache Group\Tomcat 4.1\idm"

---

Identity Manager Administration

Dieser Abschnitt enthält neue Informationen und Dokumentationskorrekturen für Sun Java™ System Identity Manager Administration.

Kapitel 3, „User and Account Management“

Die folgende Korrektur bezieht sich auf den Hinweis im Abschnitt „Disable Users (User Actions, Organization Actions)“:

Hinweis	Wenn bei einer zugewiesenen Ressource das Deaktivieren von Konten nicht, das Ändern von Passwörtern dagegen unterstützt wird, können Sie Identity Manager so konfigurieren, dass sich Benutzerkonten auf dieser Ressource durch das Zuweisen neuer, willkürlich generierter Passwörter deaktivieren lassen. Dazu müssen Sie auf der Seite „Identity System-Parameter“ im Ressourcen-Assistenten die Kontofunktionen „Deaktivieren“ und „Passwort“ für die Ressource aktivieren. Weitere Informationen finden Sie in Kapitel 4, „Configuration“.

Die folgende Ergänzung bezieht sich auf den Hinweis im Abschnitt „Enable Users (User Actions, Organization Actions)“:

Hinweis	Wenn bei einer zugewiesenen Ressource das Aktivieren von Konten nicht, das Ändern von Passwörtern dagegen unterstützt wird, können Sie Identity Manager so konfigurieren, dass sich Benutzerkonten auf dieser Ressource durch das Zurücksetzen von Passwörtern aktivieren lassen. Dazu müssen Sie auf der Seite „Identity System-Parameter“ im Ressourcen-Assistenten die Kontofunktionen „Aktivieren“ und „Passwort“ für die Ressource aktivieren. Weitere Informationen finden Sie in Kapitel 4, „Configuration“.

Kapitel 5, „Administration“

Der folgende Hinweis ergänzt den Abschnitt „Delegating Work Items“.

Hinweis	Wenn Sie Delegierungen eingerichtet haben, werden alle Arbeitselemente, die während des geltenden Delegierungszeitraums erstellt wurden, Ihrer Liste und der Liste des Delegierten hinzugefügt. Beim Beenden der Delegierung werden die delegierten Arbeitselemente wiederhergestellt. Dies kann dazu führen, dass einige Arbeitselemente doppelt vorhanden sind. Wenn Sie ein Arbeitselement genehmigen oder zurückweisen, wird das doppelt vorhandene Element automatisch aus Ihrer Liste entfernt.

Die folgenden Informationen ergänzen den Abschnitt „Managing Work Items“.

           Delegierungen an gelöschte Benutzer

Wenn Sie ein Arbeitselement an einen Benutzer delegieren, der zu einem späteren Zeitpunkt aus Identity Manager gelöscht wird, so wird der gelöschte Benutzer in der Liste „Aktuelle Delegierungen“ in Klammern angezeigt. Wenn Sie anschließend eine Delegierung erstellen oder bearbeiten, die den gelöschten Benutzer umfasst, so schlägt diese Aktion fehl. Darüber hinaus führt jedes von einem Benutzer erstellte oder aktualisierte Arbeitselement, das an einen gelöschten Benutzer delegiert wird, zu einem Fehler.

Arbeitselemente, die an einen gelöschten Benutzer delegiert wurden, können Sie durch Beenden der Delegierung wiederherstellen.

Die Tabelle „Identity Manager Capabilities Descriptions“ ist um die Fähigkeit „Endbenutzer-Administrator“ zu ergänzen. Benutzer, denen diese Fähigkeit zugewiesen wurde, können die Rechte an Objekttypen, die in der Endbenutzerfähigkeit angegeben sind, und die Inhalte der Endbenutzerregel für kontrollierte Organisationen anzeigen und bearbeiten. Diese Fähigkeit wird standardmäßig dem Konfigurator zugewiesen.

Kapitel 11, „Identity Auditing“

Dieses Kapitel wurde um die folgenden neuen Informationen ergänzt:

Umgehen der Einschränkungen von Auditor-Fähigkeiten

Standardmäßig sind die für Überwachungsaufgaben erforderlichen Fähigkeiten in der Organisation auf der höchsten Ebene („Top“) (Objektgruppe) enthalten. Daher können nur Administratoren, die das oberste Element („Top“) steuern, diese Fähigkeiten anderen Administratoren zuweisen.

Diese Einschränkung können Sie umgehen, indem Sie die Fähigkeiten zu einer anderen Organisation hinzufügen. In Identity Manager stehen im Verzeichnis sample/scripts zwei Dienstprogramme für diese Aufgabe zur Verfügung.

Führen Sie den folgenden Befehl aus, um alle Fähigkeiten (Admin-Gruppen) und die zugehörigen Organisationen (Objektgruppen) aufzulisten:

beanshell objectGroupUpdate.bsh -type AdminGroup -action list -csv

Die Ausgabe wird in eine CSV-Datei (durch Kommas getrennte Werte) geschrieben.

Bearbeiten Sie die CSV-Datei und verschieben Sie die Fähigkeiten nach Bedarf zwischen den Organisationen.
Aktualisieren Sie Identity Manager mit dem folgenden Befehl.

beanshell objectGroupUpdate.bsh -data CSVFileName -action add -groups NewObjectGroup

Kapitel 13, „Service Provider Administrator“

Im Abschnitt „Configure Synchronization“ sollte als Standardsynchronisationsintervall für Service Provider Edition-Synchronisationsaufgaben 1 Minute angegeben sein.

---

Identity Manager Resources Reference

Dieser Abschnitt enthält neue Informationen und Dokumentationskorrekturen für Sun Java™ System Identity Manager Resources Reference:

Der Exchange 5.5-Ressourcenadapter wird nicht unterstützt. Ignorieren Sie bitte alle Verweise auf diesen Adapter.
In der Dokumentation zum Datenbanktabellen-Adapter ist das Beispiel für „Last Fetched Predicate“ ungültig. Die Definition muss folgendermaßen lauten:

lastMod > '$(lastmod)'

Beim Flat File ActiveSync-Adapter wird das Einstellen der Eigenschaft „sources.hosts“ in der Datei „Waveset.properties“ erläutert. Für diese Konfiguration sollte jetzt die Synchronisationsrichtlinie verwendet werden.
Die Unterstützung von GroupWise durch den NDS-Adapter wurde verbessert:
Der Adapter ermöglicht jetzt das Verwalten von Post Offices in sekundären Domänen.
GroupWise-Benutzer können jede bekannte Verteilungsliste abonnieren.
Beim Löschen eines Post Office ist es nicht mehr erforderlich, ein „Löschmuster“ (Delete Pattern) anzugeben.
Unter „Managing ACL List“ ist der folgende Schritt aufgeführt: (ID-16476)

3. Edit the user in Identity Manager and on the Edit User form.

Richtig lautet die Anweisung folgendermaßen:

3. Edit the user in Identity Manager on the Edit User form.

---

Identity Manager Technical Deployment Overview

Dieser Abschnitt enthält neue Informationen und Dokumentationskorrekturen für Sun Java™ System Identity Manager Technical Deployment Overview:

Mit Hilfe der zentralen Struktureinheit (CSS) können Sie die Spaltenbreite in der Benutzer- und Ressourcenliste auf einen festen Pixelwert oder einen Prozentsatz einstellen. Fügen Sie customStyle.css dazu die folgenden Stilklassen (standardmäßig ausgewiesen) hinzu. Die Werte können dann an die Anforderungen des Benutzers angepasst werden.

th#UserListTreeContent_Col0 {
width: 1px;
}

th#UserListTreeContent_Col0 {
width: 1px;
}

th#UserListTreeContent_Col0 {
width: 50%;
}

th#UserListTreeContent_Col3 {
width: 50%;
}

th#ResourceListTreeContent_Col0 {
width: 1px;
}

th#ResourceListTreeContent_Col1 {
width: 1px;
}

th#ResourceListTreeContent_Col2 {
width: 33%;
}

th#ResourceListTreeContent_Col3 {
width: 33%;
}

th#ResourceListTreeContent_Col4 {
width: 33%;
}

Sie können auch die Größe der Spalten ändern, indem Sie den rechten Rand der Spaltenüberschrift mit der Maus ziehen. Wenn Sie die Maus über den rechten Rand der Spaltenüberschrift ziehen, ändert sich der Cursor in einen horizontalen Pfeil für Größenänderungen. Durch Klicken mit der linken Maustaste und Ziehen des Cursors wird die Größe der Spalte geändert. (Die Größenänderung wird beim Loslassen der Maustaste beendet.)

Das SystemConfiguration-Objekt enthält dann das Attribut security.delegation.historyLength, mit dem die Anzahl der zuvor gespeicherten Delegierungen gesteuert wird.
Die Instanzen der Prüfungen, die in den Überwachungsprotokollen aufgezeichnet wurden, sind sowohl im Bedienfeld „Zugriffsprüfung“ als auch im Bericht über Zugriffsprüfungsdetails aufgeführt. Ohne Datenbankwartung werden die Überwachungsprotokolle nicht gekürzt und die Liste der Prüfungen wird immer größer. Identity Manager bietet die Möglichkeit, nur Prüfungen aus einem bestimmten Zeitraum anzeigen zu lassen. Um diese Grenze zu ändern, müssen Sie compliance/dashboard.jsp (für das Bedienfeld) und sample/auditortasks.xml (für den Detailbericht) entsprechend anpassen. (Standardmäßig werden nur Prüfungen angezeigt, die weniger als 2 Jahre alt sind.)

Um die Prüfungen zu beschränken, die im Bedienfeld Zugriffsprüfung enthalten sind, passen Sie compliance/dashboard.jsp wie folgt an:

Öffnen Sie entweder in der Identity Manager IDE oder einem Editor Ihrer Wahl die Datei compliance/dashboard.jsp:
Ändern Sie die Zeile form.setOption("maxAge", "2y"); auf form.setOption("maxAge", "6M"); , um die Liste auf Prüfungen zu beschränken, die in den letzten 6 Monaten durchgeführt wurden. Folgende Kennzeichner werden verwendet:
m - Minute
h - Stunde
d - Tag
w - Woche
M - Monat
y - Jahr

Um alle Prüfungen anzuzeigen, die noch in den Überwachungsprotokollen enthalten sind, kommentieren Sie diese Zeile aus:

Um die Prüfungen im Bericht über Zugriffsprüfungsdetails zu beschränken, gehen Sie wie folgt vor:

Öffnen Sie entweder in der integrierten Entwicklungsumgebung (IDE) oder einem Editor Ihrer Wahl sample/auditortasks.xml.
Ändern Sie die folgende Zeile wie angegeben:

<s>maxAge</s>
  <s>2y</s>

nach

<s>maxAge</s>
  <s>6M</s>

Dadurch werden die Prüfungen auf die letzten 6 Monate beschränkt. Es werden die oben beschriebenen Kennzeichner verwendet.

Jede regelmäßige Zugriffsprüfung enthält eine Reihe von UserEntitlement-Datensätzen, die bei der Ausführung der Prüfung erstellt wurden. Diese Datensätze, die über die Zeit angesammelt wurden, enthalten wertvolle historische Informationen über die Konten. Um den verfügbaren Datenbankspeicherplatz möglichst effizient zu verwalten, sollten einige Datensätze u. U. gelöscht werden. Sie können einen Datensatz löschen, indem Sie Serveraufgaben > Aufgaben ausführen> Zugriffsprüfung löschen ausführen. Durch das Löschen einer Prüfung werden dem Überwachungsprotokoll neue Einträge hinzugefügt, die angegeben, dass die Prüfung gelöscht wurde. Zudem werden alle mit der Prüfung verbundenen UserEntitlement-Datensätze gelöscht, wodurch Datenbankspeicherplatz freigegeben wird.

Im Abschnitt „Changing Background Image on the Login Page“ muss die dritte Codezeile wie folgt lauten:

url(../images/other/login-backimage2.jpg)

Codebeispiel 5-5 enthält Informationen, die in Codebeispiel 5-4 enthalten sein sollten:
Codebeispiel 5-4 sollte wie folgt aussehen:

Codebeispiel 5-4 Registerkarten zum Anpassen der Navigation 

/* LEVEL 1 TABS */ .TabLvl1Div { background-image:url(../images/other/dot.gif); background-repeat:repeat-x; background-position:left bottom; background-color:#333366; padding:6px 10px 0px; } a.TabLvl1Lnk:link, a.TabLvl1Lnk:visited { display:block; padding:4px 10px 3px; font: bold 0.95em sans-serif; color:#FFF; text-decoration:none; text-align:center; } table.TabLvl1Tbl td { background-image:url(../images/other/dot.gif); background-repeat:repeat-x; background-position:left top; background-color:#666699; border:solid 1px #aba1b5; } table.TabLvl1Tbl td.TabLvl1TblSelTd { background-color:#9999CC; background-image:url(../images/other/dot.gif); background-repeat:repeat-x; background-position:left bottom; border-bottom:none; } /* LEVEL 2 TABS */ .TabLvl2Div { background-image:url(../images/other/dot.gif); background-repeat:repeat-x; background-position:left bottom; background-color:#9999CC; padding:6px 0px 0px 10px } a.TabLvl2Lnk:link, a.TabLvl2Lnk:visited{ display:block; padding:3px 6px 2px; font: 0.8em sans-serif; color:#333; text-decoration:none; text-align:center; } table.TabLvl2Tbl div.TabLvl2SelTxt { display:block; padding:3px 6px 2px; font: 0.8em sans-serif; color:#333; font-weight:normal; text-align:center; } table.TabLvl2Tbl td { background-image:url(../images/other/dot.gif); background-repeat:repeat-x; background-position:left top; background-color:#CCCCFF; border:solid 1px #aba1b5; } table.TabLvl2Tbl td.TabLvl2TblSelTd { border-bottom:none; background-image:url(../images/other/dot.gif); background-repeat:repeat-x; background-position:left bottom; background-color:#FFF; border-left:solid 1px #aba1b5; border-right:solid 1px #aba1b5; border-top:solid 1px #aba1b5;

Codebeispiel 5.5 sollte wie folgt aussehen:

Codebeispiel 5-5 Ändern von Registerkarten

table.Tab2TblNew td {background-image:url(../images/other/dot.gif);background-repeat:repeat-x;background-positi on:left top;background-color:#CCCCFF;border:solid 1px #8f989f} table.Tab2TblNew td.Tab2TblSelTd {border-bottom:none;background-image:url(../images/other/dot.gif);background-repeat:repeat- x;background-position:left bottom;background-color:#FFF;border-left:solid 1px #8f989f;border-right:solid 1px #8f989f;border-top:solid 1px #8f989f}

Die horizontale Navigationsleiste im Identity Manager-Endbenutzer-Interface wird vom Benutzerformular für die Endbenutzer-Navigation in enduser.xml gesteuert. (ID-12415)

userHeader.jsp, das in allen Endbenutzerseiten enthalten ist, beinhaltet ein anderes JSP mit der Bezeichnung menuStart.jsp. Dieses JSP greift auf zwei Systemkonfigurationsobjekte zu:

ui.web.user.showMenu: Blendet das Navigationsmenü ein oder aus (Standard: true)
ui.web.user.menuLayout: Legt fest, ob das Menü als horizontale Navigationsleiste mit Registerkarten (Standard: horizontal) oder als vertikales Strukturmenü (vertical) dargestellt wird.

Die CSS-Stilklassen, die bestimmen, wie das Menü dargestellt werden soll, befinden sich in style.css.

In Identity Manager wird das Lighthouse-Konto nun als Identity Manager-Konto bezeichnet. Sie können diese Namensänderung mit Hilfe eines benutzerdefinierten Katalogs aussetzen. (ID-14918) Weitere Informationen zu benutzerdefinierten Katalogen finden Sie unter Aktivieren der Lokalisierung in Identity Manager Technical Deployment Overview.

Die Anzeige des Produktnamens wird durch die folgenden Katalogeinträge gesteuert:

PRODUCT_NAME=Identity Manager

LIGHTHOUSE_DISPLAY_NAME=[PRODUCT_NAME]

LIGHTHOUSE_TYPE_DISPLAY_NAME=[PRODUCT_NAME]

LIGHTHOUSE_DEFAULT_POLICY=Default [PRODUCT_NAME] Account Policy

Identity Manager umfasst nun ein neues Konfigurationsobjekt (Konfigurationsobjekt WorkItemTypes), das alle Namen, Erweiterungen und Anzeigenamen von unterstützten Arbeitselementtypen angibt. (ID-15468) Dieses Konfigurationselement ist in sample/workItemTypes.xml definiert, die von init.xml und update.xml importiert wird.

Das Attribut extends ermöglicht eine Hierarchie von Arbeitselementtypen (workItem-Typen). Bei der Erstellung eines Arbeitselements delegiert Identity Manager das Arbeitselement an den angegebenen Benutzer, wenn der zugehörige workItem-Typ:

der delegierte Typ ist
einer der untergeordneten workItem-Typen des delegierten Typs ist

workItem-Typ	Beschreibung	Anzeigename
Approval	erweitert WorkItem	Approval
OrganizationApproval	erweitert Approval	Organisationsgenehmigung
ResourceApproval	erweitert Approval	Ressourcengenehmigungen
RoleApproval	erweitert Approval	Rollengenehmigungen
Attestation	WorkItem	Bescheinigung der Zugriffsprüfung
Prüfung	WorkItem	Remediation
accessReviewRemediation	WorkItem	Zugriff

Im Rahmen der anonymen Registrierung von Identity Manager werden für accountId und emailAddress generiert. Dies geschieht auf der Grundlage von Vor- (firstName) und Nachname (lastName) sowie employeeId, die allesamt vom Benutzer angegeben wurden. (ID-16131)

Da bei der anonymen Registrierung Nicht-ASCII-Zeichen in E-Mail-Adressen und Konto-IDs vorkommen können, sollten internationale Benutzer EndUserRuleLibrary-Regeln dahingehend ändern, dass Identity Manager Konto-IDs und E-Mail-Adressen bei der anonymen Registrierung im ASCII-Format hält.

Um die Werte für Konto-ID und E-Mail-Adresse bei der anonymen Registrierung im ASCII-Format zu halten, führen Sie die folgenden beiden Schritte durch:

Bearbeiten Sie die folgenden drei Regeln in EndUserRuleLibrary wie unten angegeben:

Bearbeiten	um diese Änderung zu erreichen...
getAccountId	Es wird nur employeeId verwendet (firstName und lastName werden entfernt).
getEmailAddress	Es wird nur employeeId verwendet (firstName, lastName und "." werden entfernt).
verifyFirstname	Die Längenprüfung wird von 2 auf 1 geändert, um Kompatibilität mit asiatischen Vornamen aus nur einem Zeichen zu erhalten.

Bearbeiten Sie das Formular End User Anon Enrollment Completion, um die Argumente firstName und lastName von Aufrufen der Regeln getAccountId und getEmailAddress zu entfernen.

---

Identity Manager Workflows, Forms, and Views

Dieser Abschnitt enthält neue Informationen und Dokumentationskorrekturen für Sun Java™ System Identity Manager Workflows, Forms, and Views.

Sie können die Richtlinienprüfung in Ihrem Benutzerformular deaktivieren, indem Sie dem Formular das folgende Feld hinzufügen:

<Field name='viewOptions.CallViewValidators'>   <Display class='Hidden'/>     <Expansion>         <s>false</s>     </Expansion> </Field>

Dieses Feld überschreibt den Wert im Feld OP_CALL_VIEW_VALIDATORS von modify.jsp.

Die Seiten der Identity Manager-Benutzeroberfläche umfassen ein zweites XPRESS-Formular zur Implementierung der Navigationsleiste. Die dargestellte Seite enthält daher zwei <FORM>-Tags mit jeweils unterschiedlichen Namensattributen:

<form name="endUserNavigation"> und <form name="mainform">

Um mögliche Verwechselungen dieser beiden <FORM>-Elemente zu vermeiden, verwenden Sie das Attribut name wie folgt, damit deutlich wird, auf welches <FORM>-Element Bezug genommen wird: document.mainform oder document.endUserNavigation.

Kapitel 2, „Identity Manager Workflow“

Identity Manager bietet unter /sample/workflows den folgenden neuen Beispielarbeitsablauf für die Zugriffsprüfung. (ID-15393)

Testen der automatischen Bescheinigung

Ermöglicht das Testen neuer Regeln für die Prüfungsbestimmung, ohne dafür Bescheinigungs-Arbeitselemente erstellen zu müssen. Dieser Arbeitsablauf erstellt keine Arbeitselemente und wird kurz nach dem Start beendet. Alle Benutzeranspruchs-Objekte werden in dem Zustand belassen, den sie bei der Erstellung durch die Zugriffsabfrage hatten. Verwenden Sie die Optionen Beenden und Löschen, um die in diesem Arbeitsablauf erhaltenen Ergebnisse der Zugriffsabfragen zu entfernen.

Sie können diesen Dummyarbeitsablauf nach Bedarf importieren. (Er wird nicht automatisch von Identity Manager importiert.)

Identity Manager-Konformität setzt Arbeitsabläufe als Integrations- und Anpassungspunkte für die Anwendung ein. Die standardmäßigen konformitätsspezifischen Arbeitsabläufe sind im Folgenden beschrieben. (ID-15447)

Arbeitsablauf-Name	Zweck
Remediation	Korrektur für eine einzelne Korrekturfunktion, die mit einer einzelnen Konformitätsverletzung arbeitet
Access Review Remediation	Korrektur für eine einzelne Korrekturfunktion, die mit einer einzelnen UserEntitlement arbeitet
Attestation	Korrektur für eine einzelne Korrekturfunktion, die mit einer einzelnen UserEntitlement arbeitet
Multi Remediation	Korrektur für eine einzelne Konformitätsverletzung und mehrere Korrekturfunktionen
Update Compliance Violation	Mindert eine Konformitätsverletzung
Launch Access Scan	Startet eine Zugriffsabfrageaufgabe von einer Zugriffsprüfungsaufgabe
Launch Entitlement Rescan	Startet eine erneute Zugriffsabfrage für einen einzelnen Benutzer
Launch Violation Rescan	Startet eine erneute Überwachungsrichtliniensuche für einen einzelnen Benutzer

Die Beschreibung der maxSteps-Eigenschaft wurde wie folgt überarbeitet: (ID-15618)

Gibt die maximale Anzahl der Schritte an, die in einem Arbeitsablaufvorgang oder untergeordneten Arbeitsablaufvorgang zulässig sind. Bei Überschreitung dieses Wertes wird der Arbeitsablauf von Identity Manager beendet. Diese Einstellung dient als Sicherheitsmaßnahme bei der Erkennung, ob sich ein Arbeitsablauf in einer Endlosschleife befindet. Der im Arbeitsablauf selbst festgelegte Standardwert beträgt 0 und gibt an, dass Identity Manager den tatsächlichen Wert von der globalen Einstellung abrufen muss, die im Attribut workflow.maxSteps des SystemConfiguration-Objekts gespeichert ist. Der Wert dieser globalen Einstellung beträgt 5000.

Dieses Kapitel enthält nun die folgende Beschreibung der Aufgabe Scripted Task Executor. (ID-15258)

Führt auf der Grundlage des zur Verfügung gestellten Skripts Beanshell oder JavaScript aus. Dies kann als Aufgabe regelmäßig ausgeführt werden. Sie können diese Aufgabe z. B. im Rahmen der Berichterstellung und Analyse zum Exportieren von Daten vom Repository zu einer Datenbank verwenden. Zu den Vorteilen gehört die Möglichkeit, eine benutzerdefinierte Aufgabe zu schreiben, ohne dafür benutzerdefinierten Java-Code erzeugen zu müssen. (Benutzerdefinierter Java-Code muss bei jeder Aufrüstung neu kompiliert und auf jedem Server bereitgestellt werden und da das Skript in die Aufgabe eingebettet ist, ist eine erneute Kompilierung und Bereitstellung nicht erforderlich.)

Kapitel 3, „Identity Manager Forms“

Das Kapitel wird durch die folgende Beschreibung der in Überwachungs- und Konformitätsverfahren verwendeten Formulare ergänzt. (ID-15447, 16240)

Überwachungs- und Konformitätsformulare in Identity Manager zeichnen sich durch ein Merkmal aus, das andere Identity Manager-Formulare nicht aufweisen: Sie können solche Formulare auf Benutzer- und auf Organisationsebene zuweisen. Auf Benutzerebene zugewiesene Formulare können die Effizienz beim Verarbeiten von Bescheinigungen und Korrekturen steigern.

Sie können z. B. das Benutzerformular festlegen, das in Identity Manager zum Bearbeiten eines Benutzers im Zusammenhang mit einer Zugriffsprüfung, einer Korrektur oder einer Korrektur von Konformitätsverletzungen angezeigt wird. Das Benutzerformular kann auf Benutzer- oder Organisationsebene festgelegt werden. Wenn in Identity Manager ein Benutzer im Zusammenhang mit einer erneuten Zugriffsprüfungssuche oder Zugriffsprüfungskorrektur erneut geprüft wird, werden dabei die in der Zugriffsabfrage definierten Überwachungsrichtlinien berücksichtigt. Die Überwachungsrichtlinien zur Sicherstellung dauerhafter Konformität können in die Definition einbezogen werden.

Hinweis	Nur Identity Manager-Administratoren mit den Fähigkeiten „Überwachung konfigurieren“ und „Auditor-Administrator“ können Überwachungskomponeten konfigurieren.

Zusätzliche Informationen

Eine Erläuterung der grundlegenden Überwachungs- und Konformitätskonzepte in Identity Manager sowie Anweisungen zum Implementieren von grundlegenden Überwachungs- und Konformitätsfunktionen finden Sie in Identity Manager Administration.
Unter „Identity Manager Rules“ in Identity Manager Deployment Tools finden Sie allgemeine Erklärungen zu Regeln sowie nähere Informationen zu Korrekturregeln.

Formularverarbeitung zu Überwachungszwecken

Wie bei userForm und viewUserForm können Sie Formulare für einen Benutzer oder eine Organisation festlegen. Der Benutzer oder alle Benutzer in der Organisation arbeiten dann mit diesem Formular. Wenn Sie ein Formular für einen Benutzer und eine Organisation festlegen, hat das für den Benutzer eingestellte Formular Vorrang. Bei der Suche nach dem Formular durchsucht Identity Manager die Organisationen von unten nach oben.

Formulare für die Überwachung verhalten sich genauso wie Benutzer- und Benutzeranzeigeformulare: enn einem Benutzer ein Formular zugewiesen wurde, verwendet der Benutzer dieses Formular, andernfalls verwendet er das seiner Organisation zugewiesene Formular.

Festlegen von Benutzerformularen

Die Formulare „Audit Policy List“ und „Access Scan List“ unterstützen die Eigenschaft fullView. Diese bewirkt, dass in den Formularen detaillierte Informationen zu den Listenelementen angezeigt werden. Setzen Sie diese Eigenschaft auf false, damit der Benutzer, der die Liste anzeigen lässt, effizienter arbeiten kann.

Das Formular „Access Approval List“ verfügt über eine ähnliche Eigenschaft, includeUE, und das Formular „Remediation List“ über die Eigenschaft includeCV.

Standardformulare für die Überwachung

In der folgenden Tabelle sind die Standardformulare für die Überwachung aufgeführt, die in Identity Manager enthalten sind.

Formularname	Zugeordneter Name	Zuweisung auf Benutzerebene	Zweck
Access Approval List	accessApprovalList		Zeigt eine Liste mit Bescheinigungs-Arbeitselementen an
Access Review Delete Confirmation	accessReviewDeleteConfirmation		Bestätigt das Löschen einer Zugriffsprüfung
Access Review Delete Confirmation	accessReviewAbortConfirmation		Bestätigt die Beendigung einer Zugriffsprüfung
Access Review Dashboard	accessReviewDashboard		Zeigt eine Liste mit allen Zugriffsprüfungen an
Access Review Remediation Form	accessReviewRemediationWorkItem	Ja	Zeigt alle UE-basierten Korrekturarbeitselemente an
Access Review Summary	accessReviewSummary		Zeigt die Details einer bestimmten Zugriffsprüfung an
Access Scan Form	accessScanForm		Zeigt eine Zugriffsprüfung an oder ermöglicht deren Bearbeitung
Access Scan List	accessScanList		Zeigt eine Liste mit allen Zugriffsabfragen an
Access Scan Delete Confirmation	accessScanDeleteConfirmation		Bestätigt das Löschen einer Zugriffsabfrage
Access Approval List	attestationList	Ja	Zeigt eine Liste aller anstehenden Bescheinigungen an
Attestation Form	attestationWorkItem	Ja	Zeigt alle Bescheinigungs-Arbeitselemente an
UserEntitlementForm	userEntitlementForm		Zeigt den Inhalt einer UserEntitlement an
UserEntitlement Summary Form	userEntitlementSummaryForm
Violation Detail Form	violationDetailForm		Zeigt die Details einer Konformitätsverletzung an
Remediation List	remediationList	Ja	Zeigt eine Liste mit Korrekturarbeitselementen an
Audit Policy List	auditPolicyList		Zeigt eine Liste mit Überwachungsrichtlinien an
Audit Policy Delete Confirmation Form	auditPolicyDeleteConfirmation		Bestätigt das Löschen einer Überwachungsrichtlinie
Conflict Violation Details Form	conflictViolationDetailsForm		Zeigt die SOD-Verletzungsmatrix an
Compliance Violation Summary Form	complianceViolationSummaryForm
Remediation Form	reviewWorkItem	Ja	Zeigt eine Konformitätsverletzung an

Warum sollten die Formulare angepasst werden?

Für die Bescheinigungs- und Korrekturfunktionen können Formulare angegeben werden, die genau die Details enthalten, mit denen sich die Effizienz beim Bescheinigen und Korrigieren erhöhen lässt. Der Bescheiniger für eine Ressource möchte sich z. B. bestimmte ressourcenspezifische Attribute im Listenformular anzeigen lassen und müsste beim Bescheinigen dann nicht mehr jedes Arbeitselement anzeigen lassen. Ein solches Formular würde je nach Ressourcentyp (und den entsprechenden Attributen) variieren. Es wäre daher sinnvoll, das Formular für einzelne Bescheiniger anzupassen.

Beim Bescheinigen hängt es von der Aufgabe des Bescheinigers ab, welche Ansprüche jeweils von Interesse sind. Der idmManager-Bescheiniger interessiert sich z. B. ganz allgemein für die Benutzeransprüche, ein Bescheiniger für eine Ressource dagegen nur für ressourcenspezifische Daten. Wenn Bescheiniger die Formulare „attestationList“ und „AttestationWorkItem“ so anpassen können, dass nur die benötigten Informationen abgerufen und angezeigt werden, lässt sich die Effizienz erheblich steigern.

Variablen für Abfrageaufgaben

In den Definitionen der Aufgaben Überwachungsrichtliniensuche und Zugriffsabfrage sind die Formulare angegeben, die beim Starten einer Aufgabe verwendet werden müssen. Diese Formulare enthalten Felder, mit deren Hilfe die meisten, jedoch nicht alle Variablen für Abfrageaufgaben gesteuert werden können.

Variablenname	Standardwert	Zweck
maxThreads	5	Gibt die Anzahl gleichzeitig angemeldeter Benutzer an, die für eine einzelne Abfragefunktion gleichzeitig arbeiten können. Erhöhen Sie diesen Wert, wenn Sie beim Prüfen von Benutzern, die Konten auf sehr langsamen Ressourcen haben, die Leistungsfähigkeit erhöhen möchten.
userLock	5000	Gibt die Zeit (in ms) an, die benötigt wird, um für einen Benutzer, der geprüft werden soll, eine Sperre zu erhalten. Wenn mehrere gleichzeitig arbeitende Abfragefunktionen einen Benutzer bearbeiten und dieser über sehr langsame Ressourcen verfügt, führt eine Erhöhung dieses Werts u. U. zu weniger Sperrfehlern, aber zu einer insgesamt langsameren Abfrage.
scanDelay	0	Gibt die Zeit (in ms) an, die bis zur Ausgabe eines neuen Thread vergehen soll. Kann auf einen positiven Wert eingestellt werden, damit die Abfragefunktion weniger CPU-intensiv ist.

Die Beschreibung des Disable-Elements wurde wie folgt überarbeitet: (ID-14920)

Berechnet einen Booleschen Wert. Wenn der Wert „True“ lautet, werden das Feld und alle verschachtelten Felder während der Verarbeitung des aktuellen Formulars ignoriert.

Erstellen Sie keine potenziell langen Aktivitäten in Disable-Elementen. Diese Ausdrücke werden bei jeder erneuten Berechnung des Formulars ausgeführt. Verwenden Sie stattdessen ein anderes Formularelement, das im Rahmen dieser Berechnung nicht so häufig ausgeführt wird.

Im Abschnitt „Inserting Javascript into a Form“ ist fälschlicherweise angegeben, dass Sie mit einem <JavaScript>-Tag JavaScript in ein Formular einfügen können (ID-15741). JavaScript kann auch wie folgt eingefügt werden:

<Field>
   <Expansion>
      <script>
............

Hinweis	Die Variablen display.session und display.subject sind für Disable-Formularelemente nicht verfügbar.

Sie können nun Warnmeldungen vom Typ WARNUNG, Fehler (ERROR) oder Information (OK) in ein XPRESS-Formular einfügen. (ID-14540, ID-14953)

Hinweis	In diesem Beispiel wird zwar ein ErrorMessage-Objekt vom Typ Warnung in ein Formular eingefügt, Sie können jedoch auch einen anderen Schweregrad zuweisen.

Öffnen Sie das Formular, dem Sie die Warnung hinzufügen möchten im Identity Manager IDE.
Fügen Sie der Hauptanzeigeklasse EditForm oder HtmlPage <Property name='messages'>hinzu.
Fügen Sie den Codeblock <defvar name='msgList'> vom folgenden Beispielcode hinzu.
Ersetzen Sie den Meldungsschlüssel, der den Meldungstext gekennzeichnet, der im Feld Alert der Beispielcode-Zeichenkette angezeigt werden soll:

<message name='UI_USER_REQUESTS_ACCOUNTID_NOT_FOUND_ALERT_VALUE >

Speichern und schließen Sie die Datei.

Codebeispiel

<Display class='EditForm'>    <Property name='componentTableWidth' value='100%'/>    <Property name='rowPolarity' value='false'/>    <Property name='requiredMarkerLocation' value='left'/>    <Property name='messages'>      <ref>msgList</ref>    </Property> </Display> <defvar name='msgList'>   <cond>     <and>       <notnull>         <ref>username</ref>       </notnull>       <isnull>         <ref>userview</ref>       </isnull>     </and>     <list>       <new class='com.waveset.msgcat.ErrorMessage'>         <invoke class='com.waveset.msgcat.Severity' name='fromString'>            <s>warning</s>         </invoke>         <message name='UI_USER_REQUESTS_ACCOUNTID_NOT_FOUND_ALERT_VALUE'>           <ref>username</ref>         </message>       </new>     </list>   </cond> </defvar>

Um einen anderen Schweregrad als Warnung anzuzeigen, ersetzen Sie <s>warning</s> im obigen Beispiel durch einen der folgenden beiden Werte:

error -- Führt dazu, dass Identity Manager ein InlineAlert mit einem roten Fehlersymbol („error“) darstellt.
ok -- Führt dazu, dass für Meldungen, die entweder Erfolg oder nicht kritische Vorgänge anzeigen, ein InlineAlert mit einem blauen Informationssymbol angezeigt wird.

Identity Manager stellt dies als ein InlineAlert mit einem Warnsymbol dar.

<invoke class='com.waveset.msgcat.Severity' name='fromString'>

   <s>warning</s>

</invoke>

wobei warning auch error oder ok sein kann.

Kapitel 4, „Identity Manager Views“

Die folgende Aktualisierung bezieht sich auf die Beschreibung der Organisationsansicht: (ID-13584)

Wird zum Festlegen des erstellten Organisationstyps und der Verarbeitungsoptionen verwendet.

Allgemeine Attribute

Die Organisationsansichtsattribute höherer Ebene sind im Folgenden aufgelistet.

Name	Bearbeitbar?	Datentyp	Obligatorisch?
orgName	Lesen	Zeichenfolge	Vom System generiert
orgDisplayName	Lesen/Schreiben	Zeichenfolge	Ja
orgType	Lesen/Schreiben	Zeichenfolge	Nein
orgId	Lesen	Zeichenfolge	Vom System generiert
orgAction	Schreiben	Zeichenfolge	Nein
orgNewDisplayName	Schreiben	Zeichenfolge	Nein
orgParentName	Lesen/Schreiben	Zeichenfolge	Nein
orgChildOrgNames	Lesen	Liste	Vom System generiert
orgApprovers	Lesen/Schreiben	Liste	Nein
allowsOrgApprovers	Lesen	Liste	Vom System generiert
allowedOrgApproverIds	Lesen	Liste	Vom System generiert
orgUserForm	Lesen/Schreiben	Zeichenfolge	Nein
orgViewUserForm	Lesen/Schreiben	Zeichenfolge	Nein
orgPolicies	Lesen/Schreiben	Liste	Nein
orgAuditPolicies	Lesen/Schreiben	Liste	Nein
renameCreate	Lesen/Schreiben	Zeichenfolge	Nein
renameSaveAs	Lesen/Schreiben	Zeichenfolge	Nein

orgName

Gibt die UID für die Organisation an. Dieser Wert unterscheidet sich von den meisten Ansichtsobjektnamen, da Organisationen denselben Kurznamen aufweisen und doch zu verschiedenen übergeordneten Organisationen gehören können.

orgDisplayName

Gibt den Kurznamen der Organisation an. Dieser Wert dient nur der Anzeige und muss nicht eindeutig sein.

orgType

Definiert den Organisationtyp. Zulässige Werte sind junction oder virtual. Organisationen, die nicht zum Typ junction oder virtual gehören, weisen keinen Wert auf.

orgId

Gibt die ID an, mit der die Organisation in Identity Manager eindeutig identifiziert wird.

orgAction

Wird nur für Verzeichniszuordnungen, virtuelle Organisationen und dynamische Organisationen unterstützt. Zulässiger Wert ist refresh. Wenn es sich bei der Organisation um eine Verzeichniszuordnung oder eine virtuelle Organisation handelt, hängt das Verhalten bei der Aktualisierung vom Wert von orgRefreshAllOrgsUserMembers ab.

orgNewDisplayName

Legt beim Umbenennen einer Organisation den neuen Kurznamen fest.

orgParentName

Gibt den vollständigen Pfadnamen der übergeordneten Organisation an.

orgChildOrgNames

Listet die Identity Manager-Schnittstellennamen aller direkten und indirekten untergeordneten Organisationen auf.

orgApprovers

Listet die Identity Manager-Administratoren auf, die das Hinzufügen bzw. Modifizieren von Benutzern in der jeweiligen Organisation genehmigen müssen.

allowedOrgApprovers

Listet die Namen von Benutzern auf, die ebenfalls das Hinzufügen und Modifizieren von Benutzern in der jeweiligen Organisation genehmigen könnten.

allowedOrgApproverIds

Listet die IDs von Benutzern auf, die ebenfalls das Hinzufügen und Modifizieren von Benutzern in der jeweiligen Organisation genehmigen könnten.

orgUserForm

Legt das userForm fest, das Benutzer, die Mitglied der jeweiligen Organisation sind, beim Erstellen oder Bearbeiten von Benutzern verwenden.

orgViewUserForm

Legt das Benutzeranzeigeformular fest, das Benutzer, die Mitglied der jeweiligen Organisation sind, beim Anzeigen von Benutzern verwenden.

orgPolicies

Gibt Richtlinien an, die für alle Benutzer gelten, die Mitglied der jeweiligen Organisation sind. Hierbei handelt es sich um eine Liste von Objekten, geordnet nach Typzeichenfolge: Alle Richtlinienobjekte enthalten die folgenden Ansichtsattribute, denen orgPolicies[<type>] vorangestellt ist. <type> steht für den Richtlinientyp (Beispiel: Lighthouse-Konto).

policyName -- Gibt den Namen an.
id -- Gibt die ID an.
implementation -- Gibt die Klasse zur Implementierung der Richtlinie an.

orgAuditPolicies

Gibt die Überwachungsrichtlinien an, die für alle Benutzer gelten, die Mitglied der jeweiligen Organisation sind.

renameCreate

Wenn dieses Attribut auf „true“ gesetzt ist, wird die jeweilige Organisation geklont. Für die neu erstellte Organisation gilt der Wert von orgNewDisplayName.

renameSaveAs

Wenn dieses Attribut auf „true“ gesetzt ist, wird die jeweilige Organisation in den Wert von orgNewDisplayName umbenannt.

Attribute für Verzeichniszuordnung und virtuelle Organisationen

Name	Bearbeitbar?	Datentyp	Obligatorisch?
orgContainerId	Lesen	Zeichenfolge	Vom System generiert
orgContainerTypes	Lesen	Liste	Vom System generiert
orgContainers	Lesen	Liste	Vom System generiert
orgParentContainerId	Lesen	Zeichenfolge	Vom System generiert
orgResource	Lesen/Schreiben	Zeichenfolge	Ja, für Verzeichniszuordnung bzw. virtuelle Organisation
orgResourceType	Lesen	Zeichenfolge	Vom System generiert
orgResourceId	Lesen	Zeichenfolge	Vom System generiert
orgRefreshAllOrgsUserMembers	Schreiben	Zeichenfolge	Nein

orgContainerId

Gibt den DN des zugehörigen LDAP-Verzeichniscontainers an (Beispiel: cn=foo,ou=bar,o=foobar.com).

orgContainerTypes

Listet die zulässigen Ressourcenobjekttypen auf, die andere Ressourcenobjekte enthalten können.

orgContainers

Listet die Basiscontainer für die Ressource auf, die von der Identity Manager-Schnittstelle zum Anzeigen einer Auswahlliste verwendet werden.

orgParentContainerId

Gibt den DN des zugehörigen übergeordneten LDAP-Verzeichniscontainers an (Beispiel: ou=bar,o=foobar.com).

orgResource

Gibt den Namen der Identity Manager-Ressource zum Synchronisieren der Verzeichniszuordnung und der virtuellen Organisationen an (Beispiel: West Directory Server).

orgResourceType

Gibt den Typ der Identity Manager-Ressource an, von der aus die Verzeichniszuordnung und die virtuellen Organisationen synchronisiert werden (Beispiel: LDAP).

orgResourceId

Gibt die ID der Identity Manager-Ressource an, die zum Synchronisieren von Verzeichniszuordnungen und virtuellen Organisationen verwendet wird.

orgRefreshAllOrgsUserMembers

Wenn dieses Attribut auf true und orgAction auf refresh gesetzt ist, werden für die ausgewählte Organisation und alle untergeordneten Organisationen die Benutzer, die Mitglied in der Identity Manager-Organisation sind, mit den Benutzern im Ressourcencontainer synchronisiert. Wenn dieses Attribut auf false gesetzt ist, erfolgt keine Synchronisation mit den Benutzern im Ressourcencontainer. Für die ausgewählte Organisation und alle untergeordneten Organisationen werden nur die Ressourcencontainer mit den Identity-Manager-Organisationen synchronisiert.

Attribute für dynamische Organisationen

Name	Bearbeitbar?	Datentyp	Obligatorisch?
orgUserMembersRule	Lesen/Schreiben	Zeichenfolge	Nein
orgUserMembersRuleCacheTimeout	Lesen/Schreiben	Zeichenfolge	Nein

orgUserMembersRule

Gibt (anhand des Namens oder der UID) die Regel an, deren authType „UserMembersRule“ lautet. Diese wird zur Laufzeit ausgewertet, um die Mitgliedschaft zu ermitteln.

orgUserMembersCacheTimeout

Gibt an, nach wie viel Millisekunden es zu einer Cache-Zeitüberschreitung kommt, wenn von „orgUserMembersRule“ zurückgegebene Benutzer in den Cache geschrieben werden sollen. Der Wert 0 gibt an, dass keine Zwischenspeicherung erfolgt.

Die Erläuterungen zur Benutzeransicht umfassen nun auch Informationen zu accounts[Lighthouse].delegates-Attributen: (ID-15468)

accounts[Lighthouse].delegates

Führt Delegate-Objekte auf, die über workItemType indiziert werden, wobei jedes Objekt Delegate-Informationen für einen bestimmten Typ von Arbeitselement enthält.

Wenn delegateApproversTo den Wert delegatedApproversRule hat, wird die ausgewählte Regel angegeben.
Ist jedoch manager der Wert von delegateApproversTo, hat dieses Attribut keinen Wert.

accounts[Lighthouse].delegatesHistory

Führt Delegate-Objekt auf, die von 0 bis n indiziert sind, wobei n die aktuelle Anzahl der historischen Delegate-Objekte bis zur historischen Delegate-Tiefe angibt.

Dieses Attribut hat ein eindeutiges Attribut, selected, das ein Boolescher Wert ist, der das gerade ausgewählte historische Delegate-Objekt angibt.

accounts[Lighthouse].delegatesOriginal

Originalliste von Delegate-Objekten, die nach einem Abrufvorgang oder dem Auschecken einer Ansicht über workItemType indiziert werden.

Alle accounts[Lighthouse].delegates*-Attribute nehmen die folgenden Attribute an:

Attribute von accounts[Lighthouse].delegate*-Attributen	Beschreibung
workItemType	Identifiziert den Typ von workItem, das gerade delegiert wird. Eine Liste mit zulässigen workItem-Typen finden Sie in der Beschreibung des Modells für Delegate-Objekte unter Identity Manager Technical Deployment Overview dieses Dokumentationsnachtrags.
workItemTypeObjects	Führt die Namen spezifischer Rollen, Ressourcen oder Organisationen auf, in denen der Benutzer zukünftige workItem-Genehmigungsanforderungen delegiert. Dieses Attribut ist zulässig, wenn workItemType den Wert roleApproval, resourceApproval oder organizationApproval hat. Wenn nicht angegeben, gibt dieses Attribut standardmäßig die Delegierung zukünftiger workItem-Anforderungen von allen Rollen, Ressourcen oder Organisationen an, in denen der Benutzer als Genehmiger fungiert.
toType	Typ, an den delegiert wird. Gültige Werte sind: manager delegateWorkItemsRule selectedUsers
toUsers	Führt die Namen der Benutzer auf, an die delegiert werden soll (wenn toType den Wert selectedUsers hat).
toRule	Gibt den Namen der Regel an, die bei der Bestimmung der Benutzer angewendet wird, an die delegiert werden soll (wenn toType den Wert delegateWorkItemsRule hat).
startDate	Gibt das Datum an, an dem die Delegierung gestartet werden soll.
endDate	Gibt das Datum an, an dem die Delegierung beendet werden soll.

Verweisen auf ein DelegateWorkItems-Ansichtsobjekt von einem Formular aus

Das folgende Codebeispiel veranschaulicht, wie Sie von einem Formular aus auf ein DelegateWorkItems-Delegate-Objekt verweisen können:

<Field name='delegates[*].workItemType'>

<Field name=’delegates[*].workItemTypeObjects’>

<Field name=’delegates[*].toType’>

<Field name='delegates[*].toUsers'>

<Field name=’delegates[*].toRule’>

<Field name='delegates[*].startDate'>

<Field name='delegates[*].endDate'>

wobei unterstützte Indexwert (*) workItemType-Werte sind.

Das Kapitel wird durch die folgende Beschreibung der Benutzeranspruchsansicht ergänzt:

Dient zum Erstellen und Modifizieren von UserEntitlement-Objekten.

Diese Ansicht weist auf höchster Ebene die folgenden Attribute auf:

Name	Bearbeitbar?	Typ	Obligatorisch?
name		Zeichenfolge	Ja
Status		Zeichenfolge	Ja
Benutzer		Zeichenfolge	Ja
userId		Zeichenfolge	Ja
attestorHint		Zeichenfolge	Nein
userView		Generisches Objekt	Ja
reviewInstanceId		Zeichenfolge	Ja
reviewStartDate		Zeichenfolge	Ja
scanId		Zeichenfolge	Ja
scanInstanceId		Zeichenfolge	Ja
approvalWorkflowName		Zeichenfolge	Ja
organizationId		Zeichenfolge	Ja
attestorComments.name		Zeichenfolge	Nein
attestorComments.attestor		Zeichenfolge	Nein
attestorComments.time		Zeichenfolge	Nein
attestorComments.timestamp		Zeichenfolge	Nein
attestorComments.status			Nein

name

Gibt den Benutzeranspruch an (anhand einer eindeutigen ID).

Status

Gibt den Status des UserEntitlement-Objekts an. Zulässige Statuswerte sind u. a. PENDING, ACCEPTED, REJECTED, REMEDIATING und CANCELLED.

user

Gibt den Namen des zugehörigen WSUser für diesen Anspruch an.

userId

Gibt die ID des zugehörigen WSUser an.

attestorHint

Zeigt den Tipp (Zeichenfolge) für den Bescheiniger an, der in der Regel für Prüfungsbestimmung festgelegt ist. Dieser Tipp enthält für den Bescheiniger nützliche Informationen über die Regel.

userView

Enthält die von der Benutzeranspruchs-Prüffunktion erfasste Benutzeransicht. Wie viele Ressourcenkonten diese Ansicht enthält, hängt von der Konfiguration des AccessScan-Objekts ab.

reviewInstanceId

Gibt die ID der PAR-Aufgabeninstanz an.

reviewStartDate

Gibt das Startdatum (Zeichenfolge) der PAR-Aufgabe an (im Standardformat).

scanId

Gibt die ID der AccessScan-Aufgabendefinition an.

scanInstanceId

Gibt die ID der AccessScan-Aufgabeninstanz an.

approvalWorkflowName

Gibt den Namen des für die Genehmigung auszuführenden Workflows an. Dieser Wert stammt aus der AccessScan-Aufgabendefinition.

organizationId

Gibt die ID der Organisation des WSUser zur Zeit der Prüfung an.

attestorComments

Listet Bescheinigungsdatensätze für den Anspruch auf. Jeder Bescheinigungsdatensatz gibt eine Aktion oder eine Anweisung in Bezug auf den Anspruch an, u. a. Genehmigung, Ablehnung und erneute Prüfung.

attestorComments[timestamp].name

Zeitstempel zum Identifizieren des Elements in der Liste.

attestorComments[timestamp].attestor

Gibt den WSUser-Namen des Bescheinigers an, von dem der Kommentar zum Anspruch stammt.

attestorComments[timestamp].time

Gibt die Uhrzeit an, zu der dieser Datensatz vom Bescheiniger bescheinigt wurde. Kann vom Zeitstempel abweichen.

attestorComments[timestamp].status

Gibt den vom Bescheiniger zugewiesenen Status an. Hierbei kann es sich um eine beliebige Zeichenfolge handeln. Normalerweise wird jedoch die vom Bescheiniger ausgeführte Aktion angegeben, also z. B. Genehmigung, Ablehnung, erneute Prüfung, Korrektur.

attestorComments[name].comment

Enthält vom Bescheiniger hinzugefügte Kommentare.

Die folgenden Benutzeransichtsattribute wurden verworfen. (ID-15468)
accounts[Lighthouse].delegateApproversTo
accounts[Lighthouse].delegateApproversSelected
accounts[Lighthouse].delegateApproversStartDate
accounts[Lighthouse].delegateApproversEndDate
Die Ansicht für delegierte Genehmiger wurde verworfen, kann jedoch weiterhin für die Bearbeitung von Delegate-Objekten verwendet werden, bei denen workItemType auf approval gesetzt ist.

Die bisherigen accounts[Lighthouse].delegate*-Attribute für die Benutzeransicht wurden verworfen und stehen über die Benutzeransicht nicht mehr zur Verfügung. Verwenden Sie die neue accounts[Lighthouse].delegates-Ansicht.

Kapitel 6, „XPRESS Language“

Dieses Kapitel wurde erheblich aktualisiert. Näheres finden Sie in der .pdf-Datei „XPRESS“. Sie befindet sich im gleichen Verzeichnis wie diese Versionshinweise.

Kapitel 8, „HTML Display Components“

Die folgenden Erläuterungen über eine Alternative zur MultiSelect-Komponente wurde diesem Kapitel hinzugefügt:

Die Anzeige vieler Admin-Rollen über die MultiSelect-Komponente (entweder die Applet- oder HTML-Version) ist u. U. recht umständlich. Identity Manager bietet eine besser skalierbare Möglichkeit zum Anzeigen und Verwalten von Admin-Rollen: die objectSelector-Feldvorlage. (ID-15433)

Die Scalable Selection Library (in sample/formlib.xml) enthält ein Beispiel, das beschreibt, wie Sie mit Hilfe einer objectSelector-Feldvorlage nach Admin-Rollen suchen können, die vom Benutzer ausgewählt werden können.

Codebeispiel Beispiel einer objectSelector-Feldvorlage

<Field name='scalableWaveset.adminRoles'>   <FieldRef name='objectSelector'>      <Property name='selectorTitle' value='_FM_ADMIN_ROLES'/>      <Property name='selectorFieldName' value='waveset.adminRoles'/>      <Property name='selectorObjectType' value='AdminRole'/>      <Property name='selectorMultiValued' value='true'/>      <Property name='selectorAllowManualEntry' value='true'/>      <Property name='selectorFixedConditions'>        <appendAll>          <new class='com.waveset.object.AttributeCondition'>            <s>hidden</s>            <s>notEquals</s>            <s>true</s>          </new>          <map>            <s>onlyAssignedToCurrentSubject</s>            <Boolean>true</Boolean>          </map>        </appendAll>      </Property>      <Property name='selectorFixedInclusions'>        <appendAll>          <ref>waveset.original.adminRoles</ref>        </appendAll>      </Property>   </FieldRef> </Field>

Verwenden des objectSelector-Beispielcodes

Öffnen Sie in der Identity Manager IDE das UserForm-Objekt der Administratorenbibliothek.
Fügen Sie diesem Formular den folgenden Code hinzu:

<Include>

   <ObjectRef type='UserForm' name='Scalable Selection Library'/>

</Include>

Wählen Sie im Feld AdministratorFields das Feld accounts[Lighthouse].adminRoles .
Ersetzen Sie die gesamte Referenz accounts[Lighthouse].adminRoles durch folgende Referenz:

<FieldRef name='scalableWaveset.adminRoles'/>

Speichern Sie das Objekt.

Wenn Sie das nächste Mal einen Benutzer bearbeiten und die Registerkarte Sicherheit auswählen, zeigt Identity Manager das angepasste Formular an. Durch Klicken auf ... wird die Selektorkomponente geöffnet und ein Suchfeld angezeigt. Suchen Sie mit Hilfe dieses Felds nach Admin-Rollen, die mit einer Zeichenfolge beginnen und stellen Sie das Feld auf einen oder mehrere Werte ein.

Um das Formular wiederherzustellen, importieren Sie $WSHOME/sample/formlib.xml über Konfigurieren > Exchange-Datei importieren.

Weitere Beispiele zum Verwalten von Ressourcen und Rollen in objektreichen Umgebungen mit der objectSelector-Vorlage finden Sie in der Scalable Selection Library in sample/formlib.xml.

Die Erläuterungen zur TabPanel-Komponente enthalten nun die folgende Beschreibung der validatePerTab-Eigenschaft: (ID-15501)

validatePerTab: Bei Einstellung auf „true“ führt Identity Manager Validierungsausdrücke aus, sobald der Benutzer zu einer anderen Registerkarte wechselt.

Die Erläuterungen zur MultiSelect-Komponente enthalten nun die folgende Beschreibung der displayCase-Eigenschaft: (ID-14854)

displayCase: Weist jedem zulässigen Wert die zugehörige Groß- oder Kleinbuchstabenentsprechung zu. Zulässig sind die beiden Werte upper und lower.

Diesem Kapitel wurden die folgenden Erläuterungen zur Menu-Komponente hinzugefügt: (ID-13043)

Besteht aus drei Klassen: Menu, MenuBar und MenuItem.

Menu bezieht sich auf die gesamte Komponente.
MenuItem ist ein Blatt oder Knoten, das bzw. der einer Registerkarte auf der ersten oder zweiten Ebene entspricht.
MenuBar entspricht einer Registerkarte, die MenuBars oder MenuItems enthält.

Menu enthält die folgenden Eigenschaften:

layout: Eine Zeichenfolge mit dem Wert horizontal oder vertical. Mit dem Wert horizontal wird eine horizontale Navigationsleiste mit Registerkarten erzeugt. vertical führt dazu, dass das Menü in Form eines vertikalen Strukturmenüs mit einem typischen Knotenlayout dargestellt wird.
stylePrefix: Präfix für den CSS-Klassenname. Für Identity Manager-Endbenutzerseiten lautet dieser Wert User.

MenuBar enthält die folgenden Eigenschaften:

default: Ein URL-Pfad, der einer der MenuItem-Eigenschaften von MenuBar entspricht. Dadurch wird gesteuert, welche untergeordnete Registerkarte standardmäßig als selected angezeigt werden soll, wenn auf die Registerkarte MenuBar geklickt wird.

MenuItem enthält die folgenden Eigenschaften:

containedUrls: Eine Liste mit URL-Pfaden zu JSPs, die mit MenuItem „verwandt“ sind. Das aktuelle MenuItem wird bei der Anzeige von containedUrls-JSPs als „selected“ dargestellt. Ein Beispiel hierfür ist die Ergebnisseite eines Anforderungsstarts, die nach dem Start eines Arbeitsablaufs von der Anforderungsstartseite aus angezeigt wird.

Sie können diese Eigenschaften entweder für MenuBar oder MenuItem festlegen:

title: Legt die Textzeichenfolge fest, die auf der Registerkarte oder dem Strukturblatt als Hyperlink angezeigt werden soll.
URL: Legt den URL-Pfad für den Titel-Hyperlink fest.

Mit dem folgenden XPRESS-Beispiel wird ein Menü mit zwei Registerkarten erzeugt. Die zweite Registerkarte enthält zwei untergeordnete Registerkarten:

Codebeispiel Implementierung von Menu-, MenuItem- und MenuBar-Komponenten

<Display class='Menu'/> <Field>    <Display class='MenuItem'>      <Property name='URL' value='user/main.jsp'/>      <Property name='title' value='Home' />    </Display> </Field> <Field>    <Display class='MenuBar' >      <Property name='title' value='Work Items' />      <Property name='URL' value='user/workItemListExt.jsp'/>    </Display>     <Field>        <Display class='MenuItem'>          <Property name='URL' value='user/workItemListExt.jsp'/>          <Property name='title' value='Approvals' />        </Display>     </Field>     <Field>       <Display class='MenuItem'>          <Property name='URL' value='user/otherWorkItems/listOtherWorkItems.jsp'/>          <Property name='title' value='Other' />       </Display>     </Field> </Field>

Anhang A, „Form and Process Mappings“

Eine aktualisierte Version des Anhangs „Form and Process Mappings“ finden Sie im selben Verzeichnis wie diese Versionshinweise.
Es ist möglich, über zugeordnete Namen auf konformitätsspezifische Aufgaben zuzugreifen. (ID-15447)

Prozessname	Zugeordneter Name	Beschreibung
Access Review	accessReview	Ausführung einer Zugriffsprüfung
Access Scan	accessReviewScan	Ausführung einer Zugriffsabfrage
Access Review Rescan	accessReviewRescan	Ausführung einer erneuten Zugriffsabfrage
Audit Policy Rescan	auditPolicyRescan	Ausführung einer erneuten Überwachungsrichtliniensuche
Abort Access Review	abortAccessReview	Beendigung einer Zugriffsprüfung
Delete Access Review	deleteAccessReview	Löschen einer Zugriffsprüfung
Recover Access Review	recoverAccessReview	Wiederherstellung fehlender Zugriffsprüfungs-Statusobjekte von Überwachungsprotokollen

---

Identity Manager Deployment Tools

Dieser Abschnitt enthält neue Informationen und Dokumentationskorrekturen für Sun Java™ System Identity Manager Deployment Tools:

Neuigkeiten

Den folgenden Kapiteln der Identity Manager Deployment Tools-Dokumentation wurden wichtige Informationen hinzugefügt:

Kapitel 1, „Using the Identity Manager IDE“ wurde ergänzt und enthält nun Informationen zu den folgenden neuen Merkmalen und Funktionen:
Der Prozess zum Erstellen und Verwenden von Identity Manager IDE-Projekten wurde um zwei Projekttypen erweitert (ID-14587):
Identity Manager Project ist eine voll funktionsfähige, primäre Entwicklungsumgebung für Entwickler.
Identity Manager Project (Remote) ist für kleine Änderungen und Fehlersuchen auf einem externen Server vorgesehen.
Identity Manager IDE-Projekte verfügen nun über eine CBE (Configuration Build Environment) (ID-14980).
Auf der NetBean-Menüleiste der obersten Ebene gibt es nun ein IDM-Menü, in dem Sie Vorgänge auswählen können, die für die ausgewählten Objektknoten geeignet sind. (ID-14787)
Der Liste der Objekttypen, die im Explorer-Fenster angezeigt wird, wurden Bibliotheksobjekte mit Eigenschaftsfenstern, Palettenfunktionen und Navigationsknoten hinzugefügt. (ID-14817)
Wenn Sie für ein Regelobjekt die Designansicht wählen, wird im Editor-Fenster nun ein Ausdrucks-Generator angezeigt, der es ermöglicht, die logische Struktur einer Regel besser zu veranschaulichen und die Eigenschaften der Regel zu ändern. (ID-15104)
Sie können nun (diff-) Objekte in einem lokalen Verzeichnis mit denen im Repository vergleichen. (ID-15206)
Der Prozess zum Testen von Formularen und Regeln wurde geändert. Die Option Formularvorschau wurde in Formulartester umbenannt. (ID-15325)
Den Dialogfeldern des Identity Manager IDEAusdrucks-Generators wurden neue Merkmale und Funktionen hingefügt:
Sie können nun einfache Datentypen (ganze Zahlen und Zeichenfolgen) direkt in der Tabelle des Ausdrucks-Generators bearbeiten. (ID-15528)
Anstatt zuerst einen BLOCK erstellen und diesen dann in den gewünschten Ausdruck umwandeln zu müssen, können Sie nun direkt einen bestimmten Ausdruck erstellen. (ID-15932)
Es wurden eine neue Schaltfläche und ein neues Dialogfeld hinzugefügt, mit der bzw. mit dem Sie den Ausdruckstyp eines Elements ändern können. (ID-15933)
Sie können Eigenschaftenwerte, die einen Ausdruck und primitive Werte (wie Zeichenfolgen) unterstützen, jetzt direkt in einer Eigenschaftentabelle bearbeiten. (ID-15528)
Beim Definieren von XPRESS-invoke-Anweisungen (statisch oder Instanz) im Ausdrucks-Generator können Sie die zugehörigen JavaDoc-Informationen zu den Methoden der Identity Manager-API anzeigen lassen. Zum Aufrufen der JavaDoc-Dokumentation stellen Sie den Cursor über die Methoden, die im Menü „Method Name“ aufgelistet sind. Die Informationen werden in einem Popup-Fenster angezeigt.
Das Identity Manager IDE-Plug-In benötigt nun JDK 1.5 und Netbeans 5.5. (ID-14950)
Sie können nun Objekt im Identity Manager IDE-Repository löschen. (ID-15031)
Sie können nun ein Objekt in die IDE eines Identity Manager 7.0 Servers hochladen und dem Objekt manuell eine ID zuweisen. (ID-15474)
Sie können nun in der Projektstruktur mit der rechten Maustaste auf Knoten klicken und Objekte öffnen, auf die bestimmte Referenzen verweisen (z. B. ObjectRefs, FormRefs, FieldRefs und untergeordnete Arbeitsablaufprozesse). (ID-15406)
Andere, geringfügige Benutzeroberflächen- und Prozessänderungen
Der Abschnitt „Auditor Rules“ in Kapitel 2, „Working with Rules“, wurde aktualisiert und enthält nun mehr detaillierte Informationen über Identity Auditor-Regeln. (ID-15367, 15496, 15609, 15934, 16166, 16263 und 16292)
Kapitel 7, „Using SPML 1.0 with Identity Manager Web Services“, wurde aktualisiert und enthält nun Informationen über die SPE-SPML-Schnittstelle. (ID-14458)
Der Abschnitt „Using Trace in SPML“ in Kapitel 7, „Using SPML 1.0 with Identity Manager Web Services“, wurde aktualisiert und enthält nun zusätzliche Informationen über die Aktivierung des Ablaufprotokolls, damit Sie den SPML-Datenverkehr in Identity Manager protokollieren und Probleme diagnostizieren können. (ID-15346)
Der Abschnitt „Using Trace in SPML“ in Kapitel 8, „Using SPML 2.0 with Identity Manager Web Services“, wurde aktualisiert und enthält nun zusätzliche Informationen über die Aktivierung des Ablaufprotokolls, damit Sie den SPML-Datenverkehr in Identity Manager protokollieren und Probleme diagnostizieren können. (ID-15346)

Aktualisierungen

Dieser Abschnitt enthält Korrekturen und Ergänzungen für die Dokumentation Identity Manager Deployment Tools:

Die Abschnitte „Palette Window“ und „Properties Window“ in Kapitel 1, „Using the Identity Manager IDE“, sollten in der Liste der Elemente im ersten Absatz jeweils die Angabe „GenericObjects“ enthalten: (ID-14817)
Im Palettenfenster (siehe z. B. Abbildung 1-11) können Sie Elemente per Ziehen und Ablegen in die E-Mail-Vorlagen-, Formular-, GenericObjects-, Bibliotheks-, Arbeitsablaufprozess- oder untergeordneten Arbeitsablaufprozessobjekte einfügen, die in den Editorfenstern angezeigt werden. Die Eingabe von XML-Code ist nicht erforderlich.
Das Identity Manager IDE-Eigenschaftenfenster besteht aus einem Eigenschaftsfenster für XML-Elemente, die zu den E-Mail-Vorlagen-, Formular-, GenericObjects-, Bibliotheks-, Regel-, Arbeitsablaufprozess- und untergeordneten Arbeitsablaufprozessobjekten gehören. In diesem Eigenschaftsfenster können Sie die Eigenschaften eines ausgewählten Objekts anzeigen und bearbeiten, so auch den Objektnamen, Dateigrößen, Modifikationszeiten, Ergebnisse usw.

---

Identity Manager Tuning, Troubleshooting, and Error Messages

Dieser Abschnitt enthält neue Informationen und Dokumentationskorrekturen für Sun Java™ System Identity Manager Tuning, Troubleshooting, and Error Messages.

Es sind nun Informationen über die Größe von Repository-Objekten (in Zeichen) verfügbar. Mit Hilfe dieser Informationen können Sie sehr große Objekte identifizieren, die ein Proben für das System darstellen könnten. (ID-9896, ID-15239)

Der Zugriff auf diese Informationen ist über die Webseite debug/Show_Sizes.jsp oder über die Befehlszeile der Konsole möglich. Geben Sie dazu Folgendes ein:

showSizes [<type> [<limit>]]

Hinweis	Bei Aufrüstungen geben vorhandene Objekte eine Größe von 0 an, bis diese aktualisiert oder anderweitig erneuert wurden.

Einige Aufgaben wurden vom Adapter- zum Aufgabenpaket verschoben. Wenn Sie für die folgenden Aufgaben die Verfolgung aktiviert haben oder mit benutzerdefinierten Aufgabendefinitionen arbeiten, die auf diese Paket verweisen, müssen diese Pfade aktualisiert werden.

Alter Paketname	Neuer Paketname
com.waveset.adapter.ADSyncFailoverTask	com.waveset.task.ADSyncFailoverTask
com.waveset.adapter.ADSyncRecoveryCollectorTask	com.waveset.task.ADSyncRecoveryCollectorTask
com.waveset.adapter.SARunner	com.waveset.task.SARunner
com.waveset.adapter.SourceAdapterTask	com.waveset.task.SourceAdapterTask

---

Identity Manager Service Provider Edition Deployment

Dieser Abschnitt enthält neue Informationen und Dokumentationskorrekturen für Sun Java™ System Identity Manager SPE Deployment.

Kapitel 5, „Other Objects in Identity Manager SPE“

Identity Manager SPE unterstützt nun Link-Korrelationsregeln und Link-Bestätigungsregeln.

Link-Korrelationsregeln

Die Option linkTargets der IDMXUser-Ansicht ermöglicht dem Aufrufer, die Liste der Ressourcen anzugeben, die zum Verknüpfen herangezogen werden sollen. Beim Arbeiten mit Formularen kann die Liste als eine Formulareigenschaft mit dem gleichen Namen bereitgestellt werden. Formeigenschaften werden beim Einchecken der IDMXUser-Ansicht in die Ansichtsoptionen aufgenommen.

Die Ressourcenkonten, über die der Benutzer u. U. verfügt, werden durch eine Link-Korrelationsregel ausgewählt. Ausgehend von der Ansicht des Benutzers gibt eine Link-Korrelationsregel eine Identität, eine Liste mit Identitäten oder eine Optionszuordnung zurück.

Wird eine Optionszuordnung zurückgegeben, sucht die Ansichtsbehandlungsroutine mit Hilfe der Zuordnung nach Ressourcenkonten und erhält eine Liste mit Identitäten, die diesen Optionen entsprechen. So kann z. B. die searchFilter-Option der FormUtil-Methode getResourceObjects dazu verwendet werden, einen Suchfilter an einen LDAP-Ressourcenadapter zu übergeben.

In einer Link-Korrelationsregel muss das Attribut authType auf SPERule und subtype auf SUBTYPE_SPE_LINK_CORRELATION_RULE eingestellt sein.

Link-Bestätigungsregel

Durch eine Link-Bestätigungsregel werden alle Ressourcenkonten von der Liste der potenziellen Konten entfernt, die durch die Link-Korrelationsregel ausgewählt sind. Ausgehend von der Ansicht des Benutzers und der Liste der Kandidaten-Ressourcenkonten, wählt eine Link-Bestätigungsregel höchstens ein Ressourcenkonto von der Kandidatenliste aus. Die Ansicht des Benutzer wird unter dem Pfad 'view' angezeigt, während die Liste der Kandidaten unter dem Pfad 'candidates' verfügbar ist.

Wenn durch die Link-Korrelationsregel höchstens ein Ressourcenkonto ausgewählt wird, ist die Link-Bestätigungsregel optional.

Hinweis	Im Gegensatz zu Identity Manager-Bestätigungsregeln wird eine Link-Bestätigungsregel nur während des Verknüpfungsprozesses aufgerufen.

In einer Link-Bestätigungsregel muss das Attribut authType auf SPERule und subtype auf SUBTYPE_SPE_LINK_CONFIRMATION_RULE eingestellt sein.

LighthouseContext-API

Der SessionFactory-Klasse wurden mehrere erweiterte Methoden hinzugefügt. Die Tabelle auf Seite 16 ist wie folgt zu aktualisieren.

Verbindungstyp	Methode	Beschreibung
Local anonymous	getServerInternalContext()	Gibt einen vollständig autorisieren Kontext ohne jegliche Authentifizierung zurück
Local authenticated	getSPESession(String user, EncryptedData password)	Erstellt eine Sitzung für die Service Provider-Benutzeroberfläche.
Local authenticated	getSPESession(Map credentials)	Erstellt eine Sitzung für die Service Provider-Benutzeroberfläche. In der Zuordnungstabelle sind alle Berechtigungsnachweise des Benutzers aufgeführt, einschließlich der Werte für Benutzer- und Passwortschlüssel.
Local pre-authenticated	getSPEPreAuthenticatedSession(String user)	Erstellt eine vorauthentifizierte Sitzung für die Service Provider-Benutzeroberfläche
Remote anonymous	Nicht zutreffend	Dieser Verbindungstyp ist nur über SPML verfügbar.
Remote authenticated	getSession(URL url, String user, EncryptedData pass)	Gibt eine authentifizierte Sitzung zurück

---

Umfang der Lokalisierung

In Identity Manager wurden und werden Ressourcenobjekte und Funktionen nicht lokalisiert, denn es handelt sich in erster Linie um Beispiele, die während der Initialisierung von Identity Manager geladen werden (über init.xml), und zudem können die Attribute von Objekttypen in verschiedenen Bereitstellungsumgebungen beim Kunden variieren, je nachdem, wie stark die Bereitstellung angepasst wurde. Im Folgenden sind die Bereiche aufgeführt, in denen die Benutzer auf englische Ausdrücke stoßen können: (ID-16349)

Standardbenutzerformulare und Prozesszuordnungen
Beispiel: Benutzer bearbeiten > Sicherheit > Pulldown-Menüs „Benutzerformular“
Beispiel: Konfigurieren > Formular- und Prozesszuordnungen
Attributnamen von Konfigurationsobjekten

Beispiel: Konfigurieren > Benutzeroberfläche, zusammengesetzte Namen wie displayPasswordExpirationWarning

Standardaufgaben
Aufgabenvorlagen

Beispiel: Serveraufgaben > Aufgaben konfigurieren > Namen in der Tabelle „Verfügbare Aufgaben“

Aufgabentypbezeichnungen

Beispiel: Serveraufgaben > Aufgaben ausführen > Elemente in der zweiten Spalte der Tabelle „Verfügbare Aufgaben“

Aufgabendefinitionen

Beispiel: Serveraufgaben > Aufgaben suchen > zweites Pulldown-Menü zum Auswählen der Aufgabendefinition

Standardberichtsnamen

Beispiel: Berichtsnamen unter Berichte > Berichte ausführen > Berichtstabelle

Standardrichtliniennamen

Beispiel: Konformität > Richtlinien verwalten > Namen und Beschreibungen von Überwachungsrichtlinien

Standardfähigkeitsnamen

Beispiel: Benutzer bearbeiten > Sicherheit > Verfügbare Fähigkeiten

Standardberichts- und -diagrammnamen
Prozess-/Workflow-Diagramm-Applets

---

helpTool verwenden

Identity Manager 6.0 enthält eine neue Funktion zum Durchsuchen der Onlinehilfe und der Hilfedateien im HTML-Format. Das Suchmodul basiert auf der SunLabs Nova-Technologie.

Die Verwendung des Nova-Suchmoduls verläuft in zwei Phasen: Indizierung und Abruf. Während der Indizierung werden die Eingabedokumente analysiert und ein Index für die Abrufphase erstellt. Während des Abrufs können „Passagen“ abgerufen werden, die aus dem Kontext bestehen, in dem die Abfragebegriffe gefunden wurden. Der Abrufprozess für die Passagen benötigt die ursprünglichen HTML-Dateien. Diese Dateien müssen sich deshalb in einem Speicherort des Dateisystems befinden, auf den das Suchmodul Zugriff hat.

helpTool ist ein Java-Programm, das zwei grundlegende Funktionen ausführt:

Kopiert die HTML-Quelldateien in einen Speicherort, auf den das Suchmodul Zugriff hat
Erstellt den Index für die Abrufphase

Sie führen helpTool folgendermaßen über die Befehlszeile aus:

$ java -jar helpTool.jar

Verwendung: HelpTool

-d Zielverzeichnis

-h Diese Hilfeinformationen

-i Verzeichnis oder JAR-Datei mit Eingabedateien, keine Platzhalter

-n Verzeichnis für den Nova-Index

-o Name der Ausgabedatei

-p Eigenschaftendatei für die Indizierung

Index der Onlinehilfe neu erstellen

Die HTML-Dateien für die Onlinehilfe sind in einer JAR-Datei als Paket enthalten. Sie müssen diese Dateien in ein Verzeichnis für das Suchmodul extrahieren. Gehen Sie folgendermaßen vor:

Entpacken Sie das helpTool-Paket in ein temporäres Verzeichnis. (Details werden später angegeben)

In diesem Beispiel werden die Dateien in das Verzeichnis /tmp/helpTool extrahiert.

Geben Sie in einer UNIX-Shell oder in einem Windows-Befehlsfenster das Verzeichnis an, in dem die Identity Manager-Anwendung Ihrem Webcontainer bereitgestellt wurde.

Es kann beispielsweise folgendes Verzeichnis für Sun Java System Application Server verwendet werden:

/opt/SUNWappserver/domains/domain1/applications/j2ee-modules/idm

Verwenden Sie help/ als aktuelles Arbeitsverzeichnis.

Hinweis	Führen Sie helpTool unbedingt von diesem Verzeichnis aus, weil andernfalls der Index nicht korrekt erstellt wird. Entfernen Sie außerdem die alten Indexdateien, indem Sie den Inhalt des Verzeichnisses index/help/ löschen.

Erfassen Sie folgende Informationen für Ihre Befehlszeilenargumente:
Zielverzeichnis: html/help/en_US

Hinweis	Verwenden Sie die für Ihre Installation geeignete Gebietsschemazeichenfolge.

Eingabedatei: ../WEB-INF/lib/idm.jar
Nova-Indexverzeichnis: index/help
Name der Ausgabedatei: index_files_help.txt

Hinweis	Dieser Dateiname ist nicht wichtig; das Tool wird jedoch beendet, falls diese Datei bereits vorhanden ist.

Eigenschaftendatei für die Indizierung: index/index.properties
Führen Sie folgenden Befehl aus:

$ java -jar /tmp/helpTool/helpTool.jar -d html/help/en_US -i ../
WEB-INF/lib/idm.jar -n index/help -o help_files_help.txt -p index/index.properties

Extracted 475 files.

[15/Dec/2005:13:11:38] PM Init index/help AWord 1085803878
[15/Dec/2005:13:11:38] PM Making meta file: index/help/MF: 0
[15/Dec/2005:13:11:38] PM Created active file: index/help/AL
[15/Dec/2005:13:11:40] MP Partition: 1, 475 documents, 5496 terms.
[15/Dec/2005:13:11:40] MP Finished dumping: 1 index/help 0.266
[15/Dec/2005:13:11:40] IS 475 documents, 6.56 MB, 2.11 s, 11166.66 MB/h
[15/Dec/2005:13:11:40] PM Waiting for housekeeper to finish
[15/Dec/2005:13:11:41] PM Shutdown index/help AWord 1085803878

Dokumentationsindex neu erstellen

Gehen Sie folgendermaßen vor, um den Dokumentationsindex neu zu erstellen:

Entpacken Sie das helpTool-Paket in ein temporäres Verzeichnis. (Details werden später angegeben)

In diesem Beispiel werden die Dateien in das Verzeichnis /tmp/helpTool extrahiert.

Geben Sie in einer UNIX-Shell oder in einem Windows-Befehlsfenster das Verzeichnis an, in dem die Identity Manager-Anwendung Ihrem Webcontainer bereitgestellt wurde.

Es kann beispielsweise folgendes Verzeichnis für Sun Java System Application Server verwendet werden:

/opt/SUNWappserver/domains/domain1/applications/j2ee-modules/idm

Verwenden Sie help/ als aktuelles Arbeitsverzeichnis.

Hinweis	Führen Sie helpTool unbedingt von diesem Verzeichnis aus, weil andernfalls der Index nicht korrekt erstellt wird. Entfernen Sie außerdem die alten Indexdateien, indem Sie den Inhalt des Verzeichnisses index/docs/ löschen.

Erfassen Sie folgende Informationen für Ihre Befehlszeilenargumente:
Zielverzeichnis: html/docs
Eingabedateien: ../doc/HTML/en_US

Hinweis	Das Tool kopiert das Verzeichnis en_US/ und dessen Unterverzeichnisse in dieses Ziel.

Nova-Indexverzeichnis: index/docs
Name der Ausgabedatei: index_files_docs.txt

Hinweis	Dieser Dateiname ist nicht wichtig, das Tool wird jedoch beendet, falls diese Datei bereits vorhanden ist.

Eigenschaftendatei für die Indizierung: index/index.properties
Führen Sie folgenden Befehl aus:

$ java -jar /tmp/helpTool/helpTool.jar -d html/docs -i ../doc/HTML/en_US -n index/docs -o help_files_docs.txt -p index/index.properties Copied 84 files. Copied 105 files. Copied 1 files. Copied 15 files. Copied 1 files. Copied 58 files. Copied 134 files. Copied 156 files. Copied 116 files. Copied 136 files. Copied 21 files. Copied 37 files. Copied 1 files. Copied 13 files. Copied 2 files. Copied 19 files. Copied 20 files. Copied 52 files. Copied 3 files. Copied 14 files. Copied 3 files. Copied 3 files. Copied 608 files. [15/Dec/2005:13:24:25] PM Init index/docs AWord 1252155067 [15/Dec/2005:13:24:25] PM Making meta file: index/docs/MF: 0 [15/Dec/2005:13:24:25] PM Created active file: index/docs/AL [15/Dec/2005:13:24:28] MP Partition: 1, 192 documents, 38488 terms. [15/Dec/2005:13:24:29] MP Finished dumping: 1 index/docs 0.617 [15/Dec/2005:13:24:29] IS 192 documents, 14.70 MB, 3.81 s, 13900.78 MB/h [15/Dec/2005:13:24:29] PM Waiting for housekeeper to finish [15/Dec/2005:13:24:30] PM Shutdown index/docs AWord 1252155067