Identity Manager 8.0 – Bekannte Probleme

In diesem Abschnitt der Identity Manager 8.0-Versionshinweise finden Sie bekannte Probleme und Zwischenlösungen.

---

Bekannte Probleme

In diesem Abschnitt der Identity Manager 8.0-Versionshinweise finden Sie bekannte Probleme und Zwischenlösungen für die folgenden Themen:

Allgemein
Installieren und Aktualisieren
Überwachung
Data Exporter
Identity Manager Service Provider
Anmeldekonfiguration
Organisationen
Richtlinien und Fähigkeiten
Abstimmen und Importieren von Benutzern
Berichte
Ressourcen
Server
Sun Identity Manager Gateway
Aufgaben
Workflow, Formulare, Regeln und XPRESS

Allgemein

Erforderliche Felder, die in der Ressourcenschemazuordnung festgelegt wurden, werden nur beim Erstellen von Benutzerkonten geprüft (ID-220). Wenn ein Feld bei Benutzeraktualisierungen benötigt wird, muss das Benutzerformular entsprechend konfiguriert werden.
Der Organisationsname, Administratorname, Kontoname, Name des Benutzerattributs (links in der Schemazuordnung) und die Aufgabennamen werden nicht auf ungültige Zeichen geprüft (ID-1145, 1206, 1679, 1734, 1767, 2413, 3331). In den Namen für diese Objekttypen sind folgende Zeichen nicht zulässig: Dollar ($), Komma (,), Punkt (.), Apostroph ('), kaufmännisches Und (&), linke eckige Klammer ( [ ), rechte eckige Klammer ( ] ) und Doppelpunkt (:).
Wenn Sie versuchen, eine Aktion nach einem Sitzungstimeout auszuführen, wird eine irreführende Fehlermeldung auf der Kontoseite angezeigt (ID-1223).
Das Kalenderobjekt ist nicht vollständig sichtbar, wenn große Schriftarten im Browser verwendet werden (ID-2120).
Das Kontrollkästchen „Alle auswählen“ auf der Seite für die Suchergebnisse und die Listenaufgabe wird nicht deaktiviert, wenn eines der Listenelemente deaktiviert ist (ID-5090). Das Kontrollkästchen „Alle auswählen“ wird während der sich ergebenden Aktion ignoriert, wenn nicht die Kontrollkästchen aller Listenelemente aktiviert sind.
Um die Änderungen bei einem angepassten Meldungskatalog zu übernehmen, muss der Server neu gestartet werden. (ID-6792)
Der derzeitige Mechanismus zum Ermitteln eines fehlgeschlagenen Servers geht davon aus, dass alle Systeme eines Identity Manager-Clusters in Bezug auf die Zeit synchronisiert sind (ID-7064). Wenn bei dem Standardausfallintervall von fünf Minuten ein Server fünf Minuten lang nicht mit einem anderen Server synchron ist, deklariert der Server, der zeitlich voraus ist, den zeitlich nachstehenden Server für inaktiv, was unvorhersehbare Ergebnisse zur Folge haben kann.

Zwischenlösung: Einrichtung einer besseren Zeitsynchronisation oder Erhöhung des Failoverintervalls

Wenn Sie sich unter Windows mit einem Benutzernamen mit Doppelbytezeichen anmelden und die Standardcodierung für den Computer nur Einzelbytezeichen unterstützt, müssen Sie die USER_JPI_PROFILE-Umgebungsvariable auf ein vorhandenes Verzeichnis setzen, dessen Name nur Einzelbytezeichen enthält. (ID-8540)
Wenn Sie über das XML-Dateiformat eine Ressource in eine XML-Datei extrahieren und dann das CSV-Dateiformat aus der Dropdown-Liste wählen, wird die folgende Meldung angezeigt:

Das Formular wurde bereits übermittelt.

Zwischenlösung: Um diese Meldung zu vermeiden, klicken Sie auf „Konten“ > „In Datei extrahieren“ > Ressource wählen > CSV-Dateiformat wählen. Klicken Sie auf „Herunterladen“, um die Kontendetails der Ressource im Format .csv herunterzuladen. (ID-10847)

Wenn ein erweiterter Knoten weniger als eine Datenseite enthält und Sie vor dem ersten Datensatz auf der Seite für diesen Knoten ein neues untergeordnetes Element erstellen (z. B. einen Benutzer in der Organisation), fügt Identity Manager bei der nächsten Aktualisierung vor der aktuellen Seite eine Seite mit einem Element ein. (ID-12151)

Zwischenlösung: Um die Seiten erneut auszurichten, klicken Sie auf die Schaltfläche „Erste Seite“.

Wenn Sie zum Ändern der Variable showSuperAndSubRoles von 0 auf 1 ein Rollenformular ändern und dann eine Objektdefinitionsdatei einer übergeordneten Rolle importieren, die untergeordnete Rollen von der Registerkarte „Konfigurieren“ enthält, werden diese untergeordneten Rollen nicht dahingehend geändert, dass sie den Abschnitt <SuperRoles> enthalten. Wenn Sie jedoch eine übergeordnete Rolle auf der grafischen Benutzeroberfläche von Identity Manager erstellen, werden die von dieser übergeordneten Rolle referenzierten untergeordneten Rollen aktualisiert. (ID-15053)

Dieses Problem kann bei Rollen auftreten, die außerhalb von Identity Manager erstellt wurden und Referenzen zu vorhandenen Rollen (entweder untergeordnete oder übergeordnete Rollen) enthalten, die sich bereits auf dem System befinden.

Beim Importieren dieser Rollen werden die Rollen, die sich bereits auf dem System befinden, nicht bezüglich der neuen Beziehungen aktualisiert; die Referenzintegrität ist somit nicht gewährleistet. Wenn Sie Rollen auf diese Weise importieren, prüfen und ggf. korrigieren Sie die Referenzintegrität mittels RoleUpdater.

Zwischenlösung: Siehe die Erläuterungen zu ID-15482 unter Rollen.

Beim Bearbeiten des AdminRole-Objekts kann bei bestimmten Nicht-ASCII-Zeichen ein ItemNotFound-Ausnahmefehler auftreten. (ID-15782)

Zwischenlösungen:

Ändern Sie die Datei adminrolemodify.jsp so, dass die ID nicht mehr als Abfragezeichenfolge übergeben wird.

<%

   String bodyAttributes = “onload=\”selectFirstEditField();\””;

   try {

      String id = requestState.getParameter(“id”);

      if (id = = null) {

         :

      }

   else {

      form.setTitle(Messages.UI_ADMIN_ROLES_JSP_EDIT_ROLE_TITLE);

      form.setSubTitle(Messages.UI_ADMIN_ROLES_JSP_EDIT_ROLE_SUBTITLE);

      // ID nicht mehr als Abfragezeichenfolge übergeben

     //form.setPostURL(response.encodeURL(“security/adminrolemodify.jsp?id=”+id));

      form.setPostURL(response.encodeURL(“security/adminrolemodify.jsp”));

   }

Ändern Sie die Datei adminrolemodify.jsp so, dass der ID-Abfrageparameter korrekt kodiert wird.

<%

   String bodyAttributes = “onload=\”selectFirstEditField();\””;

   try {

      String id = requestState.getParameter(“id”);

      if (id = = null) {

         :

      }

      else {

         form.setTitle(Messages.UI_ADMIN_ROLES_JSP_EDIT_ROLE_TITLE);

         form.setSubTitle(Messages.UI_ADMIN_ROLES_JSP_EDIT_ROLE_SUBTITLE);

         // Wert des ID-Abfrageparameters kodieren

        //form.setPostURL(response.encodeURL(“security/adminrolemodify.jsp?id=”+id ));

         form.setPostURL(response.encodeURL(“security/adminrolemodify.jsp”?id=”

           + com.waveset.util.URLUTF8Encoder.encode(id)));

}

Wenn Sie Einstellungen in einem vorhandenen Änderungsprotokoll ändern, also z. B. weitere Spaltenattribute hinzufügen, erscheinen diese Änderungen in einer bereits vorhandenen CSV-Änderungsprotokolldatei möglicherweise nicht. (ID-15973)
Einige Worte im Bildschirm „Benutzer bearbeiten“ können im Mehrsprachenmodus umgebrochen dargestellt werden. (ID-16054)

Zwischenlösung: Um zu gewährleisten, dass Wörter in Tabellen ohne Umbruch angezeigt werden, müssen Sie Folgendes zur Datei $WSHOME/styles/customStyle.css hinzufügen:

table.Tab2TblNew td
{background-image:url(../images/tabs/level2_deselect.jpg);background-repeat:repeat-x;b ackground-position:left top;background-color:#C4CBD1;border:solid 1px #8f989f;white-space:nowrap}

table.Tab2TblNew td.Tab2TblSelTd
{border-bottom:none;background-image:url(../images/tabs/level3_selected.jpg);backgroun d-repeat:repeat-x;background-position:left bottom;background-color:#F2F4F3;border-left:solid 1px #8f989f;border-right:solid 1px #8f989f;border-top:solid 1px #8f989f;white-space:nowrap}

Prozessdiagramm-Applets sind auch in einer lokalisierten Identity Manager-Sitzung u. U. nicht vollständig lokalisiert (d.h. sie enthalten eine Mischung aus Englisch und Deutsch). (ID-16139)
Das Repositorykonfigurationsobjekt hat ein Attribut namens maxAttrValLength. Dieses Attribut hat immer den Wert 255 und wird ignoriert. (ID-16261)
Für die Passwortsynchronisation im Direktmodus muss SimpleRpcHandler in der Datei web.xml konfiguriert sein. Standardmäßig steht diese Behandlungsroutine nicht als Behandlungsroutine für das rpcrouter2-Servlet zur Verfügung. (ID-16469) Wenn Sie die Passwortsynchronisation im Direktmodus verwenden wollen, stellen Sie die Initialisierungsparameter für die Behandlungsroutine folgendermaßen ein:

<init-param>

   <param-name>handlers</param-name>

   <param-value>com.waveset.rpc.SimpleRpcHandler,com.waveset.rpc.PasswordSyncHandler
</param-value>

</init-param>

Beachten Sie, dass SimpleRpcHandler bestimmte RemoteSession-Aufrufe stört. Konfigurieren Sie ein eigenes Servlet für die Abarbeitung von RemoteSession-Aufrufen, wenn Sie RemoteSession und die Passwortsynchronisation im Direktmodus verwenden wollen.

Wenn Sie beim Bearbeiten bzw. Erstellen von Benutzern einen idmManager zuweisen, einem weiteren idmManager zugewiesen ist, der nicht existiert (wenn z.B. der idmManager fehlt), wird die folgende Fehlermeldung angezeigt und die Änderung wird nicht gespeichert. (ID-17339)

'Eintrag [nicht vorhandener „idmManager“] wurde im Repository nicht gefunden; möglicherweise wurde er in einer anderen Sitzung gelöscht.'

Beim Erstellen neuer Benutzer tritt dieses Problem nicht auf.

Der Befehl „Konten“ > „In Datei extrahieren“ speichert XML- und CSV-Dateien mit der Endung .dat (statt mit den korrekten Endungen .xml bzw. .csv). (ID-17521)

Zwischenlösung: Sie können die gespeicherten Dateien manuell umbenennen und ihnen die passende Endung geben.

Auf der Seite „Qualitätsrichtlinie für die Zeichenfolge“ wird Text in vertikalen Linien angezeigt. (ID-18551)
Rollentyp-Delegierungen haben Vorrang vor Rollengenehmigungs-Delegierungen für eine bestimmte Rolle. (ID-18559) Wenn Sie z. B. Rollen-Arbeitselemente für bestimmte Rollen an Benutzer 1 delegieren, alle Geschäftsrollen-Arbeitselemente aber an Benutzer 2, so werden auch Genehmigungen für die Rollen aus der ersten Delegierung an Benutzer 2 (und nicht an Benutzer 1) delegiert. Das Szenario ist also wie folgt:
Sie delegieren die Rollengenehmigung für die Geschäftsrolle 1 an Benutzer 1.
Sie delegieren die Rollengenehmigung für Geschäftsrollen allgemein an Benutzer 2.

Alle Anforderungen bezüglich der Genehmigung einer Geschäftsrolle für einen Benutzer werden in diesem Fall an Benutzer 2 delegiert.

Beim Aktivieren einer Rolle hat der Benutzer keine Möglichkeit, die zugewiesenen Rollen zu aktualisieren. (ID-18647)

Zwischenlösungen: Aktualisieren Sie die zugewiesenen Benutzer von Hand oder über die Seiten „Rollen auflisten“ bzw. „Rollen finden“.

Rollen, die in anderen Rollen enthalten sind, können Benutzern nun bedingt zugewiesen werden, wenn die übergeordnete Rolle zugewiesen wird. Beim Bearbeiten der übergeordneten Rolle kann eine Bedingung für die Verknüpfung zwischen der übergeordneten und der enthaltenen Rolle festgelegt werden. Diese Bedingung kann auch auf eine Regel verweisen. Wenn eine Regel verwendet wird, müssen alle für ihre Auswertung erforderlichen Benutzeransicht-Attribute als Argumente übergeben werden. (ID-18734)
Der verwendete Data-Warehouse-Meldungskatalog (WICMessages.properties) richtet sich nach dem Gebietsschema des Servers, nicht dem des Benutzers. (ID-18898) Wenn ein Anwendungsserver z. B. unter dem Gebietsschema „Japanisch“ läuft, werden die Abfrageattribute auf Japanisch angezeigt, auch wenn die Benutzeroberfläche normalerweise auf Englisch oder einer anderen Sprache angezeigt wird.

Zwischenlösung: Starten Sie den Anwendungsserver in einem Gebietsschema mit einer UTF-8-Variante neu, die der Spracheinstellung des Browsers entspricht.

In Identity Manager 8.0 gibt es ein neues abfragbares Attribut namens „assignedRoles“, das auf alle direkten und indirekten Rollen verweist, die einem Benutzer zugewiesen sind. (ID-18921) In Vorgängerversionen gab es das (weiterhin verfügbare) Attribut „role“, das lediglich die Rollen enthält, die einem Benutzer direkt zugewiesen sind. Beim Aufrüsten werden nur Benutzer mit indirekten Rollen automatisch aktualisiert, um das Attribut „assignedRoles“ mit den korrekten Daten zu füllen. Berichte über die Benutzer, die einer Regel zugewiesen sind, zeigen in einer aufgerüsteten Umgebung erst dann alle Benutzer korrekt an, nachdem alle Benutzer aktualisiert wurden.

Zwischenlösungen:

Aktualisieren Sie alle Benutzer.
Erstellen Sie einen Bericht für Benutzer mit direkt zugewiesenen Rollen.

In der Version 8.0 können drei Referenzattribute der Objektklasse „Principal“ nicht auf „User“ für den Datenexport offengelegt werden: MemberAdminGroups, adminRoles und adminGroupsRule.

Die Attribute „MemberAdminGroups“ und „adminRoles“ sind abfragbare Attribute von „User“, werden aber im Objektklassenschema nicht als solche angezeigt. (ID-18536)

Installieren und Aktualisieren

Das Installationsprogramm von Identity Manager funktioniert unter Umständen nicht mit der 64-Bit-Version des JDK. (ID-18534)

Zwischenlösungen:

Führen Sie eine manuelle Installation durch.
Verwenden Sie zur Ausführung des Installationsprogramms die 32-Bit-Version des JDK.
Setzen Sie os.arch=ppc durch Setzen von JAVA_OPTS (vom Installationsskript verwendet), um eine Installation durchführen zu können. Zum Beispiel:

export JAVA_OPTS=”-Dos.arch=ppc”

install

Oder falls JAVA_OPTS bereits die erforderlichen Optionen enthält:

export JAVA_OPTS=”$JAVA_OPTS -Dos.arch=ppc”

install

Wenn sich der Aufrüstungsprozess nicht mit dem Standardkonto und -passwort „configurator“ anmelden kann, wird dieser Fehler in der Protokolldatei protokolliert, anschließend jedoch nichts mehr. (ID-18929)

Beim Aufrüsten wird die Datei update.xml importiert. Dabei versucht die Importroutine, sich als „configurator“ mit dem Standardpasswort anzumelden. Falls die Anmeldung fehlschlägt, wird ein Fehler angezeigt, und das Aufrüstungsprogramm bittet Sie um Eingabe der korrekten Anmeldedaten. Wenn Sie die korrekten Daten eingeben, wird die Aufrüstung fortgesetzt. Wenn Sie sich anschließend die Protokolldatei für die Aufrüstung ansehen, finden Sie dort zwar noch die Fehlermeldung über die fehlgeschlagene Anmeldung, danach aber keine weiteren Protokollinformationen über die Aufrüstung. Dieses Problem betrifft aber lediglich die Protokolldatei, nicht die Aufrüstung an sich.

Das Skript upgradeto80from71.mysql enthält einen Fehler, der dazu führt, dass das Skript in der Mitte abgebrochen wird. (ID-18874, 18977)

Um diesen Fehler zu vermeiden, müssen Sie die folgende Zeile im Skript ändern:

INSERT INTO waveset.roleobj SELECT * from waveset.object where type = 'Role';

Ändern Sie diese Zeile wie folgt:

INSERT INTO waveset.roleobj (SELECT id, type, name, lockinfo, modified, repomod, summary, attr1, attr2, attr3, attr4, attr5, counter, xmlSize, xml FROM waveset.object WHERE type='Role');

Die Spaltennamen müssen explizit angegeben werden, da die Spalten in einer aufgerüsteten 7.1-Datenbank in einer anderen Reihenfolge vorliegen.

Überwachung

Während einer Prüfung wird der erneute Abruf von Benutzerkonten, die von den Ressourcen nicht abgerufen werden konnten oder bei denen andere Ausfälle aufgetreten sind, nicht unterstützt. Diese Ausfälle werden nach der Prüfung gemeldet. Es gibt jedoch keine automatisierte Möglichkeit zur erneuten Prüfung der Konten. (ID-9112)
Identity Auditor versucht, die Benutzer zwischen Richtlinienprüfungen konform zu halten, indem die Richtlinie immer dann durchgesetzt wird, wenn der Benutzer bearbeitet wird. Wenn Sie einen Benutzer bearbeiten, dem Überwachungsrichtlinien zugewiesen sind und der außerdem eine Richtlinie verletzt, können Sie die Änderungen beim Benutzer nicht speichern, und zwar auch dann nicht, wenn der Benutzer lediglich zu einer anderen Organisation verschoben werden soll. (ID-9504)

Zwischenlösung: Über das Kontextmenü (oder die Suchfunktion) im Benutzerapplet können Sie Benutzer verschieben oder die Prüfungen der Überwachungsrichtlinie vorübergehend deaktivieren.

Um die Prüfungen der Auditorrichtlinie zu deaktivieren, entfernen Sie die userViewValidators-Eigenschaft aus der Systemkonfiguration. Diese Eigenschaft hat den Wert einer Liste von Zeichenfolgen und wird während des Imports von init.xml oder upgrade.xml hinzugefügt.

Die logarithmische Skalierung für Überwachungsrichtlinien-Berichte ist nicht implementiert. (ID-9522)
Der Administrator für Auditor-Zugriffsabfragenberichte ist derzeit nicht in der Lage, eine Überwachungsrichtliniensuche zu planen. Es wird eine Fehlermeldung angezeigt: Error message: Create access denied to Subject auditadmin on type TaskSchedule. Für die Planung von Aufgaben benötigen Administratoren Erstellungsrechte für TaskSchedule authType. (ID-14713)

Zwischenlösung: Bearbeiten Sie den Administrator und erteilen Sie ihm Erstellungsrechte für TaskSchedule oder geben Sie einen Benutzer an, der mindestens über die Fähigkeiten Auditor Administrator oder Waveset Adminsistrator verfügt.

Bei der Ausführung von Überwachungsrichtlinienabfragen, die mehrere Verletzungen zurückgeben, erstellt Auditor u. U. einen Korrekturarbeitsablauf für die Verarbeitung der Verletzungen. (ID-15830) Die MySQL-Standardeinstellung für max_allowed_packet (1M) ist für einen Arbeitsablauf mit Dutzenden von Verletzungen zu niedrig. Bei Erreichen dieses Grenzwerts wird der Korrekturarbeitsablauf von Auditor nicht gestartet.

Zwischenlösung: Bei einer hohen Auslastung von Auditor muss dieser Wert deutlich größer sein. Um dieses Problem zu beheben, fügen Sie der MySQL-Konfigurationsdatei (my.cnf) max_allowed_packet = 32M hinzu und starten den Anwendungsserver erneut.

Beim Ändern der Schweregrads- und Prioritätswerte für die Korrektur von Konformitätsverletzungen kann es zu Missverständnissen kommen. Die Anfangswerte im Formular entsprechen nicht den aktuellen Werten der Konformitätsverletzungen. Es handelt sich vielmehr um die beim Vornehmen von Änderungen zuletzt eingestellten Werte. Sie müssen sich in der Listenansicht darüber im Klaren sein, welche Schweregrads-/Prioritätswerte Sie einstellen wollen, denn die aktuellen Werte lassen sich auf der Seite, auf der Sie die Werte ändern können, nicht ermitteln. (ID-16040)
Die Namen von Überwachungsrichtlinien dürfen die folgenden Zeichen NICHT enthalten: ' (Apostroph), . (Punkt), | (Linie), [ (Klammer links), ] (Klammer rechts), , (Komma), : (Doppelpunkt), $ (Dollarzeichen), " (doppeltes Anführungszeichen), = (Gleichheitszeichen). (ID-16078)
Bei Konformitätsverletzungen, die vor der Aufrüstung auf Identity Manager 7.1 erstellt wurden, können der Schweregrad und die Priorität nicht eingestellt werden. Es wird eine Fehlermeldung zurückgegeben, dass die Konformitätsverletzung nicht mehr vorhanden ist, dies stimmt jedoch nicht. Die Konformitätsverletzung ist vorhanden, aber in Identity Manager kann der Schweregrad und die Priorität nicht eingestellt werden. (ID-16420)

Data Exporter

Als Ausführungskonto für die Funktion „Data Exporter“ kann ein beliebiger Identity Manager-Administrator mit den erforderlichen Fähigkeiten konfiguriert werden. Die Export-Aufgabe wird als Dämon ausgeführt und vom Identity Manager-Planer (Scheduler) gestartet und überwacht. Von der Data-Exporter-Funktion erstellte Überwachungseinträge zeigen daher das Subjekt des Identity Manager-Planers (Scheduler:IDMServer) und nicht das Subjekt, das für die Aufgabe konfiguriert wurde. (ID-18055)
Die forensische Abfrage unterstützt keine Bearbeiten-/Ändern-Aktionen an Rollentypen. (ID-18769)

Identity Manager Service Provider

Identity Manager Service Provider und Sun Java System Portal Server sind nicht immer kompatibel, weil ein Problem bei den verschlüsselten Bibliotheken vorliegt. (ID-10744)

Sie können dieses Problem beheben, indem Sie folgende Werte in der Datei /etc/opt/SUNWam/config/AMConfig.properties für den Portalserver festlegen und anschließend den Webcontainer neu starten:

com.iplanet.security.encryptor=com.iplanet.services.util.JCEEncryption

com.iplanet.security.SSLSocketFactoryImpl=netscape.ldap.factory.

JSSESocketFactory

com.iplanet.security.SecureRandomFactoryImpl=com.iplanet.am.util.

SecureRandomFactoryImpl

Einige Konfigurationsoptionen in der Identity Manager-Administratorbenutzeroberfläche werden in Identity Manager Service Provider nicht verwendet. (ID-10843). Hierzu gehören:
Ressourcenoptionen: Kontenausschlussregel, Genehmiger und die Organisation, der die Ressource zugeordnet ist.
Rollenattribute
Standardmäßig wird die Überwachung bei checkinObject- und deleteObject-IDMXContext-API-Aufrufen nicht ausgeführt. Die Überwachung muss ausdrücklich angefordert werden, indem der IDMXContext.OP_AUDIT-Schlüssel in der Optionszuordnung, die diesen Methoden übergeben wird, auf TRUE gesetzt wird. Die createAndLinkUser()-Methode der ApiUsage-Klasse veranschaulicht, wie die Überwachung angefordert wird. (ID-11261)
Die Standardgruppe des Service Provider-Anmeldmoduls geht davon aus, dass die Service Provider-Ressource den Namen „SPE End-User Directory“ hat. Hat die Ressource jedoch einen anderen Namen, funktioniert die Anmeldeseite für Service Provider-Endbenutzer nicht einwandfrei. Auf der Seite werden dann keine Anmeldefelder angezeigt. (ID-14891)

Zwischenlösung: Aktualisieren Sie den Ressourcennamen im Objekt UI_LOGIN_MOD_GRP_DEFAULT_SPE_PWD LoginModGroup, damit der richtige Ressourcenname referenziert wird.

Da es sich bei SPE Sync um eine geplante Aufgabe handelt, lässt sich die Synchronisation nicht stoppen, indem Sie die Aufgabe auf der Aufgabenseite stoppen. Sie können dazu den Zeitplan selbst deaktivieren. (ID-16000)

Zwischenlösung: Vorzugsweise sollten Sie die Aufgabe über die Benutzeroberfläche auf der Ressourcenseite starten und stoppen oder SPE Sync programmgesteuert (z. B. aus einem Workflow heraus) über die SessionUtil-Methoden starten und stoppen. Damit SPE Sync beim Starten einer Identity Manager-Serverinstanz nicht automatisch gestartet wird, müssen Sie sie in der Synchronisationsrichtline für die Ressource deaktivieren. Durch das Stoppen von SPE Sync über die Benutzeroberfläche oder SessionUtil-Methoden wird die Synchronisation nur beendet, bis eine weitere Identity Manager-Serverinstanz gestartet wird.

Wenn Sie die Anmeldeseite für Identity Manager SPE-Endbenutzer in WebSphere verwenden, tritt die Ausnahme javax.servlet.UnavailableException auf und es wird ein 404-Fehler im Browser angezeigt. (ID-16001)

Zwischenlösung: Sie müssen im IBM 1.5 JDK die folgenden Eigenschaften festlegen:

Benennen Sie im Verzeichnis was-install/java/jre/lib jaxb.properties.sample in jax.properties um und entfernen Sie den Kommentar in diesen beiden Zeilen:

javax.xml.parsers.SAXParserFactory=

org.apache.xerces.jaxp.SAXParserFactoryImpl

javax.xml.parsers.DocumentBuilderFactory=

org.apache.xerces.jaxp.DocumentBuilderFactoryImpl

Speichern Sie die Datei und starten Sie den Anwendungsserver neu.

Anmeldekonfiguration

Das Modul für die Pass-Through-Authentifizierung funktioniert bei der Domino-Ressource nicht (ID-1646).
Änderungen bei den Seiten für das Administratoranmeldungssetup und Benutzeranmeldungssetup werden anderen angemeldeten Administratoren nicht angezeigt (ID-3487). Um die Änderungen anzuzeigen, müssen sich die anderen Administratoren bei der Administratorbenutzeroberfläche abmelden und anschließend wieder anmelden.
Wenn sich ein Administrator anmeldet und erst „Mein Passwort ändern“ und anschließend eine andere Registerkarte auswählt, wird das Konto gesperrt, bis die Sperre abgelaufen ist. (ID-3705)

Wenn ein anderer Administrator versucht, den gesperrten Administrator zu bearbeiten, wird folgende Meldung angezeigt:

com.waveset.util.WavesetException: Auf Konto #ID#Configurator kann zur Zeit nicht zugegriffen werden. Versuchen Sie es später erneut.

Wenn dieser Administrator auf OK klickt, wird das Workflow-Prozessdiagramm der letzten Aktion angezeigt.

Organisationen

Wenn bei einer Organisation, die zugewiesene Benutzer und ausstehende Bereitstellungsanforderungen aufweist, umbenannt wird, schlägt die Bereitstellungsanforderung fehl (ID-564).

Zwischenlösung: Stellen Sie sicher, dass keine ausstehenden Anforderungen vorhanden sind, bevor Sie eine Organisation umbenennen.

Wenn beim Erstellen einer neuen Organisation die Option für die Benutzermitgliedsregel vor der Angabe eines Organisationsnamens ausgewählt wird und anschließend die Seite aktualisiert wird, erscheint eine Organisations-ID im Feld für den Organisationsnamen (ID-6302). Der Name kann weiterhin vor dem Speichern der neuen Organisation festgelegt werden.

( ) - Achtung: In Klammer stehende Werte im Feld Genehmiger entsprechen keinem der zulässigen Werte.

Richtlinien und Fähigkeiten

Das Identity Manager-Kontorichtlinienattribut „Rücksetzungs-Benachrichtigungsoption“ hat die Wertoption „administrator“, welche keine Auswirkung hat (ID-944). Die einzig gültigen Optionen sind „immediate“ und „user“.
Wenn beim Löschen von mehreren Rollen ein Fehler auftritt, wird nicht mit den anderen Rollen fortgefahren, sondern der gesamte Vorgang angehalten (ID-1168).
Die Mindestanzahl der Fragen, die ein Benutzer beantworten muss, kann auf einen Wert gesetzt werden, der größer als die Anzahl der definierten Fragen ist (ID-1834). In diesem Fall kann sich der Benutzer nicht über die Option „Passwort vergessen“ anmelden.
Die Lighthouse-Standardkontorichtlinie kann nicht durch Bearbeiten der Richtlinie, Ändern des Namens oder Erstellen eines neuen Objekts geklont werden (ID-5147).

Zwischenlösung: Erstellen Sie eine neue Kontorichtlinie.

Auf dem Formular zum Starten einer Überwachungsrichtlinien-Überprüfungsaufgabe gibt es eine Option, nach Abschluss der Prüfung eine E-Mail mit einem Verletzungsbericht an eine bestimmte Adresse zu schicken. Wenn keine Verletzungen gefunden werden, wird diese E-Mail auch nicht verschickt. (ID-18773)

Abstimmen und Importieren von Benutzern

Beim Abbrechen einer Vollabstimmung wird die folgende Fehlermeldung angezeigt:

Abbruch der schrittweisen Abstimmung von [Ressource], ausgeführt auf [Server].

Die Meldung sollte wie folgt lauten:

Abbruch der vollen Abstimmung von [Ressource], ausgeführt auf [Server]. (ID-14554)

Der Wert des Attributs „waitForCompletion“ im Arbeitsablauf „Benachrichtigung über das Abstimmungsende“ muss auf „false“ geändert werden, um zu verhindern, dass der Ablauf bei der Abstimmung nicht mehr reagiert. Das Attribut „waitForCompletion“ wird in der nächsten Identity Manager-Hauptversion entfernt. (ID-16888)

Zwischenlösungen:

Importieren Sie die Datei <idm_root>/sample/wfrecon.xml mithilfe von lh console.
Ändern Sie den Arbeitsablauf „Benachrichtigung über das Abstimmungsende“ manuell mithilfe von lh config.

Wenn Objekte aus einer Ressource geladen werden und die betreffende Ressource das Attribut ACCOUNT_CASE_INSENSITIVE_IDS unterstützt, wird zum Benutzerobjekt ein zweites ResourceInfo-Feld hinzugefügt, das die gleiche Konto-ID wie die der Ressource besitzt, wenn sich die Benutzerkonto-ID in Groß- und Kleinschreibung von der ID unterscheidet, die im ResourceInfo-Benutzerobjekt von Identity Manager gespeichert ist.

Zwischenlösung: Stellen Sie sicher, dass die Groß- und Kleinschreibung der Konto-ID im ResourceInfo-Objekt von Identity Manager die gleiche ist wie die in der Ressource. (ID-17377)

Wenn Sie das Anzeigekomponenten-Applet „MultiSelect“ deaktiviert haben (und stattdessen die HTML-Version verwenden) und die Abstimmungsrichtlinie einer Ressourceninstanz bearbeiten, kann ein Fehler auftreten, wenn Sie das Kontrollkästchen „Ressourcentyp-Richtlinie übernehmen“ deaktivieren. (ID-18964)

Zwischenlösung: Aktivieren Sie die MultiSelect-Applets wieder.

Berichte

Risikoanalyseberichte können auch von Administratoren angezeigt werden, die keine Berichtsadministratoren sind (ID-1224).
Berichtsergebnisse, die mit der Option für das Nur-Text-Format per E-Mail gesendet werden, sind nicht formatiert (ID-2191).

Zwischenlösung: Verwenden Sie die HTML-Option für die E-Mail.

In den Spalten „Priorität“ und „Schweregrad“ der Verletzungszusammenfassung werden Zahlen anstatt Text angezeigt. (ID-16932)
Der Bericht „Verletzungszusammenfassung“ enthält keine korrigierten Verletzungen. Er umfasst nur Verletzungen, die momentan aktiv (neu oder wiederholt aufgetreten) sind bzw. gemindert wurden. (ID-16933)
Die Spalte „Verletzungsstatus“ in der Verletzungszusammenfassung muss lokalisiert sein. (ID-17011)
Fügen Sie zum Dropdown-Menü „Mögliche Zustände“ in der Verletzungszusammenfassung die Option EXEMPTED hinzu. (ID-17042)
Wenn mehrere Bedingungen zum Erzeugen eines Nutzungsberichts festgelegt werden, wird das Diagramm zwar korrekt auf der Berichtsergebnisseite angezeigt, aufgrund der festen Zeilenbreite wird der Bedingungstext jedoch abgeschnitten. (ID-17224)
Bei Berichten für die Suche nach inaktiven Konten werden die Ergebnisse nicht auf der Seite „Risikoanalyseberichte anzeigen“ angezeigt. Gehen Sie zur Seite „Serveraufgaben“, wenn Sie sich die Ergebnisse dieser Berichte anzeigen lassen wollen. (ID-17255)
Im Bericht zu Benutzerfragen wird kein Berichttitel angezeigt, wenn die Fragenrichtlinie nicht konfiguriert ist. (ID-17415)
Im Ressourcenbenutzerbericht wird der Rücksetzungs-Administrator als Benutzer aufgeführt. Hierbei handelt es sich jedoch um einen verborgenen Benutzer, der nicht angezeigt werden sollte. (ID-17650)

Ressourcen

Über die Schaltfläche für den Ressourcentest werden nicht alle Felder getestet. (ID-51)
Zuweisungen für den Ressourcenport können auf Werte größer als 65535 gesetzt werden. (ID-59)
Wenn Sie einen falschen Active Directory-Gruppennamen festlegen, wird eine ungültige Fehlermeldung angezeigt. (ID-393) Wenn Sie versuchen, einen Active Directory-Gruppennamen auf „groupname“ statt auf „cn=groupname,cn=builtin,dc=waveset,dc=com“ zu setzen, wird eine Fehlermeldung angezeigt, die besagt, dass sich der Arrayindex außerhalb der Grenzen befindet.
Erforderliche Kontoattribute werden manchmal ignoriert, wenn eine andere Ressource mit demselben Kontoattributnamen vorhanden ist, bei der das erforderliche Flag nicht gesetzt ist. (ID-1161)
Wenn ein Administrator versucht, eine Organisation zu einer Ressource hinzuzufügen, ohne mit den zugehörigen Rechten ausgestattet zu sein, wird ein Fehler erzeugt. Die Bearbeitung der Ressource muss dann abgebrochen und anschließend wieder aufgenommen werden, um weitere Änderungen bei der Ressource vorzunehmen. (ID-1274)
Die Fehlermeldung, die bei einem falschen Ressourcenkontokennwort oder Benutzernamen erzeugt wird, ist bei einer nicht klaren PeopleSoft-Ressource falsch. (ID-2235) Die Fehlermeldung lautet:

bea.jolt.ApplicationException: TPESVCFAIL - Dienstausfall auf Anwendungsebene

Bei Windows Active Directory-Ressourcenaktionen, die den Beendigungsstatus %DISPLAY_INFO_CODE% verwenden, schlägt die Aktion mit Fehlern fehl. (ID-2827)
Beim Erstellen eines Benutzers kann die primäre Gruppen-ID des Benutzers in Active Directory nicht festgelegt werden. (ID-3221)

Zwischenlösung: Erstellen Sie den Benutzer, ohne die primäre Gruppen-ID festzulegen. Bearbeiten Sie anschließend den Benutzer, und legen Sie den Wert fest. Die primäre Gruppen-ID wird außerdem nach Nummer und nicht nach DN der Gruppe festgelegt.

Ressourcen-IP-Adressen werden in der JVM zwischengespeichert, nachdem der Hostname in eine IP-Adresse aufgelöst wurde. Wenn eine Ressourcen-IP-Adresse geändert wurde, ist ein Neustart des Anwendungsservers erforderlich, damit Identity Manager die Änderung erkennt. (ID-3635) Dies ist eine Einstellung in Sun JDK (ab Version 1.3), die über die Eigenschaft sun.net.inetaddr.ttl gesteuert wird, die in der Regel in jre/lib/security/java.security festgelegt wird.
Sie können nicht mehrere Konten für einen einzelnen Benutzer bei Oracle-Ressourcen erstellen. (ID-3832)
Endbenutzer können die Selbsterkennungsfunktion nicht für Domino-Ressourcenkonten verwenden. (ID-4775)
Wenn ein Benutzer aus einem oder in einen Untercontainer innerhalb der Active Directory-Organisation verschoben wird, erkennt der ActiveSync-Adapter diese Änderung. Wenn Sie jedoch den Benutzer auf der Bearbeitungsseite anzeigen (oder eine Änderung vornehmen und die Bestätigungsseite aufrufen) wird die Konto-ID des Benutzers weiterhin als ursprünglicher DN (Distinguished Name, eindeutiger Name) angezeigt. (ID-4950) Da der Benutzer über die GUID geändert wird, entstehen keine Probleme beim Betrieb. Sie können dieses Problem beheben, indem Sie für die Ressource eine Abstimmung ausführen.
Wenn ein Benutzer aus einer Organisation (OU) in eine Unterorganisation verschoben wird, erkennt der LDAP ChangeLog-Adapter die Änderung nicht und geht davon aus, dass der Benutzer gelöscht wurde. Das Benutzerobjekt wird anschließend in Identity Manager gesperrt (wenn dies der aktuellen Einstellung entspricht), und es wird kein neues Konto für das verschobene Konto erstellt. (ID-4953)
Die im Pool abgelegten Verbindungen für die UNIX-Ressourcenadapter können in einem nicht festgelegten Status belassen werden, wenn bei der Ausführung von Befehlen oder Skripten Fehler auftreten. (ID-5406)
NDS-Organisationen können nur dann auf der obersten Ebene der Struktur erstellt werden, wenn Sie den Basiskontext für die Ressource auf „[ROOT]“ setzen. (ID-5509)
Wenn Sie in NDS ein Feld (beispielsweise die Verlängerungsfrist für die Anmeldung) während der ersten Bereitstellung bearbeiten und keine Werte für die booleschen Felder angeben, werden alle booleschen Felder auf FALSE gesetzt. (ID-6770) Dadurch wird verhindert, dass die anderen Felder der Registerkarte für die Einschränkung bearbeitet werden können, weil bei denen für bestimmte Kontrollkästchenwerte TRUE gelten muss. Um dies zu vermeiden, stellen Sie immer sicher, dass alle gewünschten booleschen Felder auf TRUE gesetzt sind, damit sie beim Bearbeiten anderer Felder korrekt aktiviert werden.
Wenn Sie das Passwort für einen UNIX-Computer über die Funktion Verbindung verwalten --> Ressourcenpasswort ändern, wird der Aufgabenname folgendermaßen angezeigt:

_FM_PASSWORD_CHANGING_TASK null:null

Es soll ein benutzerfreundlicher Name angezeigt werden. (ID-6947)

Wenn Sie Benutzer aktualisieren, indem Sie eine Aktualisierung aus einer Identity Manager-Organisation auswählen, erhalten Benutzer mit einem Sun One ID Server-Konto einen Fehler, falls diese nativ erstellt und in Identity Manager geladen wurden. (ID-7094) Zwischenlösung: Aktualisieren Sie diese Benutzer individuell.
Identity Manager enthält weiterhin die folgenden Klassen, deren Unterstützung eingestellt wurde:
com.waveset.object.IAPI
com.waveset.object.IAPIProcess
com.waveset.object.IAPIUser

Angepasste Adapterklassen sollten nicht mehr auf diese Klassen, sondern auf die entsprechenden Klassen im Paket com.waveset.adapter.iapi verweisen. (ID-8246)

Wenn Sie den Assistenten „Neues Ressourcenobjekt“ beenden, ohne auf die Schaltfläche „Speichern“ oder „Abbrechen“ zu klicken, wird das verworfene Formular möglicherweise nicht vollständig gelöscht. Dies kann später beim Erstellen neuer Ressourcenobjekte zu Problemen führen. (ID-11033) In diesem Fall wird folgender Fehler angezeigt:

No resource form id found in options or view.

Zwischenlösung: Klicken Sie immer auf „Abbrechen“, wenn Sie den Assistenten „Neues Ressourcenobjekt“ beenden wollen, ohne die Änderungen zu speichern.

Wenn Sie bei der Ausführung von ActiveSync einen Benutzer unter einem anderen Administratornamen bearbeiten, wird ein ActiveSync-Ausnahmefehler ausgelöst. Da der betreffende Benutzer vom anderen Administrator gesperrt wurde, kann ActiveSync den betreffenden Prozess nicht ausführen. (ID-11255)

Zwischenlösung: Zum Aktivieren wiederholter ActiveSync-Zugriffe auf eine Ressource müssen Sie den XML-Code der Ressource mit den folgenden beiden Ressourcenattributen im folgenden Format ergänzen:

<ResourceAttribute name='syncRetryCountLimit' type='string' multi='false' facets='activesync' value='180'/>

<ResourceAttribute name='syncRetryInterval' type='string' multi='false' facets='activesync' value='10000'/>

Wobei:

syncRetryCountLimit gibt an, wie oft die Aktualisierung versucht werden soll.
syncRetryInterval ist die Zeit (in ms), die zwischen den Aktualisierungsversuchen gewartet werden soll.

Diese Werte erscheinen danach bei der ActiveSync-Konfiguration als benutzerspezifische Ressourceneinstellungen. Sie sollten einen Anzeigenamen (displayName) angeben. Verwenden Sie dafür einen benutzerspezifischen Katalogschlüssel, wenn dieser Name lokalisiert angezeigt werden soll.

Beim Remedy-Integrations-Vorlageneditor sind zwei Probleme bekannt. (ID-14729)
Der standardmäßige Remedy-Schemawert „HPD:HelpDesk“ ist für spätere Versionen von BMC Remedy nicht geeignet. Spätere Versionen enthalten das Schema „HPE:Help Desk“.
Die Optionen-Spalten werden nicht für alle Felder angezeigt. Die Verwendung von Remedy-Vorlagen wird dadurch nicht eingeschränkt.
Die Identity Manager-Passwortsynchronisation schlägt aufgrund einer Regression fehl, wenn sie mit Sun Java^TM System Directory Server Enterprise Edition 6.0, 6.1 oder 6.2 verwendet wird. Dieser Fehler wird in Directory Server 6.3 behoben. Wenn Identity Manager mit den Versionen 6.0, 6.1 oder 6.2 zusammenarbeiten soll, müssen Sie vom Technischen Support ein Directory Server-Hotfix anfordern. Geben Sie bei der Anforderung Directory Server-Bug 6604342 an. (ID-14895)
Wenn Sie Ressourcenobjekte einer Sun Java^™ System Access Manager 7.0-Ressource von der Registerkarte „Ressourcen“ aus erweitern, kann es sein, dass die folgende Fehlermeldung angezeigt wird: (ID-15525)

Fehler beim Auflisten der Objekte. ==> com.waveset.util.WavesetException: Fehler beim Abrufen des Attributwerts für das Attribut 'guid'. ==> java.lang.IllegalAccessError: tried to access method com.sun.identity.idm.AMIdentity.getUniversalId()Ljava/lang/String; from class com.waveset.adapter.SunAccessManagerRealmResourceAdapter

Dieser Fehler tritt auf Access Manager 7.0-Ressourcen auf, für die noch keine Patches installiert wurden. Zur Behebung dieses Problems müssen Sie mindestens Patch 1 von Access Manager installieren und dann das Access Manager Client-SDK neu erstellen und bereitstellen.

Wegen Interoperabilitätsproblemen zwischen WebSphere-Datenquellen und Oracle JDBC-Treibern müssen Oracle-Kunden, die WebSphere-Datenquellen mit Identity Manager verwenden wollen, Oracle 10g R2 und den entsprechenden JDBC-Treiber verwenden. (Der Oracle 9 JDBC-Treiber funktioniert nicht mit WebSphere-Datenquellen und Identity Manager.) (ID-16167)

Wenn Sie eine Oracle-Version vor 10g R2 haben und nicht auf Oracle 10g R2 aktualisieren können, müssen Sie das Identity Manager-Repository so konfigurieren, dass Verbindungen zur Oracle-Datenbank mithilfe des JDBC-Treibermanagers von Oracle (und nicht mit WebSphere-Datenquellen) hergestellt werden.

Weitere Informationen finden Sie unter der folgenden URL:

http://www-1.ibm.com/support/docview.wss?uid=swg21225859

Es kann vorkommen, dass bei in Identity Manager erstellten NDS/Groupwise-Benutzern mit Access- und AccountID-Feldern die entsprechenden Werte scheinbar nicht gespeichert sind, wenn für die Anzeige bestimmte Viewer innerhalb der NDS Console 1-Anwendung verwendet werden. Dies ist z.B. der Fall, wenn Benutzereigenschaften und dann die Registerkarte „Groupwise“ ausgewählt werden.

Wenn dagegen die Anzeige über „Groupwise Diagnostisc“ -> „Objekt anzeigen“ erfolgt, sind die Felder zu sehen. In Identity Manager an den oben genannten Feldern vorgenommene Aktualisierungen scheinen von diesem Viewer-Fehler nicht betroffen zu sein. (ID-16330)

WRQ sucht die im CLASSPATH aufgeführten Verzeichnisse ab, um seinen eigenen Eintrag zu finden. Aus diesem Eintrag ermittelt WRQ das Verzeichnis, in dem die JAR-Datei gespeichert ist, und liest dann mithilfe dieses Verzeichnisses die JAW-Datei (Lizenzierungsdatei) ein. BEA und WebSphere nutzen jedoch beide statt des Standardformats JAR, dass vom WRQ-Code als vorhanden vorausgesetzt wird, keine Standardprotokollnamen (BEA verwendet zip und WebSphere wsjar). (ID-16709, 17319)

Zwischenlösungen:

Für BEA fügen Sie zum Befehl java in der der Datei startWeblogic.sh die folgende Zeile hinzu:

-Dcom.wrq.profile.dir="VerzeichnisMitBibliotheken"

Für WebSphere fügen Sie die Eigenschaft com.wrq.profile.dir=VerzeichnisMitBibliotheken in die Datei WebSphere/AppServer/configuration/config.ini ein.

Bei der Verwendung von Identity Manager 7.1 bzw. 8.0 mit Oracle 10g auf Sun Java^™ System Application Server Enterprise Edition 8.2 kann der Ausnahmefehler „Sealing Violation“ ausgelöst werden. Dieses Problem kann verursacht werden, wenn sich in den in CLASSPATH angegebenen Verzeichnissen mehrere Oracle JDBC JAR-Dateien befinden oder im CLASSPATH eine nicht kompatible Version einer JDBC JAR-Datei gespeichert ist. (ID-17311)

Sie sollten sicherstellen, dass sich in den in CLASSPATH angegebenen Verzeichnissen nur eine Oracle JDBC JAR-Datei (z. B. die während der Oracle-Installation bereitgestellte JAR-Datei) befindet.

Vor dem Erstellen einer neuen Ressource müssen Sie in der Liste konfigurierter Typen den entsprechenden Ressourcentyp aktivieren. Andernfalls kann es sein, dass das neu erstellte Ressourcenobjekt nicht alle erforderlichen Felder besitzt. (ID-17324)
Der Standardwert des Attributs Verzeichnis erstellen ist bei den Unix-Ressourcen nicht konsistent. (ID-18301)
Wenn Identity Manager unter einem Gebietsschema mit einem Multibyte-Zeichensatz verwendet wird, ist der Name der CSV-Datei mit den Ergebnissen einer Massenaktion nicht korrekt. (ID-18661)

Rollen

Das Datumsauswahlfenster (zum Festlegen von Aktivierungs-/Deaktivierungsterminen für Rollen, die einem Benutzer zugewiesen wurden) funktioniert nicht, wenn ein Rollennamen einen Apostrophen enthält. (ID-18941)

Zwischenlösung: Geben Sie das betreffende Datum in das Textfeld neben dem Datumsauswahl-Symbol ein.

Bei der manuellen Eingabe von Aktivierungs-/Deaktivierungsterminen für die Rollen eines Benutzers werden die Felder automatisch abgeschickt, sobald man sie verlässt (durch Klicken/Tabulatortaste). Dies führt dazu, dass die Meldung „Formular bereits übermittelt“ angezeigt wird, wenn Sie nach einer solchen manuellen Änderung auf „Speichern“ klicken. (ID-18927)
Beim Löschen einer Rolle sollte geprüft werden, ob Verweise darauf vorhanden sind (als enthaltene Rolle bzw. durch Benutzer). Wenn solche Verweise vorhanden sind, wird ein Fehler gemeldet, und die Rolle wird nicht gelöscht. (ID-18981)

Diese Prüfung funktioniert jedoch nicht korrekt, wenn Verweise durch andere Rollen vorhanden sind. Die Rolle wird aus ihren übergeordneten Rollen entfernt, obwohl dies nicht geschehen sollte. Die Rolle wird nicht gelöscht, da Benutzer noch auf sie verweisen. Die Verweise auf die enthaltene Rolle bleiben im Benutzerobjekt erhalten, obwohl die übergeordnete Rolle diese Rolle nicht mehr enthält.

Prüfen Sie vor dem Löschen einer Rolle daher, dass die Rolle nicht in anderen Rollen enthalten oder (direkt oder indirekt) noch Benutzern zugewiesen ist.

Server

Die aktivierte Laufschrift wird nicht angezeigt, wenn in den Namen von Organisationen Apostrophe (') vorkommen. (ID-5653)

Sun Identity Manager Gateway

Das Sun Identity Manager Gateway wird unter Umständen nicht angehalten, wenn im Fenster für die Windows-Dienste die Schaltfläche zum Stoppen aktiviert wird. (ID-590)

Zwischenlösung: Brechen Sie die Ausführung des Stoppbefehls ab (wenn dieser immer noch inaktiv ist), und stoppen Sie den Dienst erneut; oder beenden Sie das Dialogfeld für die Windows-Dienste, und führen Sie den Stoppvorgang erneut aus.

Das Gateway wird gelegentlich nicht angehalten, wenn der Befehl 'net stop „Sun Identity Manager Gateway“' verwendet wird (ID-2337).
Im Sun Identity Manager Gateway tritt ein Speicherleck auf, wenn die Exchange 2007-Unterstützung im Active Directory-Ressourcenadapter aktiviert ist. Dadurch wächst die Speicherbelegung des Prozesses mit der Zeit. (ID-18854)

Zwischenlösung: Überwachen Sie den Prozess des Gateway-Dienstes und starten Sie den Dienst neu, bevor er zu viel Speicher belegt.

Aufgaben

Auf der Seite zum Ermitteln von Aufgaben wird die Anzahl der Aufgaben, die den Suchkriterien entsprechen (ID-5152), nicht angezeigt.
Delegierte Administratoren, die das oberste Element („Top“) nicht steuern, können Aufgaben planen und die Aufgabenergebnisse anzeigen. Diese Administratoren können die Aufgabe jedoch nicht anzeigen, nachdem sie erstellt wurde (ID-6659). Die geplante Aufgabe wurde an oberster Stelle platziert, und der delegierte Administrator ist nicht berechtigt, das Objekt anzuzeigen.
In der Bibliothek wurde ein Feld für verschobene Aufgaben hinzugefügt. Hierbei werden die verschobenen Aufgaben für einen Benutzer aufgelistet. Um dieses Feld zu implementieren, müssen Sie dem in Registerkarten unterteilen Benutzerformular und dem in Registerkarten unterteilten Benutzeranzeigeformular folgende Zeile hinzufügen (ID-7660).

<FieldRef name='Deferred Tasks'/>

Workflow, Formulare, Regeln und XPRESS

Zum Vergleichen von Booleschen Werten mit den Zeichenketten TRUE oder FALSE oder den ganzen Zahlen 1 oder 2 kann die XPRESS-Funktion <eq> nicht verwendet werden. (ID-3904)

Zwischenlösung: Verwenden Sie Folgendes:

<cond>

<isTrue><ref>Boolean_variable</ref></isTrue>

<s>True action</s>

<s>False action</s>

</cond>

Die Pfadausdrücke funktionieren nicht bei der Iteration einer Liste mit generischen Objekten über eine Dolist. (ID-4920)

<dolist name='genericObj'>

<ref>listOfGenericObjects</ref>

<ref>genericObj.name</ref>

</dolist>

Zwischenlösung: Verwenden Sie <get> / <set> wie folgt:

<dolist name='genericObj'>

<ref>listOfGenericObjects</ref>

<get><ref>genericObject</ref><s>name</s>

</dolist>

Wenn Sie global.attrname-Variablen für die Felder Ihres Benutzerformulars verwenden und das Attribut für mehrere Ressourcen freigegeben ist, müssen Sie außerdem eine Ableitungsregel definieren. (ID-5074) Wenn andernfalls das Attribut nativ auf einer der Ressourcen geändert wird, kann das Attribut ausgewählt und auf die anderen Ressourcen propagiert werden.
Es können in den HTML-Komponenten der Formulare keine Sonderzeichen verwendet werden, die mit & beginnen. So wird beispielsweise &nbsp; nicht als Leerzeichen dargestellt. Dieses Problem ist eine Folge der neuen Unterstützung von Sonderzeichen (&\<>') in Auswahllisten. (ID-5548)
Die Formular-, Workflow- und Regelkommentare in <Comment>-Tags haben &#xA;-Zeichenfolgen für das Zeilenvorschubzeichen. (ID-6243) Diese Zeichen werden nur im XML-Format für diese Objekte angezeigt. Der Identity Manager-Server und Business Process Editor verarbeiten diese Zeichen korrekt.
Wenn Sie das Ressourcentabellenbenutzer-Formular zum Bearbeiten von Benutzern verwenden, während Sie die Ressource eines Benutzers bearbeiten, werden die Ressourcenattribute bei der ersten Anzeige des Formulars nicht abgerufen.

Zwischenlösung: Klicken Sie auf die Schaltfläche „Aktualisieren“, um die Attributdaten abzurufen. (ID-10551)

Wenn Identity Manager durch einen Sun Access Manager Policy Agent geschützt wird, werden die Arbeitsablauf-Prozessdiagramme unter Umständen nicht vollständig angezeigt. (ID-18304)