Sun[TM] Identity Manager 8.0 Release Notes

In diesem Abschnitt der Identity Manager 8.0-Versionshinweise finden Sie folgende Informationen:

Neue Funktionen in dieser Version

In diesem Abschnitt finden Sie zusätzliche Informationen zu den neuen Funktionen in Identity Manager 8.0. Die Informationen sind in die folgenden Abschnitte unterteilt:

Suns neuer Patch-Prozess

Ab der Version Identity Manager 7.1 Update 1 werden Updates mit Korrekturen für schwerwiegende und kritische Probleme, die von Kunden gemeldet wurden, über einen neuen Patch-Prozess bereitgestellt. Dieser löst den älteren Hotfix-Prozess ab.

Patches werden in einem 6-Wochen-Turnus entwickelt, getestet und veröffentlicht. Die Patches verfügen über ein Installationsprogramm mit grafischer Oberfläche, können aber auch manuell über die Befehlszeile installiert werden. Sie aktualisieren die Dateien in /WEB-INF/lib. Installationsanweisungen für einen Patch sind in den dazugehörigen Versionshinweisen (PDF-Datei) enthalten. Falls Korrekturen an den Gateway- oder Password-Sync-Komponenten erforderlich sind, wird dies ebenfalls in den Versionshinweisen beschrieben. In diesem Fall muss die entsprechende Aktualisierung bei der Patch-Installation vorgenommen werden.

Die Identity Manager-Patches sind kumulativ, d. h. es sind weniger Probleme mit einzelnen Fehlerkorrekturen zu erwarten. Wenn Sie eine Haupt- oder Nebenversion installieren oder darauf aufrüsten, sollten Sie gleichzeitig den neuesten Patch einspielen. Wenn Sie z. B. die Version 8.0 installieren (oder darauf aufrüsten) möchten und dafür der Patch 3 zur Verfügung steht, sollten Sie diesen installieren, nachdem Sie die Version 8.0 installiert haben. In diesem Fall müssen Sie die Patches 1 und 2 nicht gesondert installieren, da der Patch 3 alle darin enthaltenen Funktionen und Korrekturen bereits enthält.

Mit dem Patch-Prozess wird es auch einfacher, den Status einer Fehlerkorrektur über die dazugehörige Fehlernummer zu verfolgen. Dennoch kann es vorkommen, dass eine Korrektur aus einer älteren Version in einer neueren Version noch nicht verfügbar ist. Unabhängig von dem Prozess, den Ihre aktuelle Identity Manager-Version verwendet, müssen Sie sich daher immer vergewissern, dass die neue Zielversion von Identity Manager alle Korrekturen enthält, die Sie brauchen.

Bei der Veröffentlichung eines neuen Patches wird der gesamte Kundendienst/Support darüber informiert. Alle Patches stehen über den Kundendienst zur Verfügung. Um den jeweils neuesten Patch zu erhalten, wenden Sie sich bitte an den Sun Kundendienst unter http://www.sun.com/service/online/us.

Hauptfunktionen

Verbesserungen an den Rollenfunktionen

Verbesserte Berichtsfunktionen (Data Exporter)

Attributkonfiguration

Verbesserungen an den Rollenfunktionen

Identity Manager 8.0 bietet jetzt ein Lifecycle-Management für Rollen. Das Erstellen, Bearbeiten und Löschen von Rollen kann damit von einer entsprechenden Änderungsgenehmigung abhängig gemacht werden. Änderungen an Rollen können für alle damit verknüpften Benutzer übernommen werden. Das Lifecycle-Management für die Benutzer-Rollenzuweisung wurde ebenfalls verbessert und unterstützt jetzt auch zukünftige und temporäre Rollenzuweisungen. Neue Rollentypen mit konfigurierbaren Funktionen (standardmäßig Geschäftsrollen, IT-Rollen, Anwendungen und Assets) sollen helfen, Best Practices in der Rollenverwaltung umzusetzen. So können z. B. Geschäftsrollen Rollen enthalten, die für alle Benutzer erforderlich sind, darüber hinaus aber für bestimmte Benutzer nur bedingt gelten sollen und/oder von anderen Benutzern optional (ggf. abhängig von einer Genehmigung) angefordert werden können. So kann der Entwickler der Geschäftsrolle den Zugriff bereits grobkörnig vorgeben, gleichzeitig aber dem Benutzer bzw. dessen Manager die Möglichkeit geben, die endgültige Feinabstimmung der Zugriffsrechte vorzunehmen.

Verbesserte Berichtsfunktionen (Data Exporter)

Mit der neuen Funktion „Data Exporter“ werden Vorgangsdaten, die von Identity Manager verwendet und produziert werden, auch für andere Prozesse und Anwendungen verfügbar. Mit dieser Funktion können Daten, die in Identity Manager gespeichert sind bzw. diesen durchlaufen, turnusmäßig in ein externes Data-Warehouse-System oder Business-Intelligence- und Reporting-Werkzeuge exportiert werden. Die Data-Exporter-Funktion ist optional. Sofern sie aktiviert ist, kann der Benutzer konfigurieren, welche Daten wann exportiert werden. Mit den Exportdaten lassen sich dann Fragen der Art „Wer hatte Zugriff auf Ressource X, und wer hat diesen Zugriff genehmigt?“ beantworten. Außerdem lassen sich auf dieser Basis Berichte zum Identity Manager-Betrieb erstellen, z. B. „Ressourcenvorgänge nach Ressource“ oder „Reaktionszeigen für manuelle Aktionen im Workflow“. Indem Vorgangsdaten (im Identity Manager-Repository gespeichert) und historische Daten (von der Data-Exporter-Funktion exportiert) voneinander entkoppelt werden, hat der Benutzer volle Kontrolle über die Verwendung dieser Daten. Da die Daten nach einem dokumentierten, schemakonformen Verfahren bereitgestellt werden, kann der Benutzer außerdem Analyseprozesse entwickeln und verwenden, die auch mit zukünftigen Versionen von Identity Manager kompatibel sind.

Attributkonfiguration

Erweiterte, abfragbare und Übersichtsattribute können jetzt für Rollen und Benutzer konfiguriert werden. Die neue Konfiguration für erweiterte Attribute unterstützt die Angabe einer Wertsyntax (STRING, INT, DATE, oder BOOLEAN) sowie einer Textbeschreibung. Außerdem kann festgelegt werden, ob das Attribut einzelne oder mehrere Werte haben kann.

Administrator- und Benutzeroberflächen

Über die Seite „Formular- und Prozesszuordnungen konfigurieren“ können Benutzer jetzt ein benutzerdefiniertes Formular für die fragenbasierte bzw. anonyme Anmeldung festlegen. (ID-4697)

Die Oberfläche für die Rollenverwaltung wurde um die neuen Rollenfunktionen erweitert. Nähere Informationen finden Sie im Kapitel „Roles and Resources“ im Dokument Identity Manager Administration 8.0. (ID-15518)

Standardmäßig sind Prozessdiagramme in dieser Version von Identity Manager deaktiviert. Sie können sie aktivieren, indem Sie das Systemkonfigurationsobjekt bearbeiten und den bzw. die Anwendungsserver neu starten. Eine Anleitung finden Sie im Abschnitt „Enabling Process Diagrams“ im Dokument Identity Manager Administration 8.0. (ID-16337)

Auf der Seite „Abstimmungsrichtline bearbeiten“ wurde eine optionale Sicherung eingebaut. Diese Sicherung ermittelt die Anzahl fehlender Konten auf einer Ressource. Falls ein bestimmter Schwellenwert überschritten wird, hindert sie das Abstimmungsprogramm daran, die Konten zu trennen. Nähere Informationen finden Sie im Kapitel „Data Loading and Synchronization“ im Dokument Identity Manager Administration 8.0. (ID-16391)

Identity Manager verhält sich jetzt anders, wenn Benutzer mit ausstehenden Arbeitselementen gelöscht werden sollen. Nähere Informationen finden Sie im Dokument Identity Manager Administration 8.0, Kapitel „Administration“, Abschnitt „Managing Work Items“, Unterabschnitt „Delegations to Deleted Users“. (ID-16417)

Beim Definieren von AdminRole-Rollen kann jetzt ein Kontrollkästchen namens Alle gesteuerten untergeordneten Organisationen und enthaltene Objekte ausschließen aktiviert werden, um alle untergeordneten kontrollierten Organisationen und die darin enthaltenen Objekte aus der Verwaltungsbefugnis auszuschließen. Wenn dieses Kontrollkästchen deaktiviert ist, hat ein Benutzer mit der betreffenden AdminRole-Rolle auch Verwaltungsbefugnis für alle untergeordneten Organisationen und deren Inhalt. (ID-16859)

Admin-Rollen werden jetzt als Namen in Suchergebnissen angezeigt. (ID-17130)

In Identity Manager 8.0 wurden die Ergebnisseiten in der Endbenutzeroberfläche dahingehend vereinfacht, dass nur noch eine Statusmeldung angezeigt wird. Beim Aufrüsten von einer Vorgängerversion werden standardmäßig die ursprünglichen Prozessdiagramme beibehalten. Bei neuen Installationen wird hingegen die Statusmeldung angezeigt. Um standardmäßig die Prozessdiagramme anzuzeigen, klicken Sie auf „Konfigurieren“ -> „Benutzeroberfläche“ und aktivieren die Einstellung „Endbenutzer-Prozessdiagramme aktivieren“.

Das Anmeldeformular für Endbenutzer wurde vereinfacht und umgestaltet, sodass es jetzt einfacher zu bedienen ist.
Hierzu wurde die JSP-Datei user/login.jsp geändert. Wenn diese Datei in der Vorgängerversion angepasst wurde, müssen diese Anpassungen nach dem Upgrade manuell in die neue Version übernommen werden. (ID-17368)

Auf dem neuen Endbenutzer-Standardformular zur Passwortänderung können Benutzer ihr Passwort ändern. Auf diesem Formular werden die Passwortrichtlinien für alle Ressourcen zusammengefasst, die dem Benutzer zugewiesen sind. Passwortänderungen gelten dann für alle zugewiesenen Ressourcen. Das ursprüngliche, einfache Passwortänderungsformular sollte gewählt werden, wenn der Benutzer auswählen können soll, für welche Ressourcen die Passwortänderung gilt. (ID-17371)

Die Fehlermeldung, die dem Benutzer bei der Anmeldung angezeigt wird, wenn Authentifizierungsfragen beantwortet werden müssen, wird jetzt als Warnmeldung dargestellt. (ID-17549)

Wenn die Funktion „Anonyme Anmeldung“ aktiviert ist, erscheint auf der Endbenutzer-Oberfläche keine Schaltfläche „Konto anfordern“ mehr. Stattdessen wird der Text „Neuer Benutzer?“ mit einem Link „Konto anfordern“ angezeigt. Unter dem Link erscheinen weitere Informationen. Der Text auf dieser Seite kann angepasst werden. Nähere Informationen finden Sie im Dokument Identity Manager Technical Deployment Overview. (ID-17582)

Die DatePicker-Anzeigekomponente hat jetzt eine Eigenschaft disableTextInput. Wenn diese Eigenschaft aktiviert ist, kann der Benutzer keine Eingaben mehr über ein Textfeld machen, sondern muss ein Datum über den Popup-Kalender auswählen. (ID-17586)

Überwachung

Überwachungsprotokolleinträge zu Aktionen im Zusammenhang mit der Bereitstellung von Ressourcenkonten sind jetzt für Überwachungsadministratoren der Objektgruppen sichtbar, die die betreffenden Ressourcen enthalten. Dies gilt unabhängig davon, ob diese Gruppen den Benutzer enthalten, den die Aktion betrifft. (ID-17724)

E-Mail-Benachrichtigungsereignisse werden jetzt überwacht. In der Administratoroberfläche gibt es auf der Überprüfungskonfigurationsseite (Konfigurieren > Überwachung) eine neue Überprüfungsgruppe namens Ereignisverwaltung. (ID-17734)

Data Exporter

Mit der Funktion „Data Exporter“ können Daten aus Identity Manager turnusmäßig zur Weiterverarbeitung in ein externes Data-Warehouse-System exportiert werden.

Formulare

Für Felder mit einem Bestätigungseigenschaftswert, der sich auf eine Quellkomponente bezieht (z. B. das Feld „Passwort bestätigen“ auf dem Registerformular für Benutzer), wird der Wert nicht mehr automatisch auf den Wert der Quellkomponente gesetzt, wenn dieser beim Absenden des Formulars an den Server Null ist. Wenn ein Paar aus einem Quell- und einem Bestätigungsfeld einen Standardausdruck hat, sollten Sie daher sicherstellen, dass dieser sowohl auf das Quell- als auch das Bestätigungsfeld angewendet wird. (ID-17838)

Identity Manager Business Process Editor (BPE)

Der Business Process Editor (BPE) wird eingestellt und ist in der nächsten Identity Manager-Hauptversion nicht mehr enthalten. Verwenden Sie stattdessen die Identity Manager Integrated Development Environment (Identity Manager-IDE). (ID-17510)

Integrierte Entwicklungsumgebung von Identity Manager (Identity Manager-IDE)

Die Identity Manager Integrated Development Environment (Identity Manager-IDE) wird nun unter https://identitymanageride.dev.java.net bereitgestellt. Auf derselben Website finden Sie auch Anleitungen zu Installation, Konfiguration und zum Migrieren von Projekten. (ID-17700)

Installation

In dieser Identity Manager-Version werden die folgenden Anwendungsserver nicht mehr unterstützt: (ID-16369)

Apache Tomcat Version 4.1.x

BEA Weblogic Express 8.1

BEA Weblogic Server 8.1

IBM Websphere Application Server - Express Version 5.1.1

IBM Websphere 6.0

Sun ONE Application Server 7

Passwortsynchronisation

PasswordSync-Versionen vor Version 7.1.1 sollten auf allen Domänen-Controllern zumindest auf Version 7.1.1 aktualisiert werden.

Es gibt separate Installationsprogramme für die 32- und 64-Bit-Version von PasswordSync. Das 32-Bit-Installationsprogramm kann jetzt nur unter 32-Bit-Versionen von Windows ausgeführt werden, das 64-Bit-Installationsprogramm nur unter 64-Bit-Versionen. Wenn Sie versuchen, das falsche Installationsprogramm zu starten, führt dies zu einem Fehler. (ID-17290)

Berichte

Identity Manager-Einsatzberichte und Identity Auditor-Richtlinienverletzungsberichte enthalten beim Download im PDF-Format jetzt Diagramme. (ID-10719)

Ein neuer Bericht namens „Bericht für einzelnen Benutzerüberprüfungsprotokoll“ steht zur Verfügung. Wie bei den Überprüfungsprotokollberichten beruht auch dieser Bericht auf Ereignissen aus dem System-Überwachungsprotokoll. Er gibt jedoch nur die Aktivitäten zurück, die im Zusammenhang mit einem bestimmten, frei wählbaren Benutzer ausgeführt wurden. Nähere Informationen finden Sie im Kapitel „Reporting“ im Dokument Identity Manager Administration 8.0. (ID-16976)

Bei der Überwachungsberichtaufgabe (und anderen Berichten, die die LogRecordFormatter-Komponente verwenden) kann jetzt ausgewählt werden, welche Spalten im Bericht erscheinen. Verwenden Sie hierzu die Attribute useCustomColumns und customColumns in der Aufgabendefinition und -vorlage. (ID-17712)

Sie können Berichte jetzt so anpassen, dass auch Administratoren, die lediglich Fähigkeiten zum Ausführen von Berichten haben, vor dem Ausführen des Berichts die Berichtparameter festlegen können. (ID-17733) Hierdurch können solche Administratoren die Berichtparameter festlegen, bevor sie den Bericht ausführen oder als CSV-/PDF-Datei herunterladen. Identity Manager speichert diese Änderungen nicht in der Berichtsdefinition.

Sie können auswählen, welche Spalten im Bericht „Individueller Benutzerüberprüfungsbericht“ (und anderen Berichten mit dem Executor com.waveset.report.AuditReportTask) angezeigt werden. Verwenden Sie hierzu die Attribute useCustomColumns und customColumns in der Aufgabendefinition und -vorlage. Bei anderen Berichten als dem individuellen Benutzerüberprüfungsbericht müssen hierzu die taskDefinition- und TaskTemplate-Objekte aktualisiert werden (durch Hinzufügen der Funktion „customColumns“). (ID-17744)

useCustomColumns -- (Boolescher Wert) Legt fest, ob die benutzerdefinierte Spaltenauswahl aktiviert ist.

customColumns -- (Zuordnung) Legt fest, welche Spalten der Bericht enthalten soll. Schlüssel und Wert sind dabei jeweils ein Schlüssel bzw. Wert im Nachrichtenkatalog.

Für Identity Manager-Administratoren, die nur über die Fähigkeit „Überwachungsbericht ausführen“ verfügen, stehen die Download-Schaltflächen jetzt auf der Haupt-Berichtsseite zur Verfügung. (ID-17881)

Repository

Bei Identity Manager-Installationen, die eine Oracle-Datenbank als Repository verwenden, kann das Feld „accountAttrChanges“ in der Überwachungsprotokoll-Tabelle von VARCHAR(4000) in CLOB umgewandelt werden. Diese Umstellung ist optional und sollte nur vorgenommen werden, wenn Sie im Überwachungsprotokoll „abgeschnittene“ Daten finden. Ein DDL-Beispielskript finden Sie unter web/sample/convert_log_acctAttrChangesCHAR2CLOB.oracle.sql. Erstellen Sie eine Sicherungskopie der betroffenen Tabellen, bevor Sie das Skript ausführen. (ID-17343)

Ressourcen

Neue Ressourcenadapter

Der Sybase ASE-Ressourcenadapter ersetzt den Sybase-Ressourcenadapter, dessen Unterstützung eingestellt wurde. Der Sybase ASE-Adapter bietet die Möglichkeit, Benutzer in mehreren Datenbanken zu verwalten. (ID-16872)

Aktualisierungen bei Ressourcenadaptern

Die Mainframe-Adapter unterstützen IBM Host on Demand V10. (ID-6419)

Im Ressourcen-Assistent für den Microsoft SQL Server-Adapter wurde die Auswahl der Datenbanken vereinfacht. Die Attribute userName$(dbname) und roles$(dbname) im Schema werden automatisch entsprechend aktualisiert. (ID-8546)

Die SAP-Adapter können jetzt internationalisierte Meldungen anzeigen. (ID-9077)

Die Klasse com.waveset.adapter.AttrParse wurde entfernt. Verwenden Sie stattdessen die Klasse com.waveset.object.AttrParse. (D-11870)

Die UNIX-Adapter unterstützen jetzt SSHPubKey-Verbindungen. Mit dieser neuen Funktion können Benutzer von vertrauenswürdigen Rechnern aus Verbindungen zu Remote-Hosts aufbauen, ohne ein Passwort einzugeben. (ID-11959)

Der SAP-Adapter unterstützt die Bereitstellung in jeder SAP-Tabelle, die von BAPI_USER_CREATE1 und BAPI_USER_CHANGE aufgerufen wird, insbesondere die Tabellen GROUPS und PARAMETER. (ID-12217)

In Kontennamen ist jetzt das Sonderzeichen @ zulässig, sofern die betreffende Ressource dies ebenfalls unterstützt. (ID-12383)

Den Ressourcen „RACF“ und „RACF_LDAP“ wurde ein neues boolesches Kontenattribut „TSO.Delete Segment“ hinzugefügt. Wenn dieses Attribut auf den Wert „true“ gesetzt ist, wird das TSO-Segment aus dem RACF-Benutzer gelöscht. (ID-13347)

Die Adapter „RACF“ und „RACF_LDAP“ können so konfiguriert werden, dass sie auch Attribute unterstützen, die sich nicht in den standardmäßig unterstützten Segmenten befinden. (ID-13351)

Der SAP-Ressourcenadapter gibt jetzt die Liste der verfügbaren Benutzertypen und -gruppen zurück. (ID-16123)

Dasselbe Gateway kann jetzt für die Bereitstellung und für die Pass-Through-Authentifizierung verwendet werden (NetWare-Konten). Weitere Informationen zum Umsetzen dieser Funktion finden Sie im Dokument Identity Manager Resources Reference. (ID-16584)

Mit dem Ressourcenparameter Siebel 8.0 nextRecord()-Fehler ignorieren kann festgelegt werden, dass der Siebel CRM-Adapter den nextRecord()-Fehler ignorieren soll, der unter Siebel 8.0 auftritt. Nähere Informationen zu diesem Fehler finden Sie im Siebel Alert 1315. (ID-16779, 18159)

Der SAP-Adapter versucht nicht, Konten umzubenennen, wenn das Ressourcenattribut CUA aktivieren auf den Wert „true“ gesetzt ist. (SAP unterstützt im CUA-Modus keine Umbenennungen.) (ID-16986)

Der Datenbanktabellen-Ressourcenadapter unterstützt jetzt das Umbenennen von Konten. (ID-16993)

Der SAP-Adapter wurde um den Ressourcenparameter Anzahl der pro Verbindung gelesenen Benutzer erweitert. Dieser Parameter stellt sicher, dass belegter Speicher zeitnah wieder freigegeben wird. (ID-17017)

Der Solaris-Ressourcenadapter kann nun erzwingen, dass Benutzer ihre Passwörter bei der nächsten Anmeldung ändern. Um diese Funktion zu aktivieren, fügen Sie expirePassword in die Spalte „Identity System-Benutzerattribut“ der Schemazuordnung und force_change in die Spalte „Ressourcen-Benutzerattribut“ ein. Dieser Attributtyp muss auf „String“ gesetzt werden. (ID-17032)

Die Adapter für SAP, SAP HR und AccessEnforcer (zugrunde liegende SAP-Implementierung) unterstützen jetzt Secure Network Communications (SNC). Weitere Informationen zum Umsetzen dieser Funktion finden Sie im Dokument Identity Manager Resources Reference. (ID-17059)

Der integrierte Identity Manager-Pool für JDBC-Verbindungen unterstützt jetzt ein Leerlauf-Timeout. Verbindungen im Pool, die über diese maximale Leerlaufdauer hinaus nicht verwendet werden, werden geschlossen und verworfen. (ID-17107)

Der SAP-Adapter von Identity Manager unterstützt jetzt die Kontenattribute „accountLockedNoPwd“ und „accountLockedWrngPwd“. Das Attribut „accountLockedNoPwd“ gibt an, ob das Konto gesperrt ist, weil der Benutzer kein Passwort hat. Das Attribut „accountLockedWrngPwd“ gibt an, ob das Konto aufgrund von fehlgeschlagenen Anmeldeversuchen gesperrt wurde. (ID-17296)

Die Klasse „HostAccess“ wurde um die Methode sendKeys(EncryptedData) erweitert. Diese kann verwendet werden, um zu vermeiden, dass Passwörter protokolliert werden. (ID-17544)

Der Datenbanktabellen-Adapter verarbeitet den Oracle-Datentyp „timestamp“ korrekt, wenn Sie das Kontrollkästchen Native Zeitstempel auf der Seite „Ressourcenparameter“ aktivieren. (ID-17551)

Für den Adapter „JMS Listener“ steht jetzt der neue Ressourcenparameter Zeitüberschreitung beim Empfang zur Verfügung. Hiermit können Sie konfigurieren, wie lang der Adapter auf eine eingehende Meldung wartet, bevor der Abruf abgebrochen wird. Der Standardwert beträgt 10 Sekunden. (ID-17935)

Der Adapter „JMS Listener“ baut jetzt für jeden Abruf eine neue Verbindung auf. (ID-17941)

Der Adapter „JMS Listener“ kann jetzt mit Java Management Extensions (JMX) überwacht werden. (ID-17943)

Bei Passwortänderungen in NDS Groupwise werden verschlüsselte Passwörter jetzt korrekt verarbeitet. (ID-18020)

Für Sun Access Manager-Ressourcen im Vorgängermodus gibt es jetzt den neuen Ressourcenparameter „Suchumfang“. Dieses Attribut legt den Umfang von Suchen in Access Manager-Objekten fest. Zulässige Werte sind „oneLevel“ und „subTree“. Der Standardwert ist „subTree“. (ID-18079)

Rollen

Für jede Rolle können Eigentümer entweder statisch oder dynamisch über eine Regel festgelegt werden. (ID-10602)

Beim Importieren von Rollen, die Verknüpfungen zu vorhandenen übergeordneten Rollen enthalten, aktualisiert Identity Manager jetzt die vorhandenen Rollen mit den Verknüpfungen zu den neu importierten Rollen. (ID-15482)

Die Rollenverwaltung in Identity Manager wurde stark überarbeitet. Durch neue Funktionen gibt es jetzt viel umfassendere Möglichkeiten für ein Lifecycle-Management sowohl für Rollen als auch für die Benutzer-Rollenzuweisung. Identity Manager unterstützt jetzt vier Rollentypen: Geschäftsrollen, IT-Rollen, Anwendungen und Assets. Beim Aufrüsten von einer früheren Identity Manager-Version auf Identity Manager 8.0 werden die alten Rollen automatisch in IT-Rollen umgewandelt. Ausführliche Informationen zur Funktionsweise von Rollen in Identity Manager 8.0 finden Sie im Kapitel „Roles and Resources“ im Dokument Identity Manager Administration 8.0. (ID-17677)

Die Oberfläche zur Rollenverwaltung bietet jetzt die Möglichkeit, Änderungen an Rollen für die damit verknüpften Benutzer zu übernehmen. (ID-17719)

Der Benutzerzusammenfassungsbericht und die Rollenberichte enthalten jetzt mehr Informationen zu Rollen und Rollenzuweisungen. (ID-17751)

Identity Manager unterstützt jetzt erweiterte Attributwerte für Rollen. (ID-17770)

Szenarien

Identity Manager 8.0 unterstützt nicht mehr das Szenario „Sun Communications Services“ (bisher in idm/sample/scenario1) und das Szenario „HR Database/Active Directory Deployment“ (bisher in idm/sample/scenario2). Verweise auf diese Szenarien wurden aus dem Dokument Identity Manager Technical Deployment Overview entfernt. (ID-18519)

Sicherheit

Die Oberfläche für die Anmeldung über eine Frage funktioniert jetzt intuitiver, wenn sie zur Pass-Through-Authentifizierung für LDAP- und AD-Ressourcen verwendet wird. Benutzer, die ihr Passwort vergessen hatten, mussten bisher ihr Identity Manager-Konto (das sie eventuell gar nicht kannten) anstelle ihres Ressourcenkontos angeben. Auf der interaktiven Seite für geheime Fragen muss der Benutzer jetzt sowohl das Ressourcenkonto als auch das Passwort erneut eingeben, während bisher nur das Passwort erforderlich war. (ID-9616)

Die SSH-Authentifizierung unterstützt jetzt Paare aus einem privaten und einem öffentlichen Schlüssel. Mit dieser neuen Funktion können Benutzer von vertrauenswürdigen Rechnern aus Verbindungen zu Remote-Hosts aufbauen, ohne ein Passwort einzugeben. (ID-11959)

Passwörter, die in der Passworthistorie des Benutzerobjekts gespeichert sind, werden jetzt in ihrer ursprünglichen Groß-/Kleinschreibung gespeichert. Der Vergleich im Rahmen der Durchsetzung der Passwortrichtlinie berücksichtigt die Groß-/Kleinschreibung jedoch weiterhin nicht. Die Änderung wirkt sich also nicht auf die Funktionsweise des Produkts aus. (ID-12705)

Diese Version enthält eine Sicherheitsfunktion zur Verhinderung von CSRF-Angriffen (Cross-Site Request Forgery). Standardmäßig ist diese Funktion nicht aktiviert. Sie erfordert Cookies. Wenn Sie Cookies aus Sicherheitsgründen deaktiviert haben, sollten Sie diese Funktion nicht aktivieren, da Sie ansonsten Identity Manager nicht mehr nutzen können. Das Cookie enthält keine vertraulichen Benutzerdaten und existiert ausschließlich im Arbeitsspeicher während der Benutzersitzung. (ID-16703)

Um die Sicherheitsfunktion zu aktivieren, bearbeiten Sie das Systemkonfigurationsobjekt und ändern Sie die Einstellung security.csrfGuardToken.enable auf den Wert true. Eine Anleitung zum Bearbeiten des Systemkonfigurationsobjekts finden Sie im Dokument Identity Manager Administration 8.0.

Identity Manager unterstützt jetzt eine neue aufgabenbasierte Fähigkeit namens „Debug“. Es können jetzt nur noch Benutzer mit dieser Fähigkeit auf den Debug-Seiten von Identity Manager auf Vorgänge zugreifen und diese ausführen. Bisher konnten dies unter bestimmten Umständen auch Benutzer ohne die korrekten Berechtigungen, sofern sie über bestimmte andere Fähigkeiten verfügten. Ab sofort werden Benutzer ohne die Fähigkeit „Debug“ jedoch auf eine Fehlerseite weitergeleitet. Standardmäßig erhalten die Administrator- und Configurator-Benutzer diese Fähigkeit. Die neue Fähigkeit „Debug“ ist darüber hinaus auch in den Fähigkeiten „Waveset Administrator“ und „Sicherheits-Administrator“ enthalten. (ID-16999)

Es gibt jetzt die Möglichkeit, eine Ablaufdauer für Konten festzulegen, die wegen mehreren falschen Antworten auf Anmeldefragen gesperrt wurden. Führen Sie die folgenden Schritte aus, um diese Funktion zu aktivieren:

Wählen Sie unter „Sicherheit“/„Richtlinien“ eine Richtlinie zum Bearbeiten aus.

Unter „Benutzerkonto-Richtlinienoptionen“ sehen Sie jetzt die neue Option: „Durch falsche Fragen erzeugte Kontosperre läuft ab in“. Hier können Sie einen Wert und eine Zeiteinheit festlegen. Der Wert 0 bedeutet, dass die Sperre nie abläuft. (ID-17139)

Die Zähler für fehlgeschlagene Passwort- und Frage-Anmeldungen werden beim automatischen Ablauf der Kontensperre nicht zurückgesetzt. Die Anzahl der fehlgeschlagenen Anmeldeversuche (über Passwort bzw. Fragen) wird in der Endbenutzer- und Administrator-Oberfläche korrekt angezeigt. (ID-17412)

Waveset.properties enthält jetzt die Eigenschaft ui.web.baseHrefURL zur Konfiguration mit relativen URLs. (ID-17763)

Identity Manager unterstützt jetzt die Konfiguration von PKCS#11-Schlüsselspeichern. Hierzu musste eine nicht rückwärtskompatible Änderung an der HTML-Komponente „TransactionSigner“ vorgenommen werden. (ID-17769)

Identity Manager unterstützt jetzt relative URLs. (ID-18507)

Server

Die Leistung wird bei steigender Anzahl der dynamischen Mitglieder einer Objektgruppe nun deutlich besser. (ID-17561)

In Identity Manager 8.0 ist die Definition von erweiterten, abfragbaren und Übersichtsattributen für Benutzerobjekte jetzt im neuen Objekt IDM Schema Configuration konsolidiert. (ID-17784) In früheren Versionen von Identity Manager musste der Administrator das Konfigurationsobjekt User Extended Attributes bearbeiten, um erweiterte Attribute für Benutzerobjekte hinzuzufügen, bzw. das Konfigurationsobjekt UserUIConfig, um weitere abfragbare bzw. Übersichtsattribute festzulegen. Jetzt muss der Administrator für all diese Aufgaben nur noch das Objekt IDM Schema Configuration bearbeiten.

SPML

Die OpenSPML-Implementierung enthält jetzt eine SPML-Timeout-Einstellung für Webdienst-Aufrufe. (ID-17687)

Falls Sie in einer Vorgängerversion SPMLv2 genutzt und dabei mit dem Wert des Attributs „objectclass“ gearbeitet haben, beachten Sie bitte, dass der Wert dieses Attributs jetzt unter dem Attribut „spml2ObjectClass“ geführt wird. (ID-17757)

Synchronisation

Bei der ActiveSync-Formularverarbeitung wurde das idmManager-Attribut auf bestimmten Adaptern nicht im ActiveSync-Namespace angezeigt. In dieser Version wurde die Methode toHashMap so geändert, dass das idmManager-Attribut an die zurückgegebene Zuordnung angehängt wird, sodass auch eine Synchronisation im Rahmen von ActiveSync möglich ist. (ID-16717)

Sonstiges

Die Unterstützung für die com.waveset.server.Server-Funktionen public Map getResourceObjectListCache() und public Map getResourceObjectGetCache() wurde eingestellt. Bei diesen Caches handelt es sich um interne Datenstrukturen. Code, der diese Strukturen verwendet, wird daher nicht mehr funktionieren. (ID-14790)

Identity Manager hat jetzt eine Funktion zur Produktregistrierung. Zur Registrierung benötigen Sie Ihr Sun Online-Konto und Ihr Passwort. Wenn Sie noch kein Sun Online-Konto haben, können Sie sich unter der folgenden Adresse registrieren: (ID-17133)

Bei der Produktregistrierung kann die folgende Fehlermeldung erscheinen, wenn Ihr Anwendungsserver keine abgehenden SSL-Verbindungen zulässt: (ID-18546)

Bei der Produktregistrierung kann die folgende Fehlermeldung erscheinen, wenn alte Versionen von xml-apis.jar und xercesImpl.jar im Klassenpfad Ihres Anwendungsservers enthalten sind:

Damit Sie die Produktregistrierung nutzen können, muss Java auf Ihrem Identity Manager-Server (bzw. Servern) korrekt für SSL konfiguriert sein. Alle JARs, auf die in Ihrer Datei java.security (bzw. der entsprechenden Datei) verwiesen wird, müssen vorhanden sein. (ID-18548)

In dieser Version behobene Fehler

In diesem Abschnitt sind die Fehler beschrieben, die in Identity Manager 8.0 behoben wurden. Die Informationen sind wie folgt unterteilt:

Administrator- und Benutzeroberfläche

Über die Seite „Formular- und Prozesszuordnungen konfigurieren“ können Benutzer jetzt ein benutzerdefiniertes Formular für die fragenbasierte bzw. anonyme Anmeldung festlegen. (ID-4697)

Die DatePicker-Formularkomponente unterstützt jetzt action=true. (ID-4930)

Das NetCharts-Applet wurde durch eine JGraph-Grafik ersetzt. (ID-14736)

In der Tabelle „Serveraufgaben“ ist jetzt eine korrekte Sortierung nach Typ möglich. (ID-14850)

Beim Durchsetzen einer Passwortrichtlinie nahm Identity Manager das ursprüngliche Benutzerpasswort nicht in die Passworthistorie auf. Es wurden stattdessen nur die geänderten Passwörter protokolliert. Wenn also z. B. laut der Richtlinie die letzten drei Passwörter nicht erneut verwendet werden konnten und der Benutzer sein Passwort erst zweimal geändert hatte, ließ Identity Manager die Wiederverwendung des ersten Passworts zu. Dieser Fehler ist in dieser Version behoben. (ID-15026)

Beim Aufheben von Zuweisungen von Ressourcenkonten zu Benutzern mithilfe der Oberflächenfunktion „Benutzer bearbeiten“ wird das Feld SITUATION im Kontenindex für alle Klassen jetzt ordnungsgemäß aktualisiert. (ID-15310)

Das Menü in der Endbenutzeroberfläche, mit dem Genehmigungsarbeitselemente an andere Genehmiger weitergeleitet werden können, wurde bisher nicht korrekt gefüllt. Dieses Problem wurde behoben. Die Liste wird jetzt mit einer Liste von Genehmigern gefüllt, die in der Verwaltungsbefugnis des Benutzers liegt, der aktuell an der Endbenutzeroberfläche angemeldet ist. (ID-15935)

Bei einer Zeitüberschreitung für ein Arbeitselement des Typs „ManualAction“ (manuelle Aktion) wurde der betreffende Fehler nicht an den Benutzer zurückgegeben. Stattdessen erhielt der Benutzer ein nicht mehr aktuelles Arbeitsablauf-Prozessdiagramm, das den Eindruck vermittelte, das Formular sei korrekt verarbeitet worden. Dieses Problem wurde behoben. Der Benutzer wird in diesem Fall jetzt auf die Seite workItemTimeout.jsp weitergeleitet (es sei denn, die Option IgnoreTimeout ist aktiviert). (ID-16467)

Sie können jetzt aktuelle bzw. frühere Delegierungen von Arbeitselementen bearbeiten und speichern. (ID-16564)

Wenn ein Administrator Delegierungen im Namen eines Benutzers erstellt, kann er nur Delegierte auswählen, die in der Verwaltungsbefugnis des Benutzers liegen. Die Verwaltungsbefugnis des Administrators entspricht nun also der Verwaltungsbefugnis des Benutzers, in dessen Namen die Delegierung vorgenommen wird. Bisher konnte ein Administrator in solchen Situationen auch Delegierte auswählen, die der Benutzer selbst nicht auswählen konnte. (ID-16561)

Die Oberfläche zeigt nun die Anzahl der fehlgeschlagenen Anmeldeversuche (über Passwort bzw. Authentifizierungsfrage) an, wenn Sun Identity Manager einen Benutzer nicht authentifizieren kann. (ID-17188)

Die Sortierung in der Tabelle „Ausstehende Genehmigungen“ der Benutzeroberfläche funktioniert nun korrekt. (ID-17304)

Die Ergebnisseite nach einem Vorgang enthält jetzt immer eine OK-Schaltfläche. (ID-17482)

Bei neuen Installationen wird immer eine Ergebnisseite (Erfolg oder Fehler) angezeigt, wenn ein Passwort über die Schaltfläche „Passwort vergessen“ eingerichtet wird. Dasselbe gilt für aufgerüstete Systeme, bei denen System Configuration.forgotPasswordChangeResults.User nicht explizit eingestellt wurde. Wenn System Configuration.forgotPasswordChangeResults.User eingestellt wurde, wird weiter das bisherige Verhalten verwendet. (ID-17619)

Bei Dropdown-Feldern für die Monatsangabe wird jetzt in allen Browsern eine vollständige Monatsliste angezeigt. (ID-17740)

Verschiedene Anfälligkeiten für XSS-Angriffe (Cross-Site Scripting) sind jetzt behoben. (ID-17748, 18054).

Im HTML-Code von Tabellen, die von der SimpleTable-Anzeigekomponente und der Datei gentable.jsp erzeugt wurden, werden die <TH>-Tags jetzt korrekt geschlossen. (ID-17945)

Wenn ein einziger Browser sowohl mit der Endbenutzer- als auch der Administratoroberfläche verbunden ist, werden Formulare jetzt nur noch in der jeweils richtigen Oberfläche angezeigt. (ID-18039)

JavaScript ist in der Spalte „Status“ der Ressourcenlisten nicht zulässig. Unbedenklicher HTML-Code im Zeichenfolgeninhalt ist jedoch zulässig und wird jetzt korrekt angezeigt. (ID-18050)

Ein Fehler im Formular für Massenvorgänge erzeugt jetzt einen InlineAlert ohne sichtbaren HTML-Code. (ID-18338)

Eine Directory-Traversal-Sicherheitslücke in der Oberfläche, über die Benutzer unbefugt Zugang zu Dateien auf dem Identity Manager-Server erlangen konnten, wurde behoben. (ID-18653)

Die Seite „Konten auflisten“ wird jetzt schneller angezeigt. (ID-18751)

Überwachung

Im Überwachungsprotokoll werden Aktionen des Typs „Priorisieren“ jetzt korrekt protokolliert. (ID-16924)

Beim Erstellen einer Überwachungsrichtlinie, die auf eine Ressource mit einem Kontentyp beschränkt ist, trat bisher ein „NullPointerException“-Fehler in der Benutzeroberfläche auf. Dieses Problem wurde behoben. (ID-16977)

Beim Erstellen einer Überwachungsrichtlinienregel mithilfe von „isTrue“ wurde bisher ein Fehler gemeldet, dass die Regel einen Vergleichswert benötige. Dieses Problem wurde behoben. (ID-17041)

Kommentartext in Bescheinigungen wird nicht mehr fälschlich gelöscht. (ID-17418)

E-Mail-Benachrichtigungs-Ereignisse werden jetzt überwacht. (ID-17708)

Doppelte Datenbankschlüssel wurden aus dem Überwachungsprotokoll entfernt. Es handelt sich dabei um die Schlüssel „Extended Type“ (AV) und „Extended Action“ (PE). (ID-18642)

Mit dem Schlüssel „PE“ wurden die Aktionen „EndProcess“ und „PreOperation“ protokolliert. „PreOperation“ verwendet jetzt den Schlüssel „PP“. Mit dem Schlüssel „AV“ wurden die Aktionen „AccessReview“ und „AccessReviewWorkflow“ protokolliert. „AccessReviewWorkflow“ verwendet jetzt den Schlüssel „AW“.

Vorhandene Überwachungseinträge mit dem Schlüssel „PE“ werden in den Überwachungsprotokoll-Berichten als „EndProcess“ interpretiert. Vorhandene Überwachungseinträge mit dem Schlüssel „AV“ werden als „AccessReview“ interpretiert.

Das Aktualisieren von Überwachungseinträgen in der Datenbank mithilfe eines SQL-Skripts ist aus Sicherheitsgründen problematisch, da es anschließend so aussieht, als ob diese Einträge manipuliert wurden. Es wird daher empfohlen, Einträge der betroffenen Typen (d. h. logDb-Schlüssel PE oder AV), die vor der Version 8.0 erstellt wurden, zu ignorieren.

Delegierungen

Delegierungszyklen werden nun bei der Ausführung und bei der Erstellung überprüft. (ID-17387)

Bei einer zweistufigen Delegierung werden vorhandene Korrektur-Arbeitselemente jetzt wieder dem ersten Delegierenden zugeordnet, wenn dieser die Delegierung für Korrektur-Arbeitselemente beendet. (ID-18435)

Bei der Konfiguration der Delegierung erscheinen jetzt alle Arten von Arbeitselementen, die delegiert werden können, in der Dropdown-Liste. In der Administratoroberfläche wird die Liste nicht mehr gefiltert, sodass jetzt alle möglichen Arten von Arbeitselementen erscheinen. In der Endbenutzeroberfläche erscheinen nur die fünf grundlegenden Arten von Arbeitselementen in der Liste. (ID-18496)

In Identity Manager 8.0 gibt es jetzt Genehmigungen im Zusammenhang mit Rollentypen und Rollenänderungen, darunter auch Rollentyp-spezifische Änderungsgenehmigungen. Diese Arbeitselemente können auch delegiert werden. Außerdem können beim Delegieren dieser neuen Arbeitselemente (Rollentyp/Rollenänderung) spezifische Rollen festgelegt werden. (ID-18558)

Formulare

MultiSelect unterstützt jetzt die neue Eigenschaft displayCase, die auf „upper“ oder „lower“ gesetzt werden kann. Dies ist eine praktische Alternative zu einer valueMap-Zuordnung, die für jeden zulässigen Wert die Entsprechung in Groß- bzw. Kleinbuchstaben definiert. (ID-8356)

Installation

Wenn Sie von 6.0 oder 7.0 auf Version 7.1 oder 8.0 aufrüsten und LocalFiles verwenden, müssen Sie vor der Aufrüstung alle Ihre Daten exportieren und dann nach der Neuinstallation von 7.1 bzw. 8.0 wieder importieren. (ID-15366)

lh-Konsole

Der Befehl „lh syslog“ gibt jetzt korrekt die passenden Einträge zurück, wenn eine sehr große Anzahl von Tagen angegeben wird. (ID-17844)

Protokollierung

Die Klasse com.waveset.ui.FormUtil gibt jetzt bei ClassNotFoundException-Fehlern (und anderen Fehlern, soweit sie in dieser Klasse auftreten) eine kurze Meldung im Anwendungsserver-Protokoll aus, die auf das Systemprotokoll verweist. Die Detailangaben zum Fehler sind jetzt im Systemprotokoll zu finden. Bisher wurden die Stack-Protokolle dieser Ausnahmefehler direkt im Anwendungsserver-Protokoll ausgegeben. (ID-18473)

Organisationen

Die Objekte „User“ und „ObjectGroup“ wurden verbessert (vgl. Fehlernr. 14973) und unterstützen jetzt jeweils mehrere benutzerdefinierte Formulare (als Erweiterung der zwei bisher unterstützten Formulare „Benutzer anzeigen“ und „Benutzer bearbeiten“). Diese neuen Formulare werden in einem <CustomForms>-Element im XML-Code des User- bzw. ObjectGroup-Objekts gespeichert. In der waveset.dtd war <CustomForms> jedoch nicht als Element von <ObjectGroup> deklariert. Der XML-Code eines ObjectGroup-Objekts mit benutzerdefinierten Formularen konnte daher nicht validiert werden. Im Rahmen dieser Fehlerkorrektur wurde <CustomForms> als Element in die waveset.dtd aufgenommen. (ID-17812)

Bereitstellung

Wenn die Bereitstellung bei mehreren Ressourcen beim ersten Versuch fehlschlägt und die Ressourcen unterschiedliche Intervalle für Wiederholungsversuche haben, finden die Wiederholungsversuche jetzt bei all diesen Ressourcen korrekt statt (mit der eingestellten Anzahl und dem eingestellten Intervall). Bisher fand ein Wiederholungsversuch nur bei den Ressourcen mit dem kürzesten Intervall statt. (ID-18190)

Berichte

Die Objekte „ReportsConfig“ und „TrackedEvents“ bleiben beim Aufrüsten von einer Vorgängerversion jetzt erhalten. (ID-17363).

Sie können Berichte, die denselben Aufgabennamen haben, jetzt gleichzeitig ausführen. Aktivieren Sie hierzu das Kontrollkästchen Gleichzeitige Ausführung von Berichten zulassen? auf der Berichtsseite. (ID-14631)

Beim Bearbeiten eines Berichts kann dieser jetzt über die Schaltfläche „Ausführen“ ausgeführt werden, ohne dass dadurch die Änderungen am Bericht automatisch gespeichert werden. Verwenden Sie die Schaltfläche „Speichern“, um die Änderungen am Bericht zu speichern. (ID-17212)

Bestimmte HTML-E-Mail-Berichte enthalten jetzt korrekte, nicht-leere Spaltenüberschriften (die leeren Links in diesen Spalten wurden entfernt). (ID-17369)

Überwachungsprotokoll-Berichte zeigen jetzt alle relevanten Einträge, wenn ein Datumszeitraum als Berichtzeitraum ausgewählt wird. (ID-17621)

Gruppenberichte für Active Directory-Server mit Sicherheitsgruppen, deren Name ein &-Zeichen enthält, werden jetzt korrekt dargestellt (ohne XMLParserException-Fehler). (ID-17942)

Im Ressourcenbenutzerbericht, Ressourcengruppenbericht und Benutzerzugriffsbericht (sowie allen benutzerdefinierten Berichten, die com.waveset.report.IndividualUserReport oder com.waveset.report.GroupMemberReport verwenden) wird jetzt nicht mehr die Meldung „Keine Datensätze gefunden“ zwischen den Berichtseinträgen ausgegeben. (ID-18049)

Die Berichtsanzeige verarbeitet jetzt die Formulareigenschaft „refType“ korrekt, wenn ein Bericht bearbeitet und dann mit der Schaltfläche „Ausführen“ ausgeführt wird. Die Eigenschaft „refType“ in einem Formular weist die Berichtsanzeige an, einen ObjectRef-Verweis mit dem in refType angegebenen Typ zu erstellen. Dieser Verweis wird anstelle des Objektnamens als Attributwert für die Abfrage verwendet. (ID-18107)

Berichte, die IndividualUserReport.java verwenden (Ressourcenbenutzerbericht und Benutzerdetailbericht), werden jetzt korrekt abgerufen, wenn das Benutzername-Feld auf einen korrekten Wert gesetzt wird. (ID-18260)

Der „Bericht über Zusammenfassung der Zugriffsprüfung“ verwendet in den Bedingungen zum Abrufen der Zugriffsprüfungs-Liste jetzt das Attribut „parInstanceName“ anstelle von „parTaskInstanceName“. Wenn keine Zugriffsprüfungs-Objekte ausgewählt sind, meldet der Bericht jetzt außerdem korrekt, dass keine Datensätze gefunden wurden. (ID-18282)

Der Bericht „Bericht für einzelnen Benutzerüberprüfungsprotokoll“ hat jetzt eine Hilfeseite. (ID-18539)

Berichte mit langen Nicht-ASCII-Aufgabennamen werden jetzt mit dem korrekten Dateinamen heruntergeladen. (ID-18550)

Im Bericht über die letzten Systemmeldungen werden die Daten in der Haupttabelle des Berichts jetzt zur Anzeige auf 128 Zeichen abgeschnitten. Der Bericht wird dadurch besser lesbar, wenn der Inhalt der Meldungsspalte sehr lang ist. In den Details des Berichtseintrags sind weiterhin alle Daten enthalten. Diese Änderung gilt auch für alle Berichte, die com.waveset.report.SyslogReportTask als Executor in der Aufgabendefinition verwenden. (ID-18657)

Repository

Wenn role als Übersichtsattribut im Objekt UserUIConfig konfiguriert wird, enthält die Zusammenfassungs-Zeichenfolge standardmäßig nur drei Rollen. Verwenden Sie das Attribut SummaryAttrrResourceCountLimit in UserUIConfig, um den Standardwert zu ändern. (ID-13291)

Es kommt jetzt nicht mehr vor, dass Identity Manager gültige Verbindungen schließt und aus dem Verbindungspool entfernt. Bisher konnte es bei einem nicht-schwerwiegenden Ausnahmefehler vorkommen, dass Identity Manager eine funktionierende Verbindung schloss. (ID-13719)

Der NullPointerException-Fehler im Überwachungsbericht „Heutige/Wöchentliche Aktivität“ für das CLOB log.acctAttrChanges wurde behoben. (ID-17346)

Bei einem Überwachungsprotokoll mit einer großen Tabelle treten beim Schreiben von Überwachungsereignissen keine deutlichen Leistungseinbußen mehr auf. (ID-18053)

Ressourcen

Die Methode getResourceObjects() aus com.waveset.ui.FormUtil gibt beim Aufruf aus XPRESS jetzt mehrwertige Attribute für Active Directory-Ressourcen korrekt zurück. (ID-11965)

Der Skeleton-Test aus dem REF-Kit (Resource Extension Facility) benötigt keine Klassen mehr, die nicht im Produkt enthalten sind. Bisher war dieser Test auf die Klassen com.waveset.junit.WavesetRunner und com.waveset.junit.WavesetSuite angewiesen, die jedoch nicht mit dem Produkt ausgeliefert wurden. Der Test wurde umgeschrieben und ist jetzt nicht mehr von diesen Klassen abhängig. (ID-12370)

Die Methode Resource.getAccountAttributeType(name,mapName) funktioniert jetzt korrekt, wenn das Attribut name oder mapName den Wert null hat. (ID-13598)

Wenn Sie den Vorgang „Synchronisationsrichtlinie bearbeiten“ für eine Ressource abbrechen, hinterlässt Identity Manager keine Überbleibsel mehr im Repository, und bei Remedy-Ressourcen tritt kein Fehler mehr auf. (ID-14356)

Identity Manager zeigt eine Fehlermeldung an, wenn beim Aktualisieren von Solaris NIS-Konten ein ungültiger Gruppenname angegeben wird. (ID-15841)

Benutzer des Adapters ExampleSPML2ResourceAdapter haben gemeldet, dass Änderungsanforderungen nicht ausgeführt wurden. Die SPML-v2-Änderungsanforderung wird nun verarbeitet, wenn die Änderungselemente in Datenelementen verschachtelt sind. (ID-16646)

Bei der Fehlerbehandlung für LDAP-Ressourcenadapter wurden bisher verschiedene festkodierte Zeichenfolgen und Meldungsformate verwendet. In dieser Version sind Fehlermeldungen für Ausnahmefehler in LDAP-basierten Ressourcenadaptern nun lokalisiert. (ID-16721)

Eine Buffer-Overrun-Sicherheitslücke im Gateway-Verfolgungsmodul wurde behoben. (ID-17093)

Wenn die Option „Realm-Konfiguration kopieren“ (Copy Realm Configuration) im Sun Access Manager-Datenspeicher gesetzt ist, findet die Bereitstellung in einem Sub-Realm durch dessen Administratorbenutzer (anstelle von amAdmin) statt. Der Grund dafür ist, dass bei dieser Option die Identitäten technisch gesehen nur in dem Realm bzw. Sub-Realm existieren, in dem sie erstellt wurden. (ID-17101)

Es gibt keinen Singlethreading-Modus für die Version 8.0 des Identity Manager-NDS-Gateway. Der Registrierungsschlüssel ExclusiveNDSContext wird daher nicht mehr verwendet. Der Fehler, der bisher beim Bereitstellen von GroupWise-Benutzern über ein NDS-Gateway im Singlethreading-Modus auftrat, tritt dadurch nicht mehr auf. (ID-17144)

Der LDAP-Ressourcenadapter verursacht bei der Abstimmung keinen IndexOutOfBoundsException-Ausnahmefehler mehr. (ID-17454)

Der Adapter „Skriptgateway“ unterstützt keine Passwortänderungen. Der Adapter verhindert nun Versuche, diese Einschränkung zu umgehen, wenn Sie der Schemazuordnung ein Passwortkontenattribut hinzufügen. (ID-17533)

Bei aktivierter Verfolgung für die Klasse „LDAPResourceAdapterBase“ trat ein „Null pointer“-Ausnahmefehler auf. Dieses Problem wurde behoben. (ID-17588)

Der Verweis auf accounts[os400].accountId gibt nicht mehr waveset.accountId zurück. Stattdessen wird der korrekte accountId-Wert des OS400-Kontos zurückgegeben. (ID-17632)

Der SAP-Ressourcenadapter meldet keinen „JCO_ERROR_FUNCTION_NOT_FOUND“-Fehler mehr, wenn das SAP-System, zu dem eine Verbindung hergestellt wird, das Funktionsmodul „PASSWORD_FORMAL_CHECK“ nicht enthält. (ID-17665)

Verbindungen zu VMS-Ressourcen über SSH können jetzt erfolgreich hergestellt werden. Beim Aufrüsten müssen Sie entweder update.xml ausführen oder die Datei resourceWizardForms.xml erneut importieren, damit die entsprechenden Änderungen am VMS-Ressourcenassistenten übernommen werden. (ID-17695)

Der Ressourcenadapter „Shell-Skript“ berücksichtigt jetzt die Rückgabecodes der Vorgänge „Deaktivieren“, „Aktivieren“ und „Umbenennen“. (ID-17749)

Wenn Identity Manager Gateway korrekt heruntergefahren wird, tritt im Domino 7.x Server-Konsolenprotokoll keine Meldung über ein unerwartetes Programmende mehr auf. (ID-17782)

Die UNIX-Ressourcenadapter erstellen Temporärdateien jetzt nur noch mit Lese-/Schreibrechten für den Benutzer. (ID-17835)

Verschlüsselte Passwörter für Netware NDS GroupWise-Konten werden jetzt korrekt aktualisiert. (ID-18020)

Rollen

Regeln zur Berechnung von Ressourcenattributen aus Rollen werden nicht mehr angewendet, wenn sich ein Benutzer bei der Endbenutzerseite anmeldet. (ID-13338)

Bei der Konfiguration der Delegierung erscheinen jetzt alle Arten von Arbeitselementen, die über die jeweilige Benutzeroberfläche delegiert werden können, in der Dropdown-Liste. In der Administratoroberfläche wird die Liste nicht mehr gefiltert, sodass jetzt alle möglichen Arten von Arbeitselementen erscheinen. In der Endbenutzeroberfläche erscheinen nur die fünf grundlegenden Arten von Arbeitselementen in der Liste. (ID-18496)

Sicherheit

Benutzer müssen jetzt über die erforderlichen Rechte verfügen, um das Konto eines anderen Benutzers zu löschen. Anderenfalls wird ein Ausnahmefehler gemeldet, und die Löschung wird verhindert. Darüber hinaus wird ein Überwachungseintrag mit näheren Angaben zum Löschversuch protokolliert. (ID-15552)

Das Einrichten einer Korrelationsregel mit dem X509-Anmeldemodul verursacht keine Fehler bei der Anmeldung mehr. (ID-17128)

Verschiedene Anfälligkeiten für XSS-Angriffe (Cross-Site Scripting) wurden in dieser Version behoben. (ID-17830, 18015).

Server

Zeitstempel sind jetzt eindeutig und enthalten eine Zeitzonenangabe im Format GMT +/- <Zahl>. (ID-8297)

Das Standard-Repository LocalFiles funktioniert jetzt unter GlassFish. (ID-15589)

Ein Problem wurde behoben, das zu einem Repository-Stillstand (Deadlock) bei Genehmigungsvorgängen (Endbenutzer) und Bearbeitungsvorgängen (Administrator) führen konnte. (ID-16926)

Anwendungsserver protokollieren keine Warnmeldung mehr, wenn die Zeichenkodierung nach dem Aufruf von getReader() gesetzt wird. (ID-17900)

Eine Benutzeransicht enthält keine Arbeitselemente für das abrufende Subjekt mehr, wenn es sich bei diesem nicht um den Benutzer in der Ansicht handelt. (ID-18430)

Service Provider

Die Service Provider-Standardbenutzersuchseite (ID-11245) meldet jetzt den Fehler

Wenn sich ein Benutzer an einem SSO-Realm (Single Sign-On) authentifiziert, der zur Verwendung mit einer Service Provider Edition-Instanz konfiguriert ist, und der Benutzer in dieser Instanz aber nicht existiert, so erhält er eine entsprechende Fehlermeldung. Bisher gelangte der Benutzer dann zwar zur Service Provider Edition-Homepage, konnte dort aber keine der angezeigten Aktionen ausführen. (ID-13194)

Bei der Konfiguration von Service Provider schlägt der Befehl „export all“ von „lh console“ nicht mehr mit der Meldung java.lang.UnsupportedOperationException fehl. Auf der Debuggingseite wird IDMXUser nicht mehr als Option unter „Listenobjekte“ angezeigt. (ID-16141)

Wenn sich ein Service Provider-Benutzer bei der Service Provider-Benutzeroberfläche anmeldete, wurden bisher zwei Überwachungsereignisse für die Anmeldung erzeugt. Dieses Verhalten wurde korrigiert, und es wird nur noch ein einziges Ereignis erzeugt. (ID-16742)

Bis zu dieser Version wurden Änderungen auf Attributebene für Service Provider-Benutzer nicht in den Überwachungseinträgen verfolgt. Identity Manager überwacht jetzt hingegen auch Änderungen an Service Provider-Attributen, den Namen des Servers, auf dem die Transaktion ausgeführt wurde, sowie den Anmeldeoberflächennamen. (ID-16837)

Anders als in Identity Manager werden bei Attributänderungen in Service Provider nicht die alten Werte, sondern lediglich die angeforderten und neuen Werte aufgezeichnet. Änderungen an Ressourcenzuweisungen und Authentifizierungsantworten werden in Service Provider ebenfalls nicht aufgezeichnet.

Bei aktivierter Ereignisverfolgung wurde die Aufgabentabelle im Repository bisher sehr groß. Dieses Problem wurde behoben. (ID-16923)

SPML-Änderungsanforderungen (Service Provisioning Markup Language) in Service Provider löschen jetzt nicht mehr erweiterte Attribute, die in der Anforderung nicht angegeben sind. (ID-17145)

Transaktionsdaten im Speicher und im persistenten Datenspeicher werden jetzt korrekt synchronisiert. (ID-17384)

Identity Manager 8.0-Funktionen

Neue Funktionen in dieser Version

Suns neuer Patch-Prozess

Hauptfunktionen

Verbesserungen an den Rollenfunktionen

Verbesserte Berichtsfunktionen (Data Exporter)

Attributkonfiguration

Administrator- und Benutzeroberflächen

Überwachung

Data Exporter

Formulare

Identity Manager Business Process Editor (BPE)

Integrierte Entwicklungsumgebung von Identity Manager (Identity Manager-IDE)

Installation

Passwortsynchronisation

Berichte

Repository

Ressourcen

Neue Ressourcenadapter

Aktualisierungen bei Ressourcenadaptern

Rollen

Szenarien

Sicherheit

Server

SPML

Synchronisation

Sonstiges

In dieser Version behobene Fehler

Administrator- und Benutzeroberfläche

Überwachung

Delegierungen

Formulare

Installation

lh-Konsole

Protokollierung

Organisationen

Bereitstellung

Berichte

Repository

Ressourcen

Rollen

Sicherheit

Server

Service Provider

Synchronisation

Workflow

Weitere behobene Probleme