文档补充和更正

本节包括发布 Identity Manager 7.1 文档集后所需的新信息以及更正的信息。此信息分为以下几个部分：

Identity Manager 安装
Identity Manager 升级
Identity Manager 管理指南
Identity Manager 资源参考资料
Identity Manager 技术部署概述
Identity Manager 工作流、表单和视图
Identity Manager 部署工具
Identity Manager 调优、故障排除和错误消息
Identity Manager Service Provider Edition 部署
使用 helpTool

---

Identity Manager 安装

本节提供了与 Sun Java^™ System Identity Manager 安装相关的新信息和文档更正内容。

应将以下信息添加到第 1 章“安装之前”的“设置 Java 虚拟机和 Java 编译器”一节的注释部分中。(ID-17131)

可以在满足以下条件的 BEA WebLogic 应用服务器上运行 Identity Manager 7.1 和更高版本：带有任何支持 WebLogic 的 1.4.2 或 1.5 JVM。

不支持 Exchange 5.5 资源适配器。请忽略对此适配器的任何引用。
由于在安装 Identity Manager 软件后必须编辑 server.policy 文件，否则将无法运行 Identity Manager，所以已修订了第 6 章“为 Sun ONE Application Server 7 安装 Identity Manager”以及第 7 章“为 Sun Java System Application Server 安装 Identity Manager”中的安装步骤。因此，必须按以下顺序执行安装步骤 (ID-16600)：
第 1 步：安装 Sun ONE Application Server 软件
第 2 步：安装 Identity Manager 软件
第 3 步：编辑 server.policy 文件
第 4 步：将 Identity Manager 部署到 Sun ONE Application Server
第 5 步：安装 Sun Identity Manager Gateway
应从第 1 章“安装之前”的“支持的软件和环境”一节中删除特定的版本号，然后添加以下注释：(ID-16687)

注	由于软件产品开发者经常发布软件的新版本、更新版本以及修复版本，因此 Identity Manager 所支持的软件和环境版本也会经常发生变化。在继续进行安装之前，请查阅 Identity Manager 发行说明中的“支持的软件和环境”一节。

---

Identity Manager 升级

本节提供了有关 Sun Java^™ System Identity Manager 升级的新信息和文档更正内容。

在进行升级之前，一定要备份 Identity Manager 安装目录和 Identity Manager 所使用的数据库。可以使用第三方备份软件或系统提供的备份实用程序来备份 Identity Manager 文件系统。要备份数据库，请参阅数据库文档以了解建议的备份过程。(ID-2810)

准备创建备份时，必须先关闭 Identity Manager（或使其处于空闲状态）。然后，使用备份实用程序来备份数据库和安装 Identity Manager 的文件系统。

AD 活动同步资源已过时并已被 AD 资源替换。执行以下步骤，将 AD 活动同步迁移至更新的发行版中：(ID-11363)
将现有 AD 活动同步资源对象导出至 xml 文件（可以从命令行或调试页进行）。
删除现有资源（这不会影响 Identity Manager 用户或资源帐户用户）
创建为“活动同步”的新 AD 资源。
将此新资源对象导出至 XML 文件。
编辑此文件并更改其 ID 属性和名称属性的值，使之与在步骤 1 中保存的旧资源对象的值匹配。这些属性在 <Resource id='idnumber' name='AD' ...> 标记中。
保存对文件的更改。
使用“配置”->“导入交换文件”页或命令行，将已修改的对象导入至 Identity Manager。
更新了“其他自定义系统信息库对象”一节，以包含使用 Identity Manager 快照功能在部署中创建自定义系统信息库对象的基线或“快照”的说明。(ID-14840)

其他自定义系统信息库对象

记录了所创建或更新的任何其他自定义系统信息库对象的名称。您可能需要从当前安装中导出这些对象，并在升级后将其重新导入到 Identity Manager 的较新版本。

管理员组
管理员角色
配置
策略
置备任务
Remedy 配置
资源表单
资源表单
角色
规则
任务定义
任务模板
用户表单

可以使用 Identity Manager 快照功能在部署中创建自定义系统信息库对象的基线或“快照”，它在计划升级时可能很有用。

快照从系统中复制以下特定对象类型以进行比较：

AdminGroup
AdminRole
Configuration
EmailTemplate
Policy
ProvisionTask
RemedyConfig
ResourceAction
Resourceform
Role
Rule
TaskDefinition
TaskTemplate
UserForm

可随后比较两个快照，以确定在升级前后对某些系统对象所做的更改。

注	此功能并不能实时提供详细的 XML 差异 - 它只是一种“粗略”比较的简单工具。

创建快照：

在 Identity Manager 的“调试”页（图 1）中，单击“快照”按钮以查看“快照管理”页。

图 1 “快照管理”页



在“创建”文本框中键入快照的名称，然后单击“创建”按钮。

当 Identity Manager 添加快照时，将在“比较”菜单列表和“导出”标签右侧显示快照的名称。

比较两个快照：

分别从两个“比较”菜单中选择一个快照（图 2）。

图 2 “快照管理”页



单击“比较”按钮。
如果没有对象发生更改，此页将指明未找到差异。
如果发现对象已更改，此页将显示该对象的类型和名称，并指出对象的变化情况是差异、不存在或存在。

例如，如果某个对象在 baseline_1 中存在，而在 baseline_2 中不存在，baseline_1 列中将显示 Present，baseline_2 列中将显示 Absent。

您可以导出 XML 格式的快照。单击快照名称以导出快照文件。

要删除某个快照，请从“删除”菜单中选择该快照，然后单击“删除”按钮。

在“已修改的 JSP”一节中添加了以下段落，以包含有关使用 inventory -m 命令标识部署中已修改的 JSP 的信息：(ID-14840)

可以使用 inventory -m 命令（如前一页中所述）标识部署中所做的任何 JSP 修改。

如果要从 6.x 安装升级到版本 7.0 或 7.1，并且要使用新的 Identity Manager 最终用户页面进行启动，您必须手动将系统配置 ui.web.user.showMenu 更改为 true 以显示水平导航栏。(ID-14901)
如果要从 6.0 或 7.0 升级到版本 7.1，并且使用 LocalFiles，您必须在升级之前导出所有数据，然后在执行 7.1 全新安装后重新导入数据。(ID-15366)
从 6.0 或 7.0 升级到版本 7.1 时，需要升级数据库模式。(ID-15392)
如果要从 6.0 升级到 7.1，您必须使用与所用 RDBMS 类型相对应的 upgradeto71.* 脚本。
如果要从 7.0 升级到 7.1，您必须使用与所用 RDBMS 类型相对应的 upgradeto71from70.*。
在升级过程中，Identity Manager 将分析系统上的所有角色，然后使用 RoleUpdater 类更新所有丢失的子角色和超级角色链接。(ID-15734)

要在升级过程以外检查和升级角色，请导入 sample/forms/RoleUpdater.xml 中提供的新 RoleUpdater 配置对象。例如：

<?xml version='1.0' encoding='UTF-8'?>
<!DOCTYPE Waveset PUBLIC 'waveset.dtd' 'waveset.dtd'>
<Waveset>
   <ImportCommand class='com.waveset.session.RoleUpdater' >
      <Map>
         <MapEntry key='verbose' value='true' />
         <MapEntry key='noupdate' value='false' />
         <MapEntry key='nofixsubrolelinks' value='false' />
   v</Map>
   </ImportCommand>
</Waveset>

其中：

verbose：在更新角色时提供详细输出。指定 false 可启用无提示角色更新。
noupdate：确定是否更新角色。指定 false 可获取仅列出将要更新的角色的报告。
nofixsubrolelinks：确定是否使用丢失的子角色链接更新超级角色。默认情况下，此值设置为 false，将会对链接进行修复。

如果 Identity Manager 安装目录的路径中包含空格，则必须指定不带双引号 (") 的 WSHOME 环境变量，如以下示例中所示 (ID-15470)：

注	在指定路径时，即使路径中不包含空格，也不要使用末尾斜杠 (\)。

set WSHOME=c:\Program Files\Apache Group\Tomcat 5.5\idm

或者

set WSHOME=c:\Progra~1\Apache~1\Tomcat~1\idm

以下路径无效：

set WSHOME="c:\Program Files\Apache Group\Tomcat 5.5\idm"

---

Identity Manager 管理指南

本节提供了有关 Sun Java^™ System Identity Manager 管理的新信息和文档更正内容。

第 2 章：Identity Manager 入门

“忘记用户 ID”一节描述了如何在“登录到 Identity Manager”页面上使用“忘记用户 ID？”按钮来找回忘记的用户 ID。但是，当您从 Identity Manager 早期版本升级至 7.1 Update 1 时，“忘记用户 ID？”功能默认情况下处于禁用状态。(ID-16715)

要启用此功能，必须修改系统配置对象中的以下属性：

ui.web.user.disableForgotUserId = false

ui.web.admin.disableForgotUserId = false

第 3 章：用户和帐户管理

在“禁用用户（用户操作、组织操作）”一节对注释部分进行了以下修改：

注	如果已分配的资源对帐户禁用不提供本机支持，但支持密码更改，则可以将 Identity Manager 配置为通过分配随机生成的新密码来禁用该资源上的用户帐户。此配置要求您使用资源向导中的“Identity System 参数”页来启用资源的“禁用”和“密码”帐户功能。有关详细信息，请参见第 4 章“配置”。

在“启用用户（用户操作、组织操作）”一节中添加了以下注释：

注	如果已分配的资源对帐户启用不提供本机支持，但支持密码更改，则可以将 Identity Manager 配置为通过密码重置启用该资源上的用户帐户。此配置要求使用资源向导中的“Identity System 参数”页来启用资源的“启用”和“密码”帐户功能。有关详细信息，请参见第 4 章“配置”。

在“用户验证”一节中添加了验证问题策略的描述。

验证问题策略会确定用户执行以下操作时所发生的情况：在登录页面上单击“忘记密码”按钮或访问“更改我的回答”页面。下表对每个选项进行了描述：

表 2 验证问题策略选项  

选项	描述
循环	Identity Manager 将从配置问题列表中选择下一个问题，并将此问题分配给用户。为第一个用户分配验证问题列表中的第一个问题，为第二个用户分配第二个问题。此模式会一直持续下去，直至用户数超出问题数。此时，会按顺序依次将问题分配给用户。例如，如果共有 10 个问题，则将为第 11 个和第 21 个用户分配第一个问题。 仅显示选定的问题。如果您希望用户每次回答不同的问题，则需要使用“随机”策略，并将问题数设置为 1。 此选项不允许用户定义自己的验证问题。
随机	管理员可通过此选项来指定用户必须回答的问题数量。Identity Manager 将从策略中定义的以及用户定义的问题列表中随机选择并显示指定数量的问题。用户必须回答所有显示的问题。
任何	Identity Manager 将显示所有策略定义以及用户定义的问题。必须指定用户必须回答的问题数量。
所有	用户必须回答所有策略定义以及用户定义的问题。

第 5 章：管理

在“委托工作项目”一节中添加了以下注释。

注	设置委托之后，在有效委托期间创建的所有工作项目都将添加到您的列表和受托者的列表中。如果您结束委托，则会恢复委托的工作项目；这可能会导致出现重复的工作项目。当您批准或拒绝某个工作项目时，会从您的列表中自动删除重复项目。

在“管理工作项目”一节中添加了以下信息。

       对已删除用户的委托

如果已将工作项目委托给某个用户，后来该用户从 Identity Manager 中删除，则会在“当前委托”列表中指出已删除的用户（用括号括起来）。如果您随后编辑或创建包含已删除用户的委托，该操作将失败。此外，任何用户在创建或更新委托给已删除用户的工作项目时都会失败。

您可以通过结束委托来恢复委托给已删除用户的工作项目。

在“Identity Manager 权能描述”表中添加了“最终用户管理员”权能。分配了此权能的任何用户都可以查看和修改“最终用户”权能中所指定的对象类型的权限，以及最终用户受控组织规则的内容。默认情况下，此权能将分配给配置者。
应将以下信息添加到“控制范围”一节中：(17187)

Identity Manager 允许您控制哪些用户属于最终用户的控制范围。

可以根据组织需要，使用 EndUserControlledOrganizations 规则来定义所需的逻辑，以确保为委托提供正确的用户集。

如果希望管理员的用户范围列表始终相同（无论他们登录到管理员界面还是最终用户界面），则必须按如下方式更改 EndUserControlledOrganizations 规则：

修改此规则，使其首先检查验证用户是否为管理员，然后再配置以下内容：

如果该用户不是管理员，则返回应由最终用户控制的组织集，如用户自己的组织（如 waveset.organization）。
如果该用户是管理员，则不返回任何组织，这样用户将只控制已分配的组织（因为用户是管理员）。

例如：

<Rule protectedFromDelete='true' authType='EndUserControlledOrganizationsRule' id='#ID#End User Controlled Organizations' name='End User Controlled Organizations'> <Comments> If the user logging in is not an Idm administrator, then return the organization that they are a member of. Otherwise, return null. </Comments> <cond> <and> <isnull><ref>waveset.adminRoles</ref></isnull> <isnull><ref>waveset.capabilities</ref></isnull> <isnull><ref>waveset.controlledOrganizations</ref></isnull> </and> <ref>waveset.organization</ref> </cond> <MemberObjectGroups> <ObjectRef type='ObjectGroup' id='#ID#Top' name='Top'/> </MemberObjectGroups> </Rule>

应将以下信息添加到“了解和管理权能”一节中。（ID-14630、15614）

Identity Manager 提供了一种称为“最终用户”的内置对象组/组织（最初不包含任何成员对象）。最终用户对象组/组织会隐式分配给所有用户，使用户能够查看几种对象类型，包括任务、规则、角色和资源。

以前，当用户登录到最终用户界面时，会自动获得在最终用户权能中指定的对象类型（如 AdminRole、EndUserConfig 和 EndUserTask）的权限。现在当用户登录到最终用户界面时，Identity Manager 还会自动为其提供控制新的最终用户对象组的权限。此外，Identity Manager 还会评估新的内置最终用户受控组织规则。此规则返回的任何对象组/组织名称，也自动由登录到最终用户界面的用户来控制。

验证用户的视图是最终用户受控组织规则的输入参数。Identity Manager 预期此规则会返回一个（字符串形式）或多个（列表形式）组织，返回的组织由登录到最终用户界面的用户来控制。添加了新的最终用户管理员权能，从而使用户能够管理这些新对象。分配了最终用户管理员权能的用户可以查看和修改最终用户权能中所指定的对象类型的权限，以及最终用户受控组织规则的内容。

默认情况下，最终用户管理员权能将分配给配置者。对于最终用户受控组织规则评估返回的任何列表或组织，所做的任何更改不会动态反映给已登录的用户。这些用户必须先登出，然后再重新登录才能看到这些更改。

如果最终用户受控组织规则返回一个无效的组织（例如，在 Identity Manager 中不存在的组织），则会在系统日志中记录该问题。可以通过登录到管理员用户界面并修复此规则来解决问题。

最终用户对象组/组织是顶层组织的成员，其中不能包含子组织。此对象组/组织不会显示在管理员用户界面的“帐户”选项卡上的树表中。但是，在编辑对象（如角色、管理员角色、资源、策略和任务等）时，您可以在管理员用户界面中为最终用户对象组/组织提供任何对象的访问权限。

使用此全新的最佳方法（而不是使用最终用户任务、最终用户资源、系统配置:EndUserAccess 和最终用户 authType），就可以为最终用户提供 Identity Manager 配置对象（如角色、资源和任务等）的访问权限。但是仍将支持最终用户任务、最终用户资源、系统配置:EndUserAccess 和最终用户 authType 方法，以实现向后兼容。

第 8 章：任务模板

应将以下信息添加到本章的“配置审计选项卡”一节中：(ID-16797)

审计属性报告可以报告对 Identity Manager 用户和帐户所做的属性级别的更改。但是，标准的审计日志记录不会生成足够的审计日志数据来支持完整的查询表达式。

它会将更改的属性写入到审计日志中的 acctAttrChanges 字段中，但是更改的属性的写入方式使报告查询只能基于更改属性的名称来匹配记录。报告查询不能准确地与属性值进行匹配。

可以通过指定以下参数对报告进行配置，使其与包含对属性 lastname 所做的更改的记录进行匹配：

Attribute Name = 'acctAttrChanges'

Condition = 'contains'

Value = 'lastname'

注	由于数据在 acctAttrChanges 字段中的存储方式，必须使用 Condition='contains'。此字段不具有多值属性。实际上，它是一个包含所有更改属性的之前/之后值的数据结构，其表示形式为 attrname=value。因此，上述设置允许报告查询与 lastname=xxx 的任何实例相匹配。

也可以只捕获那些特定属性为特定值的审计记录，但这需要一些额外的配置。请按以下说明进行操作：

打开并登录到 Identity Manager 管理员界面：

http://server-name:port/idm

选择“服务器任务”选项卡。
选择“配置任务”选项卡。
单击“更新用户模板”任务（以此为例）。
选择“审计”选项卡。

您会看到选定任务的审计控制，它会在发生用户更新时执行审计。

选择“审计整个工作流”复选框可以激活工作流审计功能。
单击“添加属性”按钮（在“审计属性”部分中），以选择要记录的属性以供报告使用。
当“选择属性”菜单显示在“审计属性”表中时，请从列表中选择一个属性。（例如，从该下拉菜单中选择 user.global.email）。
单击“保存”。
现在必须执行以下步骤来启用此配置：
选择“服务器任务”>“配置任务”。
单击“更新用户模板”的“启用”按钮。
请不要更改“选定的进程类型”列表中的默认值。

如果执行此步骤，将会使工作流引擎发出必需的日志记录信息。

再次单击“保存”。

现在，工作流可以提供能够同时匹配属性名称和属性值的审计记录了。虽然，启用此级别的审计可以提供更多的信息，但是要注意，这会显著增加性能开销，使工作流的运行速度变慢。

第 11 章：身份审计

在本章中添加了以下信息：

连续遵循性

当前本节中包含以下信息：对用户执行的任何置备操作都将导致对分配给用户和组织的策略进行评估。应将此信息更正为如下内容：(ID-17416)

连续遵循性表示审计策略将应用于所有置备操作，因此不能使用不符合当前策略的方法修改帐户。

可以通过将审计策略分配给组织和/或用户来启用连续遵循性。对用户执行的任何置备操作都将导致对分配给用户的策略进行评估。如果评估产生了任何策略失败，都会中断置备操作。

解除审计者权能限制

默认情况下，执行审计任务所需的权能包含在“顶层”组织（对象组）中。因此，只有控制“顶层”组织的管理员才能向其他管理员分配这些权能。

可以通过向其他组织添加权能来解除此限制。Identity Manager 提供了两个用于执行此任务的实用程序（位于 sample/scripts 目录中）。

运行以下命令以列出所有权能（管理组）及其关联组织（对象组）：

beanshell objectGroupUpdate.bsh -type AdminGroup -action list -csv

此命令可捕获使用逗号分隔值 (Comma-Separated Value, CSV) 格式的文件的输出。

编辑 CSV 文件，根据需要调整权能在组织分层结构中的位置。
运行以下命令以更新 Identity Manager。

beanshell objectGroupUpdate.bsh -data CSVFileName -action add -groups NewObjectGroup

添加规则

已在本节中添加了以下注释 (ID-16604、16831)：

注	Identity Manager 不支持规则嵌套控制。此外，使用审计策略向导创建布尔表达式嵌套策略时，会产生无法预测的结果。 对于复杂的规则表达式，请使用 XML 编辑器来创建单独的 XPRESS 规则，该规则将引用您要使用的所有规则。

创建规则表达式

本节中的注释已更改为如下内容 (ID-16604、16831)：

注	Identity Manager 不支持规则嵌套控制。此外，使用审计策略向导创建布尔表达式嵌套策略时，会产生无法预测的结果。 对于复杂的规则表达式，请使用 XML 编辑器来创建单独的 XPRESS 规则，该规则将引用您要使用的所有规则。

第 13 章：Service Provider 管理

“配置同步”一节应该指出 Service Provider 同步任务的默认同步时间间隔为 1 分钟。

所有章节

章节脚注中标注的发行版应为 7.1 而不是 7.0。(ID-16968)

---

Identity Manager 资源参考资料

本节包含有关 Sun Java^™ System Identity Manager 资源参考资料的新信息和文档更正内容：

常规

不支持 Exchange 5.5 资源适配器。请忽略对此适配器的任何引用。

Active Directory

应将以下信息添加到 Active Directory 资源适配器文档中。

指定传递验证的域

在默认配置中，传递验证是通过只发送用户 ID 和密码来完成的。可以在资源对象的 XML 的 AuthnProperties 元素中将这两个属性配置为 w2k_user 和 w2k_password。如果未指定域，网关将会搜索所有已知的域，并尝试在包含此用户的域中验证该用户。

在可信的多域环境中，可能存在两种情况：

所有域都包含同步的用户/密码组合
用户/密码组合与域相关联。

当用户/密码组合同步时，可以配置 Active Directory 资源，使这些资源成为公共资源。有关设置公共资源的详细信息，请参见 Identity Manager 管理。

如果用户/密码组合与域相关联，并且用户有可能知道域的信息，则可以允许用户在登录屏幕上输入域信息。此选项可以与公共资源结合在一起使用。

要允许用户在登录页面上输入域，则需要在资源对象的 XML 中为 <AuthnProperties> 元素添加以下属性：

<AuthnProperty name='w2k_domain' displayName='Domain:' formFieldType='text' dataSource='user' doNotMap='true'/>

在包含多个可信域和 Active Directory 林的环境中，如果使用其中的任何一种配置，则可能会造成验证失败，这是因为全局目录不包含跨林信息。如果用户提供了错误的密码，并且域的数量大于锁定阈值，则还会导致用户域中发生帐户锁定。

只有部署了多个网关（为每个林分配一个网关），才能进行跨林的用户管理。在这种情况下，您可以将适配器配置为每个适配器使用预定义的域进行验证，而不需要用户指定域。要完成此任务，需要为资源对象的 XML 中的 <AuthnProperties> 元素添加以下验证属性：

<AuthnProperty name='w2k_domain' dataSource='resource attribute' value='MyDomainName'/>

请使用将验证用户的域来替换 MyDomainName。

如果域中存在该用户，但是密码却不同步，则域中将出现登录失败的情况。

因此，无法在一个登录模块组为域信息提供多个数据源。

更正

在 Active Directory 文档中，本指南的“管理 ACL 列表”步骤中包含以下步骤：(ID-16476)

3. 在 Identity Manager 中和“编辑用户”表单上编辑用户。

将此句替换为下句：

3. 在 Identity Manager 中的“编辑用户”表单上编辑用户。

数据库表格

在数据库表适配器文档中，“上次获取的限定词”示例无效。应按如下方式定义该示例：

lastMod > '$(lastmod)'

Flat File Active Sync

Flat File Active Sync 适配器讨论了如何设置 Waveset.properties 文件中的 sources.hosts 属性。现在应该使用同步策略完成此配置。

网关适配器

Domino 网关、Active Directory、Novell NetWare 和其他网关适配器都允许您使用 RA_HANGTIMEOUT 资源属性来指定超时值（以秒为单位）。此属性控制多长时间后对网关的请求会超时并被视为挂起。

必须按如下方式手动将此属性添加到资源对象中：

<ResourceAttribute name='Hang Timeout' displayName='com.waveset.adapter.RAMessages:RESATTR_HANGTIMEOUT' type='int' description='com.waveset.adapter.RAMessages:RESATTR_HANGTIMEOUT_HELP' value='NewValue'>
</ResourceAttribute>

此属性的默认值为 0，表示 Identity Manager 将不会检查挂起的连接。

主机适配器

在 ACF2、Natural、RACF、RACF-LDAP、Scripted Host 和 Top Secret 适配器的“Identity Manager 安装说明”一节中缺少一个步骤。请在步骤 3 的后面添加以下步骤。

4. 在 WebSphere Application Server 中安装 Attachmate 库时，需要将属性 com.wrq.profile.dir=LibraryDirectory 添加到 WebSphere/AppServer/configuration/config.ini 文件中。

这样便允许 Attachmate 代码查找许可文件了。

Microsoft SQL Server

应将以下信息添加到“用法说明”一节中：

如果 Identity Manager 服务器运行在 Windows 计算机上并且它与 SQL Server 服务器实例位于相同的 Windows 安全/验证框架下，则只能在 Microsoft SQL Server 适配器上配置 SQL Server 资源适配器的 Windows 验证模式。

JDBC 驱动程序通过 integratedSecurity 连接字符串属性支持在 Windows 操作系统上使用 Type 2 集成验证。要使用集成验证，请在安装了 JDBC 驱动程序的计算机上，将 sqljdbc_auth.dll 文件复制到 Windows 系统路径上的目录中。

sqljdbc_auth.dll 文件将安装在以下位置：

InstallationDirectory\sqljdbc_Version\Language\auth\

在 32 位处理器中，将在 x86 文件夹中使用 sqljdbc_auth.dll 文件。在 64 位处理器中，将在 x64 文件夹中使用 sqljdbc_auth.dll 文件。

有关详细信息，请参见：

http://msdn2.microsoft.com/en-us/library/ms378428.aspx

NetWare

NDS 适配器已改进了对 GroupWise 的支持：
该适配器现在可以管理辅助域中的邮局。
GroupWise 用户可以订阅任何已知的分发列表。
可以在不指定“删除模式”的情况下删除邮局。
NetWare 适配器文档中包含以下错误的叙述：登录脚本、NRD:Registry 数据和 NRD:Registry 索引属性不受支持。目前，这些属性是受支持的。(ID-16813)

Oracle

在 Oracle 适配器文档中，应对 oracleTempTSQuota 帐户属性做如下描述：(ID-12843)

用户可以分配的最大临时表空间。如果此属性出现在模式映射中，则始终会为临时表空间设置此配额。如果从模式映射中删除此属性，则不会为临时表空间设置任何配额。对于与 Oracle 10gR2 资源进行通信的适配器，则必须删除该属性。

Oracle ERP

Oracle ERP 适配器现在具有可支持临时员工的 npw_number 帐户属性。(ID-16507)

资源用户属性	数据类型	描述
npw_number	字符串	临时员工编号。它表示 per_people_f 表中的 npw_number。 如果在创建时输入了一个值，适配器将尝试在 per_people_f 表中查找用户记录，并在创建 API 中检索 person_id，然后将 person_id 插入到 fnd_user 表的 employee_id 列中。 如果在创建时未输入 npw_number，将不会进行任何链接尝试。 如果在创建时输入了 npw_number，但找不到该编号，则适配器将会抛出异常。 如果 npw_number 位于适配器模式中，适配器在执行 getUser 时将尝试返回 npw_number。 注意：employee_number 属性与 npw_number 属性是互斥的。如果在创建时同时输入两者，则 employee_number 优先。

Oracle ERP 适配器支持 Oracle E-Business Suite (EBS) 版本 12。可能不再需要对 Oracle ERP 用户表单的各部分进行编辑或注释，具体取决于 Identity Manager 资源参考资料中所述的 ERP 安装版本。(16705, 16713)

FormRef 属性目前支持以下属性：

RESOURCE_NAME -- 指定 ERP 资源的名称
VERSION -- 指定 ERP 资源的版本。允许使用的值为 11.5.9、11.5.10 和 12。
RESP_DESCR_COL_EXISTS -- 定义描述列是否包含在 fnd_user_resp_groups_direct 表中。如果版本为 11.5.10 或 12，则需要此属性。允许值为 TRUE 和 FALSE。

无论从何处引用用户表单，都应该输入这些属性。例如，可能需要按如下类似的方式修改选项卡式的用户表单来支持发行版 12。

<FormRef name='Oracle ERP User Form'>
   <Property name='RESOURCE_NAME' value='Oracle ERP R12'/>
   <Property name='VERSION' value='12'/>
   <Property name='RESP_DESCR_COL_EXISTS' value='TRUE'/>
</FormRef>

Remedy

必须在网关的安装目录中放置多个 Remedy API 库。这些库可以在 Remedy 服务器上找到。

表 3 Remedy API 库

Remedy 4.x 和 5.x	Remedy 6.3	Remedy 7.0
arapiXX.dll arrpcXX.dll arutlXX.dll 其中，XX 与 Remedy 版本相匹配。例如，Remedy 4.5 上具有 arapi45.dll。	arapi63.dll arrpc63.dll arutl63.dll icudt20.dll icuin20.dll icuuc20.dll	arapi70.dll arrpc70.dll arutl70.dll icudt32.dll icuin32.dll icuuc32.dll

SAP

一般说明

Identity Manager 安装说明的步骤 1 中的注释表达不清楚， 应表述为

注	请确保您下载的 JCo 工具包与应用服务器所运行的 Java 位版本相匹配。例如，JCo 只能在 Solaris x86 平台上的 64 位版本中使用。因此，您的应用服务器必须在 Solaris x86 平台上运行 64 位版本。

重命名帐户

SAP 适配器目前支持对帐户进行重命名。该适配器通过将现有帐户复制到新帐户中并删除原始帐户来执行此功能。SAP 不建议对帐户进行重命名，但是会在用户管理应用程序（SAP GUI 中的 Transaction SU01）中提供该选项。因此，Identity Manager 也支持此选项。请注意，SAP 在未来的发行版中可能不支持重命名的功能。

SAP GUI 将使用其他方法来执行重命名的操作，这是因为它有权访问非公共的 API 和 SAP 内核。以下步骤将详细描述适配器是如何执行重命名操作的：

获取现有用户的用户信息。
保存 ALIAS 属性（如果有）。
创建新用户。
为新用户设置活动组。（如果在 CUA 模式下，则需要获取以前用户的活动组。）
为新用户设置配置文件。（如果在 CUA 模式下，则需要获取以前用户的配置文件。）
获取以前用户的个人数据。
设置新用户的个人数据。
删除以前的用户。
如果为以前用户设置了别名，则需要为新用户设置别名。

如果在执行步骤 1-3 时出现错误，则操作将立即失败。如果在执行步骤 4-7 时发生错误，则会删除新用户，并且整个操作将失败。（如果无法删除新用户，则会在 WavesetResult 中显示一条警告信息）。如果在执行步骤 8-9 时出现错误，则会为 WavesetResult 添加一条警告信息，但是该操作将会成功完成。

重命名操作要求必须为新用户设置新密码。可以通过自定义“重命名用户”任务来调用“更改用户密码”任务非常轻松地完成此操作。

Sun Java System Access Manager

Sun Java System Access Manager 文档中的“策略代理”一节描述的步骤已过时。请使用以下步骤。
在 Identity Manager 管理员界面菜单栏中，选择“安全性”。
单击“登录”选项卡。
然后单击页面底部的“管理登录模块组”按钮。
选择要修改的登录模块。例如，选择“默认的 Identity System ID/密码登录模块组”。
在“分配登录模块”选择框中，选择“Sun Access Manager 登录模块”或“Sun Access Manager 领域登录模块”。
当新的“选择”选项显示在“分配登录模块”选项的旁边时，请选择相应的资源。
当“修改登录模块”页面出现时，请按需要编辑显示的字段，然后单击“保存”。再次显示“修改登录模块组”。
将 Sun Access Manager 登录模块指定为模块组中的第一个资源，然后单击“保存”。
在“Sun Java System Access Manager 领域资源适配器”一节中所列出的步骤中缺少了下面一步。在将 amclientsdk.jar 文件复制到 InstallDir/WEB-INF/lib 目录（步骤 4）后，必须重新启动 Identity Manager 的应用服务器。
应将对 Policy Agent 2.1 的引用更改为对 Policy Agent 2.2 的引用。

Sun Java System Access Manager 领域

Identity Manager 资源参考资料包含过期的链接。请使用以下链接：

策略代理下载位置：http://wwws.sun.com/software/download/inter_ecom.html#dirserv
策略代理文档位置：http://docs.sun.com/app/docs/coll/1322.1

在“安装说明”一节，已将配置 Sun Java System Access Manager 领域资源适配器的步骤更新为如下内容：

按照《Sun Java^™ System Access Manager 7 2005Q4 Developer's Guide》中提供的说明，从 Sun Access Manager 安装中生成客户机 SDK。
从生成的 war 文件中提取 AMConfig.properties 和 amclientsdk.jar 文件。
将 AMConfig.properties 副本放在以下目录中：

InstallDir/WEB-INF/classes

将 amclientsdk.jar 的副本放在以下目录中：

InstallDir/WEB-INF/lib

将 amclientsdk.jar 文件添加到服务器类路径中。
重新启动 Identity Manager 应用服务器。
复制文件后，必须将 Sun Java System Access Manager 领域资源添加到 Identity Manager 资源列表中。在“配置受管理的资源”页面的“自定义资源”部分添加以下值。

com.waveset.adapter.SunAccessManagerRealmResourceAdapter

“策略代理”一节所描述的步骤已过时。请使用以下步骤。

在 Identity Manager 管理员界面菜单栏中，选择“安全性”。
单击“登录”选项卡。
然后单击页面底部的“管理登录模块组”按钮。
选择要修改的登录模块。例如，选择“默认的 Identity System ID/密码登录模块组”。
在“分配登录模块”选择框中，选择“Sun Access Manager 登录模块”或“Sun Access Manager 领域登录模块”。
当新的“选择”选项显示在“分配登录模块”选项的旁边时，请选择相应的资源。
当“修改登录模块”页面出现时，请按需要编辑显示的字段，然后单击“保存”。再次显示“修改登录模块组”。
将 Sun Access Manager 领域登录模块指定为模块组中的第一个资源，然后单击“保存”。

UNIX 适配器

AIX、HPUX、Solaris 和 Linux 适配器的相关文档曾进行过如下陈述：如果您使用 sudo，则必须为适配器使用的每个命令指定 NOPASSWORD 选项。这是错误的。

同步 LDAP 密码

Identity Manager 现在支持 LDAP 密码同步 Directory Server 5.2 SP5 和更高版本。“配置密码同步”页面中包含一个新的字段“Directory Server 版本”，该字段允许您将 Directory Server 实例指定为 5.2 P4（或早期版本）或 5.2 P5（或更高版本）。

请注意以下文档更改：

在“步骤 2：启用密码同步功能”部分，应该在步骤 6 和 7 之间添加一个新的带序号的步骤，用以说明您必须从“Directory Server 版本”下拉菜单中选择一个选项。
应将“安装密码捕获插件”一节重新命名为“安装并配置密码捕获插件”。本节第一个注释的第一句话应以“然后必须在每个主副本中安装并配置该插件”结尾。

本节的步骤 2 应以“仅对于 Directory Server 版本 5.2 P4 或早期版本，才需要将插件二进制文件 (idm-plugin.so) 放在 Directory Server 所运行的主机上”开头。

应将以下段落和注释添加到“安装并配置密码捕获插件”一节的结尾处：

在启用密码捕获插件后，客户机必须具有 userPassword 和 idmpasswd 属性的 MODIFY 权限才能更改密码。请相应地调整位于目录树中的访问控制信息设置。如果目录管理员以外的管理员具有更新其他用户密码的权限，则此操作通常是必要的。

注	无论何时对插件配置进行更改，都必须重新启动 Directory Server。

---

Identity Manager 技术部署概述

本节包含有关 Sun Java^™ System Identity Manager 技术部署概述的新信息和文档更正内容：

可以使用 CSS 将“用户列表”和“资源列表”表格中的列宽度设置为固定像素或百分比值。要执行此操作，请将以下样式类（默认情况下已注释掉）添加到 customStyle.css。然后可以编辑值以满足用户的要求。

th#UserListTreeContent_Col0 {
width: 1px;
}

th#UserListTreeContent_Col1 {
width: 1px;
}

th#UserListTreeContent_Col2 {
width: 50%;
}

th#UserListTreeContent_Col3 {
width: 50%;
}

th#ResourceListTreeContent_Col0 {
width: 1px;
}

th#ResourceListTreeContent_Col1 {
width: 1px;
}

th#ResourceListTreeContent_Col2 {
width: 33%;
}

th#ResourceListTreeContent_Col3 {
width: 33%;
}

th#ResourceListTreeContent_Col4 {
width: 33%;
}

也可以通过单击并拖动列标题的右边框调整表格列。如果将鼠标放在列标题的右边框上，光标将变成水平调整箭头。左键单击并拖动光标将调整该列。（释放鼠标按钮时调整结束。）

特别需要在最终用户导航栏（选项卡）中使用自定义 JavaScript 函数的客户，必须使用 endUserNavigation 来引用该表单。例如，document.forms['endUserNavigation'].elements。(ID-13769)
现在系统配置对象包含 security.delegation.historyLength 属性，该属性控制记录的先前委托数。
“访问查看面板”和“访问查看详细信息报告”都显示了审计日志中记录的查看实例。如果不进行数据库维护，将从不会截断审计日志，并且查看列表将会增长。Identity Manager 提供了将显示的查看限制到某个特定使用期限范围的功能。要更改此限制，必须自定义 compliance/dashboard.jsp（对于面板）和 sample/auditortasks.xml（对于“详细信息”报告）。（默认情况下，仅显示使用期限小于 2 年的查看。）

要限制包含在“访问查看面板”中的查看，请自定义 compliance/dashboard.jsp，如下所示：

在 Identity Manager IDE 或所选的编辑器中打开 compliance/dashboard.jsp：
将 form.setOption("maxAge", "2y"); 行更改为 form.setOption("maxAge", "6M");，以将列表限制为显示在过去 6 个月内运行的查看。限定词为：
m - 分钟
h - 小时
d - 天
w - 周
M - 月
y - 年

要显示仍在审计日志中存在的所有查看，请注释掉该行。

要限制包含在“访问查看详细信息报告”中的查看，

在 IDE 或选择的编辑器中打开 sample/auditortasks.xml。
按指示更改以下行：

<s>maxAge</s>
  <s>2y</s>

更改为

<s>maxAge</s>
  <s>6M</s>

以将查看限制到过去的 6 个月。与上述限定词相同的限定词均适用。

每个周期性访问查看包含一组运行查看时创建的 UserEntitlement 记录。这些记录随时间累积，可以提供有关帐户的有价值的历史信息。但是，为了节约数据库空间，请考虑删除某些记录。可以通过执行“服务器任务”>“运行任务”>“删除访问查看”删除记录。删除查看会添加指示已删除查看的审计日志条目，并删除与此查看相关的所有 UserEntitlement 记录，这会节约数据库空间。

在“更改登录页上的背景图像”一节中，代码的第三行应为：

url(../images/other/login-backimage2.jpg)

代码示例 5-5 包含了应该在代码示例 5-4 中显示的信息。
代码示例 5-4 应如下所示：

代码示例 5-4 自定义导航选项卡  

/* LEVEL 1 TABS */ .TabLvl1Div { background-image:url(../images/other/dot.gif); background-repeat:repeat-x; background-position:left bottom; background-color:#333366; padding:6px 10px 0px; } a.TabLvl1Lnk:link, a.TabLvl1Lnk:visited { display:block; padding:4px 10px 3px; font: bold 0.95em sans-serif; color:#FFF; text-decoration:none; text-align:center; } table.TabLvl1Tbl td { background-image:url(../images/other/dot.gif); background-repeat:repeat-x; background-position:left top; background-color:#666699; border:solid 1px #aba1b5; } table.TabLvl1Tbl td.TabLvl1TblSelTd { background-color:#9999CC; background-image:url(../images/other/dot.gif); background-repeat:repeat-x; background-position:left bottom; border-bottom:none; }   /* LEVEL 2 TABS */ .TabLvl2Div { background-image:url(../images/other/dot.gif); background-repeat:repeat-x; background-position:left bottom; background-color:#9999CC; padding:6px 0px 0px 10px } a.TabLvl2Lnk:link, a.TabLvl2Lnk:visited{ display:block; padding:3px 6px 2px; font: 0.8em sans-serif; color:#333; text-decoration:none; text-align:center; } table.TabLvl2Tbl div.TabLvl2SelTxt { display:block; padding:3px 6px 2px; font: 0.8em sans-serif; color:#333; font-weight:normal; text-align:center; } table.TabLvl2Tbl td { background-image:url(../images/other/dot.gif); background-repeat:repeat-x; background-position:left top; background-color:#CCCCFF; border:solid 1px #aba1b5; } table.TabLvl2Tbl td.TabLvl2TblSelTd { border-bottom:none; background-image:url(../images/other/dot.gif); background-repeat:repeat-x; background-position:left bottom; background-color:#FFF; border-left:solid 1px #aba1b5; border-right:solid 1px #aba1b5; border-top:solid 1px #aba1b5;

代码示例 5.5 应如下所示：

代码示例 5-5 更改标签面板选项卡

table.Tab2TblNew td {background-image:url(../images/other/dot.gif);background-repeat:repeat-x;background-position:left top;background-color:#CCCCFF;border:solid 1px #8f989f} table.Tab2TblNew td.Tab2TblSelTd {border-bottom:none;background-image:url(../images/other/dot.gif);background-repeat:repeat-x;background-position:left bottom;background-color:#FFF;border-left:solid 1px #8f989f;border-right:solid 1px #8f989f;border-top:solid 1px #8f989f}

在 Identity Manager 最终用户界面中，水平导航栏是由 enduser.xml 中的最终用户导航用户表单驱动的。(ID-12415)

userHeader.jsp（包含在所有最终用户页面中）包含另一个名为 menuStart.jsp 的 JSP。此 JSP 访问以下两个系统配置对象：

ui.web.user.showMenu - 打开/关闭导航菜单的显示（默认值：true）
ui.web.user.menuLayout - 确定将菜单呈现为使用多个选项卡的水平导航栏（默认值：horizontal）还是垂直树状菜单 (vertical)

用于确定如何呈现菜单的 CSS 样式类位于 style.css 中。

Identity Manager 现在将 Lighthouse 帐户称为 Identity Manager 帐户。可通过使用自定义目录来覆盖此名称更改。(ID-14918) 有关自定义目录的信息，请参见 Identity Manager 技术部署概述中的“启用国际化”。

以下目录条目控制产品名称的显示：

PRODUCT_NAME=Identity Manager

LIGHTHOUSE_DISPLAY_NAME=[PRODUCT_NAME]

LIGHTHOUSE_TYPE_DISPLAY_NAME=[PRODUCT_NAME]

LIGHTHOUSE_DEFAULT_POLICY=Default [PRODUCT_NAME] Account Policy

Identity Manager 现在提供新的配置对象（WorkItemTypes 配置对象），用于指定所有支持的工作项目类型名称、扩展和显示名称。(ID-15468) 此配置对象是在 sample/workItemTypes.xml 中定义的，该文件由 init.xml 和 update.xml 导入。

extends 属性允许使用工作项目类型（workItem 类型）层次结构。Identity Manager 创建工作项目时，如果其 workItem 类型为以下类型，则会将工作项目委托给指定的用户：

委托的类型
要委托的类型的下属 workItem 类型之一。

workItem 类型	描述	显示名称
批准	扩展 WorkItem	批准
OrganizationApproval	扩展 Approval	组织批准
ResourceApproval	扩展 Approval	资源批准
RoleApproval	扩展 Approval	角色批准
证明	WorkItem	访问查看证明
review	WorkItem	修正
accessReviewRemediation	WorkItem	访问

“更改标头外观”一节中包含的代码样例将第一行错误地表示为 "MstDiv"。此行应表示为 ".MstDiv"。(ID-16072)
对“自定义浏览器栏”一节进行了以下修订：(ID-16073)

现在，您可以将浏览器标题栏中的产品名称字符串替换为所选的可本地化的字符串。

导入以下 XML 文件：

代码示例 1 要导入的 XML

<?xml version='1.0' encoding='UTF-8'?> <!DOCTYPE Configuration PUBLIC 'waveset.dtd' 'waveset.dtd'> <Configuration name='AltMsgCatalog'> <Extension> <CustomCatalog id='AltMsgCatalog' enabled='true'> <MessageSet language='en' country='US'> <Msg id='UI_BROWSER_TITLE_PROD_NAME_OVERRIDE'>Override Name</Msg>     </MessageSet> </CustomCatalog> </Configuration> </Extension>

使用 Identity Manager IDE，加载要编辑的系统配置对象。添加新的顶层属性：

Name = customMessageCatalog

Type = string

Value = AltMsgCatalog

打开 ui.web 通用对象，并查找 browserTitleProdNameOverride 属性。将此值设置为 true。
保存此系统配置对象的更改，然后重新启动应用服务器。
默认情况下，Identity Manager 匿名注册处理使用用户提供的名 (firstName)、姓 (lastName) 和 employeeId 生成 accountId 和 emailAddress 值。(ID-16131)

由于匿名注册处理可能会导致电子邮件地址和帐户 ID 中包含非 ASCII 字符，因此，国际用户应修改 EndUserRuleLibrary 规则，以使 Identity Manager 能够在匿名注册处理过程中保留 ASCII 帐户 ID 和电子邮件地址。

要在匿名注册处理过程中保留 ASCII 帐户 ID 和电子邮件地址值，请执行以下两个步骤：

编辑 EndUserRuleLibrary 中的以下三个规则，如下所示：

编辑以下规则	进行如下更改...
getAccountId	仅使用 employeeId（并删除 firstName 和 lastName）
getEmailAddress	仅使用 employeeId（删除 firstName、lastName 和 "."）
verifyFirstname	将长度检查由 2 更改为 1，以允许使用单字符亚洲名

编辑最终用户匿名注册完成表单，从 getAccountId 和 getEmailAddress 规则调用中删除 firstName 和 lastName 参数。
在第 5 章“Identity Manager 的专用标签”的有关如何自定义登录页面的讨论中，应添加以下有关消息关键字的信息。(ID-16702)

JSP 或 Identity Manager 组件	受影响的界面	消息关键字
登录页面 TITLE	管理员和用户	UI_LOGIN_TITLE_TO_RESOURCE UI_LOGIN_CHALLENGE
登录页面 SUBTITLE	管理员和用户	根据登录模式选择关键字：忘记密码、忘记用户 ID 和登录质询。 UI_LOGIN_WELCOME3 UI_LOGIN_WELCOME4 UI_LOGIN_WELCOME5 UI_LOGIN_WELCOME6 UI_LOGIN_CHALLENGE_INFO
staticLogout.jsp 和 user/staticUserLogout.jsp	管理员和用户	UI_LOGIN_TITLE
continueLogin.jsp	管理员	UI_LOGIN_IN_PROGRESS_TITLE UI_LOGIN_WELCOME

将不再使用以下关键字：

UI_LOGIN_TITLE_LONG
UI_LOGIN_WELCOME2

---

Identity Manager 工作流、表单和视图

本节包含有关 Sun Java^™ System Identity Manager 工作流、表单和视图的新信息和文档更正内容。

通过将以下字段添加到表单中，可以关闭用户表单中的策略检查：(ID-13346)

<Field name='viewOptions.CallViewValidators'>   <Display class='Hidden'/>     <Expansion>         <s>false</s>     </Expansion> </Field>

该字段将覆盖 modify.jsp 的 OP_CALL_VIEW_VALIDATORS 字段中的值。

Identity Manager 用户界面页包括实现导航栏的另一个 XPRESS 表单。因此，转译的页面包括两个 <FORM> 标记，每个都具有不同的名称属性：

<form name="endUserNavigation"> 和 <form name="mainform">

要避免这两个 <FORM> 元素之间出现混淆的可能性，请确保按以下方式使用 name 属性以区分所引用的 <FORM>：document.mainform 或 document.endUserNavigation。

第 1 章：Identity Manager 工作流

Identity Manager 在 /sample/workflows 中提供了以下新示例访问查看工作流。(ID-15393)

测试自动证明

用于测试新的查看确定规则，而无需创建证明工作项目。此工作流不创建任何工作项目，在启动后很快就会终止。它将所有用户权利文件对象保持为访问扫描创建它们时的相同状态。可以使用“终止”和“删除”选项清除使用此工作流运行的访问扫描的结果。

可以根据需要导入此桩模块工作流。(Identity Manager 不会自动将其导入。）

Identity Manager 遵循性将工作流作为应用程序的集成和自定义点。下面介绍了默认遵循性相关工作流。(ID-15447)

工作流名称	用途
修正	处理单个遵循性违规的单个修正者的修正
访问查看修正	处理单个 UserEntitlement 的单个修正者的修正
证明	处理单个 UserEntitlement 的单个证明者的证明
多个修正	修正单个遵循性违规和多个修正
更新遵循性违规	缓解遵循性违规
启动访问扫描	从访问查看任务中启动访问扫描
启动权利文件重新扫描	为单个用户启动访问扫描的重新扫描
启动违规重新扫描	为单个用户启动审计策略扫描的重新扫描

对 maxSteps 属性描述进行了以下修订：(ID-15618)

指定任何工作流进程或子进程中允许的最大步骤数。一旦超出此级别，Identity Manager 将终止该工作流。此设置用作一种安全保护措施，以检测工作流出现死循环的情况。在工作流本身中设置的默认值为 0，它表示 Identity Manager 应该从系统配置对象的 workflow.maxSteps 属性中存储的全局设置获取实际设置值。此全局设置的值为 5000。

本章现在包含脚本化任务执行器任务的以下说明。(ID-15258)

根据提供的脚本执行 Beanshell 或 JavaScript。可以将其作为任务安排为定期运行。例如，可以使用它，将系统信息库中的数据导出到数据库以进行报告和分析。优点包括可以编写自定义任务，而无需编写自定义 Java 代码。（每次进行升级时，都需要对自定义 Java 代码进行重新编译，并且必须将其部署到每个服务器上；由于脚本嵌入在任务中，因此，不需要对其进行重新编译或部署。）

第 2 章：工作流服务

createView 会话工作流服务的参数表是错误的。下表描述了此服务中可用的参数。(ID-14201)

表 1

名称	是否必需	有效值	描述
op	是	createView
viewId	是		指定要创建的视图类型。
options	否		指定特定于视图的选项。可以传递的值特定于所使用的视图。最常用的视图为用户视图。 可以在 session.UserViewConstants 中找到这些选项。简单一些的视图应该在 Viewer.java 文件中声明其选项常量。 在工作流中第二常用的视图可能为 ProcessViewer，然后依次为 PasswordViewer、DisableViewer、EnableViewer 和 RenameViewer。相对来说，这些视图具有较少的选项。

应该在 disableUser 工作流服务的描述中阐明，此服务的默认行为是禁用 Identity Manager 帐户以及资源帐户。(ID-14572) 如果不想禁用 Identity Manager 帐户，请传递以下参数：

<Argument name='doWaveset' value='false'/>

对此方法的参数的讨论应如下所示：

名称	是否必需	有效值	描述
op	是	disableUser
accountId	是		标识要为其禁用帐户的 Identity Manager 用户。
doWaveset	否	true/false	如果为 true，则会为此用户禁用 Identity Manager 帐户。如果不提供值，则会默认为 true，并且会禁用此帐户。
services	否		标识要禁用的资源列表。如果不提供此参数，将禁用该用户的所有资源帐户。

此文档将 checkoutView 和 createView 方法的 viewId 属性错误地表示为 "viewid"。请注意，此参数的正确拼写应为 viewId。(ID-15411)
本章现在包含锁定和解除锁定工作流服务的如下描述。(ID-17070)

锁定置备工作流服务

用于锁定对象。

参数	是否必需	描述
subject	否	表示此调用的有效主体。如果不提供此参数，Identity Manager 将使用任务的 subject。如果此参数的值为 none，则 Identity Manager 将不执行授权。
options	否	（映射）选项名称/选项值对的值映射。如果不提供此参数，将使用以下特定的参数。如果提供此参数，则以下任何特定的参数将覆盖此选项映射中包含的相同参数。
accountId	否	（字符串）标识要锁定的 Identity Manager 用户的名称。
adminName	否	（字符串）表示执行此操作的管理员的名称。
loginAppName	否	（字符串）指定登录应用程序的名称。
op	是	有效值为 unlock

此方法将返回一个 null 值。

解除工作流服务的锁定

用于对锁定对象解除锁定。

表 1

参数	是否必需	描述
subject	否	（字符串）表示此调用的有效主体。如果不提供此参数，则将使用任务的主体。如果此参数的值为 none，则不执行授权。
options	否	（映射）选项名称/选项值对的值映射。如果不提供此参数，Identity Manager 将使用以下特定的参数。如果提供此参数，则以下任何特定的参数将覆盖此选项映射中包含的相同参数。
accountId	否	（字符串）标识要解除锁定的 Identity Manager 用户的名称。
adminName	否	（字符串）表示执行此操作的管理员的名称
loginAppName	否	（字符串）指定登录应用程序的名称。
doLighthouse	否	（布尔型）表示是否解除 Identity Manager 帐户的锁定。
doResources	否	（布尔型）表示是否解除用户资源的锁定。
doAuthenticators	否	（布尔型）如果为 true，将解除所有传递验证的锁定。
op	是	有效值为 unlock。

此方法将返回 WavesetResult，其中包含操作结果。

对 removeDeferredTask 会话工作流服务的描述进行了以下修订：(ID-17302)

用于删除 Identity Manager 对象中的延迟任务。Identity Manager 将确保为启动工作流的管理员授予删除此对象的权限。

表 2 removeDeferredTask 方法参数

名称	是否必需	有效值	描述
type	否	有效值为类型列表	指定要从中删除延迟任务的对象类型。如果不提供此参数，则该类型默认为 user。
name	是		指定要从中删除延迟任务的对象名称。
task			指定要删除的 TaskDefinition 的名称。

第 3 章，Identity Manager 表单

本章现在包含对审计和遵循性过程中所用表单的以下描述。（ID-15447、16240）

Identity Manager 审计和遵循性表单为 Identity Manager 表单提供了一个独一无二的功能：您可以基于每个用户和每个组织来分配表单。按用户分配的表单可以提高证明和修正处理的效率。

例如，可以指定 Identity Manager 显示的用户表单，用于在访问查看、修正或遵循性违规修正的上下文中编辑用户。可以在用户或组织级别指定此用户表单。Identity Manager 在访问查看重新扫描或访问查看修正的上下文中重新扫描用户时，重新扫描操作将优先使用 AccessScan 中定义的审计策略。可以对此进行定义以包含连续遵循性审计策略。

注	要配置审计组件，您必须是具有“配置审计”或“审计者管理员”权能的 Identity Manager 管理员。

相关信息

有关对支持 Identity Manager 审计和遵循性功能的概念以及实现默认审计和遵循性功能的基本过程的讨论，请参见 Identity Manager 管理。
有关规则的一般讨论和修正规则的特定信息，请参见 Identity Manager 部署工具中的 Identity Manager 规则。

关于与审计相关的表单处理

与 userForm 和 viewUserForm 非常相似，您可以在特定用户或某个组织上设置表单，该用户（或组织中的所有用户）将使用此表单。如果同时在用户和组织上设置表单，则在用户上设置的表单优先。（查找表单时，Identity Manager 将向上搜索组织。）

与审计相关的表单与用户表单和查看用户表单的工作机制是相同的：每个用户都可以指定要使用的特定表单，并且特定用户应该使用哪个表单将取决于该用户所在的组织。

指定用户表单

“审计策略列表”和“访问扫描列表”表单支持 fullView 属性，此属性将导致表单显示大量有关列表中元素的数据。将此策略设置为 false 可提高列表查看器的性能。

“访问批准列表”表单有一个类似属性 includeUE，而“修正列表”表单使用 includeCV 属性。

默认的与审计相关的表单

下表指出了随 Identity Manager 提供的与审计相关的默认表单。

表 2

表单名称	映射的名称	按用户控制	一般用途
访问批准列表	accessApprovalList		显示证明工作项目的列表
访问查看删除确认	accessReviewDeleteConfirmation		确认删除访问查看
访问查看中止确认	accessReviewAbortConfirmation		确认终止访问查看
访问查看面板	accessReviewDashboard		显示所有访问查看的列表
访问查看修正表单	accessReviewRemediationWorkItem	是	呈现每个基于用户权利文件的修正工作项目
访问查看摘要	accessReviewSummary		显示特定访问查看的详细信息
访问扫描表单	accessScanForm		显示或编辑访问扫描
访问扫描列表	accessScanList		显示所有访问扫描的列表
访问扫描删除确认	accessScanDeleteConfirmation		确认删除访问扫描
访问批准列表	attestationList	是	呈现所有暂挂证明的列表。
证明表单	attestationWorkItem	是	呈现每个证明工作项目
UserEntitlementForm	userEntitlementForm		显示 UserEntitlement 的内容
UserEntitlement 摘要表单	userEntitlementSummaryForm
违规详细信息表单	violationDetailForm		显示遵循性违规的详细信息
修正列表	remediationList	是	显示修正工作项目的列表
审计策略列表	auditPolicyList		显示审计策略列表
审计策略删除确认表单	auditPolicyDeleteConfirmation		确认删除审计策略
冲突违规详细信息表单	conflictViolationDetailsForm		显示 SOD 违规表
遵循性违规摘要表单	complianceViolationSummaryForm
修正表单	reviewWorkItem	是	呈现遵循性违规。

为什么要自定义这些表单？

证明者和修正者可以指定准确显示所需的详细信息的表单，以便更有效地执行证明和修正操作。例如，资源证明者可能会在列表表单中显示特定于资源的特定属性，以便无需查看每个特定工作项目即可执行证明操作。由于此表单会随相关的资源类型（以及属性）而有所不同，因此基于证明者来自定义表单很有必要。

在证明期间，每个证明者都可以从独特的角度查看权利文件。例如，idmManager 证明者可能以普通方式查看用户权利文件，而资源证明者却只对特定于资源的数据感兴趣。允许每个证明者对证明列表表单和证明工作项目表单进行自定义，可以只检索和显示所需信息，从而提高产品界面的效率。

扫描任务变量

审计策略扫描任务和访问扫描任务的任务定义均指定了启动任务时使用的表单。这些表单包含一些字段，可以在其中控制大多数（而非全部）扫描任务变量。

变量名称	默认值	用途
maxThreads	5	为单个扫描程序确定某一时刻的并发工作用户数。如果增加此值，扫描帐户位于非常缓慢的资源上的用户时可能会增加吞吐量。
userLock	5000	指示尝试对要扫描的用户获取锁定时所花费的时间（以毫秒为单位）。如果几个并发扫描正在扫描相同的用户，并且该用户具有非常缓慢的资源；如果增加此值，则可能会导致锁定错误减少，但会使总体扫描速度变慢。
scanDelay	0	指示在发出新的扫描线程之间延迟的时间（以毫秒为单位）。可以将其设置为正数，以强制使扫描程序获得更多的 CPU 资源。

对 Disable 元素描述进行了以下修订：(ID-14920)

计算布尔值。如果为 true，则在当前表单处理过程中忽略字段及其所有嵌套字段。

不要在“禁用”元素中创建可能会长时间运行的活动。每次重新计算表单时，都会运行这些表达式。相反，应使用不会频繁运行的其他表单元素来执行此计算。

标题为“将 Javascript 插入到表单中”的一节错误地指出，可以使用 <JavaScript> 标记将 JavaScript 包含在表单中 (ID-15741)。或者，也可以按如下方式包含 JavaScript：

<Field>
   <Expansion>
      <script>
............

注	display.session 和 display.subject 变量对于“禁用”表单元素不可用。

现在，可以将警告 (WARNING)、错误 (ERROR) 或信息 (OK) 警报消息插入到 XPRESS 表单中。（ID-14540、ID-14953）

注	虽然此示例说明了如何将警告 ErrorMessage 对象插入到表单中，但您可以分配不同的严重级别。

使用 Identity Manager IDE 打开要将警告添加到的表单。
将 <Property name='messages'> 添加到主 EditForm 或 HtmlPage 显示类中。
添加以下示例代码中的 <defvar name='msgList'> 代码块。
在以下代码示例字符串中，替换用于确定要在“警报”框中显示的消息文本的消息关键字：

<message name='UI_USER_REQUESTS_ACCOUNTID_NOT_FOUND_ALERT_VALUE >

保存并关闭该文件。

代码示例

<Display class='EditForm'>    <Property name='componentTableWidth' value='100%'/>    <Property name='rowPolarity' value='false'/>    <Property name='requiredMarkerLocation' value='left'/>    <Property name='messages'>      <ref>msgList</ref>    </Property> </Display> <defvar name='msgList'>   <cond>     <and>       <notnull>         <ref>username</ref>       </notnull>       <isnull>         <ref>userview</ref>       </isnull>     </and>     <list>       <new class='com.waveset.msgcat.ErrorMessage'>         <invoke class='com.waveset.msgcat.Severity' name='fromString'>            <s>warning</s>         </invoke>         <message name='UI_USER_REQUESTS_ACCOUNTID_NOT_FOUND_ALERT_VALUE'>           <ref>username</ref>         </message>       </new>     </list>   </cond> </defvar>

要显示警告以外的严重级别，请将前面示例中的 <s>warning</s> 替换为以下两个值之一：

error - 导致 Identity Manager 呈现带有红色“错误”图标的 InlineAlert。
ok - 导致呈现带有蓝色信息图标的 InlineAlert，此消息可能表示成功或另一种非重要消息。

Identity Manager 将其呈现为带有警告图标的 InlineAlert

<invoke class='com.waveset.msgcat.Severity' name='fromString'>

   <s>warning</s>

</invoke>

其中，warning 也可以为 error 或 ok。

本章现在包含对隐藏显示组件的以下描述：

隐藏显示类与 <input type=hidden'/> HTML 组件相对应。此组件仅支持单值数据类型，因为没有可靠的方法对多值数据类型进行序列化和反序列化。(ID-16904)

如果您具有一个要呈现为字符串的列表，则必须将其显式转换为字符串。例如：

代码示例 0-1 通过隐藏显示组件来呈现多值数据类型

<Field name='testHiddenFieldList' >      <Display class='Hidden'/ >      <Derivation>            <invoke name='toString'> <List> <String>aaaa</String> <String>bbbb</String> </List> </invoke>      </Derivation> </Field>

现在，可以在最终用户界面的更改密码表单中设置 RequiresChallenge 属性，以要求用户在更改其帐户密码之前重新输入其当前的密码。有关如何设置此属性的示例，请参见 enduser.xml 中的基本更改密码表单。(ID-17309)

第 4 章，Identity Manager 视图

对组织视图的描述进行了以下更新：(ID-13584)

用于指定所创建的组织类型以及用于处理组织的选项。

通用属性

下表中列出了组织视图的高级属性。

名称	是否可编辑？	数据类型	是否必需？
orgName	读取	字符串	系统生成
orgDisplayName	读取/写入	字符串	是
orgType	读取/写入	字符串	否
orgId	读取	字符串	系统生成
orgAction	写入	字符串	否
orgNewDisplayName	写入	字符串	否
orgParentName	读取/写入	字符串	否
orgChildOrgNames	读取	列表	系统生成
orgApprovers	读取/写入	列表	否
allowsOrgApprovers	读取	列表	系统生成
allowedOrgApproverIds	读取	列表	系统生成
orgUserForm	读取/写入	字符串	否
orgViewUserForm	读取/写入	字符串	否
orgPolicies	读取/写入	列表	否
orgAuditPolicies	读取/写入	列表	否
renameCreate	读取/写入	字符串	否
renameSaveAs	读取/写入	字符串	否

orgName

标识组织的 UID。此值不同于大多数视图对象名称，因为组织可以具有相同的简称，但具有不同的父组织。

orgDisplayName

指定组织的简称。此值仅用于显示，不必具有唯一性。

orgType

定义允许值为 junction 或 virtual 的组织类型。不属于 junction 或 virtual 类型的组织没有值。

orgId

指定用于唯一标识 Identity Manager 内组织的 ID。

orgAction

只有目录连接、虚拟组织和动态组织支持此属性。允许的值为 refresh。当组织为目录连接或虚拟组织时，刷新操作的行为取决于 orgRefreshAllOrgsUserMembers 的值。

orgNewDisplayName

重命名组织时指定新的简称。

orgParentName

标识父组织的完整路径名。

orgChildOrgNames

列出所有直接和间接子组织的 Identity Manager 界面名称。

orgApprovers

列出需要批准此组织中所添加或修改的用户的 Identity Manager 管理员。

allowedOrgApprovers

列出潜在的用户名，这些用户可能成为此组织中所添加或修改的用户的批准者。

allowedOrgApproverIds

列出潜在的用户 ID，这些用户可能成为此组织中所添加或修改的用户的批准者。

orgUserForm

指定此组织的成员用户在创建或编辑用户时所使用的 userForm。

orgViewUserForm

指定此组织的成员用户在查看用户时所使用的查看用户表单。

orgPolicies

标识应用于此组织所有成员用户的策略。这是一个使用类型字符串进行标识的对象的列表：每个策略对象包含以下视图属性，这些属性以 orgPolicies[<type>] 为前缀。其中 <type> 表示策略类型（例如，Lighthouse 帐户）。

policyName -- 指定名称
id -- 指出 ID
implementation -- 标识将实现此策略的类

orgAuditPolicies

指定应用于此组织所有成员用户的审计策略。

renameCreate

将此属性设置为 true 时，将克隆此组织并使用 orgNewDisplayName 的值创建一个新组织。

renameSaveAs

将此属性设置为 true 时，将使用 orgNewDisplayName 的值重命名此组织。

目录连接和虚拟组织属性

名称	是否可编辑？	数据类型	是否必需？
orgContainerId	读取	字符串	系统生成
orgContainerTypes	读取	列表	系统生成
orgContainers	读取	列表	系统生成
orgParentContainerId	读取	字符串	系统生成
orgResource	读取/写入	字符串	是（对于目录连接或虚拟组织）
orgResourceType	读取	字符串	系统生成
orgResourceId	读取	字符串	系统生成
orgRefreshAllOrgsUserMembers	写入	字符串	否

orgContainerId

指定关联的 LDAP 目录容器的 DN（例如，cn=foo,ou=bar,o=foobar.com）。

orgContainerTypes

列出可以包含其他资源对象的允许的资源对象类型。

orgContainers

列出资源的基本容器，Identity Manager 界面将使用这些容器来显示可供选择的列表。

orgParentContainerId

指定关联的父 LDAP 目录容器的 DN（例如，ou=bar,o=foobar.com）。

orgResource

指定用于同步目录连接和虚拟组织的 Identity Manager 资源的名称（例如，West Directory Server）。

orgResourceType

指出用于同步目录连接和虚拟组织的 Identity Manager 资源的类型（例如，LDAP）。

orgResourceId

指定用于同步目录连接和虚拟组织的 Identity Manager 资源的 ID。

orgRefreshAllOrgsUserMembers

如果此属性为 true 并且 orgAction 的值为 refresh，将同步选定组织及所有子组织的 Identity 组织用户成员资格和资源容器用户成员资格。如果此属性为 false，则不同步资源容器用户成员资格，而只同步选定组织及所有子组织的资源容器和 Identity 组织。

动态组织属性

名称	是否可编辑？	数据类型	是否必需？
orgUserMembersRule	读取/写入	字符串	否
orgUserMembersRuleCacheTimeout	读取/写入	字符串	否

orgUserMembersRule

标识（使用名称或 UID）authType 为 UserMembersRule 的规则，在运行时将评估此规则以确定用户成员资格。

orgUserMembersCacheTimeout

如果要对 orgUserMembersRule 返回的用户成员进行高速缓存，指定缓存超时之前的时间（以毫秒为单位）。值为 0 表示不进行高速缓存。

对用户视图的讨论现在包含对 accounts[Lighthouse].delegates 属性的以下讨论：(ID-15468)

accounts[Lighthouse].delegates

列出委托对象并按 workItemType 编制索引，其中每个对象指定特定类型的工作项目的委托信息

如果 delegateApproversTo 值是 delegatedApproversRule，则指定选定的规则。
如果 delegateApproversTo 值是 manager，则此属性没有任何值。

accounts[Lighthouse].delegatesHistory

列出委托对象并从 0 到 n 编制索引，其中 n 是委托历史记录对象的当前数量，最多为委托历史记录深度

此属性有一个唯一属性：selected，这是一个布尔型属性，指出当前选定的委托历史对象。

accounts[Lighthouse].delegatesOriginal

执行获取操作或登出视图操作后生成的原始委托对象列表（按 workItemType 编制索引）。

所有 accounts[Lighthouse].delegates* 属性使用以下属性：

accounts[Lighthouse].delegate* 属性的属性	描述
workItemType	指定要委托的 workItem 类型。有关有效的 workItem 类型列表，请参见本文档补充资料的“Identity Manager 技术部署概述”一节中的委托对象模型说明。
workItemTypeObjects	列出用户委托将来的 workItem 批准请求时所在的特定角色、资源或组织的名称。当 workItemType 值为 roleApproval、resourceApproval 或 organizationApproval 时，此属性有效。 如果未指定，默认情况下，此属性指定在此用户为批准者的所有角色、资源或组织上委托将来的 workItem 请求。
toType	要委托给的类型。有效值为： manager delegateWorkItemsRule selectedUsers
toUsers	列出要委托给的用户的名称（如果 toType 为 selectedUsers）。
toRule	指定要评估的规则的名称，以确定一组要委托给的用户（如果 toType 为 delegateWorkItemsRule）。
startDate	指定委托的开始日期。
endDate	指定委托的结束日期。

从表单中引用 DelegateWorkItems 视图对象

以下代码示例说明了如何从表单中引用 DelegateWorkItems 视图委托对象：

<Field name='delegates[*].workItemType'>

<Field name='delegates[*].workItemTypeObjects'>

<Field name='delegates[*].toType'>

<Field name='delegates[*].toUsers'>

<Field name='delegates[*].toRule'>

<Field name='delegates[*].startDate'>

<Field name='delegates[*].endDate'>

其中，支持的索引值 (*) 是 workItemType 值。

本章现在包含对“用户权利文件”视图的以下描述：

用于创建和修改 UserEntitlement 对象。

此视图具有以下顶层属性：

名称	是否可编辑？	类型	是否必需？
name		字符串	是
status		字符串	是
user		字符串	是
userId		字符串	是
attestorHint		字符串	否
userView		GenericObject	是
reviewInstanceId		字符串	是
reviewStartDate		字符串	是
scanId		字符串	是
scanInstanceId		字符串	是
approvalWorkflowName		字符串	是
organizationId		字符串	是
attestorComments.name		字符串	否
attestorComments.attestor		字符串	否
attestorComments.time		字符串	否
attestorComments.timestamp		字符串	否
attestorComments.status			否

name

标识用户权利文件（使用唯一标识符）。

status

指定用户权利文件对象的状态。有效状态包括 PENDING、ACCEPTED、REJECTED、REMEDIATING 和 CANCELLED。

user

标识此权利文件的关联 WSUser 的名称。

userId

指定关联 WSUser 的 ID。

attestorHint

向证明者显示查看确定规则所提供的（字符串）提示。此提示是规则向证明者提供的“建议”。

userView

包含用户权利文件扫描程序所捕获的用户视图。此视图包含零个或多个资源帐户，具体取决于访问扫描对象的配置。

reviewInstanceId

指定 PAR 任务实例的 ID。

reviewStartDate

指出 PAR 任务的（字符串）开始日期（采用规范格式）。

scanId

指定 AccessScan 任务定义的 ID。

scanInstanceId

指定 AccessScan 任务实例的 ID。

approvalWorkflowName

标识要运行的批准工作流的名称。此值来自访问扫描任务定义。

organizationId

指定扫描时 WSUser 组织的 ID。

attestorComments

列出权利文件的证明记录。每个证明记录会指出与权利文件有关的操作或语句，包括批准、拒绝和重新扫描。

attestorComments[timestamp].name

用于标识列表中此元素的时间戳。

attestorComments[timestamp].attestor

标识对权利文件进行注释的证明者的 WSUser 名称。

attestorComments[timestamp].time

指定证明者证明此记录的时间。可能不同于时间戳。

attestorComments[timestamp].status

指出证明者所分配的状态。它可以是任何字符串，但通常是表明证明者所执行的操作的字符串，例如 approve、reject、rescan 或 remediate。

attestorComments[name].comment

包含证明者所添加的注释。

以下用户视图属性已过时。(ID-15468)
accounts[Lighthouse].delegateApproversTo
accounts[Lighthouse].delegateApproversSelected
accounts[Lighthouse].delegateApproversStartDate
accounts[Lighthouse].delegateApproversEndDate
“委托批准者”视图已过时，但仍可用于编辑 workItemType 为 approval 的委托对象。

现有的用户视图 accounts[Lighthouse].delegate* 属性已过时，无法再通过用户视图使用。请使用新的 accounts[Lighthouse].delegates 视图。

第 6 章：XPRESS 语言

本章进行了大量更新。请参见与本发行说明位于同一目录的 .pdf 文件 XPRESS。
应对 isTrue 函数的描述进行以下修订：(ID-17078)

在引用使用字符串 true 和 false（而不是数字 0 和 1）表示的布尔值时使用此函数。此函数将采用一个参数。

0 -- 此参数在逻辑上表示 false。以下情况将视为 true：字符串 true、布尔型 true 和非零整数。（其他任何情况都将视为 false。）
1 -- 此参数在逻辑上表示 true。

示例

以下表达式将返回 0。

<isTrue>
   <s>false</s>
</isTrue>

第 8 章：HTML 显示组件

本章中添加了下面有关多重选择组件的替代方法的讨论：

使用多重选择组件（applet 或 HTML 版本）来显示许多管理员角色非常不方便。Identity Manager 提供了一种可伸缩性更强的方法来显示和管理管理员角色：objectSelector 字段模板。(ID-15433)

可伸缩选择库（位于 sample/formlib.xml 中）包含以下示例：使用 objectSelector 字段模板搜索用户可选择的管理员角色名称。

代码示例 objectSelector 字段模板示例

<Field name='scalableWaveset.adminRoles'>   <FieldRef name='objectSelector'>      <Property name='selectorTitle' value='_FM_ADMIN_ROLES'/>      <Property name='selectorFieldName' value='waveset.adminRoles'/>      <Property name='selectorObjectType' value='AdminRole'/>      <Property name='selectorMultiValued' value='true'/>      <Property name='selectorAllowManualEntry' value='true'/>      <Property name='selectorFixedConditions'>        <appendAll>          <new class='com.waveset.object.AttributeCondition'>            <s>hidden</s>            <s>notEquals</s>            <s>true</s>          </new>          <map>            <s>onlyAssignedToCurrentSubject</s>            <Boolean>true</Boolean>          </map>        </appendAll>      </Property>      <Property name='selectorFixedInclusions'>        <appendAll>          <ref>waveset.original.adminRoles</ref>        </appendAll>      </Property>   </FieldRef> </Field>

如何使用 objectSelector 示例代码

从 Identity Manager IDE 中，打开管理员库用户表单对象。
在此表单中添加以下代码：

<Include>

   <ObjectRef type='UserForm' name='Scalable Selection Library'/>

</Include>

选择 AdministratorFields 字段中的 accounts[Lighthouse].adminRoles 字段。
使用以下引用替换整个 accounts[Lighthouse].adminRoles：

<FieldRef name='scalableWaveset.adminRoles'/>

保存该对象。

随后编辑用户并选择“安全”选项卡时，Identity Manager 将显示自定义表单。单击 ... 时，将打开选择器组件并显示搜索字段。可以使用此字段来搜索以文本字符串开头的管理员角色，并将字段的值设置为一个或多个值。

要恢复表单，请通过“配置”>“导入交换文件”来导入 $WSHOME/sample/formlib.xml。

有关使用 objectSelector 模板来管理环境中具有很多对象的资源和角色的示例，请参见 sample/formlib.xml 中的可伸缩选择库。

对 TabPanel 组件的讨论现在包含 validatePerTab 属性的以下描述：(ID-15501)

validatePerTab - 如果设置为 true，当用户切换到其他选项卡时，Identity Manager 就会立即执行验证表达式。

对多重选择组件的讨论现在包含对 displayCase 属性的以下描述：(ID-14854)

displayCase - 将每个允许的值映射到其大写或小写等效值。请使用以下两个值之一：upper 和 lower。

在本章中添加了对“菜单”组件的以下讨论：(ID-13043)

由三个类组成：Menu、MenuBar 和 MenuItem。

Menu 是指整个组件。
MenuItem 是叶或节点，它与第一或第二级别上的选项卡相对应。
MenuBar 对应于包含 MenuBar 或 MenuItem 的选项卡。

Menu 包含以下属性：

layout - 值为 horizontal 或 vertical 的字符串。如果值为 horizontal，则生成带有选项卡的水平导航栏。如果值为 vertical，则导致将菜单呈现为具有典型节点布局的垂直树菜单。
stylePrefix - CSS 类名的字符串前缀。对于 Identity Manager 最终用户页面，此值为 User。

MenuBar 包含以下属性：

default - 与 MenuBar 的 MenuItem URL 属性之一对应的字符串 URL 路径。此属性控制在单击 MenuBar 选项卡时默认显示为 selected 的子选项卡。

MenuItem 包含以下属性：

containedUrls - 与 MenuItem“相关”的 JSP 的 URL 路径列表。如果呈现任何 containedUrls JSP，则会将当前 MenuItem 呈现为 "selected"。请求启动结果页就是一个示例，从请求启动页中启动工作流后将显示该页面。

可以在 MenuBar 或 MenuItem 上设置以下属性：

title - 指定在选项卡或树叶中显示为超级链接的文本字符串
URL - 指定标题超级链接的字符串 URL 路径

以下 XPRESS 示例创建带有两个选项卡的菜单。第二个选项卡包含两个子选项卡：

代码示例 Menu、MenuItem 和 MenuBar 组件实现

<Display class='Menu'/> <Field>    <Display class='MenuItem'>      <Property name='URL' value='user/main.jsp'/>      <Property name='title' value='Home' />    </Display> </Field> <Field>    <Display class='MenuBar' >      <Property name='title' value='Work Items' />      <Property name='URL' value='user/workItemListExt.jsp'/>    </Display>     <Field>        <Display class='MenuItem'>          <Property name='URL' value='user/workItemListExt.jsp'/>          <Property name='title' value='Approvals' />        </Display>     </Field>     <Field>       <Display class='MenuItem'>          <Property name='URL' value='user/otherWorkItems/listOtherWorkItems.jsp'/>          <Property name='title' value='Other' />       </Display>     </Field> </Field>

在本章中添加了对 ListEditor 组件的以下讨论：(ID-16518)

ListEditor

呈现可编辑的字符串列表。

表 3 ListEditor 组件的属性

属性	描述
listTitle	（字符串）指定 Identity Manager 在 ListEditor 图形表示旁边放置的标签。
pickListTitle	（字符串）指定要在 picklist 组件上使用的标签。
valueMap	（映射）指定列表中值的显示标签映射。
allowDuplicates	（布尔型）值为 true，表示 Identity Manager 允许受管理的列表中出现重复项。
allowTextEntry	（布尔型）值为 true，± Identity Manager 将显示一个文本输入框和一个添加按钮。
fixedWidth	（布尔型）值为 true，表示组件应该具有固定的宽度（其行为与多重选择组件相同）。
ordered	（布尔型）值为 true，表示值的顺序很重要。
sorted	（布尔型）值为 true，表示应该在选择列表中对值进行排序。如果这些值是多值数据类型并且未进行排序，则 Identity Manager 还会为值列表进行排序。
pickValueMap	（列表或映射）指定选择列表中值的显示标签映射。
pickValues	（列表）指定 picklist 组件中的可用值。如果为 null，将不显示 picklist。
height	（整数）指定首选的高度。
width	（整数）指定首选的宽度。容器可以将其用作表单元格（在其中呈现此项目）的属性。

示例

选项卡式用户表单中的以下示例，展示了使用 ListEditor 显示类的表单字段：

<Field name='accounts[Sim1].Group'>      <Display class='ListEditor' action='true'>         <Property name='listTitle' value='stuff'/>         <Property name='allowTextEntry'>             <Boolean>true</Boolean>         </Property>         <Property name='ordered'>             <Boolean>true</Boolean>         </Property>      </Display>      <Expansion>          <ref>accounts[Sim1].Group</ref>      </Expansion> </Field>

此代码片段创建了一个字段，客户可以在其中为用户添加组，或从用户删除组。

注	此显示类通常要求以字符串列表作为输入内容。强制将单一字符串转换为字符串列表： <Expansion>    <appendAll><ref>accounts[Sim1].Group</ref></appendAll> </Expansion>

文本显示组件包含新的 autocomplete 属性。(ID-17310) 将 autocomplete 属性设置为 off，可阻止浏览器向用户提供在其计算机上存储用户凭证的功能。

可以通过添加此显示属性，在 XPRESS 的输入字段中实现此功能。off 以外的任何值都会阻止 Identity Manager 在呈现的 HTML 表单中呈现 autocomplete 属性，这与不设置此属性的作用相同。

为 Identity Manager 登录页面启用自动完成功能

可以通过将 ui.web.disableAutocomplete 系统配置对象更改为 true，为 Identity Manager 登录页面启用此功能。其中 Identity Manager 登录页面包含 login.jsp、continueLogin.jsp、user/login.jsp 和 user/continueLogin.jsp。

以下 Identity Manager 登录表单（而不是以前的表单）是通过 XPRESS 生成的，必须对这些表单进行编辑才能使用新的显示属性。这些表单位于样例目录中，它们包含在默认情况下已注释掉的这一显示属性。

匿名用户登录
提问式登录表单
最终用户匿名注册验证表单
最终用户匿名注册完成表单
查找用户 ID

附录 A：表单和进程映射

本发行说明所在的目录中包含此附录的更新版本，标题为“表单和进程映射”。
可以通过映射的名称来访问特定于遵循性的任务。(ID-15447)

进程名称	映射的名称	描述
访问查看	accessReview	执行访问查看
访问扫描	accessReviewScan	执行访问扫描
访问查看重新扫描	accessReviewRescan	执行访问重新扫描
审计策略重新扫描	auditPolicyRescan	执行审计策略重新扫描
中止访问查看	abortAccessReview	终止访问查看
删除访问查看	deleteAccessReview	删除访问查看
恢复访问查看	recoverAccessReview	从审计日志中恢复丢失的访问查看状态对象

---

Identity Manager 部署工具

本节提供了 Identity Manager 部署工具文档的更正和补充内容：

第 1 章：使用 Identity Manager IDE

应在“面板窗口”和“属性窗口”这两节的第一段提供的元素列表中添加 GenericObjects，如下所示：(ID-14817)
“面板”窗口（如图 1-11）允许您将元素拖放到“编辑器”窗口所显示的电子邮件模板、表单、GenericObjects、库、工作流进程或工作流子进程对象中，而不必键入 XML。
Identity Manager IDE 的“属性”窗口由 XML 元素的属性表组成，这些 XML 元素与电子邮件模板、表单、GenericObjects、库、规则、工作流进程和工作流子进程对象关联。可以使用此属性表查看和编辑选定对象的属性，包括对象名称、文件大小、修改次数、结果信息，等等。
Identity Manager 项目中的某些文件是随着该项目升级到 7.1 Update 1 而进行更改的，如果已修改了其中的任何文件，则必须手动合并从 Identity Manager IDE 插件版本 7.1 升级到版本 7.1 Update 1 时发生的更改。

以下说明介绍了将 Identity Manager IDE 插件版本 7.1 项目升级到版本 7.1 Update 1（和更高版本）的“最佳实践”。(ID-16850)

将版本 7.1 项目升级到版本 7.1 Update 1

本节介绍了将 Identity Manager 项目的 Identity Manager IDE 插件 7.1 版本升级到版本 7.1 Update 1（和更高版本）的“最佳实践”步骤。

注	本节中的说明仅对如何升级 Identity Manager IDE 插件版本进行了介绍， 并未介绍如何升级 Identity Manager，而这实际上是用户涉及最多的一个过程。 要升级当前的 Identity Manager 版本，请参阅 Identity Manager 升级所提供的说明。

以下 Identity Manager 项目文件是随着该项目升级到 Identity Manager 版本 7.1 Update 1 而进行更改的：

build.xml
nbproject/project.xml
build-netbeans.xml
custom-init.incremental.xml
build-config.properties
custom-init-common.xml
custom-init-full.xml

如果修改了上述任何文件，则必须手动合并 Identity Manager IDE 插件从版本 7.1 升级到版本 7.1 Update 1（或更高版本）后的更改。

注	build.xml、build-netbeans.xml 和 nbproject/project.xml 文件会因版本的不同而不同，因此您应该尽量避免更改这些文件。

本节描述了升级 Identity Manager 项目的 Identity Manager IDE 插件版本的“最佳实践”步骤。

注	本节中的步骤仅对如何升级 Identity Manager IDE 插件版本进行了介绍， 并未介绍如何升级 Identity Manager，而这实际上是用户涉及最多的一个过程。 例如，如果要将 7.1 版本 Identity Manager IDE 插件创建的项目与 7.1 Update 1 版本插件结合使用，请使用以下说明。 Identity Manager 版本仍将保留为 7.1，除非您使用 Identity Manager 升级中提供的说明进行升级。

此升级过程将假定项目已签入到源控制中，并将分两部分来执行操作步骤：

一个部署小组成员要执行的步骤
其他部署小组成员要执行的步骤

一个部署小组成员要执行的步骤

一个部署小组成员应该执行以下步骤：

关闭 NetBeans。
删除 .netbeans 目录。
安装新的 nbm。
启动 NetBeans。
打开项目。

将显示一则消息，通知您必须升级某些项目文件（如 build.xml 和 build-netbeans.xml），并且在您修改了其中任何文件后，该消息还提供需要合并的指示符。

请注意哪些文件具有需要合并的指示符，然后单击“是”。

将显示一条消息，从中可以了解升级已成功完成。

如果存在任何需要合并的文件，则需要手动合并这些文件。

每个文件的副本将被命名为 <filename>.bak，因此您可以将其与新文件版本进行比较，以确定需要合并的内容。

完成合并后，如果一切都已备份完毕并可正常工作，则需要将您更改或添加的所有文件签入到源控制中。

注	有关应该签入到源控制中的完整文件列表，请参阅 README.txt 中提供的“CVS 最佳实践”一节。

其他部署小组成员要执行的步骤

当某人升级了新的 Identity Manager IDE 7.1 Update 1 插件 nbm 文件并合并了所需的项目文件后，其他部署小组成员应该执行以下步骤：

对项目执行完整的源控制更新。
关闭 NetBeans。
删除 .netbeans 目录。
安装新的 nbm。
启动 NetBeans。
打开项目。
已不再使用“Identity Manager IDE 疑难解答”一节提供的“无法删除错误”疑难解答信息。现在，只要执行以下任一项目操作，Netbeans 的嵌入式应用服务器即会自动关闭 (ID-16851、16738)：
清理项目
创建 Delta 分发版
创建 Jar
调试项目
管理嵌入系统信息库
分析项目
运行项目

Identity Manager 现在提供了 Profiler 实用程序，可以帮助您解决部署中遇到的表单、Java、规则、工作流以及 XPRESS 方面的性能问题。应将下面一节添加到第 1 章“使用 Identity Manager IDE”中 (ID-16764)：

---

使用 Profiler 解决性能问题

Identity Manager 提供了 Profiler 实用程序，可以帮助您解决部署中遇到的表单、Java、规则、工作流以及 XPRESS 方面的性能问题。

表单、Java、规则、工作流以及 XPRESS 都会造成性能和伸缩问题。Profiler 将会分析表单和工作流的不同区域所消耗的时间，从而可以确定这些表单或工作流是否产生了性能和伸缩问题，如果出现问题，将会进一步确定这些对象的哪些部分出现了问题。

本节将介绍如何使用 Identity Manager Profiler，并提供了一个教程帮助您了解如何解决部署中存在的性能问题。信息通过以下方式进行组织：

概述
入门
使用 Profiler
教程：性能问题疑难解答

概述

本节对 Identity Manager Profiler 的功能进行了概述。信息通过以下方式进行组织：

主要功能
Profiler 查找和管理源的方式
统计信息注意事项

主要功能

可以使用 Profiler 实用程序来执行以下操作

创建性能分析数据的“快照”。

“快照”是自上次重置所有收集到的分析结果以来累积的性能分析结果。

可以使用四种不同的数据视图来显示快照结果：
“调用树”视图提供了一个树表，用于显示整个系统的调用计时和调用计数。
“热点”视图提供了节点的平面化列表，用于显示汇总调用计时（不考虑父节点）。
“反向跟踪”视图提供了反向的调用栈，显示了从中调用该节点（称为根节点）的所有调用链。
“被调用者”视图提供根节点的汇总调用树（不考虑其父调用链）。
指定要包含在快照中的信息类型：
可以包含表单、工作流和 XPRESS 的所有元素，或将内容限制为一组特定的元素。
可以选择要包含在分析中或从分析中排除的特定 Java 方法和构造函数。支持对 Identity Manager 类和自定义类进行分析。
按如下方式管理项目快照：
将快照保存在项目的 nbproject/private/idm-profiler 目录中或项目以外的任意位置。

注	在 "IDM Profiler" 视图的“已保存的快照”部分，可以查看所有已保存快照的列表。

从项目中打开快照，或从项目之外的某一任意位置加载快照。
删除快照。
按名称搜索特定的节点。

Profiler 查找和管理源的方式

本节介绍了 Profiler 如何查找和管理以下 Identity Manager 对象的源：

对于表单、规则、工作流和 XPRESS 对象
对于 Java 源

提示	在“调用树”视图或“热点”视图中，可以双击任何与 Java 方法、工作流、表单、规则或 XPRESS 对应的节点，以查看该节点的源。

对于表单、规则、工作流和 XPRESS 对象

在使用 Profiler 拍摄快照时，服务器会评估所有的性能分析数据并发现该数据所依赖的源。然后，服务器将从系统信息库中获取所有这些源，并将它们包含在快照中。因此，您可以确信显示在快照中的 Identity Manager 对象会准确地反映捕捉到该快照的那一刻的情况。

此过程会增加快照的大小，但相对来说，源大小实际上只是总大小的一小部分。因此，您可以将快照发送到 Sun 的客户支持部门，而不必单独发送源文件。

对于 Java 源

注	在 Java 源快照中，不能假定源相对于服务器而言是最新的或始终可用。

在拍摄 Java 源的快照时，客户机将下载该快照，然后仔细查看快照以便从项目中捕获所有引用的 Java 源。在保存快照时，客户机将压缩这些源并将其附加到快照的结尾处。

然后，在您查看快照并转至 Java 源时，客户机将首先检查快照的内容。如果客户机在该处找不到快照内容，则会检查项目的内容。此过程允许您发送包含性能分析数据（来自自定义 Java 代码和 Identity Manager 代码）的快照。

统计信息注意事项

以下各节包含评估 Profiler 提供的结果时要考虑的信息：

自用时间统计
构造函数调用
守护线程

自用时间统计

要计算根节点的自用时间，Profiler 将从根节点的总时间中减去所有子节点的时间。

因此，未分析的子节点的时间会反映在根节点的自用时间中。如果根节点的自用时间很长，则应该查明原因。您可能没有分析适当的方法，因此导致您处理的位置不当。

例如，假设方法 A 调用方法 B。

方法 A 总耗时为 10 秒（这里总时间包括调用方法 B 的时间），并且调用方法 B 总耗时也为 10 秒。

如果分析了方法 A 和 B，则调用栈会反映出该信息。您将看到，方法 A 的自用时间为 0 秒，而方法 B 的自用时间为 10 秒（这 10 秒实际上是在方法 B 中花费的）。但是如果未分析方法 B，则只会看到调用方法 A 耗时 10 秒，并且 A 的自用时间为 10 秒。因此，您可能认为问题就是出在方法 A 中，而不是方法 B 中。

需特别指出的是，您在最初编译 JSP 期间，会注意到 JSP 的自用时间很长。如果您重置收集的结果，然后再重新显示该页，则自用时间将会显著减少。

构造函数调用

因为 Java 分析策略中存在某些限制，所以 this() 或 super() 的初始调用将显示为构造函数调用的同级调用，而不是子级调用。请参见以下示例：

class A { public A() { this(0); } public A(int i) { } }   and:   class B { public static void test() { new A(); } } The call tree will look like this: B.test() -A.<init>(int) -A.<init>() Rather than this: B.test() -A.<init>() -A.<init>(int)

守护线程

不要被表面上许多 Identity Manager 守护线程（如 ReconTask.WorkerThread.run() 或 TaskThread.WorkerThread.run()）所耗费的大量时间所误导。其中大部分时间是在休眠（等待事件）中度过的。必须仔细研究这些情况，以了解这些线程在处理事件时实际使用的时间。

入门

本节对如何启动 Profiler 以及如何使用 Profiler 图形用户界面的各种功能进行了介绍。此信息分为以下几个部分：

准备工作
启动 Profiler

准备工作

由于 Profiler 将耗费巨大的内存，因此您应该显著增加服务器和 Netbeans Java 虚拟机 (Java Virtual Machine, JVM) 的内存。

增加服务器的内存：
打开 Netbeans 窗口，然后选择“运行时”选项卡。
展开“服务器”节点，右键单击“捆绑的 Tomcat”，然后从菜单中选择“属性”。
当显示“服务器管理器”对话框时，清除“连接”选项卡上的“启用 HTTP 监视器”复选框。
选择“平台”选项卡，然后将“VM 选项”设置为 -Xmx1024M。
单击“关闭”。
增加 Netbeans JVM 的内存：
打开 netbeans-installation-dir\etc\netbeans.conf 文件，并找到以下行：

netbeans_default_options="-J-Xms32m -J-Xmx ...

将 -J-Xmx 值更改为 -J-Xmx1024M。
保存并关闭该文件。

完成后，可以按下一节中所述的方法启动 Profiler。

启动 Profiler

可以使用以下任意方法来启动 Profiler：

单击菜单栏上的“在主项目上启动 Identity Manager Profiler”图标 。

注	当主 Identity Manager 项目是 7.1 Update 1 版本或更高版本时，“在主项目上启动 Identity Manager Profiler”图标将处于启用状态。

从菜单栏中选择“窗口”> "IDM Profiler"。

Identity Manager Profiler 窗口会显示在资源管理器中。在此窗口中，从“当前项目”下拉菜单中选择一个 Identity Manager 项目，然后单击“控制”部分中的“启动 Identity Manager Profiler”图标 。

在“项目”窗口中右键单击某个项目，然后从弹出式菜单中选择“启动 Identity Manager Profiler”。
在“项目”窗口中选择某个项目，然后从菜单栏中选择 "IdM" >“启动 Identity Manager Profiler”。

启动 Profiler 时，会显示“Profiler 选项”对话框，您可以指定要使用的性能分析选项。

图 3 “Profiler 选项”对话框

有关设置这些选项的信息，请参见指定 Profiler 选项。

使用 Profiler

本节介绍了 Profiler 图形用户界面的功能以及如何使用这些功能。信息通过以下方式进行组织：

指定 Profiler 选项
使用 IDM Profiler 视图
使用“快照视图”
使用弹出式菜单选项
搜索快照
保存快照

指定 Profiler 选项

“Profiler 选项”对话框由以下选项卡组成：

模式
IDM 对象过滤器
Java 过滤器
其他

使用这些选项卡上的选项，可指明要对哪些对象进行性能分析，以及要显示在性能分析中的元素。

指定 Profiler 选项后，单击“确定”可启动 Profiler。根据项目配置，Profiler 将执行以下两项操作之一：

如果使用的是常规 Identity Manager 项目（包含嵌入式 Identity Manager 实例），则 Profiler 会执行完整的生成过程，并将项目部署到 NetBean 应用服务器中，然后启动 Profiler。
如果使用的是常规 Identity Manager 项目（包含外部 Identity Manager 实例）或远程 Identity Manager 项目，则 Profiler 会附加到为该项目配置的 Identity Manager 实例上。

注	可以选择 "IdM" >“设置 Identity Manager 实例”来控制用于该项目的 Identity Manager 实例操作。

模式

“模式”选项卡提供了以下选项：

仅 IDM 对象：选择该选项可分析表单、规则、工作流和 XPRESS 对象， 但不能分析 Java 对象。
Java 和 IDM 对象：选择该选项可分析表单、Java、规则、工作流和 XPRESS 对象。

注	如果使用的是常规 Identity Manager 项目（包含外部 Identity Manager 实例）或远程 Identity Manager 项目，则“Java 和 IDM 对象”选项不可用。 在运行 Profiler 时，无法更改“模式”选项。必须先停止 Profiler 才能更改该选项。

IDM 对象过滤器

“IDM 对象过滤器”选项卡提供了以下选项：

显示 IDM 对象详细信息：
选中此复选框可以在快照中包含所有已执行的表单、工作流和 XPRESS 元素。
清除此复选框可以仅在快照中包含以下元素：
<invoke>
<new>
<Rule>
<Form>
<WFProcess>
<ExScript>
<ExDefun>
<FieldRef>
<Action>（用于工作流应用程序标注）
包含匿名源：

注	匿名源是实时生成的表单或表单部分（如登录表单或 MissingFields 表单），它与驻留在 Identity Manager 系统信息库中的持久性表单之间没有对应关系。

选中此复选框可以在快照中包含匿名源。
清除此复选框可以从快照中排除匿名源。

Java 过滤器

选择“Java 过滤器”选项卡可以执行以下操作：

包含或排除 Java 过滤器
创建新的过滤器
删除现有的过滤器
恢复默认的过滤器

Java 过滤器以方法模式的形式提供，它们采用根据规范的方法名称执行包含或排除操作的模式来表示。其中，规范的方法名称为：

fully-qualified-class-name.method-name(parameter-type-1, parameter-type-2, ...)

注	对于构造函数，method-name 为 <init>。

下面列举了一些示例：

要排除所有构造函数，请启用“排除”复选框，并添加以下过滤器：

*.<init>(*)

要排除所有包含单个 org.w3c.dom.Element 参数的构造函数，请启用“排除”复选框，并添加以下过滤器：

*.<init>(org.w3c.dom.Element)

要排除所有 Identity Manager 类，请启用“排除”复选框，并添加以下过滤器：

"com.waveset.*"

"com.sun.idm.*"

要仅分析自定义代码，请禁用“排除”复选框，并删除初始的 * include 过滤器，然后添加以下过滤器：

"com.yourcompany.*"

注	最后两个示例目前是等效的，因为这些过滤器仅会应用于自定义类和 Identity Manager 类。

如有必要，可以通过适当修改 build.xml 中的以下行来分析其他 JAR。例如，

<instrument todir="${lighthouse-dir-profiler}/WEB-INF" verbose="${instrumentor.verbose}" includeMethods="${profiler.includes}" excludeMethods="${profiler.excludes}"> <fileset dir="${lighthouse-dir}/WEB-INF"> <include name="lib/idm*.jar"/> <include name="classes/**/*.class"/> </fileset> </instrument>

默认情况下，该配置包含所有自定义类和大多数 Identity Manager 类。强制排除了一些 Identity Manager 类，这是因为启用这些类会中断 Profiler 的运行。

例如，会排除工作流、表单和 XPRESS 引擎中的类，否则在分析 Java 和 Identity Manager 对象时，Profiler 将会生成难以理解的快照。

请注意，Java 过滤器将提供比 IDM 对象过滤器更细的过滤粒度。因此，使用 Java 分析会显著增加执行时间的开销，从而使性能分析结果出现巨大的偏差。由于是解释而非编译 Identity Manager 对象，因此分析开销可以忽略不计。因此，举例来说，根本没有理由排除工作流 A 而包含工作流 B，等等。

注	在运行 Profiler 时，不能修改 Java 过滤器。必须先停止 Profiler 才能更改 Java 过滤器。

其他

“其他”选项卡提供了以下选项：

删除执行时间为 0 的快照节点：
如果希望快照包含所有已执行实体的调用信息（即使其执行时间为零），则需要禁用此选项（默认设置）。

即便是对于没有执行时间的节点，包含其调用次数信息可能也很有用。

启用此选项会删除这些节点，从而您可以关注最相关的性能分析数据。此外，启用此选项可以大大降低 Profiler 快照的大小。
Profiler 启动时自动打开浏览器：
如果希望在启动 Profiler 时自动打开浏览器（指向要进行性能分析的 Identity Manager 实例），请启用此选项（默认设置）。
如果不希望打开浏览器，则禁用此选项。
在快照中包含 Java 源：
启用此选项（默认设置）可以在快照中包含性能分析数据引用的任何 Java 方法的 Java 源。应始终将此设置用于字段中的快照。自定义 Java 相对较小，包含它对于支持工作很有价值。
仅在分析 Identity Manager 并且具有完整的 Identity Manager 源时，才禁用此选项。

在这种情况下，您不希望包含 Identity Manager 源，因为包含它会生成非常大的快照。（有关详细信息，请参见 Profiler 查找和管理源的方式。）

使用 IDM Profiler 视图

"IDM Profiler" 视图（图 4）由以下区域组成：

“当前项目”区域
“控制”区域
“状态”区域
“已保存的快照”区域

图 4 "IDM Profiler" 视图

“当前项目”区域

“当前项目”区域包含一个下拉菜单，该菜单列出了所有的当前项目。使用此菜单可以选择要分析的项目。

“控制”区域

“控制”区域包含四个图标：

表 4 “控制”区域图标

图标		用途
	启动 Identity Manager Profiler	启动 Profiler 并打开“Profiler 选项”对话框。
	停止 Identity Manager Profiler	停止 Profiler。
	重置收集的结果	重置截止到此刻您收集的所有分析结果。
	修改性能分析	重新打开“Profiler 选项”对话框，以便您可以更改任何设置来修改当前的分析结果。

“状态”区域

“状态”区域会报告您是否与主机进行了连接，并提供有关 Profiler 启动、运行和停止的状态信息。

“性能分析结果”区域

“性能分析结果”区域包含两个图标：

表 5 “性能分析结果”区域图标

图标		用途
	启动 Identity Manager Profiler	启动 Profiler 并打开“Profiler 选项”对话框。
	重置收集的结果	重置截止到此刻您收集的所有分析结果。

“已保存的快照”区域

“已保存的快照”区域提供了所有已保存快照的列表。此外，还可以使用以下按钮来管理这些快照：

打开：单击此按钮可以在“快照视图”窗口中打开已保存的快照。

提示	还可以在“已保存的快照”列表中双击某个快照以打开该快照。

删除：在“已保存的快照”列表中选择一个快照，然后单击此按钮以删除选定的快照。
另存为：在列表中选择一个快照，然后单击此按钮将该快照保存到外部的任意位置。
加载：单击此按钮可以将任意位置的快照加载到“快照视图”窗口中。

使用“快照视图”

打开快照时，结果会显示在位于 Identity Manager IDE 右上方的“快照视图”窗口中。

图 5 “快照视图”窗口

快照提供了几种数据视图，将在以下各节中进行介绍：

“调用树”视图
“热点”视图
“反向跟踪”视图
“被调用者”视图

“调用树”视图

“调用树”视图（图 6）由一个树表组成，该树表显示了整个系统的调用计时和调用计数。

图 6 “调用树”视图示例

此树表包含三列：

“调用树”列：列出了所有节点，其中顶层节点为下列项之一：
Thread.run() 方法，用于系统中的各种后台线程。

例如，如果启用了 Java 性能分析，则会看到 ReconTask.WorkerThread.run() 方法。

请求计时

例如，如果查看 idm/login.jsp URL，则会看到 idm/login.jsp 的顶层条目。对于此条目，“时间”列中显示的数据表示单个或多个请求的总时间，“调用次数”列中显示的数据表示调用该页面的总次数。可以深入研究该数据，以了解是哪些调用耗用了这些时间。

注	“调用树”还包含“自用时间”节点。“自用时间”值表示该节点自身耗用的时间。（有关详细信息，请参见自用时间统计。）

“时间”列：列出了从其父节点调用每个节点时所耗用的时间。将使用相对于父节点时间的百分比来表示。
“调用次数”列：列出了从其父节点调用每个节点的次数。

“热点”视图

“热点”视图提供了节点的平面化列表，用于显示汇总调用计时（不考虑父节点）。

此视图包含以下列：

自用时间：列出了每个节点耗用的总时间。
调用次数：列出了从其父节点调用每个节点的总次数。
时间：列出了每个节点及其所有子节点耗用的总时间。

“反向跟踪”视图

“反向跟踪”视图提供了反向的调用栈，显示了从中调用每个节点的所有调用链。

可以使用这些统计信息来回答如下问题：如果我删除自此节点开始的特定调用链，将节省多少时间？

可以从其他任何快照视图中访问“反向跟踪”视图，方法是右键单击某个节点（称为根节点），然后从弹出式菜单中选择“显示反向跟踪”。

注	“时间”和“调用次数”数据值在“反向跟踪”视图中具有某些不同的含义： 时间：此列中的值表示从给定调用链调用根节点时，根节点耗用的时间。 调用次数：此列中的值表示从给定调用链调用根节点的次数。

“被调用者”视图

“被调用者”视图提供了节点（称为根节点）的汇总调用树（不考虑其父调用链）。

如果存在一个问题区域，并且整个主调用树中的许多位置都调用了该区域，当您想查看该节点的整体性能分析时，这些统计信息将非常有用。

可以从其他任何快照视图中访问“被调用者”视图，方法是右键单击某个节点（称为根节点），然后从弹出式菜单中选择“显示被调用者”。

注	“被调用者”视图中所用的时间和调用次数数据值与那些在“调用树”视图中使用的数据值具有相同的含义。

使用弹出式菜单选项

右键单击“调用树”视图或“热点”视图中的任意节点，将显示一个弹出式菜单，其中的选项如表 7 所述：

表 7 Profiler 弹出式菜单选项 

菜单选项	描述
转至源	选择此选项可以查看 Java 方法、工作流、表单、规则或 XPRESS 所对应节点的 XML 源。有关此视图的详细信息，请参见 Profiler 查找和管理源的方式。
显示反向跟踪	选择此选项可以访问“反向跟踪”视图。有关此视图的详细信息，请参见“反向跟踪”视图。
显示被调用者	选择此选项可以访问“被调用者”视图。有关此视图的详细信息，请参见“被调用者”视图。
在“热点”视图中查找	选择此选项可以在“热点”视图中查找节点。有关此视图的详细信息，请参见“热点”视图。
“列表选项”>“排序”>	选择此选项可以看到以下选项 无 调用树 时间 调用次数 升序 降序
“列表选项”>“更改可视列”	选择此选项可以更改在“调用树”或“热点”列表中显示的列。 当显示“更改可视列”对话框时，您可以选择以下一个或多个选项： 调用树：调用树 调用次数：调用次数 时间：时间

搜索快照

使用位于“快照视图”窗口顶部的“搜索”图标 ，可以在“调用树”视图或“热点”视图中按名称来搜索节点。

此外，还可以右键单击“调用树”视图或“热点”视图中的任意节点，然后从弹出式菜单中分别选择“在‘调用树’视图中查找”或“在‘热点’视图中查找”来搜索节点。

保存快照

Profiler 提供了几个选项来保存快照。有关这些选项的描述，请参见表 8：

表 8 “保存”图标

图标		用途
	“在项目中保存快照”图标（位于“快照视图”窗口的顶部）	在项目的 nbproject/private/idm-profiler 目录中保存快照。Profiler 视图的“已保存的快照”部分会列出在项目中保存的快照。
	“在外部保存快照”图标（位于“快照视图”窗口的顶部）	将快照保存到外部的任意位置。
	“另存为”按钮（位于“已保存的快照”区域中）	将快照保存到外部的任意位置。

教程：性能问题疑难解答

Identity Manager 提供了一个教程 (profiler-tutorial.zip)，可以帮助您了解如何使用 Profiler 来解决表单、Java 规则、工作流和 XPRESS 存在的问题。

第 1 步：创建 Identity Manager 项目

按照以下步骤创建 Identity Manager 项目：

选择“文件”>“新建项目”。
当显示“新建项目”向导时，指定以下内容，然后单击“下一步”：
在“类别”列表中，选择 "Web" 以指明要创建的项目的类型。
在“项目”列表中,选择“Identity Manager 项目”。

注	必须创建一个适用于功能完备的开发环境的常规 Identity Manager 项目。不要选择“Identity Manager 项目（远程）”选项。

填充“名称和位置”面板上的以下字段，然后单击“下一步”：
项目名称：输入 Idm711 作为项目名称。
项目位置：使用默认位置或指定其他位置。
项目文件夹：使用默认文件夹或指定其他文件夹。
当显示“Identity Manager WAR 文件位置”面板时，输入 Identity Manager 7.1 Update 1 war 文件的位置。通常，此文件位于 waveset\images 目录中。

注	目前，7.1 Update 1 版本是唯一支持性能分析的 Identity Manager 版本。

单击“下一步”转至“系统信息库设置”面板。

无需更改此面板上的默认设置，直接单击“完成”即可。当看到“生成成功”消息显示在“Identity Manager IDE 输出”窗口中时，就可以提取 Profiler 教程文件了。有关说明，请参见第 2 步：解压缩 Profiler 教程。

第 2 步：解压缩 Profiler 教程

在项目根目录中解压缩 profiler-tutorial.zip。提取的文件包括：

project root/custom/WEB-INF/config/ProfilerTutorial1.xml

project root/custom/WEB-INF/config/ProfilerTutorial2.xml

project root/src/org/example/ProfilerTutorialExample.java

project root/PROFILER_TUTORIAL_README.txt

现在就可以启动 Profiler 了。

第 3 步：启动 Profiler

启动 Profiler：

按照准备工作中提供的说明增加服务器和 Netbeans JVM 的内存。
使用概述中介绍的任一方法启动 Profiler。
当显示“Profiler 选项”对话框（图 9）时，可以指定性能分析选项。
继续第 4 步：设置 Profiler 选项。

图 9 “Profiler 选项”对话框

第 4 步：设置 Profiler 选项

注	有关所有不同 Profiler 选项的详细信息，请参见指定 Profiler 选项。

为实现本教程的教学目的，请指定以下 Profiler 选项：

在“模式”选项卡上，选择“Java 和 IDM 对象”以分析表单、Java、规则、工作流及 XPRESS 对象。
选择“Java 过滤器”选项卡。

使用以下步骤禁用除自定义 Java 类（本例中为 org.example.ProfilerTutorialExample）以外的所有 Identity Manager Java 类。

单击“新建”，一个新的空白字段将显示在“过滤器”列的底部。
在新字段中输入 com.waveset.*，然后选中“排除”复选框。
再次单击“新建”。
在新字段中输入 com.sun.idm.*，然后选中“排除”复选框。
单击“确定”以运行 Profiler。

注	如果您是第一次对某个项目运行 Profiler，或在近期执行了“清理项目”操作，则 Profiler 将需要几分钟时间来完成处理。

Profiler 完成处理后，系统会提示您登录。

输入密码 configurator，选中“记住密码”复选框，然后单击“确定”以继续。
当显示 Identity Manager 窗口时，请登录。

注	通常，您应以其他的用户身份登录到 Identity Manager，而不是再以配置者身份登录。您已经以配置者身份登录到 Profiler，Identity Manager 会话池仅允许一个用户具有一个条目。使用多个条目会导致会话池中断，并且可能造成性能分析结果出现偏差，出现更细化的性能问题。 但是，对于此简单示例，会话池没有出现任何问题，因此您可以使用 configurator/configurator 登录。

在 Identity Manager 中，选择“服务器任务”>“运行任务”，然后单击 "ProfilerTutorialWorkflow1"。

此教程可能需要一些时间进行响应。

尽管您现在可以拍摄快照，但您最好先重置结果、运行 Profiler、再次运行 Profiler，然后再拍摄快照。

注	最佳的做法是在拍摄快照之前运行几次 Profiler，以确保预备好所有缓存、编译好所有 JSP 等等。 通过运行几次 Profiler，您可以重点解决实际的性能问题。不适合应用此做法的唯一一种例外情况是：存在自动填充缓存方面的问题。

返回到 Identity Manager IDE 中的 "IDM Profiler" 视图。单击“性能分析结果”部分（或“控制”部分）中的“重置收集的结果”图标 以重置到目前为止收集的所有结果。
在 Identity Manager 中，再次选择“服务器任务”>“运行任务”，然后单击 "ProfilerTutorialWorkflow1"。
当显示“进程图”时，返回到 Identity Manager IDE，然后单击“性能分析结果”部分中的“拍摄快照”。

图 10



Identity Manager IDE 会下载您的快照，并在窗口的右侧显示结果。

图 11 “调用树”结果



此区域为“调用树”视图。在“调用树”的顶部，可以看到 /idm/task/taskLaunch.jsp 及其“时间”列中列出的时间。该时间应该表示整个请求耗时六秒以上。

展开 /idm/task/taskLaunch.jsp 节点，会看到 ProfilerTutorialWorkflow1 耗时六秒。
展开 ProfilerTutorialWorkflow1 节点。请注意，activity2 耗时四秒，activity1 耗时两秒。
展开 activity2。

请注意，action1 耗时两秒，action2 耗时两秒。

展开 action1，请注意，<invoke> 也耗时两秒。
双击 <invoke> 以打开 ProfilerTutorialWorkflow1.xml，并突出显示以下行：

<invoke name='example' class='org.example.ProfilerTutorialExample'/>

您应看到调用 ProfilerTutorialExample 方法耗时两秒。

注	实际上，您浏览的是快照中捕获的 XML 源，而不是项目中的源。快照是完全自包含的。（有关详细信息，请参见 Profiler 查找和管理源的方式。）

选择 "CPU:<date><time>" 选项卡以返回到您的快照。
展开 <invoke> 节点，请注意，Profiler 在 Java ProfilerTutorialExample.example() 方法中耗时两秒。
双击该方法的名称以打开 ProfilerTutorialExample.java 源，并突出显示以下行：

Thread.sleep(2000);

这就是问题所在！ 此方法包含一个两秒的线程休眠。

如果返回到“调用树”，则可以看到所有耗时两秒的路径都通向此方法。（您应看到三个路径，共耗时六秒。）
选择“热点”选项卡（位于“调用树”区域的底部）以打开“热点”视图。请注意，ProfilerTutorialExample.example() 的自用时间总计为六秒。

（有关“热点”视图的详细信息，请参见“热点”视图。）

右键单击 ProfilerTutorialExample.example()，然后从弹出式菜单中选择“显示反向跟踪”。

将在该区域的底部显示一个新的“反向跟踪”选项卡。

展开“反向跟踪”选项卡上的 ProfilerTutorialExample.example() 节点，会看到从三个位置调用了此方法，并且从每个位置调用此方法时都耗时两秒。

（有关“反向跟踪”视图的详细信息，请参见“反向跟踪”视图。）

单击“在项目中保存快照”图标 以保存您的快照并将其关闭。

如果查看 "IDM Profiler" 选项卡上的“已保存的快照”部分，则会看到快照。（您可能需要向下滚动才能看到。）

图 12 已保存的快照列表



选择已保存的快照，然后单击“打开”以重新打开该快照。

注	可以使用“另存为”按钮在外部位置保存您的快照，并可使用“加载”按钮加载位于项目外部的快照。

再次关闭该快照。

对工作流 ManualAction 使用 Profiler

本教程的下一部分将说明如何分析工作流 ManualAction。

在 Identity Manager 中，选择“服务器任务”>“运行任务”，然后单击 "ProfilerTutorialWorkflow2"。

稍等片刻，将会显示一个空表单。

单击“保存”，将会显示进程图。
再次选择“服务器任务”>“运行任务”。
返回到 Identity Manager IDE "IDM Profiler" 视图，然后单击“性能分析结果”部分中的“重置收集的结果”图标。
接下来，单击 Identity Manager 中的 "ProfilerTutorialWorkflow2"。
当再次显示空表单时，单击“保存”。
在 "IDM Profiler" 视图中，单击“拍摄快照”。

几秒钟后，快照会显示在“调用树”区域中。您应看到 /idm/task/workItemEdit.jsp 耗时六秒以上。（此结果对应于工作流中的手动操作。）

展开 /idm/task/workItemEdit.jsp 节点，请注意，运行 ManualAction 表单中的所有派生共耗时六秒。
展开 Derivation、displayNameForm、variables.dummy 及 <block> 节点。

图 13 ProfilerTutorialWorkflow2 快照结果



您应看到 <block> 耗时六秒，其中 Profiler 在三次调用 ProfilerTutorialExample.example() 方法时各耗时两秒。

可以双击 <block> 查看源。

应将以下信息作为“常见问题解答 (FAQ)”一节添加到第 1 章“使用 Identity Manager IDE”的结尾处：(ID-16739)

Identity Manager IDE 常见问题解答 (FAQ)

此常见问题解答回答了与使用 Identity Manager Integrated Development Environment (Identity Manager IDE) 相关的一些常见问题。该信息将分为以下几个部分：

使用 NetBeans
使用项目
使用系统信息库
使用 Identity Manager IDE 调试器

使用 NetBeans

问：我应该使用哪个版本的 Netbeans？

答：应使用 Identity Manager 产品文档（针对您所使用的 Netbeans 插件版本提供）中提及的 Netbeans 版本。

注	始终使用所提及的正确版本，因为即使使用修补程序发行版也会造成主要功能无法使用。

问：Netbeans 插件以前工作正常，但在我进行了一些操作之后就不再正常工作了。产生此问题的原因是什么？

答：此问题通常是由 .netbeans 目录中的损坏文件引起的。通常来说，删除 .netbeans 目录，然后重新安装 NetBeans 插件就可解决此问题。（删除 .netbeans 目录可以有效地卸载 NetBeans 插件。虽然您会丢失所有的用户设置，但是项目内容是安全的。）

具体步骤如下所示：

关闭 NetBeans。
删除 .netbeans 目录。
启动 NetBeans。
安装 NetBeans 插件。
重新启动 NetBeans。

使用项目

问：生成并运行项目花费了很长的时间，Identity Manager IDE 似乎在复制大量的文件。产生此问题的原因是什么？

答：此问题可能是由以下原因引起的：

您正在使用 Identity Manager IDE 7.0 或 7.1 插件。

请使用 Identity Manager IDE 7.1 Update 1 插件。
为了提高性能，已对 Identity Manager IDE 7.1 Update 1 配置生成环境 (Configuration Build Environment, CBE) 进行了一些调整。

您可能使用了不必要执行的 Clean 命令。

使用“清理项目”或“清理并生成项目”时，Identity Manager IDE 会删除整个 image 目录，该目录包含几千个文件。因此在下次生成过程中，Identity Manager IDE 必须从 idm-staging 中复制所有这些文件。

要有效地使用 Identity Manager IDE，您必须了解何时使用 Clean 命令。有关详细信息，请参阅 Identity Manager IDE README.txt 文件中的“何时使用清理”一节。

问：现在我已经创建了 Identity Manager 项目，应将哪些文件签入到源控制中？

答：有关信息，请参见 Identity Manager IDE README.txt 中的“CVS 最佳实践”一节。

问：在 CVS 中使用项目管理的最佳实践是什么？

答：有关信息，请参见 Identity Manager IDE README.txt 中的“CVS 最佳实践”一节。

问：何时将对象导入到系统信息库中？

答：有关信息，请参见使用系统信息库。

问：如何将新的 JAR 添加到项目中？

答：请参见 Identity Manager IDE README.txt 中的“如何添加新的 JAR 依赖关系”一节。

使用系统信息库

问：应将哪些系统信息库用于沙箱库？

答：将嵌入式系统信息库用于沙箱中 -- 特别是在使用 Identity Manager 7.1（或更高版本）时（它会提供一个 HsSQL 系统信息库）。如果不使用嵌入式系统信息库，则会丧失一些功能。

有关详细信息，请参阅 Identity Manager IDE README.txt 中的“使用系统信息库”一节。

问：何时会自动导入对象？

答：必须配置 Identity Manager IDE 才能自动导入对象。

具体步骤如下所示：

从 "IdM" 菜单中选择“系统信息库”>“管理嵌入系统信息库”。
启用“管理嵌入系统信息库”对话框上的“自动发布 Identity Manager 对象”选项。

注	如果选择了“Identity Manager 项目（远程）”或指定了自己的系统信息库，则此选项不可用。

选择“项目”>“运行项目”，或选择“项目”>“调试项目”。

Identity Manager IDE 会自动导入自上次运行该项目以来更改的所有对象。

注	自动发布 Identity Manager 对象会增加启动服务器所需的时间。要缩短服务器启动时间，请禁用此选项并将对象显式上载到系统信息库。

问：上载对象最有效的方式是什么？

答：使用以下方法之一来上载修改过的对象：

在项目树中右键单击一个或多个已编辑的对象，然后从弹出式菜单中选择“上载对象”。

提示	要上载多个对象，在从列表中选择对象时，请按住 Ctrl 键。

选择一个或多个已编辑的对象，然后从 "IdM" 菜单中选择“系统信息库”>“上载对象”。将显示一个对话框，您可以从中选择要上载的对象。

上述两种方法都能将对象直接上载到服务器，因此不会出现缓存延迟问题，并且速度要比使用“运行项目”或“调试项目”快得多。无论使用什么系统信息库，都能使用“上载对象”功能。

使用 Identity Manager IDE 调试器

问：Identity Manager IDE 调试器速度很慢。产生此问题的原因是什么？

答：提高调试器的性能：

始终禁用 Tomcat 的 HTTP 监视器，如下所示：
选择 Identity Manager IDE 的“运行时”选项卡。
展开“服务器”节点，然后右键单击“捆绑的 Tomcat”>“属性”。
禁用“启用 HTTP 监视器”选项，然后关闭对话框。

在下次启动 Tomcat 时，将禁用 HTTP 监视器。

如果调试的不是 Java，则选择“项目”>“运行项目”，然后选择“连接调试器”>“Identity Manager XML 对象调试器”，以便使用 XPRESS 调试器。

对于非远程 Identity Manager IDE 项目，选择“项目”>“调试项目”将同时启动 XPRESS 调试器和 Java 调试器，而 Java 调试器将会显著增加开销。

问：我无法在调试器中设置断点。产生此问题的原因是什么？

答：在以下情况中将无法设置断点：

您只是安装了 NBM，但尚未重新启动 Netbeans。
您的 XML 包含 <Waveset> 包装器元素。

Identity Manager IDE 通常会忽略任何以 <Waveset> 包装器元素开头的文件，因为 Identity Manager IDE 将该元素解析为多个对象文件。

以下功能将不适用于多个对象文件：

调试器
规则测试器
表单预览器
任何编辑器
导入文件生成器
上载对象
比较对象

基本上，您只能对多个对象文件执行导入操作。只有包含 <Waveset> 包装器元素的文件才是项目的顶层导入文件。

问：我在调试器中设置了断点，但在该断点处并未暂停。产生此问题的原因是什么？

答：请检查以下两项内容：

请确保对象名称不包含 CBE 替换字符串 (%%)。不允许在对象名称中使用 CBE 替换字符串。
请验证您认为正在执行的代码实际上是否正在执行。尝试添加跟踪，并查看是否有输出内容。

使用规则

问：在 Netbeans 中开发规则时，为何设计模式不可用于规则库？

答：可以从“项目”视图的资源管理器树中获取设计模式功能。使用以下步骤：

展开库节点，然后右键单击某个规则。
当显示弹出式菜单时，选择“属性”，然后单击“主体”。

第 4 章：开发适配器

如果创建了实现 AsynchronousResourceAdapter 类的适配器，请注意，该适配器可能对部分初始化的用户有效。（这些用户是在 Identity Manager 之外创建的，但是未完全填充属性。） 如果资源中已存在 WSUser，则置备程序不会自动将“创建”操作转换为“更新”操作。资源适配器必须能够区分此情况。(ID-16829)

---

Identity Manager 调优、故障排除和错误消息

本节提供了有关 Sun Java^™ System Identity Manager 调优、故障排除和错误消息的新信息和文档更正内容。

现在提供了有关系统信息库对象大小（以字符为单位）的信息。您可以使用此信息来检测怀疑可能会影响系统的较大对象。（ID-9896、ID-15239）

可通过在 debug/Show_Sizes.jsp Web 页或控制台命令行中键入以下命令来访问此信息：

showSizes [<type> [<limit>]]

注	对于升级，在更新或刷新现有对象之前，这些对象将报告其大小为 0。

某些任务已从适配器移至任务软件包。如果已对以下任何任务启动跟踪，或者已自定义引用这些软件包的任务定义，请更新这些路径。

旧软件包名称	新软件包名称
com.waveset.adapter.ADSyncFailoverTask	com.waveset.task.ADSyncFailoverTask
com.waveset.adapter.ADSyncRecoveryCollectorTask	com.waveset.task.ADSyncRecoveryCollectorTask
com.waveset.adapter.SARunner	com.waveset.task.SARunner
com.waveset.adapter.SourceAdapterTask	com.waveset.task.SourceAdapterTask

调用计时器功能和跟踪功能现在是相互关联的，只有在启用跟踪功能时才能收集调用计时统计信息。(ID-17106)

应将以下信息添加到“第 1 章：性能调节”中“调试性能问题”一节的“显示计时”中。

显示计时

“显示计时”页提供了方法及其汇总的调用计时器统计信息（没有按调用者细分）列表，这有助于您追踪特定方法和已调用 API 的瓶颈。

注	仅在启用跟踪时收集调用计时统计信息。

可以使用此页上的选项开始计时和跟踪、停止计时和跟踪、清除计时统计信息，以及导入或导出调用计时器度量。此外，单击任意方法名称可以查看它们调用的方法。

---

Identity Manager Service Provider Edition 部署

本节提供了有关 Sun Java^™ System Identity Manager SPE 部署的新信息和文档更正内容。

第 5 章：Identity Manager SPE 中的其他对象

Identity Manager Identity Manager SPE 现在支持链接关联和链接确认规则。

链接关联规则

调用者可以使用 linkTargets IDMXUser 视图选项来指定应作为链接目标的资源的列表。使用表单时，可以将此列表作为具有相同名称的表单属性提供。在登入 IDMXUser 视图时，表单属性将被同化为视图选项。

链接关联规则选择用户可能拥有的资源帐户。如果给定用户视图，链接关联规则将返回身份、身份列表或选项映射。

如果规则返回选项映射，则视图处理程序使用该映射来查找资源帐户，并获取满足这些选项的身份列表。例如，可以使用 getResourceObjects FormUtil 方法的 searchFilter 选项，将搜索过滤器传递给 LDAP 资源适配器。

链接关联规则必须将 authType 属性设置为 SPERule，并将 subtype 设置为 SUBTYPE_SPE_LINK_CORRELATION_RULE。

链接确认规则

链接确认规则可将任何资源帐户从链接关联规则选择的潜在帐户列表中清除。如果给定用户视图和候选资源帐户列表，链接确认规则将从候选列表中至多选择一个资源帐户。用户视图显示在“视图”路径下面；候选项列表显示在“候选项”路径下面。

如果链接关联规则选择的资源帐户不超过一个，则链接确认规则是可选的。

注	与 Identity Manager 确认规则不同，仅在链接过程中调用一次链接确认规则。

链接确认规则必须将 authType 属性设置为 SPERule，并将 subtype 设置为 SUBTYPE_SPE_LINK_CONFIRMATION_RULE。

LighthouseContext API

SessionFactory 类中添加了几种简便方法。应按如下方式更新第 16 页上的表。

连接类型	方法	描述
本地匿名	getServerInternalContext()	返回完全授权的上下文，而不进行任何验证。
本地已验证	getSPESession(String user, EncryptedData password)	为 Service Provider 用户界面构造会话。
本地已验证	getSPESession(Map credentials)	为 Service Provider 用户界面构造会话。映射指定用户的凭证，其中包括用户和密码密钥的值。
本地预验证	getSPEPreAuthenticatedSession(String user)	为 Service Provider 用户界面构造预验证的会话。
远程匿名	不适用	只能通过 SPML 提供这种连接类型。
远程已验证	getSession(URL url, String user, EncryptedData pass)	返回已验证的会话。

---

本地化范围

以前，Identity Manager 不对资源对象和函数进行本地化，主要原因是这些对象和函数大多数都是在 Identity Manager 初始化期间加载（通过 init.xml）的样例，并且对象类型的属性在实际客户部署之间可能会有所不同（取决于自定义级别）。以下区域列表将有可能出现英文内容：(ID-16349)

默认的用户表单和进程映射
示例：“编辑用户”>“安全性”>“用户表单”下拉菜单
示例：“配置”>“表单和进程映射”
配置对象属性名称

示例：“配置”>“用户界面”（连在一起的名称，如 displayPasswordExpirationWarning）

默认任务
任务模板

示例：“服务器任务”>“配置任务”> 表中的可用任务模板名称

任务类型标签

示例：“服务器任务”>“运行任务”>“可用任务”表第二列中的条目

任务定义

示例：“服务器任务”>“查找任务”> 用于选择任务定义的第二个下拉菜单

默认报告名称

示例：在“报告”>“运行报告”>“报告表格”下找到的报告名称

默认策略名称

示例：“遵循性”>“管理策略”> 审计策略名称和描述

默认权能名称

示例：“编辑用户”>“安全性”>“可用权能”

默认报告和图形名称
进程/工作流图表 applet

---

使用 helpTool

Identity Manager 6.0 发行版添加了一个新功能，此功能使您可以搜索 HTML 格式的联机帮助和文档文件。此搜索引擎基于 SunLabs 的 "Nova" 搜索引擎技术。

通常分两个阶段来使用 Nova 引擎：索引和检索。在索引阶段，分析输入文档并创建检索阶段使用的索引。在检索阶段，可获取一些包含查询词所在的上下文的“段”。段检索进程需要提供原始 HTML 文件，因此这些文件必须存在于搜索引擎可访问的文件系统中。

helpTool 是一个 Java 程序，它执行两个基本功能：

将 HTML 源文件复制到搜索引擎已知的位置
创建检索阶段使用的索引

从命令行执行 helpTool，如下所示：

$ java -jar helpTool.jar

usage: HelpTool

-d Destination directory

-h This help information

-i Directory or JAR containing input files, no wildcards

-n Directory for Nova index

-o Output file name

-p Indexing properties file

重新生成/重新创建联机帮助索引

用于联机帮助的 HTML 文件封装在 JAR 文件中。必须将这些文件提取到一个目录下以用于搜索引擎。使用以下步骤：

将 helpTool 分发解压缩至临时目录。（详细信息 TBD）

在此示例中，我们将文件提取到 /tmp/helpTool。

在 UNIX shell 或 Windows 命令窗口中，将此目录更改为 Identity Manager 应用程序在您的 Web 容器中部署的位置。

例如，Sun Java System Application Server 的目录可能如下所示：

/opt/SUNWappserver/domains/domain1/applications/j2ee-modules/idm

将当前工作目录更改为 help/ 目录。

注	从此目录运行 helpTool 很重要，否则将无法正确生成索引。此外，您应通过删除 index/help/ 子目录中的内容来删除旧索引文件。

收集用于命令行参数的以下信息：
目标目录 - html/help/en_US

注	使用适合安装的语言环境字符串。

输入文件 - ../WEB-INF/lib/idm.jar
Nova 索引目录 - index/help
输出文件名称 - index_files_help.txt

注	文件名并不重要，但如果此文件已存在，则会退出工具。

索引属性文件 - index/index.properties
运行以下命令：

$ java -jar /tmp/helpTool/helpTool.jar -d html/help/en_US -i ../
WEB-INF/lib/idm.jar -n index/help -o help_files_help.txt -p index/index.properties

Extracted 475 files.

[15/Dec/2005:13:11:38] PM Init index/help AWord 1085803878
[15/Dec/2005:13:11:38] PM Making meta file: index/help/MF: 0
[15/Dec/2005:13:11:38] PM Created active file: index/help/AL
[15/Dec/2005:13:11:40] MP Partition: 1, 475 documents, 5496 terms.
[15/Dec/2005:13:11:40] MP Finished dumping: 1 index/help 0.266
[15/Dec/2005:13:11:40] IS 475 documents, 6.56 MB, 2.11 s, 11166.66 MB/h
[15/Dec/2005:13:11:40] PM Waiting for housekeeper to finish
[15/Dec/2005:13:11:41] PM Shutdown index/help AWord 1085803878

重新生成/重新创建文档索引

使用以下步骤重新生成或重新创建文档索引：

将 helpTool 分发解压缩至临时目录。（详细信息 TBD）

在此示例中，我们将文件提取到 /tmp/helpTool。

在 UNIX shell 或 Windows 命令窗口中，将此目录更改为 Identity Manager 应用程序在您的 Web 容器中部署的位置。

例如，Sun Java System Application Server 的目录可能如下所示：

/opt/SUNWappserver/domains/domain1/applications/j2ee-modules/idm

将当前工作目录更改为 help/ 目录。

注	必须从此目录运行 helpTool，否则将无法正确生成索引。此外，您应通过删除 index/docs/ 子目录中的内容来删除旧索引文件。

收集用于命令行参数的以下信息：
目标目录 - html/docs
输入文件 - ../doc/HTML/en_US

注	此工具将 en_US/ 目录和子目录复制到目标目录。

Nova 索引目录 - index/docs
输出文件名称 - index_files_docs.txt

注	文件名并不重要，但如果此文件已存在，则会退出工具。

索引属性文件 - index/index.properties
运行以下命令：

$ java -jar /tmp/helpTool/helpTool.jar -d html/docs -i ../doc/HTML/en_US -n index/docs -o help_files_docs.txt -p index/index.properties Copied 84 files. Copied 105 files. Copied 1 files. Copied 15 files. Copied 1 files. Copied 58 files. Copied 134 files. Copied 156 files. Copied 116 files. Copied 136 files. Copied 21 files. Copied 37 files. Copied 1 files. Copied 13 files. Copied 2 files. Copied 19 files. Copied 20 files. Copied 52 files. Copied 3 files. Copied 14 files. Copied 3 files. Copied 3 files. Copied 608 files. [15/Dec/2005:13:24:25] PM Init index/docs AWord 1252155067 [15/Dec/2005:13:24:25] PM Making meta file: index/docs/MF: 0 [15/Dec/2005:13:24:25] PM Created active file: index/docs/AL [15/Dec/2005:13:24:28] MP Partition: 1, 192 documents, 38488 terms. [15/Dec/2005:13:24:29] MP Finished dumping: 1 index/docs 0.617 [15/Dec/2005:13:24:29] IS 192 documents, 14.70 MB, 3.81 s, 13900.78 MB/h [15/Dec/2005:13:24:29] PM Waiting for housekeeper to finish [15/Dec/2005:13:24:30] PM Shutdown index/docs AWord 1252155067