Caractéristiques de la version 7.1 Update 1 d’Identity Manager

Cette section des notes de version d’Identity Manager 7.1 Update 1 contient des informations sur les sujets suivants :

Nouveautés de cette version

Cette section contient des informations supplémentaires sur les nouveautés incluses dans Identity Manager 7.1. Ces informations sont organisées de la manière suivante :

Interfaces administrateur et utilisateur

Audit

IDE (Integrated Development Environment) Identity Manager

Synchronisation des mots de passe

Ressources

Sécurité

Interfaces administrateur et utilisateur

Les attributs étendus d’Identity Manager prennent désormais entièrement en charge les attributs à valeurs multiples. (ID-14863)



Remarque	Une condition d’attribut faisant référence à un attribut étendu à valeurs multiples n’effectuera l’évaluation correctement pour un objet utilisateur qu’après la resérialisation de cet objet utilisateur. Si vous voulez qu’une telle condition d’attribut effectue correctement l’évaluation pour tous les objets utilisateur, vous devez resérialiser tous les objets utilisateur. Les instructions de resérialisation des utilisateurs figurent dans la section Problèmes de mise à niveau.

Un bouton Retourner au menu principal a été ajouté au formulaire Lancer les demandes pour ramener les utilisateur à la page d’accueil d’Identity Manager. (ID-15957)

Le formulaire Lancer les demandes (EndUserRequestMenu) étant conservé lors des mises à niveau, vous devez ajouter manuellement ce bouton à une interface Utilisateur final en faisant référence à l’objet UserForm par défaut dans sample/enduser.xml.

Identity Manager prend en charge le navigateur Microsoft Internet Explorer 7. (ID-16708)

Lors des mises à niveau de versions précédentes d’Identity Manager vers la version 7.1 Update 1, la fonctionnalité ID utilisateur oublié ? de la page Connexion à Identity Manager est désactivée par défaut. (ID-16715)

Pour activer cette fonctionnalité de sorte à permettre aux utilisateurs de récupérer leurs ID utilisateur, vous devez modifier les attributs suivants dans l’objet Configuration système :

ui.web.user.disableForgotUserId = false

ui.web.admin.disableForgotUserId = false

Les fonctionnalités de chronométrage des appels et de suivi sont maintenant liées : les statistiques de synchronisation des appels peuvent désormais uniquement être recueillies lorsque le suivi est activé. Ce changement affecte les pages de débogage d’Identity Manager. Pour plus d’informations, reportez-vous à Guide Identity Manager Tuning, Troubleshooting, and Error Messages dans Ajouts et corrections apportés à la documentation. (ID-17106)

Audit

Les enregistrements d’audit relatifs à la création de rôles fournissent désormais des informations sur le rôle (entre autres : ressources assignées, sous-rôles, super rôles et attributs du rôle) dans la section réservée aux modifications du rapport d’audit. (ID-16327)

IDE (Integrated Development Environment) Identity Manager

Vous pouvez utiliser le nouveau profileur d’Identity Manager pour rechercher et corriger les problèmes de performance dans les formulaires, Java, les règles, les flux de travaux et XPRESS. (ID-14311)

Pour plus d’informations sur ce nouvel outil, reportez-vous à Guide Identity Manager Tuning, Troubleshooting, and Error Messages.

Le serveur d’application imbriqué Netbeans s’arrête désormais automatiquement lorsque vous effectuez l’une des opérations de projet suivantes (ID-16738) :

nettoyer un projet ;

créer une distribution Delta ;

créer un fichier JAR ;

déboguer un projet ;

gérer un référentiel imbriqué ;

profiler un projet ;

exécuter un projet.

La fonctionnalité Manage Embedded Repository (Gérer le référentiel imbriqué) d’Identity Manager IDE peut désormais importer vos personnalisations ainsi que le fichier init.xml par défaut du moment que vous sélectionnez Initialize Repository (Initialiser le référentiel) ou Automatically publish IDM objects repository settings (Publier automatiquement les paramètres du référentiel d’objets IDM). (ID-16749)

Les changements suivants ont été apportés au CBE qui accompagne Identity Manager (ID-16812) :

Améliorations de performance :

Validation XML incrémentielle (Identity Manager valide uniquement les fichiers qui ont changé depuis la dernière version)

Remplacements de modèles et copies incrémentiels (Identity Manager se limite à remplacer les modèles et à copier les fichiers qui ont changé depuis la dernière version).

L’action Build Project (Construire un projet) ne crée plus de fichier WAR sous la forme WAR. Une action Create IDM War (Créer un WAR IDM) distincte élabore maintenant le fichier WAR.

Les noms des cibles ont été simplifiés dans build.xml et sont désormais cohérents avec les actions de projet. Pour plus d’informations, reportez-vous à Ant Targets (Cibles Ant) dans la section Core CBE (Configuration Build Environment) (CBE (Configuration Build Environment) de base) du fichier README.txt fourni.

Vous pouvez désormais exécuter les cibles ant sans risque en cliquant avec le bouton droit de la souris sur build-netbeans.xml.

La validation JSP a été nettoyée. La section Setup JSP Validation (Validation JSP de l’installation) du fichier README.txt décrit les pratiques recommandées pour activer la validation JSP.

Les améliorations apportées à la documentation incluent une version améliorée du CBE dans le fichier README.txt et davantage de commentaires intégrés dans build.xml et build-netbeans.xml.

Une unique variable CLASSPATH dans build.xml contrôle désormais le CLASSPATH tant pour la construction que pour l’auto-complétion dans les éditeurs JSP et Java. Pour plus d’informations, reportez-vous à la nouvelle section How to Add a New JAR Dependency (Comment ajouter une nouvelle dépendance JAR) du fichier README.txt.

Dans le fichier build-config.properties, install.includes a été remplacé par install.pattern.substitution.excludes et install.excludes.

Les noms des propriétés ant ont été modifiés et utilisent désormais la convention ant standard . au lieu de -. De plus, les noms de propriété lighthouse* ont été changés en idm*.

La validation XML est maintenant exécutée avant et après l’application des remplacements de modèles.

Pour Identity Manager 7.1 Update 1, il était nécessaire de changer les fichiers suivants dans le projet d’Identity Manager :

build.xml nbproject/project.xml

build-netbeans.xml

custom-init.incremental.xml

build-config.properties

custom-init-common.xml

custom-init-full.xml

Si vous avez modifié l’un de ces fichiers, vous devez fusionner les changements manuellement. Pour plus d’informations, reportez-vous à Mise à niveau de projets de la version 7.1 vers la version 7.1 Update 1.



Remarque	Les fichiers build.xml, build-netbeans.xml et nbproject/project.xml peuvent changer d’une version à l’autre : il convient autant que possible d’éviter de les modifier.

Synchronisation des mots de passe

PasswordSync utilise un servlet récemment créé pour fournir la prise en charge de Windows 64 bits. Ce servlet va dans le fichier web.xml et devrait être configuré comme suit (ID-15660) :

<servlet-name>PasswordSync</servlet-name>

<servlet-class>com.waveset.rpc.PasswordSyncServlet</servlet-class>

<init-param>

<param-name>parameter</param-name>

<param-value>value</param-value>

</init-param>

<load-on-startup>1</load-on-startup>

</servlet>

<servlet-mapping>

<servlet-name>PasswordSync</servlet-name>

<url-pattern>/servlet/PasswordSync</url-pattern>

</servlet-mapping>

Ressources

Nouvelles versions de ressources

Les nouvelles versions de ressources suivantes ont été ajoutées à cette version :

Identity Manager NDSResourceAdapter prend désormais en charge NetWare 6.5 avec eDirectory 8.8. (ID-10612)

L’adaptateur Identity Manager MySAP prend désormais en charge MySAP ERP 2005 (ECC 6.0) Kernel version 7.00 sur SAP. (ID-15205)

Identity Manager prend désormais en charge Sun Access Manager 7.1. (ID-16365)

Identity Manager prend désormais en charge SAP GRC Access Enforcer 5.2. (ID-16642)

Mises à jour de l’adaptateur de ressources

L’adaptateur de ressources MySQL prend désormais en charge l’itération des comptes. L’adaptateur rejette les noms d’utilisateur en double et saute les noms d’utilisateur nuls. (ID-6204)

L’adaptateur RACF vous permet désormais de contrôler directement les règles de jeu de données au lieu de laisser Identity Manager les administrer. Cette fonctionnalité vous permet de créer pour les jeux de données des règles différentes de celles natives d’Identity Manager. (ID-10446)

L’exemple suivant après la création d’une règle crée une règle de jeu de données ID utilisateur.test1.**, à la place de la valeur d’ID utilisateur.** par défaut d’Identity Manager.

<?xml version='1.0' encoding='UTF-8'?>
<!DOCTYPE ResourceAction PUBLIC 'waveset.dtd' 'waveset.dtd'>
<ResourceAction name='create after action'>
   <ResTypeAction restype='RACF'>
      <act>
         var TSO_PROMPT = " READY";
         var TSO_MORE = " ***";
         var cmd1 = "addsd '"+identity+".test1.**' owner('"+identity+"')[enter]";
         var result1 = hostAccess.doCmd(cmd1, TSO_PROMPT, TSO_MORE);
      </act>
   </ResTypeAction>
</ResourceAction>

Le nouvel indicateur use Datasets contrôle si Identity Manager administre les règles relatives aux jeux de données lui-même ("use Datasets" = true) ou remet le contrôle strictement aux actions before et after.

La ressource utilisée pour le référentiel maître du fournisseur de services peut désormais avoir plusieurs variables dans le modèle d’identité. (ID-14290)

Vous pouvez désormais configurer l’adaptateur Database Table pour qu’il saute les lignes passées pendant le traitement Active Sync de sorte que la prochaine interrogation ne traite pas de nouveau les lignes ayant échoué. (ID-15147)

L’adaptateur de ressources LDAP RACF prend désormais en charge l’authentification d’intercommunication. (ID-15251)

L’adaptateur Access Enforcer Resource prend désormais en charge la fonctionnalité de changement du mot de passe. (ID-15403)

Un nouvel attribut de ressources (Utiliser le mot de passe IDM lors de la création) a été ajouté pour configurer le comportement pour une opération create. Access Enforcer génère un mot de passe pour l’opération de création et envoie un e-mail contenant le mot de passe généré à l’utilisateur nouvellement créé. Vous ne pouvez pas empêcher l’envoi de cet e-mail mais si vous voulez que Identity Manager définisse le mot de passe sur celui envoyé à l’adaptateur, définissez cet attribut sur true et Identity Manager définira le mot de passe sur la valeur voulue.

De plus, les attributs suivants sont disponibles depuis l’adaptateur de ressources SAP :

Utiliser les mots de passe temporaires SAP

Retourner les mots de passe temporaires SAP en cas d’échec

L’adaptateur SAP prend maintenant en charge la fonctionnalité Renommer. Pour plus d’informations, reportez-vous à Renommage des comptes dans Ajouts et corrections apportés à la documentation. (ID-15582)

Le paramètre rethrowAllSQLExceptions a été ajouté à l’adaptateur Database Table. (ID-16419)

Si vous sélectionnez cette option, des exceptions d’ErrorCodes 0 surviendront.

Si vous ne la sélectionnez pas, les déclarations SQL à l’origine des SQLExceptions d’ErrorCode 0 détecteront et supprimeront l’exception.

L’adaptateur ERP d’Oracle a désormais un attribut de compte npw_number pour la prise en charge des travailleurs contingents. L’attribut de compte npw_number fonctionne de la même façon que employee_number, mais l’attribut employee_number et l’attribut npw_number s’excluent mutuellement. Si vous les saisissez tous les deux à la création, employee_number a la priorité. (ID-16507)

La prise en charge de l’accès aux serveurs Remedy a changé. Sun Identity Manager Gateway ne dépend plus de la version 4.5 des bibliothèques d’API de Remedy. Vous devez désormais mettre les bibliothèques de Remedy dans le répertoire Gateway (les bibliothèques Remedy se trouvent sur le serveur Remedy). Pour plus d’informations, reportez-vous à Remedy dans Ajouts et corrections apportés à la documentation. (ID-16551)

Il est désormais possible de spécifier le domaine pour une ressource Active Directory dans les propriétés d’authentification des ressources. Cela permet de limiter un module de connexion pour qu’il n’effectue l’authentification qu’auprès d’un domaine. Dans un environnement AD à plusieurs domaines, cela empêchera tout verrouillage dû à des tentatives de connexion ayant échoué. (ID-16603) Pour implémenter cette fonctionnalité, ajoutez la propriété d’authentification suivante au fichier XML de ressource au sein de l’élément <AuthnProperties> :

Identity Manager peut désormais utiliser l’adaptateur Attachmate pour que le produit Sun Java System Identity Manager se connecte aux ressources de mainframe. (ID-16631)

La méthode checkIfUserExists accepte désormais un argument JCO.Client, ce qui vous donne la possibilité de créer une nouvelle connexion ou d’en utiliser une existante. Une nouvelle connexion est nécessaire dans les cas où cette méthode n’est pas la première méthode à avoir été employée sur la connexion. L’utilisation d’une connexion existante est toujours fournie pour la compatibilité ascendante. Dans la version actuelle, seule l’opération de renommage utilise cette nouvelle fonctionnalité. (ID-16902)

Sécurité

Identity Manager fournit désormais un nouveau groupe ObjectGroup/organization intégré appelé Utilisateur final qui, à l’origine, n’a pas d’objets membres. L’ObjectGroup/organization Utilisateur final permet aux utilisateurs d’afficher plusieurs types d’objets, dont des tâches, des règles, des rôles et des ressources. Cet ObjectGroup/organization est assigné implicitement à tous les utilisateurs. Pour plus d’informations, reportez-vous au Chapitre 5, Administration (Administration) dans Ajouts et corrections apportés à la documentation. (ID-14630)

Lorsque vous définissez un AdminRole, vous pouvez maintenant sélectionner une case à cocher Exclude All Controlled Child Organizations and Contained Objects (Exclure toutes les organisations filles contrôlées et les objets contenus) pour exclure toutes les organisations filles contrôlées et les objets qu’elles contiennent de l’étendue de contrôle de l’utilisateur. Désélectionnez cette case à cocher pour octroyer à l’utilisateur auquel l’AdminRole a été assigné les capacités associées sur toutes les organisations filles et leur contenu. (16859)

Le composant d’affichage Texte peut maintenant rendre autocomplete="off" sur les champs de saisie où l’attribut autocomplete de la propriété display a été défini sur off. Spécifier autocomplete="off" empêche les navigateurs de proposer de stocker les informations d’identification de l’utilisateur sur leur ordinateur. (ID-17045)

Vous pouvez effectuer cette personnalisation dans XPRESS en ajoutant la propriété d’affichage. Utiliser une valeur autre que off empêche l’attribut autocomplete d’être rendu (ce qui revient au même que ne pas définir la propriété).

Pour activer cette fonctionnalité pour les pages de connexion Identity Manager login.jsp, continueLogin.jsp, user/login.jsp et user/continueLogin.jsp, mettez l’objet de configuration système ui.web.disableAutocomplete sur true.

D’autres formulaires de connexion à Identity Manager étant générés à partir de XPRESS, vous devez modifier les formulaires suivants (situés sous le répertoire sample) pour utiliser la nouvelle propriété d’affichage :

Anonymous User Login (Connexion d’un utilisateur anonyme) ;

Question Login Form (Formulaire de connexion à questions) ;

End User Anonymous Enrollment Validation Form (Formulaire de validation d’inscription anonyme d’un utilisateur final)

End User Anonymous Enrollment Completion Form (Formulaire d’achèvement d’inscription anonyme d’un utilisateur final)

Lookup Userid (Recherche d’ID utilisateur)

La propriété display a été ajoutée aux formulaires précédents, mais elle est, par défaut, mise en commentaires.



Remarque	D’après l’article de support figurant dans l’emplacement suivant : http://support.microsoft.com/default.aspx?scid=kb;en-us;329156 AutoComplete ne fonctionne pas dans Internet Explorer si vous utilisez JavaScript pour envoyer le formulaire.

Bogues corrigés dans cette version

Cette section décrit les bogues corrigés dans Identity Manager 7.1 Update 1. Ces informations sont organisées de la manière suivante :

Interfaces administrateur et utilisateur

Cliquer sur Éditer sur la page Résultats de l’utilisateur sans avoir spécifié l’utilisateur à éditer entraîne une erreur 404 File Not Found (Fichier introuvable). Un message s’affiche désormais indiquant que vous devez sélectionner un utilisateur. (ID-10944)

La page Afficher les tableaux de bord affiche désormais la colonne Récapitulatif du tableau de bord en texte localisé. (ID-11544)

Les formulaires de confirmation qui s’affichent lorsque vous effectuez des actions portant sur plusieurs utilisateurs ou sur des organisations depuis la liste Comptes ou les résultats de Rechercher des utilisateurs peuvent maintenant être entièrement localisés. (ID-12248)

La colonne Récapitulatif de la page Exécuter des rapports affiche désormais correctement le texte localisé. (ID-12393)

La vue Groupes de ressources sur l’onglet Ressource affiche désormais la liste Groupes de ressources dans l’ordre dans lequel celle-ci avait été enregistrée et non pas en la triant. (ID-14117)

Le mécanisme de synchronisation de l’attribut role existant et de l’attribut roles courant peut désormais éliminer l’attribut role existant lorsque les rôles sont supprimés. (ID-14568)

Lorsque vous annulez l’assignation de comptes de ressources à un utilisateur en utilisant la fonctionnalité Éditer l’utilisateur, la SITUATION des comptes dans l’index des comptes est désormais mise à jour correctement dans tous les cas de figure. (ID-15310)

Cliquer sur le bouton Actualiser d’un formulaire (pas sur celui de la page du navigateur) après le changement des rôles assignés à un utilisateur ne génère plus d’approbations pour les rôles qui ont déjà été approuvés. (ID-15500)

Les fonctions JavaScript utilisées par le composant d’affichage Sélecteur ne causent plus d’erreur dans Internet Explorer. (ID-15540)

Les noms des graphes de tableau de bord sont maintenant localisés de façon cohérente dans la page d’édition des tableaux de bord. (ID-16008)

Identity Manager actualise désormais correctement les sous/super rôles pendant les actions SaveAs. (ID-16010)

Combiner l’option de recherche Users Organization (Organisation des utilisateurs) avec d’autres options de recherche ne débouche plus sur des résultats de recherche vides. (ID-16076)

La session est maintenant correctement définie pendant les extensions et la dérivation pendant le traitement de créations de comptes de ressources dans le cadre d’une action en masse. (ID-16181)

Si un délégué est supprimé, tous les éléments de travail (par exemple les approbations) qui étaient supposés être délégués sont désormais assignés à la personne suivante en remontant dans le chemin des délégants existants. De plus, Identity Manager enregistre l’événement dans le journal système. (ID-16417)

Lors de la création ou de l’édition d’un utilisateur, les administrateurs peuvent désormais assigner un gestionnaire ne figurant pas dans leur étendue de contrôle. (ID-16452)

Identity Manager trie désormais correctement les attributs d’utilisateur étendus dans le tableau arborescent Compte utilisateur. (ID-16488)

La performance liée à la mise en cache des organisations a été améliorée. Vous devriez observer une majeure simultanéité au niveau des processus qui accèdent aux données des organisations tels que la création et l’édition d’utilisateurs. (ID-16543)

Lors de la délégation d’éléments de travail futurs aux utilisateurs, la liste des utilisateurs auxquels il est possible de les déléguer sera composée des utilisateurs figurant dans l’étendue de l’utilisateur pour qui la délégation est configurée, que celle-ci soit définie par l’utilisateur ou au nom de celui-ci par un administrateur. (ID-16561)

Vous pouvez désormais éditer et enregistrer des délégations d’éléments de travail en cours ou plus anciennes. (ID-16564)

Lors de la délégation d’éléments de travail futurs pour un utilisateur, si l’utilisateur en question n’a pas de gestionnaire Identity Manager ou ne peut pas accéder à d’autres utilisateurs ni à DelegateWorkItemsRules, il n’est plus autorisé à créer de nouvelles délégations ni à éditer des délégations existantes ou antérieures. (ID-16566)

Les TaskDefinitions contenant des ManualActions s’exécutent désormais correctement depuis l’interface Utilisateur final. (ID-16694)

Vous pouvez désormais utiliser le formulaire Dynamic Tabbed User pour assigner plusieurs comptes de ressources. (ID-16711)

Les tâches du serveur sont désormais triées par heure de début. (ID-16783)

Pendant une action de recherche, RuleDrivenMembersCache retourne maintenant une liste unique de ObjectGroupRefs de sorte que le même utilisateur ne peut pas être retourné plusieurs fois pour la même organisation. (ID-16795)

La colonne Statut ne s’affiche plus sur la page Résultats lorsqu’elle ne contient pas de données. (ID-16889)

L’ouverture d’une fenêtre d’aide au niveau d’un champ (iHelp) dans les navigateurs basés sur WebKit (par exemple Safari sous Mac OS X) ne donne plus une fenêtre vide (vierge). (ID-16927)

Une exception pointeur nul ne se produit plus lorsque les utilisateurs essaient de changer leurs mots de passe par le biais de l’interface Utilisateur final. (ID-16942)

L’utilisation de continueLogin.jsp depuis l’interface Administrateur ne cause plus d’erreurs JavaScript. (ID-16989)

Les administrateurs dotés de permissions inadéquates ne peuvent plus supprimer d’objets depuis les pages de débogage. (16991)

La page continueLogin.jsp comporte désormais un bouton ID utilisateur oublié ?. (ID-16992)

Vous pouvez désormais effacer la valeur de type de champ DatePicker sur les formulaires. Pour effacer ce champ, les trois parties de la propriété multi-champ (jour, mois et année) doivent être vides. (ID-17022)

Une vulnérabilité de script inter-site a été identifiée et corrigée dans les pages suivantes (ID-17241) :

task/taskLaunch.jsp

user/processLaunch.jsp

user/requestLaunch.jsp

Audit

Maintenant, lorsque vous lancez un examen d’accès périodique puis allez à la page Examens d’accès, vous ne devez plus actualiser manuellement cette page pour voir le balayage que vous avez effectué dans la liste. (D-14169, 16570)

Les fonctions de conformité d’Identity Manager fournissent des tâches, des stratégies et des règles prêtes à l’emploi. (ID-16127, 16571)

À l’origine, Identity Manager crée ces objets dans les groupes d’objets Top ou Tous, selon le cas. Dans le cadre de déploiements utilisant une administration déléguée avec des administrateurs ne contrôlant pas le groupe d’objets Top, vous souhaiterez peut-être ajouter une partie ou la totalité des objets Auditor à d’autres groupes d’objets. Identity Manager fournit un script répertoriant les groupes d’objets et permettant d’en ajouter ou d’en supprimer dans les objets Auditor. (Pour une liste complète des objets Auditor, consultez le fichier $WSHOME/sample/scripts/AuditorObjects.txt.)



Remarque	Dans les scripts suivants, la forme attendue de url-idm est [http://]nomhôte:port[/idm/servlet/rpcrouter2], nomhôte:port étant obligatoire. Vous pouvez omettre le serveur Identity Manager s’il est lié au chemin d’accès à l’URL par défaut.

Pour lister les objets :

cd $WSHOME/sample/scripts
beanshell.sh objectGroupUpdate.bsh -u Configurator -p mot de passe du configurateur -h url-idm -action list -data AuditorObjects.txt

Pour ajouter le groupe d’objets Tous à tous les objets :

cd $WSHOME/sample/scripts
beanshell.sh objectGroupUpdate.bsh -u Configurator -p mot de passe du configurateur -h url-idm -action add -data AuditorObjects.txt -groups

Pour supprimer le groupe d’objets Tous de tous les objets :

cd $WSHOME/sample/scripts beanshell.sh objectGroupUpdate.bsh -u Configurator -p mot de passe du configurateur -h url-idm -action remove -data AuditorObjects.txt -groups Tous



Remarque	Vous pouvez utiliser les groupes d’objets Top et Tous par le biais de leurs noms conviviaux mais pour la plupart des autres groupes d’objets vous devrez utiliser l’ID de groupe d’objet avec cet utilitaire.

La conformité continue est désormais mise en œuvre sur tous les sous-onglets de la page d’édition d’utilisateur. (ID-16934)

Lorsque vous terminez une délégation dans l’interface utilisateur puis exécutez un rapport Journal d’audit, les changements figurent désormais dans le rapport d’audit. (ID-17103)

Installation et mise à niveau

Vous trouverez un exemple de création de la structure de base de données requise sur SQL Server 2005 SP2 dans les commentaires du script de création de base de données d’exemple (sample/create_waveset_tables.sqlserver). (ID-17021)

Identity ManagerIDE (Integrated Development Environment)

Vous pouvez maintenant tester les règles dans une bibliothèque de règles en sélectionnant le nœud de la règle concernée dans l’affichage arborescent ou en cliquant avec le bouton droit dans l’élément <Form>/<Rule> dans le XML. (ID-14093, 14842)



Remarque	Vous pouvez utiliser le testeur de règles pour éditer et tester une bibliothèque de règles, mais la prise en charge de la navigation et des propriétés n’a pas encore été implémentée pour les bibliothèques de règles.

Les objets verrouillés peuvent désormais être déverrouillés lorsque vous archivez ou fermez un affichage. (ID-14797, 16573)

Maintenant, lorsque vous archivez une vue celle-ci n’est plus accessible qu’en lecture seule. Vous pouvez alors cliquer avec le bouton droit sur Référentiel > Affichage Extraction puis sélectionner Affichage Déverrouillage dans le menu contextuel et réactiver l’accès en écriture. De même, lorsque vous fermez la fenêtre de l’affichage, ce dernier est implicitement déverrouillé.

Pour la compatibilité avec la version 7.0, vous devez supprimer com.waveset.rpc.SimpleRpcHandler de web.xml pour éviter le problème de déverrouillage. Maintenant, lorsque vous configurez un projet doté de toutes les fonctionnalités, Identity Manager IDE contrôle automatiquement le fichier web.xml et vous demande si vous voulez supprimer com.waveset.rpc.SimpleRpcHandler.

La boîte de dialogue Attach (Joindre) du débogueur d’ Identity Manager IDE a été corrigée et fonctionne maintenant dans Netbeans 5.5.1. (ID-16731)

Synchronisation des mots de passe

Le dll de synchronisation des mots de passe affiche désormais les messages d’erreur corrects pour les échecs de connexion au lieu d’afficher le message There was a soap client error: -2147467259. Ce changement corrige aussi les possibles fuites de gestion pendant les échecs de connexion. (ID-15451)

Les changements d’objet Ordinateur dans Active Directory n’entraînent plus de fuites de gestion dans le dll PasswordSync. (ID-16495)

Initialiser le contrôleur de domaine AD en mode Directory Service Restore avec la synchronisation des mots de passe installée n’entraîne plus de cycle de réinitialisation continu en cas d’arrêt brutal de la synchronisation des mots de passe. (ID-16695)

Si vous utilisez JMS pour synchroniser un mot de passe d’utilisateur Windows Active Directory pour un utilisateur qui n’existe pas dans Identity Manager, un message approprié sera enregistré dans la trace. (ID-16920)

Réconciliation

Perdre le TaskEvent Start Reconcile n’entraîne plus le blocage du programme de conciliation à l’état En attente. (ID-14555)

Rapports

Vous pouvez maintenant sélectionner un nom de ressource pour l’axe des y d’un rapport d’utilisation, la valeur sera utilisée dans la requête. (ID-12035)

Les modifications apportées aux questions d’authentification d’un utilisateur sont maintenant consignées dans les journaux d’audit. (ID-13082)

Identity Manager consigne une erreur lorsqu’il supprime un utilisateur inexistant et crée maintenant un événement d’audit pour la génération de rapports. (ID-13284)



Remarque	Dans les versions 6.0 et ultérieures du SP4, l’événement de suppression est enregistré dans les journaux système au lieu de l’être dans le rapport de journal d’audit.

Les balises HTML <b></b> ne figurent désormais plus dans les rapports PDF suivants (ID-15408) :

Tous les rôles admin

Tous les administrateurs

Tous les rôles

Identity Manager prend désormais en charge le type de données CLOB pour acctAttrChanges lorsqu’une base de données Oracle est utilisée en tant que référentiel d’ Identity Manager. (ID-15326)

L’avantage de l’utilisation de CLOB (à la place du type de données par défaut VARCHAR(4000)) est que cette solution autorise la consignation d’un ensemble de changements bien plus important ; cela rend cependant cette colonne plus difficile à interroger à cause de la nature propriétaire des routines d’accès de CLOB.

Pour autoriser un ensemble de changements plus important, vous devez remplacer le type de colonne log.acctAttrChanges par CLOB (depuis VARCHAR(4000)) et ajuster de manière appropriée l’attribut maxLogAcctAttrChangesLength de l’objet configuration RepositoryConfiguration.

Le corps du messages des e-mails reçus ne contient plus de balises HTML garbage. Les en-têtes des e-mails sont maintenant traités par processMessage et non plus par processImage et la présence de chaînes vides et nulles est contrôlée. (ID-15745)

La valeur d’opérande est désormais obligatoire avant l’envoi du formulaire dans le Graphique des modifications de mots de passe et d’autres rapports d’utilisation. (ID-15777)

Lors de l’édition des rapports, vous pouvez désormais cliquer sur le bouton Exécuter pour exécuter un rapport sans enregistrer les modifications apportées. Utilisez le bouton Enregistrer pour sauvegarder les modifications apportées au rapport. (ID-17212)

Ressources

L’adaptateur SecurID UNIX utilise désormais le nom Attribut d’utilisateur de ressources pour résoudre le nom d’attribut de schéma (valeur LHS) pour la lecture/modification. (ID-10521)

Les adaptateurs SecurID ACE/Server imposent désormais l’exigence RSA selon laquelle un default login (ID de connexion par défaut) peut uniquement être composé de caractères anglais de un octet. (ID-13805)

Vous pouvez désormais utiliser l’attribut de ressource Délai d’attente d’acquisition du mutex pour les adaptateurs UNIX pour spécifier la durée (en secondes) pendant laquelle certaines opérations attendront le mutex de script. (ID-14234)

Identity Manager 7.1 Update 1 prend en charge les versions 6.3 et 7.0 de Remedy. Il existe toutefois de nombreuses différences conséquentes entre ces versions au niveau des données d’échantillon, des valeurs par défaut et de la configuration initiale. Par exemple, le nom du schéma ticket est HPD:HelpDesk dans la version 6.3 et HPD:Help Desk dans la 7.0. (ID-14611)

Le journal d’audit a été mis à jour pour refléter de manière plus exacte ce qui arrive aux attributs des ressources lors de la création ou de la modification d’un compte de ressources. (ID-15323)

Le journal comporte désormais trois colonnes pour les attributs de compte de ressources :

La première colonne (Ancienne valeur) indique la valeur avant la modification.

La seconde colonne (Valeur tentée) indique la modification demandée.

La troisième colonne (Nouvelle valeur) indique comment la valeur a réellement été définie. En cas d’erreur, la valeur tentée ne sera pas identique à la valeur effectivement définie.

Si un compte Resource Affinity (Affinité de la ressource) sur une ressource RACF a des privilèges insuffisants pour lister un utilisateur, Identity Manager fournit désormais un message d’erreur approprié. (ID-15331)

Lors de la suppression de comptes RACF, le système interroge désormais les profils de jeux de données de l’utilisateur (en utilisant un masque de recherche) et supprime les jeux de données individuels (au lieu de tenter de tous les supprimer en utilisant une commande DELDSD .**) (ID-15413)

Toutes les responsabilités Oracle ERP sont désormais listées dans la liste déroulante Responsibilities (Responsabilités) du formulaire utilisateur Oracle ERP. Cette liste inclut les responsabilités Oracle ERP qui ne sont actuellement assignées à aucun utilisateur. (ID-15492)

L’adaptateur Oracle ERP ne retourne plus de java.lang.IndexOutOfBoundsException lors d’une tentative de récupération d’une responsabilité n’existant pas dans Oracle ERP. Il retourne désormais une valeur nulle. (ID-15493)

FlatFileActiveSync processLine retourne désormais des erreurs de traitement normales pour une utilisation dans les calculs AllowedErrorCount. (ID-15662)

Les actions avant et après fonctionnent désormais correctement dans l’adaptateur HP OpenVMS. (ID-15920)

Aucun interblocage ne se produit plus lorsque vous utilisez Active Sync avec une ressource PeopleSoft. (ID-16109)

L’adaptateur SAP prend maintenant en charge la mise à jour du champ ALIAS dans SAP. Le mappage des attributs dans la configuration schématique est ALIAS->USERALIAS. (ID-16320)

Aucune exception pointeur nul ne s’affiche plus dans l’adaptateur de ressources Database Table lorsque la base de données est hors service ou que la ressource est mal configurée. (ID-16358)

La variable de flux de travaux WF_ACTION_ERROR est maintenant définie lorsqu’il y a une erreur dans l’adaptateur de ressources Remedy. (ID-16360)

Les noms d’attributs sur le côté gauche de la carte schématique de l’adaptateur SAP ont été changés comme suit : (ID-16399)


Ancien nom	Nouveau nom
Titre	titleP
nameSupplement	titleSupplement
communicationTypeCUA	communicationType
personName	addressName
personName2	addressName2
personName3	addressName3
personName4	addressName4
cityPostalCode2	poBoxPostalCode
cityPostalCode3	companyPostalCode
poBoxCityNumber	poBoxCityCode
streetCode	streetNumber

L’adaptateur Oracle ERP n’efface plus les valeurs antérieures associées aux responsabilités lors du chargement d’un seul utilisateur. Une clause de valeur par défaut a été ajoutée au formulaire pour initialiser correctement les responsabilités. (ID-16414, 16654)

Default RACF ListUser AttrParse prend désormais en charge les versions 1.6 et 1.8 de RACF en autorisant les différences de formatage dans la ligne DEFAULT-GROUP et en rendant PHRASEDATE optionnel. (ID-16580)

Les noms d’attributs de la carte schématique de l’adaptateur SAP ont été modifiés pour représenter plus fidèlement la sémantique SAP des attributs. (ID-16634)

La passerelle peut maintenant retourner la valeur exacte lorsque les comptes sont verrouillés suite à l’expiration d’un mot de passe, ce qui permet à Identity Manager d’autoriser les utilisateurs à changer leur mot de passe. (ID-16681)

Les adaptateurs de ressources qui utilisent le logiciel IBM Host on Demand peuvent désormais charger correctement les fichiers JAR HoD. (ID-16690).

Lorsque vous définissez l’attribut Completely Remove User (Supprimer complètement l’utilisateur) de l’adaptateur AIX Resource Adapter sur true, cet attribut peut désormais ajouter correctement l’argument -p à la commande rmuser émise par l’adaptateur. (ID-16706)

XmlParser enlève désormais correctement les déclarations DOCTYPE des chaînes XML. (ID-16909)

Lors de l’utilisation des bibliothèques Attachmate pour accéder à un mainframe, Identity Manager utilise le port spécifié dans la ressource au lieu de toujours utiliser le port TCP par défaut (23). (ID-17046)

Le AccessEnforcerUserForm d’exemple peut désormais gérer les cas où l’assignation de rôle d’un utilisateur d’Access Enforcer ne contient qu’un rôle SAP. (ID-17161)

Rôles

Les règles utilisées pour calculer les attributs des ressources à partir des rôles ne sont plus appliquées lorsqu’un utilisateur se connecte à la page Utilisateur final. (ID-13338)

La liste Approbateurs dans Rôles > Rechercher des rôles est maintenant triée. (ID-16392)

Ordonnanceur

Les tâches programmées ne seront plus traitées par plusieurs serveurs pour une heure de début programmée donnée. (ID-16318)

Sécurité

Les approbateurs qui ne contrôlent pas TOP ne peuvent pas voir leurs approbations approuvées ou rejetées au préalable. (ID-15271)

Serveur

Vous pouvez maintenant utiliser un emailTemplate personnalisé pour les approbations transférées. Vous devez spécifier l’emailTemplate dans les sous-processus Approbation, par ID. (ID-16468)

SPE

Pour la tâche SPE Sync, les relances de transaction n’échouent plus avant d’atteindre le nombre de relances maximum spécifié. Si une ressource cible est hors service et que vous exécutez une opération delete portant sur la ressource source avec Transaction Retries (Relances de transaction) activé, l’opération delete n’échouera pas tant que le nombre de relances de transaction ne dépassera pas le maximum spécifié. (ID-16120)

SPE peut maintenant utiliser des attributs de dénomination d’utilisateurs de SPE autres que accountId pour accéder aux utilisateurs par le biais du formulaire Mot de passe oublié. Bien qu’accountId soit l’attribut par défaut, vous pouvez désormais configurer la recherche d’utilisateurs depuis la configuration SPE pour utiliser d’autres noms d’attributs de recherche. (ID-16918)

Flux de travaux

Vous ne pouvez plus éditer les éléments de travail expirés. Identity Manager retourne maintenant une erreur indiquant que l’élément de travail en question est invalide. (ID-15439)

Configurer un grand nombre d’utilisateurs avec la même adresse e-mail n’entraîne plus d’erreur OutOfMemory pour une action de notification. (ID-16386)

Autres défauts corrigés

9940, 11690, 14489, 15073, 15906,16382, 16395, 16500, 16536, 16560, 16586, 16596, 16610, 16656, 16680, 16770, 16870, 16930, 17044, 17055

Problèmes connus

Cette section des notes de version d’Identity Manager 7.1 Update 1 dresse la liste des problèmes connus et des solutions disponibles :

Si vous éditez un utilisateur alors que vous exécutez Active Sync sous un autre nom d’administrateur, une exception Active Sync se produit. L’utilisateur étant verrouillé par un autre administrateur, Active Sync ne peut pas retenter le processus. (ID-11255)

Solution : Pour activer une relance d’Active Sync pour une ressource, mettez à jour le XML de cette ressource de façon à inclure les deux attributs de ressource supplémentaires suivants, dans le format suivant :

Où :

syncRetryCountLimit est le nombre de relances de la mise à jour.

syncRetryInterval est le nombre de millisecondes d'intervalle entre deux relances.

Par la suite, ces valeurs s’afficheront à titre de paramètres de ressource personnalisés lorsque vous configurerez Active Sync. Spécifier un displayName est conseillé ; en utilisant une clé de catalogue personnalisée si la localisation est nécessaire.

Une régression entraîne l’échec de la synchronisation des mots de passe d’Identity Manager lorsqu’elle utilisée avec Sun Java^TM System Directory Server Enterprise Edition 6.0, 6.1 et 6.2. Cet échec sera corrigé dans la version Directory Server 6.3. Si les versions 6.0, 6.1 ou 6.2 doivent pouvoir fonctionner avec Identity Manager, veuillez demander un correctif de Directory Server au support en précisant le bogue n˚6604342 de Directory Server. (ID-14895)

Si vous étendez les objets ressources d’une ressource Sun Java^™ System Access Manager 7.0 à partir de l’onglet Ressources, il est possible que vous voyiez l’erreur suivante : (ID-15525)

Error listing objects. ==> com.waveset.util.WavesetException: Error trying to get attribute value for attribute 'guid'. ==> java.lang.IllegalAccessError: tried to access method com.sun.identity.idm.AMIdentity.getUniversalId()Ljava/lang/String; from class com.waveset.adapter.SunAccessManagerRealmResourceAdapter

Cette erreur se produit sur les ressources Access Manager 7.0 auxquelles aucun patch n’a été appliqué. Pour corriger ce problème, vous devez appliquer au minimum le patch 1 d’Access Manager puis recompiler et redéployer le SDK client d’Access Manager.

Le référentiel LocalFiles par défaut ne fonctionne pas avec Sun Java™ System Application Server 9.x. Vous devez utiliser l’une des bases de données prises en charge (répertoriées dans la section Logiciels et environnements pris en charge de ces Notes de version) ou MySQL pendant le développement. Certains individus ont réussi à désactiver le SecurityManager pour le conteneur en question et à définir une mémoire plus élevée, mais aucune de ces actions ne règle définitivement le problème. (ID-15589)

Certains mots de l’onglet de l’écran Édition d’un utilisateur risquent de mal s’afficher en mode plurilingue. (ID-16054)

Solution : pour vous assurer que les mots des onglets s’affichent correctement, ajoutez ce qui suit à $WSHOME/styles/customStyle.css :

table.Tab2TblNew td
{background-image:url(../images/tabs/level2_deselect.jpg);background-repeat:repeat-x;b ackground-position:left top;background-color:#C4CBD1;border:solid 1px #8f989f;white-space:nowrap}

table.Tab2TblNew td.Tab2TblSelTd
{border-bottom:none;background-image:url(../images/tabs/level3_selected.jpg);backgroun d-repeat:repeat-x;background-position:left bottom;background-color:#F2F4F3;border-left:solid 1px #8f989f;border-right:solid 1px #8f989f;border-top:solid 1px #8f989f;white-space:nowrap}

À cause de problèmes d’interopérabilité entre les sources de données WebSphere et les pilotes JDBC Oracle, les clients d’Oracle qui veulent utiliser une source de données WebSphere avec Identity Manager doivent utiliser Oracle 10g R2 et le pilote JDBC correspondant (le pilote JDBC Oracle 9 ne fonctionnera pas avec une source de données WebSphere et Identity Manager). (ID-16167)

Si vous avez une version d’Oracle antérieure à la version 10g R2 et ne pouvez pas mettre à niveau Oracle vers 10g R2, configurez alors le référentiel d’Identity Manager de sorte qu’il se connecte à la base de données d’Oracle en utilisant le JDBC Driver Manager d’Oracle (et non pas une source de données WebSphere).

Pour plus d’informations, reportez-vous à l’URL suivant :

http://www-1.ibm.com/support/docview.wss?uid=swg21225859

Des chiffres s’affichent dans les colonnes Priorité et Gravité du Rapport récapitulatif des violations au lieu d’un texte de description. (ID-16932)

Le Rapport récapitulatif des violations n’indique pas les violations corrigées ou en cours de résolution. (ID-16933)

La colonne État de violation du Rapport récapitulatif des violations devrait être localisée. (ID-17011)

Ajoutez une option EXEMPTED au menu déroulant États possibles dans le Rapport récapitulatif des violations. (ID-17042)

Le programme d’installation Identity Manager ne s’exécute pas avec un JDK de 64 bits. (ID-17104)

Solutions :

Effectuez l’installation manuellement.

Utilisez un JDK de version 32 bits pour exécuter le programme d’installation.

Définissez os.arch="x86" en définissant JAVA_OPTS (utilisé par install.bat) pour mener l’installation à terme. Par exemple :

set JAVA_OPTS=-Dos.arch="x86"

install.bat

Si vous provisionnez des utilisateurs de GroupWise par le biais d’une passerelle Identity Manager s’exécutant en mode monothread (par exemple, si une clé de registre ExclusiveNDSContext a été créée avec la valeur 1), une erreur similaire à la suivante peut se produire lorsque vous essayez de mettre à jour un utilisateur de GroupWise : (ID-17144)

XPRESS exception ==> com.waveset.util.WavesetException: Can't call method getResourceObject on class com.waveset.ui.FormUtil ==> com.waveset.util.WavesetException: Error connecting to the GroupWise domain (cn=7GWDOM.o=6idmtest): Error occurred opening the database. Check the path.

Solution : Si vous provisionnez des utilisateurs de GroupWise, exécutez la passerelle en mode multithread. Pour l’exécuter en mode multithread, vous pouvez soit supprimer la clé de registre ExclusiveNDSContext soit définir la valeur de la clé de registre ExclusiveNDSContext sur 0, puis arrêter et redémarrer la passerelle.

Tous les rapports Balayage des comptes inactifs n’affichent pas leurs résultats dans la page Afficher analyse de risque. Pour afficher les résultats depuis ces rapports, allez à la page Tâches du serveur. (ID-17255)

Lorsque vous installez la synchronisation des mots de passe, veillez à utiliser le binaire approprié au système d’exploitation sur lequel vous l’installez. Le binaire pour Windows 32 bits s’appelle IdmPwSync_x86.msi, celui pour Windows 64 bits IdmPwSync_x64.msi. Si vous n’installez pas le bon binaire, l’opération semblera réussir mais la synchronisation des mots de passe ne fonctionnera pas correctement. (ID-17290)

Pour désinstaller la synchronisation des mots de passe, utilisez la fonctionnalité d’ajout et de suppression de programmes du Panneau de configuration de Windows pour que la suppression se fasse correctement.

La stratégie de compte À tour de rôle d’Identity Manager peut ne pas générer l’assignation en ordre séquentiel des questions d’authentification. (ID-17295)

Une exception sealing violation peut se produire lorsque vous utilisez Identity Manager 7.1 ou 7.1 Update 1 avec Oracle 10g sur Sun Java^™ System Application Server Enterprise Edition 8.2. Ce problème peut être dû à la présence de plus d’un fichier JAR JDBC Oracle dans le CLASSPATH ou à celle d’une version incompatible du fichier JAR JDBC dans le CLASSPATH. (ID-17311)

Vérifiez qu’il n’y a qu’un fichier JAR JDBC Oracle dans le CLASSPATH et qu’il s’agit d’une version compatible telle que le fichier JAR fourni pendant l’installation d’Oracle.

WRQ effectue une recherche dans le classpath pour détecter sa propre entrée. Depuis cette entrée, WRQ calcule le répertoire où le fichier JAR est stocké puis utilise ce répertoire pour lire le fichier .JAW (fichier de licence). Cependant, BEA et WebSphere utilisent tous deux des noms de protocole non standard (BEA utilise zip et WebSphere wsjar) à la place de JAR (standard) qui est le protocole dont le code WRQ assume l’existence. (ID-17319)

Solution : ajoutez l’option suivante à la commande java dans le fichier startWeblogic.sh :

-Dcom.wrq.profile.dir="<rép. contenant le fichier JAW>"

Avant de créer une nouvelle ressource, veillez à activer le type de ressource dans la liste des types configurés. Sinon, l’objet ressource nouvellement créé risque de ne pas présenter tous les champs obligatoires. (ID-17324)

Lorsque vous éditez ou mettez à jour un utilisateur, si vous assignez un idmManager qui n’existe pas encore (par exemple, si idmManager manque), vous verrez le message d’erreur suivant et il sera impossible d’enregistrer la modification effectuée. (ID-17339)

'Item User:[idmManager n'existant pas] was not found in the repository, it may have been deleted in another session'

Vous ne verrez pas ce problème lors de la création d’un nouvel utilisateur.

Les configurations de rapports ne sont pas conservées lors d’une mise à niveau de la version 7.1 à la 7.1 Update 1. Veuillez enregistrer les objets de configuration de rapports avant la mise à niveau. (ID-17363)

Lorsque vous exécutez Charger à partir de la ressource et que la ressource prend en charge les ID insensibles à la casse si la casse de l’ID de compte de l’utilisateur diffère de celle d’ID de compte stocké dans l’objet utilisateur ResourceInfo d’Identity Manager, un deuxième ResourceInfo utilisant la casse rapportée par la ressource sera ajouté à l’objet utilisateur.

Solution : Assurez-vous que l’ID de compte de l’objet Identity Manager ResourceInfo dans l’objet utilisateur a la même casse que celle rapportée par la ressource. (ID-17377)