Problèmes connus

Cette section des notes de version d’Identity Manager 7.1 dresse la liste des problèmes connus et des solutions disponibles concernant :

Identity Manager
Service Provider Edition

---

Identity Manager

Cette section décrit les problèmes connus et les solutions disponibles concernant Identity Manager. Ces informations sont organisées de la manière suivante :

Généralités
Installation et mise à jour
Gestion des comptes
Approbations
Audit
IDE (Integrated Development Environment)
Configuration de connexion
Organisations
Stratégies et capacités
Réconciliation et importation d’utilisateurs
Rapports
Ressources
Gestion des objets de ressources
Groupes de ressources
Sécurité
Serveurs
Sun Identity Manager Gateway
Tâches
Flux de travaux, formulaires, règles et XPRESS

Généralités

Les champs obligatoires définis sur le mappage du schéma des ressources sont seulement contrôlés lors de la création d’un compte utilisateur (ID-220). Si un champ doit être obligatoire lors des mises à jour de l’utilisateur, le formulaire associé doit être configuré à cet effet.
Aucun contrôle de la présence de caractères incorrects n’est effectué sur les noms de l’organisation, de l’administrateur, du compte, de l’attribut de l’utilisateur (côté gauche du mappage de schéma) ou sur les noms de tâches (ID-1145, 1206, 1679, 1734, 1767, 2413, 3331). Les noms de ces types d’objets n’admettent pas les caractères suivants : signe du dollar ($), virgule (,), point (.), apostrophe ('), perluète (&), crochet gauche ([), crochet droit (]) et deux-points (:).
Un message d’erreur trompeur est donné sur la page du compte lorsque vous tentez d’effectuer une action une fois la session arrivée à échéance. (ID-1223)
Il est impossible d’afficher entièrement l’objet calendrier lorsque le navigateur utilise de grandes polices. (ID-2120)
La case à cocher de sélection globale disponible sur la page des résultats de la recherche et la page répertoriant les tâches n’est pas désactivée si l’un des éléments de la liste est désélectionné (ID-5090). Cette case à cocher n’est pas prise en compte pendant l’action résultante si la case à cocher affichée en regard de chaque membre de la liste n’est pas sélectionnée.
Si vous apportez une modification à un catalogue de messages personnalisé, vous devez redémarrer le serveur pour qu’elle soit prise en compte. (ID-6792)
Pour le mécanisme habituel de détection d’un serveur en panne, il est supposé que tous les systèmes d’un cluster Identity Manager sont synchronisés sur la même heure (ID-7064). Avec un intervalle de panne par défaut de cinq minutes, si un serveur est décalé de cinq minutes par rapport à un autre, le serveur qui avance déclare que le serveur en retard est non opérationnel, causant des résultats inattendus.

Solution : maintenez une meilleure synchronisation temporelle ou augmentez l’intervalle de basculement.

Sous Windows, si vous vous connectez en tant qu’utilisateur dont le nom contient des caractères codés sur deux octets et que le codage par défaut de la machine ne prend en charge que les caractères codés sur un octet, vous devez définir la variable d’environnement USER_JPI_PROFILE sur un répertoire existant dont le nom contient uniquement des caractères codés sur un octet. (ID-8540)
Si un noeud développé contient moins d’une page de données et si vous y insérez un nouvel enfant (en créant, par exemple, un utilisateur dans l’organisation) avant le premier enregistrement de la page, Identity Manager insère une page contenant un élément avant la page active lors de l’actualisation suivante. (ID-12151)

Solution : pour réaligner les pages, cliquez sur le bouton Première page.

Si vous modifiez un formulaire de rôle en vue de changer la variable showSuperAndSubRoles de 0 à 1, puis importez un fichier de définition d’objet de super rôle contenant des sous-rôles existants à partir de l’onglet Configurer, ces sous-rôles ne contiendront pas la section <SuperRoles>. En revanche, si vous créez un super rôle via l’interface graphique d’Identity Manager, les sous-rôles référencés par ce super rôle seront mis à jour. (ID-15053)

Ce problème peut se produire avec des rôles créés en dehors d’Identity Manager et disposant de références à des rôles existants (des sous-rôles ou des super rôles) déjà présents sur le système.

Lors de l’importation de ces rôles, les rôles déjà présents sur le système ne sont pas mis à jour de manière à refléter les nouvelles relations. Ainsi, l’intégrité référentielle n’est pas conservée. Faites appel à la fonction RoleUpdater pour vérifier et corriger l’intégrité référentielle lorsque les rôles sont importés de cette manière.

Solution : voir ID-15482 décrit à la section Rôles.

Vous devez mettre à jour le kit JDK sur lequel vous exécutez le serveur d’application vers la version JDK 1.4.2_13 afin d’assurer la prise en charge des nouvelles règles relatives à l’heure d’été à partir de 2007 (ID-15475).

Pour effectuer la mise à jour, procédez comme suit :

Mettez à jour les fonctions horaires d’hébergement de la passerelle à partir de :

http://www.microsoft.com/windows/timezone/dst2007.mspx

(Identity Manager obtient les fonctions horaires d’hébergement de la passerelle à partir du système d’exploitation Windows.)

Procédez à une mise à niveau vers une version compatible de Java sur le serveur d’application.
Le manuel Identity Manager Installation fournit des instructions sur les procédures d’arrêt, de mise à niveau et de redémarrage du serveur d’application.
Passez en revue la liste des tâches dont l’exécution est planifiée pendant les nouvelles périodes étendues d’heures d’été (voir la section suivante pour plus d’informations sur les dates de ces périodes).

Une fois les patchs d’heures d’été appliqués, vous devez modifier la planification de tous les éléments devant démarrer pendant cette période. Les éléments récurrents devant être exécutés au moins une fois après l’application du patch d’heures d’été (et avant le début de ces périodes) seront exécutés aux moments attendus.

Pour répondre aux problèmes liés aux heures d’été, reportez-vous aux mises à niveau Java ou utilisez l’outil tzupdater (http://java.sun.com/developer/technicalArticles/Intl/USDST/).
Consultez également les problèmes liés à une alerte Sun pour Java.

Les heures d’été en vigueur aux États-Unis et au Canada ont été prolongées de manière à commencer plus tôt et à se terminer plus tard qu’au cours des années précédentes. Ces périodes sont passées du deuxième dimanche de mars au premier dimanche d’avril et du dernier dimanche d’octobre au premier dimanche de novembre. Pour l’année 2007, ces périodes passent du 11 mars au 1er avril, et du 28 octobre au 4 novembre. Les problèmes liés à des logiciels non compatibles continueront indéfiniment tant que ces logiciels ne seront pas modifiés en conséquence.

Remarques	Si les étapes précédentes ne sont pas implémentées, cela pourrait engendrer les conséquences suivantes : Certaines tâches planifiées (y compris la réconciliation et Active Sync) peuvent être exécutées à une heure de différence par rapport à l’heure prévue, suivant les paramètres de planification spécifiques. Des rapports peuvent inclure ou exclure des événements s’étant produits jusqu’à une heure en dehors de la période prévue. Les modifications des clients définies avec leur date peuvent indiquer des résultats erronés.

Le menu de l’interface de l’utilisateur final permettant à un élément de travail d’approbation d’être transmis à un autre approbateur figurant dans la liste des éléments de travail n’est pas rempli correctement. (ID-15935)

Solution : insérez le champ suivant dans le formulaire après le champ userIds, en remplaçant les chaînes « user* » par la liste d’ID de comptes souhaitée :

<Field name='forwardingUsers'>
   <Derivation>
      <list>
         <s>user1</s>
         <s>user2</s>
      </list>
   </Derivation>
</Field>

Si vous modifiez des paramètres (en ajoutant par exemple des attributs de colonne supplémentaires) sur un ChangeLog existant, ces modifications peuvent ne pas figurer dans un fichier CSV de ChanegLog préexistant. (ID-15973)
Les chaînes affichées sous les onglets du composant d’affichage TabPanel (utilisé, par exemple, dans le formulaire utilisateur en tableau) appliquent un retour à la ligne automatique si elles contiennent des espaces. Pour modifier ce comportement de sorte que les chaînes n’appliquent plus de renvoi à la ligne, insérez les deux lignes suivantes dans le fichier $WSHOME/styles/customStyle.css :

table.Tab2TblNew td {background-image:url(../images/tabs/level2_deselect.jpg);background-repeat:repeat-x;b ackground-position:left top;background-color:#C4CBD1;border:solid 1px #8f989f;white-space:nowrap}

table.Tab2TblNew td.Tab2TblSelTd {border-bottom:none;background-image:url(../images/tabs/level3_selected.jpg);backgroun d-repeat:repeat-x;background-position:left bottom;background-color:#F2F4F3;border-left:solid 1px #8f989f;border-right:solid 1px #8f989f;border-top:solid 1px #8f989f;white-space:nowrap}

Au cours d’une session Identity Manager établie dans une autre langue que l’anglais, les utilisateurs peuvent rencontrer une traduction partielle (un mélange d’anglais et de la langue sélectionnée) dans les applets de diagramme de processus. (ID-16139)
Lors de l’édition d’un rôle, en présence d’un second rôle inclus à la fois en tant que super rôle et sous-rôle, une référence circulaire est créée, entraînant parfois une erreur de dépassement de la capacité de la pile (StackOverflowError). (ID-16326)
La synchronisation des mots de passe en mode direct nécessite la configuration de SimpleRpcHandler dans le fichier web.xml. Par défaut, ce gestionnaire n’est pas fourni en tant que tel pour le servlet rpcrouter2. (ID-16469) Pour utiliser la synchronisation des mots de passe en mode direct, définissez le paramètre d’initialisation du gestionnaire de la manière suivante :

<init-param>
   <param-name>handlers</param-name>
   <param-value>com.waveset.rpc.SimpleRpcHandler,com.waveset.rpc.PasswordSyncHandler</ param-value>
</init-param>

Vous noterez qu’il est connu que SimpleRpcHandler perturbe certains appels de type RemoteSession. Si vous projetez d’utiliser RemoteSession en plus de la synchronisation des mots de passe en mode direct, configurez un servlet distinct pour le traitement des appels RemoteSession.

Installation et mise à jour

Remarque	Concernant les problèmes ayant uniquement un impact sur cette version, reportez-vous à la section Remarques sur l’installation et la mise à jour.

Si vous procédez à une mise à jour à partir d’une installation 6.x mais que vous souhaitez utiliser à présent les nouvelles pages conçues pour l’utilisateur final, vous devez modifier manuellement la valeur de la configuration système ui.web.user.showMenu sur true afin d’afficher la barre de navigation horizontale. (ID-14900, 16401)

Vous devez également modifier manuellement le mappage de formulaire de l’utilisateur final pour la configuration du système de sorte qu’il ressemble à celui-ci :

<Attribute name='endUserMenu' value='End User Dashboard'/>

WebLogic 9.0 n’est pas pris en charge, car une erreur de compilation s’applique à plusieurs pages.

Solution : utilisez à la place WebLogic 9.1 ou 9.2. (ID-16002)

Il n’existe pas de script de mise à niveau de base de données pour le magasin de transactions de Service Provider. Lors de la mise à niveau d’Identity Manager 5.6 (Service Provider Edition 1.0) ou d’Identity Manager 6.0 vers la version 7.0 ou 7.1, une nouvelle colonne (« userId ») doit être ajoutée au tableau existant. Les exemples de scripts de base de données (create_spe_tables.*) fournis dans cette version indiquent le type attendu et la longueur de valeur maximale définie par défaut pour cette colonne. (ID-16423)
Pendant la mise à niveau, dans des circonstances exceptionnelles, l’erreur suivante peut s’afficher lorsque vous tentez d’exécuter update.xml :

com.waveset.util.InternalError: Reserved item

'ComplianceViolation:LastModified' name is already in use by existing item

'ComplianceViolation:LastModified'.

Si cela se produit, supprimez du référentiel l’élément posant problème via SQL :

delete from object where type='ComplianceViolation' and name='LASTMODIFIED'

Cela fait, vous pouvez reprendre la mise à niveau au point elle avait échoué et réimporter le fichier update.xml. (ID-16437)

Gestion des comptes

Il est possible de créer des comptes NT dont les noms dépassent 20 caractères et que les outils natifs de NT ne peuvent pas gérer (ID-710).
Un administrateur ne peut pas enregistrer de ressources ni de rôles contenant des organisations qu’il ne gère pas lui-même (ID-839).
Le tri des colonnes sur la page Résultats du provisioning ajoute des lignes vides supplémentaires aux résultats (ID-1105).
Les approbations de plusieurs centaines de comptes utilisateur peuvent prendre un temps considérable (ID-1149).

Solution : approuvez les enregistrements de comptes utilisateur en groupes plus petits.

Il est impossible d’approuver des enregistrements d'approbation détenus par un administrateur ne disposant plus de la capacité correspondante (ID-1150).

Solution : supprimez l’administrateur des ressources, rôles et organisations pour lesquels il détient des droits d’approbation, puis approuvez les enregistrements d’approbation en attente avant de supprimer l’administrateur ou la capacité d’approbation correspondante.

La mise à jour d’un utilisateur sans que des modifications ne soient effectuées n’entraîne pas l’affichage d’une page de résultats détaillés (ID-2327).
Lors de la création d’un nouvel utilisateur ou de l’ajout d’une ressource à un utilisateur existant, si le nom distinctif de l’utilisateur est incorrect, la valeur incorrecte est masquée jusqu’à ce que l’administrateur se déconnecte (ID-2508). Toutes les tentatives visant à recréer l’utilisateur après en avoir corrigé le nom distinctif échoueront tant que l’administrateur restera connecté.
Windows Active Directory exige que la passerelle soit exécutée en tant qu’administrateur habilité à créer des répertoires (ID-2919). Identity Manager peut créer des répertoires de base sur les systèmes Windows 2000. La création du compte du répertoire de base est effectuée par l’utilisateur sous le nom duquel le processus passerelle est exécuté, et non pas par l’administrateur spécifié dans la définition de la ressource.

Solution : changez l’utilisateur sous le nom duquel la passerelle fonctionne (de Système local à un compte autorisé à créer des partages distants et à définir des permissions sur ces partages). Ce compte aura également besoin de Bypass traverse checking et Act en tant que privilèges du système d’exploitation.

La ressource Windows NT envoie par erreur un message d’avertissement au lieu d’un message d’erreur lorsqu’une erreur se produit pendant la désactivation d’un compte utilisateur. (ID-3222)
Une exception de type java.lang.NullPointerException s’affiche dans certains cas lors de la suppression de toutes les ressources d’un utilisateur par le biais de la page Édition d’un utilisateur. (ID-4811)

Solution : servez-vous de la page Supprimer un utilisateur pour rompre le lien ou supprimer ces comptes de ressources de l’utilisateur.

Si un utilisateur Identity Manager est créé et assigné à une ressource Windows Active Directory où le compte d’utilisateur existe déjà, l’utilisateur sera créé sans attribut GUID dans l’info de la ressource (ID-5114). Ce GUID est utilisé pour détecter les changements apportés à l’organisation de l’utilisateur ou au nom dans l’annuaire. L’exécution de la réconciliation à partir de la ressource permet de corriger ce problème.
Lors de la création d’un utilisateur, un avertissement est donné si vous ajoutez un rôle à l’utilisateur contenant une ressource assignée directement. (ID-5385)
Il est impossible de spécifier une option « Transmettre à » l’administrateur lorsqu’un utilisateur est en cours de création. Cette option ne peut être définie que pendant l’édition de l’utilisateur. (ID-5695)

Approbations

Lors de la mise à jour d’un utilisateur et de la configuration de l’exécution de la mise à jour en arrière-plan, une activité d’approbation s’affiche sur la page de résultats de la tâche (ID-3301). Cette approbation peut être ignorée.
Les enregistrements d’approbation relatifs à un administrateur ne sont pas visibles après le changement de nom de l’utilisateur (ID-3386).

Solution : résolvez toutes les approbations en attente avant de renommer l’utilisateur.

Les enregistrements d’approbation approuvés ou rejetés au préalable ne peuvent pas être affichés par un administrateur si l’utilisateur en cours d’approbation fait partie d’une organisation que l’approbateur ne contrôle pas. (ID-3494)
Les tâches de relance de ressource s’affichent dans la liste des approbations en attente pour Configurator. (ID-3508)

Audit

Pendant un balayage, il est impossible de renouveler des tentatives visant à récupérer des comptes utilisateur non extraits à partir des ressources ou suite à d’autres pannes. Ces défaillances sont signalées à la fin du balayage, mais il n’existe aucun moyen automatisé de rebalayer ces comptes. (ID-9112)
Identity Auditor tente de conserver les utilisateurs en conformité entre les balayages de stratégie en appliquant systématiquement la stratégie quand l’utilisateur est édité. Si vous éditez un utilisateur auquel des stratégies d’audit sont assignées et qui enfreint une stratégie, vous ne pouvez pas enregistrer les modifications apportées à cet utilisateur, même si la modification est aussi simple que le transfert de l’utilisateur vers une autre organisation. (ID-9504)

Solution : utilisez la fonction de déplacement (ou de recherche puis de déplacement) disponible dans le menu contextuel sur l’applet de l’utilisateur ou désactivez temporairement les contrôles de la stratégie d’audit.

Pour désactiver temporairement les contrôles de la stratégie d’audit, éditez la configuration système et supprimez la propriété userViewValidators. Cette propriété, qui a une valeur de liste de chaînes, est ajoutée pendant l’importation du fichier init.xml ou upgrade.xml.

Dans les rapports Historique des violations des stratégies d’audit, Historique des violations par ressource et Historique des violations par organisation, l’implémentation d’une évolutivité logarithmique pour un type de diagramme PILE peut entraîner un comportement d’affichage inhabituel. (ID-9522)
Actuellement, il est impossible pour un administrateur de rapports de balayage d’accès Auditor de planifier un balayage des stratégies d’audit. L’erreur « Error message: Create access denied to Subject auditadmin on type TaskSchedule » (Message d’erreur : accès en création refusé pour l’admin d’audit Sujet pour le type TaskSchedule) s’affiche. Pour planifier une tâche, les administrateurs doivent disposer de privilèges de type create pour le type d’authentification TaskSchedule. (ID-14713)

Solution : éditez l’administrateur de manière à assigner le privilège create pour le type TaskSchedule ou spécifiez un utilisateur doté au minimum des fonctions Administrateur Auditor ou Waveset Adminsistrator.

Si vous avez créé des rapports de balayage de stratégies d’audit dans des versions antérieures d’Identity Auditor, vous ne pourrez pas les afficher lorsque vous passerez à la version Identity Manager 7.0. Pour corriger ce problème, un administrateur doté de la capacité Administrateur de rapports Auditor (ou d’une capacité supérieure) peut éditer ces rapports spécifiques et définir la visibilité sur run. (ID-14881)
Lors de l’exécution de balayages d’audit entraînant plusieurs violations, Auditor crée dans certains cas un flux de travaux de résolution destiné à gérer le traitement des violations. Le paramètre MySQL par défaut de max_allowed_packet (1M) est trop petit pour un flux de travaux contenant des dizaines de violations. Si cette limite est atteinte, Auditor ne lance pas le flux de travaux de résolution.

Solution : pour une utilisation intensive d’Auditor, augmentez considérablement cette valeur. Pour résoudre ce problème, ajoutez max_allowed_packet = 32M au fichier de configuration MySQL (my.cnf) et redémarrez le serveur de base de données. (ID-15830)

Les noms des stratégies d’audit ne peuvent pas contenir les caractères suivants : ' (apostrophe), . (point), | (trait), [ (crochet gauche), ] (crochet droit), , (virgule), : (deux points), $ (symbole du dollar), " (guillemets simples), = (signe égal) (ID-16078)
La modification des valeurs de gravité et de priorité pour les résolutions de violations de conformité peut être trompeuse. Les valeurs initiales du formulaire ne correspondent pas aux valeurs actuelles des violations de conformité. Elles reflètent les dernières valeurs définies suite à une modification. Il est important de connaître la valeur de gravité/priorité souhaitée pendant que la liste est encore affichée, car vous ne pouvez pas déterminer les valeurs actuelles lorsque vous visualisez la page permettant de changer ces valeurs. (ID-16040)
Les violations de conformité créées avant l’installation de la mise à niveau IdM 7.1 ne permettront pas de définir les niveaux de gravité et de priorité. Le message d’erreur renvoyé indique qu’il n’y a plus de violation de conformité, ce qui est faux. La violation existe toujours, mais IdM se trouve dans l’impossibilité de définir les niveaux de gravité et de priorité. (ID-16420)

IDE (Integrated Development Environment)

Vous devez effectuer le changement de nom d’objets à l’aide d’Identity Manager IDE via le menu contextuel (disponible au moyen du bouton droit de la souris) de l’explorateur des projets et pas en modifiant le code XML dans l’éditeur. (ID-13828)
Le navigateur XML a été désactivé dans IDM IDE. Windows > Navigator ouvre le panneau Navigator, lequel indique <No view available> (Aucune vue disponible). (ID-13390)
La fonction de suppression de projet n’est pas prise en charge. (ID-14013)
Au terme d’un projet, l’option Discard All (Tout abandonner) ne fonctionne pas normalement. Si vous tentez d’abandonner les modifications apportées à un objet, vous devez fermer la fenêtre de l’éditeur et sélectionner Discard (Abandonner). Il s’agit d’un problème connu survenant avec NetBeans (bogue 84236). (ID-14164)
Si vous travaillez avec un projet Identity Manager IDE standard, lancez l’instance Tomcat fournie. La boîte de dialogue Tomcat Manager (Gestionnaire Tomcat) s’affiche, indiquant généralement l’une des conditions suivantes : (ID-15546)
Plusieurs instances de Tomcat sont en cours d’exécution.
Les informations d’identification ne concordent pas.

Il s’agit d’un problème NetBeans connu.

Solution : assurez-vous qu’une seule instance de Tomcat est en cours d’exécution sur la machine hôte et qu’elle est configurée de manière à écouter sur le même port que l’instance Tomcat fournie.

Les informations d’identification stockées comme partie intégrante du serveur Tomcat fourni doivent correspondre à celles indiquées dans les champs de nom d’utilisateur et de mot de passe du gestionnaire du serveur. Pour plus d’informations sur les valeurs de ces champs, rendez-vous sur le site Web suivant :

http://wiki.netbeans.org/wiki/view/FaqInstallationDefaultTomcatPassword

Pour vérifier le numéro de port de la version Tomcat fournie et les informations d’identification stockées :

Sélectionnez l’onglet Identity Manager IDE Runtime et développez les noeuds Servers (Serveurs) et Bundled Tomcat (Tomcat fourni).
Cliquez sur le noeud Bundled Tomcat avec le bouton droit de la souris et choisissez Properties (Propriétés) dans le menu contextuel.
Lorsque la boîte de dialogue Server Manager (Gestionnaire de serveurs) s’affiche, vérifiez les valeurs des champs Server Port (Port du serveur), Username (Nom d’utilisateur) et Password (Mot de passe).

La fonction de clonage de document n’est pas opérationnelle. (ID-15725)
Si vous procédez à une opération de comparaison (diff) sur un document et que vous n’enregistrez pas vos modifications, l’opération diff ne présentera aucun résultat. Actuellement, aucun message d’avertissement ne signale cette situation. Identity Manager IDE permet uniquement d’effectuer une opération diff par rapport au contenu d’un fichier et pas par rapport à ce qui est affiché dans la fenêtre de l’éditeur. (ID-15952)
Si vous effectuez une opération diff sur un répertoire contenant des fichiers non enregistrés, aucun résultat ne s’affichera dans la fenêtre Diff Output (Différences de sortie). (ID-15955)
Lors de la création d’une déclaration d’appel (invoke) à l’aide du constructeur d’expressions, une fenêtre s’ouvre et présente le Javadoc relatif à la méthode sélectionnée. Actuellement, vous ne pouvez pas vous servir des barres de défilement pour parcourir le document. Autrement dit, pour certaines méthodes, la fenêtre n’affiche pas le contenu intégral du Javadoc. (ID-16093)

Solutions :

Une fois la méthode sélectionnée, le java doc est transféré temporairement au bas de la fenêtre d’expressions. Vous pourrez alors faire défiler la totalité du java doc. Toutefois, il ne s’agit là que d’une copie temporaire et dès que vous cliquez dans un autre élément d’expression ou sur une autre expression, cette copie n’est pas restaurée.
Utilisez le Javadoc standard, disponible dans le répertoire Image/REF/javadoc du support d’installation.

Une exception de pointeur nul est émise lorsque vous contrôlez la validation dans la vue de conception. (ID-16168)

Solution : procédez à la validation à partir de la vue XML (mode source).

Configuration de connexion

Le module d’authentification d’intercommunication ne fonctionne pas pour la ressource Domino. (ID-1646)
Les modifications apportées aux pages Configurer la connexion de l’administrateur et Configurer la connexion de l’utilisateur ne sont pas visibles pour les autres administrateurs connectés (ID-3487). Pour visualiser ces modifications, les autres administrateurs doivent se déconnecter de l’interface administrateur puis s’y reconnecter.
Si un administrateur se connecte et sélectionne Changer mon mot de passe puis active un autre onglet, son compte est verrouillé jusqu’à l’expiration du verrou. (ID-3705)

Si un autre administrateur tente d’éditer cet administrateur verrouillé, le message suivant s’affiche :

com.waveset.util.WavesetException : Impossible d’accéder au compte #ID#Configurator en ce moment. Veuillez réessayer plus tard.

Si l’administrateur clique sur OK, le diagramme du processus de flux de travaux de la dernière action s’affiche.

Organisations

Lors de la suppression de plusieurs organisations, si l’opération échoue pour l’une d’entre elles, toutes les organisations restantes sont conservées (ID-517).
Lorsque des demandes de provisioning comptant des utilisateurs appartenant à une organisation dont vous êtes en train de changer le nom sont en attente, elles aboutissent à un échec (ID-564).

Solution : assurez-vous de l’absence de toute demande en attente avant de renommer une organisation.

Si l’option Règles de membres utilisateurs est sélectionnée avant la spécification du nom de l’organisation que vous êtes en train de créer, un ID d’organisation s’affiche dans le champ du nom de l’organisation après le rafraîchissement de la page (ID-6302). Le nom peut encore être défini avant l’enregistrement de l’organisation.

( ) - Avertissement : les valeurs entre parenthèses dans le champ Approbateurs ne correspondent à aucune des valeurs admises.

Stratégies et capacités

L’attribut de stratégie de compte d’Identity Manager « Option de notification de la réinitialisation » dispose d’une option de valeur « administrateur » sans aucun effet (ID-944). Les seules options valables sont « immédiat » et « utilisateur ».
Si, lors de la suppression de plusieurs rôles, une erreur se produit, l’ensemble de l’opération s’arrête au lieu de reprendre avec les autres rôles (ID-1168).
Le nombre minimum de questions auxquelles un utilisateur doit répondre peut être défini sur une valeur supérieure au nombre de questions définies (ID-1834). Si ce cas de figure se présente, l’utilisateur sera dans l’impossibilité de se connecter à l’aide de l’option « Mot de passe oublié ».
Il est impossible de cloner la stratégie de compte Lighthouse par défaut en l’éditant, en la renommant et en sélectionnant la création d’un nouvel objet (ID-5147).

Solution : créez une nouvelle stratégie de compte.

Réconciliation et importation d’utilisateurs

L’importation d’utilisateurs à partir d’un fichier CSV ne met pas à jour les attributs de ressources si l’utilisateur existe déjà dans Identity Manager (ID-2041).
Les guillemets simples (‘) des ID de comptes du fichier CSV (Comma-separated-value, valeurs séparées par des virgules) chargé sont convertis en points d’interrogation (?) (ID-2100).
Les tâches planifiées ne figurent pas dans une recherche lancée sur la page « Rechercher tâches » lorsque l’option de tâche planifiée est activée (ID-5001).
La réconciliation échoue lorsqu’elle est exécutée sur une ressource Red Hat version 8 (ID-6087).
La réconciliation d’une ressource Oracle ERP comprend des erreurs si le groupement de connexions sur la ressource est activé (ID-6386). La solution consiste à désactiver le groupement de connexions pendant la réconciliation.

Rapports

Les administrateurs de la sécurité ne peuvent ni créer ni exécuter de rapports. (ID-1217)

Solution : octroyez aux administrateurs la fonction d’administrateur de rapport.

Les rapports d’analyse des risques peuvent être affichés par des administrateurs autres que les administrateurs de rapports. (ID-1224)
Les résultats de rapports envoyés par e-mail avec l’option texte normal ne sont pas formatés. (ID-2191)

Solution : utilisez l’option HTML pour la messagerie.

Les entrées du journal d’audit ne peuvent pas être enregistrées pour des résultats volumineux. (ID-5050)
Les alertes (même activées) ne s’affichent pas si certains noms d’organisations comportent des apostrophes (‘). (ID-5653)
Si vous tentez d’exécuter un rapport d’administrateur en activant l’option « Rapporter seulement les administrateurs qui appartiennent à l’organisation » X ou Y qui ne dispose d’aucun administrateur, une erreur java.lang.NullPointerException est renvoyée. (ID-5722)

Ressources

Le bouton de test de ressources ne teste pas tous les champs. (ID-51)
Les assignations de ports de ressources peuvent être définies sur des valeurs supérieures à 65 535. (ID-59)
Un message d’erreur erroné s’affiche lors de la définition d’un nom de groupe Active Directory incorrect (ID-393). Si vous tentez de définir un nom de groupe Active Directory sur « groupname » au lieu de « cn=groupname,cn=builtin,dc=waveset,dc=com », un message d’erreur du type « index de la baie hors limites » s’affiche.
Les attributs de compte obligatoires sont parfois ignorés si une autre ressource dotée du même nom d’attribut sans indicateur obligatoire défini existe. (ID-1161)
Si un administrateur tente d’ajouter une organisation à une ressource pour laquelle il ne dispose d’aucun droit, une erreur s’affiche. Il est alors nécessaire d’annuler l’édition de la ressource puis de rééditer celle-ci en cas de nouvelles modifications à lui apporter. (ID-1274)
Le message d’erreur qui s’affiche quand un mot de passe ou un nom d’utilisateur de compte de ressources est incorrect sur une ressource PeopleSoft n’est pas clair (ID-2235). Ce message d’erreur indique :

bea.jolt.ApplicationException: TPESVCFAIL - application level service failure

Les actions de ressources Windows Active Directory utilisant le statut de sortie %DISPLAY_INFO_CODE% entraînent l’échec de l’action avec des erreurs. (ID-2827)
Les actions de ressources Windows NT renvoyant un code de sortie autre que zéro n’entraînent pas l’échec de l’action. (ID-2828)
La définition de l’ID de groupe principal d’un utilisateur sur Active Directory n’est pas possible au moment de la création de l’utilisateur. (ID-3221)

Solution : créez l’utilisateur sans définir l’ID de groupe principal, puis éditez l’utilisateur et définissez la valeur. L’ID de groupe principal est aussi défini par le numéro et pas par le nom distinctif du groupe.

Les adresses IP des ressources sont mises en cache dans le JVM une fois le nom d’hôte résolu en adresse IP. Si l’adresse IP d’une ressource est modifiée, vous devez redémarrer le serveur d’application afin qu’Identity Manager détecte la modification (ID-3635). Il s’agit là d’un paramètre de Sun JDK (versions 1.3 et ultérieures) pouvant être contrôlé à l’aide de la propriété sun.net.inetaddr.ttl, généralement définie dans jre/lib/security/java.security.
Vous ne pouvez pas créer plusieurs comptes pour un utilisateur unique sur les ressources Oracle. (ID-3832)
Les utilisateurs finaux ne peuvent pas appliquer la fonction de détection automatique aux comptes de ressources Domino. (ID-4775)
Si un utilisateur est déplacé depuis ou vers un sous-conteneur au sein de l’organisation Active Directory, l’adaptateur Active Sync détecte le changement. Toutefois, lorsque vous affichez l’utilisateur sur la page d’édition (ou lorsque vous effectuez une modification et visualisez la page de confirmation), l’ID de compte de l’utilisateur est encore affiché sous la forme du DN d’origine (ID-4950). Étant donné que nous utilisons GUID pour modifier l’utilisateur, cela n’entraîne pas de problèmes de fonctionnement. L’exécution d’une réconciliation par rapport à la ressource corrige le problème.
Si un utilisateur passe d’une organisation (OU) à une sous-organisation, l’adaptateur LDAP ChangeLog ne reconnaît pas le changement et suppose que l’utilisateur a été supprimé. L’objet utilisateur est ensuite verrouillé dans Identity Manager (s’il s’agit du paramètre actif) et aucun nouveau compte n’est créé pour le compte déplacé. (ID-4953)
Les connexions groupées utilisées par les adaptateurs de ressources UNIX peuvent être conservées dans un état indéterminé si une erreur se produit pendant l’exécution d’une commande ou d’un script (ID-5406).
Il est possible de créer des organisations NDS au niveau supérieur de l’arborescence en définissant seulement le contexte de base de la ressource sur [ROOT]. (ID-5509)
Sur NDS, si vous éditez un champ (par exemple Grace Login Limit) sur la provision initiale et si vous ne fournissez pas de valeurs pour les champs booléens, ces derniers sont définis sur false (ID-6770). Cela vous empêche de définir d’autres champs sur l’onglet de restriction, lequel exige que certaines cases à cocher soient définies sur la valeur true. Pour éviter cela, assurez-vous que tous les champs booléens sont définis sur true lorsque cela est prévu, de sorte qu’ils soient transmis correctement au moment de l’édition d’autres champs.
Si vous changez le mot de passe d’une machine UNIX à l’aide de la fonction Gérer une connexion --> Changer le mot de passe de la ressource, le nom de tâche qui s’affiche est le suivant :

_FM_PASSWORD_CHANGING_TASK null:null

Un nom convivial devrait s’afficher. (ID-6947)

Vous ne pouvez pas utiliser la fonction de gestion des connexions pour les ressources UNIX faisant appel au service NIS (ID-6948). Une erreur est émise, car le mot de passe que vous tentez de changer est celui de l’utilisateur root, mais NIS ne gère pas le compte root.
Lorsque vous mettez à jour des utilisateurs en procédant à partir d’une organisation d’Identity Manager, les utilisateurs dotés d’un compte Sun One ID Server reçoivent une erreur s’ils ont été créés en natif puis chargés dans Identity Manager (ID-7094). La solution consiste à mettre à jour ces utilisateurs de manière individuelle.
Identity Manager contient toujours les classes désapprouvées suivantes :
com.waveset.object.IAPI
com.waveset.object.IAPIProcess
com.waveset.object.IAPIUser

Les classes de l’adaptateur personnalisé ne devraient plus faire référence à ces classes mais à des classes correspondantes du package com.waveset.adapter.iapi. (ID-8246)

Une erreur se produit lors d’une tentative de suppression d’un utilisateur doté d’un compte sur la ressource PeopleSoft Component Interface. Cette ressource ne prend pas actuellement en charge les suppressions de comptes. (ID-9000)
Si vous quittez l’assistant Nouvel objet de ressource sans cliquer sur le bouton Enregistrer ou Annuler, le formulaire abandonné peut ne pas être détruit et risque de perturber la création des futurs objets de ressource. (ID-11033) Cela génère l’erreur suivante :

No resource form id found in options or view.

Solution : utilisez toujours le bouton Annuler pour abandonner l’assistant Nouvel objet de ressource.

Les tablespaces temporaires ne respectent pas les paramètres de quota et génèrent une exception SQL s’ils sont tentés à partir d’Oracle 10gR2. (ID-12843)

Jusqu’à présent, l’adaptateur de ressources définissait un quota sur un tablespace temporaire, même lorsque l’attribut oracleTempTSQuota n’était pas mappé. Ce comportement a changé. Dorénavant, si vous mappez l’attribut oracleTempTSQuota, l’ancien comportement est conservé (pas de changement), mais si vous supprimez le mappage, aucun quota n’est plus défini pour le tablespace temporaire.

Solution : dans le cadre des installations Oracle 10gR2, supprimez l’attribut oracleTempTSQuota de l’adaptateur de ressources.

L’éditeur de modèles de l’intégration Remedy présente deux problèmes connus. (ID-14729)
La valeur par défaut du schéma Remedy (HPD:HelpDesk) est inappropriée pour les versions ultérieures de BMC Remedy. Ces versions contiennent un autre schéma intitulé « HPE:Help Desk ».
La colonne de choix ne s’affiche pas pour certains champs. Cela n’a aucune incidence sur l’utilisation des modèles Remedy.
Les utilisateurs de NDS/Groupwise créés par Identity Manager disposant des champs Accès et ID de compte peuvent sembler ne pas être dotés des valeurs correspondantes enregistrées lorsqu’ils sont contrôlés par certains afficheurs au sein de l’application NDS Console 1 (lorsque, par exemple, vous choisissez la commande des propriétés de l’utilisateur puis que vous sélectionnez l’onglet Groupwise).

Toutefois, si l’afficheur Groupwise Diagnostic (Diagnostic Groupwise) -> Display Object (Afficher l’objet) de l’utilisateur est utilisé à la place, ces champs sont visibles. Les mises à jour effectuées par Identity Manager aux champs susmentionnés ne semblent pas être concernées par ce bogue d’afficheur. (ID-16330)

La règle IS_DELETE (servant à configurer l’adaptateur PeopleSoft Active Sync) ne figure pas dans le menu déroulant des règles connues. (ID-16398)

Solution : éditez le fichier $WSHOME/sample/rules/PeopleSoftRules.xml en utilisant le texte ci-dessous. Réimportez ensuite le fichier en choisissant Configuration -> Importer le fichier d’échange.

<?xml version='1.0' encoding='UTF-8'?>
<!DOCTYPE Waveset PUBLIC 'waveset.dtd' 'waveset.dtd'>
<Waveset>
   <Rule name='IS_DELETE'>
      <Description>Should the active sync event delete the user?</Description>
         <or>
            <eq><ref>activeSync.Status</ref><s>T</s></eq>
            <eq><ref>activeSync.Status</ref><s>L</s></eq>
         </or>
   </Rule>
</Waveset>

L’adaptateur Oracle ERP efface les valeurs antérieures associées aux responsabilités lors du chargement d’un seul utilisateur. La description, et les paramètres start_date et end_date, de la responsabilité actuelle de l’utilisateur ne sont pas formatés correctement dans le formulaire pour getUser(). Cela pourrait entraîner l’endommagement des données de responsabilité. (ID-16414)

Solution : éditez le champ includeResponsibilities dans l’exemple de formulaire d’utilisateur OracleERPUserForm.xml de sorte qu’il comprenne une valeur par défaut. Réimportez ensuite le fichier en choisissant Configuration -> Importer le fichier d’échange.

<Field name='includeResponsibilities'>
   <Display class='Checkbox' action='true'>
      <Property name='title' value='Add Direct Responsibilities'/>
   </Display>
   <Default>
      <cond>
         <gt>
            <length>
               <ref>global.responsibilities</ref>
            </length>
            <i>0</i>
         </gt>
         <s>true</s>
      </cond>
   </Default>
   <Disable>
      <not>
         <ref>global.showOracleERPFields</ref>
      </not>
   </Disable>
</Field>

— OU —

Sélectionnez le bouton Charger à partir de la page des attributs afin de charger une seconde fois l’utilisateur.

Gestion des objets de ressources

Il est impossible de renommer un objet Windows Active Directory (groupe, unité organisationnelle ou conteneur) sur la page Lister les ressources (ID-3329).
Impossible de créer des groupes LDAP si certains utilisateurs disposent de CN à valeurs multiples (ID-3848).

Solution : gérez les membres du groupe par leur DN et non pas par leur CN, lequel est configuré dans le formulaire de groupe de création LDAP.

Groupes de ressources

L’utilisation de la touche Retour sur la page Création d’un groupe de ressources ou Édition d’un groupe de ressources efface les modifications effectuées sur la page. (ID-3430)
Les rapport de groupe de ressources ne peuvent pas être enregistrés dans un fichier CSV. (ID-8001)

Sécurité

Identity Manager n’émet plus d’exception java.lang.StackOverflowError lorsque les conditions suivantes se produisent : (ID-15035)
Au moins une organisation dynamique (membres utilisateurs dérivés de la règle) est définie sous Identity Manager
Le formulaire utilisateur comprend un champ <Field> appelant getObject pour Type.USER

L’erreur de dépassement de la capacité de la pile (StackOverflowError) était causée par une boucle infinie provenant de l’évaluation de l’autorisation d’expansion.

Ce problème a été résolu grâce à l’ajout de deux nouvelles options booléennes de vue utilisateur :

NoFormDerviation (définie sur true par défaut)
NoFormExpansion (définie sur true par défaut)

Ces options sont toujours passées lorsque vous demandez la transmission d’une vue utilisateur à une règle. La définition de ces options sur le paramètre true (vrai) empêche la survenue de la dérivation et de l’expansion de formulaire.

Remarque	Lorsque vous définissez ces options sur true et que la dérivation ou l’expansion du champ de formulaire sont requises dans la règle, cela doit se faire dans le cadre de la logique de la règle. Pour plus d’informations sur la définition des options d’affichage, reportez-vous à la section « Setting View Options in Forms » (Définition des options d’affichage dans les formulaires) du document Identity Manager Workflows, Forms, and Views.

Serveurs

Les clients utilisant Identity Manager 4.x doivent s’assurer que leur serveur d’hébergement n’utilise pas de fuseau horaire ambigu. Par exemple, EST peut s’utiliser indifféremment en Australie ou aux États-Unis. En revanche, l’utilisation de GMT+10 ou GMT-6 élimine toute ambiguïté. (ID-8297)
La classe com.waveset.rpm.SimpleRpcHandler est désapprouvée depuis la version 7.1. (ID-14756)
Ajoutez la définition de servlet suivante au descripteur de déploiement :

<servlet>
   <servlet-name>rpcrouter3</servlet-name>
   <display-name>OpenSPML SOAP Router</display-name>
   <description>no description</description>
   <servlet-class>
      org.openspml.server.SOAPRouter
   </servlet-class>

   <init-param>
      <param-name>handlers</param-name>
      <param-value>com.waveset.rpc.PasswordSyncHandler</param-value>
   </init-param>

   <init-param>
      <param-name>spmlHandler</param-name>
      <param-value>com.waveset.rpc.SpmlHandler</param-value>
   </init-param>

   <init-param>
      <param-name>rpcHandler</param-name>
      <param-value>com.waveset.rpc.RemoteSessionHandler</param-value>
   </init-param>
</servlet>

Ajoutez le mappage de servlet suivant au descripteur de déploiement :

<servlet-mapping>
   <servlet-name>rpcrouter3</servlet-name>
   <url-pattern>/servlet/rpcrouter3</url-pattern>
</servlet-mapping>

Pour utiliser createView avec RemoteSession, vous devez disposer de servlet rpcrouter3. Pour accéder à ce celui-ci, utilisez le constructeur RemoteSession(URL, String, EncryptedData).

Les attributs de verrouillage de Microsoft SQL Server 2000 peuvent provoquer des erreurs d’interblocage dans des conditions de charge extrêmes dans Sun Identity Manager. (ID-16068)

Solution : mettez à niveau Microsoft SQLServer de la version 2000 vers la version 2005 en mode natif.

Microsoft SQLServer 2005 (qui dispose d’une nouvelle fonctionnalité appelée Isolement de captures instantanées) a été testé avec Identity Manager sous une charge importante et ne présente pas les mêmes problèmes d’interblocage que SQLServer 2000.

Certains clients ont également trouvé qu’il était pratique de modifier leur base de données de manière à utiliser READ_COMMITTED_SNAPSHOT de la manière suivante :

ALTER DATABASE dbname SET READ_COMMITTED_SNAPSHOT ON

</quote>

Si vous déployez Identity Manager dans Sun Application Server et si vous passez l’option --precompile, la précompilation JSP échoue, car Identity Manager utilise des fragments JSP sans les nommer sous la forme .jspf. (ID-16373)

Solution : renommez ces fichiers en eur adjoignant l’extension .jspf.

Sun Application Server 8.2 et 9.0 proposent désormais une option permettant d’ignorer les erreurs de précompilation causées par des fragments .jsp. Pour plus d’informations, rendez-vous sur :

http://bugs.sun.com/bugdatabase/view_bug.do?bug_id=6393940

Sun Identity Manager Gateway

Sun Identity Manager Gateway ne s’arrête pas toujours lorsque vous cliquez sur le bouton Arrêter de l’écran Services NT. (ID-590)

Solution : annulez la demande d’arrêt du service (si elle est toujours bloquée) et arrêtez de nouveau le service. Vous pouvez aussi quitter la boîte de dialogue des services NT, y revenir et retenter l’opération d’arrêt.

Les utilisateurs ne peuvent pas être ajoutés en groupes à un domaine NT si la passerelle se trouve dans un domaine de confiance distant. (ID-711)
Il arrive que la passerelle ne s’arrête pas lorsque « net stop “Sun Identity Manager Gateway“ » est utilisé. (ID-2337)

Tâches

Les administrateurs dotés de privilèges d’administrateur d’Identity Manager ne peuvent pas afficher la page de gestion des tâches si une tâche d’analyse des risques figure dans la liste des tâches. (ID-1225)
Les administrateurs ne contrôlant pas le sommet ne peuvent pas créer de tâches planifiées de type Discovery ou ResourceScanner. (ID-1414)
La page Rechercher tâches n’affiche pas le nombre des tâches correspondant aux critères de recherche. (ID-5152)
Les administrateurs délégués ne contrôlant pas le sommet peuvent planifier des tâches et en afficher les résultats, mais ils ne peuvent pas visualiser une tâche après sa création (ID-6659). La tâche planifiée a été placée au sommet et l’administrateur délégué ne dispose pas de droits lui permettant d’afficher l’objet.
Un champ nommé Tâches différées a été ajouté à la bibliothèque. Il permet de lister les tâches différées pour un utilisateur. Pour implémenter ce champ, la ligne suivante doit être ajoutée aux formulaires utilisateur en tableau (Tabbed User Form) et aux formulaires utilisateur d’affichage en tableau (Tabbed View User Form). (ID-7660)

<FieldRef name='Deferred Tasks'/>

Flux de travaux, formulaires, règles et XPRESS

Vous ne pouvez pas utiliser la fonction XPRESS <eq> afin de comparer des valeurs booléennes à des chaînes TRUE ou FALSE ou aux entiers 1 et 2. (ID-3904)

Solution : utilisez le code suivant :

<cond>
   <isTrue><ref>variable_booléenne</ref></isTrue>
   <s>True action</s>
   <s>False action</s>
</cond>

Les expressions de chemin ne fonctionnent pas lors de l’itération d’une liste d’objets génériques via une dolist (ID-4920).

<dolist name='genericObj'>
   <ref>listOfGenericObjects</ref>
   <ref>genericObj.name</ref>
</dolist>

Solution : utilisez <get> / <set> comme indiqué :

<dolist name='genericObj'>
   <ref>listOfGenericObjects</ref>
   <get><ref>genericObject</ref><s>name</s>
</dolist>

Si vous utilisez les variables global.attrname pour les champs du formulaire utilisateur et que l’attribut est partagé entre plusieurs ressources, vous devez aussi définir une règle de dérivation (ID-5074). À défaut, si l’attribut a été changé en natif sur l’une des ressources, l’attribut n’est pas forcément recueilli et propagé vers d’autres ressources.
Impossible d’utiliser des chaînes spéciales commençant par & dans les composants HTML des formulaires. Par exemple, &nbsp; ne s’affiche pas sous forme d’espace. Ce problème a été introduit suite à un changement conçu pour permettre la prise en charge des caractères spéciaux (&\<>‘) dans les listes de sélection (ID-5548).
Les commentaires de formulaires, flux de travaux et règles contenus dans les balises <Comment> contiennent des chaînes &#xA; représentant le caractère d’ajout de ligne (ID-6243). Ces caractères sont uniquement visibles dans les pages XML de ces objets ; le serveur Identity Manager et Business Process Editor les traitent correctement.
Si vous utilisez les modèles de suppression avec des actions en masse, ils remplaceront le comportement de l’action en masse sans indiquer que l’action s’est produite. (ID-10320)
Si vous vous servez du formulaire utilisateur de tableau des ressources (Resource Table User Form) pour éditer les utilisateurs, les attributs de la ressource ne sont pas récupérés lorsque le formulaire s’affiche pour la première fois au moment de l’édition de la ressource d’un utilisateur.

Solution : cliquez sur le bouton Actualiser, lequel cherchera les données d’attribut. (ID-10551)

---

Service Provider Edition

Cette section décrit les problèmes connus et les solutions disponibles concernant Identity Manager SPE.

Identity Manager SPE et Sun Java System Portal Server peuvent ne pas être compatibles en raison d’un problème lié aux bibliothèques chiffrées. (ID-10744)

Il est possible de corriger ce problème en définissant les valeurs suivantes dans le fichier /etc/opt/SUNWam/config/AMConfig.properties de Portal Server puis en redémarrant le conteneur Web :

com.iplanet.security.encryptor=com.iplanet.services.util.JCEEncryption
com.iplanet.security.SSLSocketFactoryImpl=netscape.ldap.factory.
   JSSESocketFactory
com.iplanet.security.SecureRandomFactoryImpl=com.iplanet.am.util.
   SecureRandomFactoryImpl

Lorsque vous utilisez des tableaux de bord SPE : si le chargement initial des graphes prend plusieurs minutes, assurez-vous que le navigateur n’est pas configuré pour utiliser la machine virtuelle java de Microsoft (MSJVM). Identity Manager SPE ne prend pas en charge l’utilisation de MSJVM pour exécuter les applets de navigateur. (ID-10837)
Certaines options de configuration disponibles dans l’interface administrateur d’Identity Manager ne sont pas utilisées avec Identity Manager SPE. (ID-10843). Il s’agit entre autres des suivantes :
options de ressources : règle d’exclusion de comptes, approbateurs et organisation à laquelle la ressource est assignée.
Attributs de rôle
Par défaut, l’audit n’est pas effectué lors de l’utilisation des appels d’API checkinObject etdeleteObject. Vous devez expressément demander l’audit en définissant la clé IDMXContext.OP_AUDIT sur true dans le mappage d’options transmis à ces méthodes. La méthode createAndLinkUser() figurant dans la classe ApiUsage indique comment demander l’audit. (ID-11261)
Les modifications de nom de graphe de tableau de bord ne fonctionnent pas correctement. Bien que le nouveau nom s’affiche lors de l’édition du graphe, celui-ci n’est pas référencé par le nouveau nom sur aucune des autres pages. (ID-11690)
Le groupe du module de connexion Service Provider par défaut s’attend à ce que la ressource Service Provider s’intitule « SPE End-User Directory » (Répertoire des utilisateurs finaux SPE). Si le nom de la ressource est différent, la page de connexion de l’utilisateur final Service Provider présentera des dysfonctionnements. Elle n’affichera pas les champs de connexion. (ID-14891)

Solution : mettez à jour le nom de la ressource dans l’objet UI_LOGIN_MOD_GRP_DEFAULT_SPE_PWD LoginModGroup afin de référencer le nom de ressource correct.

La tâche SPE Sync est planifiée. Par conséquent, l’arrêter à partir de la page Tâches n’entraînera pas l’arrêt de la synchronisation. Pour l’arrêter, vous pouvez désactiver la planification proprement dite. (ID-16000)

Solution : la méthode de démarrage et d’arrêt préconisée est l’interface produit sur la page Ressource ou la programmation (à partir d’un flux de travaux, par exemple) via les méthodes SessionUtil permettant de démarrer et d’arrêter SPE Sync. Pour empêcher SPE Sync de démarrer automatiquement au lancement d’une instance de serveur Identity Manager, désactivez-le à partir de la stratégie de synchronisation relative à la ressource. L’arrêt de SPE Sync par le biais de l’IG ou de la méthode SessionUtil stoppe simplement la synchronisation jusqu’au prochain démarrage d’une instance de serveur Identity Manager.

Une exception javax.servlet.UnavailableException se produit lorsque vous utilisez la page de connexion de l’utilisateur final Identity Manager SPE dans WebSphere ; une erreur 404 s’affiche également dans le navigateur. (ID-16001)

Solution : vous devez définir les propriétés suivantes dans le kit JDK IBM 1.5 :

Dans le répertoire was-install/java/jre/lib, renommez jaxb.properties.sample en jax.properties et placez hors commentaire les deux lignes suivantes :

javax.xml.parsers.SAXParserFactory=
        org.apache.xerces.jaxp.SAXParserFactoryImpl
javax.xml.parsers.DocumentBuilderFactory=
        org.apache.xerces.jaxp.DocumentBuilderFactoryImpl

Enregistrez le fichier et redémarrez le serveur d’application.