|
Sun Java[TM] System Identity Manager 7.1 发行说明 |
Identity Manager 7.1 功能
Identity Manager 7.1 发行说明中的本节提供了有关以下内容的信息:
此发行版的新增功能本节提供了有关 Identity Manager 7.1 中提供的新功能的其他信息,该信息分为以下几个部分:
安装和更新
您可以从 Sun 下载中心下载语言包,它是联机支持中心的一部分 (http://www.sun.com/download)。需要使用注册的帐户名称和密码来访问下载中心。
有关详细信息,请参见 Identity Manager 7.1 安装文档和 Identity Manager L10n 自述文件,可以在每个 IDM 语言包中找到它们。
管理员界面和用户界面
Identity Manager 使用在登录关联规则中指定的逻辑来搜索 Identity Manager 用户。该规则必须返回一个或多个 AttributeCondition 的列表,然后搜索与这些条件相匹配的 Identity Manager 用户。
例如,只关联 Identity Manager 用户 ID 可能即已足够。或者,如果 Identity Manager 用户具有 LDAP 资源帐户 ID,您也可以搜索该帐户 ID,Identity Manager 用户不需要 Sun Access Manager 资源链接。登录关联规则的 authType 必须为 LoginCorrelationRule。(ID-8577)
审计
- 现在,可以通过向策略违规分配优先级和/或严重程度来排列策略违规的优先级。可以从修正页排列违规的优先级。有关详细信息,请参见 Identity Manager 管理中的“排列策略违规的优先级”。(ID-11703)
- 审计策略扫描现在可以扫描动态组织的成员。(ID-12437)
- 现在可以安排审计策略扫描。(ID-12474)
- 审计扫描现在具有测试模式,该模式将禁用修正并在完成扫描时删除所有违规。(ID-12522)
- 违规摘要报告已扩展为允许按违规状态选择违规。可以将该报告配置为仅报告处于一种或多种可能状态下的违规。(ID-12612)
- 现在,可以对与访问查看批准、拒绝和修正有关的审计日志条目进行数字签名。(ID-13264)
- 启动周期性访问查看后,如果转至访问查看页,在单击刷新按钮前将不能看到显示在列表上的扫描。(D-14169)
- 目录连接和虚拟组织现在支持审计策略分配。(ID-14591)
- 现在,可以根据分配的资源来定义访问扫描用户范围。(ID-14654)
- 现在,可以通过安装演示环境快速显示 Identity Manager 遵循性。(ID-14970)
- 现在,证明者和修正者可以指定准确显示所需详细信息的表单,以提高证明和修正效率。有关详细信息,请参见本发行说明的“文档补充和更改”一节。(ID-14973)
- 在修正过程中,您现在可以重新评估遵循性违规以确定其是否仍然有效。您可以编辑用户,以便不会再次违反审计策略。(ID-15019)
- 现在,可以使用当前权利文件数据刷新暂挂访问查看权利文件。(ID-15027)
- 访问查看修正者可以直接使用修正表单上的新“编辑”按钮来编辑(重新置备)用户。(ID-15172)
- 遵循性查看修正者可以直接使用修正表单上的新“编辑”按钮来编辑(重新置备)用户。(ID-15173)
- 访问查看现在可以通过以下方式之一修改用户权利文件:(ID-15180)
- 在“正在修正”状态下创建的用户权利文件现在自动创建一个修正工作项目。(ID-15423)
表单
Identity Manager 集成开发环境 (Integrated Development Environment, IDE)
Identity Manager 集成开发环境 (Identity Manager IDE) 是一种 Java 应用程序,您可以通过它在部署中查看、自定义以及调试 Identity Manager 对象。
Identity Manager 7.1 发行版的 Identity Manager IDE 中添加了以下新功能(或进行了更改):
- Identity Manager IDE 现在支持 GenericObjects。(ID-12952、12991)
- NetBeans 的顶级菜单栏上现在有一个 IdM 菜单,可从中选择适于选定对象节点的操作。(ID-13158)
- Identity Manager IDE 7.0 项目已被以下两个项目类型替代,这两个项目都是 NetBeans ant 项目:(ID-14587)
- Identity Manager IDE 现在提供版本独立性。(ID-14723)
7.1 版本的 Identity Manager IDE .nbm 已与 Identity Manager 类分离。7.1 版本的 .nbm 支持 Identity Manager 7.0 和 7.1,并计划支持 Identity Manager 6.0 SP3。
每个 Identity Manager IDE 项目都被绑定到特定的 Identity Manager 版本,并且 Identity Manager IDE 现在需要一个兼容性包 (ide-bundle.zip),该包为每个受支持的 Identity Manager 版本提供 Identity Manager jar 文件和一些包含特定于版本的信息的 XML 注册表。兼容性包是在您创建项目时指定的:
- 资源管理器窗口显示的对象类型列表中已添加了一些库对象,这些对象具有属性表、调色板功能以及导航节点。(ID-14817)
- Identity Manager IDE 插件现在需要 JDK 1.5 和 Netbeans 5.5。(ID-14950)
- 现在可以比较 (diff) 本地目录与系统信息库中的单个对象或对象的文件夹(递归)。可以使用此功能查看本地副本和服务器上的副本之间的差异。此外,还可以使用此功能上载和重新加载一个或多个已修改的对象。(ID-15151、15206)
- 为规则对象选择设计视图时,编辑器窗口中现在将显示一个表达式生成器,以使您能够更方便地查看规则的逻辑结构和修改规则的属性。(ID-15104)
- Identity Manager IDE 表达式生成器对话框中添加了一些功能。现在可以执行以下操作:
- Identity Manager IDE 现在为文件、持久性对象和扩展提供了单独的节点,以更好地反映实际的基础 XML 内容。此外,还可以对节点重新排序,并将节点插入其他位置(“项目”树中其他节点之前、之后或之间)。(ID-14689)
- 现在,可以从 Identity Manager IDE 系统信息库中删除对象。(ID-14081、15031)
- 现在,可以将 Identity Manager IDE 中的对象上载到 Identity Manager 7.0 服务器,并手动为该对象分配 ID。(ID-15474)
- 为了便于将对象从一个系统信息库移动到另一个系统信息库,现在您可以对 Identity Manager IDE 进行配置,使其在从系统信息库下载对象之前删除所有自动生成的系统信息库 ID。(ID-15307、15347)
Identity Manager SPE
报告
可将其他字体添加到系统中,方法是将字体定义文件复制到 IDM 部署目录(例如,/var/opt/SUNWappserver/domains/domain1/applications/j2ee-modules/idm/WEB-INF/fonts)下的 WEB-INF/fonts 目录中。然后必须重新启动服务器。可接受的字体定义格式包括 .ttf、.ttc、.otf 和 .afm。如果选择其中一种字体,则查看报告所在的计算机中必须提供相同字体,或者必须将该字体嵌入报告中。
由于默认的字体集不支持所有字符集(如亚洲语言字符),因此必须在 fonts/ 目录中安装其他字体,并在配置页中选择此字体,以生成可以显示备用字符集的报告。(ID-10641/14376)
系统信息库
资源
新的资源适配器
此发行版中添加了以下适配器:
有关这些资源适配器的详细信息,请参见 Identity Manager 资源参考资料。
资源适配器更新
- 现在,您应该在资源的同步策略中配置将运行 ActiveSync 的服务器。waveset.properties 的使用已过时,但仍可以使用。强烈建议您迁移到在同步策略中进行配置。(ID-10167)
- 配置 Flat File Active Sync 适配器的过程已被简化,特别是分隔文件。(ID-11678)
- 在 LDAP 适配器上处理所有更新之前,可以终止活动同步。(ID-13695)
- Identity Manager 现在支持 PeopleSoft HRMS 9.0。(ID-14195)
- Domino 适配器现在支持为 Domino 7.0 资源设置显式的策略属性。(ID-14315)
- Oracle ERP 资源适配器现在支持之前和之后的操作。(ID-14659)
- 扩展了默认 RACF List User AttrParse 机制,以处理大量的 "CLASS AUTHORIZATIONS" 和包含组条目(如 "GROUP SYS1 USER CONNECTION NOT INDICATED")的模板用户。(ID-15021)
- 已向 Solaris、AIX、HP-UX、Red Had Linux 和 SuSE Linux 资源适配器添加了两个资源属性(“默认主要组”和“登录 Shell”)。(ID-15034)
- NDS 适配器已改进了对 GroupWise 的支持:
- Domino 资源适配器支持 Domino 7.0 服务器的漫游用户。(ID-15157)
- 现在,可以使用开始日期和结束日期来更新 CUA 环境中的活动组(角色)和配置文件。(ID-15613)
角色
有关在导入过程中自动更新角色的相关信息,请参见已知问题中所述的 ID-15053。
- 委托模型的更改如下:(ID-15440)
- 如要编辑已委托给一个或多个用户或某个规则(在最初建立委托关系后已删除)的用户,则现在将在括号内显示受托的用户或角色,表明已将其删除。例如:"(auser)"
- 如果更改了用户的委托目标列表,但仍包括删除的委托,则会抛出异常并且保存失败。如果未更改用户的委托目标列表,但更改了用户的其他属性,保存将会成功,因为没有对委托信息进行任何更改。
- 如果要创建或更新某个用户,并且批准者已将其委托给不再存在的用户,创建或更新操作将会失败并显示一条消息,指出无法按配置方式委托批准工作项目,因为委托已被删除。
- 如果将工作项目委托给某个用户并随后删除该用户,委托用户仍然可以恢复这些工作项目。委托用户可随后结束与被删除的用户之间的委托关系。
安全
此新的对象组/组织是“顶级”组织的成员。它最初没有任何成员对象。“管理员”用户界面的“帐户”选项卡下的树表中不会显示此对象组/组织,并且它不能包含子组织。但是,在编辑对象(如角色、管理员角色、资源、策略或任务)时,您可以使用“管理员”用户界面为最终用户对象组/组织提供任何对象。
以前,当用户登录到最终用户界面时,会自动为用户分配在最终用户权能中指定的对象类型(如 AdminRole、EndUserConfig 或 EndUserTask)的权限。现在,Identity Manager 还会自动为用户分配新的最终用户对象组的控制权,并评估内置的最终用户受控组织规则。如果返回了任何组织名称,Identity Manager 还会自动为这些用户分配对这些组织的控制权。Identity Manager 使用验证用户的视图作为最终用户受控组织规则的输入参数。该规则可能会返回一个组织(作为字符串)或多个组织(作为列表),登录到最终用户界面的用户将具有其最终用户权能。
此外,还添加了新的最终用户管理员权能来管理新的对象。具有此权能的用户可以查看和修改以下内容的权限:最终用户权能中指定的对象类型和最终用户受控组织规则的内容。默认情况下,将此权能分配给配置者。对于通过最终用户受控组织规则评估返回的列表或组织,所做的任何更改不会动态反映给已登录用户。这些用户必须先注销,然后再次登录以查看这些更改。
您应该将这种新的对象组/组织视为给 Identity Manager 配置对象(如角色、资源和任务等)分配最终用户访问权限的最佳方法。
将来,您应该使用这种方法,而不是使用最终用户任务、最终用户资源、系统配置:EndUserAccess 和最终用户 authType;但是,仍会支持这些方法以保持向后兼容。
服务器
- WSUser 中添加了以下方法。有关该类的详细信息,请参见 REF 工具包中提供的 JavaDoc。(ID-15468/14152)
工作项目
此发行版中修复的错误本节介绍了 Identity Manager 7.1 中修复的错误,该信息分为以下几个部分:
管理员界面和用户界面
- 在调试页上,对象组不再显示在可以批量删除的项目类型的下拉列表中。(ID-13324)
- 现在,您可以解锁由于以下原因而锁定的组织对象:没有足够权限的用户尝试删除该对象。(ID-14942)
- 需要登出已登录用户的视图的自定义最终用户任务不再出现以下错误:帐户由于锁定而不可用。(ID-15040)
- 现在,可以从“查找角色”页中查找具有大量组织的角色,而不会显示对象组错误。(ID-15303)
- “角色”选项卡 >“查找角色”>“批准者”菜单现在可以显示具有“角色批准者”权能的用户。(ID-15373)
- 如果将 customEdit.jsp 表单用于您自己的自定义编辑表单,不会再出现以下页面:不包含导航栏而包含两个自定义表单副本。(ID-15460)
- 对于具有安全更新 912812 的 Internet Explorer 6 或 7,用户不必再双击多重选择框以突出显示该框,或者双击某个项目以进行移动。(ID-15824)
- 将“ActiveSync 输入”表单上的 IAPI.cancel 指定为 true(将取消为处理中的用户检测到的所有暂挂更新)时,用户视图在处理之后不再维持锁定状态。(ID-15912)
- 现在,可以正确编辑“顶级”组织中的用户(这是用户列表搜索的结果)而不会生成错误。(ID-15977)
- 默认情况下,为支持访问扫描而提供的默认规则均为“顶级”组织的成员。如果您的部署允许管理员编辑访问扫描或审计策略,而无需控制“顶级”组织,则必须将以下规则添加到其他组织中:(ID-15996)
审计
- 审计策略向导 GUI 允许 3 个修正者的说明及其之间的升级时间段。如果指定了时间段,则必须指定修正者。否则,将删除修正。(ID-14198)
- 现在您可以在将用户范围设置为动态组织时执行审计扫描或访问查看。(ID-14886)
- 审计日志报告显示角色修改的详细信息。(ID-15587)
- Identity Manager 遵循性功能提供了可以直接使用的任务、策略和规则。(ID-16127) Identity Manager 最初根据需要在“顶级”或“所有”对象组中创建这些对象。如果部署选择委托不控制“顶级”对象组的管理员来进行管理,您可能希望将部分或全部审计者对象添加到其他对象组。Identity Manager 提供了一个脚本,可用于列出审计者对象中的对象组,或者在审计者对象中添加或删除对象组。(有关审计者对象的完整列表,请参见 $WSHOME/sample/scripts/AuditorObjects.txt。)
cd $WSHOME/sample/scripts
beanshell.sh objectGroupUpdate.bsh -action list -data AuditorObjects.txtcd $WSHOME/sample/scripts
beanshell.sh objectGroupUpdate.bsh -action add -data AuditorObjects.txt -groupscd $WSHOME/sample/scripts beanshell.sh objectGroupUpdate.bsh -action remove -data AuditorObjects.txt -groups All
Identity Manager 提供了一个脚本,可在 7.1 升级之前运行该脚本以自动执行此重命名操作。这些脚本位于安装映像的 util_scripts 目录中。要执行这些脚本,必须转到脚本所在的目录中,并且 Identity Manager 服务器必须处于运行状态。请指定 -h idm-url 选项,即使在 Identity Manager 服务器上本地运行脚本也是如此。必须使用预期格式 idm-url。如果 Identity Manager 服务器已绑定到默认 URL 路径,则可以忽略这一点。此脚本将更改 Identity Manager 系统信息库,因此仅需在单个 Identity Manager 服务器上运行该脚本。
重命名的 TaskDefinition 对象的格式将是 old-name-7.1-update[N]
集成开发环境 (Integrated Development Environment, IDE)
- 多数节点在“属性”窗口中都有一个相关的属性表,而且这些节点中的大多数都有“名称”属性,用于管理名称的值。如果通过特定对象的节点重命名此特定对象(方法是通过右键单击并选择“重命名”,或通过单击该节点并在标签上键入文本),则节点的标签将更新并且 XML 将更改。但是,属性表无法更新。可以单击其他节点,然后再次单击重命名的节点,属性表就会更新以反映新名称。还可以单击属性表的标题以更新为正确值。(ID-13696)
- 当前不支持规则库,但可以在规则测试器中执行基本的 XML 编辑和测试。当前尚未实现导航和属性支持。(ID-14093)
- 如果数据类型为整型或布尔型,则无法使用属性编辑器设置表单属性值。(ID-14128)
- 下载、上载或重新加载对象会导致锁定系统信息库中的对象。因此,在锁定时间到期前,非项目设置中指定的用户尝试访问对象可能会失败。(ID-14132)
- 从 NetBeans 中的上下文菜单重命名对象需要保存更改。更改后,用户可以在不打开文件的情况下通过“文件”->“保存”保存更改。如果文件处于打开状态,则使用“文件”->“保存”,或关闭文件并在出现提示时选择保存更改。(ID-14420)
- 将字段的 displayClass 设置为 InlineAlert 时,如果字段有名称,则 InlineAlert 的值属性将不会显示。(ID-14456)
- 登出 Identity Manager IDE 中的用户视图会锁定对象。登入视图或关闭视图不会释放锁定。锁定会在 5 分钟后自动释放。以管理员身份(已凭借该身份登出 IDM IDE 中的视图)登录 Identity Manager 并查看用户也可以释放锁定。(ID-14797)
- 现在,可以通过在创建项目时将上下文字段保留为空来指定根上下文。(ID-15925)
Identity Manager SPE
MetaView
密码同步
协调
报告
- 现在支持管理员角色创建、修改和删除操作的审计日志记录。(ID-12514)
- 用户报告在以分号分隔的列表中显示资源的所有帐户的资源帐户 ID。还会列出通过角色或资源组间接分配的帐户和资源。如果只有一个资源帐户,只有在帐户 ID 不等于 Identity Manager 帐户 ID 时,才会显示该帐户 ID。(ID-12820)
- 对用户的验证问题所做的更改现在记录在审计日志中。(ID-13082)
- 用户遵循性违规日志不应显示在“审计者报告”选择器下的“报告”菜单中。这是默认遵循性审计报告任务,应隐藏。(ID-14721)
- 如果在早期版本中自定义了“冲突违规详细信息表单”表单,应在升级到 7.0 之前导出该表单。如果愿意,可在升级后重新导入保存的表单。(ID-14772)
- 用电子邮件发送的 PDF 报告现在遵循在任何级别指定的字体和字体嵌入设置。(ID-15328)
系统信息库
- IDMXUserView 的 getView 和 checkoutView 调用以及在 Identity Manager 中通过 LighthouseContext 进行的 getObject 调用正确遵循了 ObjectSource.OP_ALLOW_NOT_FOUND (allowNotFound) 选项。(ID-11900)
- 现在,只要 Identity Manager 系统信息库遇到 Java 错误(即 java.lang.Error 实例),系统信息库就会关闭(回退)活动数据库连接。以前,只要系统信息库捕获到声明的异常或运行时异常(而不是错误),系统信息库就会关闭活动数据库连接。此更改可防止在 Java 虚拟机抛出错误(如 OutOfMemoryError)时遗留打开的(未提交的)事务。(ID-14411)
- setRepo 命令的 -n 选项现在可以正确地阻止检查当前的系统信息库位置。-n 选项允许在当前系统信息库位置无效(或当前位置的数据库实例不可用)的情况下成功执行 setRepo 命令。此更改修复了 Identity Manager 2005Q4M3 (Identity Manager 6.0) 中引入的回归问题。(ID-14809)
- 现在,Identity Manager 系统信息库的初始化速度更快,因为 RelationalDataStore 现在生成一条 SQL 语句,对于较大的数据库表,该语句的执行速度较快。(ID-14937)
- 较慢的 Oracle 数据库系统不再导致暂停任务在多个调度程序上同时执行。(ID-15372)
- 从类似的用户组内的某个用户中删除角色时,不再影响其他用户的系统信息库条目,并且在按角色进行搜索时不再禁止查找这些用户。(ID-15584)
资源
- 为 LDAP 资源适配器添加了故障转移服务器资源参数字段。如果首选服务器出现故障,则此字段允许用户列出多个服务器以进行故障转移。LDAP 资源适配器使用 JNDI 维护与 LDAP 目录的连接。因此,JNDI 将自动尝试与每个服务器进行连接,直到找到一个连接为止。找到连接之后,JNDI 将继续使用此服务器,直到其出现故障,然后重复上述过程。在所有故障转移服务器之间进行复制是客户的责任。(ID-10889)
- 优化了 LDAPActiveSync 搜索过滤器(在更改日志中搜索更改)以提高性能。已从默认搜索过滤器中删除了过滤器部分 (objectClass=changelogEntry)。(ID-11722)
- 现在,NDS 资源适配器允许将 NDS 模板中包含的组与 NDS 模板中未定义的那些组合并在一起。此操作是在包含用户表单更改的用户界面中执行的。有关详细信息,请参见 NDSUserForm.xml。(ID-12083)
- Linux 适配器现在可以返回自上次登录日期之前一年的信息。(ID-12182)
- 为了使用其他 Oracle 用户的视图,您必须建立别名,以便可以在不使用用户名限定视图的情况下引用该视图。Identity Manager 以前不会检测此错误,而允许您在资源适配器中指定此类视图。Identity Manager 现在将检测此错误并提供消息。(ID-12643)
- 查看 Solaris NIS 资源上的用户时,主要组的设置现在显示为组名称。(ID-12667)
- 现在,可以将密码设置为在 SAP 资源上使用 CUA 模式时不过期。(ID-13355)
- VMS 资源适配器现在具有协调功能。(ID-13425)
- 现在,置备可识别在用户创建和更新函数过程中捕获到 ResourceAction 脚本错误的时间。(ID-13465)
- Identity Manager 现在提供一个名为 enableEmptyString 的资源配置参数。可以使用此参数,在表模式中定义为非空且基于字符的列中写入空字符串(而不是 NULL 值)。enableEmptyString 参数不影响为基于 Oracle 的表写入字符串的方式。(ID-13737)
- NDS 适配器活动同步不再基于用户对象的 lastModifiedTimeStamp 轮询更改。以前,只要用户登录或注销,就会更新此属性。现在,根据 Identity Manager 模式中定义的用户属性的 lastModifiedTimestamp 来计算上次修改的值。如果属性的 lastModifiedTimestamp 大于适配器提供的高水位标记,网关就会将此用户作为修改的用户发回到服务器。(ID-13896)
- Shell 脚本适配器现在支持重命名、禁用和启用功能。(ID-14472)
- 解决了 Active Directory 活动同步由于未关闭网关连接而挂起的问题。连接数将达到最大值,并且打开的连接处于 CLOSED_WAIT 状态。在达到最大连接数并且连接全部处于 CLOSED_WAIT 状态后,活动同步将停止,直至清除了这些连接时为止。(ID-14597)
- 现在,适配器发送到客户更新脚本的属性映射包含空值属性的条目,并且映射条目值为空。具体来说,此条件(属性映射中的空值)表示要清除某个属性。(ID-14655)
- 现在,对于某些资源适配器,将在协调过程中获取用户之前应用排除规则,这可以排除特定的用户、防止资源生成错误以及为大量用户提高性能。(ID-14436)
- 如果以逗号分隔信息,在集中用户管理 (Central User Administration, CUA) 环境中写入 SAP 活动组和配置文件时,不再将一个新表行分割成两行。(ID-14371)
- 如果 LDAP 服务器支持 VLV 控制并正确配置了该服务器,则 LDAP 资源适配器在列出和搜索用户帐户时将再次使用 VLV 控制。(ID-14526)
- Oracle ERP 用户表单现在包含一个“人名”字段。如果使用雇员号码将 Oracle ERP 帐户链接到 Oracle HR 系统,此只读字段将显示 Oracle HR 人员的全名。(ID-14675)
- SAP 适配器现在正确地报告“已禁用”状态。(ID-14834)
- 现在,nsaccountlock 激活快捷方式可以使用基于值 presence/absence 的逻辑来确定是否禁用了 LDAP 用户。(ID-14925)
- 现在,Identity Manager 遵循资源的支持功能 deny 和 ignore 组合设置。如果选择 ignore,将不会执行操作,但在某些情况下,可能会在 GUI 中将其显示为一条消息。(ID-14948)
- Oracle ERP 资源适配器现在可防止在完全协调过程中无法访问 Oracle ERP 资源时解除资源帐户的链接。(ID-14960)
- 现在,使用 Tivoli Access Manager 和 Active Directory 部署 Identity Manager 时,网关可正确设置(创建和更新)包含 7 位 ASCII 范围以外的字符的密码。(ID-15006)
- 如果在“系统配置”中将公共资源配置为供登录使用,并且公共资源登录失败,当登录模块堆栈中的另一个资源不是公共资源并且它需要的验证属性不同于以前的任何登录模块资源时,登录将不再失败。(ID-15047)
- 现在,如果为 Solaris NIS 服务器资源执行“创建资源对象”操作,在“用户”中选择多个帐户,然后单击“保存”,则会将所有帐户添加到受管 NIS 服务器的 NIS 密码源目录下的组文件中。以前,此操作仅适用于选择一个帐户的情况。(ID-15085)
- 现在,ADSIResourceAdapter 在查询资源对象时关闭连接。(ID-15098)
- 现在可以指定 ACF2 连接属性(如更宽和更深的虚拟屏幕大小)。(ID-15158) 要实现此功能,必须导入您自己的 update.xml 脚本,其中包含以下内容:
- 有一个相应的新 Oracle ERP 模式资源属性:person_fullname。更新了示例 $WSHOME/sample/other/CreateLHERPAdminUser.oracle 脚本以包括 ICX* 表,并提供为非 APPS 用户创建的同义词的视图。(ID-15188)
- 示例 JDBC 脚本以前不关闭不再需要的结果集和语句。在大型应用程序中,这可能会导致部分资源泄漏。现在已对示例脚本进行了修改,以关闭此类不再需要的对象。(ID-15254)
- Identity Manager 现在可“捕获”并报告公开返回错误的删除脚本中的输出。(ID-15340)
- 解决了涉及字符转换的存储分配问题。(ID-15341)
- 在运行资源操作的 shell 脚本时使用的临时文件名现在已变得更具唯一性。(ID-15348)
- 对于 Solaris NIS,Identity Manager 不再添加 netid 目标,此目标不是必需的,并且会导致跟踪中出现错误消息。(ID-15503)
- 对于 Solaris NIS,如果包含 Solaris NIS passwd、shadow 和 group 模板文件的目录采用管理员用户读取保护,Identity Manager 将不再禁止使用 sudo 命令。(ID-15505)
- 对于 Solaris NIS,如果默认主要组完全丢失或在组文件中找不到名称,将不再部分创建帐户。(ID-15509)
- 以前,如果开始使用没有用户或组的环境,且模板 passwd 和 group 文件位于 /etc 以外的目录中,则会导致无法生成 Solaris NIS 用户或组 ID,现在此错误已得到更正。(ID-15510)
- 对于 Solaris NIS,如果连续创建两个帐户,并为第一个帐户指定了 shell,而没有为第二个帐户指定 shell(在 defadduser 文件中没有对其进行定义,或者没有 defadduser 文件),将不再使用第一个帐户的 shell 创建第二个帐户。(ID-15511)
- 对于 Solaris NIS,现在使用 /usr/sadm/defadduser 文件中的 defgname 来设置默认主要组,而不是使用 defgroup(作为新创建的帐户的默认值的可选来源)。(ID-15512)
- 更新帐户时,Identity Manager 不再将 Solaris NIS 和 HP-UX NIS 加密密码同时存储在 passwd 和 shadow NIS 模板文件中。现在,将占位符值 "x" 存储在 passwd 文件中。(ID-15593)
- 如果将“创建不匹配帐户”设置为 true 并且超出了“允许的错误计数”,活动同步将不再继续运行。(ID-15662)
- PeopleSoft 组件接口适配器现在可以报告“已禁用”状态。(ID-15674)
- Identity Manager 不再从 LDAP 目录或 Active Directory 中读取只写帐户属性。(ID-15838)
- 脚本化网关资源适配器现在可以正确地捕获脚本中的非零返回代码并报告错误。(ID-15860)
- 提交表单时,清除该表单中的 RACF 属性不会导致 Identity Manager 清除用户上的属性,这样做不会执行任何操作。Identity Manager 现在将清除该属性。(ID-15971)
- NDS 模板资源属性现在显示弹出式帮助 (i-Help) 而不是 NDS_TEMPLATE_HELP 消息关键字。(ID-15986)
- 脚本化网关资源适配器现在支持启用和禁用资源操作。(ID-16066)
- 脚本化网关资源适配器现在将资源属性传递给执行 getInfo 和 listAllObjects 操作的脚本。(ID-16149)
- GroupWise 资源适配器已过时。应使用 NDS 适配器管理 GroupWise 用户。(ID-16308)
调度程序
安全
- 管理员启动的最终用户密码更改操作(通过 SPML 或其他方式)现在将添加到密码历史记录中(如果启用)。此修复引入了“系统配置”选项和“视图”(表单)选项,以使管理员能够切换所需的行为。(ID-13029)
- 仅具有报告管理员权能的委托管理员无法再从报告中删除范围以外的组织(将会报告这些组织)。(ID-14765)
- 组织的审计日志现在包含在组织中添加或删除的组织批准者。(ID-15232)
- 管理员角色管理员现在具有足够的权限来创建管理员角色。创建新的管理员角色或权能时,创建者可能需要选择一个或多个用户,这些用户可以将管理员角色或权能分配给其他用户。如果未授权创建者分配管理员角色或权能,则会出现这种情况。创建者可从中选择分配者的用户集不受 Identity Manager 授权范围的限制,因为创建者可能需要在其控制范围以外选择一个或多个用户。可用用户集现在将被授予“分配权能”权限。(ID-15980)
服务器
- 如果请求包含的过滤器使用尚未实现的运算符,SPML 服务器现在将返回错误。(ID-11343)
- 以前删除“用户扩展属性”配置对象中的属性并不会从 WSUser 的属性中删除这些属性;旧值仍保留在 XML 中。此问题已得到更正,现在将从 XML 中删除这些值。(ID-11721)
- 以前通过 GUI 输入区域为批量操作指定命令或用户时,即使实际上已指定了用户名,操作仍会失败并显示“必须指定对象名。”,现在此问题已得到更正。(ID-15112)
- 解决了在进程集中访问某个资源(如协调)时导致 OutOfMemory 错误的问题。(ID-16222)
- 为返回特定于工作项目的委托列表,Identity Manager 现在提供了以下新的公共方法,这些方法都使用 workItemType 参数。(ID-15787/14152)
任务
编辑预定任务时,必须使用 MM/DD/YYYY 格式重新输入开始日期 (ID-5675)。
工作流
修复的其他缺陷
8691、8961、9913、10100、10802、11538、12509、12571、12585、12872、13223、13251、13258、13701、13741、13965、14282、14334、14459、14564、14663、14748、14893、15036、15098、15234、15345、15424、15746、15798、15851、15864、16041、16087、16121、16171、16177、16215、16288