文件增訂與校正

本小節包含 Identity Manager 7.1 文件集發佈後所需的新資訊與已校正資訊。此資訊編排如下：

Identity Manager 安裝
Identity Manager 升級
Identity Manager 管理指南
Identity Manager 資源參照
Identity Manager 技術部署簡介
Identity Manager 工作流程、表單和檢視
Identity Manager 部署工具
Identity Manager 調校、疑難排解和錯誤訊息
Identity Manager Service Provider Edition 部署
使用 helpTool

---

Identity Manager 安裝

本小節提供與「Sun Java^™ System Identity Manager Installation」相關的新資訊與文件校正。

下列資訊應加入第 1 章「Before You Install」的「Set Up a Java Virtual Machine and Java Compiler」小節所提供的「Note」中。(ID-17131)

您可以在 BEA WebLogic 應用程式伺服器上執行 Identity Manager 7.1 及更高版本，以及所有 WebLogic 支援的 1.4.2 與 1.5 JVM。

Exchange 5.5 資源介面不受支援。請忽略與此資源介面相關的所有參照。
第 6 章「Installing Identity Manager for Sun ONE Application Server 7」及第 7 章「Installing Identity Manager for Sun Java System Application Server」中的安裝步驟已修訂，因為您必須在安裝 Identity Manager 軟體之後編輯 server.policy 檔案，否則 Identity Manager 將無法執行。因此，您必須依下列順序執行安裝步驟 (ID-16600)：
步驟 1： 安裝 Sun ONE Application Server 軟體
步驟 2： 安裝 Identity Manager 軟體
步驟 3： 編輯 server.policy 檔案
步驟 4：將 Identity Manager 部署至 Sun ONE Application Server 中
步驟 5：安裝 Sun Identity Manager 閘道
特定版本編號應從第 1 章「Before You Install」的「Supported Software and Environments」小節中移除，且應增加下列備註：(ID-16687)

備註	由於軟體產品開發人員常常會提供其軟體的新版本、更新和修正，因此 Identity Manager 支援的軟體與環境會時常變更。請檢閱「Identity Manager 版本說明」的「支援的軟體和環境」小節，再繼續進行安裝。

---

Identity Manager 升級

本小節提供用於「Sun Java^™ System Identity Manager Upgrade」的新資訊與文件校正。

在升級之前，務必先備份 Identity Manager 的安裝目錄與 Identity Manager 所使用的資料庫。您可以使用協力廠商備份軟體或系統所提供的備份公用程式，進行 Identity Manager 檔案系統的備份。備份資料庫時，請參閱資料庫文件以取得建議的備份程序。(ID-2810)

做好建立備份的準備工作後，首先必須關閉 (或閒置) Identity Manager。接著請使用備份公用程式備份您的資料庫與安裝 Identity Manager 的檔案系統。

AD Active Sync 資源已停用並由 AD 資源替代。執行以下步驟，將 AD Active Sync 遷移至更新的發行版本：(ID-11363)
將既有 AD Active Sync 資源物件匯出至 xml 檔案 (可以從指令行或除錯頁面進行)。
刪除既有資源 (這不會影響 Identity Manager 使用者或資源帳號使用者)
建立是 Active Sync 的新 AD 資源。
將此新資源物件匯出至 XML 檔案。
編輯此檔案並變更其 ID 屬性和名稱屬性的值，使之與在步驟 1 中儲存的「舊」資源物件的值相符。這些屬性位於 <Resource id='idnumber' name='AD' ...> 標籤中。
儲存對檔案的變更。
使用 [配置] －> [匯入交換檔案] 頁面或指令行，將已修改的物件匯入至 Identity Manager。
更新「Other Custom Repository Objects」小節，以納入使用 Identity Manager 的「快照」功能在部署中建立自訂儲存庫物件之基線或「快照」的說明。(ID-14840)

其他自訂儲存庫物件

記錄您已建立或更新的其他自訂儲存庫物件名稱。您可能必須先從目前的安裝中匯出這些物件，並於升級後再將其重新匯入新版的 Identity Manager 中。

管理員群組
管理員角色
配置
策略
佈建作業
Remedy 配置
資源表單
資源表單
角色
規則
作業定義
作業範本
使用者表單

您可以使用 Identity Manager 的「快照」功能，在部署中建立自訂儲存庫物件的基線或「快照」，這在規劃升級作業時非常實用。

快照會從您的系統中複製下列特定物件類型，以進行比較：

管理員群組
管理員角色
配置
EmailTemplate
策略
ProvisionTask
RemedyConfig
ResourceAction
Resourceform
角色
規則
TaskDefinition
TaskTemplate
UserForm

接著，您可以比較兩份快照，以判斷特定系統物件在升級前後有何變更。

備註	此功能並不適合針對 XML 進行詳細、持續比較，這只是用以進行「初步」比較的基本工具。

若要建立快照，請執行以下作業：

從 Identity Manager 的 [除錯] 頁面 (圖 1) 按一下 [快照] 按鈕，以檢視 [快照管理] 頁面。

圖 1 快照管理頁面



在 [建立] 文字方塊中鍵入快照的名稱，然後按一下 [建立] 按鈕。

當 Identity Manager 增加快照時，快照的名稱會顯示在 [比較] 功能表清單中的 [匯出] 標籤右側。

若要比較兩份快照，請執行以下作業：

從兩個 [比較] 功能表中各自選取快照 (圖 2)。

圖 2 快照管理頁面



按一下 [比較] 按鈕。
如果無物件變更，則頁面會表示找不到差異。
如果找到物件變更，則頁面會顯示物件類型和名稱，以及物件是否是不同的、不存在或是存在的。

例如，若物件存在於 baseline_1 中，但不存在於 baseline_2 中，baseline_1 欄即會顯示 Present，而 baseline_2 欄會顯示 Absent。

您可以使用 XML 格式匯出快照。按一下快照名稱匯出快照檔案。

若要刪除快照，請從 [刪除] 功能表中選取快照，然後按一下 [刪除] 按鈕。

將下列段落加入已修改的 JSP 區段，納入有關使用 inventory -m 指令以在部署中識別已修改的 JSP 之資訊：(ID-14840)

您可以使用 inventory -m 指令 (如上一頁所述) 識別部署中修改過的所有 JSP。

若您要從 6.x 安裝升級為 7.0 或 7.1 版，並且要開始使用新的 Identity Manager 一般使用者頁面啟動，則必須將系統配置 ui.web.user.showMenu 手動變更為 true，以顯示水平瀏覽位址列。(ID-14901)
若要從 6.0 或 7.0 版升級為 7.1 版，並使用 LocalFiles，則必須在升級前匯出您所有的資料，並於 7.1 版的全新安裝完成後重新匯入資料。(ID-15366)
從 6.0 或 7.0 版升級為 7.1 版時，必須進行資料庫模式升級。(ID-15392)
若要從 6.0 升級為 7.1，則必須藉助適合使用中 RDBMS 類型的 upgradeto71.* 程序檔。
若要從 7.0 升級為 7.1，則必須藉助適合使用中 RDBMS 類型的 upgradeto71from70.* 程序檔。
在升級程序期間，Identity Manager 會分析系統上的所有角色，然後使用 RoleUpdater 類別，更新任何缺少的子角色與超級角色連結。(ID-15734)

若要檢查及升級不在升級程序中的角色，請匯入 sample/forms/RoleUpdater.xml 中所提供的新 RoleUpdater 配置物件。例如：

<?xml version='1.0' encoding='UTF-8'?>
<!DOCTYPE Waveset PUBLIC 'waveset.dtd' 'waveset.dtd'>
<Waveset>
   <ImportCommand class='com.waveset.session.RoleUpdater' >
      <Map>
         <MapEntry key='verbose' value='true' />
         <MapEntry key='noupdate' value='false' />
         <MapEntry key='nofixsubrolelinks' value='false' />
   v</Map>
   </ImportCommand>
</Waveset>

其中：

verbose：在更新角色時提供詳細輸出。指定 false 可啟用角色的無訊息更新。
noupdate：可決定是否更新角色。指定 false 可取得僅列出將進行更新之角色的報告。
nofixsubrolelinks：可決定在缺少子角色連結時是否更新超級角色。此值預設為 false，且會修復連結。

若您的 Identity Manager 安裝目錄路徑中含有空格，則必須指定不含雙引號 (") 的 WSHOME 環境變數，如下列範例 (ID-15470) 所示：

備註	指定路徑時請勿於結尾使用斜線 (\)，即使路徑不包含空格也一樣。

set WSHOME=c:\Program Files\Apache Group\Tomcat 5.5\idm

或

set WSHOME=c:\Progra~1\Apache~1\Tomcat~1\idm

下列路徑沒有作用：

set WSHOME="c:\Program Files\Apache Group\Tomcat 5.5\idm"

---

Identity Manager 管理指南

本小節提供用於「Sun Java^™ System Identity Manager Administration」的新資訊與文件校正。

第 2 章：Identity Manager 入門

「忘記使用者 ID」一節描述如何使用 [登入 Identity Manager] 頁面上的 [忘記使用者 ID？] 按鈕，擷取忘記的使用者 ID。但是，從 Identity Manager 的舊版升級至 7.1 Update 1 版時，預設會停用 [忘記使用者 ID？] 功能。(ID-16715)

若要啟用此功能，必須修改系統配置物件中的下列屬性：

ui.web.user.disableForgotUserId = false

ui.web.admin.disableForgotUserId = false

第 3 章︰使用者和帳號管理

在「停用使用者 (使用者動作、組織動作)」一節中，已修正備註。

備註	如果指定的資源無法從本機支援帳號停用功能，但支援密碼變更，則可透過指定隨機產生的新密碼，配置 Identity Manager 停用該資源的使用者帳號。此配置需要您使用資源精靈中的 [Identity 系統參數] 頁面，啟用資源的 [停用] 與 [密碼] 帳號功能。如需更多資訊，請參閱第 4 章「配置」。

在「啟用使用者 (使用者動作、組織動作)」一節中，已增加備註：

備註	如果指定的資源無法從本機支援帳號啟用功能，但支援密碼變更，則可透過重設密碼，配置 Identity Manager 啟用該資源的使用者帳號。此配置需要您使用資源精靈中的 [Identity 系統參數] 頁面，啟用資源的 [啟用] 與 [密碼] 帳號功能。如需更多資訊，請參閱第 4 章「配置」。

在「使用者認證」一節中，已增加對認證問題策略的描述。

認證問題策略可決定當使用者按一下登入頁面上的 [忘記密碼] 按鈕，或存取 [變更我的答案] 頁面時，所會發生的情況。下表說明每個選項：

表 2 認證問題策略選項  

選項	說明
循環	Identity Manager 會從已配置的問題清單中選取下一個問題，並將此問題指定給使用者。認證問題清單中的第一個問題會指定給第一名使用者，第二個問題會指定給第二名使用者。此式樣會持續到問題結束為止。在那之後，會依序指定問題給使用者。例如，如果有 10 個問題，會為第 11名與第 21 名使用者指定第一個問題。 選取的問題會是唯一顯示的問題。若要使用者每次回答不同的問題，請使用「隨機」策略並將問題數設定為 1。 此選項並不允許使用者自行定義認證問題。
隨機	此選項可讓管理員指定使用者必須回答的問題數。Identity Manager 會從策略中定義的問題清單以及使用者已定義的問題清單隨機選取並顯示指定數量的問題。使用者必須回答所有顯示的問題。
任何	Identity Manager 顯示所有策略定義與使用者定義的問題。您必須指定使用者必須回答的問題數。
全部	使用者必須回答所有策略定義與使用者定義的問題。

第 5 章：管理

在「委託工作項目」一節中，已增加以下備註。

備註	在設定委託後，有效委託期間建立的任何工作項目皆會加入您的清單及委託清單。若結束委託，則會回復委託工作項目，而如此會引發重覆的工作項目。當您核准或拒絕其中一項，則重覆的項目會自動由清單中移除。

在「管理工作項目」一節中，已增加以下資訊。

       對已刪除之使用者的委託

如果您將工作項目委託給稍後會從 Identity Manager 中刪除的使用者，則已刪除的使用者會在 [目前的委託] 清單中顯示於括號中。如果之後編輯或建立的委託包含該名已刪除的使用者，則編輯或建立動作會失敗。此外，若要將使用者建立或更新工作項目委託給已刪除的使用者，也將失敗。

您可以結束委託，以回復委託給已刪除之使用者的工作項目。

在「Identity Manager 權能說明」表格中，已增加「一般使用者管理員」權能。所有已指定此權能的使用者皆可檢視及修改物件類型 (指定於一般使用者權能) 的權限，以及一般使用者受控制組織規則的內容。此權能依預設會指定給配置程式。
在「控制範圍」一節中，應增加以下資訊： (17187)

Identity Manager 可讓您控制一般使用者的控制範圍內有哪些使用者。

您可以使用 EndUserControlledOrganizations 規則根據組織需求定義所有必要的邏輯，以確保能委託給正確的一組使用者。

若要使用者的範圍清單與管理員的範圍清單相同，不論這些使用者登入管理員介面或一般使用者介面，皆必須如下變更 EndUserControlledOrganizations 規則：

將規則修改為先檢查認證使用者是否為管理員，然後再配置下列項目：

如果使用者不是管理員，請傳回一般使用者應控制的組織集，例如使用者本身的組織 (例如 waveset.organization)。
如果使用者是管理員，請勿傳回任何組織，如此使用者僅會控制指定的組織，因為此使用者便是管理員。

例如：

<Rule protectedFromDelete='true' authType='EndUserControlledOrganizationsRule' id='#ID#End User Controlled Organizations' name='End User Controlled Organizations'> <Comments> 如果登入的使用者不是 Idm 管理員， 則傳回其所屬的組織。 否則，請傳回空值。 </Comments> <cond> <and> <isnull><ref>waveset.adminRoles</ref></isnull> <isnull><ref>waveset.capabilities</ref></isnull> <isnull><ref>waveset.controlledOrganizations</ref></isnull> </and> <ref>waveset.organization</ref> </cond> <MemberObjectGroups> <ObjectRef type='ObjectGroup' id='#ID#Top' name='Top'/> </MemberObjectGroups> </Rule>

下列資訊應加入「瞭解與管理權能」小節。(ID-14630、15614)

Identity Manager 提供稱為一般使用者的內建物件群組/組織 (最初沒有成員物件)。一般使用者物件群組/組織會以隱含的方式指定給所有使用者，並讓使用者檢視數種物件類型，包含作業、規則、角色與資源。

過去，使用者在登入一般使用者介面時，系統會自動為其指定一般使用者權能中所指定之物件類型的權限 (如 AdminRole、EndUserConfig 與 EndUserTask)。現在，當使用者登入一般使用者介面時，Identity Manager 也會自動提供使用者新的一般使用者物件群組之控制權。此外，Identity Manager 會計算新的內建一般使用者控制的組織規則。此規則所傳回的所有物件群組/組織名稱也會由登入一般使用者介面的使用者自動控制。

認證使用者的檢視是一般使用者控制的組織規則的輸入引數。Identity Manager 預期此規則會傳回一 (字串) 或多個 (清單) 組織，可由登入一般使用者介面的使用者控制。已增加新的一般使用者管理員權能，可讓使用者管理這些新物件。指定擁有一般使用者管理員權能的使用者，可檢視並修改一般使用者權能中指定的物件類型權限，以及一般使用者控制的組織規則的內容之存取權限。

一般使用者管理員權能依預設會指定給配置程式。任何清單變更或經一般使用者控制的組織規則計算後傳回的組織變更，均不會針對已登入的使用者進行動態調整。這些使用者必須先登出再重新登入，才能察覺變更。

如果一般使用者控制的組織規則傳回無效的組織 (例如 Identity Manager 中不存在的組織)，系統記錄中會記錄此問題。您可以登入管理員使用者介面並修正規則，以更正此問題。

一般使用者物件群組/組織是 Top 的成員，不得具有子組織。物件群組/組織不會顯示在管理員使用者介面 [帳號] 標籤的樹狀結構表格中。但是，編輯物件 (例如角色、管理員角色、資源、策略、作業等) 時，您可以從管理員使用者介面讓一般使用者物件群組/組織可使用所有物件。

使用此新推出的最佳實作方法 (而非使用一般使用者作業、一般使用者資源、系統配置:EndUserAccess 與一般使用者 authType)，即可讓一般使用者存取 Identity Manager 配置物件 (例如角色、資源、作業等) 的存取權。不過基於向下相容性，將會繼續支援 End User Tasks、End User Resources、System Configuration:EndUserAccess 和 End User authTypes 方法。

第 8 章：作業範本

下列資訊應加入本章的「配置稽核標籤」小節：(ID-16797)

已稽核的屬性報告可報告對 Identity Manager 使用者及帳號的屬性層級變更。但是標準稽核記錄所產生的稽核記錄資料，不足以支援完整的查詢表示式。

標準的稽核記錄確實會將變更的屬性寫入稽核記錄中的 [acctAttrChanges] 欄位，但寫入變更屬性的方式僅能讓報告查詢根據變更的屬性名稱比對記錄。報告查詢無法正確比對屬性值。

您可以指定下列參數，將此報告配置為比對包含 lastname 屬性變更的記錄：

Attribute Name = 'acctAttrChanges'

Condition = 'contains'

Value = 'lastname'

備註	由於 acctAttrChanges 欄位中儲存資料的方式，所以 Condition='contains' 為必要。此欄位不能有多個值。此值基本上就是資料結構，包含所有變更屬性的 before/after 值，並使用 attrname=value 格式的資料結構。因此，上述設定可讓報告查詢比對 lastname=xxx 的任何實例。

也可僅擷取具有特定屬性 (內含特定值) 的稽核記錄，但需要一些附加配置。請使用以下指示：

開啟並登入到 Identity Manager 管理員介面：

http://server-name:port/idm

選取 [伺服器作業] 標籤。
選取 [配置作業] 標籤。
按一下 [更新使用者範本] 作業 (範例)。
選取 [稽核] 標籤。

選取作業的 [稽核控制] 會隨即顯示，並在使用者更新時執行稽核。

選取 [稽核整個工作流程] 核取方塊以啟動工作流程稽核功能。
按一下 [增加屬性] 按鈕 (在 [稽核屬性] 區段中)，以選取您要記錄的屬性以進行報告。
[選取屬性] 功能表顯示在 [稽核屬性] 表格中時，從清單中選取屬性。(例如： 從下拉式功能表中選取 user.global.email。)
按一下 [儲存]。
您現在必須如下啟用配置：
選取 [伺服器作業] > [配置作業]。
按一下 [更新使用者範本] 的 [啟用] 按鈕。
請勿變更 [選取程序類型] 清單中的預設值。

執行此步驟實際上可讓工作流程引擎發出必要的記錄資訊。

再按一下 [儲存]。

工作流程現在可提供適合同時比對屬性名稱及其值的稽核記錄。雖然啟動此稽核層級會提供更多資訊，但是請注意這會使效能大幅下滑，且工作流程執行起來會較慢。

第 11 章︰身份稽核

下列資訊已增加至本章中：

連續規範遵循

本節中的資訊目前說明對使用者執行的所有佈建作業，都將導致使用者和組織指定的策略受到計算。此資訊應更正為：(ID-17416)

連續規範遵循是指稽核策略會套用至所有佈建作業，如此便無法使用與目前策略不相容的方式修改帳號。

將稽核策略指定給組織和 (或) 使用者，即可啟用連續規範遵循。對使用者執行的所有佈建作業，都將導致使用者指定的策略受到計算。若此評估產生了任何策略失敗，都將中斷佈建作業。

解決 Auditor 權能限制

依預設，頂層物件 (物件群組) 中會包含執行稽核作業所需的權能。因此，只有控制頂層的管理員可以指定這些權能給其他管理員。

您可以將權能增加至其他組織，藉此解決此項限制。Identity Manager 提供兩個公用程式 (位於 sample/scripts 目錄) 以協助執行此作業。

執行以下指令列出所有權能 (管理員群組) 及其相關組織 (物件群組)：

beanshell objectGroupUpdate.bsh -type AdminGroup -action list -csv

此指令會擷取輸出並匯出成逗號分隔值 (CSV) 檔案。

可視需要編輯此 CSV 檔案以調整權能的組織位置。
執行此指令以更新 Identity Manager。

beanshell objectGroupUpdate.bsh -data CSVFileName -action add -groups NewObjectGroup

增加規則

以下備註已加入本小節 (ID-16604、16831)：

備註	Identity Manager 不支援規則巢式控制。此外，使用稽核策略精靈建立具有布林表示式巢式的策略，會產生無法預期的結果。 如需複雜的規則表示式，請使用 XML 編輯器建立獨立 XPRESS 規則，使其參照需要使用的所有規則。

建立規則表示式

請將本小節中的「備註」變更為 (ID-16604、16831)：

備註	Identity Manager 不支援規則巢式控制。此外，使用稽核策略精靈建立具有布林表示式巢式的策略，會產生無法預期的結果。 如需複雜的規則表示式，請使用 XML 編輯器建立獨立 XPRESS 規則，使其參照需要使用的所有規則。

第 13 章：服務提供者管理員

在「配置同步化」一節中，應說明服務提供者同步化作業的預設同步化間隔為 1 分鐘。

所有章節

章節頁尾註明的發行版本應為 7.1，而不是 7.0。(ID-16968)

---

Identity Manager 資源參照

本小節包含用於「Sun Java™ System Identity Manager Resources Reference」的新資訊與文件校正︰

一般問題

Exchange 5.5 資源介面不受支援。請忽略與此資源介面相關的所有參照。

Active Directory

下列資訊應加入 Active Directory 資源介面文件中。

指定傳遞認證的網域

在預設的配置中，傳遞認證僅能藉由傳送使用者 ID 及密碼的方式完成。這兩個屬性會在資源物件之 XML 的 AuthnProperties 元素中，配置為 w2k_user 與 w2k_password。若未指定網域，閘道會搜尋所有已知的網域，並嘗試在包含此使用者的網域中認證此使用者。

在可信任的多網域環境中，可能會有兩種情況：

使用者/密碼組合需視網域而定
使用者/密碼組合需視網域而定。

使用者/密碼組合同步化之後，請配置 Active Directory 資源使其成為共用資源。請參閱「Identity Manager Administration」，以取得有關設定共用資源的更多資訊。

如果使用者/密碼組合需視網域而定，且使用者理應知道網域資訊，您可讓使用者在登入螢幕上輸入網域資訊。此選項可搭配共用資源使用。

若要讓使用者在登入頁面上輸入網域，請將下列特性加入資源物件之 XML 的 <AuthnProperties> 元素中：

<AuthnProperty name='w2k_domain' displayName='Domain:' formFieldType='text' dataSource='user' doNotMap='true'/>

在具有多個可信任網域與 Active Directory 樹系的環境中，由於「全域目錄」不含跨樹系資訊，因此使用任何一項配置都可能使認證失敗。如果使用者提供的密碼錯誤，當網域的數目大於鎖定臨界值時，也可能會導致使用者網域中的帳號遭到鎖定。

只有在部署多個閘道且每個樹系部署一個閘道時，才可能進行跨樹系的使用者管理。在此情況下，您可以將介面配置為每個介面使用預先定義的網域進行認證，而不需要使用者指定網域。若要完成此作業，請將下列認證特性加入資源物件之 XML 的 <AuthnProperties> 元素中：

<AuthnProperty name='w2k_domain' dataSource='resource attribute' value='MyDomainName'/>

請以負責認證使用者的網域替代 MyDomainName。

如果網域中存在此使用者，且密碼未同步化，則登入網域會失敗。

一個「登入模組群組」中的網域資訊不可能有多個資料來源。

更正

在 Active Directory 文件中，本指南的「管理 ACL 清單」程序包含下列步驟：(ID-16476)

3. 編輯 Identity Manager 中與 [編輯使用者] 表單上的使用者。

以下一行替代此行：

3. 編輯 Identity Manager 中 [編輯使用者] 表單上的使用者。

資料庫表格

在「資料庫表格」介面文件中的「上次擷取的述語」範例無效。應定義如下：

lastMod > '$(lastmod)'

Flat File Active Sync

Flat File Active Sync 介面討論如何在 Waveset.properties 檔案中設定 sources.hosts 特性。此配置現在應可使用同步化策略完成。

閘道介面

Domino 閘道、Active Directory、Novell NetWare 與其他閘道介面可讓您使用 RA_HANGTIMEOUT 資源屬性指定逾時值 (以秒為單位)。此屬性控制閘道請求在逾時且視為當機之前的等待時間。

您必須手動將此屬性加入資源物件，如下所示：

<ResourceAttribute name='Hang Timeout' displayName='com.waveset.adapter.RAMessages:RESATTR_HANGTIMEOUT' type='int' description='com.waveset.adapter.RAMessages:RESATTR_HANGTIMEOUT_HELP' value='NewValue'>
</ResourceAttribute>

此屬性的預設值為 0，表示 Identity Manager 不會檢查當機連線。

主機介面

ACF2、Natural、RACF、RACF-LDAP、Scripted Host 與 Top Secret 介面的 Identity Manager 安裝注意事項中缺少一個步驟。請在步驟 3 之後增加下列步驟。

4. 當 Attachmate 程式庫安裝到 WebSphere Application Server 時，請將 com.wrq.profile.dir=LibraryDirectory 特性加入 WebSphere/AppServer/configuration/config.ini 檔案。

如此可讓 Attachmate 程式碼尋找授權檔案。

Microsoft SQL Server

下列資訊應加入「用法說明」小節中：

如果 Identity Manager 伺服器在與 SQL Server 伺服器實例相同之 Windows 安全性/認證架構中所包含的 Windows 機器上執行，SQL Server 資源介面的 Windows 認證模式僅能在 Microsoft SQL Server 介面上配置。

JDBC 驅動程式支援透過 integratedSecurity 連線字串特性，在 Windows 作業系統上使用 Type 2 整合式認證。若要使用整合式認證，請將 sqljdbc_auth.dll 檔案複製到安裝 JDBC 驅動程式之電腦的 Windows 系統路徑上的目錄。

sqljdbc_auth.dll 檔案會安裝在下列位置：

InstallationDirectory\sqljdbc_Version\Language\auth\

在 32 位元處理器上，使用 x86 資料夾中的 sqljdbc_auth.dll 檔案。在 64 位元處理器上，使用 x64 資料夾中的 sqljdbc_auth.dll 檔案。

如需更多資訊，請參閱：

http://msdn2.microsoft.com/en-us/library/ms378428.aspx

NetWare

NDS 介面已改善對 GroupWise 的支援：
此介面現在可管理次要網域中的郵局。
GroupWise 使用者可訂閱所有已知的發行清單。
您可在未指定「刪除式樣」的情況下刪除郵局。
NetWare 介面文件的內容有錯，其說明 Login Script、NRD:Registry Data 與 NRD:Registry Index 屬性不受支援。其實是支援這些屬性的。(ID-16813)

Oracle

在 Oracle 介面文件中，oracleTempTSQuota 帳號屬性的描述應為：(ID-12843)

使用者可配置的最大臨時表格空間配額。如果模式對映中顯示此屬性，一律會對臨時表格空間設定配額。如果從模式對映中移除屬性，則不會對臨時表格空間設定配額。您必須針對與 Oracle 10gR2 資源通訊的介面移除屬性。

Oracle ERP

Oracle ERP 介面現在具有可支援臨時工作人員的 npw_number 帳號屬性。(ID-16507)

資源使用者屬性	資料類型	說明
npw_number	字串	臨時工作人員編號。表示來自 per_people_f 表格的 npw_number。 當您在建立時輸入一個值時，介面會嘗試在 per_people_f 表格中查詢使用者記錄、擷取 person_id 到建立 API 中，並將 person_id 插入 fnd_user 表格的 employee_id 欄。 如果建立時未輸入 npw_number，則不會嘗試連結。 如果您在建立時輸入 npw_number，但找不到此編號，則介面會丟出一個異常。 如果 npw_number 在介面模式中，介面會嘗試傳回 getUser 上的 npw_number。 注意：employee_number 屬性與 npw_number 屬性不得並存。如果建立時同時輸入這兩者，則會使用 employee_number。

Oracle ERP 介面支援 Oracle E-Business Suite (EBS) 12 版。根據前述「Identity Manager Resources Reference」中安裝的 ERP 版本，可能不再需要編輯或加入 OracleERPUserForm 區段的註釋。(16705, 16713)

FormRef 屬性現在支援下列特性：

RESOURCE_NAME - 指定 ERP 資源名稱
VERSION - 指定 ERP 資源的版本。允許值為 11.5.9、11.5.10、12。
RESP_DESCR_COL_EXISTS - 定義 fnd_user_resp_groups_direct 表格中是否存在 [說明] 欄。如果版本是 11.5.10 或 12，此為必要特性。允許值為 TRUE 與 FALSE。

每次參照使用者表單時，應輸入這些特性。例如，「標籤式使用者表單」可能需要以類似下列的方式進行修改，才能支援 12 版。

<FormRef name='Oracle ERP User Form'>
   <Property name='RESOURCE_NAME' value='Oracle ERP R12'/>
   <Property name='VERSION' value='12'/>
   <Property name='RESP_DESCR_COL_EXISTS' value='TRUE'/>
</FormRef>

Remedy

您必須在安裝閘道的目錄中置入多個 Remedy API 程式庫。這些程式庫位於 Remedy 伺服器上。

表 3 Remedy API 程式庫

Remedy 4.x 與 5.x	Remedy 6.3	Remedy 7.0
arapiXX.dll arrpcXX.dll arutlXX.dll 其中 XX 與 Remedy 的版本相符。例如，arapi45.dll 表示在 Remedy 4.5 上。	arapi63.dll arrpc63.dll arutl63.dll icudt20.dll icuin20.dll icuuc20.dll	arapi70.dll arrpc70.dll arutl70.dll icudt32.dll icuin32.dll icuuc32.dll

SAP

一般說明

Identity Manager 安裝注意事項程序中步驟 1 的備註不清楚。正確的措辭應為

備註	請確定您下載的 JCo 工具組符合執行應用程式伺服器的 Java 位元版本。例如，JCo 僅適用於 Solaris x86 平台上的 64 位元版本中。因此，您的應用程式伺服器必須在 Solaris x86 平台上執行 64 位元版本。

重新命名帳號

SAP 介面現在支援重新命名帳號。此介面執行此功能的方式是將現有帳號複製到新帳號，然後刪除原始帳號。SAP 不鼓勵重新命名帳號，但在使用者管理應用程式中提供此選項 (來自 SAP GUI 的作業事件 SU01)。因此，Identity Manager 也支援此選項。請注意，SAP 未來的版本可能不會支援重新命名功能。

SAP GUI 由於具有非公用 API 及 SAP 核心的存取權，因此使用不同的方法執行重新命名。下列步驟提供介面如何執行重新命名作業的概略描述：

取得現有使用者的使用者資訊。
如果存在 ALIAS 屬性，請加以儲存。
建立新使用者。
設定新使用者的「作業群組」。(如果使用 CUA 模式，請取得舊使用者的「作業群組」)
設定新使用者的「設定檔」。(如果使用 CUA 模式，請取得舊使用者的「設定檔」)
取得舊使用者的「個人化資料」。
設定新使用者的「個人化資料」。
刪除舊使用者。
如果舊使用者已設定別名，請設定新使用者的別名。

如果步驟 1 到 3 期間發生錯誤，作業會立即失敗。如果步驟 4 到 7 期間發生錯誤，會刪除新使用者且整個作業會失敗。(如果無法刪除新使用者，會在 WavesetResult 中置入一則警告。) 如果步驟 8 到 9 期間發生錯誤，會在 WavesetResult 中增加一則警告，但作業會成功。

「重新命名」作業要求必須為新使用者設定新密碼。自訂「重新命名使用者作業」以呼叫「變更使用者密碼作業」，是完成此作業最簡單的方式。

Sun Java System Access Manager

Sun Java System Access Manager 文件之「Policy Agent」小節中所述的程序已過期。請改用以下程序。
從 Identity Manager 管理員介面功能表列中，選取 [安全性]。
按一下 [登入] 標籤。
按一下頁面底端的 [管理登入模組群組] 按鈕。
選取要修改的登入模組。例如，選取 [預設 Identity 系統 ID/密碼登入模組群組]。
在 [指定登入模組] 選取方塊中，選取 [Sun Access Manager 登入模組] 或 [Sun Access Manager 範圍登入模組]。
當 [指定登入模組] 選項旁顯示新的 [選取] 選項時，請選取適當的資源。
請在 [修改登入模組] 頁面顯示時，視需要編輯顯示的欄位，然後按一下 [儲存]。[修改登入模組群組] 會再次顯示。
將 [Sun Access Manager 登入模組] 指定為模組群組中的第一個資源，然後按一下 [儲存]。
「Sun Java System Access Manager Realm Resource Adapter」標題下列出的程序缺少一個步驟。將 amclientsdk.jar 檔案複製到 InstallDir/WEB-INF/lib 目錄 (步驟 4) 之後，必須重新啟動 Identity Manager 應用程式伺服器。
參照 Policy Agent 2.1 的項目應變更為參照 Policy Agent 2.2。

Sun Java System Access Manager 範圍

「Identity Manager Resources Reference」包含過期的連結。請改用以下連結：

Policy Agent 下載位置：http://wwws.sun.com/software/download/inter_ecom.html#dirserv
Policy Agent 文件：http://docs.sun.com/app/docs/coll/1322.1

在「安裝注意事項」小節中，Sun Java System Access Manager 範圍資源介面的配置程序已更新如下：

請遵循「Sun Java^™ System Access Manager 7 2005Q4 Developer's Guide」中提供的指示，從 Sun Access Manager 安裝中建置用戶端 SDK。
從產生的 war 檔案中擷取 AMConfig.properties 與 amclientsdk.jar 檔案。
將 AMConfig.properties 的副本置於下列目錄中：

InstallDir/WEB-INF/classes

將 amclientsdk.jar 的副本置於下列目錄中：

InstallDir/WEB-INF/lib

將 amclientsdk.jar 檔案加入伺服器類別路徑。
重新啟動 Identity Manager 應用程式伺服器。
複製檔案之後，必須將 Sun Java System Access Manager 範圍資源加入 Identity Manager 資源清單。在 [配置受管資源] 頁面的 [自訂資源] 區段中增加下列值。

com.waveset.adapter.SunAccessManagerRealmResourceAdapter

「Policy Agent」小節中所述的程序已過期。請改用以下程序。

從 Identity Manager 管理員介面功能表列中，選取 [安全性]。
按一下 [登入] 標籤。
按一下頁面底端的 [管理登入模組群組] 按鈕。
選取要修改的登入模組。例如，選取 [預設 Identity 系統 ID/密碼登入模組群組]。
在 [指定登入模組] 選取方塊中，選取 [Sun Access Manager 登入模組] 或 [Sun Access Manager 範圍登入模組]。
當 [指定登入模組] 選項旁顯示新的 [選取] 選項時，請選取適當的資源。
請在 [修改登入模組] 頁面顯示時，視需要編輯顯示的欄位，然後按一下 [儲存]。[修改登入模組群組] 會再次顯示。
將 [Sun Access Manager 範圍登入模組] 指定為模組群組中的第一個資源，然後按一下 [儲存]。

UNIX 介面

AIX、HPUX、Solaris 與 Linux 介面的文件之前說明如果使用模擬，則必須為介面所使用的每個指令指定 NOPASSWORD 選項。此項說明並不正確。

同步化 LDAP 密碼

Identity Manager 現在支援 LDAP 密碼同步化 Directory Server 5.2 SP5 及更高版本。[配置密碼同步化] 頁面包含新欄位 [Directory Server 版本]，可讓您指定 Directory Server 實例是 5.2 P4 或更早版本，或是 5.2 P5 或更高版本。

請注意下列文件變更：

在程序「步驟 2： 啟用密碼同步化功能」中，步驟 6 與 7 之間應加入新編號的步驟，說明您必須從 [Directory Server 版本] 下拉式功能表中選取選項。
「Installing the Password Capture Plugin」一節應改為「Installing and Configuring the Password Capture Plugin」。此小節第一個備註的第一行結尾應為「then the plugin must be installed and configured on each master replica.」

本節的步驟 2 開頭應為「若是 Directory Server 5.2 P4 版或更早版本，請將外掛程式二進位檔 (idm-plugin.so) 置於執行 Directory Server 的主機上。」

下列段落與備註應加入「Installing and Configuring the Password Capture Plugin」小節的結尾：

啟用密碼擷取外掛程式之後，用戶端必須具有 userPassword 及 idmpasswd 屬性的「修改」權限，才可變更密碼。據此調整目錄樹狀結構中的存取控制資訊設定。如果目錄管理員以外的管理員能更新其他使用者的密碼，此選項通常為必要。

備註	每次變更外掛程式配置均須重新啟動 Directory Server。

---

Identity Manager 技術部署簡介

本小節包含用於「Sun Java^™ System Identity Manager Technical Deployment Overview」的新資訊與文件校正。

您可以使用 CSS 將 [使用者] 清單和 [資源] 清單表格中的欄寬設定為固定像素或百分比值。若要如此，請將以下的樣式類別 (已依預設加入註釋) 增加至 customStyle.css。然後您可以編輯這些值以滿足使用者的要求。

th#UserListTreeContent_Col0 {
  width: 1px;
}

th#UserListTreeContent_Col1 {
  width: 1px;
}

th#UserListTreeContent_Col2 {
  width: 50%;
}

th#UserListTreeContent_Col3 {
  width: 50%;
}

th#ResourceListTreeContent_Col0 {
  width: 1px;
}

th#ResourceListTreeContent_Col1 {
  width: 1px;
}

th#ResourceListTreeContent_Col2 {
  width: 33%;
}

th#ResourceListTreeContent_Col3 {
  width: 33%;
}

th#ResourceListTreeContent_Col4 {
  width: 33%;
}

透過按一下並拖曳欄標頭的右邊界可調整表格欄的大小。如果您將滑鼠置於欄標頭的右邊界之上，則游標將變更為水平調整箭頭。按住滑鼠左鍵並拖曳游標可調整欄的大小。(當您釋放滑鼠按鈕時調整大小結束。)

需要在一般使用者瀏覽位址列 (標籤) 中特別使用自訂 JavaScript 函數的客戶，必須使用 endUserNavigation 參照此表格。例如，document.forms['endUserNavigation'].elements。(ID-13769)
系統配置物件現在包含 security.delegation.historyLength 屬性，該屬性可控制已記錄之先前委託的數目。
存取檢閱面板和存取檢閱詳細報告均顯示記錄在稽核記錄中的檢閱實例。若不維護資料庫，則永遠不會修剪稽核記錄，並且檢閱的清單會增長。Identity Manager 具有將檢閱限制為在一定時間範圍內顯示的功能。若要變更此限制，您必須自訂 compliance/dashboard.jsp (對於面板) 與 sample/auditortasks.xml (對於詳細資訊報告)。(預設為僅顯示 2 年內的檢閱。)

若要限制存取檢閱面板中包含的檢閱，請按如下方式自訂 compliance/dashboard.jsp︰

在 Identity Manager IDE 或您選擇的編輯器中開啟 compliance/dashboard.jsp︰
請將行form.setOption("maxAge", "2y"); 變更為 form.setOption("maxAge", "6M"); 以限制過去 6 個月中執行的檢閱清單。修飾語為：
m － 分鐘
h － 小時
d － 天
w － 週
M － 月
y － 年

若要顯示稽核記錄中仍存在的所有檢閱，請對此行加入註釋。

若要限制存取檢閱詳細報告中包含的檢閱，

請在 IDE 或您選擇的編輯器中開啟 sample/auditortasks.xml。
依照指示將行：

<s>maxAge</s>
  <s>2y</s>

變更為

<s>maxAge</s>
  <s>6M</s>

以限制過去 6 個月的檢閱。套用與上述相同的修飾語。

每個定期存取檢閱均包含執行檢閱時建立的 UserEntitlemen 記錄集。這些記錄 (隨時間彙整) 可提供關於帳號的有用歷程資訊。但是，若要節省資料庫空間，請考慮刪除某些記錄。您可以透過執行 [伺服器作業] > [執行作業] > [刪除存取檢閱] 來刪除記錄。刪除某檢閱可增加指示已刪除此檢閱的新稽核記錄項目，並可刪除與此檢閱相關的所有記錄，以便節省資料庫空間。

在「變更登入頁面的背景影像」小節中，程式碼的第三行應為：

url(../images/other/login-backimage2.jpg)

程式碼範例 5-5 中包含的資訊應顯示在程式碼範例 5-4 中。
程式碼範例 5-4 應如下所示：

程式碼範例 5-4 自訂瀏覽標籤  

/* LEVEL 1 TABS */ .TabLvl1Div {   background-image:url(../images/other/dot.gif);   background-repeat:repeat-x;   background-position:left bottom;   background-color:#333366;   padding:6px 10px 0px; } a.TabLvl1Lnk:link, a.TabLvl1Lnk:visited {   display:block;   padding:4px 10px 3px;   font: bold 0.95em sans-serif;   color:#FFF;   text-decoration:none;   text-align:center; } table.TabLvl1Tbl td {   background-image:url(../images/other/dot.gif);   background-repeat:repeat-x;   background-position:left top;   background-color:#666699;   border:solid 1px #aba1b5; } table.TabLvl1Tbl td.TabLvl1TblSelTd {   background-color:#9999CC;   background-image:url(../images/other/dot.gif);   background-repeat:repeat-x;   background-position:left bottom;   border-bottom:none; } /* LEVEL 2 TABS */ .TabLvl2Div {   background-image:url(../images/other/dot.gif);   background-repeat:repeat-x;   background-position:left bottom;   background-color:#9999CC;   padding:6px 0px 0px 10px } a.TabLvl2Lnk:link, a.TabLvl2Lnk:visited{   display:block;   padding:3px 6px 2px;   font: 0.8em sans-serif;   color:#333;   text-decoration:none;   text-align:center; } table.TabLvl2Tbl div.TabLvl2SelTxt {   display:block;   padding:3px 6px 2px;   font: 0.8em sans-serif;   color:#333;   font-weight:normal;   text-align:center; } table.TabLvl2Tbl td {   background-image:url(../images/other/dot.gif);   background-repeat:repeat-x;   background-position:left top;   background-color:#CCCCFF;   border:solid 1px #aba1b5; } table.TabLvl2Tbl td.TabLvl2TblSelTd {   border-bottom:none;   background-image:url(../images/other/dot.gif);   background-repeat:repeat-x;   background-position:left bottom;   background-color:#FFF;   border-left:solid 1px #aba1b5;   border-right:solid 1px #aba1b5;   border-top:solid 1px #aba1b5;

程式碼範例 5.5 應為如下所示：

程式碼範例 5-5 變更標籤面板標籤

table.Tab2TblNew td {background-image:url(../images/other/dot.gif);background-repeat:repeat-x;background-position:left top;background-color:#CCCCFF;border:solid 1px #8f989f} table.Tab2TblNew td.Tab2TblSelTd {border-bottom:none;background-image:url(../images/other/dot.gif);background-repeat:repeat-x;background-position:left bottom;background-color:#FFF;border-left:solid 1px #8f989f;border-right:solid 1px #8f989f;border-top:solid 1px #8f989f}

在 Identity Manager 一般使用者介面中，水平瀏覽位址列由 enduser.xml 中的 [一般使用者瀏覽 UserForm] 所驅動。(ID-12415)

所有一般使用者頁面中內含的 userHeader.jsp，都包含其他名為 menuStart.jsp 的 JSP。此 JSP 會存取兩個系統配置物件：

ui.web.user.showMenu - 可開啟/關閉瀏覽功能表顯示 (預設值： true)
ui.web.user.menuLayout - 可決定功能表的顯示方式是含標籤的水平瀏覽位址列 (預設值： horizontal)，還是垂直的樹狀結構功能表 (vertical)

決定功能表顯示方式的 CSS 樣式類別位於 style.css 中。

Identity Manager 現在將 Lighthouse 帳號改稱為 Identity Manager 帳號。您可以使用自訂目錄置換此名稱變更。(ID-14918) 如需有關自訂目錄的資訊，請參閱「Identity Manager Technical Deployment Overview」中的「Enabling Internationalization」。

下列目錄項目可控制產品名稱的顯示：

PRODUCT_NAME=Identity Manager

LIGHTHOUSE_DISPLAY_NAME=[PRODUCT_NAME]

LIGHTHOUSE_TYPE_DISPLAY_NAME=[PRODUCT_NAME]

LIGHTHOUSE_DEFAULT_POLICY=預設 [PRODUCT_NAME] 帳號策略

Identity Manager 現在提供新的配置物件 (WorkItemTypes 配置物件)，可指定所有支援的工作項目類型名稱、副檔名與顯示名稱。(ID-15468) 此配置物件定義於 sample/workItemTypes.xml 中，此檔案由 init.xml 與 update.xml 匯入。

extends 屬性允許工作項目類型階層 (workItem 類型)。當 Identity Manager 建立工作項目時，若其 workItem 類型為下列項目，則會將工作項目委託給指定的使用者：

委託的類型
要委託之類型的從屬 workItem 類型之一。

workItem 類型	說明	顯示名稱
核准	擴充 WorkItem	核准
OrganizationApproval	擴充核准	組織核准
ResourceApproval	擴充核准	資源核准
RoleApproval	擴充核准	角色核准
驗證作業	WorkItem	存取檢閱驗證作業
檢閱	WorkItem	修正
accessReviewRemediation	WorkItem	存取

在「Changing Masthead Appearance」一節中所包含的程式碼範例，把第一行誤植為「MstDiv」。此行應為「.MstDiv」。(ID-16072)
「Customizing the Browser bar」一節已修訂如下：(ID-16073)

您現在可以使用自己選擇的可本土化字串替代瀏覽器標題列中的產品名稱字串。

匯入下列 XML 檔案：

程式碼範例 1 要匯入的 XML

<?xml version='1.0' encoding='UTF-8'?> <!DOCTYPE Configuration PUBLIC 'waveset.dtd' 'waveset.dtd'> <Configuration name='AltMsgCatalog'> <Extension> <CustomCatalog id='AltMsgCatalog' enabled='true'> <MessageSet language='en' country='US'> <Msg id='UI_BROWSER_TITLE_PROD_NAME_OVERRIDE'>Override Name</Msg>     </MessageSet> </CustomCatalog> </Configuration> </Extension>

使用 Identity Manager IDE 載入系統配置物件進行編輯。增加新的頂層屬性：

Name = customMessageCatalog

Type = string

Value = AltMsgCatalog

開啟 ui.web 通用物件並尋找 browserTitleProdNameOverride 屬性。將此值設定為 true。
儲存對系統配置物件所做的變更，然後重新啟動應用程式伺服器。
依預設，Identity Manager 的匿名註冊處理會先採用使用者提供的名字 (firstName)、姓氏 (lastName) 與 employeeId，產生 accountId 與 emailAddress 的值。(ID-16131)

由於匿名註冊處理可能會導致電子郵件地址與帳號 ID 中含有非 ASCII 字元，因此國際使用者應修改 EndUserRuleLibrary 規則，使 Identity Manager 在匿名註冊處理期間可維護 ASCII 帳號 ID 與電子郵件地址。

若要在匿名註冊處理期間維護 ASCII 的帳號 ID 與電子郵件地址值，請遵循下列兩個步驟：

按照以下說明，編輯 EndUserRuleLibrary 內的下列三項規則：

編輯此規則	進行此變更...
getAccountId	僅使用 employeeId (並移除 firstName 與 lastName)
getEmailAddress	僅使用 employeeId (移除 firstName、lastName 與「.」)
verifyFirstname	將長度檢查從 2 變更為 1，以允許只有一個字的亞洲名字 (單名)

編輯 [一般使用者匿名註冊完成] 表單，以移除 getAccountId 與 getEmailAddress 規則之呼叫中的 firstName 與 lastName 引數。
第 5 章「Private Labeling of Identity Manager」中關於如何自訂登入頁面的討論，應包含下列有關訊息金鑰的資訊。(ID-16702)

JSP 或 Identity Manager 元件	影響的介面	訊息金鑰
登入頁面標題	管理員與使用者	UI_LOGIN_TITLE_TO_RESOURCE UI_LOGIN_CHALLENGE
登入頁面子標題	管理員與使用者	根據登入模式選取金鑰： 忘記密碼、忘記使用者 ID、登入詰問。 UI_LOGIN_WELCOME3 UI_LOGIN_WELCOME4 UI_LOGIN_WELCOME5 UI_LOGIN_WELCOME6 UI_LOGIN_CHALLENGE_INFO
staticLogout.jsp and user/staticUserLogout.jsp	管理員與使用者	UI_LOGIN_TITLE
continueLogin.jsp	管理員	UI_LOGIN_IN_PROGRESS_TITLE UI_LOGIN_WELCOME

下列金鑰已停用：

UI_LOGIN_TITLE_LONG
UI_LOGIN_WELCOME2。

---

Identity Manager 工作流程、表單和檢視

本小節包含用於「Sun Java^™ System Identity Manager Workflows, Forms, and Views」的新資訊與文件校正。

您可以透過將以下欄位增加至表單來關閉使用者表單中的策略檢查：(ID-13346)

<Field name='viewOptions.CallViewValidators'>   <Display class='Hidden'/>     <Expansion>         <s>false</s>     </Expansion> </Field>

此欄位會置換 modify.jsp 的 OP_CALL_VIEW_VALIDATORS 欄位中的值。

Identity Manager [使用者介面] 頁面包括實作瀏覽位址列的第二個 XPRESS 表單。因此，顯示的頁面包含兩個 <FORM> 標籤，每個均具有不同的名稱屬性︰

<form name="endUserNavigation"> 與 <form name="mainform">

為避免這兩個 <FORM> 中的元素間發生可能的混淆，請確保使用如下的 name 屬性來辨別您正參照的 <FORM>：document.mainform 或 document.endUserNavigation。

第 1 章：Identity Manager 工作流程

Identity Manager 在 /sample/workflows 中提供下列新的範例存取檢閱工作流程。(ID-15393)

測試自動驗證作業

讓您無需建立 [驗證作業] 工作項目，即可測試新的檢視確定規則。此工作流程不會建立任何工作項目，且在啟動後不久即終止。它會讓所有「使用者軟體權利文件」物件維持在存取掃描加以建立時的相同狀態。使用 [終止] 與 [刪除] 選項，可清除以此工作流程執行存取掃描所產生的結果。

您可以視需要匯入此清除工作流程。(Identity Manager 不會自動加以匯入。)

Identity Manager 規範遵循會以工作流程做為應用程式的整合與自訂點。預設的規範遵循相關工作流程的說明如下。(ID-15447)

工作流程名稱	用途
修正	單一修正者處理單一規範遵循違規時的修正
存取檢閱修正	單一修正者處理單一 UserEntitlement 時的修正
驗證作業	單一驗證者處理單一 UserEntitlement 時的驗證作業
多重修正	單一規範遵循違規與多個修正者的修正
更新規範遵循違規	緩解規範遵循違規
啟動存取掃描	從存取檢閱作業啟動存取掃描作業
啟動軟體權利文件重新掃描	為單一使用者啟動存取掃描的重新掃描
啟動違規重新掃描	為單一使用者啟動稽核策略掃描的重新掃描

maxSteps 特性的描述已修訂如下：(ID-15618)

指定任何工作流程程序或子程序中允許的最多步驟數。一旦超過此數，Identity Manager 即會終止工作流程。這項設定可做為偵測工作流程是否陷於無窮迴圈的防護機制。工作流程本身設定的預設值為 0，亦即 Identity Manager 應從 SystemConfiguration 物件的 workflow.maxSteps 屬性中所儲存的全域設定，提取實際的設定值。此全域設定值為 5000。

本章現已包含程序檔作業執行程式作業的描述。(ID-15258)

根據提供的程序檔執行 Beanshell 或 JavaScript。您可以將其排程為定期執行的作業。例如，您可以使用它將儲存庫中的資料匯出至資料庫，以製作報告與分析。其優點包括無需編寫自訂 Java 程式碼即可編寫自訂作業。(自訂 Java 程式碼在每次升級時皆必須重新編譯並部署至每部伺服器，而因為程序檔內嵌於作業中，因此無需加以重新編譯或部署。)

第 2 章：工作流程服務

createView 階段作業工作流程服務的 [引數] 表格不正確。下表說明此服務中可用的引數。(ID-14201)

表 1

名稱	是否為必要項目	有效值	說明
op	是	createView
viewId	是		指定要建立的檢視類型。
options	否		指定檢視的特定選項。您可以傳遞的值需視所使用的檢視而定。最常用的是「使用者」檢視。 可用選項位於 session.UserViewConstants 中。較簡單的檢視應在 Viewer.java 檔案中宣告其選項常數。 工作流程第二常用的檢視可能是 ProcessViewer，接著是 PasswordViewer、DisableViewer、EnableViewer 與 RenameViewer。這些檢視所擁有的選項相對較少。

disableUser 工作流程服務的描述應闡明此服務的預設運作方式為停用 Identity Manager 帳號及資源帳號。(ID-14572) 如果不需要停用 Identity Manager 帳號，請傳遞下列引數：

<Argument name='doWaveset' value='false'/>

此方法之引數的討論應為：

名稱	是否為必要項目	有效值	說明
op	是	disableUser
accountId	是		識別要停用帳號的 Identity Manager 使用者。
doWaveset	否	true/false	若為 true，則會停用此使用者的 Identity Manager 帳號。若未提供，則預設為 true，且會停用帳號。
services	否		識別要停用的資源清單。如果未提供此引數，則會停用使用者的所有資源帳號。

此文件誤將 checkoutView 與 createView 方法的 viewId 屬性表示為「viewid」。請注意此參數的正確拼法為 viewId。(ID-15411)
本章現在包含有關鎖定與解除鎖定工作流程服務的下列描述。(ID-17070)

鎖定佈建工作流程服務

用以鎖定物件。

引數	是否為必要項目	說明
subject	否	表示呼叫的有效主旨。若未提供，Identity Manager 會使用作業的 subject。若此引數的值為無，Identity Manager 不會執行授權。
options	否	(對映) 選項名稱/選項值的組合對映。若未提供，則會使用以下指定的引數。若已提供，以下指定的任何引數會置換此選項對映中所包含的相同引數。
accountId	否	(字串) 識別要鎖定的 Identity Manager 使用者名稱。
adminName	否	(字串) 表示執行作業的管理員名稱。
loginAppName	否	(字串) 指定登入應用程式名稱。
op	是	有效值為 unlock

此方法會傳回空值。

解除鎖定工作流程服務

用以解除鎖定已鎖定的物件。

表 1

引數	是否為必要項目	說明
subject	否	(字串) 表示呼叫的有效主旨。若未提供，則會使用作業的主旨。若此引數的值為無，則不會執行授權。
options	否	(對映) 成對選項名稱/選項值的值對映。若未提供，Identity Manager 會使用以下指定的引數。若已提供，以下指定的任何引數會置換此選項對映中所包含的相同引數。
accountId	否	(字串) 識別要解除鎖定的 Identity Manager 使用者名稱。
adminName	否	(字串) 表示執行作業的管理員名稱。
loginAppName	否	(字串) 指定登入應用程式名稱。
doLighthouse	否	(布林值) 表示是否要解除鎖定 Identity Manager 帳號。
doResources	否	(布林值) 表示是否要解除鎖定使用者的資源。
doAuthenticators	否	(布林值) 若為 true，則會解除鎖定所有傳遞認證。
op	是	有效值為 unlock。

此方法會傳回內含作業結果的 WavesetResult。

removeDeferredTask 階段作業工作流程服務的描述已修訂如下：(ID-17302)

用以從 Identity Manager 物件移除延遲作業。Identity Manager 會確保已啟動工作流程的管理員有移除物件的授權。

表 2 removeDeferredTask 方法引數

名稱	是否為必要項目	有效值	說明
type	否	有效值為類型清單	指定將從哪個物件類型移除延遲作業。若未提供，此類型預設為 user。
name	是		指定將從哪個物件類型移除延遲作業。
task			指定要移除的 TaskDefinition 名稱。

第 3 章：Identity Manager 表單

本章現在包含有關在稽核與規範遵循程序中所使用之表單的以下說明。(ID-15447、16240)

Identity Manager 稽核與規範遵循表單提供獨特的 Identity Manager 表單功能： 您可以針對各個使用者與各個組織指定表單。針對各個使用者指定表單可提升驗證作業與修正處理的效率。

例如，您可以指定 Identity Manager 顯示的使用者表單，以在存取檢閱、修正或規範遵循違規修正環境中編輯使用者。您可以在使用者或組織層級指定此使用者表單。當 Identity Manager 在存取檢閱重新掃描或存取檢閱修正環境中重新掃描使用者時，此重新掃描作業會遵守 AccessScan 中所定義的稽核策略。您可以對此定義，並納入連續規範遵循稽核策略。

備註	若要配置稽核元件，您必須是具有「配置稽核」與「Auditor 管理員」權能的 Identity Manager 管理員。

相關資訊

請參閱「Identity Manager Administration」，以瞭解 Identity Manager 稽核與規範遵循功能的支援概念，以及實作預設稽核與規範遵循功能的基本程序。
請參閱「Identity Manager 部署工具」中的「Identity Manager 規則」，以大致瞭解這些規則以及修正規則的特定資訊。

有關稽核相關表單處理

如同 userForm 與 viewUserForm，您可以對特定使用者或某個組織設定表單，之後該名使用者 (或組織中的所有使用者) 將使用該表單。如果您同時對使用者與組織設定表單，則會優先使用對使用者設定的表單。(Identity Manager 在查詢表單時，會向上搜尋組織。)

稽核相關表單的運作方式與「使用者表單」及「檢視使用者表單」的運作方式相同： 各個使用者可指定要使用的特定表單，而特定使用者應使用的表單將取決於使用者的組織。

指定使用者表單

[稽核策略清單] 與 [存取掃描清單] 表單支援 fullView 特性，該特性可讓表單顯示清單中所有元素的大量相關資料。將此策略設為 false 可改善清單檢視器的效能。

[存取核准清單] 表單有個名為 includeUE 的類似特性，而 [修正清單] 表單則使用 includeCV 特性。

預設的稽核相關表單

下表指出 Identity Manager 隨附的預設稽核相關表單。

表 3

表單名稱	對映名稱	由使用者控制	一般用途
存取核准清單	accessApprovalList		顯示驗證作業工作項目的清單
存取檢閱刪除確認	accessReviewDeleteConfirmation		確認要刪除存取檢閱
存取檢閱中斷確認	accessReviewAbortConfirmation		確認要終止存取檢閱
存取檢閱面板	accessReviewDashboard		顯示所有存取檢閱的清單
存取檢閱修正表單	accessReviewRemediationWorkItem	是	顯示每個基於 UE 的修正工作項目
存取檢閱摘要	accessReviewSummary		顯示特定存取檢閱的詳細資訊
存取掃描表單	accessScanForm		顯示或編輯存取掃描
存取掃描清單	accessScanList		顯示所有存取掃描的清單
存取掃描刪除確認	accessScanDeleteConfirmation		確認要刪除存取掃描
存取核准清單	attestationList	是	顯示所有擱置驗證作業的清單
驗證作業表單	attestationWorkItem	是	顯示每個驗證作業工作項目
UserEntitlementForm	userEntitlementForm		顯示 UserEntitlement 的內容
UserEntitlement 摘要表單	userEntitlementSummaryForm
違規詳細資訊表單	violationDetailForm		顯示規範遵循違規的詳細資訊
修正清單	remediationList	是	顯示修正工作項目的清單
稽核策略清單	auditPolicyList		顯示稽核策略的清單
稽核策略刪除確認表單	auditPolicyDeleteConfirmation		確認要刪除稽核策略
衝突違規詳細資訊表單	conflictViolationDetailsForm		顯示 SOD 違規矩陣
規範遵循違規摘要表單	complianceViolationSummaryForm
修正表單	reviewWorkItem	是	顯示某項規範遵循違規

為何自訂這些表單？

驗證者與修正者可指定表單，僅顯示所需的詳細資料，以更有效率的方式驗證與修正。例如，資源驗證者可以在清單表單中顯示特定資源特有的屬性，以使這些屬性進行驗證，而不需要查看各個特定工作項目。由於此表單會隨相關的資源類型 (及其屬性) 而異，因此根據每個驗證者自訂表單是很合理的。

每個驗證者在驗證期間，可從唯一的觀點查看軟體權利文件。例如，idmManager 驗證者可能會以綜覽的方式查看使用者軟體權利文件，但資源驗證者可能僅對特定資源的資料感興趣。讓每個驗證者自訂驗證清單表單與驗證工作項目表單，僅擷取與顯示其所需要的資訊，可提升該產品介面的效率。

掃描作業變數

[稽核策略掃描作業] 與 [存取掃描作業] 作業定義均可指定初始化作業時所使用的表單。這些表單中含有可控制大部分 (但非全部) 掃描作業變數的欄位。

變數名稱	預設值	用途
maxThreads	5	識別單一掃描程式在同一時間的同步運作使用者數。如果要掃瞄的使用者在速度極慢的資源上擁有帳號，則增加此值或許可提升流量。
userLock	5000	指出嘗試對要掃描的使用者取得鎖定所花費的時間 (以毫秒為單位)。若有數個同步運作的掃描正在掃描相同的使用者，且使用者的資源速度緩慢，則增加此值可減少鎖定錯誤，但整體掃描速度亦會降低。
scanDelay	0	指出發出新掃描執行緒之間的延遲時間 (以毫秒為單位)。此值可設為正值，以強制掃描程式減少 CPU 的耗用量。

Disable 元素的描述已修訂如下：(ID-14920)

計算布林值。若為 true，則在目前表單處理期間將忽略該欄位及其所有巢式欄位。

請不要在 Disable 元素中建立可能長時間執行的活動。這些表示式會在每次重新計算表單時執行。您應改用不會隨此計算頻繁執行的其他表單元素。

「Inserting Javascript into a Form」一節的內容有錯，其說明您可以使用 <JavaScript> 標籤在表單中納入 JavaScript (ID-15741)。您應改用下列方式納入 JavaScript：

<Field>
   <Expansion>
      <script>
............

備註	「停用」表單元素將無法使用 display.session 和 display.subject 變數。

現在可將警告 (WARNING)、錯誤 (ERROR) 或參考性 (OK) 等警示訊息插入 XPRESS 表單中。(ID-14540、BID-14953)

備註	雖然此範例說明如何將警告 ErrorMessage 物件插入表單中，但您仍可指定不同的嚴重性層級。

使用 Identity Manager IDE 開啟要增加警告的表單。
將 <Property name='messages'> 增加至主要 EditForm 或 HtmlPage 顯示類別上。
從下列範例程式碼增加 <defvar name='msgList'> 程式碼區段。
針對可識別 [警示] 方塊中程式碼範例字串所顯示的訊息文字，取代其訊息金鑰：

<message name='UI_USER_REQUESTS_ACCOUNTID_NOT_FOUND_ALERT_VALUE >

儲存並關閉檔案。

程式碼範例

<Display class='EditForm'>    <Property name='componentTableWidth' value='100%'/>    <Property name='rowPolarity' value='false'/>    <Property name='requiredMarkerLocation' value='left'/>    <Property name='messages'>      <ref>msgList</ref>    </Property> </Display> <defvar name='msgList'>   <cond>     <and>       <notnull>         <ref>username</ref>       </notnull>       <isnull>         <ref>userview</ref>       </isnull>     </and>     <list>       <new class='com.waveset.msgcat.ErrorMessage'>         <invoke class='com.waveset.msgcat.Severity' name='fromString'>            <s>warning</s>         </invoke>         <message name='UI_USER_REQUESTS_ACCOUNTID_NOT_FOUND_ALERT_VALUE'>           <ref>username</ref>         </message>       </new>     </list>   </cond> </defvar>

若要顯示警告以外的嚴重性層級，請將前述範例中的 <s>warning</s> 替代為下列兩個值之一：

error ─ 使 Identity Manager 呈現附有紅色「錯誤」圖示的 InlineAlert。
ok ─ 針對可能指出成功或其他非嚴重訊息的訊息，產生附有藍色參考性圖示的 InlineAlert。

Identity Manager 以附有警告圖示的 InlineAlert 加以呈現

<invoke class='com.waveset.msgcat.Severity' name='fromString'>

   <s>warning</s>

</invoke>

其中，warning 亦可為 error 或 ok。

本章現已包含下列有關 Hidden 顯示元件的描述：

Hidden 顯示類別與 <input type=hidden’/> HTML 元件相對應。由於沒有可靠的方式可串列化與取消串列化多值資料類型，因而此元件僅支援單值資料類型。(ID-16904)

若有需要顯示為字串的清單，則必須明確地將其轉換為字串。例如：

代碼範例 0-1 顯示內含 Hidden 顯示元件的多值資料類型

<Field name='testHiddenFieldList' >      <Display class='Hidden'/ >      <Derivation>            <invoke name='toString'> <List> <String>aaaa</String> <String>bbbb</String> </List> </invoke>      </Derivation> </Field>

您現在可設定 [一般使用者介面變更密碼表單] 中的 RequiresChallenge 特性，以要求使用者重新輸入其目前的密碼，然後再變更其帳號的密碼。如需如何設定此特性的範例，請參閱 enduser.xml 中的「基本變更密碼表單」。(ID-17309)

第 4 章：Identity Manager 檢視

Org 檢視的描述已更新如下：(ID-13584)

用於指定已建立的組織類型及處理的選項。

一般屬性

下表列出 Org 檢視的高階屬性。

名稱	可否編輯？	資料類型	是否為必要項目？
orgName	讀取	字串	系統產生
orgDisplayName	讀/寫	字串	是
orgType	讀/寫	字串	否
orgId	讀取	字串	系統產生
orgAction	寫入	字串	否
orgNewDisplayName	寫入	字串	否
orgParentName	讀/寫	字串	否
orgChildOrgNames	讀取	清單	系統產生
orgApprovers	讀/寫	清單	否
allowsOrgApprovers	讀取	清單	系統產生
allowedOrgApproverIds	讀取	清單	系統產生
orgUserForm	讀/寫	字串	否
orgViewUserForm	讀/寫	字串	否
orgPolicies	讀/寫	清單	否
orgAuditPolicies	讀/寫	清單	否
renameCreate	讀/寫	字串	否
renameSaveAs	讀/寫	字串	否

orgName

識別組織的 UID。由於組織可以有相同的簡稱卻有不同的父組織，因此該值與大多數的檢視物件名稱不同。

orgDisplayName

指定組織的簡稱。此值僅供顯示之用，不需要是唯一值。

orgType

定義組織類型，其允許的值是 junction 或 virtual。junction 或 virtual 類型以外的組織沒有值。

orgId

指定 Identity Manager 內組織的唯一識別 ID。

orgAction

僅支援目錄結合、虛擬組織與動態組織。允許的值是 refresh。當組織是目錄結合或虛擬組織時，重新整理作業的運作方式會視 orgRefreshAllOrgsUserMembers 的值而定。

orgNewDisplayName

在重新命名組織時，指定新的簡稱。

orgParentName

識別父組織的完整路徑名稱。

orgChildOrgNames

列出所有直接與間接子組織的 Identity Manager 介面名稱。

orgApprovers

列出核准此組織中已增加或修改的使用者時，所需的 Identity Manager 管理員。

allowedOrgApprovers

列出使用者名稱，以充當此組織中已增加或修改之使用者的核准人。

allowedOrgApproverIds

列出使用者 ID，以充當此組織中已增加或修改之使用者的核准人。

orgUserForm

指定建立或編輯使用者時，此組織的成員使用者所使用的 userForm。

orgViewUserForm

指定檢視使用者時，此組織的成員使用者所使用的檢視使用者表單。

orgPolicies

識別套用至此組織的所有成員使用者之策略。此為依類型字串鍵入的物件清單： 每個策略物件包含下列使用 orgPolicies[<type>] 前綴的檢視屬性。<type> 表示策略類型 (例如 Lighthouse 帳號)。

policyName -- 指定名稱
id -- 表示 ID
implementation -- 表示實作此策略的類別。

orgAuditPolicies

指定適用於此組織的所有成員使用者之稽核策略。

renameCreate

設為 true 時，會複製此組織並使用 orgNewDisplayName 的值建立新組織。

renameSaveAs

設為 true 時，會使用 orgNewDisplayName 的值重新命名此組織。

目錄結合與虛擬組織屬性

名稱	可否編輯？	資料類型	是否為必要項目？
orgContainerId	讀取	字串	系統產生
orgContainerTypes	讀取	List	系統產生
orgContainers	讀取	List	系統產生
orgParentContainerId	讀取	字串	系統產生
orgResource	讀/寫	字串	是 (如果是目錄結合或虛擬組織)
orgResourceType	讀取	字串	系統產生
orgResourceId	讀取	字串	系統產生
orgRefreshAllOrgsUserMembers	寫入	字串	否

orgContainerId

指定相關 LDAP 目錄容器的 dn (例如 cn=foo,ou=bar,o=foobar.com)。

orgContainerTypes

列出所允許的資源物件類型 (可包含其他資源物件)。

orgContainers

列出 Identity Manager 介面所用的資源基底容器，以顯示可從中進行選擇的清單。

orgParentContainerId

指定相關父 LDAP 目錄容器的 dn (例如 ou=bar,o=foobar.com)。

orgResource

指定用以同步化目錄結合與虛擬組織的 Identity Manager 資源名稱 (例如 West Directory Server)。

orgResourceType

表示同步化目錄結合與虛擬組織的來源 Identity Manager 資源類型 (例如 LDAP)。

orgResourceId

指定用以同步化目錄結合與虛擬組織的 Identity Manager 資源 ID。

orgRefreshAllOrgsUserMembers

若為 true 且 orgAction 的值為 refresh，即會針對所選組織與所有子組織，將 Identity 組織使用者成員身份與資源容器使用者成員身份同步化。若為 false，則不會同步化資源容器使用者成員身份，僅會針對所選組織與所有子組織，將資源容器與 Identity 組織同步化。

動態組織屬性

名稱	可否編輯？	資料類型	是否為必要項目？
orgUserMembersRule	讀/寫	字串	否
orgUserMembersRuleCacheTimeout	讀/寫	字串	否

orgUserMembersRule

(依名稱或 UID) 識別 authType 為 UserMembersRule 的規則，該規則會在執行階段進行計算以決定使用者成員身份。

orgUserMembersCacheTimeout

指定 orgUserMembersRule 所傳回的使用者成員若要快取，快取要經過多久才逾時 (以毫秒為單位)。值 0 表示無快取。

有關使用者檢視的討論，現已納入下列 accounts[Lighthouse].delegates 屬性的討論：(ID-15468)

accounts[Lighthouse].delegates

列出以 workItemType 編製索引的委託物件，其中每個物件各指定特定工作項目類型的委託資訊

若 delegatedApproversRule 是 delegateApproversTo 的值，請指定選取的規則。
若 manager 是 delegateApproversTo 的值，則此屬性無值。

accounts[Lighthouse].delegatesHistory

列出委託物件 (以 0 到 n 為索引)，其中，n 是委託歷程記錄物件目前的數目至委託歷程記錄的深度。

此屬性有唯一的屬性： selected，此為布林值，可指出目前選取的委託歷程記錄物件。

accounts[Lighthouse].delegatesOriginal

以 workItemType 編製索引的委託物件原始清單，跟在取得作業或簽出檢視作業後面。

所有 accounts[Lighthouse].delegates* 屬性皆具有下列屬性：

accounts[Lighthouse].delegate* 屬性的屬性	說明
workItemType	識別要委託的 workItem 類型。如需 workItem 類型的有效清單，請參閱此文件附錄的「Identity Manager Technical Deployment Overview」小節中有關「委託物件模型」的說明。
workItemTypeObjects	列出使用者據以委託未來 workItem 核准請求之特定角色、資源或組織的名稱。當 workItemType 的值為 roleApproval、resourceApproval 或 organizationApproval 時，此屬性即有效。 若未指定，此屬性依預設會對以此使用者為核准人的所有角色、資源或組織，指定未來 workItem 請求的委託。
toType	受委託類型。有效值如下： manager delegateWorkItemsRule selectedUsers
toUsers	列出受委託之使用者的名稱 (若 toType 為 selectedUsers)。
toRule	指定規則名稱，以便在評估後決定受委託使用者集 (若 toType 為 delegateWorkItemsRule)。
startDate	指定委託開始的日期。
endDate	指定委託結束的日期。

從表單參照 DelegateWorkItems 檢視物件

下列程式碼範例說明如何從表單參照 DelegateWorkItems 檢視委託物件：

<Field name='delegates[*].workItemType'>

<Field name='delegates[*].workItemTypeObjects'>

<Field name='delegates[*].toType'>

<Field name='delegates[*].toUsers'>

<Field name='delegates[*].toRule'>

<Field name='delegates[*].startDate'>

<Field name='delegates[*].endDate'>

其中，支援的索引值 (*) 為 workItemType 值。

本章現已包含下列有關使用者軟體權利文件檢視的說明：

用以建立及修改 UserEntitlement 物件。

此檢視具有下列高階屬性：

名稱	可否編輯？	類型	是否為必要項目？
name		字串	是
status		字串	是
user		字串	是
userId		字串	是
attestorHint		字串	否
userView		GenericObject	是
reviewInstanceId		字串	是
reviewStartDate		字串	是
scanId		字串	是
scanInstanceId		字串	是
approvalWorkflowName		字串	是
organizationId		字串	是
attestorComments.name		字串	否
attestorComments.attestor		字串	否
attestorComments.time		字串	否
attestorComments.timestamp		字串	否
attestorComments.status			否

name

識別使用者軟體權利文件 (依唯一識別碼)。

status

指定使用者軟體權利文件物件的狀態。有效的狀態包含 PENDING、ACCEPTED、REJECTED、REMEDIATING 和 CANCELLED。

user

識別此軟體權利文件的相關 WSUser 之名稱。

userId

指定相關 WSUser 的 ID。

attestorHint

向驗證者顯示由 [檢視確定規則] 提供的 (字串) 提示。此提示可當做規則給驗證者的「忠告」。

userView

包含使用者軟體權利文件掃描程式所擷取的使用者檢視。根據存取掃描物件的配置，此檢視可包含多個資源帳號，或不包含任何資源帳號。

reviewInstanceId

指定 PAR 作業實例的 ID。

reviewStartDate

表示 PAR 作業的 (字串) 開始日期 (使用標準格式)。

scanId

指定 AccessScan 作業定義的 ID。

scanInstanceId

指定 AccessScan 作業實例的 ID。

approvalWorkflowName

表示要執行以進行核准的工作流程名稱。此值來自存取掃描作業定義。

organizationId

指定掃描時 WSUser 組織的 ID。

attestorComments

列出軟體權利文件的驗證記錄。每個驗證記錄各表示對軟體權利文件執行的相關動作或陳述式，包含核准、拒絕與重新掃描。

attestorComments[timestamp].name

用以識別清單中此元素的時間戳記。

attestorComments[timestamp].attestor

識別在軟體權利文件上加入註釋的驗證者之 WSUser 名稱。

attestorComments[timestamp].time

指定驗證者驗證此記錄的時間。可能與時間戳記不同。

attestorComments[timestamp].status

表示驗證者指定的狀態。可以是任何字串，但一般會是表示驗證者所採取動作的字串；例如，核准、拒絕、重新掃描、修正。

attestorComments[name].comment

包含驗證者加入的註釋。

以下使用者檢視屬性已停用。(ID-15468)
accounts[Lighthouse].delegateApproversTo
accounts[Lighthouse].delegateApproversSelected
accounts[Lighthouse].delegateApproversStartDate
accounts[Lighthouse].delegateApproversEndDate
[委託核准人] 檢視已停用，但仍可用於編輯 [workItemType] 為 approval 的委託物件。

現有 [使用者檢視] 的 accounts[Lighthouse].delegate* 屬性已停用，且不再透過 [使用者檢視] 提供。請改用新的 accounts[Lighthouse].delegates 檢視。

第 6 章：XPRESS 語言

本章已大幅更新。請參閱與此版本說明位於相同目錄且名為 XPRESS 的 .pdf。
isTrue 函數的描述應修訂如下：(ID-17078)

使用時機為當參照的布林值以 true 與 false 字串表示，而非數字 0 與 1 時。採用一個引數。

0 - 此引數邏輯上為 false。下列值會視為 true： 字串 true、布林值 true 與非零整數。(其他值會視為 false。)
1 - 此引數邏輯上為 true。

範例

下列表示式會傳回 0。

<isTrue>
   <s>false</s>
</isTrue>

第 8 章：HTML 顯示元件

本章已增加下列有關 MultiSelect 元件之替代項目的討論：

使用 MultiSelect 元件 (applet 或 HTML 版本) 顯示眾多管理員角色可能效率極差。Identity Manager 的管理及顯示管理員角色方式更具彈性： objectSelector 欄位範本。(ID-15433)

「可延伸選取程式庫」(位於 sample/formlib.xml 中) 含有相關範例，說明如何使用objectSelector 欄位範本，搜尋使用者可選取的管理員角色名稱。

程式碼範例 objectSelector 欄位範本範例

<Field name='scalableWaveset.adminRoles'>   <FieldRef name='objectSelector'>      <Property name='selectorTitle' value='_FM_ADMIN_ROLES'/>      <Property name='selectorFieldName' value='waveset.adminRoles'/>      <Property name='selectorObjectType' value='AdminRole'/>      <Property name='selectorMultiValued' value='true'/>      <Property name='selectorAllowManualEntry' value='true'/>      <Property name='selectorFixedConditions'>        <appendAll>          <new class='com.waveset.object.AttributeCondition'>            <s>hidden</s>            <s>notEquals</s>            <s>true</s>          </new>          <map>            <s>onlyAssignedToCurrentSubject</s>            <Boolean>true</Boolean>          </map>        </appendAll>      </Property>      <Property name='selectorFixedInclusions'>        <appendAll>          <ref>waveset.original.adminRoles</ref>        </appendAll>      </Property>   </FieldRef> </Field>

如何使用 objectSelector 範例程式碼

從 Identity Manager IDE 開啟 [管理員程式庫 UserForm] 物件。
在此表單中加入下列程式碼：

<Include>

   <ObjectRef type='UserForm' name='Scalable Selection Library'/>

</Include>

在 AdministratorFields 欄位內，選取 accounts[Lighthouse].adminRoles 欄位。
將整個 accounts[Lighthouse].adminRoles 替代為下列參照：

<FieldRef name='scalableWaveset.adminRoles'/>

儲存物件。

當您日後編輯使用者及選取 [安全性] 標籤時，Identity Manager 即會顯示自訂表單。按一下 [...]，以開啟 Selector 元件並顯示搜尋欄位。使用此欄位搜尋以文字字串開頭的管理員角色，並將欄位值設為一或多個值。

若要復原表單，請從 [配置] > [匯入交換檔案] 匯入 $WSHOME/sample/formlib.xml。

如需其他範例，說明如何使用 objectSelector 範本來管理多物件環境中的資源與角色，請參閱 sample/formlib.xml 中的「可延伸選取程式庫」。

有關 TabPanel 元件的討論現已納入下列 validatePerTab 特性的描述：(ID-15501)

validatePerTab ─ 設為 true 時，Identity Manager 會在使用者切換至不同標籤時執行驗證表示式。

有關 MultiSelect 元件的討論現已納入下列 displayCase 特性的描述：(ID-14854)

displayCase ─ 將各個 allowedValues 對映至其大寫或小寫的等效項目。採用下列兩個值之一： 大寫與小寫。

本章已增加下列有關 Menu 元件的討論：(ID-13043)

包含三個類別： Menu、MenuBar 與 MenuItem。

Menu 是指整個元件。
MenuItem 為尾節點或節點，對應於第一個或第二個層級上的標籤。
MenuBar 對應於含有 MenuBar 或 MenuItems 的標籤。

Menu 包含下列特性：

layout ─ 具有 horizontal 或 vertical 值的字串。值 horizontal 值會產生附有標籤的水平瀏覽位址列。值 vertical 值會使功能表呈現為附有一般節點配置的垂直樹狀結構功能表。
stylePrefix ─ CSS 類別名稱的字串前綴。在 Identity Manager 的 [一般使用者] 頁面中，此值為 User。

MenuBar 包含下列特性：

default ─ 對應於 MenuBar 的 MenuItem URL 特性之一的字串 URL 路徑。此路徑可控制在按一下 MenuBar 標籤時，依預設哪個子標籤要顯示為 selected。

MenuItem 包含下列特性：

containedUrls ─ 與 MenuItem「相關」之 JSP 的 URL 路徑清單。若顯示了任何 containedUrls JSP，目前的 MenuItem 將呈現為「selected」。其中一例就是從請求啟動頁面中啟動工作流程後，所顯示的請求啟動結果頁面。

您可以對 MenuBar 或 MenuItem 設定下列特性：

title ─ 指定在標籤或樹狀結構尾節點中顯示為超連結的文字字串
URL ─ 指定標題超連結的字串 URL 路徑

下列 XPRESS 範例會建立附有兩個標籤的功能表。第二個標籤中含有兩個子標籤：

程式碼範例 Menu、MenuItem 與 MenuBar 元件的實作  

<Display class='Menu'/> <Field>    <Display class='MenuItem'>      <Property name='URL' value='user/main.jsp'/>      <Property name='title' value='Home' />    </Display> </Field> <Field>    <Display class='MenuBar' >      <Property name='title' value='Work Items' />      <Property name='URL' value='user/workItemListExt.jsp'/>    </Display>     <Field>        <Display class='MenuItem'>          <Property name='URL' value='user/workItemListExt.jsp'/>          <Property name='title' value='Approvals' />        </Display>     </Field>     <Field>       <Display class='MenuItem'>          <Property name='URL' value='user/otherWorkItems/listOtherWorkItems.jsp'/>          <Property name='title' value='Other' />       </Display>     </Field> </Field>

本章已增加下列有關 ListEditor 元件的討論：(ID-16518)

ListEditor

顯示可編輯的字串清單。

表 4 ListEditor 元件的特性  

特性	說明
listTitle	(字串) 指定 Identity Manager 置於 ListEditor 圖形化說明旁的標籤。
pickListTitle	(字串) 指定 picklist 元件上要使用的標籤。
valueMap	(對映) 針對清單中的值，指定對映的顯示標籤。
allowDuplicates	(布林值) true 值表示 Identity Manager 允許在受管清單中有重複項目。
allowTextEntry	(布林值) true 值表示 Identity Manager 會顯示文字輸入方塊及 [增加] 按鈕。
fixedWidth	(布林值) true 值表示元件應為固定寬度 (與 Multiselect 元件的情況相同)。
ordered	(布林值) true 值表示值的順序很重要。
sorted	(布林值) true 值表示應在挑選清單中排序這些值。如果這些值本身亦可有多個值且未排序，Identity Manager 也會排序此值清單。
pickValueMap	(對映) 針對清單中的值，指定對映的顯示標籤。
pickValues	(清單) 指定 picklist 元件中的可用值。若為空值，就不會顯示 picklist。
height	(整數) 指定喜好的高度。
width	(整數) 指定喜好的寬度。可讓容器用做在其中顯示此項目之表格儲存格的特性。

範例

下列來自「標籤式使用者表單」的範例，顯示使用 ListEditor 顯示類別的表單欄位

<Field name='accounts[Sim1].Group'>      <Display class='ListEditor' action='true'>         <Property name='listTitle' value='stuff'/>         <Property name='allowTextEntry'>             <Boolean>true</Boolean>         </Property>         <Property name='ordered'>             <Boolean>true</Boolean>         </Property>      </Display>      <Expansion>          <ref>accounts[Sim1].Group</ref>      </Expansion> </Field>

此程式碼片段會建立欄位，讓客戶在此為使用者加入或移除群組。

備註	此顯示類別通常需要「字串清單」當作輸入。若要強制在「字串清單」中輸入單一「字串」： <Expansion>    <appendAll><ref>accounts[Sim1].Group</ref></appendAll> </Expansion>

Text 顯示元件包含新的自動完成特性。(ID-17310) 將自動完成特性設定為 off 可避免瀏覽器企圖在使用者電腦上儲存使用者憑證。

您可以增加此顯示特性，以在 XPRESS 的輸入欄位中實作此功能。使用 off 以外的值可避免 Identity Manager 在顯示的 HTML 表單中顯示自動完成屬性 (等同於未設定特性)。

啟用 Identity Manager 登入頁面的自動完成功能

您可以將 ui.web.disableAutocomplete 系統配置物件變更為 true，以啟用 Identity Manager 登入頁面的此功能。Identity Manager 登入頁面包含 login.jsp、continueLogin.jsp、user/login.jsp 與 user/continueLogin.jsp。

上述頁面以外的 Identity Manager 登入表單會從 XPRESS 產生，且您必須編輯這些表單才能使用新的顯示特性。這些位於範例目錄中的表單預設會將此特性標示為註釋。

匿名使用者登入
問題登入表單
一般使用者匿名註冊驗證表單
一般使用者匿名註冊完成表單
查詢使用者 ID

附錄 A：表單與程序對映

此「表單與程序對映」附錄，其更新版已納入與此版本說明相同的目錄中。
您可以透過對映名稱存取規範遵循的專屬作業。(ID-15447)

程序名稱	對映名稱	說明
存取檢閱	accessReview	執行存取檢閱
存取掃描	accessReviewScan	執行存取掃描
存取檢閱重新掃描	accessReviewRescan	執行存取重新掃描
稽核策略重新掃描	auditPolicyRescan	執行稽核策略重新掃描
中斷存取檢視	abortAccessReview	終止存取檢閱
刪除存取檢閱	deleteAccessReview	刪除存取檢閱
回復存取檢閱	recoverAccessReview	從稽核記錄回復遺失的存取檢閱狀態物件

---

Identity Manager 部署工具

本節將更正及補充「Identity Manager Deployment Tools」文件：

第 1 章：使用 Identity Manager IDE

「Palette Window」與「Properties Window」小節應包含這兩節第一段中所提供之元素清單內的 GenericObjects，如下所示：(ID-14817)
[調色板] 視窗 (如圖 1-11) 可讓您「拖放」元素至 [編輯器] 視窗中顯示的電子郵件範本、表單、GenericObjects、程式庫、工作流程程序或工作流程子程序物件中，而不需要鍵入 XML。
Identity Manager IDE 的 [特性] 視窗包含與電子郵件範本、表單、GenericObjects、程式庫、規則、工作流程程序與工作流程子程序物件相關的 XML 元素特性表。您可以使用此特性表檢視並編輯選取的物件特性，包含物件名稱、檔案大小、修改時間、結果資訊等。
Identity Manager 專案中的數個檔案已經針對 7.1 Update 1 變更；如果修改了任何這些檔案，則必須在將 Identity Manager IDE 外掛程式 7.1 版升級為 7.1 Update 1 版時，手動合併這些變更。

下列指示描述將 Identity Manager IDE 外掛程式 7.1 版專案升級為 7.1 Update 1 版 (及更高版本) 的「最佳實作」。(ID-16850)

將 7.1 版專案升級為 7.1 Update 1 版

本節描述將 Identity Manager 專案的 Identity Manager IDE 外掛程式 7.1 版升級為 7.1 Update 1 版 (及更高版本) 之「最佳實作」程序。

備註	本節中的指示僅會描述如何升級 Identity Manager IDE 外掛程式版本。這些指示並不會說明更複雜的 Identity Manager 升級程序。 若要升級目前的 Identity Manager 版本，請參閱「Identity Manager Upgrade」中所提供的指示。

下列 Identity Manager 專案檔案在 Identity Manager 7.1 Update 1 版中已變更：

build.xml
nbproject/project.xml
build-netbeans.xml
custom-init.incremental.xml
build-config.properties
custom-init-common.xml
custom-init-full.xml

若修改了上述任何檔案，則必須在將 Identity Manager IDE 外掛程式 7.1 版升級為 7.1 Update 1 版 (或更高版本) 時，手動合併這些變更。

備註	build.xml、build-netbeans.xml 與 nbproject/project.xml 檔案會隨版本變更，您應儘可能避免變更這些檔案。

本節描述升級 Identity Manager 專案的 Identity Manager IDE 外掛程式版本之「最佳實作」程序。

備註	本節中的程序僅會描述如何升級 Identity Manager IDE 外掛程式版本。這些指示並不會說明如何升級 Identity Manager，此升級程序需要使用更多程序。 例如，若要使用透過 Identity Manager IDE 外掛程式 7.1 版及 7.1 Update 1 版外掛程式建立的專案，請使用下列指示。 除非您使用「Identity Manager Upgrade」中提供的指示進行升級，否則 Identity Manager 版本會維持在 7.1。

此升級程序假設將專案簽入來源控制，且這些指示分為兩部分：

部署小組某成員所要執行的步驟
其他部署小組成員所要執行的步驟

部署小組某成員所要執行的步驟

部署小組中的某成員應執行下列步驟：

關閉 NetBeans。
刪除 .netbeans 目錄。
安裝新的 nbm。
啟動 NetBeans。
開啟專案。

隨即會顯示一則訊息通知您有數個專案檔案 (例如 build.xml 與 build-netbeans.xml) 必須升級，並在修改了任何檔案時，指示您必須合併。

請記下必須合併的檔案，然後按一下 [是]。

隨即會顯示一則訊息通知您升級成功。

如果您有任何必須合併的檔案，請手動合併這些檔案。

每個檔案的副本會命名為 <filename>.bak，因此可以用 diff 與新的檔案版本比較，以決定需要合併的檔案。

完成之後，若所有檔案均已備份且可使用，請將所有變更或加入的檔案簽入來源控制中。

備註	如需應簽入來源控制之檔案的完整清單，請參閱 README.txt 中所提供的「CVS Best Practices (CVS 最佳實作)」一節。

其他部署小組成員所要執行的步驟

在某個成員升級新的 Identity Manager IDE 7.1 Update 1 外掛程式 nbm 檔案並合併必要的專案檔案之後，部署小組的其餘成員應執行下列步驟：

執行專案的完整來源控制更新。
關閉 NetBeans。
刪除 .netbeans 目錄。
安裝新的 nbm。
啟動 NetBeans。
開啟專案。
「Troubleshooting Identity Manager IDE」一節中提供的「Unable to Delete Errors」疑難排解資訊不再適用。現在，Netbeans 內嵌式應用程式伺服器會於您每次執行下列任何一項專案作業時，自動關機 (ID-16851、16738)：
清除專案
建立 Delta 分佈
建立 JAR
除錯專案
管理內嵌式儲存庫
評測專案效能
執行專案

Identity Manager 現在提供效能評測器公用程式，協助您對部署中的表單、Java、規則、工作流程及 XPRESS 效能問題進行疑難排解。下節應加入第 1 章「Using the Identity Manager IDE」(ID-16764)：

---

使用效能評測器對效能問題進行疑難排解

Identity Manager 提供效能評測器公用程式，協助您對部署中與表單、Java、規則、工作流程以及 XPRESS 相關的效能問題進行疑難排解。

表單、Java、規則、工作流程與 XPRESS 皆可能導致效能與範圍問題。效能評測器會評測表單與工作流程的不同區域所耗用的時間，可讓您決定這些表單或工作流程是否造成效能與範圍問題，以及倘若如此，是這些物件的哪些部分導致問題。

本節說明如何使用 Identity Manager 效能評測器，並提供指導以協助您瞭解如何對部署中的效能問題進行疑難排解。相關資訊編排如下：

簡介
入門
使用效能評測器
指導： 效能問題的疑難排解

簡介

本節提供 Identity Manager 效能評測器的特性與功能簡介。相關資訊編排如下：

主要功能
效能評測器找出及管理來源的方式
統計警告

主要功能

您可以使用效能評測器公用程式執行以下作業：

建立效能評測資料的「快照」。

快照是自從上次重設所有收集的效能評測結果以來，所累計的效能評測結果。

您可以使用四個不同的資料檢視顯示快照結果：
[呼叫樹狀結構檢視] 提供樹狀結構表格，顯示整個系統的呼叫計時及呼叫計數。
[Hotspot 檢視] 提供直列式節點清單，顯示所有父系節點的集合呼叫計時。
[Back Traces 檢視] 提供顛倒的呼叫堆疊，顯示呼叫此節點 (稱為根節點) 的所有來源呼叫鏈。
[被呼叫端檢視] 提供直列式節點清單，顯示所有父系節點的集合呼叫計時。
指定快照中要包含的資訊種類：
您可以包含表單、工作流程與 XPRESS 的每個元素，或將內容限制在特定的一組元素。
您可以挑選特定的 Java 方法及建構子，以納入方法或從方法排除。支援 Identity Manager 類別與自訂類別的方法。
使用下列方式管理專案快照：
在專案的 nbproject/private/idm-profiler 目錄或專案外部的任意位置儲存快照。

備註	您可以在 IDM 效能評測器檢視的 [已儲存的快照] 區段中，檢視所有儲存的快照清單。

從專案開啟快照，或從專案外部的任意位置載入快照。
刪除快照。
依名稱搜尋特定節點。

效能評測器找出及管理來源的方式

本節描述效能評測器如何查詢及管理下列 Identity Manager 物件的來源：

表單、規則、工作流程與 XPRESS 物件
Java 來源

提示	在 [呼叫樹狀結構檢視] 或 [Hotspot 檢視] 中，您可以連按兩下對應 Java 方法、工作流程、表單、規則或 XPRESS 的任何節點，以檢視此節點的來源。

表單、規則、工作流程與 XPRESS 物件

當您使用效能評測器

攝快照時，伺服器會計算所有效能評測資料並搜尋資料依賴的來源。伺服器接著會從儲存庫擷取所有這些來源，並將其納入快照中。因此，您可以確定快照中所顯示的 Identity Manager 物件，能確實反映擷取快照當時的狀況。

此程序會增加快照的大小，但來源大小實際上只佔總大小的一小部分。因此，您可以將快照傳送給 Sun 的客戶支援部門，而不用另外傳送原始碼檔案。

Java 來源

備註	在 Java 來源快照中，請勿以為來源會隨伺服器更新或一直可以使用。

當您拍攝 Java 來源的快照時，用戶端會下載快照，然後搜尋快照以從專案擷取所有參照的 Java 來源。當您儲存快照時，用戶端會壓縮來源並將其附加在快照結尾。

然後，當您檢視快照並移至 Java 來源時，用戶端會先檢查快照內容。如果用戶端在此找不到內容，則會檢查專案的內容。此程序可讓您從自訂 Java 程式碼與 Identity Manager 程式碼傳送包含效能評測資料的快照。

統計警告

以下各節包含計算效能評測器提供結果時所要考量的資訊：

Self Time 統計資料
建構子呼叫
常駐程式執行緒

Self Time 統計資料

若要計算根節點的 Self Time 統計，效能評測器會從根節點的總計時間扣除所有子節點的時間。

因此，未執行的子節點時間會反映在根節點的 Self Time 中。如果根節點有很長的 Self Time，則必須找出原因。您可能尚未執行適當的方法，因此檢查的地方有誤。

例如，假設方法 A 呼叫方法 B。

方法 A 總計需要 10 秒 (其中總計時間包含呼叫 B)，而呼叫 B 總計需要 10 秒。

如果 A 與 B 皆已執行，則呼叫堆疊會反映此資訊。您會看到 A 的 Self Time 為 0 秒，而 B 的 Self Time 為 10 秒 (其中 10 秒是實際用在 B 中的時間)。但是，如果未執行 B，您僅會看到呼叫 A 需要 10 秒，因此 A 的 Self Time 為 10 秒。因此，您可能會以為問題是在 A，而不是在 B。

您尤其會在 JSP 初始編譯期間注意到 JSP 有很長的 Self Time。如果重設收集的結果，然後重新顯示頁面，則 Self Time 值會少得多。

建構子呼叫

由於 Java 方法策略中的限制，this() 或 super() 的初始呼叫會顯示為建構子呼叫的同層級，而非子系。請參閱下列範例：

class A { public A() { this(0); } public A(int i) { } }   and:   class B { public static void test() { new A(); } } 呼叫樹狀結構會類似： B.test() -A.<init>(int) -A.<init>() 而不是： B.test() -A.<init>() -A.<init>(int)

常駐程式執行緒

多數 Identity Manager 的常駐程式執行緒 (例如 ReconTask.WorkerThread.run() 或 TaskThread.WorkerThread.run()) 所耗用的時間看似很久，但請勿被此誤導。大部分的時間是耗用在等候事件時的暫停上。您必須研究這些追蹤才能知道處理事件實際耗用的時間。

入門

本節描述如何啟動效能評測器，以及如何使用效能評測器圖形化使用者介面的各種功能。相關資訊編排如下：

開始之前
啟動效能評測器

開始之前

由於效能評測器會耗用大量的記憶體，應大量增加伺服器與 Netbeans Java Virtual Machine (JVM) 的記憶體。

若要增加伺服器的記憶體：
開啟 Netbeans 視窗並選取 [執行階段] 標籤。
展開 [伺服器] 節點，在 [隨附的 Tomcat] 上按一下滑鼠右鍵，然後從功能表中選取 [特性]。
請在顯示 [伺服器管理員] 對話方塊時，清除 [連線] 標籤上的 [啟用 HTTP 監視] 方塊。
選取 [平台] 標籤，然後將 [VM 選項] 設定為 -Xmx1024M。
按一下 [關閉]。
若要增加 Netbeans JVM 的記憶體：
開啟 netbeans-installation-dir\etc\netbeans.conf 檔案並找出下行：

netbeans_default_options="-J-Xms32m -J-Xmx ...

將 -J-Xmx 值變更為 -J-Xmx1024M。
儲存然後關閉檔案。

完成之後，可如下節所述啟動效能評測器。

啟動效能評測器

您可以使用下列任何方法啟動效能評測器：

按一下功能表列中 [在主專案上啟動 Identity Manager 效能評測器] 圖示 。

備註	當 Identity Manager 的主專案為 7.1 Update 1 版或更高版本時，會啟用 [在主專案上啟動 Identity Manager 效能評測器]。

從功能表列中選取 [視窗] > [IDM 效能評測器]。

檔案總管中隨即會顯示 [Identity Manager 效能評測器] 視窗。在此視窗中，從 [目前的專案] 下拉式功能表中選取一個 Identity Manager 專案，然後按一下位於 [控制] 區段的 [啟動 Identity Manager 效能評測器] 圖示 。

在 [專案] 視窗中的專案上按一下滑鼠右鍵，然後從快顯功能表中選取 [啟動 Identity Manager 效能評測器]。
在 [專案] 視窗中選取一個專案，然後從功能表列中選取 [IdM] > [啟動 Identity Manager 效能評測器]。

當您啟動效能評測器時，會顯示 [效能評測器選項] 對話方塊，您可以在此指定要使用的效能評測選項。

圖 2 [效能評測器選項] 對話方塊

如需有關設定這些選項的資訊，請參閱指定效能評測器選項。

使用效能評測器

本節描述效能評測器圖形化使用者介面的功能，以及如何使用這些功能。相關資訊編排如下：

指定效能評測器選項
使用 IDM 效能評測器檢視
使用快照檢視
使用快顯功能表選項
搜尋快照
儲存快照

指定效能評測器選項

[效能評測器選項] 對話方塊包含下列標籤：

模式
IDM 物件篩選器
Java 篩選器
其他

使用這些標籤上的選項以指出要評測效能的物件及設定檔中要顯示的元素。

指定效能評測器選項之後，請按一下 [確定] 以啟動效能評測器。效能評測器可根據專案配置執行下列兩項作業其中之一：

如果搭配內嵌式 Identity Manager 實例使用一般 Identity Manager 專案，效能評測器會執行完整建置、在 NetBean 的應用程式伺服器中部署，以及啟動效能評測器。
如果搭配外部 Identity Manager 實例使用一般 Identity Manager 專案，或遠端 Identity Manager 專案，效能評測器會附加至為此專案配置的 Identity Manager 實例。

備註	您可以選取 [IDM] > [設定 Identity Manager 實例]，以控制此專案的 Identity Manager 實例動作。

模式

[模式] 標籤提供下列選項：

僅限 IDM 物件： 選取此選項可評測表單、規則、工作流程與 XPRESS 物件的效能。排除設定檔中的 Java 物件。
Java 與 IDM 物件： 選取此選項可評測表單、Java、規則、工作流程與 XPRESS 物件的效能。

備註	如果搭配外部 Identity Manager 實例使用一般 Identity Manager 專案或使用遠端 Identity Manager 專案，則無法使用 [Java 與 IDM 物件] 選項。 效能評測器執行時，無法變更 [模式] 選項。您必須停止效能評測器才能變更此選項。

IDM 物件篩選器

[IDM 物件篩選器] 標籤提供下列選項：

顯示 IDM 物件詳細資訊：
選取此核取方塊可在快照中包含每個執行的表單、工作流程與 XPRESS 元素。
清除此核取方塊僅會在快照中包含下列元素：
<invoke>
<new>
<Rule>
<Form>
<WFProcess>
<ExScript>
<ExDefun>
<FieldRef>
<Action> (適用於工作流程應用程式圖說文字)
包含匿名來源：

備註	匿名來源是動態產生的表單或表單部分 (例如 Login 表單與 MissingFields 表單)，不會對應至位於 Identity Manager 儲存庫中的永久性表單。

選取此核取方塊可在快照中包含匿名來源。
清除此核取方塊可排除快照中的匿名來源。

Java 篩選器

選取 [Java 篩選器] 標籤可執行下列作業：

包含或排除 Java 篩選器
建立新的篩選器
刪除現有的篩選器
復原預設的篩選器

Java 篩選器會依方法式樣提供，並以包含或排除的式樣來表示 (根據標準方法名稱)。其中標準方法名稱為：

fully-qualified-class-name.method-name(parameter-type-1, parameter-type-2, ...)

備註	若是建構子，則 method-name 為 <init>。

下列是一些範例：

若要排除所有建構子，請啟用 [排除] 方塊並增加下列篩選器：

*.<init>(*)

若要排除所有含單一 org.w3c.dom.Element 參數的建構子，請啟用 [排除] 方塊並增加下列篩選器：

*.<init>(org.w3c.dom.Element)

若要排除所有 Identity Manager 類別，請啟用 [排除] 方塊並增加下列篩選器：

"com.waveset.*"

"com.sun.idm.*"

若僅要執行自訂的程式碼，請啟用 [排除] 方塊，移除初始 * include 篩選器，然後增加下列篩選器：

"com.yourcompany.*"

備註	最後兩個範例由於篩選器僅會套用至自訂類別與 Identity Manager 類別，因此目前等同。

請視需要適當修改 build.xml 中的下列各行，以執行其他 JAR。例如，

<instrument todir="${lighthouse-dir-profiler}/WEB-INF" verbose="${instrumentor.verbose}" includeMethods="${profiler.includes}" excludeMethods="${profiler.excludes}"> <fileset dir="${lighthouse-dir}/WEB-INF"> <include name="lib/idm*.jar"/> <include name="classes/**/*.class"/> </fileset> </instrument>

依預設，配置會包含所有自訂類別與大部分的 Identity Manager 類別。由於某些 Identity Manager 類別在啟用後會中斷效能評測器，因此會強制排除這些類別。

例如，會排除來源為工作流程、表單與 XPRESS 引擎的類別，否則效能評測器在評測 Java 與 Identity Manager 物件的效能時會產生無法辨識的快照。

請注意，Java 篩選器會提供比 IDM 物件篩選器更仔細的篩選。Java 方法會讓執行作業增加大量的經常性耗用時間，而大幅扭曲效能評測結果。由於 Identity Manager 物件是解譯而不是編譯，因此可忽略執行此方法所耗用的時間。因此，基本上排除工作流程 A 而包含工作流程 B 是不必要的，依此類推。

備註	您無法在執行效能評測器時修改 Java 篩選器。您必須停止效能評測器，才能變更 Java 篩選器。

其他

[其他] 標籤提供下列選項：

刪除執行時間為 0 的快照節點：
若要快照包含所有執行項目的呼叫資訊，甚至包含執行時間為零的執行項目時，請停用此選項 (預設值)。

取得呼叫數 (甚至沒有執行時間) 可能很實用。

啟用此選項可移除這些節點，讓您專注在最相關的效能評測資料上。此外，啟用此選項可大幅縮減效能評測器快照的大小。
在效能評測器啟動時自動開啟瀏覽器：
當您要在啟動效能評測器時自動開啟瀏覽器，並指向要接受效能評測的 Identity Manager 實例時，請啟用此選項 (預設值)。
若不要開啟檔案總管，請停用此選項。
在快照中包含 Java 來源：
啟用此選項 (預設值) 可針對快照中效能評測資料參照的所有 Java 方法，包含其 Java 來源。您應該一律在欄位中使用此快照設定。自訂 Java 相對較小，而且在提供支援方面極有價值。
請僅於評測 Identity Manager 的效能並提供完整的 Identity Manager 來源時，停用此選項。

在此情況下，由於 Identity Manager 來源會建立相當大的快照，因此請勿包含此來源。(詳細資訊請參閱效能評測器找出及管理來源的方式。)

使用 IDM 效能評測器檢視

IDM 效能評測器檢視 (圖 3) 包含下列區域：

目前的專案區域
控制區域
狀態區域
[已儲存的快照] 區域

圖 3 IDM 效能評測器檢視

目前的專案區域

[目前的專案] 區域包含列出所有目前專案的下拉式功能表。使用此功能表可選取要評測其效能的專案。

控制區域

[控制] 區域包含四個圖示：

表 5 控制區域圖示

圖示		用途
	啟動 Identity Manager 效能評測器	啟動效能評測器並開啟 [效能評測器選項] 對話方塊。
	停止 Identity Manager 效能評測器	停止效能評測器。
	重設收集的結果	重設到目前為止所收集的效能評測結果。
	修改效能評測	重新開啟 [效能評測器選項] 對話方塊，以變更任何設定來修改目前的效能評測結果。

狀態區域

[狀態] 區域會報告是否已連線至主機，並提供效能評測器啟動、執行與停止的狀態資訊。

效能評測結果區域

[效能評測結果] 區域包含兩個圖示：

表 6 [效能評測結果區域] 圖示

圖示		用途
	啟動 Identity Manager 效能評測器	啟動效能評測器並開啟 [效能評測器選項] 對話方塊。
	重設收集的結果	重設到目前為止所收集的效能評測結果。

[已儲存的快照] 區域

[已儲存的快照] 區域提供所有儲存的快照清單。此外，您可以使用下列按鈕管理這些快照：

開啟： 按一下可開啟 [快照檢視] 視窗中儲存的快照。

提示	您也可以在 [已儲存的快照] 清單中的快照上連按兩下，以開啟此快照。

刪除： 選取 [已儲存的快照] 清單中的快照，然後按一下此按鈕以刪除選取的快照。
另存新檔： 選取清單中的快照，然後按一下此按鈕以將此快照儲存至任意的外部位置。
載入： 按一下即可從任意的位置開啟快照到 [快照檢視] 視窗中。

使用快照檢視

當您開啟快照時，Identity Manager IDE 右上方的 [快照檢視] 視窗會顯示結果。

圖 4 [快照檢視] 視窗

快照提供數種資料的檢視，以下各節將對此進行描述：

呼叫樹狀結構檢視
Hotspot 檢視
Back Traces 檢視
被呼叫端檢視

呼叫樹狀結構檢視

[呼叫樹狀結構檢視] (圖 5) 包含樹狀結構表格，顯示整個系統的呼叫計時及呼叫計數。

圖 5 呼叫樹狀結構檢視範例

此樹狀結構表格包含三欄：

[呼叫樹狀結構] 欄： 列出所有節點，其中頂層節點為下列其中之一：
系統中各種背景執行緒的 Thread.run() 方法。

例如，若啟用 Java 效能評測，將會看到 ReconTask.WorkerThread.run() 方法。

請求計時

例如，若檢視 idm/login.jsp URL，將會看到 idm/login.jsp 的頂層項目。針對此項目，[Time] 欄中所顯示的資料表示請求的總時間，而 [Invocations] 欄中顯示的資料表示呼叫此頁面的總次數。您可以進一步研究此資料，以找出造成耗用這些時間的呼叫項目。

備註	[呼叫樹狀結構] 也包含 [Self Time] 節點。[Self Time] 值表示節點本身會耗用的時間。(如需更多資訊，請參閱 Self Time 統計資料。)

[Time] 欄： 列出從父系節點呼叫每個節點所耗用的時間， 並指出與父系時間相較的百分比。
[Invocations] 欄： 列出父系節點呼叫每個節點的次數。

Hotspot 檢視

[Hotspot 檢視] 提供直列式節點清單，顯示所有父系節點的集合呼叫計時。

此檢視包含下列欄：

Self Time： 列出每個節點所耗用的總時間。
Invocations： 列出父系節點呼叫每個節點的總次數。
Time： 列出每個節點及其所有子節點所耗用的總時間。

Back Traces 檢視

[Back Traces 檢視] 提供顛倒的呼叫堆疊，顯示呼叫每個節點的所有來源呼叫鏈。

您可以使用這些統計回答以下問題：如果我從此節點刪除特定的呼叫鏈，可以節省多少時間？ 

您可以在節點 (稱為根節點) 上按一下滑鼠右鍵，並從快顯功能表中選取 [顯示 Back Traces]，以從任何其他快照檢視存取 [Back Traces] 檢視。

備註	[Time] 與 [Invocations] 資料值在 [Back Traces] 檢視中有不同的含義： Time： 此欄中的值表示從指定呼叫鏈呼叫根節點時，在根節點中所費的時間。 Invocations： 此欄中的值表示從指定呼叫鏈呼叫根節點時，在根節點中所費的時間。

被呼叫端檢視

[被呼叫端檢視] 提供節點 (稱為根節點) 的彙總呼叫樹狀結構，而不考慮其父鏈為何。

如果從主要呼叫樹狀結構的許多位置呼叫的區域有問題，而您想檢視節點的整體設定檔，這些統計資料會很有幫助。

您可以在節點 (稱為根節點) 上按一下滑鼠右鍵，並從快顯功能表中選取 [顯示被呼叫端]，以從任何其他快照檢視存取 [被呼叫端] 檢視。

備註	[被呼叫端] 檢視中所使用的 [Time] 與 [Invocations] 資料值，和 [呼叫樹狀結構] 檢視中所使用的資料值有相同含義。

使用快顯功能表選項

在 [呼叫樹狀結構] 檢視或 [Hotspot] 檢視中任何的節點上按一下滑鼠右鍵，會隨即顯示快顯功能表，內含 中所述的選項：

表 6 效能評測器快顯功能表選項 

功能表選項	說明
移至來源	選取此選項可檢視對應 Java 方法、工作流程、表單、規則或 XPRESS 之節點的 XML 來源。如需有關此檢視的詳細資訊，請參閱效能評測器找出及管理來源的方式。
顯示 Back Traces	選取此選項可存取 [Back Traces] 檢視。如需有關此檢視的詳細資訊，請參閱 Back Traces 檢視。
顯示被呼叫端	選取此選項可存取 [被呼叫端] 檢視。如需有關此檢視的詳細資訊，請參閱被呼叫端檢視。
在 Hotspot 中尋找	選取此選項可在 [Hotspot] 檢視中尋找節點。如需有關此檢視的詳細資訊，請參閱 Hotspot 檢視。
清單選項 > [排序] >	此選項有下列選項： None 呼叫樹狀結構 Time Invocations Ascending Descending
清單選項 > [變更可見欄]	選取此選項可變更 [呼叫樹狀結構] 或 [Hotspot] 清單中所顯示的欄。 您可以在 [變更可見欄] 對話方塊顯示時，選取下列一或多個選項：1 呼叫樹狀結構： 呼叫樹狀結構 Invocations： Invocations Time： Time

搜尋快照

使用 [快照檢視] 視窗頂端的 [搜尋] 圖示 ，在 [呼叫樹狀結構] 檢視或 [Hotspot] 樹狀結構中依名稱搜尋節點。

或者，在 [呼叫樹狀結構] 檢視或 [Hotspot] 檢視中的任何節點上按一下滑鼠右鍵，然後從快顯功能表中分別選取 [在呼叫樹狀結構中尋找] 或 [在 Hotspot 中尋找] 以搜尋節點。

儲存快照

效能評測器提供數個儲存快照的選項。如需這些選項的描述，請參閱 ：

表7 儲存圖示

圖示		用途
	[在專案中儲存快照] 圖示 (位於 [快照檢視] 視窗頂端)	在專案的 nbproject/private/idm-profiler 目錄中儲存快照。儲存在專案中的快照會列於效能評測器檢視的 [已儲存的快照] 區段中。
	[在外部儲存快照] 圖示 (位於 [快照檢視] 視窗頂端)	將快照另存在外部的任意位置。
	[另存新檔] 按鈕 (位於 [已儲存的快照] 區域中)	將快照另存在外部的任意位置。

指導： 效能問題的疑難排解

Identity Manager 提供指導 (profiler-tutorial.zip) 以協助您瞭解如何使用效能評測器對表單、Java、規則、工作流程與 XPRESS 進行疑難排解。

步驟 1： 建立 Identity Manager 專案

遵循下列步驟以建立 Identity Manager 專案：

選取 [檔案] > [新增專案]。
請在顯示 [新增專案] 精靈時，指定下列項目，然後按 [下一步]：
在 [種類] 清單中，選取 [Web] 以表示建立的專案類型。
在 [專案] 清單中，選取 [Identity Manager 專案]。

備註	您必須為功能完整的開發環境建立一般 Identity Manager 專案。請勿選取 [Identity Manager 專案 (遠端)] 選項。

填寫 [名稱與位置] 畫面上的下列欄位，然後按 [下一步]：
專案名稱： 將 Idm711 輸入為專案名稱。
專案位置： 使用預設位置或指定不同的位置。
專案資料夾： 使用預設資料夾或指定不同的資料夾。
請在顯示 [Identity Manager WAR 檔案位置] 畫面時，輸入 Identity Manager 7.1 Update 1 WAR 檔案的位置。此檔案一般會位於 waveset\images 目錄中。

備註	目前的 7.1 Update 1 版是唯一支援效能評測的 Identity Manager 版本。

按 [下一步] 繼續執行 [儲存庫設定] 畫面。

您應該不需要變更此面板上的預設設定，請直接按一下 [完成]。當您在 [Identity Manager IDE 輸出] 視窗中看到 BUILD SUCCESSFUL (建置成功) 訊息時，可以解壓縮效能評測器指導檔案。請參閱步驟 2： 解壓縮效能評測器指導，以取得說明。

步驟 2： 解壓縮效能評測器指導

解壓縮專案根目錄中的 profiler-tutorial.zip。解壓縮的檔案包含：

專案根目錄/custom/WEB-INF/config/ProfilerTutorial1.xml

專案根目錄/custom/WEB-INF/config/ProfilerTutorial2.xml

專案根目錄/src/org/example/ProfilerTutorialExample.java

專案根目錄/PROFILER_TUTORIAL_README.txt

現在即可啟動效能評測器。

步驟 3： 啟動效能評測器

若要啟動效能評測器：

使用開始之前中所提供的指示，增加伺服器與 Netbeans JVM 的記憶體。
使用簡介中所述的任何方法啟動效能評測器。
顯示 [效能評測器選項] 對話方塊時 (圖 8)，可以指定效能評測選項。
繼續執行步驟 4： 設定效能評測器選項.。

圖 8 [效能評測器選項] 對話方塊

步驟 4： 設定效能評測器選項

備註	如需有關所有不同效能評測器選項的詳細資訊，請參閱指定效能評測器選項。

若要使用此指導，請指定下列效能評測器選項：

在 [模式] 標籤上，選取 [Java 與 IDM 物件] 以評測表單、Java、規則、工作流程與 XPRESS 物件的效能。
選取 [Java 篩選器] 標籤。

使用下列步驟停用自訂 Java 類別 (在此案例中為 org.example.ProfilerTutorialExample) 以外的所有 Identity Manager Java 類別：

按一下 [新增]，新的空白欄位會顯示在 [篩選器] 欄底部。
將 com.waveset.* 輸入新的欄位，然後選取 [排除] 方塊。
再按一下 [新增]。
將 com.sun.idm.* 輸入新的欄位，然後選取 [排除] 方塊。
按一下 [確定] 以執行效能評測器。

備註	如果最近執行清除專案動作，則第一次在專案上執行效能評測器時，效能評測器需要幾分鐘才能完成。

當效能評測器完成處理時，系統會提示您登入。

輸入密碼 configurator，選取 [記住密碼] 方塊，然後按一下 [確定] 繼續。
請在 Identity Manager 視窗顯示時登入。

備註	通常您應該以不同的使用者身份登入 Identity Manager，而不是再次以 configurator 登入。您已使用 configurator 的身份登入效能評測器，Identity Manager 階段作業池不允許使用者重複登入。登入多次可能造成階段作業池故障的假象，且可能扭曲細部效能問題的效能評測結果。 但是，針對此簡單的範例，階段作業區並不重要，因此您可以 configurator/configurator 登入。

在 Identity Manager 中，選取 [伺服器作業] > [執行作業]，然後按一下 [ProfilerTutorialWorkflow1]。

此指導可能需要幾分鐘才會回應。

雖然您現在可拍攝快照，但目前請重設結果、執行效能評測器並再執行一次，然後拍攝快照。

備註	執行效能評測器幾次再拍攝快照是最佳作法，如此可確保所有快取皆就緒、所有 JSP 都已編譯等。 多次執行效能評測器可讓您專注在實際的效能問題上。但如果您有快取寫入的問題，則不要如此做。

返回 Identity Manager IDE 中的 IDM 效能評測器檢視。按一下 [重設收集的結果] 圖示 在 [效能評測結果] 區段 (或 [控制] 區段) 中，可重設目前為止收集的所有結果。
在 Identity Manager 中，再次選取 [伺服器作業] > [執行作業]，然後按一下 [ProfilerTutorialWorkflow1]。
請在顯示 [進程圖] 時，返回 Identity Manager IDE 並按一下 [效能評測結果] 區段中的 [拍攝快照]。

圖 9


Identity Manager IDE 會下載快照並在視窗右側顯示結果。

圖 10 呼叫樹狀結構結果



此區域為 [呼叫樹狀結構] 檢視。在 [呼叫樹狀結構] 頂端，您會看到 /idm/task/taskLaunch.jsp，其 [Time] 欄中列有時間。此時間應表示整個請求耗用六秒以上。

展開 /idm/task/taskLaunch.jsp 節點，您會看到 ProfilerTutorialWorkflow1 耗用六秒。
展開 ProfilerTutorialWorkflow1 節點。請注意，activity2 耗用四秒，而 activity1 耗用兩秒。
展開 activity2。

請注意，action1 耗用兩秒，而 action2 耗用兩秒。

展開 action1，請注意 <invoke> 也耗用兩秒。
連按兩下 <invoke> 以開啟 ProfilerTutorialWorkflow1.xml，並反白顯示下行：

<invoke name='example' class='org.example.ProfilerTutorialExample'/>

您應該會看到呼叫 ProfilerTutorialExample 方法耗用兩秒。

備註	您實際上會瀏覽快照中擷取的 XML 來源，而非專案中的來源。快照本身即具備所有資料。(如需更多資訊，請參閱效能評測器找出及管理來源的方式。)

選取 [CPU:<date><time>] 標籤以返回快照。
展開 <invoke> 節點，請注意效能評測器在 Java ProfilerTutorialExample.example() 方法中耗用兩秒。
連按兩下方法名稱以開啟 ProfilerTutorialExample.java 來源，並反白顯示下行：

Thread.sleep(2000);

發生問題！ 此方法包含兩秒的執行緒暫停。

若返回 [呼叫樹狀結構]，您會看到所有兩秒的路徑都指向此方法。(您應該看到三個路徑；總計六秒。)
選取 [Hotspot] 標籤 (位於 [呼叫樹狀結構] 區域底部) 以開啟 [Hotspot] 檢視。請注意，ProfilerTutorialExample.example() 的總計 Self Time 為六秒。

(如需有關 Hotspot 的更多資訊，請參閱 Hotspot 檢視。)

在 ProfilerTutorialExample.example() 上按一下滑鼠右鍵，然後從快顯功能表中選取 [顯示 Back Traces]。

新的 [Back Traces] 標籤會顯示在此區域底端。

展開 [Back Traces] 標籤上的 ProfilerTutorialExample.example() 節點，會看到有三處呼叫此方法，且從每處呼叫此方法都耗用兩秒。

(如需有關 Back Traces 的更多資訊，請參閱 Back Traces 檢視。)

按一下 [在專案中儲存快照] 圖示 以儲存並關閉快照。

如果您查看 [IDM 效能評測器] 標籤上的 [已儲存的快照] 區段，應該會看到您的快照。(您可能必須向下捲動。)

圖 11 已儲存的快照清單



選取已儲存的快照，然後按一下 [開啟] 重新開啟快照。

備註	您可以使用 [另存新檔] 按鈕在外部儲存快照，並使用 [載入] 按鈕從專案外部載入快照。

再次關閉快照。

在工作流程 ManualAction 上使用效能評測器

此指導的下一個部分會說明如何評測工作流程 ManualAction 的效能。

在 Identity Manager 中，選取 [伺服器作業] > [執行作業]，然後按一下 [ProfilerTutorialWorkflow2]。

在幾分鐘後，會顯示一個空白的表單。

按一下 [儲存]，會隨即顯示進程圖。
再次選取 [伺服器作業] > [執行作業]。
返回 Identity Manager IDE IDM 效能評測器檢視，然後在 [效能評測結果] 區段中，按一下 [重設收集的結果] 圖示。
現在按一下 Identity Manager 中的 [ProfilerTutorialWorkflow2]。
當空白表單再次顯示時，請按一下 [儲存]。
在 IDM 效能評測器檢視中，按一下 [拍攝快照]。

幾秒之後，快照應顯示在 [呼叫樹狀結構] 區域中。您應該會看到 /idm/task/workItemEdit.jsp 耗用六秒以上。(此結果會對應至工作流程中的手動操作。)

展開 /idm/task/workItemEdit.jsp 節點，並注意執行 ManualAction 表單中之所有 Derivation 的節點總計耗用六秒。
依序展開 Derivation、displayNameForm、variables.dummy 與 <block> 節點。

圖 12 ProfilerTutorialWorkflow2 快照結果



您應該會看到 <block> 耗用了六秒，同時間效能評測器在呼叫 ProfilerTutorialExample.example(). 方法三次中，每次呼叫耗用兩秒。

您可以連按兩下 <block> 以檢視來源。

下列資訊應做為第 1 章「使用 Identity Manager IDE」結尾的「常見問題集 (FAQ)」一節：(ID-16739)

Identity Manager IDE 相關常見問題 (FAQ)

此 FAQ 會回答有關使用 Identity Manager Integrated Development Environment (Identity Manager IDE) 的一些常見問題。此資訊已分類如下：

使用 NetBeans
使用專案
使用儲存庫
使用 Identity Manager IDE 除錯程式

使用 NetBeans

問： 我應該使用哪個 Netbeans 版本？

答：請根據您所使用 Netbeans 外掛程式版本隨附的 Identity Manager 產品文件，使用其中記載之 Netbeans 版本

備註	即使是修補程式版本也可能造成主要功能損毀，因此請一律使用記載的正確版本。

問： 我在使用 Netbeans 外掛程式時執行了某項作業，結果現在不能用了。這是什麼原因呢？

答：此問題通常是由於 .netbeans 目錄中的檔案損毀所造成。一般來說，刪除 .netbeans 目錄並重新安裝 NetBeans 外掛程式可解決此問題。(刪除 .netbeans 目錄即可解除安裝 NetBeans 外掛程式。您會喪失所有使用者設定，但會保留專案的內容。)

這些步驟如下所示：

關閉 NetBeans。
刪除 .netbeans 目錄。
啟動 NetBeans。
安裝 NetBeans 外掛程式。
重新啟動 NetBeans。

使用專案

問： 建置並執行專案需要很長的時間，且 Identity Manager IDE 似乎會複製許多檔案。這是什麼原因呢？

答：發生此問題的原因可能如下：

您使用的是 Identity Manager IDE 7.0 或 7.1 外掛程式。

使用 Identity Manager IDE 7.1 Update 1 外掛程式。
Identity Manager IDE 7.1 Update 1 Configuration Build Environment (CBE) 已進行數項改善效能的調整。

您可能使用不必要的 [清除] 指令。

當您使用「清除專案」或「清除與建置專案」時，Identity Manager IDE 會刪除整個 image 目錄，其中包含數千個檔案。Identity Manager IDE 必須在下一個建置期間從 idm-staging 複製所有檔案。

若要有效使用 Identity Manager IDE，必須瞭解何時使用「清除」指令。如需更多資訊，請參閱 Identity Manager IDE README.txt 檔案中的「When to Use Clean」一節。

問： 現在已經建立 Identity Manager 專案，我該將哪些檔案簽入來源控制？

答： 如需相關資訊，請參閱 Identity Manager IDE README.txt 中的「CVS Best Practices」一節。

問： 在 CVS 中使用專案管理的最佳實作為何？

答：如需相關資訊，請參閱 Identity Manager IDE README.txt 中的「CVS Best Practices」一節。

問： 物件何時匯入儲存庫？

答：詳細資訊請參閱使用儲存庫。

問： 我該如何新增 JAR 到專案？

答： 請參閱 Identity Manager IDE README.txt 中的「How to add a new JAR dependency」一節。

使用儲存庫

問： 我的 sandbox 儲存庫應使用哪個儲存庫？

答：使用 sandbox 的內嵌式儲存庫，特別是如果您使用的是 Identity Manager 7.1 (或更高版本)，此版本提供 HsSQL 儲存庫。如果未使用內嵌式儲存庫，則會失去功能。

如需更多資訊，請參閱 Identity Manager IDE README.txt 檔案中的「Working with the Repository」一節。

問： 物件何時會自動匯入？

答：您必須將 Identity Manager IDE 配置為自動匯入物件。

這些步驟如下所示：

從 [IDM] 功能表選取 [儲存庫] > [管理內嵌式儲存庫]。
啟用 [管理內嵌式儲存庫] 對話方塊上的 [自動發佈 Identity Manager 物件] 選項。

備註	Identity Manager 專案 (遠端) 不會提供此選項，或者如果您指定自己的儲存庫，亦不會提供此選項。

選取 [專案] > [執行專案] 或 [專案] > [除錯專案]。

Identity Manager IDE 會自動匯入自從上次執行專案後，已變更的所有物件。

備註	自動發佈 Identity Manager 物件會增加啟動伺服器所需的時間。若要將伺服器啟動時間降至最低，請停用此選項，並明確地將物件上傳至儲存庫。

問： 上傳物件最有效的方式為何？

答：使用下列其中一個方法上傳已修改的物件：

在專案樹狀結構中的一或多個已編輯物件上按一下滑鼠右鍵，然後從快顯功能表中選取 [上傳物件]。

提示	若要上傳多個物件，請按住 Ctrl 鍵並從清單中選取多個物件。

選取一或多個已編輯物件，然後從 [IdM] 功能表中選取 [儲存庫] > [上傳物件]。隨即會顯示一個對話方塊讓您選取要上傳的物件。

這兩種方法皆會將物件直接上傳至伺服器，因此沒有快取延遲的問題，且比使用 [執行專案] 或 [除錯專案] 還要快。不論使用哪個儲存庫，皆會提供 [上傳物件] 功能。

使用 Identity Manager IDE 除錯程式

問： Identity Manager IDE 除錯程式很慢。這是什麼原因呢？

答：若要改善除錯程式的效能：

一律停用 Tomcat 的 HTTP 監視，如下所示：
選取 [Identity Manager IDE 執行階段] 標籤。
展開 [伺服器] 節點，並在 [隨附的 Tomcat] > [特性] 上按一下滑鼠右鍵。
停用 [啟用 HTTP 監視] 選項，然後關閉對話方塊。

下次啟動 Tomcat 時，會停用 [HTTP 監視]。

若目前未除錯 Java，請選取 [專案] > [執行專案]，然後選取 [附加除錯程式] >  [Identity Manager XML 物件除錯程式] 以僅使用 XPRESS 除錯程式。

為非遠端的 Identity Manager IDE 專案選取 [專案] > [除錯專案]，可同時啟動 XPRESS 除錯程式與 Java 除錯程式，而 Java 除錯程式會增加大量的經常性耗用時間。

問： 我無法設定除錯程式的中斷點。這是什麼原因呢？

答： 下列情況可能導致無法設定中斷點：

僅安裝了 NBM，但未重新啟動 Netbeans。
您的 XML 包含 <Waveset> 包裝程式元素。

Identity Manager IDE 基本上會忽略任何以 <Waveset> 包裝程式元素開頭的檔案，因為 Identity Manager IDE 會將此元素剖析為多物件檔案。

多物件檔案上無法使用下列功能：

除錯程式
規則測試器
表單預覽程式
所有編輯器
匯入檔產生器
上傳物件
區別物件

基本上，您只能匯入多物件檔案。唯一應包含 <Waveset> 包裝程式元素的檔案為專案的頂層匯入檔。

問： 我設定了除錯程式的中斷點，但除錯程式到中斷點時並未暫停。這是什麼原因呢？ 

答：請檢查下列兩項：

確定物件名稱未包含 CBE 替代字串 (%%)。CBE 替代字串不得用在物件名稱中。
請確認您認為正在執行的程式碼實際上正在執行。嘗試增加追蹤，並查看是否印出任何內容。 

使用規則

問： 在 Netbeans 中開發規則時，為何規則程式庫無法使用設計模式？

答： 設計模式功能可從 [專案] 檢視的檔案總管樹狀結構中取得。請使用下列步驟：

展開程式庫節點並在規則上按一下滑鼠右鍵。
請在顯示快顯功能表時選取 [特性]，然後按一下 [內文]。

第 4 章：開發介面

如果建立執行 AsynchronousResourceAdapter 類別的介面，則請注意，僅部分初始化的使用者可能也會使用此介面。(這些使用者是在 Identity Manager 以外建立，但未完全填入屬性。) 如果資源上已存在 WSUser，佈建程式不會自動將「建立」作業轉換為「更新」作業。您的資源介面必須辨別此情況。(ID-16829)

---

Identity Manager 調校、疑難排解和錯誤訊息

本節提供用於「Sun Java^™ System Identity Manager Tuning, Troubleshooting, and Error Messages」的新資訊與文件校正。

儲存庫物件大小 (以字元計) 已有相關資訊可供參考。您可以使用這項資訊偵測可能會影響系統的過大物件。(ID-9896、ID-15239)

您可以透過 debug/Show_Sizes.jsp 網頁存取這項資訊，亦可從主控台指令行鍵入下行以取得此資訊：

showSizes [<type> [<limit>]]

備註	進行升級時，現有物件會報告大小為 0，直到完成更新或重新整理為止。

某些作業已從介面移至作業套裝軟體。如果您已為以下任何作業啟用追蹤，或您已參照這些套裝軟體自訂作業定義，則請更新這些路徑。

舊的套裝軟體名稱	新的套裝軟體名稱
com.waveset.adapter.ADSyncFailoverTask	com.waveset.task.ADSyncFailoverTask
com.waveset.adapter.ADSyncRecoveryCollectorTask	com.waveset.task.ADSyncRecoveryCollectorTask
com.waveset.adapter.SARunner	com.waveset.task.SARunner
com.waveset.adapter.SourceAdapterTask	com.waveset.task.SourceAdapterTask

呼叫計時器與追蹤功能現在彼此相關，且僅於啟用追蹤功能時方可收集呼叫計時的統計資料。(ID-17106)

下列資訊應加入「Chapter 1Performance Tuning」之「Debugging Performance Issues」小節的「Show Timings」。

顯示計時

[顯示計時] 頁面提供方法清單及其彙總呼叫計時器統計資料 (未依呼叫者細分)，可協助追蹤特定方法與所呼叫之 API 的瓶頸。

備註	僅於啟用追蹤功能時方可收集呼叫計時的統計資料。

您可以使用此頁面上的選項以啟動計時與追蹤、停止計時與追蹤、清除計時統計資料，以及匯入或匯出呼叫計時器度量。此外，按一下任意方法的名稱即可查看已呼叫哪些方法。

---

Identity Manager Service Provider Edition 部署

本節提供用於「Sun Java^™ System Identity Manager SPE Deployment」的新資訊與文件校正。

第 5 章：Identity Manager SPE 中的其他物件

Identity Manager Identity Manager SPE 現在支援連結相互關聯規則與連結確認規則。

連結相互關聯規則

linkTargets IDMXUser 檢視選項可讓呼叫者指定應做為連結目標的資源清單。使用表單時，可將清單當作相同名稱的表單特性。IDMXUser 檢視簽入時，表單特性會同化為檢視選項。

連結相互關聯規則會選取使用者可能擁有的資源帳號。在指定使用者檢視後，連結相互關聯規則即會傳回身份識別、身份識別清單或選項對映。

若規則傳回選項對映，檢視處理程式即會使用該對映尋找資源帳號，並取得符合這些選項的身份識別清單。例如，getResourceObjects FormUtil 方法的 searchFilter 選項，可用以將搜尋篩選器傳送至 LDAP 資源介面。

連結相互關聯規則必須將 authType 屬性設為 SPERule，並將 subtype 設為 SUBTYPE_SPE_LINK_CORRELATION_RULE。

連結確認規則

連結確認規則可從連結相互關聯規則所選取的可能帳號清單中，消除任何資源帳號。在您指定使用者檢視與候選資源帳號清單後，連結確認規則即會從候選清單中選取最多一個的資源帳號。使用者檢視可在「view」路徑下找到，而候選清單則位於「candidates」路徑下。

若連結相互關聯規則只選取一個資源帳號，則不一定需要連結確認規則。

備註	與 Identity Manager 確認規則不同，連結程序執行期間只會呼叫連結確認規則一次。

連結確認規則必須將 authType 屬性設為 SPERule，並將 subtype 設為 SUBTYPE_SPE_LINK_CONFIRMATION_RULE。

LighthouseContext API

SessionFactory 類別中已加入數個簡易的方法。第 16 頁的表格應更新如下。

連線類型	方法	說明
本機匿名	getServerInternalContext()	未經認證即傳回完整授權環境。
經過本機認證	getSPESession(String user, EncryptedData password)	建構服務提供者使用者介面的階段作業。
經過本機認證	getSPESession(Map credentials)	建構服務提供者使用者介面的階段作業。對映可指定使用者憑證，包括使用者與密碼金鑰的值。
經過本機預先認證	getSPEPreAuthenticatedSession(String user)	建構服務提供者使用者介面的預先認證階段作業。
遠端匿名	不適用	此連線類型僅可透過 SPML 使用。
經過遠端認證	getSession(URL url, String user, EncryptedData pass)	傳回經過認證的階段作業。

---

本土化範圍

過去，Identity Manager 不會本土化資源物件與功能，主要是因為這些資源物件與功能大部分是 Identity Manager 初始化期間載入 (透過 init.xml) 的範例，且物件類型的屬性會根據自訂的層級而在實際的客戶部署中有所差異。以下清單列出使用者可能會見到英文的範圍：(ID-16349)

預設使用者表單與程序對映
範例：[編輯使用者] > [安全性] > [使用者表單] 下拉式功能表
範例：[配置] > [表單與程序對映]
配置物件屬性名稱

範例：[配置] > [使用者介面]，鏈結名稱如 displayPasswordExpirationWarning

預設作業
作業範本

範例：[伺服器作業] > [配置作業] > 表格中可用的作業範本名稱

作業類型標籤

範例：[伺服器作業] > [執行作業] > [可用作業] 表格中的第二欄項目

作業定義

範例：[伺服器作業] > [尋找作業] > 第二個下拉式功能表以選取 [作業定義]

預設報告名稱

範例：[報告] > [執行報告] > [報告表格] 下找到的報告名稱

預設策略名稱

範例：[規範遵循] > [管理策略] > 稽核策略名稱與描述

預設權能名稱

範例： [編輯使用者] > [安全性] > [可用權能]

預設報告與圖形名稱
進程圖 applet/工作流程圖 applet

---

使用 helpTool

Identity Manager 6.0 發行版本新增了一項功能，該功能可讓您搜尋 HTML 格式的線上說明和文件檔案。此搜尋引擎以 SunLabs「Nova」搜尋引擎技術為基礎。

使用 Nova 引擎分兩個階段：建立索引和擷取。在編製索引階段，會分析輸入文件並建立要在擷取階段使用的索引。在擷取階段，可取得由在其中找到查詢字詞的上下文組成的「段」。由於段擷取程序需要提供原始的 HTML 檔案，因此這些檔案必須存在於搜尋引擎可存取的檔案系統中。

helpTool 是 Java 程式，可執行兩種基本的功能：

將 HTML 原始碼檔案複製到搜尋引擎已知的位置
建立在擷取階段使用的索引

您可從指令行執行 helpTool，如下所示：

$ java -jar helpTool.jar

usage:HelpTool

-d Destination directory

-h This help information

-i Directory or JAR containing input files, no wildcards

-n Directory for Nova index

-o Output file name

-p Indexing properties file

重新建立線上說明索引

用於線上說明的 HTML 檔案壓縮在 JAR 檔案中。您必須將這些檔案擷取到一個目錄下以用於搜尋引擎。請使用以下程序：

將 helpTool 發行軟體解壓縮至暫存目錄。(詳細資訊 TBD)

在此範例中，我們將檔案擷取到 /tmp/helpTool。

在 UNIX shell 或 Windows 指令視窗中，將此目錄變更為您的 Web 容器中部署 Identity Manager 應用程式的位置。

例如，Sun Java System Application Server 的目錄可能如下所示：

/opt/SUNWappserver/domains/domain1/applications/j2ee-modules/idm

將目前的工作目錄變更為 help/ 目錄。

備註	從此目錄執行 helpTool 很重要，否則將無法正確建立索引。此外，您應刪除 index/help/ 子目錄中的內容，以移除舊索引檔案。

收集用於指令行引數的以下資訊：
目標目錄 － html/help/en_US

備註	請使用適合安裝的語言環境字串。

輸入檔案 － ../WEB-INF/lib/idm.jar
Nova 索引目錄 － index/help
輸出檔案名稱 － index_files_help.txt

備註	檔案名稱並不重要，但是如果此檔案已存在，則會結束工具。

索引特性檔案 - index/index.properties
執行以下指令：

$ java -jar /tmp/helpTool/helpTool.jar -d html/help/en_US -i ../
WEB-INF/lib/idm.jar -n index/help -o help_files_help.txt -p index/index.properties

Extracted 475 files.

[15/Dec/2005:13:11:38] PM Init index/help AWord 1085803878
[15/Dec/2005:13:11:38] PM Making meta file:index/help/MF: 0
[15/Dec/2005:13:11:38] PM Created active file:index/help/AL
[15/Dec/2005:13:11:40] MP Partition:1, 475 documents, 5496 terms.
[15/Dec/2005:13:11:40] MP Finished dumping:1 index/help 0.266
[15/Dec/2005:13:11:40] IS 475 documents, 6.56 MB, 2.11 s, 11166.66 MB/h
[15/Dec/2005:13:11:40] PM Waiting for housekeeper to finish
[15/Dec/2005:13:11:41] PM Shutdown index/help AWord 1085803878

重新建立文件索引

請使用以下步驟重新建立文件索引：

將 helpTool 發行軟體解壓縮至暫存目錄。(詳細資訊 TBD)

在此範例中，我們將檔案擷取到 /tmp/helpTool。

在 UNIX shell 或 Windows 指令視窗中，將此目錄變更為您的 Web 容器中部署 Identity Manager 應用程式的位置。

例如，Sun Java System Application Server 的目錄可能如下所示：

/opt/SUNWappserver/domains/domain1/applications/j2ee-modules/idm

將目前的工作目錄變更為 help/ 目錄。

備註	必須從此目錄執行 helpTool，否則將無法正確建立索引。此外，您應刪除 index/docs/ 子目錄中的內容，以移除舊索引檔案。

收集用於指令行引數的以下資訊：
目標目錄 － html/docs
輸入檔案 － ../doc/HTML/en_US

備註	此工具會將 en_US/ 目錄和子目錄複製到目標目錄。

Nova 索引目錄 － index/docs
輸出檔案名稱 － index_files_docs.txt

備註	檔案名稱並不重要，但是如果此檔案已存在，則會結束工具。

索引特性檔案 － index/index.properties
執行以下指令：

$ java -jar /tmp/helpTool/helpTool.jar -d html/docs -i ../doc/HTML/en_US -n index/docs -o help_files_docs.txt -p index/index.properties Copied 84 files. Copied 105 files. Copied 1 files. Copied 15 files. Copied 1 files. Copied 58 files. Copied 134 files. Copied 156 files. Copied 116 files. Copied 136 files. Copied 21 files. Copied 37 files. Copied 1 files. Copied 13 files. Copied 2 files. Copied 19 files. Copied 20 files. Copied 52 files. Copied 3 files. Copied 14 files. Copied 3 files. Copied 3 files. Copied 608 files. [15/Dec/2005:13:24:25] PM Init index/docs AWord 1252155067 [15/Dec/2005:13:24:25] PM Making meta file:index/docs/MF: 0 [15/Dec/2005:13:24:25] PM Created active file:index/docs/AL [15/Dec/2005:13:24:28] MP Partition:1, 192 documents, 38488 terms. [15/Dec/2005:13:24:29] MP Finished dumping:1 index/docs 0.617 [15/Dec/2005:13:24:29] IS 192 documents, 14.70 MB, 3.81 s, 13900.78 MB/h [15/Dec/2005:13:24:29] PM Waiting for housekeeper to finish [15/Dec/2005:13:24:30] PM Shutdown index/docs AWord 1252155067