Identity Manager 7.1 - Fonctions

Cette section des notes de version d’Identity Manager 7.1 contient des informations sur les sujets suivants :

Nouveautés de cette version
Bogues corrigés dans cette version

---

Nouveautés de cette version

Cette section contient des informations supplémentaires sur les nouveautés incluses dans Identity Manager 7.1. Ces informations sont organisées de la manière suivante :

Installation et mise à jour
Interfaces administrateur et utilisateur
Audit
Formulaires
Identity Manager Integrated Development Environment (IDE)
Identity Manager SPE
Référentiel
Ressources
Rôles
Sécurité
Serveur

Installation et mise à jour

L’attribut système waveset.serverId vous permet de définir des noms de serveurs uniques dans le cadre d’un déploiement comprenant plusieurs instances d’Identity Manager pointant vers un seul référentiel situé sur un serveur physique unique. (ID-11578)
Les procédures d’installation et de mise à jour peuvent être exécutées sur un système sans affichage. (ID-14258)
Un script permettant de créer une base de données transactionnelle Identity Manager Service Provider pour MySQL est désormais disponible dans sample/create_spe_tables.mysql. (ID-14666)

MySQL n’est pas pris en charge en tant que base de données transactionnelle Service Provider. Le script est utilisé à des fins de démonstration uniquement.

Concernant la localisation : le fichier RAMessage_l10n.jar auparavant requis par la procédure préalable à la mise à niveau a été supprimé et vous devez télécharger la version traduite des adaptateurs. (ID-16272)

Vous pouvez télécharger un module de prise en charge linguistique à partir du centre de téléchargement de Sun, lequel fait partie du centre de support en ligne (http://www.sun.com/download). Un nom de compte enregistré et un mot de passe sont indispensables pour pouvoir accéder au centre de téléchargement.

Pour plus d’informations, consultez l’installation d’Identity Manager 7.1 et le fichier Lisezmoi d’Identity Manager L10n, lesquels sont disponibles dans le module de prise en charge linguistique d’IDM.

Interfaces administrateur et utilisateur

Lorsqu’un utilisateur oublie son ID, il peut désormais cliquer sur ID utilisateur oublié ? dans login.jsp ou user/login.jsp afin d’ouvrir une nouvelle page Recherche d’ID utilisateur. Cette page permet à l’utilisateur de fournir une adresse e-mail de notification et quelques valeurs d’attributs d’identité supplémentaires (numéro de téléphone, prénom, nom de famille, ID d’employé, etc.). Identity Manager tente ensuite de rechercher un utilisateur unique dont les valeurs d’attributs concordent avec celles indiquées par l’utilisateur. (ID-4924)
En cas de réussite, Identity Manager envoie un e-mail contenant l’ID utilisateur Identity Manager de la personne à l’adresse de notification spécifiée dans la demande. (Un nouveau modèle d’e-mail de récupération d’ID utilisateur a été créé à cet effet. L’objet et le contenu du modèle sont des clés de message personnalisables et internationalisées.)
En cas d’échec, un message d’erreur informe l’utilisateur qu’Identity Manager n’a pas pu localiser d’utilisateur correspondant aux informations spécifiées ou qu’il en a identifiés plus d’un.

Cette fonction est activée par défaut, mais elle peut être désactivée.

Dorénavant, lors de l’édition d’un module de connexion de ressource (module de connexion d’ID utilisateur/mot de passe autre que Identity System) dans le cadre d’un groupe de modules de connexion (via Sécurité > sous-onglet Connexion), vous pouvez sélectionner une règle de corrélation de connexion afin de mapper les informations de connexion fournies par l’utilisateur à un utilisateur Identity Manager.

Identity Manager se sert de la logique spécifiée dans la règle de corrélation de connexion afin de rechercher un utilisateur Identity Manager. La règle doit renvoyer une liste d’une ou de plusieurs conditions AttributeConditions, puis rechercher un utilisateur Identity Manager correspondant à ces critères.

Par exemple, il peut s’avérer suffisant de mettre en corrélation l’ID utilisateur Identity Manager. Une autre solution est possible si les utilisateurs Identity Managerdisposent d’un ID de compte de ressource LDAP : vous pouvez rechercher l’ID de compte et, dans ce cas, les utilisateurs Identity Manager n’auront pas besoin d’un lien de compte de ressource Sun Access Manager. Le type authType de la règle de corrélation de connexion doit correspondre à LoginCorrelationRule. (ID-8577)

Le statut de synchronisation n’est plus fourni dans la colonne Description du tableau des arborescences de ressources. La colonne Statut présente désormais un statut combinant la réconciliation et la synchronisation. (ID-12465, ID-14005)
La configuration des serveurs et les modèles d’e-mail ont été modifiés de manière à permettre à l’administrateur de déterminer si le protocole SSL ou l’authentification doivent s’appliquer au serveur SMTP. (ID-14899)

Pour plus d’informations, reportez-vous au guide Sun Java™ System Identity Manager Administration.

Audit

Vous avez désormais la possibilité de hiérarchiser les violations de stratégie en leur assignant un niveau de priorité, de gravité ou les deux. La hiérarchisation des violations est disponible à partir de la page des résolutions. Pour plus d’informations, reportez-vous à la section « Prioritizing Policy Violations » (Hiérarchisation des violations de stratégie) du document Identity Manager Administration. (ID-11703)
Les balayages de stratégies d’audit peuvent dorénavant balayer les membres d’organisations dynamiques. (ID-12437)
Il est désormais possible de planifier les balayages de stratégies d’audit. (ID-12474)
Les balayages d’audit disposent à présent d’un mode de test, lequel désactive la fonction de résolution et supprime toutes les violations au terme de l’opération. (ID-12522)
Le Rapport récapitulatif des violations a été étendu de manière à permettre la sélection de violations par état de violation. Il est possible de configurer ce rapport de sorte qu’il signale uniquement les violations d’un ou de plusieurs types d’état. (ID-12612)
Il est désormais possible d’apposer une signature numérique aux entrées de journaux d’audit relatives aux approbations d’examens des accès, aux rejets et aux résolutions. (ID-13264)
Si, après avoir lancé un examen d’accès périodique, vous affichez la page de l’examen d’accès, le balayage que vous avez effectué ne figure pas dans la liste tant que vous ne cliquez pas sur le bouton d’actualisation. (ID-14169)
Les jonctions d’annuaires et les organisations virtuelles prennent à présent en charge l’assignation de stratégies d’audit. (ID-14591)
Vous pouvez désormais définir l’étendue d’utilisateurs Balayage des accès à partir des ressources assignées. (ID-14654)
Vous pouvez à présent afficher rapidement le module de conformité Identity Manager Compliance en installant l’environnement de démonstration. (ID-14970)

Vous pouvez installer l’environnement de démonstration Compliance en important le fichier sample/auditordemo.xml ou en créant votre propre environnement de démonstration à l’aide des outils disponibles dans le dossier Compliance/RuleBuilder. Pour plus d’informations à ce sujet, consultez le fichier Compliance/RuleBuilder/README.txt.

Les attestateurs et les programmes de résolution ont désormais la possibilité de spécifier des formulaires indiquant exactement le niveau de détail voulu pour accroître l’efficacité lors des opérations d’attestation et de résolution. Pour plus d’informations, reportez-vous à la section « Ajouts et corrections apportés à la documentation » des présentes Notes de version. (ID-14973)
Lors de la résolution, vous pouvez maintenant réévaluer une violation de conformité afin de déterminer si elle est encore en vigueur. Vous pouvez éditer un utilisateur de manière à éviter que la stratégie d’audit soit à nouveau violée. (ID-15019)
Il est désormais possible d’actualiser les habilitations d’examens des accès en attente en fonction des données d’habilitation actuelles. (ID-15027)
Un programme de résolution des examens d’accès a la possibilité d’éditer (de reprovisionner) directement un utilisateur à l’aide d’un nouveau bouton Éditer disponible sur le formulaire de résolution. (ID-15172)
Un programme de résolution des examens de conformité a la possibilité d’éditer (de reprovisionner) directement un utilisateur à l’aide d’un nouveau bouton Éditer disponible sur le formulaire de résolution. (ID-15173)
Un examen des accès peut maintenant modifier des habilitations d’utilisateurs de l’une des manières suivantes : (ID-15180)
L’attestateur des examens d’accès demande un nouveau balayage en cliquant sur Nouveau balayage, ce qui entraîne l’actualisation et la réévaluation de l’habilitation d’utilisateur.
Le programme de résolution des examens d’accès clique sur Résolu, ce qui entraîne l’actualisation et la réévaluation de l’habilitation d’utilisateur.
Une habilitation d’utilisateur créée dans l’état EN COURS DE RÉSOLUTION entraîne automatiquement la création d’un élément de travail de résolution. (ID-15423)

Pour plus d’informations, reportez-vous au chapitre 2, « Working with Rules » (Utilisation des règles) du guide Identity Manager Deployment Tools.

Points à prendre en compte lors d’une mise à niveau : après une mise à niveau, l’avis d’attestation en masse et tous les modèles d’e-mail sont conservés. Toutefois, l’avis d’attestation en masse figurant dans le fichier auditorwfs.xml indique le mode d’implémentation possible des nouvelles variables de notification des éléments de travail de résolution des examens d’accès.

Les balayages d’Auditor peuvent désormais définir de manière plus explicite les ressources cibles dans le cas de ressources de comptes multiples. (ID-15485)
La page de gestion des objets de type Stratégie d’audit est désormais basée sur un formulaire et personnalisable. Vous pouvez dorénavant sélectionner la vue complète (mode d’affichage présentant une grande quantité d’informations) ou restreindre le niveau de détail à une vue partielle. Pour plus d’informations, reportez-vous au chapitre « Ajouts et corrections apportés à la documentation » des présentes Notes de version. (ID-15486)
La page de gestion relative aux balayages d’accès est désormais basée sur un formulaire et personnalisable. Pour plus d’informations, consultez l’ajout à la documentation des présentes Notes de version. (ID-15515)
Les rapports des journaux d’audit affichent désormais les détails des modifications de rôles. (ID-15587)
Par défaut, seuls les événements d’habilitations d’utilisateur suivants sont consignés (ID-15735) :
Approuvé par l’attestateur
Rejeté par l’attestateur
Résolution demandée
Nouveau balayage requis
Terminer

Formulaires

La classe d’affichage TabPanel prend dorénavant en charge l’exécution d’expressions de validation onglet par onglet. Si vous définissez la propriété d’affichage validatePerTab sur true, Identity Manager applique les expressions de validation dès que l’utilisateur sélectionne un onglet différent. (ID-12442)
Un exemple de formulaire VMS est maintenant fourni dans le dossier sample/forms. (ID-12835)

Identity Manager Integrated Development Environment (IDE)

Identity Manager Integrated Development Environment (Identity Manager IDE) est une application Java vous permettant de visualiser, de personnaliser et de déboguer des objets Identity Manager dans le cadre de votre déploiement.

Les nouvelles fonctions suivantes ont été ajoutées à (ou modifiées pour) Identity Manager IDE dans le cadre de la version Identity Manager 7.1 :

Remarque	Pour plus d’informations sur ces nouveautés, reportez-vous au guide Identity Manager Deployment Tools

Identity Manager IDE prend désormais en charge les objets génériques. (ID-12952, 12991)
La barre de menu principale de NetBean contient désormais un menu IdM permettant de choisir des actions adaptées aux noeuds d’objets sélectionnés. (ID-13158)
Le projet Identity Manager IDE 7.0 a été remplacé par les deux types de projets suivants, tous deux correspondant à des projets NetBeans ant : (ID-14587)
Identity Manager Project : utilisé comme environnement de développement principal par les déployeurs, car il s’agit du type de projet le plus complet :
Édition, construction et débogage Java/JSP.
Possibilité de lancer Identity Manager dans un serveur d’application incorporé Netbeans.
Possibilité de gérer un référentiel incorporé.

Ce type de projet fournit un référentiel simple dont vous pouvez vous servir à des fins de test dans votre sandbox. Lors de la création de ce type de projet, vous pouvez spécifier un référentiel incorporé associé. En outre, vous pouvez activer une option de gestion de référentiel incorporé en vue de réinitialiser le référentiel. Identity Manager IDE propose une fonction de publication automatique chargeant automatiquement le référentiel incorporé lorsque vous exécutez ou déboguer le projet.

Exemple d’environnement CBE (Configuration Build Environment) et un générateur d’importation de fichier.
Pour plus d’informations sur le CBE, reportez-vous au fichier README.txt fourni avec le projet Identity Manager.
Identity Manager Project (Remote) : utilisé pour apporter des modifications mineures et déboguer un projet distant sur un serveur externe. Ce type de projet, léger et rapidement configurable, dispose de toutes les fonctionnalités d’édition du projet Identity Manager, mais il ne comporte pas l’environnement de construction et la possibilité de lancer le fichier war.
Identity Manager IDE propose à présent l’indépendance des versions. (ID-14723)

La version 7.1 d’Identity Manager IDE .nbm est dissociée des classes d’Identity Manager. La version 7.1 de .nbm prend en charge Identity Manager 7.0 et 7.1, et il est prévu qu’elle prenne également en charge Identity Manager 6.0 SP3.

Chaque projet Identity Manager IDE est lié à une version spécifique d’Identity Manager et Identity Manager IDE nécessite désormais un bundle de compatibilité (ide-bundle.zip) fournissant les fichiers jar d’Identity Manager et quelques registres XML contenant des informations spécifiques à chaque version d’Identity Manager prise en charge. Le bundle de compatibilité est défini au moment de la création du projet :

Pour les projets Identity Manager Project : le bundle de compatibilité est inclus dans le fichier idm.war et Identity Manager IDE accède automatiquement à ce fichier lors de la configuration du project.
Pour les projets Identity Manager Project (Remote) : étant donné que vous n’indiquez pas d’emplacement de fichier war pour les projets distants, vous devez fournir l’emplacement du bundle de compatibilité, lequel correspond à :

racine de l’installation d’Identity Manager/sample/ide-bundle.zip

Remarque	La version 7.0 d’Identity Manager ne comprenait pas de bundle de compatibilité IDE, mais vous pouvez télécharger ce fichier à partir du site de téléchargement d’Identity Manager 7.0.

Des objets de bibliothèque ont été ajoutés à la liste de types d’objets affichée dans la fenêtre de l’Explorateur. Ces objets disposent de feuilles de propriétés, de fonctions de palette et de noeuds de navigation. (ID-14817)
Le plug-in Identity Manager IDE nécessite à présent JDK 1.5 et Netbeans 5.5. (ID-14950)
Vous avez désormais la possibilité de comparer (différencier) un objet individuel ou un dossier d’objets (de manière récursive) situé dans un répertoire local à ceux contenus dans le référentiel. Cette fonction vous permet de visualiser les différences entre les copies locales et les exemplaires stockés sur le serveur. Elle vous permet également de télécharger sur le serveur et de recharger un ou plusieurs objets modifiés. (ID-15151, 15206)
Lorsque vous sélectionnez une vue de conception pour un objet Règle, un constructeur d’expressions affiche à présent la fenêtre de l’éditeur afin que vous puissiez mieux visualiser la structure logique d’une règle et modifier les propriétés de cette dernière. (ID-15104)
Des fonctions et des fonctionnalités ont été ajoutées aux boîtes de dialogue du constructeur d’expressions d’Identity Manager IDE. Vous pouvez désormais effectuer les opérations suivantes :
Éditer directement des types de données simples (entiers et chaînes) dans le tableau du constructeur d’expressions (ID-15528)
Afficher JavaDoc pour les méthodes API d’Identity Manager lors de la définition de déclarations d’appel (statiques ou instanciées) XPRESS dans les boîtes de dialogue du constructeur d’expressions (ID-12961)

Lorsque vous sélectionnez des classes ou des méthodes dans les menus Class Name (Nom de la classe) et Method Name (Nom de la méthode) du constructeur d’expressions, le JavaDoc associé s’affiche dans une fenêtre contextuelle à côté de la boîte de dialogue. (ID-12960)

Éditer les valeurs des propriétés prenant directement en charge les expressions et les valeurs primitives (telles que les chaînes) dans un tableau de propriétés (ID-13763)
Créer une expression spécifique plutôt que de commencer par définir un BLOC et ensuite de modifier celui-ci selon l’expression souhaitée (ID-15932)
Inclure ou « envelopper » un élément d’expression dans un autre élément, ce qui vous permet de construire des expressions du début à la fin
Modifier le type d’expression d’un élément à l’aide d’un nouveau bouton et d’une nouvelle boîte de dialogue de changement (ID-15933)
Identity Manager IDE fournit dorénavant des noeuds distincts pour les fichiers, les objets persistants et les extensions afin de refléter plus fidèlement le véritable contenu XML sous-jacent. En outre, vous pouvez réorganiser les noeuds et en insérer ailleurs (avant, après ou dans d’autres noeuds de l’arborescence du projet). (ID-14689)
Vous pouvez maintenant supprimer des objets à partir du référentiel Identity Manager IDE. (ID-14081, 15031)
Vous avez dorénavant la possibilité de télécharger un objet d’ Identity Manager IDE vers un serveur Identity Manager 7.0 et de lui assigner manuellement un ID. (ID-15474)
Afin de faciliter le déplacement d’objets d’un référentiel vers un autre, vous pouvez désormais configurer Identity Manager IDE de manière à supprimer tous les ID de référentiel générés automatiquement avant de télécharger des objets à partir du référentiel. (ID-15307, 15347)

Identity Manager IDE identifie et supprime tous les ID d’objets et objectRef ID conformes à une expression spécifiée (sans supprimer d’ID prédéfinis à code permanent).

À présent, lors de l’édition de formulaires, vous pouvez suivre des références pointant vers des formulaires et des champs. En outre, lors de l’édition de flux de travaux, vous pouvez suivre des processus externes. Identity Manager IDE ouvre le fichier référencé et recherche la référence. (ID-14428, 15406)
Vous avez désormais la possibilité de spécifier un contexte racine,by en laissant vide le champ du contexte au moment de la création du projet. (ID-15912)

Identity Manager SPE

Identity Manager Identity Manager SPE prend désormais en charge les règles de corrélation de liens et de confirmation de liens. (ID-10500) Pour plus d’informations, consultez la description du bogue 15760 dans le chapitre « Ajouts et corrections apportées à la documentation » des présentes Notes de version.
Il est désormais possible d’éditer les réponses d’authentification relatives aux utilisateurs de Service Provider dans l’interface administrative. (ID-12781)
Les attributs LDAP supprimés sont désormais propagés après la remise à disposition d’une ressource temporairement hors service. (ID-15471)

Rapports

Vous avez dorénavant la possibilité de contrôler globalement la police utilisée lors de la génération de rapports en éditant les paramètres disponibles sur la page Configurer > Rapports. Vous pouvez modifier ce comportement en éditant la configuration de chaque rapport. Par défaut, seules les polices disponibles pour tous les afficheurs de PDF sont affichées.

Ajoutez des polices supplémentaires au système en copiant des fichiers de définition de police dans le répertoire WEB-INF/fonts, lui-même placé dans le répertoire de déploiement d’IDM (tel /var/opt/SUNWappserver/domains/domain1/applications/j2ee-modules/ idm/WEBINF/fonts). Vous devez ensuite redémarrer le serveur. Les formats de définition de police acceptés sont les suivants : .ttf, .ttc, .otf et .afm. Si l’une de ces polices est sélectionnée, elle devra être disponible sur la machine sur laquelle le rapport est affiché ou être incorporée dans le rapport.

Comme le jeu de polices par défaut ne prend pas en charge tous les jeux de caractères (par exemple, les caractères asiatiques), vous devez installer une police supplémentaire dans le répertoire fonts/ que vous sélectionnez ensuite sur les pages de configuration en vue de générer des rapports pouvant afficher des jeux de caractères de substitution. (ID-10641/14376)

Remarque	Les polices TrueType sont cédées sous licence avec différents niveaux d’incorporation possibles. La police dans laquelle vous avez choisi de générer le document PDF doit être cédée sous licence afin d’autoriser son incorporation à des fins d’impression et de prévisualisation dans le fichier PDF. Si la police n’est pas dotée d’une licence appropriée pour l’incorporation dans le document PDF, ce dernier est généré dans une police standard. Le contenu du document PDF est alors endommagé. À l’heure actuelle, Identity Manager ne consigne pas d’erreur pour vous prévenir de ce problème.

Référentiel

Des informations relatives à la taille des objets du référentiel sont désormais mises à disposition. Vous pouvez accéder à ces informations par le biais de pages Web et de la ligne de commande de la console. (ID-9896)

Remarque	En cas de mises à niveau, les objets existants indiquent une taille égale à 0 tant qu’ils ne sont pas mis à jour ou actualisés d’une autre manière.

Ressources

Nouveaux adaptateurs de ressources

Les adaptateurs suivants ont été ajoutés à cette version :

RACF-LDAP
SAP Governance, Risk, and Compliance (GRC) Access Enforcer

Pour plus d’informations sur ces adaptateurs de ressources, reportez-vous au guide Identity Manager Resources Reference.

Mises à jour de l’adaptateur de ressources

Il est conseillé de configurer à présent les serveurs qui exécuteront ActiveSync dans la stratégie de synchronisation de la ressource. L’utilisation de waveset.properties est désapprouvée, mais elle est encore possible. Il est vivement conseillé de procéder à une migration pour la configuration dans la stratégie de synchronisation. (ID-10167)
La configuration de l’adaptateur Flat File Active Sync a été simplifiée, en particulier pour les fichiers délimités. (ID-11678)
Il est possible de terminer Active Sync avant la fin du traitement de toutes les mises à jour sur l’adaptateur LDAP. (ID-13695)
Identity Manager assure à présent la prise en charge de PeopleSoft HRMS 9.0. (ID-14195)
L’adaptateur Domino prend désormais en charge la définition de l’attribut de stratégie explicite pour les ressources Domino 7.0. (ID-14315)
L’adaptateur de ressources ERP Oracle prend dorénavant en charge les valeurs précédant et suivant les actions. (ID-14659)
Le mécanisme par défaut AttrParse de la liste d’utilisateurs RACF a été étendu en vue de gérer les nombres importants d’« AUTORISATIONS DE CLASSES » et les utilisateurs de modèles dotés d’entrées de groupe telles que « GROUP SYS1 CONNEXION UTILISATEUR NON INDIQUÉE ». (ID-15021)
Deux attributs de ressources, Groupe principal par défaut et Shell de connexion, ont été ajoutés aux adaptateurs de ressources Solaris, AIX, HP-UX, Red Had Linux et SuSE Linux. (ID-15034)
L’adaptateur NDS a amélioré la prise en charge de GroupWise:
L’adaptateur est désormais capable de gérer les bureaux de poste des domaines secondaires. (ID-15122)
Les utilisateurs de GroupWise peuvent s’abonner à n’importe quelle liste de diffusion connue. (ID-15707)
L’adaptateur n’utilise plus le paramètre Delete Pattern (Supprimer le modèle) comme mécanisme devant indiquer qu’un bureau de poste doit être supprimé d’un utilisateur GroupWise. La nouvelle méthode nécessite que le champ du bureau de poste soit simplement défini sur "" (deux guillemets doubles droits). Si vous possédez des flux de travaux ou des formulaires hérités destinés à supprimer les bureaux de poste par programmation, modifiez-les de manière à définir le champ sur "". (ID-15970)
L’adaptateur de ressources Domino prend en charge les utilisateurs itinérants pour les serveurs Domino 7.0. (ID-15157)
Les profils et les groupes (rôles) d’activité faisant partie d’un environnement peuvent désormais être mis à jour avec une date de début et une date de fin. (ID-15613)

En ce qui concerne les rôles, mappez l’attribut activityGroups de l’adaptateur à :

CUA->directLocalActivityGroupObjects

En ce qui concerne les profils, mappez « profiles » à :

CUA->directLocalProfileObjects

L’adaptateur ACF2 prend en charge ACF2 8.0 SP2. (ID-15833)
L’exemple de formulaire NDSUserForm comprend des exemples opérationnels des sept techniques de récupération de bureaux de poste et de listes de diffusion. (ID-15872)
L’adaptateur PeopleSoft Component Interface prend désormais en charge la spécification de clés distinctes pour les opérations GET, FIND et CREATE effectuées sur une interface de composant. (ID-16055)
L’adaptateur PeopleSoft Component Interface prend maintenant en charge les versions 8.1 à 8.48 de PeopleTools. (ID-16128)
L’adaptateur de ressources Top Secret gère à présent correctement ASUSPEND, PSUSPEND, VSUSPEND et XSUSPEND lors de l’activation et de la désactivation des utilisateurs. (ID-16295)

Rôles

Lorsque vous importez des rôles contenant des liens pointant vers des super rôles existants, Identity Manager met dorénavant à jour les rôles existants avec des liens renvoyant aux rôles que vous venez d’importer. (ID-15482)

Identity Manager détecte et crée des liens à partir de super rôles existants jusqu’aux sous-rôles qui y font référence. Lors des mises à niveau, Identity Manager appelle la classe RoleUpdater utilisée pour réparer les rôles.

Vous pouvez mettre à jour des rôles en dehors de la procédure de mise à niveau en important un nouveau fichier RoleUpdater.xml situé dans sample/forms/RoleUpdater.xml. Par défaut, Identity Manager ajoute les liens pointant vers les sous-rôles lors des mises à niveau ou lors de l’importation du fichier RoleUpdater.xml.

Pour désactiver cette nouvelle fonctionnalité, définissez l’attribut nofixsubrolelinks de RoleUpdater sur true. Par exemple :

<MapEntry key='nofixsubrolelinks' value='true' />

Pour des informations connexes sur la mise à jour automatique des rôles lors de l’importation, consultez le bogue ID-15053 décrit à la section Problèmes connus.

Le modèle de délégation a été modifié de la manière suivante : (ID-15440)
Si vous éditez un utilisateur ayant délégué ses capacités à un ou plusieurs utilisateurs ou une règle qui a été supprimée après l’établissement initial de la délégation, l’utilisateur ou la règle cible de la délégation est désormais affiché(e) entre parenthèses, indiquant sa suppression. Par exemple : (auser).
Si la liste de délégation de l’utilisateur est modifiée mais qu’elle comprend toujours le délégué supprimé, une exception est émise et l’enregistrement aboutit à un échec. Si cette liste n’est pas modifiée mais que d’autres attributs de l’utilisateur le sont, l’enregistrement aboutit, car les informations de délégation restent inchangées.
Si vous créez ou mettez à jour un utilisateur et si l’approbateur a délégué ses capacités à un utilisateur qui n’existe plus, les opérations de création ou de mise à jour échouent, accompagnées d’un message indiquant que l’élément de travail d’approbation n’a pas pu être délégué suivant sa configuration en raison de la suppression de la délégation.
L’utilisateur à l’origine de la délégation peut toutefois récupérer les éléments de travail délégués à un utilisateur ayant été supprimé par la suite. L’utilisateur qui délègue des capacités a ensuite la possibilité de mettre un terme à la délégation à l’utilisateur supprimé.

Pour plus d’informations, reportez-vous au guide Sun Java™ System Identity Manager Administration.

Sécurité

Identity Manager permet désormais aux utilisateurs de définir différentes configurations de délégation selon le type d’élément de travail concerné (attestations, résolutions, approbations, etc.). (ID-14152)
Un nouveau groupe ObjectGroup/Organisation intégré appelé Utilisateur final a été ajouté à Identity Manager. (ID-14630)

Ce nouveau groupe ObjectGroup/Organisation est membre de Top. Au départ, il ne compte aucun objet membre. Ce groupe ObjectGroup/Organisation ne figure pas dans le tableau des arborescences sous l’onglet Comptes de l’interface utilisateur de l’administrateur et il ne peut pas comporter d’organisations enfants. Cependant, vous pouvez rendre tout objet disponible pour le groupe ObjectGroup/Organisation destiné à l’utilisateur final à l’aide de l’interface utilisateur de l’administrateur lors de l’édition d’objets (tels que les rôles, les rôles admin, les ressources, les stratégies ou les tâches).

Dans les versions précédentes, lorsque les utilisateurs se connectaient à l’interface de l’utilisateur final, ils se voyaient automatiquement assigner les droits d’accès aux types d’objets spécifiés dans la capacité EndUser (Utilisateur final), comme AdminRole, EndUserConfig ou EndUserTask. Dans la version actuelle, Identity Manager leur assigne également automatiquement le contrôle du nouveau groupe EndUser ObjectGroup et évalue une règle d’organisations contrôlées pour l’utilisateur final. Si des noms d’organisations sont renvoyés, Identity Manager octroie automatiquement à ces utilisateurs le contrôle de ces organisations. Identity Manager utilise la vue de l’utilisateur s’authentifiant comme argument d’entrée pour la règle d’organisations contrôlées destinée à l’utilisateur final. Cette règle peut renvoyer une organisation (sous forme de chaîne) ou plusieurs organisations (sous forme de liste) pour lesquelles l’utilisateur se connectant à l’interface de l’utilisateur final disposera de la capacité EndUser.

En outre, une nouvelle capacité Administrateur des utilisateurs finaux a été ajoutée afin de gérer les nouveaux objets. Les utilisateurs dotés de cette capacité peuvent visualiser et modifier les droits aux types d’objets spécifiés dans la capacité EndUser et au contenu de la règle d’organisations contrôlées par les utilisateurs finaux. Par défaut, cette capacité est assignée à Configurator. Les modifications apportées à la liste ou aux organisations renvoyées suite à l’évaluation de cette règle ne sont pas reflétées de manière dynamique pour les utilisateurs connectés. Ces derniers doivent se déconnecter puis se reconnecter pour visualiser les modifications effectuées.

Considérez ce nouveau groupe ObjectGroup/Organisation comme la pratique recommandée pour octroyer aux utilisateurs finaux l’accès aux objets de configuration Identity Manager tels que les rôles, les ressources, les tâches, etc.

À l’avenir, il est conseillé de préférer cette méthode à l’utilisation de tâches d’utilisateur final, de ressources d’utilisateur final, de System Configuration:EndUserAccess et des types authType d’utilisateur final. Ces méthodes sont néanmoins toujours prises en charge à des fins de compatibilité ascendante.

Vous avez dorénavant la possibilité d’ajouter des mots de passe à l’historique des mots de passe d’un utilisateur lors de la création d’un utilisateur. (ID-15179)
Lorsque vous listez des objets (tels que des rôles ou des ressources) et que vous comptez plus de six groupes memberObjectGroups pour l’un quelconque des objets renvoyés, Identity Manager n’élimine plus par filtrage les groupes memberObjectGroups tronqués des résultats. (ID-15181)

Remarque	Ce comportement ne s’applique pas au type USER (UTILISATEUR), car il ne peut être membre que d’un seul ObjectGroup.

Si un utilisateur détenant des éléments de travail en attente est supprimé, Identity Manager s’assure à présent que ces éléments ne sont pas perdus, en procédant comme suit : (ID-15868)
Si un élément de travail en attente a été délégué alors que le délégant n’a pas été supprimé, il est renvoyé à ce dernier, qui devient alors le nouveau propriétaire de l’élément de travail.
Si un élément de travail a été délégué et que le délégant a été supprimé ou si l’élément de travail en attente n’a pas été délégué, la tentative de suppression échoue tant que l’élément n’est pas résolu ou transmis à un autre utilisateur.

Serveur

Vous avez dorénavant la possibilité de configurer la fonction de suivi de manière à suivre une méthode et l’ensemble de ses sous-appels (directs et indirects). Cela peut s’avérer pratique lors du débogage de problèmes connus pour se produire à un niveau donné dans le cadre d’une méthode de saisie spécifique. (ID-13436)

Pour activer cette fonction, définissez le niveau de suivi pour une étendue dotée du modificateur subcalls, comme dans l’exemple suivant :

trace 4,subcalls=2 com.waveset.recon.ReconTask$WorkerThread#reconcileAccount

Cet exemple suit la méthode reconcileAccount() au niveau 4 et tous les sous-appels au niveau 2.

Les méthodes suivantes ont été ajoutées à WSUser. Pour plus d’informations sur cette classe, reportez-vous au JavaDoc fourni dans le kit REF. (ID-15468/14152)

Méthodes d’objets WSUser

Méthode	Description
getWorkItemDelegates()	Renvoie l’ensemble d’objets de délégation actifs pour l’utilisateur spécifié.
getWorkItemDelegate(String workItemType)	Renvoie un objet de délégation de l’élément workItem requis à partir de _delegates.
addWorkItemDelegate(Delegate delegate)	Ajoute un objet de délégation du type d’élément de travail spécifié à _workItemDelegates. Si l’un des types workItem spécifiés existe déjà, il est remplacé.
removeWorkItemDelegate(String workItemType)	Supprime le type d’élément de travail workItemType spécifié de l’ensemble d’objets de délégation d’éléments de travail.
setWorkItemDelegates(Map workItemDelegates)	Définit l’ensemble d’objets de délégation d’éléments de travail relatif à cet utilisateur.
getWorkItemDelegateHistory()	Renvoie la liste d’objets de l’historique de délégation de l’utilisateur spécifié.
setWorkItemDelegateHistory (List workItemDelegateHistory)	Définit la liste d’objets de l’historique de délégation de l’utilisateur spécifié.

Éléments de travail

Lorsqu’un élément de travail d’attestation est transmis, les commentaires fournis par l’attestateur initial sont inclus dans l’élément de travail de manière à intégrer les commentaires des autres attestateurs si l’élément de travail est attesté pour de bon. (ID-14643)

---

Bogues corrigés dans cette version

Cette section décrit les bogues corrigés dans Identity Manager 7.1. Ces informations sont organisées de la manière suivante :

Interfaces administrateur et utilisateur
Audit
IDE (Integrated Development Environment)
Métavue
Synchronisation des mots de passe
Réconciliation
Rapports
Référentiel
Ressources
Sécurité
Serveur
Flux de travaux
Autres défauts corrigés

Interfaces administrateur et utilisateur

Sur les pages de débogage, les groupes d’objets ne figurent plus dans la liste déroulante des types d’éléments pouvant être supprimés en masse. (ID-13324)
Vous pouvez à présent déverrouiller un objet organisation verrouillé suite à une tentative de suppression effectuée par un utilisateur doté de droits insuffisants. (ID-14942)
Les tâches d’utilisateur final personnalisées devant vérifier la vue de l’utilisateur connecté ne génèrent plus d’erreur de type compte indisponible suite à son verrouillage. (ID-15040)
Vous pouvez dorénavant rechercher des rôles avec de nombreuses organisations à partir de la page Rechercher des rôles sans qu’une erreur relative au groupe d’objet s’affiche. (ID-15303)
Le menu sous l’onglet Rôles > Rechercher des rôles > Approbateurs peut désormais présenter des utilisateurs dotés de la capacité Approbateur de rôles. (ID-15373)
Si vous utilisez un formulaire customEdit.jsp pour personnaliser un formulaire d’édition, vous n’obtenez plus de page sans barre de navigation et deux copies du formulaire personnalisé. (ID-15460)
Les utilisateurs d’Internet Explorer 6 ou 7 doté de la mise à jour de sécurité 912812 n’ont plus besoin de double-cliquer sur une case de sélection multiple pour mettre en surbrillance la case ou de double-cliquer sur un élément pour le déplacer. (ID-15824)
Lorsque vous spécifiez le paramètre true pour IAPI.cancel (lequel annule toutes les mises à jour en attente détectées pour l’utilisateur en cours de traitement) sur le formulaire ActiveSync Input, la vue de l’utilisateur ne reste plus verrouillée après son traitement. (ID-15912)
L’édition d’un utilisateur figurant dans l’organisation Top, résultat d’une recherche dans la liste des utilisateurs, fonctionne désormais correctement sans générer d’erreur. (ID-15977)
Les règles par défaut fournies pour prendre en charge les balayages d’accès sont toutes membres de l’organisation Top par défaut. Si votre déploiement nécessite la possibilité pour les administrateurs d’éditer les balayages d’accès ou les stratégies d’audit sans contrôler l’organisation Top, vous devez ajouter les règles suivantes aux autres organisations : (ID-15996)
Examiner tout le monde
Examiner les utilisateurs modifiés
Rejeter les utilisateurs modifiés
Programme de résolution par défaut
Attestateur par défaut
Signalisation par défaut
Attestateur de tous
Non administrateurs
Tous les administrateurs
Utilisateurs sans responsable

Audit

Une nouvelle stratégie, la stratégie d’audit de comparaison de rôles IDM, est mise à disposition afin de vérifier que les attributs de ressources des utilisateurs concordent avec les attributs de rôles définis dans les rôles qui leur ont été assignés. En cas de non-concordance, une violation de conformité est créée lorsqu’un utilisateur non conforme est balayé au moyen de cete nouvelle stratégie. (ID-11225)
Aucune erreur ne s’affiche dorénavant lorsque vous éditez un rapport d’informations détaillées sur l’examen d’accès dans lequel la cible d’examen spécifiée a été supprimée. (ID-14805)
Dans le cadre d’une nouvelle installation d’Identity Manager 7.1, le rapport d’Auditor par défaut Toutes les violations de conformité utilise désormais l’attribut d’affichage resourceNames pour permettre aux violations de conformité de refléter plus d’une ressource. Auparavant, ce rapport utilisait l’attribut resourceName, lequel générait un message d’avertissement. (ID-15915)

Points à prendre en compte lors d’une mise à niveau : ce problème est résolu uniquement dans le cas d’une nouvelle installation d’Identity Manager 7.1. Si vous mettez à niveau Identity Manager, vous devez corriger manuellement ce problème en spécifiant resourceNames et pas resourceName dans la tâche de rapport par défaut (et tous les autres rapports configurés à partir de la définition de tâche Rapport récapitulatif des violations).

L’IG de l’assistant de création d’une stratégie d’audit permet de spécifier 3 programmes de résolution, et une période de signalisation entre eux. Si vous avez défini cette période, vous devez préciser le programme de résolution. À défaut, la résolution est supprimée. (ID-14198)
Il est désormais possible d’effectuer un balayage d’audit ou un examen des accès si l’étendue de l’utilisateur est définie sur une organisation dynamique. (ID-14886)
Les rapports des journaux d’audit affichent les détails des modifications de rôles. (ID-15587)
Les fonctions d’Identity Manager Compliance fournissent des tâches, des stratégies et des règles prêtes à l’emploi. (ID-16127). À l’origine, Identity Manager crée ces objets dans les groupes d’objets Top ou Tous, selon le cas. Dans le cadre de déploiements utilisant une administration déléguée avec des administrateurs ne contrôlant pas le groupe d’objets Top, vous souhaiterez peut-être ajouter une partie ou la totalité des objets Auditor à d’autres groupes d’objets. Identity Manager fournit un script répertoriant les groupes d’objets et permettant d’en ajouter ou d’en supprimer dans les objets Auditor. (Pour une liste complète des objets Auditor, consultez le fichier $WSHOME/sample/scripts/AuditorObjects.txt.)
Pour lister les objets :

cd $WSHOME/sample/scripts
beanshell.sh objectGroupUpdate.bsh -action list -data AuditorObjects.txt

Pour ajouter le groupe d’objets Tous à tous les objets :

cd $WSHOME/sample/scripts
beanshell.sh objectGroupUpdate.bsh -action add -data AuditorObjects.txt -groups

Pour supprimer le groupe d’objets Tous de tous les objets :

cd $WSHOME/sample/scripts beanshell.sh objectGroupUpdate.bsh -action remove -data AuditorObjects.txt -groups Tous

Le compsoant d’audit d’Identity Manager propose des flux de travaux prêts à l’emploi et potentiellement longs. (ID-16173). Pour pouvoir effectuer une mise à niveau de la version 7.0 vers la version 7.1, vous devez renommer les instances de tâches suspendues de ces flux de travaux.

Identity Manager fournit un script que vous pouvez exécuter avant l’installation de la mise à niveau 7.1 afin d’automatiser cette opération de changement de nom. Ces scripts se trouvent dans le répertoire util_scripts de l’image d’installation. Pour les exécuter, vous devez accéder au répertoire qui les contient et vérifier que le serveur Identity Manager est en cours d’exécution. Spécifiez l’option -h url-idm, même si vous exécutez le script localement sur le serveur Identity Manager. La forme attendue de url-idm est obligatoire. Si le serveur Identity Manager est lié au chemin d’accès à l’URL par défaut, vous pouvez l’omettre. Ce script modifiant le référentiel Identity Manager, il suffit de l’exécuter sur un seul serveur Identity Manager.

Pour lister les tâches à renommer

./beanshell.sh taskUpdate.bsh -u Configurator -p configurator -h url-idm -action list

Pour effectuer l’opération de changement de nom

./beanshell.sh taskUpdate.bsh -u Configurator -p configurator -h url-idm -action list

Les objets TaskDefinition renommés prendront la forme suivante : ancien-nom-7.1-update[N]

Lors de la fin ou de la suppression d’un examen des accès, ces tâches peuvent rencontrer des erreurs empêchant leur achèvement. Si cela se produit, l’examen des accès est placé dans l’état TERMINATE ERROR (ERREUR DE FIN) ou DELETE ERROR (ERREUR DE SUPPRESSION). Pour visualiser les informations spécifiques à l’erreur, consultez les résultats de la tâche via Tâches système -> Toutes les tâches. (ID-16211)

IDE (Integrated Development Environment)

La plupart des noeuds dispose d’une feuille de propriétés associée dans les fenêtres de propriétés et est dotée d’une propriété de nom permettant de gérer la valeur du nom. Si vous renommez un objet particulier par le biais de son noeud, soit en cliquant avec le bouton droit de la souris et en choisissant Renommer, soit en cliquant sur le noeud et en tapant du texte sur le libellé, le libelle du noeud est mis à jour et le code XML change. La feuille de propriétés n’est toutefois pas mise à jour. Vous pouvez cliquer sur un autre noeud, puis cliquer à nouveau sur le noeud renommé afin de mettre à jour la feuille de propriétés en conséquence. Une autre solution consiste à cliquer sur le titre de la feuille de propriétés afin de mettre à jour les valeurs appropriées. (ID-13696)
Les bibliothèques de règles ne sont pas prises en charge pour l’instant pour d’autres tâches que l’édition et le test XML de base dans le testeur de règles. La navigation et la prise en charge des propriétés ne sont pas implémentées pour l’instant. (ID-14093)
Il est impossible de définir les valeurs des propriétés de formulaire à l’aide de l’éditeur de propriétés si les données sont de type Entier ou Booléen. (ID-14128)

Solution : modifiez la valeur associée à la propriété directement dans le code XML.

Le téléchargement en amont ou en aval, ou le rechargement, d’un objet entraîne le verrouillage de ce dernier dans le référentiel. Par conséquent, les tentatives d’accès à l’objet par des utilisateurs autres que celui indiqué dans les paramètres du projet pendant la période d’expiration du verrou risquent d’échouer. (ID-14132)
Il est nécessaire d’enregistrer un changement de nom d’objet lorsque cette opération est effectuée à partir du menu contextuel de NetBeans. Une fois le changement de nom apporté, l’utilisateur procède à l’enregistrement de la modification via Fichier > Enregistrer sans ouvrir le fichier. Si le fichier est ouvert, il utilise Fichier > Enregistrer ou ferme le fichier et accepte d’enregistrer les modifications lorsqu’un message l’y invite. (ID-14420)
Lors de la définition de la classe displayClass d’un champ sur InlineAlert, la propriété de la valeur d’InlineAlert ne s’affiche pas si le champ est doté d’un nom. (ID-14456)
L’extraction d’une vue utilisateur dans Identity Manager IDE verrouille l’objet. L’archivage ou la fermeture de la vue n’entraîne pas le déverrouillage de la vue. Le verrou disparaît automatiquement au bout de 5 minutes. Une autre solution consiste à se connecter à Identity Manager en tant qu’administrateur ayant extrait la vue dans IDM IDE et à afficher l’utilisateur. (ID-14797)
Il estdorénavant possible de spécifier un contexte racine en laissant vide le champ Contexte au moment de la création du projet. (ID-15925)

Identity Manager SPE

Vous avez dorénavant la possibilité de mettre un terme à la tâche de synchronisation SPE avant d’avoir achevé le traitement de toutes les mises à jour. (ID-15077)
Vous pouvez désormais configurer SPE pour qu’il utilise le répertoire « End User Directory » activé SSL. (ID-15773)
La page de configuration d’Identity Manager SPE ne vous permet plus de définir des stratégies de comptes non SPE. (ID-14833)

Métavue

L’attribut idmManager est désormais stocké correctement dans l’attribut utilisateur lors de l’emploi de la métavue. (ID-14445)

Synchronisation des mots de passe

L’application de configuration de synchronisation des mots de passe (Configure.exe) ne tronque plus les propriétés JMS en présence d’un signe d’égalité (=) lors de la lecture à partir du référentiel. (ID-12658)
Les mots de passe interceptés avec des caractères situés en dehors de la plage ASCII de 7 bits sont désormais codés correctement au format UTF-8 avant leur chiffrement. (ID-15829)

Réconciliation

Les réconciliations ne s’arrêtent plus lorsque les ressources comportent des utilisateurs en double. (ID-14949)
Certaines correspondances de comptes ambiguës lors de réconciliations sont désormais interprétées comme une correspondance préférée afin d’éviter des erreurs de réconciliation inutiles. (ID-14965)
Les réconciliations ne s’arrêtent plus lorsque les normalisations d’utilisateurs suppriment d’un utilisateur toutes les informations sur les ressources. (ID-15028)
L’utilisation de l’option checkDynamicallyAssignedAdminRolesAtLoginTo ne provoque plus d’erreurs de l’éditeur des règles de réconciliation lors de la mise à jour de la planification des réconciliations. (ID-15338)

Rapports

La consignation dans des journaux d’audit est désormais prise en charge pour la création, la modification et la suppression de rôles admin. (ID-12514)
Les rapports d’utilisateur indiquent l’ID de compte de ressource de tous les comptes situés sur la ressource dans une liste séparée par des points-virgules. Les comptes et les ressources assignés indirectement via un groupe de ressources ou un rôle sont également recensés. S’il n’existe qu’un seul compte de ressource, l’ID de compte s’affiche uniquement s’il n’équivaut pas à l’ID de compte Identity Manager. (ID-12820)
Les modifications apportées aux questions d’authentification d’un utilisateur sont maintenant consignées dans les journaux d’audit. (ID-13082)
Le Journal des violations de conformité des utilisateurs ne doit pas s’afficher dans le menu Rapports sous le sélecteur Rapports de l’auditeur. Il s’agit de la tâche Rapport d’audit de conformité par défaut qui doit être masquée. (ID-14721)
Si vous avez personnalisé le formulaire de détails de la violation des conflits dans une version antérieure, exportez-le avant de procéder à la mise à niveau vers la version 7.0. Le cas échéant, réimportez le formulaire enregistré après la mise à niveau. (ID-14772)
Les rapports PDF envoyés par e-mail respectent désormais les paramètres de polices et de polices incorporées définis à n’importe quel niveau. (ID-15328)

Référentiel

L’option ObjectSource.OP_ALLOW_NOT_FOUND (allowNotFound) est à présent entièrement respectée dans les appels à getView et checkoutView pour une vue IDMXUserView, ainsi que dans les appels à getObject via un contexte de type LighthouseContext dans Identity Manager. (ID-11900)
Dorénavant, le référentiel Identity Manager ferme (revient à l’état antérieur) une connexion de base de données active dès que le référentiel rencontre une erreur Java (c.-à-d., une instance de java.lang.Error). Auparavant, le référentiel fermait la connexion de base de données active lorsqu’il détectait une exception déclarée ou une exception d’exécution (mais pas une erreur). Ce changement est destiné à prévenir le maintien d’une transaction (non validée) lorsque la machine virtuelle Java émet une erreur (par ex., OutOfMemoryError). (ID-14411)
L’option -n de la commande setRepo désactive vraiment à présent la vérification de l’emplacement du référentiel. L’option -n permet à la commande setRepo de réussir lorsque l’emplacement du référentiel est incorrect (ou que l’instance de la base de données est indisponible à l’emplacement actuel). Ce changement corrige une régression apparue dans la version Identity Manager 2005Q4M3 (Identity Manager 6.0). (ID-14809)
Le référentiel Identity Manager s’initialise désormais plus rapidement, car le magasin de données RelationalDataStore génère une déclaration SQL dont l’exécution est accélérée pour les tables de bases de données volumineuses. (ID-14937)
Les systèmes de base de données Oracle lents n’entraînent plus l’exécution de tâches suspendues sur plus d’un ordonnanceur à la fois. (ID-15372)
La suppression d’un rôle pour un utilisateur au sein d’un groupe d’utilisateurs similaires n’a plus d’incidence sur les entrées des autres utilisateurs dans le référentiel. Par ailleurs, cette action ne vous empêche plus de rechercher ces utilisateurs par le critère du rôle. (ID-15584)

Ressources

Ajout du champ de paramètre de ressource Serveurs de basculement pour l’adaptateur de ressources LDAP. Ce champ permet à l’utilisateur de lister plusieurs serveurs pour le basculement en cas de panne du serveur favori. L’adaptateur de ressources LDAP utilise JNDI afin de conserver la connexion à l’annuaire LDAP. JNDI tente alors de se connecter automatiquement à chaque serveur jusqu’à ce que cela aboutisse. Une fois la connexion détectée, JNDI utilise ce serveur tant qu’il ne tombe pas en panne, puis il recommence le processus de recherche de connexion. La réplication entre tous les serveurs de basculement est la responsabilité du client. (ID-10889)
Le filtre de recherche LDAPActiveSync destiné à détecter les modifications dans le journal changelog a été optimisé au niveau des performances. La partie filtre (objectClass=changelogEntry) a été supprimée du filtre de recherche par défaut. (ID-11722)

Vous avez la possibilité de restaurer l’ancien comportement en ajoutant directement l’attribut de ressource Remove objectClass from Search Params Filter (Supprimer objectClass du filtre de paramètres de la recherche) à la définition de la ressource en utilisant la valeur false, comme suit :

<ResourceAttribute name='Remove objectClass from Search Params Filter'
   displayName='Remove objectClass from Search Params Filter' facets='activesync' value='false'>
</ResourceAttribute>

Remarque	Il est impossible de modifier ce paramètre depuis l’interface graphique (IG).

L’adaptateur de ressources NDS vous permet désormais de fusionner des groupes contenus dans le modèle NDS avec des groupes définis en dehors du modèle. Cette action est disponible à partie de l’interface utilisateur au moyen de modifications de formulaires utilisateur. Pour plus d’informations, consultez le fichier NDSUserForm.xml. (ID-12083)
Les adaptateurs Linux peuvent désormais revenir une année en arrière sur la dernière connexion. (ID-12182)
Afin de vous servir d’une vue provenant d’un autre utilisateur Oracle, vous devez établir un alias afin de faire référence à la vue sans la qualifier à l’aide d’un nom d’utilisateur. Identity Manager ne détectait pas cela et vous permettait de spécifier cette vue dans l’adaptateur de ressources. Identity Manager détecte à présent cette erreur et génère un message à cet effet. (ID-12643)
Lors de l’affichage d’utilisateurs sur une ressource Solaris NIS, le paramètre du groupe principal est dorénavant présenté sous forme de nom de groupe. (ID-12667)
Vous pouvez dorénavant définir des mots de passe sans date d’expiration en mode CUA sur la ressource SAP. (ID-13355)
L’adaptateur de ressources VMS est désormais doté de capacités de réconciliation. (ID-13425)
Le provisioning reconnaît à présent la capture d’une erreur provenant d’un script ResourceAction au cours de fonctions de création et de mise à jour d’utilisateurs. (ID-13465)
Identity Manager fournit désormais un paramètre de configuration de ressource appelé enableEmptyString. Celui-ci vous permet d’écrire une chaîne vide (à la place d’une valeur NULL) dans les colonnes basées sur des caractères définies comme non nulles dans le schéma du tableau. Le paramètre enableEmptyString n’a aucune incidence sur la façon dont les chaînes sont écrites pour les tableaux Oracle. (ID-13737)

La valeur par défaut de ce paramètre est OFF (INACTIF) ou FALSE (FAUX) (comportement existant). Pour écrire une chaîne vide, définissez le paramètre sur ON (ACTIF) ou TRUE (VRAI).

L’utilisation de l’adaptateur de ressources ERP Oracle pour mettre à jour la responsabilité d’un compte ERP Oracle n’entraîne plus la mise à jour de toutes les autres responsabilités du compte. (ID-13889)

Suel l’horodatage d’audit ERP Oracle relatif à la responsabilité modifiée est mis à jour. Les horodatages d’audit ERP Oracle concernant les autres responsabilités du compte restent inchangés.

L’adaptateur NDS Active Sync n’interroge plus afin de rechercher les modifications en fonction de l’attribut lastModifiedTimeStamp de l’objet Utilisateur. Dans les versions antérieures, cet attribut était mis à jour lors de chaque connexion ou déconnexion utilisateur. À présent, la dernière valeur modifiée est calculée d’après les attributs lastModifiedTimestamp d’un utilisateur définis dans le schéma Identity Manager. Si la valeur lastModifiedTimestamp d’un attribut est supérieure à la limite supérieure de contrôle du débit présentée par l’adaptateur, la passerelle renvoie cet utilisateur au serveur comme étant modifié. (ID-13896)
L’adaptateur de script shell prend désormais en charge les fonctions rename (renommer), disable (désactiver) et enable (activer). (ID-14472)
Un problème a été résolu concernant le blocage d’Active Directory Active Sync suite à l’absence de fermeture des connexions à la passerelle. Le nombre de connexions ne cessait d’augmenter jusqu’à la valeur maximale et les connexions ouvertes restaient dans l’état d’attente de fermeture (CLOSED_WAIT). Une fois le nombre de connexions maximum atteint et les connexions définies sur l’état CLOSED_WAIT, Active Sync s’arrête jusqu’à ce que ces connexions soient nettoyées. (ID-14597)
Le mappage d’attributs envoyé par l’adaptateur au script de mise à jour du client contient à présent une entrée pour l’attribut annulé, et la valeur de l’entrée de mappage devient nulle. Autrement dit, cette condition (valeur vide dans le mappage d’attribut) indique qu’un attribut est en cours d’effacement. (ID-14655)
Pour certains adaptateurs de ressources, les règles d’exclusion sont maintenant appliquées avant que les utilisateurs soient extraits lors d’une réconciliation, ce qui permet d’exclure des utilisateurs spécifiques, d’éviter des erreurs générées par la ressource et d’améliorer les performances pour un grand nombre d’utilisateurs. (ID-14436)
L’écriture de profils et de groupes d’activités SAP dans un environnement CUA (Central User Administration) ne divise plus en deux une nouvelle ligne de tableau lorsque les informations sont séparées par deux-points. (ID-14371)
L’adaptateur de ressources LDAP réutilise le contrôle VLV lors de l’établissement de la liste et de la recherche des comptes utilisateur si le serveur LDAP est configuré correctement et s’il prend en charge cette fonction. (ID-14526)
Le formulaire utilisateur ERP Oracle comporte maintenant un champ indiquant le nom de la personne. Ce champ en lecture seule affiche le nom complet de la personne Oracle HR si un compte ERP Oracle est lié au système Oracle HR au moyen du numéro de l’employé. (ID-14675)
L’adaptateur SAP signale correctement le statut Désactivé. (ID-14834)
Le raccourci d’activation nsaccountlock peut désormais utiliser la logique d’après la valeur de présence/d’absence pour déterminer si un utilisateur LDAP est désactivé. (ID-14925)
Identity Manager respecte à présent le paramètre de combinaison deny, ignore des caractéristiques prises en charge pour une ressource. Si vous sélectionnez ignore, l’action n’est pas exécutée, mais elle peut apparaître sous forme de message dans l’IG dans certaines situations. (ID-14948)
L’adaptateur de ressources ERP Oracle empêche à présent la suppression des liens des comptes de ressources lorsque la ressource ERP Oracle est inaccessible au cours de la réconciliation complète. (ID-14960)
Les mots de passe dotés de caractères situés en dehors de la plage ASCII de 7 bits sont désormais définis correctement par la passerelle (pour la création et la mise à jour) lorsqu’Identity Manager est déployé avec Tivoli Access Manager et Active Directory. (ID-15006)
Si des ressources communes sont configurées dans l’objet Configuration système à des fins d’utilisation lors de la connexion et si une connexion de ressource commune échoue, les connexions n’aboutissent plus à des échecs s’il existe une autre ressource dans la pile du module de connexion qui n’est pas une ressource commune et qui requiert des propriétés d’authentification différentes de celles des ressources de module de connexion précédentes. (ID-15047)
Si vous effectuez une opération Créer un objet ressource pour une ressource de serveur Solaris NIS, sélectionnez plusieurs comptes sous Utilisateurs, puis cliquez sur Enregistrer. Tous les comptes sont alors ajoutés au fichier du groupe dans le répertoire source de mots de passe NIS sur le serveur NIS géré. Dans les versions antérieures, cette opération fonctionnait uniquement lorsqu’un compte était sélectionné. (ID-15085)
L’adaptateur ADSIResourceAdapter ferme dorénavant les connexions lors des demandes d’objets de ressources. (ID-15098)
Il est désormais possible de spécifier des propriétés de connexion ACF2 (telles qu’un écran virtuel plus large et contenant plus de pixels). (ID-15158). Pour implémenter cette fonction, vous devez importer votre propre script update.xml contenant les lignes suivantes :

<?xml version='1.0' encoding='UTF-8'?>
<!DOCTYPE Waveset PUBLIC 'waveset.dtd' 'waveset.dtd'>
<Waveset>
   <ImportCommand class='com.waveset.session.ResourceUpdater' >
      <Map>
         <MapEntry key='updateAttributes' value='true'/>
      </Map>
   </ImportCommand>
</Waveset>

Une fois l’utilitaire de mise à jour exécuté, le serveur d’application doit être arrêté puis redémarré.

Pour augmenter la taille d’écan selon un type de terminal modèle 5, vous devez ajouter les propriétés suivantes :

Enable TN3270E: 1
Session Properties: SESSION_PS_SIZE <newline> 5

Vous noterez que <newline> doit être interprété comme le paramètre SESSION_PS_SIZE et le paramètre 5 doit se trouver sur une ligne distincte.

Un nouvel attribut de ressources de schéma ERP Oracle correspondant est disponible : person_fullname. L’exemple de script $WSHOME/sample/other/CreateLHERPAdminUser.oracle a été mis à jour de manière à inclure un tableau ICX* et à fournir des vues aux synonymes créés pour l’utilisateur non APPS. (ID-15188)
Les exemples de scripts JDBC ne dermaient pas ResultSets et Statements lorsqu’ils devenaient inutiles. Dans une application de grande échelle, cela pourrait entraîner des fuites de ressources. Les exemples de scripts ont été modifiés de manière à fermer ces objets lorsqu’ils deviennent superflus. (ID-15254)
Identity Manager « piège » et signale désormais la sortie des scripts de suppression qui renvoient ouvertement une erreur. (ID-15340)
Un problème d’allocation de stockage lié à des conversions de caractères a été résolu. (ID-15341)

Vous devez utiliser le codage UTF-8 de manière uniforme sur la passerelle et il est préférable de configurer la passerelle Windows avec une page de code ANSI compatible avec les données d’application. Autrement dit, utilisez un codage de caractères Windows capable de représenter tous les caractères Unicode contenus dans les données gérées à l’aide d’Identity Manager.

Les noms des fichiers temporaires utilisés lors de l’exécution des scripts de shell pour les actions de ressources ont été modifiés pour devenir plus spécifiques au fil du temps. (ID-15348)
Pour Solaris NIS, Identity Manager n’ajoute plus la cible netid, laquelle était inutile et générait des messages d’erreur dans les suivis. (ID-15503)
Pour Solaris NIS, Identity Manager n’empêche plus l’utilisation de la commande sudo si le répertoire contenant les fichiers de modèle passwd, shadow et group de Solaris NIS est protégé en lecture contre l’utilisateur admin. (ID-15505)
Pour Solaris NIS, un compte n’est plus partiellement créé si le groupe principal par défaut est totalement absent ou s’il correspond à un nom ne figurant pas dans le fichier de groupe. (ID-15509)
Un bogue entraînant l’échec de la génération de l’ID d’un utilisateur ou d’un groupe Solaris NIS dans un environnement sans utilisateur ni groupe au départ a été corrigé. De plus, les fichiers de modèle passwd et group se trouvent dans un répertoire autre que /etc. (ID-15510)
Pour Solaris NIS, si deux comptes sont créés sur une ligne et si un shell est spécifié pour le premier compte mais pas pour le second (soit il n’est pas défini dans le fichier defadduser soit le fichier defadduser n’existe pas), le second compte n’est plus créé avec le shell du premier. (ID-15511)
Pour Solaris NIS, l’entrée defgname figurant dans le fichier /usr/sadm/defadduser permet désormais de définir le groupe principal par défaut au lieu de defgroup, en tant que source optionnelle pour les valeurs par défaut des comptes que vous venez de créer. (ID-15512)
Identity Manager ne stocke plus les mots de passe chiffrés Solaris NIS et HP-UX NIS dans les deux fichiers de modèle NIS passwd et shadow lorsqu’un compte est mis à jour. La valeur de paramètre substituable x est stockée dans le fichier passwd. (ID-15593)
L’exécution d’Active Sync ne se poursuit pas lorsque l’option Créer des comptes sans correspondance est définie sur true et que la valeur de l’option Nombre d’erreurs autorisées est dépassée. (ID-15662)
L’adaptateur PeopleSoft Component Interface est désormais capable de signaler le statut disabled (désactivé). (ID-15674)
Identity Manager ne lit plus les attributs de comptes en écriture seule à partir d’un annuaire LDAP ou d’Active Directory. (ID-15838)
L’adaptateur de ressources Passerelle scriptée permet désormais de capturer correctement les codes de retour diféfents de zéro à partir de scripts et de générer une erreur. (ID-15860)
L’effacement d’un attribut RACF dans un formulaire n’entraînait pas de la part d’Identity Manager celui de l’attribut sur l’utilisateur suite à l’envoi du formulaire. Identity Manager efface désormais correctement l’attribut. (ID-15971)
L’attribut de ressources de modèles NDS affiche désormais l’aide contextuelle (i-Help) plutôt que la clé de message NDS_TEMPLATE_HELP. (ID-15986)
Les actions de ressources Enable (Activer) et Disable (Désactiver) sont désormais prises en charge par l’adaptateur de ressources Passerelle scriptée. (ID-16066)
L’adaptateur de ressources Passerelle scriptée passe à présent les attributs de ressources aux scripts implémentant les actions getInfo et listAllObjects. (ID-16149)
L’adaptateur de ressources GroupWise est dorénavant désapprouvé. L’adaptateur NDS doit être utilisé à la place pour gérer les utilisateurs GroupWise. (ID-16308)

Ordonnanceur

La sortie de l’entrée syslog « EVNT00, LockedByAnother » a été supprimée. Elle engendrait une sortie excessive dans le sysLog dans les environnements clusterisés. (ID-15714)

Sécurité

Les changements de mots de passe des utilisateurs finaux effectués par les administrateurs (via SPML ou d’une autre manière) sont désormais ajoutés à l’historique des mots de passe si celui-ci est activé. Ce correctif introduit à la fois une option Configuration système et une option Vue (formulaire) permettant aux administrateurs de basculer vers le comportement souhaité. (ID-13029)
Les administrateurs peuvent choisir d’activer ou de désactiver l’option Configuration système en fonction de l’application de connexion. Conséquence : ils bénéficient d’une flexibilité accrue, car un même comportement n’est pas nécessairement appliqué à toutes les applications.
L’option Vue remplace systématiquement tout paramètre de configuration système.
Un administrateur délégué exclusivement doté de la capacité d’administrateur des rapports ne peut plus supprimer les organisations hors de l’étendue (lesquelles sont consignées dans un rapport) à partir d’un rapport. (ID-14765)
Un journal d’audit relatif à une organisation comprend désormais des approbateurs d’organisation ajoutés à l’organisation ou supprimés de celle-ci. (ID-15232)
Un administrateur de rôles admin dispose à présent de privilèges suffisants pour créer un rôle admin. Lors de la création d’un rôle admin ou d’une capacité, le créateur doit parfois sélectionner un ou plusieurs utilisateurs pouvant assigner le rôle admin ou la capacité à d’autres utilisateurs. Cette situation se produit lorsqu’un créateur n’est pas autorisé à assigner des rôles admin ou des capacités. Le jeu d’utilisateurs à partir duquel le créateur peut sélectionner des assignataires n’est pas soumis au champ d’application d’autorisation Identity Manager, car le créateur peut être amené à choisir des utilisateurs situés en dehors de l’étendue de ce contrôle. Les utilisateurs disponibles se voient maintenant octroyer le droit d’assignation de capacité. (ID-15980)

Serveur

Le serveur SPML renvoie à présent des erreurs si des requêtes contiennent des filtres utilisant des opérateurs non encore implémentés. (ID-11343)
L’abandon d’attributs de l’objet de configuration des attributs étendus de l’utilisateur n’entraînait pas leur abandon des attributs de WSUser ; les anciennes valeurs étaient conservées dans le fichier XML. Ce problème a été corrigé et les valeurs sont désormais supprimées du fichier XML. (ID-11721)
Lorsque vous spécifiez des commandes ou des utilisateurs pour des opérations en masse via la zone d’entrée de l’IG, l’opération n’échoue plus avec un message du type « Vous devez spécifier le nom d'un objet », même si vous avez réellement indiqué un nom d’utilisateur. (ID-15112)
Les problèmes ayant provoqué des erreurs de mémoire insuffisante lorsque des processus accédaient de manière intensive à une ressource (telle qu’une réconciliation) ont été corrigés. (ID-16222)
Pour renvoyer une liste de délégués spécifique aux éléments de travail (workItem), Identity Manager propsoe désormais les nouvelles méthodes publiques suivantes, lesquelles font appel à l’argument workItemType. (ID-15787/14152)

DelegateUtil#checkWorkItemDelegates()

DelegateUtil#getWorkItemDelegates()

Tâches

Lors de l’édition d’une tâche planifiée, la date de début doit être ressaisie au format MM/JJ/AAAA (ID-5675).

Flux de travaux

L’exemple de définition de tâche de fin de notification de réconciliation d’Identity Manager est dorénavant mené à son terme et envoie une notification par e-mail une fois achevé (ID-9259).

Autres défauts corrigés

8691, 8961, 9913, 10100, 10802, 11538, 12509, 12571, 12585, 12872, 13223, 13251, 13258, 13701, 13741, 13965, 14282, 14334, 14459, 14564, 14663, 14748, 14893, 15036, 15098, 15234, 15345, 15424, 15746, 15798, 15851, 15864, 16041, 16087, 16121, 16171, 16177, 16215, 16288,