文档补充和更正

本节包括发布 Identity Manager 7.1 文档集后所需的新信息以及更正的信息。此信息分为以下几个部分：

Identity Manager 安装
Identity Manager 升级
Identity Manager 管理指南
Identity Manager 资源参考资料
Identity Manager 技术部署概述
Identity Manager 工作流、表单和视图
Identity Manager 部署工具
Identity Manager 调优、故障排除和错误消息
Identity Manager Service Provider Edition 部署
使用 helpTool

---

Identity Manager 安装

本节提供了与 Sun Java™ System Identity Manager 安装相关的新信息和文档更正内容。

不支持 Exchange 5.5 资源适配器。请忽略对此适配器的任何引用。

---

Identity Manager 升级

本节提供了有关 Sun Java™ System Identity Manager 升级的新信息和文档更正内容。

在进行升级之前，一定要备份 Identity Manager 安装目录和 Identity Manager 所使用的数据库。可以使用第三方备份软件或系统提供的备份实用程序来备份 Identity Manager 文件系统。要备份数据库，请参阅数据库文档以了解建议的备份过程。(ID-2810)

准备创建备份时，必须先关闭 Identity Manager（或使其处于空闲状态）。然后，使用备份实用程序来备份数据库和安装 Identity Manager 的文件系统。

AD 活动同步资源已过时并已被 AD 资源替换。执行以下步骤，将 AD 活动同步迁移至更新的版本：(ID-11363)
将现有 AD 活动同步资源对象导出至 xml 文件（可以从命令行或调试页进行）。
删除现有资源（这不会影响 Identity Manager 用户或资源帐户用户）
创建为“活动同步”的新 AD 资源。
将此新资源对象导出至 XML 文件。
编辑此文件并更改其 ID 属性和名称属性的值，使之与在步骤 1 中保存的旧资源对象的值匹配。这些属性在 <Resource id='idnumber' name='AD' ...> 标记中。
保存对文件的更改。
使用“配置”->“导入交换文件”页或命令行，将已修改的对象导入至 Identity Manager。
更新了“其他自定义系统信息库对象”一节，以包含使用 Identity Manager 快照功能在部署中创建自定义系统信息库对象的基线或“快照”的说明。(ID-14840)

其他自定义系统信息库对象

记录了所创建或更新的任何其他自定义系统信息库对象的名称。您可能需要从当前安装中导出这些对象，并在升级后将其重新导入到 Identity Manager 的较新版本。

管理员组
管理员角色
配置
策略
置备任务
Remedy 配置
资源表单
资源表单
Role
Rule
任务定义
任务模板
用户表单

可以使用 Identity Manager 快照功能在部署中创建自定义系统信息库对象的基线或“快照”，它在计划升级时可能很有用。

快照从系统中复制以下特定对象类型以进行比较：

AdminGroup
AdminRole
配置
EmailTemplate
策略
ProvisionTask
RemedyConfig
ResourceAction
Resourceform
Role
Rule
TaskDefinition
TaskTemplate
UserForm

可随后比较两个快照，以确定在升级前后对某些系统对象所做的更改。

注	此功能并不能实时提供详细的 XML 差异 - 它只是一种“粗略”比较的简单工具。

创建快照：

在 Identity Manager 的“调试”页（图 1）中，单击“快照”按钮以查看“快照管理”页。

图 1 “快照管理”页


在“创建”文本框中键入快照的名称，然后单击“创建”按钮。

当 Identity Manager 添加快照时，将在“比较”菜单列表和“导出”标签右侧显示快照的名称。

比较两个快照：

分别从两个“比较”菜单中选择一个快照（图 2）。

图 2 “快照管理”页



单击“比较”按钮。
如果没有对象发生更改，此页将指明未找到差异。
如果发现对象已更改，此页将显示该对象的类型和名称，并指出对象的变化情况是差异、不存在或存在。

例如，如果某个对象在 baseline_1 中存在，而在 baseline_2 中不存在，baseline_1 列中将显示 Present，baseline_2 列中将显示 Absent。

您可以导出 XML 格式的快照。单击快照名称以导出快照文件。

要删除某个快照，请从“删除”菜单中选择该快照，然后单击“删除”按钮。

在“已修改的 JSP”一节中添加了以下段落，以包含有关使用 inventory -m 命令标识部署中已修改的 JSP 的信息：(ID-14840)

可以使用 inventory -m 命令（如前一页中所述）标识部署中所做的任何 JSP 修改。

如果要从 6.x 安装升级到版本 7.0 或 7.1，并且要使用新的 Identity Manager 最终用户页面进行启动，您必须手动将系统配置 ui.web.user.showMenu 更改为 true 以显示水平导航栏。(ID-14901)
如果要从 6.0 或 7.0 升级到版本 7.1，并且使用 LocalFiles，您必须在升级之前导出所有数据，然后在执行 7.1 全新安装后重新导入数据。(ID-15366)
从 6.0 或 7.0 升级到版本 7.1 时，需要升级数据库模式。(ID-15392)
如果要从 6.0 升级到 7.1，您必须使用与所用 RDBMS 类型相对应的 upgradeto71.* 脚本。
如果要从 7.0 升级到 7.1，您必须使用与所用 RDBMS 类型相对应的 upgradeto71from70.*。
在升级过程中，Identity Manager 将分析系统上的所有角色，然后使用 RoleUpdater 类更新所有丢失的子角色和超级角色链接。(ID-15734)

要在升级过程以外检查和升级角色，请导入 sample/forms/RoleUpdater.xml 中提供的新 RoleUpdater 配置对象。例如：

<?xml version='1.0' encoding='UTF-8'?>
<!DOCTYPE Waveset PUBLIC 'waveset.dtd' 'waveset.dtd'>
<Waveset>
   <ImportCommand class='com.waveset.session.RoleUpdater' >
      <Map>
         <MapEntry key='verbose' value='true' />
         <MapEntry key='noupdate' value='false' />
         <MapEntry key='nofixsubrolelinks' value='false' />
   v</Map>
   </ImportCommand>
</Waveset>

其中：

verbose：在更新角色时提供详细输出。指定 false 可启用无提示角色更新。
noupdate：确定是否更新角色。指定 false 可获取仅列出将要更新的角色的报告。
nofixsubrolelinks：确定是否使用丢失的子角色链接更新超级角色。默认情况下，此值设置为 false，将会对链接进行修复。

如果 Identity Manager 安装目录的路径中包含空格，则必须指定不带双引号 (") 的 WSHOME 环境变量，如以下示例中所示 (ID-15470)：

注	在指定路径时，即使路径中不包含空格，也不要使用末尾斜杠 (\)。

set WSHOME=c:\Program Files\Apache Group\Tomcat 4.1\lighthouse

或者

set WSHOME=c:\Progra~1\Apache~1\Tomcat~1\idm

以下路径无效：

set WSHOME="c:\Program Files\Apache Group\Tomcat 4.1\idm"

---

Identity Manager 管理指南

本节提供了有关 Sun Java™ System Identity Manager 管理的新信息和文档更正内容。

第 3 章：用户和帐户管理

在“禁用用户（用户操作、组织操作）”一节对注释部分进行了以下修改：

注	如果已分配的资源对帐户禁用不提供本机支持，但支持密码更改，则可以将 Identity Manager 配置为通过分配随机生成的新密码来禁用该资源上的用户帐户。此配置要求您使用资源向导中的“Identity System 参数”页来启用资源的“禁用”和“密码”帐户功能。有关详细信息，请参见第 4 章“配置”。

在“启用用户（用户操作、组织操作）”一节添加了以下注释：

注	如果已分配的资源对帐户启用不提供本机支持，但支持密码更改，则可以将 Identity Manager 配置为通过密码重置启用该资源上的用户帐户。此配置要求使用资源向导中的“Identity System 参数”页来启用资源的“启用”和“密码”帐户功能。有关详细信息，请参见第 4 章“配置”。

第 5 章：管理

在“委托工作项目”一节添加了以下注释。

注	设置委托之后，在有效委托期间创建的所有工作项目都将添加到您的列表和受托者的列表中。如果您结束委托，则会恢复委托的工作项目；这可能会导致出现重复的工作项目。当您批准或拒绝某个工作项目时，会从您的列表中自动删除重复项目。

在“管理工作项目”一节添加了以下信息。

       对已删除用户的委托

如果已将工作项目委托给某个用户，后来该用户从 Identity Manager 中删除，则会在“当前委托”列表中指出已删除的用户（用括号括起来）。如果您随后编辑或创建包含已删除用户的委托，该操作将失败。此外，任何用户在创建或更新委托给已删除用户的工作项目时都会失败。

您可以通过结束委托来恢复委托给已删除用户的工作项目。

在“Identity Manager 权能描述”表中添加了“最终用户管理员”权能。分配了此权能的任何用户都可以查看和修改“最终用户”权能中所指定的对象类型的权限，以及最终用户受控组织规则的内容。默认情况下，此权能将分配给配置器。

第 11 章：身份审计

本章添加了以下信息：

解除审计者权能限制

默认情况下，执行审计任务所需的权能包含在“顶级”组织（对象组）中。因此，只有控制“顶级”组织的管理员才能向其他管理员分配这些权能。

可以通过向其他组织添加权能来解除此限制。Identity Manager 提供了两个用于执行此任务的实用程序（位于 sample/scripts 目录中）。

运行以下命令以列出所有权能（管理组）及其关联组织（对象组）：

beanshell objectGroupUpdate.bsh -type AdminGroup -action list -csv

此命令可捕获使用逗号分隔值 (Comma-Separated Value, CSV) 格式的文件的输出。

编辑 CSV 文件，根据需要调整权能在组织分层结构中的位置。
运行以下命令以更新 Identity Manager。

beanshell objectGroupUpdate.bsh -data CSVFileName -action add -groups NewObjectGroup

第 13 章：Service Provider 管理

“配置同步”一节应该指出 Service Provider 同步任务的默认同步时间间隔为 1 分钟。

---

Identity Manager 资源参考资料

本节包含有关 Sun Java™ System Identity Manager 资源参考资料的新信息和文档更正内容：

不支持 Exchange 5.5 资源适配器。请忽略对此适配器的任何引用。
在数据库表适配器文档中，“上次获取的限定词”示例无效。应按如下方式定义该示例：

lastMod > '$(lastmod)'

Flat File Active Sync 适配器讨论了如何设置 Waveset.properties 文件中的 sources.hosts 属性。现在应该使用同步策略完成此配置。
NDS 适配器已改进了对 GroupWise 的支持：
该适配器现在可以管理辅助域中的邮局。
GroupWise 用户可以订阅任何已知的分发列表。
可以在不指定“删除模式”的情况下删除邮局。
本指南中的“管理 ACL 列表”包含以下步骤：(ID-16476)

3. 在 Identity Manager 中和“编辑用户”表单上编辑用户。

将此句替换为下句：

3. 在 Identity Manager 中的“编辑用户”表单上编辑用户。

---

Identity Manager 技术部署概述

本节包含有关 Sun Java™ System Identity Manager 技术部署概述的新信息和文档更正内容：

可以使用 CSS 将“用户列表”和“资源列表”表格中的列宽度设置为固定像素或百分比值。要执行此操作，请将以下样式类（默认情况下已注释掉）添加到 customStyle.css。然后可以编辑值以满足用户的要求。

th#UserListTreeContent_Col0 {
  width: 1px;
}

th#UserListTreeContent_Col1 {
  width: 1px;
}

th#UserListTreeContent_Col2 {
  width: 50%;
}

th#UserListTreeContent_Col3 {
  width: 50%;
}

th#ResourceListTreeContent_Col0 {
  width: 1px;
}

th#ResourceListTreeContent_Col1 {
  width: 1px;
}

th#ResourceListTreeContent_Col2 {
  width: 33%;
}

th#ResourceListTreeContent_Col3 {
  width: 33%;
}

th#ResourceListTreeContent_Col4 {
  width: 33%;
}

也可以通过单击并拖动列标题的右边框调整表格列。如果将鼠标放在列标题的右边框上，光标将变成水平调整箭头。左键单击并拖动光标将调整该列。（释放鼠标按钮时调整结束。）

现在系统配置对象包含 security.delegation.historyLength 属性，该属性控制记录的先前委托数。
“访问查看面板”和“访问查看详细信息报告”都显示了审计日志中记录的查看实例。如果不进行数据库维护，将从不会截断审计日志，并且查看列表将会增长。Identity Manager 提供了将显示的查看限制到某个特定使用期限范围的功能。要更改此限制，必须自定义 compliance/dashboard.jsp（对于面板）和 sample/auditortasks.xml（对于“详细信息”报告）。（默认情况下，仅显示使用期限小于 2 年的查看。）

要限制包含在“访问查看面板”中的查看，请自定义 compliance/dashboard.jsp，如下所示：

在 Identity Manager IDE 或所选的编辑器中打开 compliance/dashboard.jsp：
将行form.setOption("maxAge", "2y"); 更改为 form.setOption("maxAge", "6M"); 以将列表限制为显示在过去 6 个月内运行的查看。限定词为：
m - 分钟
h - 小时
d - 天
w - 周
M - 月
y - 年

要显示仍在审计日志中存在的所有查看，请注释掉该行。

要限制包含在“访问查看详细信息报告”中的查看，

在 IDE 或选择的编辑器中打开 sample/auditortasks.xml。
按指示更改以下行：

<s>maxAge</s>
  <s>2y</s>

更改为

<s>maxAge</s>
  <s>6M</s>

以将查看限制到过去的 6 个月。与上述限定词相同的限定词均适用。

每个周期性访问查看包含一组运行查看时创建的 UserEntitlement 记录。这些记录随时间累积，可以提供有关帐户的有价值的历史信息。但是，为了节约数据库空间，请考虑删除某些记录。可以通过执行服务器任务 > 运行任务 > 删除访问查看删除记录。删除查看会添加指示已删除查看的审计日志条目，并删除与此查看相关的所有 UserEntitlement 记录，这会节约数据库空间。

在“更改登录页上的背景图像”一节中，代码的第三行应为：

url(../images/other/login-backimage2.jpg)

代码示例 5-5 包含了应该在代码示例 5-4 中显示的信息。
代码示例 5-4 应如下所示：

代码示例
自定义导航选项卡  

/* LEVEL 1 TABS */ .TabLvl1Div {   background-image:url(../images/other/dot.gif);   background-repeat:repeat-x;   background-position:left bottom;   background-color:#333366;   padding:6px 10px 0px; } a.TabLvl1Lnk:link, a.TabLvl1Lnk:visited {   display:block;   padding:4px 10px 3px;   font: bold 0.95em sans-serif;   color:#FFF;   text-decoration:none;   text-align:center; } table.TabLvl1Tbl td {   background-image:url(../images/other/dot.gif);   background-repeat:repeat-x;   background-position:left top;   background-color:#666699;   border:solid 1px #aba1b5; } table.TabLvl1Tbl td.TabLvl1TblSelTd {   background-color:#9999CC;   background-image:url(../images/other/dot.gif);   background-repeat:repeat-x;   background-position:left bottom;   border-bottom:none; } /* LEVEL 2 TABS */ .TabLvl2Div {   background-image:url(../images/other/dot.gif);   background-repeat:repeat-x;   background-position:left bottom;   background-color:#9999CC;   padding:6px 0px 0px 10px } a.TabLvl2Lnk:link, a.TabLvl2Lnk:visited{   display:block;   padding:3px 6px 2px;   font: 0.8em sans-serif;   color:#333;   text-decoration:none;   text-align:center; } table.TabLvl2Tbl div.TabLvl2SelTxt {   display:block;   padding:3px 6px 2px;   font: 0.8em sans-serif;   color:#333;   font-weight:normal;   text-align:center; } table.TabLvl2Tbl td {   background-image:url(../images/other/dot.gif);   background-repeat:repeat-x;   background-position:left top;   background-color:#CCCCFF;   border:solid 1px #aba1b5; } table.TabLvl2Tbl td.TabLvl2TblSelTd {   border-bottom:none;   background-image:url(../images/other/dot.gif);   background-repeat:repeat-x;   background-position:left bottom;   background-color:#FFF;   border-left:solid 1px #aba1b5;   border-right:solid 1px #aba1b5;   border-top:solid 1px #aba1b5;

代码示例 5.5 应如下所示：

代码示例 5-5
更改标签面板选项卡

table.Tab2TblNew td {background-image:url(../images/other/dot.gif);background-repeat:repeat-x;background-position:left top;background-color:#CCCCFF;border:solid 1px #8f989f} table.Tab2TblNew td.Tab2TblSelTd {border-bottom:none;background-image:url(../images/other/dot.gif);background-repeat:repeat-x;background-position:left bottom;background-color:#FFF;border-left:solid 1px #8f989f;border-right:solid 1px #8f989f;border-top:solid 1px #8f989f}

在 Identity Manager 最终用户界面中，水平导航栏是由 enduser.xml 中的最终用户导航用户表单驱动的。(ID-12415)

userHeader.jsp（包含在所有最终用户页面中）包含另一个名为 menuStart.jsp 的 JSP。此 JSP 访问以下两个系统配置对象：

ui.web.user.showMenu - 打开/关闭导航菜单的显示（默认值：true）
ui.web.user.menuLayout - 确定将菜单呈现为带有选项卡的水平导航栏（默认值：horizontal），还是呈现为垂直树菜单 (vertical)

用于确定如何呈现菜单的 CSS 样式类位于 style.css 中。

Identity Manager 现在将 Lighthouse 帐户称为 Identity Manager 帐户。可通过使用自定义目录来覆盖此名称更改。(ID-14918) 有关自定义目录的信息，请参见 Identity Manager 技术部署概述 中的启用国际化。

以下目录条目控制产品名称的显示：

PRODUCT_NAME=Identity Manager

LIGHTHOUSE_DISPLAY_NAME=[PRODUCT_NAME]

LIGHTHOUSE_TYPE_DISPLAY_NAME=[PRODUCT_NAME]

LIGHTHOUSE_DEFAULT_POLICY=Default [PRODUCT_NAME] Account Policy

Identity Manager 现在提供新的配置对象（WorkItemTypes 配置对象），用于指定所有支持的工作项目类型名称、扩展和显示名称。(ID-15468) 此配置对象是在 sample/workItemTypes.xml 中定义的，该文件由 init.xml 和 update.xml 导入。

extends 属性允许使用工作项目类型（workItem 类型）层次结构。Identity Manager 创建工作项目时，如果其 workItem 类型为以下类型，则会将工作项目委托给指定的用户：

委托的类型
要委托的类型的下属 workItem 类型之一。

workItem 类型	描述	显示名称
批准	扩展 WorkItem	批准
OrganizationApproval	扩展 Approval	组织批准
ResourceApproval	扩展 Approval	资源批准
RoleApproval	扩展 Approval	角色批准
证明	WorkItem	访问查看证明
review	WorkItem	修正
accessReviewRemediation	WorkItem	访问

默认情况下，Identity Manager 匿名注册处理使用用户提供的名 (firstName)、姓 (lastName) 和 employeeId 生成 accountId 和 emailAddress 值。(ID-16131)

由于匿名注册处理可能会导致电子邮件地址和帐户 ID 中包含非 ASCII 字符，因此，国际用户应修改 EndUserRuleLibrary 规则，以使 Identity Manager 能够在匿名注册处理过程中保留 ASCII 帐户 ID 和电子邮件地址。

要在匿名注册处理过程中保留 ASCII 帐户 ID 和电子邮件地址值，请执行以下两个步骤：

编辑 EndUserRuleLibrary 中的以下三个规则，如下所示：

编辑以下规则	进行如下更改...
getAccountId	仅使用 employeeId（并删除 firstName 和 lastName）
getEmailAddress	仅使用 employeeId（删除 firstName、lastName 和 "."）
verifyFirstname	将长度检查由 2 更改为 1，以允许使用单字符亚洲名

编辑最终用户匿名注册完成表单，从 getAccountId 和 getEmailAddress 规则调用中删除 firstName 和 lastName 参数。

---

Identity Manager 工作流、表单和视图

本节包含有关 Sun Java™ System Identity Manager 工作流、表单和视图的新信息和文档更正内容。

通过将以下字段添加到表单可以关闭用户表单中的策略检查：

<Field name='viewOptions.CallViewValidators'>   <Display class='Hidden'/>     <Expansion>         <s>false</s>     </Expansion> </Field>

该字段将覆盖 modify.jsp 的 OP_CALL_VIEW_VALIDATORS 字段中的值。

Identity Manager 用户界面页包括实现导航栏的另一个 XPRESS 表单。因此，转译的页面包括两个 <FORM> 标记，每个都具有不同的名称属性：

<form name="endUserNavigation"> 和 <form name="mainform">

要避免这两个 <FORM> 元素之间出现混淆的可能性，请确保按以下方式使用 name 属性以区分引用的 <FORM>：document.mainform 或 document.endUserNavigation。

第 2 章，Identity Manager 工作流

Identity Manager 在 /sample/workflows 中提供了以下新示例访问查看工作流。(ID-15393)

测试自动证明

用于测试新的查看确定规则，而无需创建证明工作项目。此工作流不创建任何工作项目，在启动后很快就会终止。它将所有用户权利文件对象保持为访问扫描创建它们时的相同状态。可以使用“终止”和“删除”选项清除使用此工作流运行的访问扫描的结果。

可以根据需要导入此桩模块工作流。（Identity Manager 不会自动将其导入。）

Identity Manager 遵循性将工作流作为应用程序的集成和自定义点。下面介绍了默认遵循性相关工作流。(ID-15447)

工作流名称	用途
修正	处理单个遵循性违规的单个修正者的修正
访问查看修正	处理单个 UserEntitlement 的单个修正者的修正
证明	处理单个 UserEntitlement 的单个证明者的证明
多个修正	修正单个遵循性违规和多个修正
更新遵循性违规	缓解遵循性违规
启动访问扫描	从访问查看任务中启动访问扫描
启动权利文件重新扫描	为单个用户启动访问扫描的重新扫描
启动违规重新扫描	为单个用户启动审计策略扫描的重新扫描

对 maxSteps 属性描述进行了以下修订：(ID-15618)

指定任何工作流进程或子进程中允许的最大步骤数。一旦超出此级别，Identity Manager 将终止该工作流。此设置用作一种安全保护措施，以检测工作流出现死循环的情况。在工作流本身中设置的默认值为 0，它表示 Identity Manager 应该从系统配置对象的 workflow.maxSteps 属性中存储的全局设置获取实际设置值。此全局设置的值为 5000。

本章现在包含脚本化任务执行器任务的以下说明。(ID-15258)

根据提供的脚本执行 Beanshell 或 JavaScript。可以将其作为任务安排为定期运行。例如，可以使用它，将系统信息库中的数据导出到数据库以进行报告和分析。优点包括可以编写自定义任务，而无需编写自定义 Java 代码。（每次进行升级时，都需要对自定义 Java 代码进行重新编译，并且必须将其部署到每个服务器上；由于脚本嵌入在任务中，因此，不需要对其进行重新编译或部署。）

第 3 章，Identity Manager 表单

本章现在包含对审计和遵循性过程中所用表单的以下描述。（ID-15447、16240）

Identity Manager 审计和遵循性表单提供了在 Identity Manager 表单中唯一的功能：您可以按用户或按组织来分配表单。按用户分配的表单可以提高证明和修正处理的效率。

例如，可以指定 Identity Manager 显示的用户表单，用于在访问查看、修正或遵循性违规修正的上下文中编辑用户。可以在用户或组织级别指定此用户表单。Identity Manager 在访问查看重新扫描或访问查看修正的上下文中重新扫描用户时，重新扫描操作将优先处理 AccessScan 中定义的审计策略。可以对此进行定义以包含连续遵循性审计策略。

注	要配置审计组件，您必须是具有“配置审计”或“审计者管理员”权能的 Identity Manager 管理员。

相关信息

有关对支持 Identity Manager 审计和遵循性功能的概念以及实现默认审计和遵循性功能的基本过程的讨论，请参见 Identity Manager 管理。
有关规则的一般讨论和修正规则的特定信息，请参见 Identity Manager 部署工具中的 Identity Manager 规则。

关于与审计相关的表单处理

与 userForm 和 viewUserForm 非常相似，您可以在特定用户或某个组织上设置表单，该用户（或组织中的所有用户）将使用此表单。如果同时在用户和组织上设置表单，则在用户上设置的表单优先。（查找表单时，Identity Manager 将向上搜索组织。）

与审计相关的表单的工作方式与“用户表单”和“查看用户表单”相同：每个用户都可以指定要使用的特定表单，并且特定用户应使用哪个表单将遵循用户组织。

指定用户表单

“审计策略列表”和“访问扫描列表”表单支持 fullView 属性，此属性将导致表单显示大量有关列表中元素的数据。将此策略设置为 false 可提高列表查看器的性能。

“访问批准列表”表单有一个类似属性 includeUE，而“修正列表”表单使用 includeCV 属性。

默认的与审计相关的表单

下表指出了随 Identity Manager 提供的与审计相关的默认表单。

表单名称	映射的名称	按用户控制	一般用途
访问批准列表	accessApprovalList		显示证明工作项目的列表
访问查看删除确认	accessReviewDeleteConfirmation		确认删除访问查看
访问查看中止确认	accessReviewAbortConfirmation		确认终止访问查看
访问查看面板	accessReviewDashboard		显示所有访问查看的列表
访问查看修正表单	accessReviewRemediationWorkItem	是	呈现每个基于用户权利文件的修正工作项目
访问查看摘要	accessReviewSummary		显示特定访问查看的详细信息
访问扫描表单	accessScanForm		显示或编辑访问扫描
访问扫描列表	accessScanList		显示所有访问扫描的列表
访问扫描删除确认	accessScanDeleteConfirmation		确认删除访问扫描
访问批准列表	attestationList	是	呈现所有暂挂证明的列表
证明表单	attestationWorkItem	是	呈现每个证明工作项目
UserEntitlementForm	userEntitlementForm		显示 UserEntitlement 的内容
UserEntitlement 摘要表单	userEntitlementSummaryForm
违规详细信息表单	violationDetailForm		显示遵循性违规的详细信息
修正列表	remediationList	是	显示修正工作项目的列表
审计策略列表	auditPolicyList		显示审计策略列表
审计策略删除确认表单	auditPolicyDeleteConfirmation		确认删除审计策略
冲突违规详细信息表单	conflictViolationDetailsForm		显示 SOD 违规表
遵循性违规摘要表单	complianceViolationSummaryForm
修正表单	reviewWorkItem	是	呈现遵循性违规。

为什么要自定义这些表单？

证明者和修正者可以指定准确显示所需的详细信息的表单，以便更有效地执行证明和修正操作。例如，资源证明者可能会在列表表单中显示特定于资源的特定属性，以便无需查看每个特定工作项目即可执行证明操作。由于此表单会随相关的资源类型（以及属性）而有所不同，因此基于证明者来自定义表单很有必要。

在证明期间，每个证明者都可以从独特的角度查看权利文件。例如，idmManager 证明者可能以普通方式查看用户权利文件，而资源证明者却只对特定于资源的数据感兴趣。允许每个证明者对证明列表表单和证明工作项目表单进行自定义，可以只检索和显示所需信息，从而提高产品界面的效率。

扫描任务变量

审计策略扫描任务和访问扫描任务的任务定义均指定了启动任务时使用的表单。这些表单包含一些字段，可以在其中控制大多数（而非全部）扫描任务变量。

变量名称	默认值	用途
maxThreads	5	为单个扫描程序确定某一时刻的并发工作用户数。如果增加此值，扫描帐户位于非常缓慢的资源上的用户时可能会增加吞吐量。
userLock	5000	指示尝试对要扫描的用户获取锁定时所花费的时间（以毫秒为单位）。如果几个并发扫描正在扫描相同的用户，并且该用户具有非常缓慢的资源；如果增加此值，则可能会导致锁定错误减少，但会使总体扫描速度变慢。
scanDelay	0	指示在发出新的扫描线程之间延迟的时间（以毫秒为单位）。可以将其设置为正数，以强制使扫描程序获得更多的 CPU 资源。

对“禁用”元素的描述进行了以下修订：(ID-14920)

计算布尔值。如果为 true，则在当前表单处理过程中忽略字段及其所有嵌套字段。

不要在“禁用”元素中创建可能会长时间运行的活动。每次重新计算表单时，都会运行这些表达式。相反，应使用不会频繁运行的其他表单元素来执行此计算。

标题为“将 Javascript 插入到表单中”的一节错误地指出，可以使用 <JavaScript> 标记将 JavaScript 包含在表单中 (ID-15741)。或者，也可以按如下方式包含 JavaScript：

<Field>
   <Expansion>
      <script>
............

注	display.session 和 display.subject 变量对于“禁用”表单元素不可用。

现在，您可以将警告 (WARNING)、错误 (ERROR) 或信息 (OK) 警报消息插入到 XPRESS 表单中。（ID-14540、ID-14953）

注	虽然此示例说明了如何将警告 ErrorMessage 对象插入到表单中，但您可以分配不同的严重级别。

使用 Identity Manager IDE 打开要将警告添加到的表单。
将 <Property name='messages'> 添加到主 EditForm 或 HtmlPage 显示类中。
添加以下示例代码中的 <defvar name='msgList'> 代码块。
在以下代码示例字符串中，替换用于确定要在“警报”框中显示的消息文本的消息关键字：

<message name='UI_USER_REQUESTS_ACCOUNTID_NOT_FOUND_ALERT_VALUE >

保存并关闭该文件。

代码示例

<Display class='EditForm'>    <Property name='componentTableWidth' value='100%'/>    <Property name='rowPolarity' value='false'/>    <Property name='requiredMarkerLocation' value='left'/>    <Property name='messages'>      <ref>msgList</ref>    </Property> </Display> <defvar name='msgList'>   <cond>     <and>       <notnull>         <ref>username</ref>       </notnull>       <isnull>         <ref>userview</ref>       </isnull>     </and>     <list>       <new class='com.waveset.msgcat.ErrorMessage'>         <invoke class='com.waveset.msgcat.Severity' name='fromString'>            <s>warning</s>         </invoke>         <message name='UI_USER_REQUESTS_ACCOUNTID_NOT_FOUND_ALERT_VALUE'>           <ref>username</ref>         </message>       </new>     </list>   </cond> </defvar>

要显示警告以外的严重级别，请将前面示例中的 <s>warning</s> 替换为以下两个值之一：

error - 导致 Identity Manager 呈现带有红色“错误”图标的 InlineAlert。
ok - 导致呈现带有蓝色信息图标的 InlineAlert，此消息可能表示成功或另一种非重要消息。

Identity Manager 将其呈现为带有警告图标的 InlineAlert

<invoke class='com.waveset.msgcat.Severity' name='fromString'>

   <s>warning</s>

</invoke>

其中，warning 也可以为 error 或 ok。

第 4 章，Identity Manager 视图

对组织视图的描述进行了以下更新：(ID-13584)

用于指定所创建的组织类型以及用于处理组织的选项。

通用属性

下表中列出了组织视图的高级属性。

名称	是否可编辑？	数据类型	是否必需？
orgName	读取	字符串	系统生成
orgDisplayName	读取/写入	字符串	是
orgType	读取/写入	字符串	否
orgId	读取	字符串	系统生成
orgAction	写入	字符串	否
orgNewDisplayName	写入	字符串	否
orgParentName	读取/写入	字符串	否
orgChildOrgNames	读取	列表	系统生成
orgApprovers	读取/写入	列表	否
allowsOrgApprovers	读取	列表	系统生成
allowedOrgApproverIds	读取	列表	系统生成
orgUserForm	读取/写入	字符串	否
orgViewUserForm	读取/写入	字符串	否
orgPolicies	读取/写入	列表	否
orgAuditPolicies	读取/写入	列表	否
renameCreate	读取/写入	字符串	否
renameSaveAs	读取/写入	字符串	否

orgName

标识组织的 UID。此值不同于大多数视图对象名称，因为组织可以具有相同的简称，但具有不同的父组织。

orgDisplayName

指定组织的简称。此值仅用于显示，不必具有唯一性。

orgType

定义允许值为 junction 或 virtual 的组织类型。不属于 junction 或 virtual 类型的组织没有值。

orgId

指定用于唯一标识 Identity Manager 内组织的 ID。

orgAction

只有目录连接、虚拟组织和动态组织支持此属性。允许的值为 refresh。当组织为目录连接或虚拟组织时，刷新操作的行为取决于 orgRefreshAllOrgsUserMembers 的值。

orgNewDisplayName

重命名组织时指定新的简称。

orgParentName

标识父组织的完整路径名。

orgChildOrgNames

列出所有直接和间接子组织的 Identity Manager 界面名称。

orgApprovers

列出需要批准此组织中所添加或修改的用户的 Identity Manager 管理员。

allowedOrgApprovers

列出潜在的用户名，这些用户可能成为此组织中所添加或修改的用户的批准者。

allowedOrgApproverIds

列出潜在的用户 ID，这些用户可能成为此组织中所添加或修改的用户的批准者。

orgUserForm

指定此组织的成员用户在创建或编辑用户时所使用的 userForm。

orgViewUserForm

指定此组织的成员用户在查看用户时所使用的查看用户表单。

orgPolicies

标识应用于此组织所有成员用户的策略。这是一个使用类型字符串进行标识的对象的列表：每个策略对象包含以下视图属性（带有前缀 orgPolicies[<type>]）。<type> 表示策略类型（例如，Lighthouse 帐户）。

policyName -- 指定名称
id -- 指出 ID
implementation -- 标识将实现此策略的类

orgAuditPolicies

指定应用于此组织所有成员用户的审计策略。

renameCreate

将此属性设置为 true 时，将克隆此组织并使用 orgNewDisplayName 的值创建一个新组织。

renameSaveAs

将此属性设置为 true 时，将使用 orgNewDisplayName 的值重命名此组织。

目录连接和虚拟组织属性

名称	是否可编辑？	数据类型	是否必需？
orgContainerId	读取	字符串	系统生成
orgContainerTypes	读取	列表	系统生成
orgContainers	读取	列表	系统生成
orgParentContainerId	读取	字符串	系统生成
orgResource	读取/写入	字符串	是（对于目录连接或虚拟组织）
orgResourceType	读取	字符串	系统生成
orgResourceId	读取	字符串	系统生成
orgRefreshAllOrgsUserMembers	写入	字符串	否

orgContainerId

指定关联的 LDAP 目录容器的 DN（例如，cn=foo,ou=bar,o=foobar.com）。

orgContainerTypes

列出可以包含其他资源对象的允许的资源对象类型。

orgContainers

列出资源的基本容器，Identity Manager 界面将使用这些容器来显示可供选择的列表。

orgParentContainerId

指定关联的父 LDAP 目录容器的 DN（例如，ou=bar,o=foobar.com）。

orgResource

指定用于同步目录连接和虚拟组织的 Identity Manager 资源的名称（例如，West Directory Server）。

orgResourceType

指出用于同步目录连接和虚拟组织的 Identity Manager 资源的类型（例如，LDAP）。

orgResourceId

指定用于同步目录连接和虚拟组织的 Identity Manager 资源的 ID。

orgRefreshAllOrgsUserMembers

如果此属性为 true 并且 orgAction 的值为 refresh，将同步选定组织及所有子组织的 Identity 组织用户成员资格和资源容器用户成员资格。如果此属性为 false，则不同步资源容器用户成员资格，而只同步选定组织及所有子组织的资源容器和 Identity 组织。

动态组织属性

名称	是否可编辑？	数据类型	是否必需？
orgUserMembersRule	读取/写入	字符串	否
orgUserMembersRuleCacheTimeout	读取/写入	字符串	否

orgUserMembersRule

标识（使用名称或 UID）authType 为 UserMembersRule 的规则，在运行时将评估此规则以确定用户成员资格。

orgUserMembersCacheTimeout

如果要对 orgUserMembersRule 返回的用户成员进行高速缓存，指定缓存超时之前的时间（以毫秒为单位）。值为 0 表示不进行高速缓存。

对用户视图的讨论现在包含对 accounts[Lighthouse].delegates 属性的以下讨论：(ID-15468)

accounts[Lighthouse].delegates

列出委托对象并按 workItemType 编制索引，其中每个对象指定特定类型的工作项目的委托信息。

如果 delegateApproversTo 值是 delegatedApproversRule，则指定选定的规则。
如果 delegateApproversTo 值是 manager，则此属性没有任何值。

accounts[Lighthouse].delegatesHistory

列出委托对象并从 0 到 n 编制索引，其中 n 是委托历史记录对象的当前数量，最多为委托历史记录深度。

此属性有一个唯一属性：selected，这是一个布尔型属性，指出当前选定的委托历史对象。

accounts[Lighthouse].delegatesOriginal

执行获取操作或登出视图操作后生成的原始委托对象列表（按 workItemType 编制索引）。

所有 accounts[Lighthouse].delegates* 属性使用以下属性：

Attributes of accounts[Lighthouse].delegate* Attributes	描述
workItemType	指定要委托的 workItem 类型。有关有效的 workItem 类型列表，请参见本文档补充资料的 Identity Manager 技术部署概述一节中的委托对象模型说明。
workItemTypeObjects	列出用户委托将来的 workItem 批准请求时所在的特定角色、资源或组织的名称。当 workItemType 值为 roleApproval、resourceApproval 或 organizationApproval 时，此属性有效。 如果未指定，默认情况下，此属性指定在此用户为批准者的所有角色、资源或组织上委托将来的 workItem 请求。
toType	要委托给的类型。有效值为： manager delegateWorkItemsRule selectedUsers
toUsers	列出要委托给的用户的名称（如果 toType 为 selectedUsers）。
toRule	指定要评估的规则的名称，以确定一组要委托给的用户（如果 toType 为 delegateWorkItemsRule）。
startDate	指定委托的开始日期。
endDate	指定委托的结束日期。

从表单中引用 DelegateWorkItems 视图对象

以下代码示例说明了如何从表单中引用 DelegateWorkItems 视图委托对象：

<Field name='delegates[*].workItemType'>

<Field name='delegates[*].workItemTypeObjects'>

<Field name='delegates[*].toType'>

<Field name='delegates[*].toUsers'>

<Field name='delegates[*].toRule'>

<Field name='delegates[*].startDate'>

<Field name='delegates[*].endDate'>

其中，支持的索引值 (*) 是 workItemType 值。

本章现在包含对“用户权利文件”视图的以下描述：

用于创建和修改 UserEntitlement 对象。

此视图具有以下顶级属性：

名称	是否可编辑？	类型	是否必需？
name		字符串	是
状态		字符串	是
用户		字符串	是
userId		字符串	是
attestorHint		字符串	否
userView		GenericObject	是
reviewInstanceId		字符串	是
reviewStartDate		字符串	是
scanId		字符串	是
scanInstanceId		字符串	是
approvalWorkflowName		字符串	是
organizationId		字符串	是
attestorComments.name		字符串	否
attestorComments.attestor		字符串	否
attestorComments.time		字符串	否
attestorComments.timestamp		字符串	否
attestorComments.status			否

name

标识用户权利文件（使用唯一标识符）。

状态

指定用户权利文件对象的状态。有效状态包括 PENDING、ACCEPTED、REJECTED、REMEDIATING 和 CANCELLED。

用户

标识此权利文件的关联 WSUser 的名称。

userId

指定关联 WSUser 的 ID。

attestorHint

向证明者显示查看确定规则所提供的（字符串）提示。此提示是规则向证明者提供的“建议”。

userView

包含用户权利文件扫描程序所捕获的用户视图。此视图包含零个或多个资源帐户，具体取决于访问扫描对象的配置。

reviewInstanceId

指定 PAR 任务实例的 ID。

reviewStartDate

指出 PAR 任务的（字符串）开始日期（采用规范格式）。

scanId

指定 AccessScan 任务定义的 ID。

scanInstanceId

指定 AccessScan 任务实例的 ID。

approvalWorkflowName

标识要运行的批准工作流的名称。此值来自访问扫描任务定义。

organizationId

指定扫描时 WSUser 组织的 ID。

attestorComments

列出权利文件的证明记录。每个证明记录会指出与权利文件有关的操作或语句，包括批准、拒绝和重新扫描。

attestorComments[timestamp].name

用于标识列表中此元素的时间戳。

attestorComments[timestamp].attestor

标识对权利文件进行注释的证明者的 WSUser 名称。

attestorComments[timestamp].time

指定证明者证明此记录的时间。可能不同于时间戳。

attestorComments[timestamp].status

指出证明者所分配的状态。它可以是任何字符串，但通常是表明证明者所执行的操作的字符串，例如 approve、reject、rescan 或 remediate。

attestorComments[name].comment

包含证明者所添加的注释。

以下用户视图属性已过时。(ID-15468)
accounts[Lighthouse].delegateApproversTo
accounts[Lighthouse].delegateApproversSelected
accounts[Lighthouse].delegateApproversStartDate
accounts[Lighthouse].delegateApproversEndDate
“委托批准者”视图已过时，但仍可用于编辑 workItemType 为 approval 的委托对象。

现有的用户视图 accounts[Lighthouse].delegate* 属性已过时，无法再通过用户视图使用。请使用新的 accounts[Lighthouse].delegates 视图。

第 6 章：XPRESS 语言

本章进行了大量更新。请参见与本发行说明位于同一目录的 .pdf 文件 XPRESS。

第 8 章：HTML 显示组件

本章中添加了下面有关多重选择组件的替代方法的讨论：

使用多重选择组件（applet 或 HTML 版本）来显示许多管理员角色非常不方便。Identity Manager 提供了一种可伸缩性更强的方法来显示和管理管理员角色：objectSelector 字段模板。(ID-15433)

可伸缩选择库（位于 sample/formlib.xml 中）包含以下示例：使用 objectSelector 字段模板搜索用户可选择的管理员角色名称。

代码示例
objectSelector 字段模板示例

<Field name='scalableWaveset.adminRoles'>   <FieldRef name='objectSelector'>      <Property name='selectorTitle' value='_FM_ADMIN_ROLES'/>      <Property name='selectorFieldName' value='waveset.adminRoles'/>      <Property name='selectorObjectType' value='AdminRole'/>      <Property name='selectorMultiValued' value='true'/>      <Property name='selectorAllowManualEntry' value='true'/>      <Property name='selectorFixedConditions'>        <appendAll>          <new class='com.waveset.object.AttributeCondition'>            <s>hidden</s>            <s>notEquals</s>            <s>true</s>          </new>          <map>            <s>onlyAssignedToCurrentSubject</s>            <Boolean>true</Boolean>          </map>        </appendAll>      </Property>      <Property name='selectorFixedInclusions'>        <appendAll>          <ref>waveset.original.adminRoles</ref>        </appendAll>      </Property>   </FieldRef> </Field>

如何使用 objectSelector 示例代码

从 Identity Manager IDE 中，打开管理员库用户表单对象。
在此表单中添加以下代码：

<Include>

   <ObjectRef type='UserForm' name='Scalable Selection Library'/>

</Include>

选择 AdministratorFields 字段中的 accounts[Lighthouse].adminRoles 字段。
使用以下引用替换整个 accounts[Lighthouse].adminRoles：

<FieldRef name='scalableWaveset.adminRoles'/>

保存该对象。

随后编辑用户并选择“安全”选项卡时，Identity Manager 将显示自定义表单。单击 ... 时，将打开选择器组件并显示搜索字段。可以使用此字段来搜索以文本字符串开头的管理员角色，并将字段的值设置为一个或多个值。

要恢复表单，请通过配置 > 导入交换文件来导入 $WSHOME/sample/formlib.xml。

有关使用 objectSelector 模板来管理环境中具有很多对象的资源和角色的示例，请参见 sample/formlib.xml 中的可伸缩选择库。

对 TabPanel 组件的讨论现在包含对 validatePerTab 属性的以下描述：(ID-15501)

validatePerTab - 如果设置为 true，当用户切换到其他选项卡时，Identity Manager 会立即执行验证表达式。

对多重选择组件的讨论现在包含对 displayCase 属性的以下描述：(ID-14854)

displayCase - 将每个允许的值映射到其大写或小写等效值。请使用以下两个值之一：upper 和 lower。

本章添加了对“菜单”组件的以下讨论：(ID-13043)

由三个类组成：Menu、MenuBar 和 MenuItem。

Menu 是指整个组件。
MenuItem 是叶或节点，它与第一或第二级别上的选项卡相对应。
MenuBar 对应于包含 MenuBar 或 MenuItem 的选项卡。

Menu 包含以下属性：

layout - 值为 horizontal 或 vertical 的字符串。如果值为 horizontal，则生成带有选项卡的水平导航栏。如果值为 vertical，则导致将菜单呈现为具有典型节点布局的垂直树菜单。
stylePrefix - CSS 类名的字符串前缀。对于 Identity Manager 最终用户页面，此值为 User。

MenuBar 包含以下属性：

default - 与 MenuBar 的 MenuItem URL 属性之一对应的字符串 URL 路径。此属性控制在单击 MenuBar 选项卡时默认显示为 selected 的子选项卡。

MenuItem 包含以下属性：

containedUrls - 与 MenuItem“相关”的 JSP 的 URL 路径列表。如果呈现任何 containedUrls JSP，则会将当前 MenuItem 呈现为 "selected"。请求启动结果页就是一个示例，从请求启动页中启动工作流后将显示该页面。

可以在 MenuBar 或 MenuItem 上设置以下属性：

title - 指定在选项卡或树叶中显示为超级链接的文本字符串
URL - 指定标题超级链接的字符串 URL 路径

以下 XPRESS 示例创建带有两个选项卡的菜单。第二个选项卡包含两个子选项卡：

代码示例
Menu、MenuItem 和 MenuBar 组件实现

<Display class='Menu'/> <Field>    <Display class='MenuItem'>      <Property name='URL' value='user/main.jsp'/>      <Property name='title' value='Home' />    </Display> </Field> <Field>    <Display class='MenuBar' >      <Property name='title' value='Work Items' />      <Property name='URL' value='user/workItemListExt.jsp'/>    </Display>     <Field>        <Display class='MenuItem'>          <Property name='URL' value='user/workItemListExt.jsp'/>          <Property name='title' value='Approvals' />        </Display>     </Field>     <Field>       <Display class='MenuItem'>          <Property name='URL' value='user/otherWorkItems/listOtherWorkItems.jsp'/>          <Property name='title' value='Other' />       </Display>     </Field> </Field>

附录 A：表单和进程映射

本发行说明所在的目录中包含此附录的更新版本，标题为“表单和进程映射”。
可以通过映射的名称来访问特定于遵循性的任务。(ID-15447)

进程名称	映射的名称	描述
访问查看	accessReview	执行访问查看
访问扫描	accessReviewScan	执行访问扫描
访问查看重新扫描	accessReviewRescan	执行访问重新扫描
审计策略重新扫描	auditPolicyRescan	执行审计策略重新扫描
中止访问查看	abortAccessReview	终止访问查看
删除访问查看	deleteAccessReview	删除访问查看
恢复访问查看	recoverAccessReview	从审计日志中恢复丢失的访问查看状态对象

---

Identity Manager 部署工具

本节包含有关 Sun Java™ System Identity Manager 部署工具的新信息和文档更正内容：

新增内容

Identity Manager 部署工具一书的以下章节中添加了一些重要信息：

对第 1 章“使用 Identity Manager IDE”进行了更新，以提供下列新增功能的相关信息：
更新了用于创建和使用 Identity Manager IDE 项目的过程以提供下面两种项目类型 (ID-14587)：
Identity Manager 项目是为开发者提供的功能完备的主要开发环境。
Identity Manager 项目（远程）用于进行较小的修改以及在外部服务器上进行调试。
Identity Manager IDE 项目现在与配置生成环境 (Configuration Build Environment, CBE) 集成在一起 (ID-14980)
NetBeans 的顶级菜单栏上现在有一个 IdM 菜单，可从中选择适于选定对象节点的操作。(ID-14787)
资源管理器窗口显示的对象类型列表中添加了一些库对象，这些对象具有属性表、调色板功能以及导航节点。(ID-14817)
为规则对象选择设计视图时，编辑器窗口中现在将显示一个表达式生成器，以使您能够更方便地查看规则的逻辑结构和修改规则的属性。(ID-15104)
现在，可以将本地目录中的对象与系统信息库中的对象进行比较 (diff)。(ID-15206)
修改了用于测试表单和规则的过程。表单预览程序选项被重命名为表单测试器。(ID-15325)
Identity Manager IDE 表达式生成器对话框中添加了一些功能，其中包括：
现在，可以直接在表达式生成器表中编辑简单的数据类型（整数和字符串）。(ID-15528)
现在，可以创建特定的表达式，而不是先创建 BLOCK，然后再将其更改为所需的表达式。(ID-15932)
创建了新的“更改为”按钮和对话框，可用于更改元素的表达式类型。(ID-15933)
现在可以直接在属性表中编辑支持表达式和原始值（如字符串）的属性值。(ID-15528)
在表达式生成器中定义实例或静态 XPRESS 调用语句时，可以查看 Identity Manager API 方法的相关 JavaDoc 信息。可以通过将光标放在“方法名称”菜单中所列出的方法上方来访问此 JavaDoc。将显示一个包含相应信息的弹出式窗口。
Identity Manager IDE 插件现在需要 JDK 1.5 和 Netbeans 5.5。(ID-14950)
现在，可以从 Identity Manager IDE 系统信息库中删除对象。(ID-15031)
现在，可以将 IDE 中的对象上载到 Identity Manager 7.0 服务器，并手动为该对象分配 ID。(ID-15474)
现在，可以右键单击项目树中的节点，并打开某些引用所引用的对象（如 ObjectRef、FormRef、FieldRef 和工作流子进程）。(ID-15406)
其他较小的用户界面和进程更改。
第 2 章“使用规则”中的“审计者规则”一节已经更新，以提供有关 Identity Auditor 规则的更多详细信息。（ID-15367、15496、15609、15934、16166、16263 和 16292）
对第 7 章“将 SPML 1.0 用于 Identity Manager Web 服务”进行了更新，以包含有关 SPE SPML 接口的信息。(ID-14458)
第 7 章“将 SPML 1.0 用于 Identity Manager Web 服务”中的“在 SPML 中使用跟踪”一节已经更新，以提供有关如何启用跟踪输出（以便记录 Identity Manager 的 SPML 通信和诊断问题）的其他信息。(ID-15346)
第 8 章“将 SPML 2.0 用于 Identity Manager Web 服务”中的“在 SPML 中使用跟踪”一节已经更新，以提供有关如何启用跟踪输出（以便记录 Identity Manager 的 SPML 通信和诊断问题）的其他信息。(ID-15346)

更新

本节提供了 Identity Manager 部署工具文档的更正和补充：

第 1 章“使用 Identity Manager IDE”中的“调色板窗口”和“属性窗口”应该在各节第一段所提供的元素列表中包含 GenericObject，如下所示：(ID-14817)
“调色板”窗口（如图 1-11）允许您将元素拖放到“编辑器”窗口所显示的电子邮件模板、表单、GenericObjects、库、工作流进程或工作流子进程对象中，而不必键入 XML。
Identity Manager IDE 的“属性”窗口由 XML 元素的属性表组成，这些 XML 元素与电子邮件模板、表单、GenericObjects、库、规则、工作流进程和工作流子进程对象关联。可以使用此属性表查看和编辑选定对象的属性，包括对象名称、文件大小、修改次数、结果信息，等等。

---

Identity Manager 调优、故障排除和错误消息

本节提供了有关 Sun Java™ System Identity Manager 调优、故障排除和错误消息的新信息和文档更正内容。

现在提供了有关系统信息库对象大小（以字符为单位）的信息。您可以使用此信息来检测怀疑可能会影响系统的较大对象。（ID-9896、ID-15239）

可通过在 debug/Show_Sizes.jsp Web 页或控制台命令行中键入以下命令来访问此信息：

showSizes [<type> [<limit>]]

注	对于升级，在更新或刷新现有对象之前，这些对象将报告其大小为 0。

某些任务已从适配器移至任务软件包。如果已对以下任何任务启动跟踪，或者已自定义引用这些软件包的任务定义，请更新这些路径。

旧软件包名称	新软件包名称
com.waveset.adapter.ADSyncFailoverTask	com.waveset.task.ADSyncFailoverTask
com.waveset.adapter.ADSyncRecoveryCollectorTask	com.waveset.task.ADSyncRecoveryCollectorTask
com.waveset.adapter.SARunner	com.waveset.task.SARunner
com.waveset.adapter.SourceAdapterTask	com.waveset.task.SourceAdapterTask

---

Identity Manager Service Provider Edition 部署

本节提供了有关 Sun Java™ System Identity Manager SPE 部署的新信息和文档更正内容。

第 5 章，Identity Manager SPE 中的其他对象

Identity Manager Identity Manager SPE 现在支持链接关联和链接确认规则。

链接关联规则

调用者可以使用 linkTargets IDMXUser 视图选项来指定应作为链接目标的资源的列表。使用表单时，可以将此列表作为具有相同名称的表单属性提供。在登入 IDMXUser 视图时，表单属性将被同化为视图选项。

链接关联规则选择用户可能拥有的资源帐户。如果给定用户视图，链接关联规则将返回身份、身份列表或选项映射。

如果规则返回选项映射，则视图处理程序使用该映射来查找资源帐户，并获取满足这些选项的身份列表。例如，可以使用 getResourceObjects FormUtil 方法的 searchFilter 选项，将搜索过滤器传递给 LDAP 资源适配器。

链接关联规则必须将 authType 属性设置为 SPERule，并将 subtype 设置为 SUBTYPE_SPE_LINK_CORRELATION_RULE。

链接确认规则

链接确认规则可将任何资源帐户从链接关联规则选择的潜在帐户列表中清除。如果给定用户视图和候选资源帐户列表，链接确认规则将从候选列表中至多选择一个资源帐户。用户视图显示在“视图”路径下面；候选项列表显示在“候选项”路径下面。

如果链接关联规则选择的资源帐户不超过一个，则链接确认规则是可选的。

注	与 Identity Manager 确认规则不同，仅在链接过程中调用一次链接确认规则。

链接确认规则必须将 authType 属性设置为 SPERule，并将 subtype 设置为 SUBTYPE_SPE_LINK_CONFIRMATION_RULE。

LighthouseContext API

SessionFactory 类中添加了几种简便方法。应按如下方式更新第 16 页上的表。

连接类型	方法	描述
本地匿名	getServerInternalContext()	返回完全授权的上下文，而不进行任何验证。
本地已验证	getSPESession(String user, EncryptedData password)	为 Service Provider 用户界面构造会话。
本地已验证	getSPESession(Map credentials)	为 Service Provider 用户界面构造会话。映射指定用户的凭证，其中包括用户和密码密钥的值。
本地预验证	getSPEPreAuthenticatedSession(String user)	为 Service Provider 用户界面构造预验证的会话。
远程匿名	不适用	只能通过 SPML 提供这种连接类型。
远程已验证	getSession(URL url, String user, EncryptedData pass)	返回已验证的会话。

---

本地化范围

以前，Identity Manager 不对资源对象和函数进行本地化，主要原因是这些对象和函数大多数都是在 Identity Manager 初始化期间加载（通过 init.xml）的样例，并且对象类型的属性在实际客户部署之间可能会有所不同（取决于自定义级别）。以下是可能会显示英文内容的区域的列表：(ID-16349)

默认的用户表单和进程映射
示例：“编辑用户”>“安全性”>“用户表单”下拉菜单
示例：“配置”>“表单和进程映射”
配置对象属性名称

示例：“配置”>“用户界面”（连在一起的名称，如 displayPasswordExpirationWarning）

默认任务
任务模板

示例：“服务器任务”>“配置任务”> 表中的可用任务模板名称

任务类型标签

示例：“服务器任务”>“运行任务”>“可用任务”表第二列中的条目

任务定义

示例：“服务器任务”>“查找任务”> 用于选择任务定义的第二个下拉菜单

默认报告名称

示例：在“报告”>“运行报告”>“报告表格”下找到的报告名称

默认策略名称

示例：“遵循性”>“管理策略”> 审计策略名称和描述

默认权能名称

示例：“编辑用户”>“安全性”>“可用权能”

默认报告和图形名称
进程/工作流图表 applet

---

使用 helpTool

Identity Manager 6.0 发行版添加了一个新功能，此功能使您可以搜索 HTML 格式的联机帮助和文档文件。此搜索引擎基于 SunLabs 的 "Nova" 搜索引擎技术。

使用 Nova 引擎有两个阶段：索引和检索。在索引阶段，分析输入文档并创建检索阶段使用的索引。在检索阶段，可获取一些包含查询词所在的上下文的“段”。段检索进程需要提供原始 HTML 文件，因此这些文件必须存在于搜索引擎可访问的文件系统中。

helpTool 是一个 Java 程序，它执行两个基本功能：

将 HTML 源文件复制到搜索引擎已知的位置
创建检索阶段使用的索引

从命令行执行 helpTool，如下所示：

$ java -jar helpTool.jar

usage:HelpTool

-d Destination directory

-h This help information

-i Directory or JAR containing input files, no wildcards

-n Directory for Nova index

-o Output file name

-p Indexing properties file

重新生成/重新创建联机帮助索引

用于联机帮助的 HTML 文件封装在 JAR 文件中。必须将这些文件提取到一个目录下以用于搜索引擎。使用以下步骤：

将 helpTool 分发解压缩至临时目录。（详细信息 TBD）

在此示例中，我们将文件提取到 /tmp/helpTool。

在 UNIX shell 或 Windows 命令窗口中，将此目录更改为 Identity Manager 应用程序在您的 Web 容器中部署的位置。

例如，Sun Java System Application Server 的目录可能如下所示：

/opt/SUNWappserver/domains/domain1/applications/j2ee-modules/idm

将当前工作目录更改为 help/ 目录。

注	从此目录运行 helpTool 很重要，否则将无法正确生成索引。此外，您应通过删除 index/help/ 子目录中的内容来删除旧索引文件。

收集用于命令行参数的以下信息：
目标目录 - html/help/en_US

注	使用适合安装的语言环境字符串。

输入文件 - ../WEB-INF/lib/idm.jar
Nova 索引目录 - index/help
输出文件名称 - index_files_help.txt

注	文件名并不重要，但如果此文件已存在，则会退出工具。

索引属性文件 - index/index.properties
运行以下命令：

$ java -jar /tmp/helpTool/helpTool.jar -d html/help/en_US -i ../
WEB-INF/lib/idm.jar -n index/help -o help_files_help.txt -p index/index.properties

Extracted 475 files.

[15/Dec/2005:13:11:38] PM Init index/help AWord 1085803878
[15/Dec/2005:13:11:38] PM Making meta file:index/help/MF: 0
[15/Dec/2005:13:11:38] PM Created active file:index/help/AL
[15/Dec/2005:13:11:40] MP Partition:1, 475 documents, 5496 terms.
[15/Dec/2005:13:11:40] MP Finished dumping:1 index/help 0.266
[15/Dec/2005:13:11:40] IS 475 documents, 6.56 MB, 2.11 s, 11166.66 MB/h
[15/Dec/2005:13:11:40] PM Waiting for housekeeper to finish
[15/Dec/2005:13:11:41] PM Shutdown index/help AWord 1085803878

重新生成/重新创建文档索引

使用以下步骤重新生成或重新创建文档索引：

将 helpTool 分发解压缩至临时目录。（详细信息 TBD）

在此示例中，我们将文件提取到 /tmp/helpTool。

在 UNIX shell 或 Windows 命令窗口中，将此目录更改为 Identity Manager 应用程序在您的 Web 容器中部署的位置。

例如，Sun Java System Application Server 的目录可能如下所示：

/opt/SUNWappserver/domains/domain1/applications/j2ee-modules/idm

将当前工作目录更改为 help/ 目录。

注	必须从此目录运行 helpTool，否则将无法正确生成索引。此外，您应通过删除 index/docs/ 子目录中的内容来删除旧索引文件。

收集用于命令行参数的以下信息：
目标目录 - html/docs
输入文件 - ../doc/HTML/en_US

注	此工具将 en_US/ 目录和子目录复制到目标目录。

Nova 索引目录 - index/docs
输出文件名称 - index_files_docs.txt

注	文件名并不重要，但如果此文件已存在，则会退出工具。

索引属性文件 - index/index.properties
运行以下命令：

$ java -jar /tmp/helpTool/helpTool.jar -d html/docs -i ../doc/HTML/en_US -n index/docs -o help_files_docs.txt -p index/index.properties Copied 84 files. Copied 105 files. Copied 1 files. Copied 15 files. Copied 1 files. Copied 58 files. Copied 134 files. Copied 156 files. Copied 116 files. Copied 136 files. Copied 21 files. Copied 37 files. Copied 1 files. Copied 13 files. Copied 2 files. Copied 19 files. Copied 20 files. Copied 52 files. Copied 3 files. Copied 14 files. Copied 3 files. Copied 3 files. Copied 608 files. [15/Dec/2005:13:24:25] PM Init index/docs AWord 1252155067 [15/Dec/2005:13:24:25] PM Making meta file:index/docs/MF: 0 [15/Dec/2005:13:24:25] PM Created active file:index/docs/AL [15/Dec/2005:13:24:28] MP Partition:1, 192 documents, 38488 terms. [15/Dec/2005:13:24:29] MP Finished dumping:1 index/docs 0.617 [15/Dec/2005:13:24:29] IS 192 documents, 14.70 MB, 3.81 s, 13900.78 MB/h [15/Dec/2005:13:24:29] PM Waiting for housekeeper to finish [15/Dec/2005:13:24:30] PM Shutdown index/docs AWord 1252155067