Identity Manager 7.1 - Actualización 1 Funciones

En esta sección de las Notas de la versión de Identity Manager 7.1 - Actualización 1 se proporciona la siguiente información:

Novedades de esta versión

En esta sección se proporciona información adicional sobre las nuevas funciones de Identity Manager 7.1. Esta información se ha organizado como sigue:

Interfaces de administrador y usuario

Auditoría

Identity ManagerEntorno de desarrollo integrado (IDE)

Sincronización de contraseña

Recursos

Seguridad

Interfaces de administrador y usuario

Los atributos extendidos de usuario de Identity Manager ahora admiten totalmente atributos de varios valores. (ID-14863)



Nota	Una condición de atributo que se refiere a un atributo extendido de varios valores se evalúa correctamente para un objeto de usuario sólo una vez que se ha serializado dicho objeto de usuario. Si quiere que esa condición de atributo se evalúe correctamente para todos los objetos de usuario, deberá reserializar todos los objetos de usuario. Encontrará instrucciones para reserializar usuarios en Cuestiones relativas a la actualización.

En el formulario Iniciar solicitudes se ha incluido un botón Regresar al menú principal que permite volver a la página de inicio de Identity Manager. (ID-15957)

El formulario Iniciar solicitudes (EndUserRequestMenu) se conserva durante las actualizaciones, de modo que dicho botón debe incluirse a mano en la interfaz de usuario final mediante el objeto UserForm predeterminado en sample/enduser.xml.

Identity Manager es compatible con el navegador Microsoft Internet Explorer 7. (ID-16708)

Cuando se actualiza desde versiones anteriores de Identity Manager a 7.1 - Actualización 1, la función ¿Olvidó su ID de usuario? de la página de inicio de sesión de Identity Manager está deshabilitada de manera predeterminada. (ID-16715)

Para habilitar esta función con el fin de que los usuarios puedan recuperar las ID olvidadas, debe modificar los atributos siguientes en el objeto de configuración del sistema:

ui.web.user.disableForgotUserId = false

ui.web.admin.disableForgotUserId = false

Las funciones de temporizador de llamadas y rastreo ahora están relacionadas, de modo que las estadísticas de temporización de llamadas sólo pueden recopilarse cuando el rastreo está habilitado. Este cambio afecta a las páginas de depuración de Identity Manager. Para obtener más información, consulte Ajuste, solución de problemas y mensajes de error en Identity Manager de Anexos a la documentación y correcciones. (ID-17106)

Auditoría

Los registros de auditoría para la creación de roles ahora ofrecen más información sobre el rol (por ejemplo, recursos asignados, subroles, súper roles y atributos de roles) en la sección de cambios del informe de auditoría. (ID-16327)

Identity ManagerEntorno de desarrollo integrado (IDE)

El nuevo analizador de Identity Manager se puede usar para solucionar problemas de rendimiento en formularios, Java, reglas, flujos de trabajo y XPRESS. (ID-14311)

Para obtener más información sobre esta nueva herramienta, consulte Ajuste, solución de problemas y mensajes de error en Identity Manager

El servidor de aplicaciones incrustado en Netbeans ahora se cierra automáticamente siempre que se realiza cualquiera de las siguientes operaciones de proyecto (ID-16738):

Limpiar un proyecto

Crear una distribución delta

Crear Jar

Depurar un proyecto

Administrar repositorios incrustados

Perfil de proyecto

Ejecutar un proyecto

La función de administración de repositorios incrustados de Identity Manager IDE ahora permite importar personalizaciones y archivos init.xml predeterminados con tal de que se seleccionen las opciones de inicialización de repositorio o de publicación automática de objetos de IDM. (ID-16749)

Se han realizado las modificaciones siguientes en el CBE suministrado con Identity Manager.

Las mejoras de rendimiento incluyen:

Validación incremental de XML (Identity Manager sólo valida los archivos que han cambiado desde la última compilación)

Sustitución de patrones y copia incrementales (Identity Manager sólo aplica sustituciones de patrones y copia los archivos que han cambiado desde la última versión)

La acción de compilación de proyectos ya no crea un WAR con tal formato, sino que ahora hay una acción específica de IDM para compilar el WAR.

En build.xml se han simplificado los nombres de destino, que ahora son coherentes con las acciones de proyectos Para obtener más información, consulte la sección “Ant Targets” in the “Core CBE (Configuration Build Environment)” del archivo README.txt suministrado.

Ahora es seguro ejecutar destinos ant haciendo clic con el botón secundario en build-netbeans.xml.

Se ha limpiado la validación de JSP y en la sección “Setup JSP Validation” del archivo README.txt se explican los mejores métodos para habilitar la validación de JSP.

Las mejoras de la documentación incluyen una descripción más certera del CBE en el archivo README.txt y más comentarios en línea en build.xml y build-netbeans.xml.

Una sola variable CLASSPATH en build.xml controla ahora la ruta de clase CLASSPATH tanto para compilar como para terminar automáticamente en loe editores de JSP y Java. Para obtener más información, consulte la nueva sección “How to Add a New JAR Dependency” del archivo README.txt.

En el archivo build-config.properties, install.includes se ha sustituido por install.pattern.substitution.excludes e install.excludes.

Se han modificado los nombres de propiedad ant, que ahora utilizan la convención ant estándar “.” en lugar de “-”. Además, los nombres de propiedad lighthouse* se han cambiado a idm*.

Ahora se realiza la validación de XML tanto antes como después de aplicar sustituciones de patrones.

Para Identity Manager 7.1 - Actualización 1, ha sido necesario cambiar los siguientes archivos en el proyecto de Identity Manager:

build.xml nbproject/project.xml

build-netbeans.xml

custom-init.incremental.xml

build-config.properties

custom-init-common.xml

custom-init-full.xml

Si ha modificado alguno de estos archivos, deberá combinar los cambios a mano. Para obtener más información, consulte Actualización de proyectos de la versión 7.1 a la versión 7.1 Actualización 1.



Nota	Los archivos build.xml, build-netbeans.xml y nbproject/project.xml están sujetos a modificaciones de una versión a otra, así que conviene no cambiarlos si es posible.

Sincronización de contraseña

PasswordSync utiliza un servlet recién creado para proporcionar compatibilidad con Windows de 64 bits. Este servlet se halla en el archivo web.xml y debe configurarse así (ID-15660):

<servlet-name>PasswordSync</servlet-name>

<servlet-class>com.waveset.rpc.PasswordSyncServlet</servlet-class>

<init-param>

<param-name>parameter</param-name>

<param-value>value</param-value>

</init-param>

<load-on-startup>1</load-on-startup>

</servlet>

<servlet-mapping>

<servlet-name>PasswordSync</servlet-name>

<url-pattern>/servlet/PasswordSync</url-pattern>

</servlet-mapping>

Recursos

Nuevas versiones de recursos

Esta versión incorpora adaptadores las siguientes nuevas versiones de recursos:

El adaptador NDSResourceAdapter de Identity Manager ahora admite NetWare 6.5 con eDirectory 8.8. (ID-10612)

El adaptador MySAP de Identity Manager ahora admite MySAP ERP 2005 (ECC 6.0) Kernel versión 7.00 en SAP. (ID-15205)

Identity Manager ahora admite Sun Access Manager 7.1. (ID-16365)

Identity Manager ahora admite SAP GRC Access Enforcer 5.2. (ID-16642)

Actualizaciones de adaptadores de recursos

El adaptador de recursos de MySQL ahora admite iteración de cuentas. El adaptador descarta los nombres de usuario duplicados y omite los nulos. (ID-6204)

El adaptador de RACF ahora permite controlar directamente las reglas de conjunto de datos, en lugar de que las administre Identity Manager. Esta función permite crear reglas de conjunto de datos distintas a las nativas de Identity Manager. (ID-10446)

En el ejemplo siguiente, se crea un regla de conjunto de datos de user id.test1.**, en lugar de la predeterminada de Identity Manager, user id.**.

<?xml version='1.0' encoding='UTF-8'?>
<!DOCTYPE ResourceAction PUBLIC 'waveset.dtd' 'waveset.dtd'>
<ResourceAction name='create after action'>
   <ResTypeAction restype='RACF'>
      <act>
         var TSO_PROMPT = " READY";
         var TSO_MORE = " ***";
         var cmd1 = "addsd '"+identity+".test1.**' owner('"+identity+"')[enter]";
         var result1 = hostAccess.doCmd(cmd1, TSO_PROMPT, TSO_MORE);
      </act>
   </ResTypeAction>
</ResourceAction>

El nuevo indicador “use Datasets” determina si Identity Manager administra directamente las reglas de conjunto de datos ("use Datasets" = true) o si difiere el control estrictamente a acciones before y after.

El recurso utilizado para el repositorio maestro de Service Provider ahora admite múltiples variables en la plantilla de identidad. (ID-14290)

El adaptador de tabla de base de datos puede configurarse para omitir las filas que han sido erróneas durante el procesamiento de Active Sync, de modo que en la siguiente interrogación no vuelvan a procesarse las filas erróneas. (ID-15147)

El adaptador de recursos de RACF LDAP admite ahora autenticación intermedia. (ID-15251)

El adaptador de recursos de Access Enforcer permite el cambio de contraseña. (ID-15403)

Se ha incluido un nuevo atributo de recurso (Usar la contraseña de IDM en Create) para configurar el comportamiento de una operación create. Access Enforcer genera una contraseña para la operación create y envía un mensaje que contiene la contraseña generada al usuario recién creado. No se puede impedir el envío de este mensaje, pero si quiere que Identity Manager configure la contraseña en la enviada al adaptador, defina este atributo en true e Identity Manager configurará la contraseña con el valor deseado.

Además, los siguientes atributos están disponibles desde el adaptador de recursos de SAP:

Utilizar contraseña temporal SAP

Devolver contraseñas temporales SAP al fallar

El adaptador de SAP admite la función Cambiar nombre. Para obtener más información, consulte Cambio de nombre de cuentas de Anexos a la documentación y correcciones. (ID-15582)

Se ha añadido el parámetro rethrowAllSQLExceptions al adaptador de tabla de base de datos. (ID-16419)

Si selecciona esta opción, se producirán excepciones de código de error 0.

Si no selecciona esta opción, las sentencias SQL que causan SQLExceptions con código de error 0 procesarán y eliminarán la excepción.

El adaptador de Oracle ERP ahora tiene un atributo de cuenta npw_number para admitir trabajadores eventuales. El atributo de cuenta npw_number funciona igual que employee_number, pero employee_number y npw_number son atributos que se excluyen mutuamente. Si se introducen ambos al crear, tiene prioridad employee_number. (ID-16507)

Ha cambiado el tipo de acceso a los servidores de Remedy. La Puerta de enlace de Sun Identity Manager ya no depende de la versión 4.5 de las bibliotecas de API de Remedy. Ahora hay que situar las bibliotecas de Remedy en el directorio de la puerta de enlace (las bibliotecas de Remedy se encuentran en el servidor de Remedy). Para obtener más información, consulte Remedy de Anexos a la documentación y correcciones. (ID-16551)

Ya es posible especificar el dominio de un recurso de Active Directory en las propiedades de autenticación del recurso. Ello permite limitar un módulo de inicio de sesión para autenticar sólo en un dominio. En un entorno AD multidominio, esto impide que bloqueen cuentas por intentos fallidos de inicio de sesión. (ID-16603) Para implementar esta función, incluya la siguiente propiedad de autenticación en el XML de recursos, dentro del elemento <AuthnProperties>:

Identity Manager ahora puede utilizar el adaptador Attachmate para conectar el producto Sun Java System Identity Manager a recursos de mainframe. (ID-16631)

El método checkIfUserExists ahora incluye un argumento JCO.Client, que ofrece la posibilidad de crear una conexión nueva o utilizar una existente. Se requiere una conexión nueva cuando este método no es el primero que se ejecuta en la conexión. Se siguen permitiendo conexiones existentes para garantizar la compatibilidad con versiones anteriores. En la versión actual, sólo la operación cambiar nombre utiliza esta nueva funcionalidad. (ID-16902)

Seguridad

Identity Manager incorpora un nuevo grupo de objetos/organización denominado Usuario final, que inicialmente no tiene miembros. El grupo de objetos/organización Usuario final permite a los usuarios visualizar varios tipos de objetos, incluyendo tareas, reglas, roles y recursos. Este grupo de objetos/organización se asigna implícitamente a todos los usuarios. Para obtener más información, consulte Capítulo 5, Administration (Administración) de Anexos a la documentación y correcciones. (ID-14630)

Al definir un rol de administrador, ahora se puede activar la casilla de verificación Excluir todas las organizaciones derivadas controladas y los objetos contenidos para excluir del ámbito de control del usuario todas las organizaciones secundarias controladas y sus objetos contenidos. Desactive esta casilla para que el usuario que tiene asignado el rol de administrador disfrute de todas las capacidades asociadas en todas las organizaciones secundarias y sus contenidos. (16859)

El componente de presentación de texto ahora puede indicar autocomplete="off" en los campos de entrada donde el atributo autocomplete de la propiedad display se ha configurado en off. Al especificar autocomplete="off", se impide que los navegadores inviten a almacenar las credenciales del usuario en el equipo. (ID-17045)

Esta personalización se puede efectuar en XPRESS agregando la propiedad de presentación. Con un valor distinto a off se impide que se suministre el atributo autocomplete (lo que equivale a no definir la propiedad).

Para habilitar esta característica en las páginas de inicio de sesión login.jsp, continueLogin.jsp, user/login.jsp y user/continueLogin.jsp de Identity Manager, cambie el objeto de configuración del sistema ui.web.disableAutocomplete a true.

XPRESS genera otros formularios de inicio de sesión de Identity Manager, lo que obliga a modificar los siguientes formularios (ubicados en el directorio sample) para utilizar la nueva propiedad de presentación:

Inicio de sesión de usuario anónimo

Formulario de inicio de sesión con pregunta

Formulario de validación de registro de usuario final anónimo

Formulario de compleción de registro de usuario final anónimo

ID de usuario de búsqueda

La propiedad de presentación display se ha incorporado a los formularios anteriores, pero está inhabilitada de manera predeterminada.



Nota	De acuerdo con el artículo de compatibilidad suministrado en la ubicación siguiente http://support.microsoft.com/default.aspx?scid=kb;en-us;329156 AutoComplete no funciona en Internet Explorer si se utiliza JavaScript para enviar el formulario.

Problemas corregidos en esta versión

En esta sección se describen los problemas que se han corregido en Identity Manager 7.1 - Actualización 1. La información se ha organizado como sigue:

Interfaces de administrador y usuario

Cuando se hace clic en Editar dentro de la página de resultados de usuario antes de indicar qué usuario se edita ya no se produce el error 404 Archivo no encontrado. Ahora aparece un mensaje de error indicando que hay que seleccionar un usuario. (ID-10944)

La página Ver paneles de control ahora muestra texto localizado en la columna Resumen del panel de control. (ID-11544)

Ahora se pueden localizar por completo los formularios de confirmación que aparecen al realizar acciones con múltiples usuarios u organizaciones de la lista Cuentas o los resultados de Buscar usuarios. (ID-12248)

La columna Resumen de la página Ejecutar informes ahora muestra texto localizado correctamente. (ID-12393)

La vista Listar grupos de recursos de la ficha Recurso ahora muestra la lista Grupo de recursos por el orden en que se ha guardado, en vez de ordenarla. (ID-14117)

El mecanismo de sincronización del atributo role anterior y el actual roles ahora puede borrar el atributo role anterior cuando se suprimen roles. (ID-14568)

Cuando se desasignan cuentas de recurso a un usuario mediante la funcionalidad Editar usuario, la SITUACIÓN de la cuenta en el índice de cuenta ya se actualiza correctamente en todos los casos. (ID-15310)

Al hacer clic en el botón Regenerar de un formulario (no en la página del navegador) tras cambiar las asignaciones de roles de un usuario, ya no se generan aprobaciones de los roles que se habían aprobado con anterioridad. (ID-15500)

Las funciones de JavaScript que utiliza el componente de presentación Selector ya no producen errores en Internet Explorer. (ID-15540)

Los nombres de gráfico del panel de control se han localizado coherentemente en la página Editar panel de control. (ID-16008)

Identity Manager ahora actualiza correctamente los subroles y súper roles durante una acción SaveAs. (ID-16010)

La combinación de Organización de usuario con otras opciones de búsqueda ya no produce resultados vacíos. (ID-16076)

Ahora la sesión se define correctamente durante las expansiones y derivaciones mientras se procesa la creación de cuentas de recurso en acciones globales. (ID-16181)

Si elimina un delegado, todos los elementos de trabajo (por ejemplo, las aprobaciones) que debían delegarse se asignan a la siguiente persona de la ruta de delegados existentes. Además, Identity Manager registra el evento en el registro del sistema. (ID-16417)

Al crear o editar un usuario, ahora los administradores pueden asignar un gestor fuera del ámbito de control del administrador. (ID-16452)

Identity Manager ahora ordena correctamente los atributos extendidos de usuario en la tabla del árbol de cuentas de usuario (ID-16488)

Se ha aumentado el rendimiento para almacenar organizaciones en la memoria caché. Debería apreciar la mejoría en los procesos concurrentes de acceso a datos de la organización, como la creación y edición de usuarios. (ID-16543)

Al delegar elementos de trabajo futuros en usuarios, la lista de usuarios en quienes se puede delegar está formada por las personas situadas dentro del ámbito del usuario al que corresponde la delegación, ya los defina dicho usuario o un administrador en su nombre. (ID-16561)

Es posible editar y guardar delegaciones de elementos de trabajo actuales o anteriores. (ID-16564)

Cuando se delegan elementos de trabajo futuros a un usuario, si éste carece de administrador de Identity Manager o no puede acceder a ningún otro usuario o DelegateWorkItemsRules, dicho usuario ya no puede crear nuevas delegaciones, ni editar las actuales o las anteriores. (ID-16566)

Las definiciones de tarea que contienen acciones manuales (ManualActions) ya se ejecutan correctamente desde la interfaz de usuario final. (ID-16694)

Ahora es posible asignar múltiples cuentas de recurso con el formulario de usuario Dynamic Tabbed User Form. (ID-16711)

Las tareas de servidor se ordenan por hora de inicio. (ID-16783)

Durante una acción de búsqueda, RuleDrivenMembersCache ahora devuelve una sola lista de ObjectGroupRefs para evitar que se devuelva el mismo usuario varias veces para la misma organización. (ID-16795)

La columna Estado ya no aparece en las páginas de resultados si no contiene datos. (ID-16889)

Al abrir una ventana de ayuda de nivel de campo (iHelp) en navegadores basados en WebKit (como Safari en Mac OS X), ya no se obtiene una ventana vacía (en blanco). (ID-16927)

Ya no se produce una excepción de puntero nulo cuando los usuarios intentan cambiar sus propias contraseñas en la interfaz de usuario final. (ID-16942)

Al utilizar continueLogin.jsp en la interfaz de administrador ya no se producen errores de JavaScript. (ID-16989)

Los administradores con permisos incorrectos ya no pueden eliminar objetos en las páginas de depuración. (16991)

La página continueLogin.jsp ahora contiene un botón ¿Olvidó su ID de usuario?. (ID-16992)

Es posible borrar el valor del tipo de campo DatePicker en los formularios. Para ello deben estar vacías las tres partes de la propiedad multicampo (día, mes y año). (ID-17022)

Se ha detectado y corregido una vulnerabilidad de secuencia de comandos entre sitios en las páginas siguientes (ID-17241):

task/taskLaunch.jsp

user/processLaunch.jsp

user/requestLaunch.jsp

Auditoría

Si entra en la página de revisiones de acceso después de ejecutar una revisión de acceso periódica, ya no tendrá que actualizar la página a mano para ver la exploración en la lista. (D-14169, 16570)

Las funciones de cumplimiento de Identity Manager ofrecen tareas, directivas y reglas listas para usarse. (ID-16127, 16571)

Identity Manager crea inicialmente estos objetos en los grupos de la organización superior o de todas, según corresponda. En las implementaciones donde se usa administración delegada con administradores que no controlan el grupo de objetos superior, puede interesar añadir algunos o todos los objetos de Auditor a otros grupos de objetos. Identity Manager ofrece una secuencia de comandos que crea una lista de objetos de grupo y los añade o elimina de los objetos de Auditor. (Encontrará la lista completa de objetos de Auditor en $WSHOME/sample/scripts/AuditorObjects.txt.)



Nota	En las secuencias de comandos siguientes, la sintaxis prevista de idm-url es [http://]hostname:port[/idm/servlet/rpcrouter2], donde se necesita al menos hostname:port. Puede omitir el servidor de Identity Manager si está vinculado a la ruta URL predeterminada.

Para ver la lista de objetos:

cd $WSHOME/sample/scripts
beanshell.sh objectGroupUpdate.bsh -u Configurator -p Configurator's password -h idm-url -action list -data AuditorObjects.txt

Para agregar el grupo de objetos 'All' a todos los objetos:

cd $WSHOME/sample/scripts
beanshell.sh objectGroupUpdate.bsh -u Configurator -p Configurator's password -h idm-url -action add -data AuditorObjects.txt -groups

Para eliminar el grupo de objetos 'All' de todos los objetos:

cd $WSHOME/sample/scripts beanshell.sh objectGroupUpdate.bsh -u Configurator -p Configurator's password -h idm-url -action remove -data AuditorObjects.txt -groups All



Nota	Se pueden usar grupos de objetos Top y All con sus nombres coloquiales, pero casi todos los demás grupos de objetos requieren el uso del identificador de grupo de objetos con esta utilidad.

Ahora se aplica cumplimiento continuo en todas las subfichas de la página Editar usuario. (ID-16934)

Cuando se termina una delegación en la interfaz de usuario y después se ejecuta un informe de registro de auditoría, los cambios se capturan en el informe de auditoría. (ID-17103)

Instalación y actualización

Para saber cómo se crea la estructura de base de datos necesaria en SQL Server 2005 SP2, consulte los comentarios incluidos en la secuencia de comandos de creación de la base de datos de ejemplo (sample/create_waveset_tables.sqlserver). (ID-17021)

Entorno de desarrollo integrado (IDE) de Identity Manager

Ahora es posible probar las reglas de una biblioteca seleccionando el nodo de reglas en la vista de árbol o haciendo clic con el botón secundario dentro del elemento <Form>/<Rule> en el XML. (ID-14093, 14842)



Nota	El comprobador de reglas sirve para editar y probar bibliotecas de reglas, pero aún no se han implementado la navegación y las propiedades para este tipo de bibliotecas.

Los objetos bloqueados se pueden desbloquear al registrar el ingreso de una vista o cerrarla. (ID-14797, 16573)

Al registrar el ingreso de una vista, ésta pasa a ser de sólo lectura. A continuación se puede hacer clic con el botón secundario en Almacén > Vista para suprimir y seleccionar Desbloquear vista en el menú emergente para extraer la vista y que vuelva a ser de escritura. Además, cuando se cierra la ventana de la vista, ésta se desbloquea de forma implícita.

Por compatibilidad con la versión 7.0, debe suprimir com.waveset.rpc.SimpleRpcHandler de web.xml para evitar el problema de desbloqueo. Ahora, cuando se configura un proyecto totalmente funcional, Identity Manager IDE comprueba automáticamente el archivo web.xml y pregunta si se desea suprimir com.waveset.rpc.SimpleRpcHandler.

Se ha arreglado el cuadro de diálogo Adjuntar del depurador de Identity Manager IDE, que ahora funciona en Netbeans 5.5.1. (ID-16731)

Sincronización de contraseña

El dll de sincronización de contraseña ahora muestra los mensajes de error correctos cuando se producen fallos de conexión, en lugar del mensaje There was a soap client error: -2147467259. Así también se solucionan posibles pérdidas de identificadores con los fallos de conexión. (ID-15451)

Los cambios de objeto de equipo en Active Directory ya no producen pérdidas de identificador en el dll PasswordSync. (ID-16495)

Al iniciar el controlador de dominio de AD en el modo Directory Service Restore con la sincronización de contraseña instalada, ya no se desencadena un ciclo de reinicio continuo si falla dicha sincronización. (ID-16695)

Si utiliza JMS para sincronizar una contraseña de usuario de Windows Active Directory para un usuario que no existe en Identity Manager, en el seguimiento se registrará un mensaje apropiado. (ID-16920)

Reconciliación

La pérdida del suceso de tarea Start Reconcile ya no deja al reconciliador atascado en un estado Pendiente. (ID-14555)

Informes

Es posible seleccionar un nombre de recurso para el eje x de un informe de uso, y el valor se utilizará en la consulta. (ID-12035)

Los cambios efectuados en las preguntas de autenticación de un usuario se registran en los registros de auditoría. (ID-13082)

Identity Manager registra un error cuando elimina un usuario no existente y crea un incidente de auditoría para informes. (ID-13284)



Nota	En las versiones 6.0 SP4 y posteriores, el evento de eliminación se incluye en los registros del sistema, no en el informe de registro de auditoría.

Las etiquetas <b></b> HTML ahora se suprimen en los siguientes informes PDF (ID-15408):

Todos los roles de administrador

Todos los administradores

Todos los roles

Identity Manager ahora admite el tipo de datos CLOB para acctAttrChanges cuando se utiliza una base de datos Oracle como repositorio de Identity Manager. (ID-15326)

La ventaja de utilizar CLOB (en lugar del tipo de datos predeterminado VARCHAR(4000)) es que permite registrar muchos más cambios; sin embargo, también dificulta la consulta de esta columna debido a la naturaleza propietaria de las rutinas de acceso de CLOB.

Para habilitar conjuntos de cambios más amplios, debe cambiar el tipo de columna log.acctAttrChanges a CLOB (desde VARCHAR(4000)) y ajustar como corresponde el atributo maxLogAcctAttrChangesLength del objeto de configuración RepositoryConfiguration.

El correo electrónico recibido ya no contiene residuos de etiquetas HTML en el cuerpo del mensaje. Los encabezados de correo electrónico ahora se procesan mediante processMessage en lugar de processImage, y se comprueban tanto las cadenas vacías como nulas. (ID-15745)

En el gráfico de los cambios de contraseña y otros informes de uso ahora se necesita el valor del operando para poder enviar el formulario. (ID-15777)

Al editar informes, se puede hacer clic en el botón Ejecutar para ejecutar el informe sin guardar sus cambios. Use el botón Guardar para guardar los cambios introducidos en el informe. (ID-17212)

Recursos

El adaptador de SecurID UNIX ahora utiliza el nombre de atributo de usuario de recurso para resolver el nombre de atributo de esquema (valor de LHS) para leer/modificar. (ID-10521)

Los adaptadores de SecurID ACE/Server ahora aplican el requisito de RSA por el cual un “inicio de sesión predeterminado” únicamente puede contener caracteres ingleses de un solo byte. (ID-13805)

Ahora es posible utilizar el atributo de recurso Tiempo de espera para mutex para adaptadores UNIX con el fin de especificar cuánto tiempo (en segundos) deben esperar determinadas operaciones al mutex de secuencia de comandos. (ID-14234)

Identity Manager 7.1 - Actualización 1 es compatible con las versiones 6.3 y 7.0 de Remedy. Sin embargo entre estas versiones existen abundantes diferencias fundamentales en cuanto a datos de ejemplo, valores predeterminados y configuración inmediata. Por ejemplo, el esquema “ticket” se denomina HPD:HelpDesk en la versión 6.3, mientras que en la 7.0 se ha cambiado a HPD:Help Desk. (ID-14611)

Se ha actualizado el registro de auditoría para que refleje con más exactitud lo que ocurrido con los atributos de recurso al crear o modificar una cuenta de recurso. (ID-15323)

Ahora, el registro contiene tres columnas para los atributos de cuenta de recurso:

La primera columna (valor anterior) muestra el valor antes de la modificación.

La segunda columna (valor intentado) muestra el cambio solicitado.

La tercera columna (valor nuevo) muestra el valor realmente definido. En caso de error, el valor solicitado no será igual que el realmente definido.

Si una cuenta de afinidad de recursos de un recurso de RACF carece de suficientes privilegios para mostrar un usuario, Identity Manager genera un mensaje de error adecuado. (ID-15331)

Al eliminar cuentas RACF, el sistema consulta los perfiles de conjunto de datos del usuario (mediante una máscara de búsqueda), enumera dichos conjuntos y elimina conjuntos de datos individuales (en lugar de suprimirlos todos con un comando DELDSD .**) (ID-15413)

Todas las responsabilidades de Oracle ERP ahora aparecen en la lista desplegable de responsabilidades del formulario de usuario de Oracle ERP. Esta lista incluirá las responsabilidades de Oracle ERP que no están asignadas a ningún usuario. (ID-15492)

El adaptador de Oracle ERP ya no devuelve una excepción java.lang.IndexOutOfBoundsException cuando se intenta recuperar una responsabilidad que no existe en Oracle ERP. Ahora devuelve un valor nulo. (ID-15493)

La línea processLine de FlatFileActiveSync ahora devuelve errores de procesamiento normales para usarlos en cálculos de AllowedErrorCount. (ID-15662)

Las acciones antes y después funcionan correctamente con el adaptador de HP OpenVMS. (ID-15920)

Ya no se producen interbloqueos cuando se utiliza Active Sync con un recurso de PeopleSoft. (ID-16109)

El adaptador de SAP permite actualizar el campo ALIAS en SAP. La asignación de atributo en la configuración de esquema es ALIAS->USERALIAS. (ID-16320)

Ya no se produce una excepción de puntero nulo en el adaptador de recursos de tabla de base de datos cuando están mal configurados la base de datos o el recurso. (ID-16358)

La variable de flujo de trabajo WF_ACTION_ERROR ahora se configura cuando se produce un error en el adaptador de recursos de Remedy. (ID-16360)

Los nombres de atributo situados en el lado derecho de la asignación de esquemas del adaptador de SAP se han cambiado como sigue: (ID-16399)


Nombre anterior	Nombre nuevo
title	titleP
nameSupplement	titleSupplement
communicationTypeCUA	communicationType
personName	addressName
personName2	addressName2
personName3	addressName3
personName4	addressName4
cityPostalCode2	poBoxPostalCode
cityPostalCode3	companyPostalCode
poBoxCityNumber	poBoxCityCode
streetCode	streetNumber

El adaptador de Oracle ERP ya no borra los valores anteriores de las responsabilidades al cargar un solo usuario. Se ha añadido al formulario una cláusula de valor predeterminado para inicializar correctamente las responsabilidades. (ID-16414, 16654)

El mecanismo AttrParse de lista de usuarios de RACF predeterminado ahora admite las versiones 1.6 y 1.8 de RACF permitiendo las diferencias de formato en la línea DEFAULT-GROUP y haciendo opcional PHRASEDATE. (ID-16580)

Los nombres de asignación de esquemas del adaptador de SAP se han cambiado para que reflejen mejor la semántica SAP del atributo. (ID-16634)

La puerta de enlace ahora puede devolver el valor correcto cuando se bloquean las cuentas porque ha caducado la contraseña, de modo que Identity Manager permite a los usuarios cambiar la contraseña. (ID-16681)

Los adaptadores de recursos que utilizan el software IBM Host ya pueden cargar correctamente archivos HoD JAR. (ID-16690).

Ahora, cuando el atributo Eliminar totalmente el usuario del adaptador de recursos de AIX se configura en true, el atributo puede agregar correctamente el argumento -p al comando rmuser emitido por el adaptador. (ID-16706)

El analizador XmlParser ahora filtra correctamente las declaraciones DOCTYPE en las cadenas XML. (ID-16909)

Cuando se usan bibliotecas de Attachmate para acceder a un mainframe, Identity Manager utiliza el puerto especificado en el recurso, en lugar de usar siempre el puerto TCP predeterminado (23). (ID-17046)

El formulario de ejemplo AccessEnforcerUserForm ahora admite casos en que la asignación de rol de un usuario de Access Enforcer sólo contiene un único rol de SAP. (ID-17161)

Roles

Las reglas empleadas para calcular atributos de recurso de los roles ya no se aplican cuando un usuario inicia la sesión en la página de usuario final. (ID-13338)

La lista de aprobadores de Roles > Buscar roles ahora está ordenada. (ID-16392)

Programador de actividades

Las tareas programadas ya no las procesan múltiples servidores a una determinada hora de inicio programada. (ID-16318)

Seguridad

Los aprobadores que no controlan TOP no pueden ver los elementos que han aprobado o rechazado previamente. (ID-15271)

Servidor

Ahora se puede utilizar una plantilla de correo electrónico emailTemplate personalizada para las aprobaciones reenviadas. Debe especificar emailTemplate en los subprocesos de aprobación por ID. (ID-16468)

SPE

Con la tarea de sincronización de SPE ya no fallan los reintentos de transacción antes de alcanzar el máximo número de reintentos especificado. Si un recurso de destino está inactivado y se ejecuta una operación delete en el recurso de origen con los reintentos de transacción habilitados, la operación delete no fallará hasta que el número de reintentos de transacción supere el máximo especificado. (ID-16120)

SPE ahora puede utilizar atributos de asignación de nombres de usuario de SPE distintos a accountId para acceder a los usuarios mediante el formulario Olvidó su contraseña. Aunque accountId es el atributo predeterminado, es posible configurar búsquedas de usuario desde dentro de la configuración de SPE para utilizar otros nombres de atributo de búsqueda. (ID-16918)

Flujo de trabajo

Ya no es posible editar elementos de trabajo caducados. Identity Manager ahora devuelve un error indicando que el elemento no es válido. (ID-15439)

Al configurar un gran número de usuarios con la misma dirección de correo electrónico ya no se produce un error OutOfMemory para una acción Notificar. (ID-16386)

Otros problemas corregidos

9940, 11690, 14489, 15073, 15906,16382, 16395, 16500, 16536, 16560, 16586, 16596, 16610, 16656, 16680, 16770, 16870, 16930, 17044, 17055

Problemas detectados

En esta sección de las Notas de la versión de Identity Manager 7.1 - Actualización 1 se enumeran los problemas detectados y se ofrecen soluciones:

Si se edita un usuario a la vez que se ejecuta Active Sync como otro administrador, se produce una excepción de Active. Como otro administrador bloquea al usuario, Active Sync no puede reintentar el proceso. (ID-11255)

Solución: Para que Active Sync pueda realizar reintentos con un recurso, actualice el XML de recursos incluyendo los dos atributos de recurso adicionales con el formato que se indica:

Donde:

syncRetryCountLimit es el número de veces que se reintenta la actualización.

syncRetryInterval es el número de milisegundos que se espera entre reintentos.

Estos valores aparecerán después como opciones de recurso personalizados al configurar Active Sync. Es conveniente especificar un displayName, utilizando una clave de catálogo personalizada si se necesita localización.

Debido a una regresión, la sincronización de contraseña de Identity Manager falla cuando se utiliza con Sun Java^TM System Directory Server Enterprise Edition 6.0, 6.1 y 6.2. El fallo se corregirá en la versión Directory Server 6.3. Si se necesitan las versiones 6.0, 6.1 o 6.2 para trabajar con Identity Manager, solicite a asistencia técnica un parche para Directory Server, mencionando como referencia el error 6604342 de Directory Server. (ID-14895)

Cuando se expanden los objetos de recurso de un recurso de Sun Java^™ System Access Manager 7.0 desde la ficha Recursos, puede aparecer este error: (ID-15525)

Error al listar objetos. ==> com.waveset.util.WavesetException: Error al tratar de obtener el valor de atributo para el atributo 'guid'. ==> java.lang.IllegalAccessError: tried to access method com.sun.identity.idm.AMIdentity.getUniversalId()Ljava/lang/String; from class com.waveset.adapter.SunAccessManagerRealmResourceAdapter

Este error se produce con recursos de Access Manager 7.0 a los que no se ha aplicado ningún parche. Para solucionar el problema, debe aplicar al menos el parche 1 de Access Manager y después volver a compilar e implantar el SDK de cliente de Access Manager.

El repositorio LocalFiles predeterminado no funciona con Sun Java™ System Application Server 9.x. Hay que utilizar una de las bases de datos compatibles (indicadas en la sección Software y entornos admitidos de estas Notas de la versión) o MySQL durante el desarrollo. Algunas personas han logrado deshabilitar el gestor de seguridad para el contenedor particular y configurar la memoria con un valor superior, pero ninguna es una solución definitiva a este problema. (ID-15589)

Algunas palabras de la ficha de la pantalla “Editar usuario” pueden ajustarse en el modo de varios idiomas. (ID-16054)

Solución: Para asegurarse de que las palabras mostradas en las fichas no se ajusten, agregue lo siguiente a $WSHOME/styles/customStyle.css:

table.Tab2TblNew td
{background-image:url(../images/tabs/level2_deselect.jpg);background-repeat:repeat-x;b ackground-position:left top;background-color:#C4CBD1;border:solid 1px #8f989f;white-space:nowrap}

table.Tab2TblNew td.Tab2TblSelTd
{border-bottom:none;background-image:url(../images/tabs/level3_selected.jpg);backgroun d-repeat:repeat-x;background-position:left bottom;background-color:#F2F4F3;border-left:solid 1px #8f989f;border-right:solid 1px #8f989f;border-top:solid 1px #8f989f;white-space:nowrap}

Por problemas de interoperabilidad entre los orígenes de datos de WebSphere y los controladores Oracle JDBC, los clientes de Oracle que deseen utilizar un origen de datos de WebSphere con Identity Manager deben usar Oracle 10g R2 y el correspondiente controlador JDBC. (El controlador Oracle 9 JDBC no funciona con un origen de datos de WebSphere e Identity Manager.) (ID-16167)

Si tiene una versión de Oracle anterior a 10g R2 y no puede actualizar a 10g R2, configure el repositorio de Identity Manager de manera que se conecte a la base de datos de Oracle mediante un controlador administrador JDBC de Oracle (no un origen de datos de WebSphere).

Para obtener más información, consulte la URL siguiente:

http://www-1.ibm.com/support/docview.wss?uid=swg21225859

En las columnas Prioridad y Gravedad del informe resumido de infracciones aparecen números en lugar de descripciones textuales. (ID-16932)

El informe resumido de infracciones no muestra infracciones corregidas o solucionadas. (ID-16933)

La columna Estado de infracción del informe resumido de infracciones debe estar localizada. (ID-17011)

Se incluye la opción EXEMPTED en el menú descendente Posibles estados del informe resumido de infracciones. (ID-17042)

El instalador de Identity Manager no se ejecuta con JDK de 64 bits. (ID-17104)

Soluciones:

Instalación manual.

Use una versión de JDK de 32 bits para ejecutar el instalador.

Configure os.arch="x86" definiendo JAVA_OPTS (usado por install.bat) para realizar la instalación. Por ejemplo:

set JAVA_OPTS=-Dos.arch="x86"

install.bat

Si aprovisiona usuarios de GroupWise a través de una puerta de enlace de Identity Manager en modo monosubproceso (por ejemplo, se crea una clave de registro ExclusiveNDSContext con un valor de 1), puede producirse un error similar al siguiente al intentar actualizar un usuario de GroupWise: (ID-17144)

XPRESS exception ==> com.waveset.util.WavesetException: Can't call method getResourceObject on class com.waveset.ui.FormUtil ==> com.waveset.util.WavesetException: Error connecting to the GroupWise domain (cn=7GWDOM.o=6idmtest): Error occurred opening the database. Check the path.

Solución: Para aprovisionar usuarios de GroupWise, ejecute la puerta de enlace en modo multisubproceso. Para ejecutar en modo multisubproceso, elimine la clave de registro ExclusiveNDSContext o configure el valor de la clave de registro ExclusiveNDSContext en 0, después detenga y reinicie la puerta de enlace.

Todos los informes de exploración de cuentas inactivas no muestran sus resultados en la página Ver análisis de riesgo. Para ver el resultado de estos informes, vaya a la página Tareas de servidor. (ID-17255)

Al instalar la sincronización de contraseña, no olvide utilizar el archivo binario correspondiente al sistema operativo donde instale. Para Windows de 32 bits es IdmPwSync_x86.msi, mientras que para Windows de 64 bits es IdmPwSync_x64.msi. Si utiliza un archivo inadecuado, quizá parezca que la instalación es correcta, pero la sincronización de contraseña no funcionará bien. (ID-17290)

Para desinstalar la sincronización de contraseña, utilice la función Agregar o quitar programas del Panel de control de Windows para asegurarse de eliminarla por completo.

La directiva de cuenta cíclica de Identity Manager tal vez no asigne las preguntas de autenticación por orden secuencial. (ID-17295)

Se puede producir una infracción de sellado cuando se utiliza Identity Manager 7.1 o 7.1 - Actualización 1 con Oracle 10g en Sun Java^™ System Application Server Enterprise Edition 8.2. El problema puede deberse a la presencia de más de un archivo JAR de Oracle JDBC en la ruta de clase CLASSPATH o de una versión incompatible del archivo JAR de JDBC en CLASSPATH. (ID-17311)

Asegúrese de que haya un único archivo JAR de Oracle JDBC en CLASSPATH y que sea de una versión compatible, como el archivo JAR suministrado durante la instalación de Oracle.

WRQ busca en la ruta de clase classpath para detectar su propia entrada. A partir de dicha entrada, WRQ determina el directorio donde está almacenado el archivo JAR y después utiliza dicho directorio para leer el archivo de licencia .JAW. No obstante, tanto BEA como WebSphere utilizan nombres d protocolo no estándar (BEA usa zip y WebSphere usa wsjar), en lugar del estándar JAR, que es el protocolo que el código de WRQ asume que existe. (ID-17319)

Solución: Añada la opción siguiente al comando java en el archivo startWeblogic.sh :

-Dcom.wrq.profile.dir="<dir que contiene el archivo JAW>"

Antes de crear un recurso nuevo, no olvide habilitar el tipo de recurso en la lista de tipos configurados. De lo contrario, el objeto de recurso recién creado quizá no tenga todos los campos necesarios. (ID-17324)

Si al editar o actualizar un usuario intenta asignar un atributo idmManager que aún no existe (por ejemplo, falta idmManager), aparecerá el mensaje de error siguiente y no se guardará la modificación. (ID-17339)

'No se ha encontrado el elemento Item User:[idmManager that doesn't exist] en el depósito, se ha debido eliminar en otra sesión'

Este problema no surge cuando se crea un usuario nuevo.

Las configuraciones de informe no se conservan al actualizar de la versión 7.1 a 7.1 Actualización 1. Guarde los objetos de configuración de informe antes de actualizar. (ID-17363)

Cuando se ejecuta Cargar desde recurso y el recurso admite ACCOUNT_CASE_INSENSITIVE_IDS, si las mayúsculas y minúsculas del ID de cuenta del usuario no coinciden con las del ID de cuenta almacenado en el objeto de usuario ResourceInfo de Identity Manager se añadirá un segundo ResourceInfo al objeto de usuario con el ID de cuenta en las mismas mayúsculas y minúsculas que indica el recurso.

Solución: Asegúrese de que el ID de cuenta del objeto Identity Manager ResourceInfo que hay en el objeto de usuario tenga las mismas mayúsculas y minúsculas que indica el recurso. (ID-17377)