Identity Manager 7.1 Funciones

En esta sección de las Notas de la versión de Identity Manager 7.1 se proporciona la siguiente información:

Novedades de esta versión
Problemas corregidos en esta versión

---

Novedades de esta versión

En esta sección se proporciona información adicional sobre las nuevas funciones de Identity Manager 7.1. Esta información se ha organizado como sigue:

Instalación y actualización
Interfaces de administrador y usuario
Auditoría
Formularios
Entorno de desarrollo integrado (IDE) de Identity Manager
Identity Manager SPE
Repositorio
Recursos
Roles
Seguridad
Servidor

Instalación y actualización

Utilice el atributo del sistema waveset.serverId para configurar nombres de servidor que no estén repetidos cuando la instalación incluya varias instancias de Identity Manager vinculadas con un solo repositorio de un único servidor físico. (ID-11578)
La instalación y actualización pueden realizarse en un sistema sin pantalla. (ID-14258)
En sample/create_spe_tables.mysql se proporciona una secuencia de comandos para crear una base de datos de transacciones de Identity Manager Service Provider para MySQL. (ID-14666)

MySQL no se admite como base de datos de transacciones de Service Provider. La secuencia de comandos sólo sirve como ejemplo.

Para localización: Debido a que se ha eliminado el archivo RAMessage_l10n.jar, antes imprescindible en el proceso previo de actualización, es preciso descargar traducciones para los adaptadores. (ID-16272)

Puede descargar paquetes de idioma en Sun Download Center, que forma parte del Centro de Soporte Online (http://www.sun.com/download). Para acceder al centro de descargas necesita registrarse y disponer de un nombre de cuenta y una contraseña.

Para obtener más información, consulte Instalación de Identity Manager 7.1 y el archivo Léame de Identity Manager L10n, que se suministra con todos los paquetes de idioma de IDM.

Interfaces de administrador y usuario

Si olvida su ID de usuario, puede seleccionar Forgot My User ID en login.jsp o user/login.jsp para acceder a una página nueva de búsqueda de ID de usuario. En esta página se puede introducir una dirección de correo electrónico para notificaciones junto con algunos datos de identidad adicionales (como el número de teléfono, el nombre, el apellido, el ID de empleado, etc.) para que Identity Manager busque el usuario que posee dichos atributos de identidad. (ID-4924)
Si la búsqueda produce resultados satisfactorios, Identity Manager envía un mensaje que contiene el ID de usuario de Identity Manager a la dirección de notificación que se ha especificado. (Con este fin se ha creado una nueva plantilla de correo electrónico que permite recuperar el ID de usuario. Como el asunto y el texto de esta plantilla son claves de mensaje, se pueden personalizar e internacionalizar.)
Si la búsqueda no produce resultados, Identity Manager genera un mensaje de error para avisar que no ha encontrado ningún usuario con esas características o que ha encontrado varios usuarios con los mismos datos.

Aunque esta función está habilitada de forma predeterminada, se puede deshabilitar.

Cuando se modifica un módulo de inicio de sesión de un recurso (ID de usuario/contraseña de sistema no Identity) en el ámbito de un grupo de módulos de inicio de sesión (Seguridad > Ingresar), es posible seleccionar una regla de correlación de inicio de sesión para asignar la información de ingreso proporcionada por el usuario a un usuario de Identity Manager.

Identity Manager emplea la lógica especificada en la regla de correlación de inicio de sesión para buscar usuarios de Identity Manager. La regla debe presentar una lista que contenga uno o varios elementos AttributeConditions para que sea posible buscar el usuario de Identity Manager que cumpla estas condiciones.

Por ejemplo, es posible que baste con buscar la coincidencia de ID de usuario de Identity Manager. Si se ha asignado un ID de cuenta de recursos LDAP a los usuarios de Identity Manager, podrán realizarse búsquedas por ID de cuenta y no será necesario que los usuario de Identity Manager dispongan de vínculos con el recurso de Sun Access Manager. La regla de correlación de inicio de sesión debe tener un tipo de autenticación (authType) LoginCorrelationRule. (ID-8577)

Ya no se indica el estado de sincronización en la columna de descripción de la tabla del árbol de recursos. En la columna de estado se indica una combinación de los estados de reconciliación y sincronización. (ID-12465, ID-14005)
Las plantillas de configuración de servidores y de modificación de correo electrónico se han modificado para que el administrador pueda determinar si se debe realizar SSL o autenticación en el servidor de SMTP. (ID-14899)

Para obtener más información, consulte Sun Java™ System Identity Manager Administration.

Auditoría

Ahora las infracciones de directivas se pueden priorizar asignándoles un nivel de prioridad, de gravedad o ambos. Las infracciones se priorizan en la página de remediaciones. Para obtener más información, consulte “Prioritizing Policy Violations” en Identity Manager Administration. (ID-11703)
Las exploraciones de directivas de auditoría exploran los miembros de las organizaciones dinámicas. (ID-12437)
Las exploraciones de directivas de auditoría son programables. (ID-12474)
Las exploraciones de auditoría tienen un modo de prueba, que desactiva la remediación y elimina todas las infracciones al terminar la exploración. (ID-12522)
El informe resumido de infracciones se ha ampliado para poder seleccionar las infracciones que comete el estado de infracción. Es posible configurar el informe de modo que sólo incluya las infracciones correspondientes a uno o varios estados posibles. (ID-12612)
Las entradas del registro de auditoría que están relacionadas con la aprobación, la desaprobación y la remediación de revisiones de acceso se pueden firmar digitalmente. (ID-13264)
Si entra en la página de revisión después de ejecutar una revisión periódica de los accesos, no verá la exploración en la lista a menos que haga clic en el botón Regenerar. (D-14169)
Los empalmes de directorios y las organizaciones virtuales permiten la asignación de directivas de auditoría. (ID-14591)
El ámbito de usuario de la exploración de acceso se puede definir en función de los recursos asignados. (ID-14654)
Ahora se puede ver rápidamente el cumplimiento de Identity Manager si se instala el entorno de demostración. (ID-14970)

El entorno de demostración del cumplimiento se puede instalar importando sample/auditordemo.xml o creando un entorno propio mediante las herramientas que ofrece el compilador de reglas de cumplimiento (Compliance/RuleBuilder). Consulte Compliance/RuleBuilder/README.txt para obtener más información.

Los autenticadores y remediadores pueden especificar formularios que muestren exactamente los detalles necesarios para aumentar la eficacia al autenticar y remediar. Para obtener más información, consulte la sección Anexos a la documentación y correcciones de estas Notas de la versión. (ID-14973)
Durante la remediación se puede volver a evaluar una infracción del cumplimiento para determinar si sigue vigente. Para que no se vuelva a infringir la directiva de auditoría, modifique los datos de usuario. (ID-15019)
Los derechos de revisión de acceso pendientes se pueden actualizar con datos recientes. (ID-15027)
El remediador de revisión de acceso puede editar (reaprovisionar) un usuario directamente mediante el nuevo botón de edición del formulario de remediación. (ID-15172)
El remediador de revisión del cumplimiento puede editar (reaprovisionar) un usuario directamente mediante el nuevo botón de edición del formulario de remediación. (ID-15173)
En la revisión de acceso se pueden modificar los derechos de usuario de varias maneras: (ID-15180)
Mediante el uso de Reexplorar, el autenticador de revisión de acceso puede solicitar una exploración para actualizar y evaluar de nuevo los derechos de usuario.
El remediador de revisión de acceso puede hacer clic en Remediada para que los derechos de usuario se actualicen y se vuelvan a evaluar.
La creación de un derecho de usuario en el estado REMEDIANDO genera automáticamente un elemento de trabajo de remediación. (ID-15423)

Para obtener más información, consulte el capítulo 2, “Working with Rules”, en Identity Manager Deployment Tools.

Nota sobre la actualización: El aviso de autenticación masiva y todas las plantillas de correo electrónico se conservan después de una actualización. En el aviso de autenticación masiva del archivo auditorwfs.xml se explica la forma de implementar las variables de notificación del nuevo elemento de trabajo de remediación de revisión de acceso.

En las exploraciones de auditor se pueden especificar recursos de destino para cuentas múltiples de forma más explícita. (ID-15485)
La página de gestión de objetos de directiva de auditoría ahora se basa en formularios y es personalizable. Es posible seleccionar una vista completa repleta de información o restringir el nivel de detalle a una vista parcial. Para obtener más información, consulte el Anexo a la documentación de estas Notas de la versión. (ID-15486)
La página de gestión de exploraciones de acceso ahora se basa en formularios y es personalizable. Para obtener más información, consulte el Anexo a la documentación de estas Notas de la versión. (ID-15515)
Los informes de los registros de auditoría presentan detalles relacionados con los cambios de rol. (ID-15587)
De manera predeterminada, sólo se registran los siguientes eventos de derechos de usuario (ID-15735):
Autenticador aprobado
Autenticador rechazado
Remediación solicitada
Reexploración solicitada
Terminar

Formularios

La clase de presentación TabPanel permite ejecutar expresiones de validación en función de la ficha. Cuando se configura la propiedad de presentación validatePerTab en true, Identity Manager, las expresiones de validación se ejecutan en cuanto el usuario cambia a una ficha diferente. (ID-12442)
La carpeta sample/forms contiene un nuevo formulario VMS de ejemplo. (ID-12835)

Entorno de desarrollo integrado (IDE) de Identity Manager

El Identity Manager Integrated Development Environment (Identity Manager IDE) es una aplicación Java que permite ver, personalizar y depurar objetos de Identity Manager en la implementación.

Las nuevas funciones añadidas (o modificadas) en el Identity Manager IDE en Identity Manager 7.1 son:

Nota	Para obtener más información sobre estas funciones, consulte Identity Manager Deployment Tools

El Identity Manager IDE admite objetos genéricos. (ID-12952, 12991)
La barra de menús de nivel superior de NetBean incluye ahora un menú IdM, que permite seleccionar acciones adecuadas a los nodos de los objetos seleccionados. (ID-13158)
El proyecto Identity Manager IDE 7.0 se ha sustituido por los dos tipos siguientes, que son ambos proyectos NetBeans ant: (ID-14587)
Identity Manager Project: Es un entorno de desarrollo básico para desarrolladores que dispone de todas las funciones, entre ellas:
Edición, compilación y depuración en Java/JSP
Ejecución de Identity Manager en un servidor de aplicación incrustado en Netbeans
Administración de repositorios incrustados

Este tipo de proyecto proporciona un repositorio sencillo que le puede servir para realizar comprobaciones en una zona protegida. Al crear este tipo de proyecto, se puede especificar un repositorio incrustado para el proyecto. Además, es posible habilitar una opción de gestión del repositorio incrustado para reinicializarlo. El Identity Manager IDE ofrece una función de autopublicación que carga automáticamente el repositorio incrustado siempre que se ejecuta o depura el proyecto.

Un entorno de compilación de configuración (CBE) y un generador de archivos de importación de ejemplo.
Para obtener más información sobre el CBE, consulte el archivo README.txt suministrado con Identity Manager Project.
Identity Manager Project (Remote): Se utiliza para realizar pequeños cambios y depurar proyectos remotos en un servidor externo. Es un tipo de proyecto compacto y rápido de configurar que dispone de las mismas funciones de edición que Identity Manager Project, pero carece de entorno de compilación y no permite abrir el archivo war.
El Identity Manager IDE ahora es independiente de la versión. (ID-14723)

La versión 7.1 del .nbm del Identity Manager IDE se ha desconectado de las clases de Identity Manager. El .nbm versión 7.1 es compatible con Identity Manager 7.0 y 7.1, y se prevé que también lo sea con Identity Manager 6.0 SP3.

Cada proyecto del Identity Manager IDE está ligado a una versión específica de Identity Manager, y el Identity Manager IDE ahora requiere un paquete de compatibilidad (ide-bundle.zip) que aporte los archivos jar de Identity Manager y algunos registros XML con información específica para cada versión de Identity Manager admitida. El paquete de compatibilidad se especifica al crear un proyecto:

Para Identity Manager Project: El paquete de compatibilidad se incluye en el archivo idm.war, al que Identity Manager IDE accede automáticamente durante la configuración del proyecto.
Para Identity Manager Project (Remote): Dado que no se especifica la ubicación del archivo war para los proyectos remotos, hay que indicar dónde se encuentra el paquete de compatibilidad, que está en:

Identity Manager install root/sample/ide-bundle.zip

Nota	Identity Manager versión 7.0 no ofrecía paquete de compatibilidad para el IDE, pero el archivo se puede descargar del sitio de descargas de Identity Manager 7.0.

Los objetos de la biblioteca, que disponen de hojas de propiedades, funciones de paleta y nodos de navegación, se han añadido a la lista de tipos de objetos que aparecen en la ventana del Explorador. (ID-14817)
En la actualidad es necesario utilizar JDK 1.5 y Netbeans 5.5 con el plugin de Identity Manager IDE. (ID-14950)
Ahora se puede comparar un solo objeto (diff) o una carpeta de objetos (de forma recursiva) de un directorio local con los del repositorio. Esta función permite apreciar las diferencias entre las copias locales y las del servidor. Además, sirve para transferir y recargar uno o varios objetos modificados. (ID-15151, 15206)
Cuando se selecciona la vista de diseño de un objeto de regla, en la ventana del editor aparece un generador de expresiones que permite distinguir con facilidad la estructura lógica de la regla y modificar sus propiedades. (ID-15104)
Los cuadros de diálogo del generador de expresiones del Identity Manager IDE incorporan nuevas funciones. Ahora es posible:
Modificar tipos de datos simples (enteros y cadenas) directamente en la tabla del generador de expresiones. (ID-15528)
Ver JavaDoc para métodos de API de Identity Manager al definir sentencias de invocación XPRESS (estáticas o de instancia) en los cuadros de diálogo del generador de expresiones. (ID-12961)

Cuando se seleccionan clases o métodos en los menús de nombre de clase y de nombre de método del generador de expresiones, el JavaDoc relacionado emerge junto al cuadro de diálogo. (ID-12960)

Editar valores de propiedades que admiten expresiones y primitivas (como cadenas) directamente en una tabla de propiedades. (ID-13763)
Crear una expresión concreta en lugar de crear primero un BLOQUE para después convertirlo en la expresión deseada. (ID-15932)
Incluir o “envolver” un elemento de una expresión en otro elemento, lo que permite crear expresiones desde dentro hacia fuera.
Cambiar el tipo de expresión de un elemento con un nuevo botón y cuadro de diálogo de cambio. (ID-15933)
El Identity Manager IDE ahora ofrece nodos distintos para los archivos, objetos persistentes y extensiones, con el fin de reflejar mejor el contenido XML subyacente. Además, es posible reordenar e insertar nodos en otras posiciones (antes, después o dentro de otros nodos en el árbol de proyecto). (ID-14689)
Los objetos del repositorio del Identity Manager IDE se pueden eliminar. (ID-14081, 15031)
Es posible transferir un objeto del Identity Manager IDE a un servidor de Identity Manager 7.0 y asignarle un ID de objeto manualmente. (ID-15474)
Para facilitarle el traslado de objetos entre repositorios, ahora puede configurar Identity Manager IDE de manera que elimine todos los ID de repositorio generados automáticamente antes de descargar objetos del repositorio. (ID-15307, 15347)

Identity Manager IDE busca y elimina todos los ID de objeto y de referencia de objeto que corresponden a una expresión especificada, sin suprimir los ID predefinidos en el código interno.

Al editar formularios, ahora se pueden seguir las referencias a formularios y campos. Además, al editar flujos de trabajo, se pueden seguir los procesos externos. El Identity Manager IDE abre el archivo referenciado y busca la referencia. (ID-14428, 15406)
Es posible especificar un contexto raíz dejando vacío el campo Contexto al crear el proyecto. (ID-15912)

Identity Manager SPE

Identity Manager Identity Manager SPE admite reglas de correlación y confirmación de vínculo. (ID-10500) Para obtener más información, consulte la descripción del error de software 15760 en el Anexo a la documentación de estas Notas de la versión.
Las respuestas de autenticación para usuarios de Service Provider se pueden modificar en la interfaz administrativa. (ID-12781)
Los atributos LDAP borrados ahora se propagan una vez que vuelve a estar disponible un recurso inactivado. (ID-15471)

Informes

Ahora se puede controlar globalmente la fuente utilizada al generar informes, para lo cual se editan los valores de la página Configurar > Informes. También se pueden reemplazar editando la configuración de cada informe. De manera predeterminada sólo se muestran las fuentes disponibles para todos los visores de PDF.

Para agregar otras fuentes al sistema, copie sus archivos de definición al directorio WEB-INF/fonts dentro del directorio donde está implementado IDM (por ejemplo,
/var/opt/SUNWappserver/domains/domain1/applications/j2ee-modules/idm/WEBINF/fonts). A continuación hay que reiniciar el servidor. Los formatos de definición de fuente aceptados incluyen .ttf, .ttc, .otf y .afm. Si se selecciona una de estas fuentes, la misma fuente deberá estar disponible en la máquina donde se visualice el informe o bien estar incluida en el informe.

Como el conjunto de fuentes predeterminado no admite todos los juegos de caracteres (por ejemplo, los asiáticos), es preciso instalar otra fuente en el directorio fonts/y seleccionarla en las páginas de configuración para generar informes capaces de mostrar otros juegos de caracteres. (ID-10641/14376)

Nota	Las licencias de las fuentes TrueType ofrecen distintos niveles de incrustación de fuentes. La licencia debe permitir incrustar para impresión y vista preliminar en el PDF la fuente elegida para generarlo. Si se carece de la licencia adecuada para incrustar la fuente en el PDF, éste se generará con una fuente estándar y, en consecuencia, el contenido del PDF quedará dañado. Actualmente, Identity Manager no registra un error para advertir de este problema.

Repositorio

Ahora se ofrece información sobre el tamaño de los objetos del repositorio. Puede acceder a esta información a través de las páginas Web y desde la línea de comandos de la consola. (ID-9896)

Nota	Cuando se realicen actualizaciones, los objetos existentes presentarán un tamaño 0 hasta que se hayan actualizado.

Recursos

Adaptadores de recursos nuevos

Esta versión incorpora adaptadores nuevos:

RACF LDAP
SAP Governance, Risk, and Compliance (GRC) Access Enforcer

Para obtener información detallada sobre estos adaptadores de recursos, consulte Identity Manager Resources Reference.

Actualizaciones de adaptadores de recursos

Los servidores que ejecutan ActiveSync ahora se tienen que configurar en la directiva de sincronización del recurso. El uso de waveset.properties se ha desaprobado, pero sigue disponible. Se recomienda migrar a la configuración en la directiva de sincronización. (ID-10167)
La configuración del adaptador Flat File Active Sync se ha simplificado, sobre todo en el caso de los archivos delimitados. (ID-11678)
Active Sync puede terminarse antes de que se hayan procesado todas las actualizaciones en el adaptador LDAP. (ID-13695)
Identity Manager ahora es compatible con PeopleSoft HRMS 9.0. (ID-14195)
El adaptador de Domino permite configurar el atributo de directiva explícita de los recursos de Domino 7.0. (ID-14315)
El adaptador de recursos de Oracle ERP admite acciones antes y después. (ID-14659)
El mecanismo AttrParse de lista de usuarios de RACF predeterminado se ha ampliado para administrar muchas autorizaciones de clase (CLASS AUTHORIZATIONS) y usuarios de plantillas con entradas de grupo como “GROUP SYS1 USER CONNECTION NOT INDICATED”. (ID-15021)
Se han añadido los atributos de recurso Grupo primario predeterminado y Shell de inicio de sesión a los adaptadores de recursos Solaris, AIX, HP-UX, Red Had Linux y SuSE Linux: (ID-15034)
El adaptador NDS ofrece mejor compatibilidad con GroupWise:
El adaptador ahora puede gestionar oficinas de correos en dominios secundarios. (ID-15122)
Los usuarios de GroupWise pueden subscribirse a cualquier lista de distribución conocida. (ID-15707)
El adaptador ya no utiliza el parámetro Delete Pattern como mecanismo para indicar que hay que eliminar una oficina de correos de un usuario de GroupWise. Con el nuevo método, no hay más que definir el campo de oficina de correos en "" (dos comillas). Si tiene formularios o flujos de trabajo anteriores programados para eliminar oficinas de correos, cámbielos para definir el campo en "". (ID-15970)
El adaptador de recursos utilizado con los servidores Domino 7.0 admite usuarios móviles. (ID-15157)
Los grupos de actividades (roles) y los perfiles del entorno CUA se pueden actualizar con la fecha de inicio y final. (ID-15613)

Para los roles, asigne el atributo activityGroups del adaptador a:

CUA->directLocalActivityGroupObjects

Para los perfiles, asigne “profiles” a:

CUA->directLocalProfileObjects

El adaptador ACF2 admite ACF2 8.0 SP2. (ID-15833)
El formulario de ejemplo NDSUserForm incluye ejemplos válidos de las siete técnicas para obtener oficinas de correos y listas de distribución. (ID-15872)
El adaptador de interfaz de componente de PeopleSoft permite especificar claves separadas para las operaciones GET, FIND y CREATE en la interfaz de componente. (ID-16055)
El adaptador de interfaz de componente de PeopleSoft es compatible con PeopleTools 8.1 a 8.48. (ID-16128)
El adaptador de recursos de Top Secret gestiona correctamente los comandos ASUSPEND, PSUSPEND, VSUSPEND y XSUSPEND al habilitar y deshabilitar usuarios.(ID-16295)

Roles

Cuando se importan roles que contienen vínculos recíprocos con súper roles existentes, Identity Manager actualiza los roles existentes con los importados. (ID-15482)

Identity Manager detecta y crea vínculos entre los súper roles existentes y los subroles asociados. Durante la actualización, Identity Manager ejecuta la clase RoleUpdater que permite reparar roles.

Para actualizar roles fuera del proceso de actualización puede importar el archivo RoleUpdater.xml nuevo que se encuentra disponible en sample/forms/RoleUpdater.xml. De forma predeterminada, Identity Manager añade vínculos de subrol durante la actualización o cuando se importa el archivo RoleUpdater.xml.

Para deshabilitar esta nueva función, configure el atributo nofixsubrolelinks de la clase RoleUpdater en true. Por ejemplo:

<MapEntry key='nofixsubrolelinks' value='true' />

Consulte la información relacionada con la actualización automática de roles durante la importación en ID-15053, en la página Problemas detectados.

El modelo de delegación ha cambiado como se indica: (ID-15440)
Cuando se modifica un usuario que ha delegado en uno o varios usuarios o se cambia una regla eliminada después de la delegación original, el usuario o la regla aparecen entre paréntesis, lo que indica que se ha eliminado. Por ejemplo: “(auser)”.
Si la delegación del usuario cambia pero la lista todavía incluye el delegado eliminado, se genera una excepción y no se guarda la información. Cuando no cambia pero se modifican otros atributos del usuario, los datos se guardan debido a que la información delegada no ha variado.
Si intenta crear o actualizar un usuario y el aprobador ha delegado en un usuario que no existe, no podrá realizar la operación y aparecerá un mensaje para avisar que no se ha podido delegar el elemento de trabajo de aprobación tal como estaba configurado debido a que el delegado se ha eliminado.
El usuario que delega puede recuperar los elementos de trabajo que se delegaron en un usuario que después se eliminó. El usuario que delega puede entonces poner fin a la situación de delegación en el usuario eliminado.

Para obtener más información, consulte Sun Java™ System Identity Manager Administration.

Seguridad

Identity Manager permite definir configuraciones de delegación diferentes para distintos tipos de elementos de trabajo (como autenticaciones, remediaciones, aprobaciones y demás). (ID-14152)
Identity Manager incorpora un nuevo grupo de objetos/organización denominada Usuario final. (ID-14630)

Este nuevo grupo de objetos/organización forma parte de la organización superior. Al principio carece de objetos de afiliados. Además, no aparece en la tabla del árbol correspondiente a la ficha de cuentas de la interfaz de usuario del administrador y no puede tener organizaciones secundarias. A pesar de esto, cuando se modifican objetos (como roles, roles de administración, recursos, directivas o tareas) se puede utilizar la interfaz de usuario del administrador para poner objetos en el grupo/organización de usuario final.

Antes, a los usuarios que accedían a la interfaz de usuario final se les asignaban derechos sobre los tipos de objetos especificados en EndUser (como AdminRole, EndUserConfig o EndUserTask). En la actualidad, Identity Manager también les asigna automáticamente el control del nuevo grupo de objetos de usuario final y evalúa la regla de organización controlada de usuario final. Cuando se devuelven nombres de organización, Identity Manager también concede automáticamente a dichos usuarios el control de esas organizaciones. Identity Manager utiliza la vista de autenticación de usuario como argumento de entrada a la regla de organización controlada de usuario final. La regla puede devolver una organización (como cadena) o varias organizaciones (como lista) en las que el usuario cuenta con la capacidad EndUser cuando accede a la interfaz de usuario final.

Asimismo, se ha añadido una nueva función de administrador de usuario final para administrar los nuevos objetos. Los usuarios que disfrutan de esta posibilidad pueden ver y modificar los derechos sobre los tipos de objetos especificados en EndUser, así como el contenido de la regla de organización controlada de usuario final. Esta capacidad se asigna de forma predeterminada al usuario Configurator. Los usuarios que han iniciado la sesión no pueden ver de forma dinámica los cambios que se producen en la lista o en las organizaciones que se devuelven al evaluar la regla de organización controlada de usuario final. Para ver los cambios tienen que cerrar la sesión y volver a iniciarla.

El uso de este nuevo grupo de objetos/organización es la mejor forma de proporcionar acceso a los objetos de configuración de Identity Manager, como roles, recursos, tareas y demás.

En adelante debería utilizar este método en lugar de End User Tasks, End User Resources, System Configuration:EndUserAccess y End User authTypes, aunque estos métodos sigan admitiéndose para garantizar la compatibilidad con versiones anteriores.

Cuando se crea un usuario, se pueden añadir contraseñas al historial de contraseñas del mismo. (ID-15179)
Cuando las listas de objetos (como roles o recursos) contienen más de seis grupos memberObjectGroups de cualquiera de los objetos devueltos, Identity Manager no elimina de los resultados los memberObjectGroups truncados. (ID-15181)

Nota	Este comportamiento no es aplicable al tipo USER debido a que sólo puede ser miembro de un único grupo de objetos.

Cuando se elimina un usuario que es propietario de los elementos de trabajo pendientes, Identity Manager evita que los elementos de trabajo se pierdan: (ID-15868)
Si el elemento de trabajo pendiente ha sido delegado y quien lo ha delegado no se ha eliminado, el elemento se devuelve al delgado, quien vuelve a ser el propietario del mismo.
Cuando el elemento de trabajo pendiente se delega y quien lo ha delegado se elimina, o cuando el elemento no se delega, el intento de eliminación no produce efecto hasta que el elemento se resuelve o se remite a otro usuario.

Servidor

El seguimiento se puede configurar para rastrear un método y de todas sus subllamadas (tanto directas como indirectas). Esto puede ser útil a la hora de solucionar problemas que se sabe que se producen en algún nivel por debajo de un método de entrada específico. (ID-13436)

Para habilitar esta función, defina el nivel de seguimiento correspondiente a un ámbito con el modificador subcalls, como se indica en el siguiente ejemplo:

trace 4,subcalls=2 com.waveset.recon.ReconTask$WorkerThread#reconcileAccount

De esta forma se realizará el seguimiento del método reconcileAccount() en el nivel 4, y de todas las subllamadas en el nivel 2.

Se han añadido los métodos siguientes al objeto WSUser. Consulte el JavaDoc suministrado en el kit de referencia para obtener más información sobre esta clase. (ID-15468/14152)

Métodos de objeto WSUser

Método	Descripción
getWorkItemDelegates()	Devuelve la serie actual de objetos delegados correspondientes al usuario especificado.
getWorkItemDelegate(String workItemType)	El comando _delegates devuelve un objeto delegado perteneciente al tipo de elemento de trabajo solicitado.
addWorkItemDelegate(Delegate delegate)	Añade al comando _workItemDelegates un objeto delegado perteneciente al tipo de elemento de trabajo especificado. Si uno de los tipos de elemento de trabajo especificados ya existe, se sustituye.
removeWorkItemDelegate(String workItemType)	Elimina el tipo de elemento de trabajo especificado de los elementos de trabajo delegados.
setWorkItemDelegates(Map workItemDelegates)	Define la serie de elementos de trabajo delegados correspondiente a este usuario.
getWorkItemDelegateHistory()	Devuelve la lista especificada por el usuario con el historial de objetos delegados.
setWorkItemDelegateHistory (List workItemDelegateHistory)	Configura la lista del historial de objetos delegados específica del usuario.

Elementos de trabajo

Cundo se remite un elemento de trabajo (WorkItem) de autenticación, cualquier comentario suministrado por el autenticador que lo ha remitido se incluye en el elemento. Por tanto, cuando éste finalmente se autentica, también se incluyen los comentarios de otros autenticadotes. (ID-14643)

---

Problemas corregidos en esta versión

En esta sección se describen los problemas que se han corregido en Identity Manager 7.1. La información se ha organizado como sigue:

Interfaces de administrador y usuario
Auditoría
Entorno de desarrollo integrado (IDE)
Metavista
Sincronización de contraseña
Reconciliación
Informes
Repositorio
Recursos
Seguridad
Servidor
Flujo de trabajo
Otros problemas corregidos

Interfaces de administrador y usuario

En las páginas de depuración, los grupos de objetos ya no aparecen dentro de la lista desplegable de tipos de objetos que pueden eliminarse en masa. (ID-13324)
Ahora es posible desbloquear los objetos de organización que se bloquean cuando un usuario sin los derechos adecuados intenta eliminarlos. (ID-14942)
Las tareas personalizadas de usuario final que requieren retirar la vista del usuario que ha iniciado la sesión no generan un error que indica que la cuenta no está disponible debido a que se encuentra bloqueada. (ID-15040)
Ahora es posible buscar roles con muchas organizaciones en la página Buscar roles sin que aparezca un error de grupo de objeto. (ID-15303)
El menú Buscar roles > Autenticadores de la ficha Roles puede mostrar los usuarios capacitados como aprobadores de rol. (ID-15373)
Cuando se utiliza un formulario customEdit.jsp como formulario de modificación personalizado, ya no se obtienen una página sin barra de navegación ni dos copias del formulario personalizado. (ID-15460)
Si utiliza Internet Explorer 6 o 7 con actualización de seguridad 912812, no necesita hacer doble clic en un cuadro de selección múltiple para resaltarlo ni en un elemento para moverlo. (ID-15824)
Cuando se especifica true para IAPI.cancel (que cancela todas las actualizaciones pendientes que se detecten para el usuario procesado) en el formulario de entrada de ActiveSync, la vista del usuario deja de estar bloqueado una vez procesado. (ID-15912)
La edición de usuarios pertenecientes a una organización de nivel superior, resultante de una búsqueda en la lista de usuarios, funciona correctamente y no genera errores. (ID-15977)
Las reglas predeterminadas que permiten realizar exploraciones de acceso son miembro de la organización de nivel superior de forma predeterminada. Si quiere permitir que los administradores editen la exploración de acceso o las políticas de auditoría sin controlar la organización de nivel superior, tendrá que añadir las reglas siguientes a las demás organizaciones. (ID-15996)
Review Everyone (Revisar todos)
Review Changed Users (Revisar usuarios cambiados)
Reject Changed Users (Rechazar usuarios cambiados)
Default Remediator (Remediador predeterminado)
Default Attestor (Autenticador predeterminado)
Default Escalation (Escalación predeterminada)
AttestorAll (Autenticador todo)
Non-Administrators (No administradores)
All Administrators (Todos los administradores)
Users Without a Manager (Usuarios sin administrador)

Auditoría

La nueva directiva de auditoría de comparación de roles de IDM permite comprobar si los atributos de recursos de los usuarios coinciden con los atributos de roles definidos en sus roles asignados. Si no hay coincidencias, se genera una infracción de cumplimiento cuando se explora un usuario infractor aplicando esta nueva directiva. (ID-11225)
Ya no aparece un error cuando se edita un informe de datos de la revisión de accesos en el que el destino especificado para la revisión se ha borrado. (ID-14805)
En Identity Manager 7.1, el informe de auditor predeterminado para todas las infracciones de incumplimiento utiliza el atributo de presentación resourceNames con el fin de que queden reflejados varios recursos. Con anterioridad se empleaba el atributo resourceName, que generaba un mensaje de advertencia. (ID-15915)

Nota sobre la actualización: Este problema se resuelve solamente cuando se instala Identity Manager 7.1. Al actualizar Identity Manager, es preciso solucionar el problema de forma manual mediante la introducción de resourceNames, en lugar de resourceName, en la tarea de informe predeterminada (y cualquier otro informe configurado en función de la definición de la tarea Informe resumido de violaciones).

La interfaz gráfica de usuario del asistente de políticas de auditoría permite especificar 3 remediadores y un periodo de escalación entre ellos. Si define el periodo, tiene que especificar el remediador. De lo contrario, el remediador se elimina. (ID-14198)
Es posible realizar una exploración de auditoría ni una revisión de los accesos cuando el ámbito del usuario corresponde a una organización dinámica. (ID-14886)
Los informes de los registros de auditoría presentan detalles relacionados con los cambios de rol. (ID-15587)
Las funciones de cumplimiento de Identity Manager ofrecen tareas, directivas y reglas listas para usarse. (ID-16127) Identity Manager crea inicialmente estos objetos en los grupos de la organización superior o de todas, según corresponda. En las implementaciones donde se usa administración delegada con administradores que no controlan el grupo de objetos superior, puede interesar añadir algunos o todos los objetos de Auditor a otros grupos de objetos. Identity Manager ofrece una secuencia de comandos que crea una lista de objetos de grupo y los añade o elimina de los objetos de Auditor. (Encontrará la lista completa de objetos de Auditor en $WSHOME/sample/scripts/AuditorObjects.txt.)
Para ver la lista de objetos:

cd $WSHOME/sample/scripts
beanshell.sh objectGroupUpdate.bsh -action list -data AuditorObjects.txt

Para agregar el grupo de objetos “All” a todos los objetos:

cd $WSHOME/sample/scripts
beanshell.sh objectGroupUpdate.bsh -action add -data AuditorObjects.txt -groups

Para eliminar el grupo de objetos “All” de todos los objetos:

cd $WSHOME/sample/scripts beanshell.sh objectGroupUpdate.bsh -action remove -data AuditorObjects.txt -groups All

El componente de auditoría de Identity Manager ofrece flujos de trabajo listos para usar con potencial de ejecución a largo plazo. (ID-16173) Para poder actualizar de 7.0 a 7.1, hay que renombrar todas las instancias de tarea suspendidas de estos flujos.

Identity Manager incluye una secuencia de comandos que puede ejecutar antes de actualizar a la versión 7.1 para realizar automáticamente dicha operación de cambio de nombre. Estas secuencias se hallan en el directorio util_scripts de la imagen de instalación. Para ejecutar las secuencias de comandos hay que activar el directorio donde se hallan y el servidor de Identity Manager debe estar ejecutándose. Especifique la opción -h idm-url, incluso aunque ejecute la secuencia localmente en el servidor de Identity Manager. Se necesita la sintaxis prevista de idm-url. Puede omitirla si el servidor de Identity Manager está vinculado a la ruta URL predeterminada. Esta secuencia de comandos cambia el repositorio de Identity Manager de manera que sólo haya que ejecutarlo en un servidor de Identity Manager.

Para crear la lista de tareas que deben renombrarse

./beanshell.sh taskUpdate.bsh -u Configurator -p configurator -h idm-url -action list

Para realizar la operación de cambio de nombre

./beanshell.sh taskUpdate.bsh -u Configurator -p configurator -h idm-url -action rename

Los objetos de definición de tarea renombrados adoptarán la forma nombre-antiguo-7.1-update[N]

Al terminar o eliminar una revisión de acceso, puede detectarse errores que impidan la realización de las tareas. En tal caso, la revisión de acceso adoptará el estado TERMINATE ERROR o DELETE ERROR. Para ver información específica del error, consulte los resultados de las tareas en Tareas del sistema -> Todas las tareas (ID-16211)

Entorno de desarrollo integrado (IDE)

La mayoría de los nodos tienen una hoja de propiedades asociada en las ventanas Propiedades, y la mayoría de estos nodos tienen una propiedad Nombre para gestionar el valor del nombre. Si cambia el nombre de un objeto concreto mediante su nodo, ya sea haciendo clic con el botón secundario del ratón y seleccionando Renombrar o haciendo clic en el nodo y escribiendo texto sobre la etiqueta, la etiqueta del nodo se actualiza y cambia la información XML. Sin embargo, la hoja de propiedades no se actualiza. Si hace clic en otro nodo y vuelve a hacer clic en el nodo cuyo nombre ha cambiado, la hoja de propiedades se actualiza y muestra el nuevo nombre. También puede hacer clic en el título de la hoja de propiedades para que se actualicen los valores. (ID-13696)
Las bibliotecas de reglas no se admiten salvo para realizar operaciones de edición y comprobación básicas de código XML en el comprobador de reglas. No se ha implementado el uso de la navegación y las propiedades. (ID-14093)
Las propiedades de los formularios no pueden configurarse con el editor de propiedades si el tipo de datos es entero o booleano. (ID-14128)

Solución: Edite el valor de la propiedad directamente en XML.

La carga, descarga o recarga de un objeto provoca el bloqueo del objeto en el repositorio. Por tanto, el acceso fracasará si un usuario que no sea el especificado en la configuración del proyecto intenta acceder al objeto antes de que expire el periodo de bloqueo. (ID-14132)
Cuando se cambia el nombre de un objeto desde el menú contextual en NetBeans, es necesario guardar el cambio. Una vez que se realiza el cambio, el usuario puede guardarlo con la opción Archivo>Guardar sin abrir el archivo. Si el archivo está abierto, utilice Archivo>Guardar o cierre el archivo y elija guardar los cambios cuando aparezca el mensaje correspondiente. (ID-14420)
Al configurar la clase displayClass de un campo con el valor InlineAlert, la propiedad del valor de InlineAlert no se visualiza si el campo tiene nombre. (ID-14456)
La retirada de una vista de usuario en Identity Manager IDE bloquea el objeto. El registro o cierre de la vista no libera el bloqueo. Éste se libera automáticamente transcurridos 5 minutos. También puede liberar el bloqueo entrando en Identity Manager como el administrador que retiró la vista en el ID de IDM y viendo la información del usuario. (ID-14797)
Es posible especificar un contexto raíz dejando vacío el campo Contexto al crear el proyecto. (ID-15925)

Identity Manager SPE

Ahora se puede terminar la tarea de sincronización de SPE antes de procesar todas las actualizaciones. (ID-15077)
También se puede configurar SPE para utilizar un directorio de usuario final habilitado para SSL. (ID-15773)
La página de configuración de Identity Manager SPE ya no permite configurar directivas de cuentas que no pertenecen a SPE. (ID-14833)

Metavista

El atributo idmManager se almacena correctamente en el atributo de usuario cuando se utiliza la metavista. (ID-14445)

Sincronización de contraseña

La aplicación de configuración de la sincronización de contraseña (Configure.exe) no trunca las propiedades JMS con el signo de igualdad (=) cuando se leen del repositorio. (ID-12658)
Las contraseñas interceptadas con caracteres fuera del rango ASCII de 7 bits ahora se codifican correctamente como UTF-8 antes del cifrado. (ID-15829)

Reconciliación

Las reconciliaciones no se detienen cuando los usuarios de los recursos están duplicados. (ID-14949)
Algunas coincidencias de cuentas ambiguas durante la reconciliación se consideran una coincidencia perfecta para evitar errores de reconciliación innecesarios. (ID-14965)
Las reconciliaciones no se detienen cuando las normalizaciones realizadas por el usuario eliminan toda la información de los recursos de un usuario. (ID-15028)
El uso de la opción checkDynamicallyAssignedAdminRolesAtLoginTo ya no causa errores del editor de directivas de reconciliación cuando se actualiza el programa de reconciliación. (ID-15338)

Informes

Se admite el registro de auditoría para la creación, modificación y eliminación de roles de administración. (ID-12514)
Los informes de usuario presentan el ID de todas las cuentas de recursos en una lista separada por punto y coma. En la lista también se incluyen las cuentas y los recursos que se asignan de forma indirecta a través de un rol o un grupo de recursos. Cuando sólo hay una cuenta de recursos, el ID de la cuenta únicamente se muestra si no coincide con el ID de la cuenta de Identity Manager. (ID-12820)
Los cambios efectuados en las preguntas de autenticación de un usuario se registran en los registros de auditoría. (ID-13082)
El registro de violaciones de cumplimiento de los usuarios no debería aparecer en el menú Informes del selector Informes de auditor. Se trata de la tarea Default Compliance Audit Report y debería permanecer oculta. (ID-14721)
Si ha personalizado el formulario de datos de infracción de conflictos en una versión anterior, debería exportar el formulario antes de actualizar a la versión 7.0. Si lo prefiere, puede reimportar el formulario guardado después de la actualización. (ID-14772)
Los informes en formato PDF que se envían por correo electrónico mantienen el tipo de fuente y la incorporación de fuente configurados en todos los niveles. (ID-15328)

Repositorio

La opción ObjectSource.OP_ALLOW_NOT_FOUND (allowNotFound) está perfectamente representada en las llamadas a getView y checkoutView de IDMXUserView, y en las llamadas a getObject a través de LighthouseContext en Identity Manager. (ID-11900)
El repositorio de Identity Manager cierra (para) una conexión de base de datos activa cuando se produce un error de Java (es decir, una instancia de java.lang.Error). En la versión anterior, el repositorio cerraba la conexión activa cuando se producía una excepción declarada o runtime (no un error). Este cambio evita dejar transacciones abiertas (sin confirmar) cuando Java Virtual Machine genera un error (como OutOfMemoryError). (ID-14411)
La opción -n del comando setRepo impide correctamente que se compruebe la ubicación del repositorio actual. La opción -n permite que el comando setRepo tenga éxito cuando la ubicación del repositorio actual no es válida (o no está disponible la instancia de la base de datos en la ubicación actual). Con ello se resuelve una regresión introducida en Identity Manager 2005Q4M3 (Identity Manager 6.0). (ID-14809)
El proceso de inicialización del repositorio de Identity Manager es más rápido debido a que RelationalDataStore genera una sentencia SQL que se ejecuta con más rapidez en tablas de bases de datos de mayor tamaño. (ID-14937)
Los sistemas de base de datos lentos de Oracle ya no pueden provocar la ejecución de tareas suspendidas en más de un programador a la vez. (ID-15372)
La eliminación de un rol de un usuario en un grupo similar de usuarios no afecta a las entradas del repositorio pertenecientes a los demás usuarios, y tampoco impide encontrar a dichos usuarios mediante búsquedas por rol. (ID-15584)

Recursos

Se ha incorporado el campo de parámetro de recursos Servidores de conexión por fallo para el adaptador de recursos LDAP. Este campo permite al usuario listar diversos servidores de conexión por fallo si falla el servidor preferido. El adaptador de recursos LDAP utiliza JNDI para mantener la conexión con el directorio de LDAP. Por tanto, JNDI intenta automáticamente la conexión con cada servidor por orden hasta que encuentra una. Una vez hallada una conexión, JNDI sigue usando ese servidor hasta que falla, en cuyo caso se repite el proceso. La repetición en todos los servidores de conexión por fallo es responsabilidad del cliente. (ID-10889)
Se ha optimizado el filtro de búsqueda LDAPActiveSync que detecta cambios en el registro de cambios. La parte de filtro (objectClass=changelogEntry) se ha eliminado del filtro de búsqueda predeterminado. (ID-11722)

El comportamiento anterior se puede recuperar añadiendo el atributo Remove objectClass from Search Params Filter directamente a la definición del recurso con un valor false, como se indica:

<ResourceAttribute name='Remove objectClass from Search Params Filter'
   displayName='Remove objectClass from Search Params Filter' facets='activesync' value='false'>
</ResourceAttribute>

Nota	Esta configuración no se puede cambiar desde la interfaz gráfica de usuario.

El adaptador de recursos de NDS permite fusionar grupos contenidos en la plantilla NDS con grupos no definidos en dicha plantilla. Esta acción se realiza en la interfaz de usuario con cambios en el formulario de usuario. Para obtener información detallada, consulte NDSUserForm.xml. (ID-12083)
Los adaptadores Linux ahora pueden devolver un año con el último inicio de sesión. (ID-12182)
Para poder usar una vista de otro usuario de Oracle, hay que establecer un alias con el fin de poder referirse a la vista sin asignarle un nombre de usuario. Identity Manager no lo detectaba y permitía especificar dicha vista en el adaptador de recursos. Identity Manager ahora detecta el error y emite un mensaje. (ID-12643)
Cuando se ven usuarios en un recurso NIS de Solaris, la configuración del grupo principal aparece como nombre del grupo. (ID-12667)
Las contraseñas se pueden configurar ahora como no caducadas al utilizar el modo CUA en un recurso de SAP. (ID-13355)
El adaptador de recursos de VMS ahora tiene capacidades de reconciliación. (ID-13425)
El aprovisionamiento reconoce la captura de un error de una secuencia de comandos ResourceAction durante las funciones de ejecución y actualización de usuario. (ID-13465)
Identity Manager proporciona un parámetro de configuración de recursos denominado enableEmptyString. Este parámetro permite escribir cadenas vacías en lugar de valores nulos (NULL) en columnas basadas en caracteres definidas como no nulas en el esquema de tablas. El parámetro enableEmptyString no afecta a la manera en que se escriben las cadenas para tablas basadas en Oracle. (ID-13737)

El valor predeterminado de este parámetro es OFF o FALSE (comportamiento existente). Para escribir una cadena vacía, cambie el valor del parámetro a ON o TRUE.

La actualización de una responsabilidad de una cuenta de Oracle ERP utilizando el adaptador de Oracle ERP ya no hace que se actualicen otras responsabilidades asociadas a la cuenta. (ID-13889)

Sólo se actualiza la marca de tiempo de auditoría de Oracle ERP correspondiente a la responsabilidad modificada. Las marcas de tiempo de auditoría de Oracle ERP de las demás responsabilidades de cuenta no se modifican.

El adaptador de NDS Active Sync ya no interroga sobre cambios basados en la marca de tiempo lastModifiedTimeStamp del objeto de usuario. Este atributo se actualizaba cuando un usuario iniciaba una sesión o la finalizaba. Ahora, el último valor modificado se calcula en función de la marca de tiempo lastModifiedTimestamp de los atributos de un usuario que se han definido en el esquema de Identity Manager. Si la marca de tiempo lastModifiedTimestamp de un atributo es superior a la marca alta de agua que presenta el adaptador, la puerta de enlace envía a este usuario al servidor como modificado. (ID-13896)
El adaptador de secuencias de comandos de shell admite ahora las funciones de cambio de nombre, de inhabilitación y de habilitación. (ID-14472)
Se ha corregido un problema por el que el adaptador de Active Sync de Active Directory se bloqueaba al no cerrarse las conexiones con la puerta de enlace. Las conexiones aumentan al máximo y se abren conexiones que permanecen en el estado CLOSED_WAIT. Una vez que se alcanza el número máximo de conexiones y que todas se encuentran en el estado CLOSED_WAIT, Active Sync se detiene hasta que estas conexiones se limpian. (ID-14597)
La asignación de atributos que el adaptador envía a la secuencia de comandos de actualización del cliente contiene una entrada para el atributo null-ed; el valor de la entrada de asignación será nulo. Esta condición (valor vacío en la asignación de atributo) indica que el atributo se está eliminando. (ID-14655)
En algunos adaptadores de recursos, las reglas de exclusión se aplican antes de que se busquen usuarios durante la reconciliación. Esto permite excluir usuarios específicos, impide que el recurso genere errores y puede mejorar el rendimiento de un gran número de usuarios. (ID-14436)
La introducción de perfiles y grupos de actividades de SAP en el entorno de administración de usuario central (CUA) no hace que una nueva fila de la tabla se divida en dos filas cuando la información se separa mediante dos puntos. (ID-14371)
El adaptador de recursos LDAP vuelve a utilizar el control de VLV al listar y buscar cuentas de usuario si el servidor LDAP admite dicho control y el servidor está configurado correctamente. (ID-14526)
El formulario de usuario de Oracle ERP incluye un campo Person Name. Este campo es de sólo lectura y muestra el nombre completo del usuario cuando una cuenta de Oracle ERP está vinculada al sistema Oracle HR mediante el número de empleado. (ID-14675)
El adaptador de SAP informa ahora correctamente del estado de las cuentas inhabilitadas. (ID-14834)
El método abreviado de activación nsaccountlock puede utilizar la lógica basada en la existencia o ausencia de valor al determinar si un usuario de LDAP está inhabilitado. (ID-14925)
Identity Manager admite la combinación de funciones deny, ignore para un recurso. La acción no se realiza cuando se selecciona ignore, pero en algunos casos puede aparecer un mensaje en la GUI. (ID-14948)
El adaptador de Oracle ERP evita ahora la desvinculación de cuentas de recursos si no se puede acceder al recurso de Oracle ERP durante una reconciliación completa. (ID-14960)
La puerta de enlace configura correctamente las contraseñas con caracteres fuera del rango ASCII de 7 bits (creación y actualización) cuando Identity Manager se implementa con Tivoli Access Manager y Active Directory. (ID-15006)
En los casos en los que se utiliza la configuración del sistema para el inicio de sesión de los recursos comunes y falla el inicio de sesión de uno de estos recursos, el fallo deja de producirse si hay otro recurso en la pila de módulos de inicio de sesión que no es un recurso común y que requiere propiedades de autenticación distintas de los recursos anteriores. (ID-15047)
Si utiliza Create Resource Object para un recurso de servidor Solaris NIS, selecciona varias cuentas en Users y guarda la información, todas las cuentas se añaden al archivo de grupo del directorio fuente de contraseña de NIS del servidor NIS gestionado. Antes sólo se realizaba esta operación si se seleccionaba una cuenta. (ID-15085)
El adaptador de recursos de ADSI cierra las conexiones cuando se consultan objetos de recurso. (ID-15098)
Ahora se pueden especificar propiedades de conexión de ACF2 (como pantalla virtual más ancha y profunda). (ID-15158) Para implementar esta función debe importar su propia secuencia de comandos update.xml, que ha de contener:

<?xml version='1.0' encoding='UTF-8'?>
<!DOCTYPE Waveset PUBLIC 'waveset.dtd' 'waveset.dtd'>
<Waveset>
   <ImportCommand class='com.waveset.session.ResourceUpdater' >
      <Map>
         <MapEntry key='updateAttributes' value='true'/>
      </Map>
   </ImportCommand>
</Waveset>

Una vez ejecutado el adaptador, hay que detener y reiniciar el servidor de aplicación.

Para aumentar el tamaño de pantalla a un tipo de terminal de modelo 5, hay que agregar las siguientes propiedades:

Enable TN3270E: 1
Session Properties: SESSION_PS_SIZE <nueva línea> 5

Tenga presente que la <nueva línea> indica que SESSION_PS_SIZE y el parámetro 5 van en dos líneas distintas.

Hay un nuevo atributo de recurso del esquema de Oracle ERP: person_fullname. La secuencia de comandos de ejemplo $WSHOME/sample/other/CreateLHERPAdminUser.oracle se ha actualizado para incluir una tabla ICX* y para permitir la visualización de los sinónimos creados para usuarios que no usan APPS. (ID-15188)
Las secuencias de comandos de ejemplo de JDBC no cerraban ResultSets y Statements cuando ya no eran necesarios. En una aplicación grande, ello puede provocar fugas de recursos. Se han modificado las secuencias de comandos para cerrar dichos objetos cuando ya no sean necesarios. (ID-15254)
Identity Manager ahora intercepta y genera informes con las secuencias de comandos de eliminación que devuelven error abiertamente. (ID-15340)
Se ha resuelto un problema de asignación de almacenamiento relacionado con la conversión de caracteres. (ID-15341)

Es preciso utilizar UTF-8 de manera uniforme en la puerta de enlace, así como configurar la puerta de enlace de Windows con una página de código ANSI predeterminada que sea compatible con los datos de la aplicación. Es decir, hay que utilizar una codificación de caracteres en Windows con la que se puedan representar todos los caracteres Unicode de los datos que se gestionan con Identity Manager.

Con el fin de que no repitan al cabo del tiempo, se han cambiado los nombres de archivo temporales que se usan al ejecutar secuencias de comandos de shell para acciones de recursos. (ID-15348)
Identity Manager ya no añade el destino netid cuando se utiliza Solaris con configuración NIS, ya que no era necesario y generaba mensajes de error durante el seguimiento. (ID-15503)
Identity Manager tampoco impide el uso del comando sudo con la configuración NIS de Solaris si el directorio que contiene los archivos de plantilla passwd, shadow y group de NIS están protegidos y el administrador no los puede leer. (ID-15505)
Cuando se utiliza Solaris con configuración NIS tampoco se crea parcialmente una cuenta si falta el grupo principal predeterminado o es un nombre no incluido en el archivo de grupo. (ID-15509)
Se ha corregido un error de software que hacía fallar la generación de ID de grupo o usuario NIS de Solaris al partir de un entorno sin usuarios o grupos, y los archivos de passwd y group de plantilla se hallan en directorios distintos a /etc. (ID-15510)
En Solaris con NIS, cuando se crean dos cuentas de una vez y se especifica un intérprete de comandos para la primera pero no para la segunda (no está definida en el archivo defadduser o el archivo defadduser no existe), la segunda cuenta deja de crearse con el intérprete de comandos de la primera. (ID-15511)
En Solaris con NIS, para configurar el grupo principal predeterminado se utiliza defgname del archivo /usr/sadm/defadduser, en lugar de defgroup, como origen alternativo de los valores predeterminados de las cuentas recién creadas. (ID-15512)
Identity Manager ya no almacena las contraseñas cifradas de Solaris NIS y HP-UX NIS en los archivos de plantilla passwd y shadow de NIS cuando se actualiza una cuenta. El marcador de posición “x” se almacena en el archivo passwd. (ID-15593)
Active Sync no continúa ejecutándose cuando Crear cuentas sin asignar se configura en verdadero y se supera el número máximo de errores permitidos. (ID-15662)
El adaptador de interfaz de componente de PeopleSoft puede informar de los estados inhabilitados (ID-15674)
Identity Manager ya no lee atributos de cuenta de sólo escritura del directorio de LDAP ni de Active Directory. (ID-15838)
El adaptador de recursos de pasarela con secuencia de comandos ahora puede capturar correctamente los códigos de secuencia de comandos que devuelven valores distintos de cero e informar del error. (ID-15860)
Al borrar un atributo de RACF en un formulario, Identity Manager no borraba el atributo para el usuario al enviar el formulario; ahora Identity Manager borra el atributo. (ID-15971)
El atributo del recurso de plantilla NDS ahora muestra la ayuda emergente (i-Help) en lugar de la clave de mensaje NDS_TEMPLATE_HELP. (ID-15986)
El adaptador de recursos de pasarela con secuencia de comandos ahora admite las acciones de recurso Habilitar y Desabilitar. (ID-16066)
El adaptador de recursos de pasarela con secuencia de comandos ahora pasa los atributos de recursos a las secuencias de comandos implementando las acciones getInfo y listAllObjects. (ID-16149)
Se ha desaprobado el adaptador de recursos de GroupWise. Para gestionar usuarios de GroupWise debe utilizarse el adaptador NDS. (ID-16308)

Programador

Se ha suprimido la salida de la entrada de syslog “EVNT00”, error LockedByAnother, ya que generaba una salida excesiva en sysLog dentro de entornos de clúster. (ID-15714)

Seguridad

Los cambios de contraseña de usuario final iniciados por administradores (a través de SPML u otros medios) se añaden al historial de contraseñas cuando es posible. Esta corrección introduce una opción de configuración del sistema y otra de vista (formulario) que permiten al administrador cambiar al comportamiento deseado. (ID-13029)
Los administradores pueden alternar las opciones de configuración del sistema basándose en la aplicación de inicio de sesión. Esto proporciona una mayor flexibilidad, puesto que los administradores pueden no desear un comportamiento que afecte a todas las aplicaciones.
La opción de vista sustituirá siempre a los valores de configuración del sistema.
Los administradores delegados que sólo posean capacidad de administrador no podrán eliminar de un informe las organizaciones fuera de ámbito (sobre las que se informa). (ID-14765)
En el registro de auditoría de una organización se incluyen los aprobadores que se añaden a la organización o se eliminan de ésta. (ID-15232)
Los administrador de roles de administración ahora gozan de bastantes privilegios para crear un rol de Admin. Cuando se crea un rol de administración o una capacidad nuevos, es posible que haya que seleccionar uno o varios usuarios que puedan asignar el rol o la capacidad a otros usuarios. Esta situación se produce cuando un creador no tiene autorización para asignar roles de administración o capacidades. La serie de usuarios entre los que puede elegir el creador no depende del ámbito de autorización de Identity Manager, ya que es posible que el creador necesite elegir los usuarios fuera de su ámbito de control. Los usuarios disponibles tienen garantizado el derecho “Assign Capability” (ID-15980)

Servidor

El servidor de SPML devuelve ahora errores para solicitudes que contienen filtros que utilizan operadores no implementados aún. (ID-11343)
Cuando se abandonaban atributos del objeto de configuración de atributos extendidos no se abandonaban también de los atributos de WSUser, sino que el XML conservaba los valores antiguos. Esto se ha corregido y ahora los valores se suprimen del XML. (ID-11721)
Cuando se especifican comandos o usuarios para operaciones en masa mediante la GUI, la operación ya no genera un fallo “An object name must be specified” aunque se especifique un nombre de usuario. (ID-15112)
Se han solucionado los problemas que causan errores del tipo OutOfMemory cuando los procesos acceden a un recurso de forma intensiva (como la reconciliación). (ID-16222)
Para devolver una lista específica de elementos de trabajo de delegados, Identity Manager ahora ofrece los nuevos métodos públicos siguientes, que toman el argumento workItemType. (ID-15787/14152)

DelegateUtil#checkWorkItemDelegates()

DelegateUtil#getWorkItemDelegates()

Tareas

Cuando edite una tarea programada, tendrá que introducir otra vez la fecha de inicio en formato MM/DD/AAAA (ID-5675).

Flujo de trabajo

La definición de la tarea de notificación de finalización de reconciliaciones de Identity Manager se completa y luego se envía una notificación por correo electrónico (ID-9259).

Otros problemas corregidos

8691, 8961, 9913, 10100, 10802, 11538, 12509, 12571, 12585, 12872, 13223, 13251, 13258, 13701, 13741, 13965, 14282, 14334, 14459, 14564, 14663, 14748, 14893, 15036, 15098, 15234, 15345, 15424, 15746, 15798, 15851, 15864, 16041, 16087, 16121, 16171, 16177, 16215, 16288,