已知问题

Identity Manager 7.1 发行说明中的本节列出了以下产品的已知问题和解决方法：

Identity Manager
Service Provider Edition

---

Identity Manager

本节介绍了 Identity Manager 的已知问题和解决方法，该信息分为以下几个部分：

一般信息
安装和更新
帐户管理
批准
审计
集成开发环境 (Integrated Development Environment, IDE)
登录配置
组织
策略和权能
协调和导入用户
报告
资源
资源对象管理
资源组
安全
服务器
Sun Identity Manager Gateway
任务
工作流、表单、规则和 XPRESS

一般信息

仅当创建了用户帐户时，才会检查设置在资源模式映射上的必填字段 (ID-220)。如果用户更新时要求必须填写某个字段，则应对该用户表单进行配置，以确保该字段为必填字段。
不对组织名称、管理员名称、帐户名称、用户属性名称（模式映射的左侧）或任务名称进行字符有效性检查（ID-1145、1206、1679、1734、1767、2413、3331）。在这些类型的对象名称中，不能使用美元符号 ($)、逗号 (,)、句号 (.)、撇号 (')、“和”号 (&)、左方括号 ([)、右方括号 (]) 或冒号 (:)。
如果试图在会话超时后执行某个操作，则会在帐户页上出现一个误导性错误消息 (ID-1223)。
如果浏览器使用的是大字体，则无法看到完整的日历对象 (ID-2120)。
即使未选择列表中的项目之一，“查找结果”页和“列出任务”页中的“全选”复选框也不会被取消选中 (ID-5090)。如果列表中所有成员的“全选”复选框未被全部选中，则在为获得结果而进行操作的过程中将忽略此“全选”复选框。
如果对自定义消息目录进行了更改，则必须重新启动服务器才能看到所做的更改。(ID-6792)
当前用于检测有故障的“服务器”的机制假定 Identity Manager 群集中的所有系统在时间上是同步的。(ID-7064) 在默认故障间隔时间为 5 分钟的情况下，如果一台服务器在 5 分钟内未能与另一台服务器同步，则前面的服务器会声明其后面的服务器发生故障，从而导致不可预测的结果。

解决方法：保持更好的时间同步，或增加故障转移时间间隔。

对于 Windows，如果登录时使用的用户名包括双字节字符，而机器的默认编码仅支持单字节字符，则必须将环境变量 USER_JPI_PROFILE 设置为其名称仅包含单字节字符的现有目录。(ID-8540)
如果扩展的节点包含的数据少于一页，并在该页上的第一条记录之前插入该节点的新子节点（例如，如果在组织中创建用户），以后进行刷新时，Identity Manager 将在当前页之前插入包含一个项目的页。(ID-12151)

解决方法：要重新排列这些页，请单击“首页”按钮。

如果修改角色表单以将 showSuperAndSubRoles 变量由 0 更改为 1，然后从“配置”选项卡中导入包含现有子角色的超级角色对象定义文件，则不会修改这些子角色以包含 <SuperRoles> 部分。但是，如果使用 Identity Manager 图形用户界面来创建超级角色，将更新该超级角色所引用的子角色。(ID-15053)

如果在 Identity Manager 外部创建的角色引用系统中已存在的现有角色（子角色或超级角色），则可能会出现这种问题。

导入这些角色时，不会更新系统中已存在的角色以反映新的关系；例如，不保持引用完整性。如果按这种方式导入角色，请使用 RoleUpdater 检查并纠正引用完整性。

解决方法：请参见角色中所述的 ID-15482。

必须将运行应用服务器时所在的 JDK 更新为 JDK 1.4.2_13，以支持 2007 年开始的新夏令时 (Daylight Savings Time, DST)。(ID-15475)

要进行更新，请执行以下步骤：

从以下位置更新提供时间功能的网关：

http://www.microsoft.com/windows/timezone/dst2007.mspx

(Identity Manager 从 Windows 操作系统中获取提供时间功能的网关。）

在应用服务器上升级到兼容的 Java 版本。
Identity Manager 安装提供了关闭、升级和重新启动应用服务器的指导信息。
查看预定在新的 DST 延长时间段内启动的任务列表（有关这些时间段的详细信息，请参见以下内容）。

在应用 DST 修补程序后，必须重新安排预定在此时间范围内启动的所有项目。对于在应用 DST 修补程序之后并且在开始这些时间段之前至少运行一次的所有周期性项目，将按其预期时间运行。

请参阅 Java 升级文档或使用 tzupdater 工具 (http://java.sun.com/developer/technicalArticles/Intl/USDST/) 来解决 DST 问题。
另请参见 Sun Java 警报。

与前些年相比，美国和加拿大的夏令时 (DST) 已延长了时间，开始时间更早，结束时间更晚。这些延长的 DST 时间段为：3 月的第二个星期日到 4 月的第一个星期日以及 10 月的最后一个星期日到 11 月的第一个星期日。对于 2007 年，这些时间段为 3 月 11 日到 4 月 1 日以及 10 月 28 日到 11 月 4 日。由不兼容的软件造成的问题将继续无限期存在，直至使软件变为兼容时为止。

注	如果无法实现上述步骤，则可能会产生以下影响： 某些预定任务（包括协调和活动同步）的运行时间可能比预定时间早或晚一小时，具体取决于特定的预定参数。 报告可能包含或排除指定范围以外（一小时以内）的事件。 具有日期相关性的客户修改可能会显示错误的结果。

最终用户界面中允许将批准工作项目转发给工作项目列表中的其他批准者的菜单填写不正确。(ID-15935)

解决方法：将以下字段插入表单中的 userIds 字段之后，将 "user*" 字符串替换为所需的 accountId 列表：

<Field name='forwardingUsers'>
   <Derivation>
      <list>
         <s>user1</s>
         <s>user2</s>
      </list>
   </Derivation>
</Field>

如果修改现有 changelog 上的设置（如添加其他列属性），则这些修改可能不会显示在已存在的 changelog CSV 文件中。(ID-15973)
如果 TabPanel 显示组件选项卡中显示的字符串（例如，在“选项卡式用户表单”中使用）包含空格，则这些字符串将会换行显示。如果不希望字符串换行显示，应将以下两行添加到 $WSHOME/styles/customStyle.css 中：

table.Tab2TblNew td {background-image:url(../images/tabs/level2_deselect.jpg);background-repeat:repeat-x;b ackground-position:left top;background-color:#C4CBD1;border:solid 1px #8f989f;white-space:nowrap}

table.Tab2TblNew td.Tab2TblSelTd {border-bottom:none;background-image:url(../images/tabs/level3_selected.jpg);backgroun d-repeat:repeat-x;background-position:left bottom;background-color:#F2F4F3;border-left:solid 1px #8f989f;border-right:solid 1px #8f989f;border-top:solid 1px #8f989f;white-space:nowrap}

在本地化的 Identity Manager 会话中，用户可能会在流程图 applet 中遇到部分本地化的内容（英语和选定语言的混合内容）。(ID-16139)
编辑角色时，如果包含另一个同时作为超级角色和子角色的角色，则会存在循环引用，这可能导致 StackOverflowError。(ID-16326)
直接模式密码同步需要在 web.xml 文件中配置 SimpleRpcHandler。默认情况下，此处理程序不会作为 rpcrouter2 servlet 的处理程序提供。(ID-16469) 要使用直接模式密码同步，请使用以下方法设置处理程序初始化参数：

<init-param>
   <param-name>handlers</param-name>
   <param-value>com.waveset.rpc.SimpleRpcHandler,com.waveset.rpc.PasswordSyncHandler</ param-value>
</init-param>

请注意，已知 SimpleRpcHandler 会影响某些 RemoteSession 调用。如果您要使用 RemoteSession 和直接模式密码同步，请配置一个单独的 servlet 以处理 RemoteSession 调用。

安装和更新

注	对于仅影响此发行版的问题，请参见安装和更新说明。

如果从 6.x 安装进行更新，但要使用新的最终用户页面进行启动，您必须手动将系统配置 ui.web.user.showMenu 更改为 true 以显示水平导航栏。（ID-14900、16401）

此外，还必须手动将系统配置最终用户表单映射更改为以下形式：

<Attribute name='endUserMenu' value='End User Dashboard'/>

不支持 WebLogic 9.0，因为编译程序错误会影响几个页面。

解决方法：改用 WebLogic 9.1 或 9.2。(ID-16002)

不存在 Service Provider 事务存储的数据库升级脚本。从 Identity Manager 5.6 (Service Provider Edition 1.0) 或 Identity Manager 6.0 升级到 7.0 或 7.1 时，必须向现有表中添加一个新列 ('userId')。此发行版中的样例数据库脚本 (create_spe_tables.*) 显示了此列的预期类型和默认最大值长度。(ID-16423)
升级时，偶尔可能会在尝试运行 update.xml 时出现以下错误：

com.waveset.util.InternalError: 现有项目

'ComplianceViolation:LastModified' 正在使用保留项目

'ComplianceViolation:LastModified' 的名称。

如果发生这种情况，请使用以下 SQL 从系统信息库中删除违规项目：

delete from object where type='ComplianceViolation' and name='LASTMODIFIED'

执行此操作后，您可以重新导入 update.xml，并从失败点继续升级。(ID-16437)

帐户管理

可以创建名称超过 20 个字符的 NT 帐户，但 NT 本地工具却不能管理这些帐户 (ID-710)。
管理员不能保存含有其不能管理的组织的资源或角色 (ID-839)。
对“置备结果”页上的列进行排序会在结果中添加额外的空行 (ID-1105)。
批准数以百计的用户帐户需要花费大量时间 (ID-1149)。

解决方法：将用户帐户记录分成几个较小的组进行批准。

不再拥有批准权能的管理员所拥有的批准记录不能被批准 (ID-1150)。

解决方法：从管理员拥有批准权限的资源、角色和组织中删除该管理员，然后在删除该管理员或该管理员的批准权能之前，批准任何未完成的批准记录。

如果更新用户而未进行任何更改，则不显示详细结果页 (ID-2327)。
当创建新用户或将资源添加到现有用户时，如果该用户的标识名不正确，则此错误值将保留在高速缓存中，直到管理员注销 (ID-2508)。如果要在更正标识名后重新创建该用户，则必须在管理员注销后才能成功。
Windows Active Directory 要求以可以创建目录的管理员身份运行网关 (ID-2919)。Identity Manager 可以在 Windows 2000 系统上创建主目录。主目录帐户由用于运行网关进程的用户创建，取代了在资源定义中指定的管理员。

解决方法：从“本地系统”中将用于运行网关的用户更改为有权创建远程共享和为这些共享设置权限的帐户。此帐户还需要“跳过遍历检查”和“以操作系统方式操作”权限。

当因禁用某个用户帐户而导致出现错误时，Windows NT 资源错误地发出一条警告消息，而不是错误消息 (ID-3222)。
当通过编辑用户页删除用户的所有资源时，可能会出现 java.lang.NullPointerException (ID-4811)。

解决方法：使用“用户删除”页，解除该用户与这些资源帐户的链接，或者删除这些资源帐户。

如果创建了一个 Identity Manager 用户，并将其分配给已经有该用户帐户的 Windows Active Directory 资源，则在资源信息中创建该用户时将不含 GUID 属性 (ID-5114)。此 GUID 属性用于检测该用户在 Directory 资源中的组织或名称的变化。从该资源运行协调可以修复此问题。
创建用户时，如果为含有直接分配的资源的用户添加了“角色”，则会出现警告 (ID-5385)。
创建用户时，不能指定“转发至”管理员。此选项只能在编辑用户时设置 (ID-5695)。

批准

当更新一个用户，并选择在后台运行更新时，“任务结果”页会出现一个批准活动 (ID-3301)。可以忽略此批准。
在重命名用户后，不出现管理员的批准记录 (ID-3386)。

解决方法：在重命名用户之前，解决所有未完成的批准。

如果要批准的用户属于不受批准者控制的组织，则管理员将无法看到以前批准或拒绝的批准记录 (ID-3494)。
资源重试任务出现在“配置器”的暂挂批准列表中 (ID-3508)。

审计

扫描过程中，不支持重新扫描无法从资源获取或发生其他错误的用户帐户。扫描完成后将报告这些错误，但没有重新扫描帐户的自动方法。(ID-9112)
只要用户被编辑，Identity Auditor 就会试图通过强制执行策略保持用户在策略扫描间的遵从性。如果编辑分配了审计策略并且违反了某个策略的帐户，则不能保存对用户的更改，即便此更改如同将用户移至另一组织这样简单。(ID-9504)

解决方法：使用用户 applet 的右键单击移动（或查找然后移动）功能，或临时禁用审计策略检查。

要禁用审计者策略检查，请编辑系统配置并删除 userViewValidators 属性。在导入 init.xml 或 upgrade.xml 的过程中添加了这个包含字符串列表值的属性。

在“审计策略违规历史”、“资源违规历史”和“组织违规历史”报告中，对 STACK 图表类型实行对数换算可能导致异常显示。(ID-9522)
当前，审计者访问扫描报告管理员无法安排审计策略扫描。将显示错误 Error message: Create access denied to Subject auditadmin on type TaskSchedule。要安排任何任务，管理员必须具有 TaskSchedule authType 的 create 权限。(ID-14713)

解决方法：编辑管理员以便为其分配 TaskSchedule 的 create 权限，或者指定至少具有 Auditor Administrator 或 Waveset Adminsistrator 权能的用户。

如果已在 Identity Auditor 的先前版本中创建了审计策略扫描报告，当升级到 Identity Manager 7.0 时，这些报告将不可见。要解决此问题，具有审计者报告管理员权能（或更高权能）的管理员可以编辑这些特定报告并将可视性更改为运行。(ID-14881)
如果运行的审计扫描产生多个违规，审计者可能会创建一个修正工作流以管理违规处理。对于包含很多违规的工作流，max_allowed_packet (1M) 的默认 MySQL 设置太小。如果达到此限制，审计者将不会启动修正工作流。

解决方法：对于频繁使用审计者的情况，应大大增加此值。要解决此问题，请将 max_allowed_packet = 32M 添加到 MySQL 配置文件 (my.cnf) 中，然后重新启动数据库服务器。(ID-15830)

审计策略名称不能包含以下字符：'（撇号）、.（句点）、|（竖线）、[（左括号）、]（右括号）、,（逗号）、:（冒号）、$（美元符号）、"（双引号）、=（等号）。(ID-16078)
更改遵循性违规修正的严重程度和优先级值可能会产生误导。表单中的初始值不是遵循性违规的当前值。它们是进行更改时最后设置的值。在查看列表视图的同时了解您所需要的严重程度/优先级值非常重要，因为您无法在允许更改这些值的页面上确定当前值。(ID-16040)
在 IdM 7.1 升级之前创建的遵循性违规将不允许设置严重程度或优先级。返回的错误消息表明遵循性违规不再存在，但这是错误的。违规确实存在，但 IDM 无法设置严重程度或优先级。(ID-16420)

集成开发环境 (Integrated Development Environment, IDE)

使用 Identity Manager IDE 重命名对象时，应通过右键单击“项目”资源管理器中的上下文菜单完成，而不是通过使用编辑器编辑 XML 完成。(ID-13828)
在 IDM IDE 中已禁用 XML Navigator。Windows -> Navigator 会打开 "Navigator" 面板，屏幕将显示<“无可用视图”>。(ID-13390)
不支持项目删除功能。(ID-14013)
关闭项目时，“全部放弃”选项无法正常工作。如果要放弃对对象所做的更改，必须关闭编辑器窗口并选择“放弃”。这是 NetBeans 的已知问题（错误 84236）。(ID-14164)
如果处理的是标准 Identity Manager IDE 项目，启动捆绑的 Tomcat 实例时会显示 Tomcat Manager 对话框，这通常表示出现了以下情况之一：(ID-15546)
多个 Tomcat 实例正在运行。
出现凭证不匹配。

这是 NetBeans 的已知问题。

解决方法：您必须确保主机上只运行一个 Tomcat 实例，并将其配置为在与捆绑的 Tomcat 相同的端口上进行侦听。

作为捆绑的 Tomcat 服务器一部分存储的凭证必须与 Server Manager 的“用户名”和“密码”字段中存储的凭证相匹配。有关这些字段值的详细信息，请访问以下 Web 站点：

http://wiki.netbeans.org/wiki/view/FaqInstallationDefaultTomcatPassword

检查捆绑的 Tomcat 的端口号和存储的凭证：

选择 Identity Manager IDE 的“运行时”选项卡，然后展开“服务器”和“捆绑的 Tomcat”节点。
右键单击“捆绑的 Tomcat”节点，然后从弹出式菜单中选择“属性”。
当显示 Server Manager 对话框时，请检查“服务器端口”、“用户名”和“密码”字段值。

“克隆文档”功能无法工作。(ID-15725)
如果对文档执行 diff 操作且不保存更改，则 diff 操作不会显示任何结果。目前没有用于指明此情况的警告消息。Identity Manager IDE 只能对文件内容执行 diff 操作，而无法对“编辑”窗口中显示的内容执行该操作。(ID-15952)
如果对包含未保存文件的目录执行 diff 操作，则“Diff 输出”窗口中不会显示任何结果。(ID-15955)
使用表达式生成器创建调用语句时将打开一个窗口，其中显示所选方法的 Javadoc。目前，您无法使用滚动条浏览文档。这意味着对于某些方法，此窗口不会显示整个 Javadoc。(ID-16093)

解决方法：

选择方法之后，java doc 将临时转移到表达式窗口的底部。您可以在此处浏览整个 java doc，但这只是一个临时副本，一旦单击表达式的其他元素或单击不同的表达式，将无法恢复此 java doc。
使用安装介质 Image/REF/javadoc 目录中提供的常规 Javadoc。

在设计视图中检查验证时，将抛出空指针异常。(ID-16168)

解决方法：从 XML（源视图）执行验证。

登录配置

传递验证模块对 Domino 资源无效 (ID-1646)。
其他登录的管理员看不到对“管理员登录设置”页和“用户登录设置”页所做的更改 (ID-3487)。其他管理员需要从“管理员界面”注销后再登录，才能看到这些更改。
如果管理员登录，选择“更改我的密码”，然后选择另一个选项卡，则会锁定其帐户直至该锁定到期。(ID-3705)

如果其他管理员尝试编辑该锁定的管理员，将显示以下消息：

com.waveset.util.WavesetException:此时无法访问帐户 #ID#Configurator。请稍后再试。

如果该管理员单击“确定”，则会显示从最后一次操作开始的工作流程图。

组织

在删除多个组织时，如果对一个组织的删除失败，则其余所有组织将不能被删除 (ID-517)。
当存在暂挂置备请求，且其中含有属于某个组织的用户时，如果重命名该组织，将导致该置备请求失败 (ID-564)。

解决方法：在重命名组织之前，确保没有未完成的请求。

当创建新组织时，如果在指定组织名称之前选择了“用户成员规则”选项，则当刷新该页时，在“组织”名称字段中将出现一个组织 ID (ID-6302)。在保存新组织之前仍然可以设置该名称。

( ) - Warning:Parenthesized values in field 'Approvers' do not match any of the allowed values.

策略和权能

Identity Manager 帐户策略属性“重设通知选项”的“管理员”值选项无效 (ID-944)。只有“即时”和“用户”选项有效。
当删除多个角色时，如果出现错误，则整个删除操作将会停止，而不会继续删除其他角色 (ID-1168)。
用户必须回答的问题的最小数量可以设置为大于定义的问题的数量 (ID-1834)。如果出现这种情况，用户将无法使用“忘记密码”选项进行登录。
“默认 Lighthouse 帐户策略”不能通过编辑该策略、更改其名称和选择创建新对象进行克隆 (ID-5147)。

解决方法：创建新的帐户策略。

协调和导入用户

如果用户已经存在于 Identity Manager 中，则从 CSV 文件导入该用户不会更新资源属性 (ID-2041)。
逗号分隔值 (CSV) 文件的帐户 ID 中包含的单引号 (') 在载入时转换为问号 (?) (ID-2100)。
使用“预定”选项后，在“查找任务”页上进行的搜索不显示预定的任务 (ID-5001)。
为 Red Hat 版本 8 资源运行协调失败 (ID-6087)。
如果启用了资源的连接池，则 Oracle ERP 资源的协调会完成，但有错误 (ID-6386)。解决方法是在协调过程中关闭连接池。

报告

安全管理员不能运行或创建报告 (ID-1217)。

解决方法：为管理员授予“报告管理员”权能。

风险分析报告可被管理员而非报告管理员查看 (ID-1224)。
在电子邮件中使用纯文本选项发送的报告结果未被格式化 (ID-2191)。

解决方法：在电子邮件中使用 HTML 选项。

对于大量的结果，可能不会记录“审计日志”条目 (ID-5050)。
如果存在名称中含有撇号 (') 的组织，则不会显示选定的 ticker (ID-5653)。
如果试图运行“管理员报告”，并选择仅报告属于无管理员的特定组织的管理员，将返回 java.lang.NullPointerException 错误 (ID-5722)。

资源

资源测试按钮不测试所有字段 (ID-51)。
资源端口分配可设置为大于 65535 的值 (ID-59)。
如果设置了错误的 Active Directory 组名，则会显示严重的错误消息 (ID-393)。如果尝试将 Active Directory 组名称设置为 "groupname" 而不是 "cn=groupname,cn=builtin,dc=waveset,dc=com"，将显示一条错误消息，说明“数组索引超过界限”。
如果其他资源具有的同名帐户属性名称未设置必需标志，则这些必需的帐户属性有时会被忽略 (ID-1161)。
如果管理员试图向一个他没有管理权限的资源添加组织，则会出错。必须取消对该资源进行的编辑，然后重新编辑该资源，才能对其进行任何其他更改 (ID-1274)。
当资源帐户密码或用户名在 PeopleSoft 资源上不正确时，错误消息不明确 (ID-2235)。该错误消息为：

bea.jolt.ApplicationException:TPESVCFAIL - application level service failure

使用 %DISPLAY_INFO_CODE% 退出状态的 Windows Active Directory 资源操作导致该操作因出错而失败 (ID-2827)。
返回非零退出代码的 Windows NT 资源操作不会导致操作失败 (ID-2828)。
不能在创建用户时在 Active Directory 上设置该用户的主要组 ID (ID-3221)。

解决方法：创建用户而不设置主要组 ID，然后编辑该用户并设置该值。主要组 ID 也是通过编号而非标识名 (DN) 进行设置。

在主机名解析为 IP 地址后，资源 IP 地址将保存在 JVM 的高速缓存中。如果更改了资源 IP 地址，则必须重新启动应用服务器，以使 Identity Manager 能够检测所做的更改 (ID-3635)。这是 Sun JDK（1.3 和更高版本）中的设置，可以使用 sun.net.inetaddr.ttl 属性（通常在 jre/lib/security/java.security 中设置）对其进行控制。
不能在 Oracle 资源上为单个用户创建多个帐户 (ID-3832)。
最终用户不能对 Domino 资源帐户使用自行搜索功能 (ID-4775)。
如果用户被移出或移入 Active Directory 组织内的子容器，则活动同步适配器会检测到该变化，但是当在编辑页上查看该用户（或在进行修改后查看确认页）时，该用户的帐户 ID 仍然显示为原来的 DN（distinguished name，标识名）(ID-4950)。由于我们使用 GUID 修改用户，因此它不会造成任何操作性问题。对该资源运行协调可以修复此问题。
如果用户从一个“组织”(OU) 移动到一个子组织，则 LDAP ChangeLog 适配器不会识别出此变化，并会认为该用户已被删除。随后，将在 Identity Manager 中锁定该用户对象（如果这是当前设置），而且不会为移动的帐户创建新帐户 (ID-4953)。
如果在执行命令或脚本时出错，则 UNIX 资源适配器使用的存储连接可能被置于未确定状态 (ID-5406)。
只有将资源的“基本上下文”设置为 "[ROOT]"，才能在树的顶层创建 NDS 组织 (ID-5509)。
在 NDS 上，如果编辑初始置备的某个字段（如“暂缓登录限制”），并且未提供布尔字段的值，则所有布尔字段将设置为 false (ID-6770)。这会阻止您对限制选项卡上的其他一些字段进行设置（这些字段要求特定复选框值为 true）。为避免这种情况，在需要所有布尔字段值为 true 的时候，请确保它们始终为 true，以便在编辑其他字段时，能将其正确推入。
如果使用“管理连接”-->“更改资源密码”功能更改 UNIX 机器的密码，则显示的任务名为：

_FM_PASSWORD_CHANGING_TASK null:null

应显示用户友好的名称。(ID-6947)

不能对使用 NIS 的 UNIX 资源使用管理连接功能 (ID-6948)。由于要更改的密码是超级用户密码，而 NIS 不能管理超级用户帐户，因此会出现错误。
通过从 Identity Manager 组织中选择更新来对用户进行更新时，如果具有 Sun One ID Server 帐户的用户是在本机创建，然后加载到 Identity Manager，则会为这些用户返回一个错误 (ID-7094)。解决方法是单独更新这些用户。
Identity Manager 仍包含以下已过时类：
com.waveset.object.IAPI
com.waveset.object.IAPIProcess
com.waveset.object.IAPIUser

自定义适配器类不应再引用这些类，而应引用包 com.waveset.adapter.iapi 中的相应类。(ID-8246)

尝试删除在 PeopleSoft 组件接口资源中存在帐户的用户时，会出现一个错误。此资源当前不支持帐户删除。(ID-9000)
如果您退出“新建资源对象”向导时未单击保存或取消按钮，则可能不会损坏已放弃的表单，并可能会影响后续新资源对象的创建。(ID-11033) 这将导致出现错误消息：

在选项或视图中找不到资源表单 ID。

解决方法：始终使用“取消”按钮放弃“新建资源对象”向导。

临时表空间不遵循配额设置，如果从 Oracle 10gR2 进行尝试，则发生 SQL 异常。(ID-12843)

到目前为止，即使未映射 oracleTempTSQuota 属性，资源适配器仍将在临时表空间上设置配额。此行为已有所更改。如果映射 oracleTempTSQuota 属性，将保持旧的行为（无更改），但如果删除此映射，将不会在临时表空间上设置配额。

解决方法：对于 Oracle 10gR2 安装，请从资源适配器中删除 oracleTempTSQuota 属性。

Remedy 集成模板编辑器有两个已知问题。(ID-14729)
默认的 Remedy 模式值 "HPD:HelpDesk" 不适用于较高版本的 BMC Remedy。较高版本不包含模式 "HPE:Help Desk"。
某些字段不显示“选择”列。这不会影响 Remedy 模板的使用。
由 Identity Manager 创建的具有“访问”和“帐户 ID”字段的 NDS/Groupwise 用户在接受 NDS 控制台 1 应用程序内某些查看器的检查时（例如，选择用户的属性，然后选择 "Groupwise" 选项卡），可能显示未保存其相应的值。

但是，如果改用用户的“Groupwise 诊断”->“显示对象”查看器，则会显示此字段。Identity Manager 对上述字段所做的更新似乎不受此“查看器”错误的影响。(ID-16330)

IS_DELETE 规则（用于配置 PeopleSoft Active Sync 适配器）未显示在已知规则的下拉菜单中。(ID-16398)

解决方法：编辑 $WSHOME/sample/rules/PeopleSoftRules.xml 文件，将其更改为以下文本。然后使用“配置”->“导入交换文件”重新导入该文件。

<?xml version='1.0' encoding='UTF-8'?>
<!DOCTYPE Waveset PUBLIC 'waveset.dtd' 'waveset.dtd'>
<Waveset>
   <Rule name='IS_DELETE'>
      <Description>Should the active sync event delete the user?</Description>
         <or>
            <eq><ref>activeSync.Status</ref><s>T</s></eq>
            <eq><ref>activeSync.Status</ref><s>L</s></eq>
         </or>
   </Rule>
</Waveset>

Oracle ERP 适配器将在单个用户加载期间删除职责的先前值。使用 getUser() 时，用户的当前职责描述、开始日期和结束日期未在表单中正确格式化。这可能导致职责数据遭到破坏。(ID-16414)

解决方法：编辑示例用户表单 OracleERPUserForm.xml 中的 includeResponsibilities 字段以包含默认值。然后使用“配置”->“导入交换文件”重新导入该文件。

<Field name='includeResponsibilities'>
   <Display class='Checkbox' action='true'>
      <Property name='title' value='Add Direct Responsibilities'/>
   </Display>
   <Default>
      <cond>
         <gt>
            <length>
               <ref>global.responsibilities</ref>
            </length>
            <i>0</i>
         </gt>
         <s>true</s>
      </cond>
   </Default>
   <Disable>
      <not>
         <ref>global.showOracleERPFields</ref>
      </not>
   </Disable>
</Field>

－或者－

在属性页面上选择加载按钮以再次加载用户。

资源对象管理

不能在“列出资源”页上重命名 Windows Active Directory 对象（组、组织单位或容器）(ID-3329)。
如果存在拥有多值 CN 的用户，则不能创建新的 LDAP 组 (ID-3848)。

解决方法：按 DN 而不是 CN（在“LDAP 创建组表单”中配置）来管理组成员。

资源组

在“创建资源组”或“编辑资源组”页上按回车键，会清除在该页上所做的更改 (ID-3430)。
“资源组”报告不能保存为 CSV 文件。(ID-8001)

安全

当发生以下情况时，Identity Manager 不再发出 java.lang.StackOverflowError 异常：(ID-15035)
在 Identity Manager 下至少定义一个动态（规则驱动的用户成员）组织
用户表单包含对 Type.USER 调用 getObject 的 <Field>

StackOverflowError 是由扩充权限评估所导致的死循环引发的。

已通过添加两个新的“用户视图”布尔型选项解决了此问题：

NoFormDerviation（默认为 true）
NoFormExpansion（默认为 true）

当您请求将“用户视图”传递至某个规则时，将始终传递这些选项。将这些选项设置为 true 可避免发生表单派生和扩充。

注	如果将这些选项设置为 true，并且规则中需要表单字段“派生”或“扩充”，则必须将这些选项作为规则逻辑的一部分完成。 有关如何设置“视图选项”的详细信息，请参见 Identity Manager 工作流、表单和视图 中的“设置表单中的视图选项”。

服务器

使用 Identity Manager 4.x 的客户应确保其服务器主机没有使用不明确的时区。例如，EST 可以在澳大利亚或美国使用。但是，GMT+10 或 GMT-6 是明确的时区。(ID-8297)
com.waveset.rpm.SimpleRpcHandler 类自 7.1 起就已过时 (ID-14756)
将以下 servlet 定义添加到部署描述符

<servlet>
   <servlet-name>rpcrouter3</servlet-name>
   <display-name>OpenSPML SOAP Router</display-name>
   <description>no description</description>
   <servlet-class>
      org.openspml.server.SOAPRouter
   </servlet-class>

   <init-param>
      <param-name>handlers</param-name>
      <param-value>com.waveset.rpc.PasswordSyncHandler</param-value>
   </init-param>

   <init-param>
      <param-name>spmlHandler</param-name>
      <param-value>com.waveset.rpc.SpmlHandler</param-value>
   </init-param>

   <init-param>
      <param-name>rpcHandler</param-name>
      <param-value>com.waveset.rpc.RemoteSessionHandler</param-value>
   </init-param>
</servlet>

将以下 servlet 映射添加到部署描述符：

<servlet-mapping>
   <servlet-name>rpcrouter3</servlet-name>
   <url-pattern>/servlet/rpcrouter3</url-pattern>
</servlet-mapping>

要使用 RemoteSession 创建视图，需要使用 rpcrouter3 servlet。要访问 rpcrouter3 servlet，需要使用 RemoteSession(URL, String, EncryptedData) 构造函数。

在某些较高负载条件下，Microsoft SQL Server 2000 的锁定特性可能会导致 Sun Identity Manager 中出现死锁错误。(ID-16068)

解决方法：使用本地模式从 Microsoft SQLServer 2000 升级至 Microsoft SQLServer 2005。

已在较高负载条件下使用 Identity Manager 测试了 Microsoft SQLServer 2005（它包含一项名为快照隔离的新功能），并且没有出现与 SQLServer 2000 相同的死锁问题。

某些客户还发现，将其数据库更改为使用 READ_COMMITTED_SNAPSHOT 是非常有用的，如下所示：

ALTER DATABASE dbname SET READ_COMMITTED_SNAPSHOT ON

</quote>

如果在 Sun Application Server 中部署 Identity Manager 并传递 --precompile 选项，JSP 预编译将会失败，因为 Identity Manager 使用了 JSP 片断但未将其命名为 .jspf。(ID-16373)

解决方法：使用 .jspf 扩展名重命名这些文件。

Sun Application Server 8.2 和 9.0 现在提供一个选项，用于忽略由于 .jsp 片断而产生的预编译错误。有关详细信息，请参见

http://bugs.sun.com/bugdatabase/view_bug.do?bug_id=6393940

Sun Identity Manager Gateway

在“NT 服务”屏幕上按“停止”按钮时，Sun Identity Manager Gateway 有时不会停止。(ID-590)

解决方法：取消停止服务请求（如果该请求仍然挂起），然后再次停止该服务，或者退出 NT 服务对话框，然后重新进入并再次尝试停止操作。

如果网关位于远程信任域中，则不能将用户添加到属于该 NT 域的组中 (ID-711)。
当使用 'net stop "Sun Identity Manager Gateway"' 时，网关有时不会停止 (ID-2337)。

任务

如果任务列表中含有“风险分析”任务，则拥有 Identity Manager 的“管理员”权限的管理员不能查看管理任务页 (ID-1225)。
不控制“顶层”的管理员不能创建“搜索”或“资源扫描程序”预定任务 (ID-1414)。
“查找任务”页不显示与搜索条件匹配的任务数量 (ID-5152)。
不控制“顶层”的委托管理员可以预定任务和查看任务结果，但不能在任务创建后查看该任务 (ID-6659)。预定任务被置于“顶层”，因此委托管理员没有查看该对象的权限。
一个名为“延迟任务”的字段被加入到库中。该字段可列出用户的延迟任务。要实现该字段，“选项卡式用户表单”和“选项卡式查看用户表单”中必须添加下面的行。

<FieldRef name='Deferred Tasks'/>

工作流、表单、规则和 XPRESS

不能使用 XPRESS <eq> 函数将布尔值与 TRUE 或 FALSE 字符串或者整数 1 或 2 进行比较 (ID-3904)。

解决方法：使用以下方法

<cond>
   <isTrue><ref>Boolean_variable</ref></isTrue>
   <s>True action</s>
   <s>False action</s>
</cond>

在通过 dolist 迭代一个通用对象列表时，路径表达式无效 (ID-4920)。

<dolist name='genericObj'>
   <ref>listOfGenericObjects</ref>
   <ref>genericObj.name</ref>
</dolist>

解决方法：使用 <get> / <set>，如下所示：

<dolist name='genericObj'>
   <ref>listOfGenericObjects</ref>
   <get><ref>genericObject</ref><s>name</s>
</dolist>

如果对用户表单中的字段使用 global.attrname 变量，而且该属性由多个资源共享，则还应定义一个“派生”规则 (ID-5074)。否则，如果该属性在其中一个资源上进行了本机更改，则该属性不一定会被提取出来并传播至其他资源。
不能在表单的 HTML 部分中使用以 & 开始的特殊字符串。例如，&nbsp; 将不再显示为空格。此问题是由于更改“选择”列表中的支持特殊字符 (&\<>') 而产生的 (ID-5548)。
<Comment> 标记中包含的表单、工作流和规则注释包括表示换行符的 &#xA; 字符串 (ID-6243)。这些字符仅在查看上述对象的 XML 时才能看到；Identity Manager 服务器和“业务流程编辑器”会正确处理这些字符。
如果使用包含批量操作的删除模板，它们将覆盖批量操作行为，而不会指示发生了此操作。(ID-10320)
如果使用“资源表格用户表单”编辑用户，则编辑用户资源时，首次显示表单时不能获取资源属性。

解决方法：单击“刷新”按钮，这将提取属性数据。(ID-10551)

---

Service Provider Edition

本节介绍了 Identity Manager SPE 的已知问题和解决方法。

Identity Manager SPE 和 Sun Java System Portal Server 可能不兼容，存在与加密库相关的问题。(ID-10744)

通过在 Portal Server 的 /etc/opt/SUNWam/config/AMConfig.properties 文件中设置以下值，然后重新启动 Web 容器，可以更正此问题：

com.iplanet.security.encryptor=com.iplanet.services.util.JCEEncryption
com.iplanet.security.SSLSocketFactoryImpl=netscape.ldap.factory.
   JSSESocketFactory
com.iplanet.security.SecureRandomFactoryImpl=com.iplanet.am.util.
   SecureRandomFactoryImpl

使用 SPE 面板时：如果首次加载图形时持续了几分钟时间，则应核实未将浏览器配置为使用 Microsoft Java 虚拟机 (Microsoft Java Virtual Machine, MSJVM)。Identity Manager SPE 不支持使用 MSJVM 来运行浏览器 applet。(ID-10837)
Identity Manager 管理员界面上显示的某些配置选项不能与 Identity Manager SPE 一起使用。(ID-10843)。其中包括：
资源选项：排除帐户规则、批准者和分配资源的组织。
角色属性
默认情况下，当使用 checkinObject 和 deleteObject IDMXContext API 调用时，不会进行审计。必须通过在传递给这些方法的选项映射中将 IDMXContext.OP_AUDIT 关键字设置为 True 来明确请求审计。ApiUsage 类中的 createAndLinkUser() 方法显示了如何请求审计。(ID-11261)
面板图形名称更改不起作用。尽管在编辑图形时会显示新名称，但在任何其他页面上，新名称都不会引用图形。(ID-11690)
默认 Service Provider 登录模块组希望将 Service Provider 资源命名为“SPE 最终用户目录”。如果资源的名称不同，则 Service Provider 最终用户登录页面将不能正常工作。该页面将不会显示与登录相关的字段。(ID-14891)

解决方法：更新 UI_LOGIN_MOD_GRP_DEFAULT_SPE_PWD LoginModGroup 对象中的资源名称以引用正确的资源名称。

SPE Sync 任务是预定任务，因此从“任务”页停止此任务不会停止同步。要停止此任务，可以禁用进度表本身。(ID-16000)

解决方法：启动和停止的首选方法有两种，一种是通过“资源”页上的产品界面，另一种是通过 SessionUtil 方法以编程方式（例如，从工作流）启动和停止 SEP Sync。要阻止 SPE Sync 在启动 Identity Manager 服务器实例时自动启动，必须从资源的“同步策略”中禁用它。通过 UI 或 SessionUtil 方法停止 SPE Sync 仅在启动其他 Identity Manager 服务器实例之前停止同步。

在 WebSphere 中使用 Identity Manager SPE 最终用户登录页时，将出现 javax.servlet.UnavailableException，并在浏览器中显示 404 错误。(ID-16001)

解决方法：必须在 IBM 1.5 JDK 中设置以下属性：

在 was-install/java/jre/lib 目录中，将 jaxb.properties.sample 重命名为 jax.properties 并取消以下两行的注释：

javax.xml.parsers.SAXParserFactory=
        org.apache.xerces.jaxp.SAXParserFactoryImpl
javax.xml.parsers.DocumentBuilderFactory=
        org.apache.xerces.jaxp.DocumentBuilderFactoryImpl

保存该文件，然后重新启动应用服务器。