Identity Manager 7.1 Update 1 功能

Identity Manager 7.1 Update 1 发行说明中的本节提供了有关以下内容的信息

此发行版的新增功能
此发行版中修复的错误
已知问题

---

此发行版的新增功能

本节提供了有关 Identity Manager 7.1 中提供的新功能的其他信息，该信息分为以下几个部分：

管理员界面和用户界面
审计
Identity Manager 集成开发环境 (Integrated Development Environment, IDE)
密码同步
资源
安全

管理员界面和用户界面

Identity Manager 的用户扩展属性现在完全支持多值属性。(ID-14863)

注	只有在重新序列化用户对象之后，引用多值扩展属性的属性条件才能针对该用户对象作出正确评估。如果希望这样的属性条件能够针对所有用户对象作出正确评估，则必须重新序列化所有用户对象。 升级问题中提供了重新序列化用户的说明。

“启动请求”表单上添加了一个“返回到主菜单”按钮，以使用户返回到 Identity Manager 主页。(ID-15957)

“启动请求”表单 (EndUserRequestMenu) 会在升级过程中保留下来，因此您必须通过引用 sample/enduser.xml 中的默认 UserForm 对象，手动将此按钮添加到最终用户界面。

Identity Manager 支持 Microsoft Internet Explorer 7 浏览器。(ID-16708)
从先前的 Identity Manager 版本升级到 7.1 Update 1 版本时，“登录到 Identity Manager”页上的“忘记用户 ID？”功能默认情况下处于禁用状态。(ID-16715)

要启用此功能以便用户能够找回忘记的用户 ID，必须修改系统配置对象中的以下属性：

ui.web.user.disableForgotUserId = false

ui.web.admin.disableForgotUserId = false

调用计时器功能和跟踪功能现在是相互关联的，只有在启用跟踪功能时才能收集调用计时统计信息。此更改会影响 Identity Manager 调试页。有关详细信息，请参见文档补充和更正中的 Identity Manager 调优、故障排除和错误消息。(ID-17106)

审计

现在，角色创建的审计记录会在审计报告的“更改”部分中提供有关角色的附加信息（如已分配的资源、子角色、超级角色和角色属性）。(ID-16327)

Identity Manager 集成开发环境 (Integrated Development Environment, IDE)

可以使用新的 Identity Manager Profiler 解决表单、Java、规则、工作流和 XPRESS 方面的性能问题。(ID-14311)

有关此新工具的详细信息，请参见 Identity Manager 调优、故障排除和错误消息。

现在，只要执行以下任一项目操作，Netbeans 的嵌入式应用服务器即会自动关闭 (ID-16738)：
清理项目
创建 Delta 分发版
创建 Jar
调试项目
管理嵌入系统信息库
分析项目
运行项目
现在，只要选择“初始化系统信息库”或“自动发布 IDM 对象系统信息库设置”，Identity Manager IDE 的管理嵌入系统信息库功能便可导入您的自定义内容和默认的 init.xml。(ID-16749)
已经对随 Identity Manager 一起提供的 CBE 进行了以下更改 (ID-16812)：
性能增强包括：
增量式 XML 验证（Identity Manager 只验证自上次生成后发生变更的文件）
增量式模式替换和复制（Identity Manager 只会在自上次生成后发生变更的文件中应用模式替换和复制）。
“生成项目”操作不再以 war 文件格式创建 WAR。现在提供了一个独立的“创建 IDM War”操作，用于生成 WAR。
build.xml 中的目标名称已被简化，现在这些名称与项目操作保持一致。有关详细信息，请参阅提供的 README.txt 中“核心 CBE（Configuration Build Environment，配置生成环境）”一节中的“Ant 目标”。
现在可以通过右键单击 build-netbeans.xml 安全地运行 ant 目标。
已清除 JSP 验证，README.txt 的“设置 JSP 验证”一节介绍了启用 JSP 验证的最佳方法。
文档方面的改进包括：README.txt 中的 CBE 概述更为完善，以及在 build.xml 和 build-netbeans.xml 中提供了更多行内注释。
现在，由 build.xml 中的单个 CLASSPATH 变量来控制 CLASSPATH，以在 JSP 和 Java 编辑器中同时实现构建和自动完成的目的。有关详细信息，请参见 README.txt 中提供的新的“如何添加新的 JAR 依赖性”一节。
在 build-config.properties 文件中，install.includes 已经被 install.pattern.substitution.excludes 和 install.excludes 替换。
ant 属性名称已更改，现在使用标准的 "." ant 约定，而不是 "-"。此外，lighthouse* 属性名称已更改为 idm*。
现在，在模式替换应用之前和之后都会运行 XML 验证。
对于 Identity Manager 7.1 Update 1，有必要更改 Identity Manager 项目中的以下文件：
build.xml nbproject/project.xml
build-netbeans.xml
custom-init.incremental.xml
build-config.properties
custom-init-common.xml
custom-init-full.xml

如果已经修改了其中任何文件，则必须手动合并这些更改。有关详细信息，请参见将版本 7.1 项目升级到版本 7.1 Update 1。

注	build.xml、build-netbeans.xml 和 nbproject/project.xml 文件会因版本的不同而不同，因此您应该尽量避免更改这些文件。

密码同步

PasswordSync 使用新创建的 servlet 为 64 位 Windows 提供支持。此 servlet 应放入 web.xml 文件中，并应按照如下方式进行配置 (ID-15660)：

<servlet> <servlet-name>PasswordSync</servlet-name> <servlet-class>com.waveset.rpc.PasswordSyncServlet</servlet-class> <init-param> <param-name>parameter</param-name> <param-value>value</param-value> </init-param> <load-on-startup>1</load-on-startup> </servlet>   <servlet-mapping> <servlet-name>PasswordSync</servlet-name> <url-pattern>/servlet/PasswordSync</url-pattern> </servlet-mapping>

资源

新资源版本

此发行版中添加了以下新资源版本：

Identity Manager NDSResourceAdapter 现在支持带有 eDirectory 8.8 的 NetWare 6.5。(ID-10612)
Identity Manager MySAP 适配器现在支持 SAP 上的 MySAP ERP 2005 (ECC 6.0) Kernel 版本 7.00。(ID-15205)
Identity Manager 现在支持 Sun Access Manager 7.1。(ID-16365)
Identity Manager 现在支持 SAP GRC Access Enforcer 5.2。(ID-16642)

资源适配器更新

MySQL 资源适配器现在支持帐户重复。该适配器会放弃重复的用户名，并跳过 null 用户名。(ID-6204)
RACF 适配器现在允许您直接控制数据集规则，而不是让 Identity Manager 来管理这些规则。通过此功能，您可以创建不同于 Identity Manager 自带规则的数据集规则。(ID-10446)

在下面的示例中，after-create 规则创建了一个 user id.test1.** 数据集规则，而不是 Identity Manager 默认的 user id.** 数据集规则。

<?xml version='1.0' encoding='UTF-8'?>
<!DOCTYPE ResourceAction PUBLIC 'waveset.dtd' 'waveset.dtd'>
<ResourceAction name='create after action'>
   <ResTypeAction restype='RACF'>
      <act>
         var TSO_PROMPT = " READY";
         var TSO_MORE = " ***";
         var cmd1 = "addsd '"+identity+".test1.**' owner('"+identity+"')[enter]";
         var result1 = hostAccess.doCmd(cmd1, TSO_PROMPT, TSO_MORE);
      </act>
   </ResTypeAction>
</ResourceAction>

新的 "use Datasets" 标志用于控制 Identity Manager 是由自身管理数据集规则 ("use Datasets" = true)，还是严格按照之前和之后操作进行控制。

用于服务提供商主系统信息库的资源现在可以在身份模板中具有多个变量。(ID-14290)
现在，您可以对数据库表格适配器进行配置，使其跳过之前在活动同步处理过程中失败的行，以便下一次轮询时不再重复处理失败的行。(ID-15147)
RACF LDAP 资源适配器现在支持传递验证。(ID-15251)
Access Enforcer 资源适配器现在支持更改密码功能。(ID-15403)

添加了一个新的资源属性（在创建时使用 IDM 密码），用于配置创建操作的行为。Access Enforcer 将针对创建操作生成一个密码，并将包含所生成密码的电子邮件发送给新建的用户。您无法阻止发送此电子邮件，但如果希望 Identity Manager 将密码设置为发送到适配器的密码，请将此属性设置为 true，然后 Identity Manager 会将此密码设置为所需的值。

此外，SAP 资源适配器还提供了以下属性：

使用 SAP 临时密码
失败时返回 SAP 临时密码

SAP 适配器现在支持重命名功能。有关详细信息，请参见文档补充和更正中的重命名帐户。(ID-15582)
数据库表格适配器中添加了 rethrowAllSQLExceptions 参数。(ID-16419)
如果选择此选项，则会导致 0 ErrorCode 的异常。
如果未选择此选项，则导致 SQLException 并显示 0 ErrorCode 的 SQL 语句将捕获并禁止异常。
Oracle ERP 适配器现在具有可支持临时员工的 npw_number 帐户属性。npw_number 帐户属性的功能与 employee_number 相同，但 employee_number 属性与 npw_number 属性是互斥的。如果在创建时同时输入两者，则 employee_number 优先。(ID-16507)
对访问 Remedy 服务器的支持已变更。Sun Identity Manager Gateway 不再依赖于 4.5 版的 Remedy API 库。现在，必须将 Remedy 库放到网关目录中（Remedy 库位于 Remedy 服务器上）。有关详细信息，请参见文档补充和更正中的 Remedy。(ID-16551)
现在可以为资源验证属性中的 Active Directory 资源指定域。这样便能够对登录模块加以限制，使其仅对一个域进行验证。在多域 AD 环境中，这可阻止帐户因登录尝试失败而被锁定。(ID-16603) 要实现此功能，请将以下验证属性添加到资源 XML 中的 <AuthnProperties> 元素中。

<AuthnProperty name='w2k_domain' dataSource='resource attribute' value='MyDomainName'/>

Identity Manager 现在可以使用 Sun Java System Identity Manager 产品的 Attachmate 适配器连接到主机资源。(ID-16631)
checkIfUserExists 方法现在具有一个 JCO.Client 参数，通过此参数您可以选择创建新的连接还是使用现有连接。如果此方法不是对连接执行的第一个方法，则必须创建新的连接。为实现向后兼容，仍然支持使用现有连接。在当前版本中，只有重命名操作使用此新功能。(ID-16902)

安全

Identity Manager 现在提供了一种称为“最终用户”的新的内置对象组/组织（最初不包含任何成员对象）。通过最终用户对象组/组织，用户可以查看几种类型的对象，包括任务、规则、角色和资源。此对象组/组织会被隐式分配给所有用户。有关详细信息，请参见文档补充和更正中的第 5 章：管理。(ID-14630)
定义 AdminRole 时，您现在可以选中“排除所有受控子组织及其包含的对象”复选框，从而将所有受控子组织及其包含的对象从用户的控制范围中排除。清除此复选框可以将相关权能授予分配了 AdminRole 的用户，使其能够对所有子组织及其内容进行控制。(16859)
文本显示组件现在可以在输入字段（其中 display 属性的 autocomplete 属性已设置为 off）上呈现 autocomplete="off"。指定 autocomplete="off" 可阻止浏览器向用户提供在其计算机上存储用户凭证的功能。(ID-17045)

通过添加该显示属性，可以在 XPRESS 中进行此自定义。使用除 off 以外的值可阻止呈现 autocomplete 属性（与不设置该属性效果相同）。

要为 Identity Manager login.jsp、continueLogin.jsp、user/login.jsp 和 user/continueLogin.jsp 登录页面启用此功能，请将 ui.web.disableAutocomplete 系统配置对象更改为 true。

其他 Identity Manager 登录表单是从 XPRESS 生成的，因此您必须修改以下表单（位于 sample 目录中）才能使用新的显示属性：

匿名用户登录
提问式登录表单
最终用户匿名注册验证表单
最终用户匿名注册完成表单
查找用户 ID

上述表单中已添加了该 display 属性，但它在默认情况下已被注释掉。

注	根据以下位置提供的支持文章： http://support.microsoft.com/default.aspx?scid=kb;en-us;329156 如果使用 JavaScript 提交表单，则 AutoComplete 在 Internet Explorer 中不起作用。

---

此发行版中修复的错误

本节介绍了 Identity Manager 7.1 Update 1 中修复的错误，该信息分为以下几个部分：

管理员界面和用户界面
审计
安装和升级
Identity Manager 集成开发环境 (Integrated Development Environment, IDE)
密码同步
协调
报告
资源
角色
调度程序
安全
服务器
工作流
修复的其他缺陷

管理员界面和用户界面

在指定要编辑的用户之前单击“用户结果”页上的“编辑”不会再导致“ 404 找不到文件”错误。现在会显示一条错误消息，指示您必须选择一个用户。(ID-10944)
“查看面板”页现在以本地化的文本显示“面板摘要”列。(ID-11544)
现在，在对“帐户”列表或“查找用户”结果中的多个用户或组织执行操作时，所显示的确认表单可以完全本地化。(ID-12248)
“运行报告”页上的“摘要”列现在正确地显示本地化的文本。(ID-12393)
“资源”选项卡上的“资源列表组”视图现在按资源组列表的保存顺序显示这些列表，而不是对列表进行排序。(ID-14117)
删除角色之后，旧角色属性和当前角色属性的同步机制现在可以清除旧角色属性。(ID-14568)
现在，使用“编辑用户”功能取消分配用户的资源帐户时，帐户索引中这些帐户的“状况”在所有情况下均进行了正确更新。(ID-15310)
更改用户的角色分配后，单击表单的“刷新”按钮（不是浏览器页面的“刷新”），不会再针对已批准角色生成批准。(ID-15500)
在 Internet Explorer 中，选择器显示组件所使用的 JavaScript 函数不会再导致错误。(ID-15540)
现在已对“面板编辑”页上的面板图形名称统一进行了本地化。(ID-16008)
现在 Identity Manager 在执行“另存为”操作过程中会正确更新子/超级角色。(ID-16010)
将“用户组织”搜索选项与其他搜索选项结合使用，不会再导致生成空的查找用户结果。(ID-16076)
现在，在批量创建资源帐户时，会在派生和扩充过程中正确设置会话。(ID-16181)
现在，如果删除某个委托，则原定委托的所有工作项目（如批准）都会沿现有委托者路径向上分配给下一个人。此外，Identity Manager 会将该事件记录在系统日志中。(ID-16417)
创建或编辑用户时，管理员现在可以指派其控制范围之外的管理员。(ID-16452)
Identity Manager 现在可以对用户帐户 treetable 中的扩展用户属性进行正确地排序。(ID-16488)
已提升了与组织的缓存相关的性能。您应该看到访问组织数据的进程（如用户创建和用户编辑）的并发性已得到改进。(ID-16543)
向用户委托将来的工作项目时，可以委托的用户列表将由为其定义委托（无论是由用户定义，还是由管理员代表他们定义）的用户范围内的用户构成。(ID-16561)
现在可以编辑并保存当前或以前的工作项目委托。(ID-16564)
向用户委托将来的工作项目时，如果此用户没有 Identity Manager 管理员或者不能访问任何其他用户或 DelegateWorkItemsRules，则不再允许此用户创建新的委托、编辑现有的委托或编辑以前的委托。(ID-16566)
现在可以从最终用户界面正确运行包含 ManualActions 的 TaskDefinition。(ID-16694)
现在可以使用“动态选项卡式用户表单”分配多个资源帐户。(ID-16711)
服务器任务现在按开始时间排序。(ID-16783)
现在，在“搜索”操作过程中，RuleDrivenMembersCache 返回一个唯一的 ObjectGroupRefs 列表，因此对于同一组织，不能多次返回相同的用户。(ID-16795)
当“状态”列未填充数据时，“状态”列不会再显示在“结果”页上。(ID-16889)
在基于 WebKit 的浏览器（如 Mac OS X 中的 Safari）中打开字段级别帮助 (iHelp) 窗口时，不会再出现空（空白）窗口。(ID-16927)
用户尝试通过最终用户界面更改自己的密码时，不会再出现 null 指针异常。(ID-16942)
从管理员界面使用 continueLogin.jsp 不会再导致 JavaScript 错误。(ID-16989)
不具有适当权限的管理员无法再从调试页中删除对象。(16991)
continueLogin.jsp 页现在包含一个“忘记用户 ID？”按钮。(ID-16992)
现在可以清除表单上的日期检出器 (DatePicker) 字段类型值。要清除此字段，多字段属性的所有三个部分（日、月和年）都必须为空。(ID-17022)
在以下页面中，发现了跨站点脚本漏洞，并对其进行了修复 (ID-17241)：
task/taskLaunch.jsp
user/processLaunch.jsp
user/requestLaunch.jsp

审计

现在，启动周期性访问查看后转到“访问查看”页时，不必再手动刷新该页即可看到显示在列表中的扫描。（ID-14169、16570）
Identity Manager 遵循性功能提供了可以直接使用的任务、策略和规则。（ID-16127、16571）

Identity Manager 最初根据需要在“顶层”或“所有”对象组中创建这些对象。如果部署委托不具有“顶层”对象组控制权能的管理员来进行管理，您可能希望将部分或全部审计者对象添加到其他对象组。Identity Manager 提供了一个脚本，可用于列出审计者对象中的对象组，或者在审计者对象中添加或删除对象组。（有关审计者对象的完整列表，请参见 $WSHOME/sample/scripts/AuditorObjects.txt。）

注	在以下脚本中，idm-url 的预期格式为 [http://]hostname:port[/idm/servlet/rpcrouter2]，其中至少要包含 hostname:port。如果 Identity Manager 服务器绑定到默认的 URL 路径，则可以省略此服务器。

列出对象：

cd $WSHOME/sample/scripts
beanshell.sh objectGroupUpdate.bsh -u Configurator -p Configurator's password -h idm-url -action list -data AuditorObjects.txt

将“所有”对象组添加到所有对象：

cd $WSHOME/sample/scripts
beanshell.sh objectGroupUpdate.bsh -u Configurator -p Configurator's password -h idm-url -action add -data AuditorObjects.txt -groups

从所有对象中删除“所有”对象组：

cd $WSHOME/sample/scripts beanshell.sh objectGroupUpdate.bsh -u Configurator -p Configurator's password -h idm-url -action remove -data AuditorObjects.txt -groups All

注	使用“顶层”和“所有”对象组时可以采用其友好的名称，但是对于此实用程序，几乎所有其他对象组都要求您使用对象组 ID。

现在，在“用户编辑”页上的所有子选项卡上强制实现连续遵循性。(ID-16934)
现在，在用户界面中结束某个委托，然后运行审计日志报告时，审计报告中会包含捕获的更改信息。(ID-17103)

安装和升级

有关如何在 SQL Server 2005 SP2 上创建所需的数据库结构的示例，请参阅示例数据库创建脚本 (sample/create_waveset_tables.sqlserver) 中提供的注释。(ID-17021)

Identity Manager 集成开发环境 (Integrated Development Environment, IDE)

现在，通过选择树视图中的规则节点或在 XML 中的 <Form>/<Rule> 元素内右键单击，可以测试规则库中的规则。（ID-14093、14842）

注	可以使用规则测试器编辑和测试规则库，但当前尚未实现规则库的导航和属性支持。

现在，登入视图或关闭视图时，可以解除对锁定对象的锁定。（ID-14797、16573）

现在，当您登入视图时，视图变为只读状态。然后，您可以右键单击“系统信息库”>“登出视图”，再从弹出式菜单中选择“解除锁定视图”，以便登出视图并使视图重新回到可写状态。此外，当您关闭视图窗口时，视图即被隐式解锁。

为了与 7.0 兼容，您必须将 com.waveset.rpc.SimpleRpcHandler 从 web.xml 中删除，以防止出现解除锁定问题。现在，当您建立一个功能完整的项目时，Identity Manager IDE 将自动检查 web.xml 并询问您是否希望删除 com.waveset.rpc.SimpleRpcHandler。

Identity Manager IDE 调试器的“附加”对话框已修复，现在可用于 Netbeans 5.5.1。(ID-16731)

密码同步

密码同步 dll 现在可显示正确的连接失败错误消息，而不是显示“存在 soap 客户端错误：-2147467259”消息。此更改还可修复连接失败过程中可能出现的句柄泄露。(ID-15451)
Active Directory 中的计算机对象更改不会再导致 PasswordSync dll 中的句柄泄露。(ID-16495)
以目录服务恢复模式引导安装了密码同步的 AD 域控制器时，如果密码同步崩溃，不会再导致连续的重新引导循环。(ID-16695)
如果使用 JMS 同步 Identity Manager 中不存在的用户的 Windows Active Directory 用户密码，则会在跟踪记录中记录相应的消息。(ID-16920)

协调

丢失启动协调任务事件不会再导致协调程序陷入“暂挂”状态。(ID-14555)

报告

现在可以为使用情况报告的 Y 轴选择一个资源名称，该值将用于查询中。(ID-12035)
对用户的验证问题所做的更改现在记录在审计日志中。(ID-13082)
Identity Manager 会在删除不存在的用户时记录错误，并且现在会创建一个用于报告的审计事件。(ID-13284)

注	在版本 6.0 SP4 和更高版本中，删除事件会记录在系统日志中，而不是审计日志报告中。

HTML <b></b> 标记现在已从以下 PDF 报告中删除 (ID-15408)：
所有管理员角色
所有管理员
所有角色
现在，将 Oracle 数据库用作 Identity Manager 系统信息库时，Identity Manager 支持 acctAttrChanges 的 CLOB 数据类型。(ID-15326)

使用 CLOB（而非默认的 VARCHAR(4000) 数据类型）的优势在于它允许记录更大的更改集，但是由于 CLOB 访问例程的专有性，它也使此列更难查询。

要支持更大的更改集，必须将 log.acctAttrChanges 列类型更改为 CLOB（原来为 VARCHAR(4000)），然后相应地调整 RepositoryConfiguration 配置对象的 maxLogAcctAttrChangesLength 属性。

接收到的电子邮件的正文中不会再包含无效的 HTML 标记。现在，通过 processMessage 而不是 processImage 来处理电子邮件标题，并检查它们是否为空字符串以及是否为 null。(ID-15745)
现在，提交表单前，密码更改图表和其他使用情况报告需要具备操作数值。(ID-15777)
现在，编辑报告时，可以在不保存报告更改的情况下单击“运行”按钮来执行报告。使用“保存”按钮可保存对报告所做的任何更改。(ID-17212)

资源

SecurID UNIX 适配器现在使用资源用户属性名称解析模式属性名称（LHS 值），以便进行读取/修改。(ID-10521)
SecurID ACE/Server 适配器现在强制执行 RSA 要求，即“默认登录”只能由单字节英文字符组成。(ID-13805)
现在使用 UNIX 适配器的互斥锁获取超时资源属性，可以指定某些操作等待脚本互斥锁的时间（以秒为单位）。(ID-14234)
Identity Manager 7.1 Update 1 支持 Remedy 版本 6.3 和 7.0。但是，这些版本在样例数据、默认值和现成可用的配置方面存在许多重大差别。例如，在版本 6.3 中，“票证”模式的名称为 HPD:HelpDesk，而在 7.0 中已更改为 HPD:Help Desk。(ID-14611)
审计日志已经更新，能够更加准确地反映出创建或修改资源帐户时资源属性所发生的变化。(ID-15323)

此日志现在包含有关资源帐户属性的三列内容：

第一列（旧值）显示修改之前的值。
第二列（尝试值）显示请求的更改。
第三列（新值）显示该值实际是如何设置的。如果发生错误，则请求的值与实际设置的值会不同。

现在，如果 RACF 资源上的资源关联帐户没有足够的权限来列出用户，则 Identity Manager 将显示适当的错误消息。(ID-15331)
现在，删除 RACF 帐户时，系统会使用搜索掩码查询用户的数据集配置文件，对数据集进行枚举，然后删除单个的数据集（而不是尝试使用 DELDSD .** 命令删除所有数据集）(ID-15413)
所有的 Oracle ERP 职责现在都列在默认的 Oracle ERP 用户表单的“职责”下拉列表中。此列表中将包含当前未分配给任何用户的 Oracle ERP 职责。(ID-15492)
尝试检索 Oracle ERP 中不存在的职责时，Oracle ERP 适配器不会再返回 java.lang.IndexOutOfBoundsException。该适配器现在返回一个 null 值。(ID-15493)
FlatFileActiveSync processLine 现在返回一般处理错误，以便在 AllowedErrorCount 计算中使用。(ID-15662)
在 HP OpenVMS 适配器上，现在可正确执行之前和之后的操作。(ID-15920)
将活动同步用于 PeopleSoft 资源时，不会再发生死锁。(ID-16109)
SAP 适配器现在支持在 SAP 中更新 ALIAS 字段。模式配置中的属性映射为 ALIAS->USERALIAS。(ID-16320)
当数据库停用或资源配置不正确时，数据库表格资源适配器中不会再发生 null 指针异常。(ID-16358)
现在，当 Remedy 资源适配器中出现错误时，会设置 WF_ACTION_ERROR 工作流变量。(ID-16360)
SAP 适配器模式映射左侧的属性名称已经更改，如下所示：(ID-16399)

旧名称	新名称
title	titleP
nameSupplement	titleSupplement
communicationTypeCUA	communicationType
personName	addressName
personName2	addressName2
personName3	addressName3
personName4	addressName4
cityPostalCode2	poBoxPostalCode
cityPostalCode3	companyPostalCode
poBoxCityNumber	poBoxCityCode
streetCode	streetNumber

Oracle ERP 适配器在单个用户加载期间不会再删除职责的先前值。表单中添加了一个默认值子句，用于正确初始化职责。（ID-16414、16654）
现在，通过允许 DEFAULT-GROUP 行的格式存在差异，并且使 PHRASEDATE 成为可选项，默认 RACF ListUser AttrParse 可支持 RACF 版本 1.6 和 1.8。(ID-16580)
SAP 适配器模式映射属性的名称已更改，能够更准确地表示该属性的 SAP 语义。(ID-16634)
现在，当帐户由于密码过期而被锁定时，网关可以返回正确的值，这使 Identity Manager 能够允许用户更改其密码。(ID-16681)
使用 IBM Host on Demand 软件的资源适配器现在可以正确地加载 HoD JAR 文件。(ID-16690)。
现在，将 AIX 资源适配器的彻底删除用户属性设置为 true 时，此属性可以正确地将 -p 参数添加至由该适配器发出的 rmuser 命令。(ID-16706)
XmlParser 现在可以将 DOCTYPE 声明从 XML 字符串中正确清除。(ID-16909)
使用 Attachmate 库访问主机时，Identity Manager 会使用资源中指定的端口，而不是始终使用默认的 TCP 端口 (23)。(ID-17046)
样例 AccessEnforcerUserForm 现在会处理 Access Enforcer 用户的角色分配仅包含单个 SAP 角色的情况。(ID-17161)

角色

当用户登录“最终用户”页时，不会再应用用于计算角色的资源属性的规则。(ID-13338)
现在对“角色”>“查找角色”上的“批准者”列表进行了排序。(ID-16392)

调度程序

如果指定预定开始时间，则预定任务不会再由多个服务器来处理。(ID-16318)

安全

不具有顶层控制权能的批准者无法看到其之前已批准或已拒绝的批准。(ID-15271)

服务器

现在可以对转发的批准使用自定义的 emailTemplate。必须通过 ID 在批准子进程中指定 emailTemplate。(ID-16468)

SPE

对于 SPE 同步任务，在达到指定的最大重试次数之前，事务重试不会再失败。如果目标资源已停用，并且在启用“事务重试”的情况下对源资源执行 delete 操作，则在事务重试次数超过指定的最大数目之前，delete 操作不会失败。(ID-16120)
SPE 现在可以使用 accountId 以外的 SPE 用户命名属性通过“忘记密码”表单访问用户。尽管 accountId 是默认属性，但您现在可以在 SPE 配置内配置用户查找，以使用其他查找属性名称。(ID-16918)

工作流

不能再编辑已过期的工作项目。Identity Manager 现在会返回一个错误，表明工作项目无效。(ID-15439)
使用相同的电子邮件地址配置大量用户时，不会再导致执行“通知”操作时出现 OutOfMemory 错误。(ID-16386)

修复的其他缺陷

9940, 11690, 14489, 15073, 15906,16382, 16395, 16500, 16536, 16560, 16586, 16596, 16610, 16656, 16680, 16770, 16870, 16930, 17044, 17055

---

已知问题

Identity Manager 7.1 Update 1 发行说明中的本节列出了已知问题和解决方法：

如果您在编辑某个用户的同时正在以另一个管理员身份运行活动同步，则会发生活动同步异常。因为该用户被其他管理员锁定，所以活动同步无法重试该进程。(ID-11255)

解决方法：要针对某个资源启用活动同步重试，请更新资源 XML，使其包括下列两个附加的资源属性，格式如下：

<ResourceAttribute name='syncRetryCountLimit' type='string' multi='false' facets='activesync' value='180'/>

<ResourceAttribute name='syncRetryInterval' type='string' multi='false' facets='activesync' value='10000'/>

其中：

syncRetryCountLimit 是重试更新的次数。
syncRetryInterval 是两次重试之间等待的毫秒数。

随后，在您配置活动同步时，这些值将作为自定义资源设置显示出来。建议您指定 displayName；如果需要进行本地化，应使用自定义的目录关键字。

当与 Sun Java^TM System Directory Server Enterprise Edition 6.0、6.1 和 6.2 一起使用时，回归会导致 Identity Manager 密码同步失败。此故障将在 Directory Server 6.3 发行版中得到解决。如果需要将版本 6.0、6.1 或 6.2 与 Identity Manager 一起使用，请从“支持”中请求获取 Directory Server hotfix（参考 Directory Server 错误 6604342）。(ID-14895)
当从“资源”选项卡展开 Sun Java^™ System Access Manager 7.0 资源的资源对象时，您可能会看到以下错误：(ID-15525)

Error listing objects. ==> com.waveset.util.WavesetException: Error trying to get attribute value for attribute 'guid'. ==> java.lang.IllegalAccessError: tried to access method com.sun.identity.idm.AMIdentity.getUniversalId()Ljava/lang/String; from class com.waveset.adapter.SunAccessManagerRealmResourceAdapter

此错误会在未应用任何修补程序的 Access Manager 7.0 资源上发生。要修复此问题，您必须至少应用 Access Manager 的 Patch 1，然后重新生成并重新部署 Access Manager 客户端 SDK。

默认的 LocalFiles 系统信息库无法用于 Java^™ System Application Server 9.x。开发过程中必须使用一个受支持的数据库（列在这些发行说明的支持的软件和环境一节中）或 MySQL。一些使用者已经成功禁用了特定容器的 SecurityManager，并且将内存设置得更高，但这些都不是此问题的最终解决方法。(ID-15589)
在多语言模式下，“编辑用户”屏幕的选项卡上的部分文字可能会出现环绕情况。(ID-16054)

解决方法：要确保选项卡中的文字在显示时不出现环绕情况，请将以下内容添加到 $WSHOME/styles/customStyle.css 中：

table.Tab2TblNew td
{background-image:url(../images/tabs/level2_deselect.jpg);background-repeat:repeat-x;background-position:left top;background-color:#C4CBD1;border:solid 1px #8f989f;white-space:nowrap}

table.Tab2TblNew td.Tab2TblSelTd
{border-bottom:none;background-image:url(../images/tabs/level3_selected.jpg);background-repeat:repeat-x;background-position:left bottom;background-color:#F2F4F3;border-left:solid 1px #8f989f;border-right:solid 1px #8f989f;border-top:solid 1px #8f989f;white-space:nowrap}

由于 WebSphere 数据源和 Oracle JDBC 驱动程序之间存在互操作性问题，因此要将 WebSphere 数据源与 Identity Manager 一起使用的 Oracle 用户必须使用 Oracle 10g R2 和相应的 JDBC 驱动程序。（Oracle 9 JDBC 驱动程序将无法与 WebSphere 数据源和 Identity Manager 一起使用。）(ID-16167)

如果拥有 10g R2 之前版本的 Oracle，并且无法将 Oracle 升级到 10g R2，则应对 Identity Manager 系统信息库进行配置，使其使用 Oracle 的 JDBC 驱动程序管理器（而不是 WebSphere 数据源）连接到 Oracle 数据库。

请参见以下 URL 以了解详细信息：

http://www-1.ibm.com/support/docview.wss?uid=swg21225859

违规摘要报告的“优先级”和“严重程度”列中显示的是数字，而不是文本描述。(ID-16932)
违规摘要报告不会显示“已更正”或“正在修正”的违规。(ID-16933)
违规摘要报告中的“违规状态”列应该本地化。(ID-17011)
在违规摘要报告的“可能的状态”下拉菜单中添加了一个“免除”选项。(ID-17042)
Identity Manager 安装程序不会与 64 位 JDK 一起运行。(ID-17104)

解决方法：

手动安装。
使用 32 位版本的 JDK 运行此安装程序。
通过设置 JAVA_OPTS（由 install.bat 使用）来设置 os.arch="x86"，以完成此安装。例如，

set JAVA_OPTS=-Dos.arch="x86"

install.bat

如果通过以单线程模式（例如，创建了一个值为 1 的 ExclusiveNDSContext 注册表主键）运行的 Identity Manager 网关置备 GroupWise 用户，则在尝试更新 GroupWise 用户时可能产生以下类似的错误：(ID-17144)

XPRESS exception ==> com.waveset.util.WavesetException: Can't call method getResourceObject on class com.waveset.ui.FormUtil ==> com.waveset.util.WavesetException: Error connecting to the GroupWise domain (cn=7GWDOM.o=6idmtest): Error occurred opening the database. Check the path.

解决方法：如果要置备 GroupWise 用户，请以多线程模式运行网关。要以多线程模式运行，请删除 ExclusiveNDSContext 注册表主键，或将 ExclusiveNDSContext 注册表主键的值设置为 0，然后停止并重新启动网关。

并非所有非活动帐户扫描报告都会在“查看风险分析”页上显示其结果。要查看这些报告的结果，请转到“服务器任务”页。(ID-17255)
安装密码同步时，请确保使用的二进制文件适合在其中执行安装的操作系统。32 位 Windows 对应的二进制文件为 IdmPwSync_x86.msi，而 64 位 Windows 对应的二进制文件为 IdmPwSync_x64.msi。如果安装了错误的二进制文件，则可能表面上看安装已成功，但实际上无法正确运行密码同步。(ID-17290)

卸载密码同步时，请使用“控制面板”中的 Windows“添加或删除程序”功能，以确保正确卸载。

Identity Manager 的循环帐户策略可能不会按顺序分配验证问题。(ID-17295)
在 Sun Java^™ System Application Server Enterprise Edition 8.2 上将 Identity Manager 7.1 或 7.1 Update 1 与 Oracle 10g 一起使用时，可能会发生封装违规异常。导致此问题的原因可能是：CLASSPATH 中具有多个 Oracle JDBC JAR 文件或 CLASSPATH 中具有不兼容版本的 JDBC JAR 文件。(ID-17311)

请确保 CLASSPATH 中仅有一个 Oracle JDBC JAR 文件，并且它是可兼容版本（如 Oracle 安装过程中提供的 JAR 文件）。

WRQ 浏览 classpath 以发现其自身的条目。通过该条目，WRQ 将计算出存储 JAR 的目录，然后使用此目录来读取 .JAW（许可文件）。但是，BEA 和 WebSphere 都使用非标准的协议名称（BEA 使用 zip，WebSphere 使用 wsjar），而不使用标准的 JAR（WRQ 代码认为存在的协议）。(ID-17319)

解决方法：将以下选项添加到 startWeblogic.sh 文件的 java 命令中：

-Dcom.wrq.profile.dir="<dir containing JAW file>"

在创建新资源之前，请确保启用已配置类型列表中的资源类型。否则，新创建的资源对象可能不具备所有必需的字段。(ID-17324)
编辑或更新用户时，如果尝试分配不存在的 idmManager（例如，该 idmManager 已丢失），则将看到以下错误消息，并且无法保存更改。(ID-17339)

'Item User:[idmManager that doesn't exist] was not found in the repository, it may have been deleted in another session'

创建新用户时不会出现此问题。

从 7.1 升级到 7.1 Update 1 时，不会保留报告配置。请在升级之前保存报告配置对象。(ID-17363)
执行从资源加载并且该资源支持 ACCOUNT_CASE_INSENSITIVE_IDS 时，如果用户的 accountId 与 Identity Manager 的 ResourceInfo 用户对象中存储的 accountId 只是大小写不同，则会向用户对象添加另一个 ResourceInfo（其 accountId 与该资源报告的 accountId 大小写一致）。

解决方法：请确保用户对象中 Identity Manager ResourceInfo 对象中的 accountId 与该资源报告的 accountId 大小写完全一致。(ID-17377)