Funciones de Identity Manager8.0

En esta sección de las Notas de la versión de Identity Manager 8.0 se proporciona la siguiente información:

Novedades de esta versión
Problemas corregidos en esta versión

---

Novedades de esta versión

En esta sección se proporciona información adicional sobre las nuevas funciones de Identity Manager 8.0. Esta información se ha organizado como sigue:

Funciones principales
Interfaces de administrador y usuario
Auditoría
Exportador de datos
Formularios
Editor de procesos de negocio (BPE) de Identity Manager
Entorno de desarrollo integrado Identity Manager (Identity Manager IDE)
Instalación
Sincronización de contraseña
Informes
Repositorio
Recursos
Editor de procesos de negocio (BPE) de Identity Manager
Escenarios
Seguridad
Servidor
SPML
Sincronización
Otros

El nuevo proceso de parche de Sun

A partir de la publicación de Identity Manager 7.1 Actualización 1, las actualizaciones que contienen correcciones de errores importantes y críticos detectados por el usuario se entregan mediante un proceso de parche, que sustituye al proceso anterior.

Los parches se desarrollan, verifican y publican en intervalos de seis semanas. Estos parches tienen un instalador IGU, además de una pequeña opción de instalación, y actualizan los archivos de /WEB-INF/lib. Las instrucciones para instalar el parche se incluyen en las Notas de la versión del parche, que se distribuyen en formato PDF. Las correcciones a la puerta de enlace o al sincronizador de contraseñas se escribirán en las Notas de la versión y requerirán actualización con la instalación del parche.

Los parches de Identity Manager son acumulativos, así que encontrará menos problemas con correcciones únicas. Debe planificar la actualización al nivel de parche más reciente antes de instalar o actualizar a una versión principal o menor. Por ejemplo, si el parche 3 está disponible al instalar o actualizar a 8.0, debe aplicar el parche 3 tras instalar o actualizar a 8.0. No sería necesario instalar los parches 1 y 2 porque el parche 3 contiene toda la funcionalidad de los parches anteriores.

El proceso de parche también facilita el seguimiento de las correcciones por su número de error. Sin embargo, sigue siendo posible que una solución creada para una versión antigua todavía no esté disponible para una versión más reciente. Independientemente del proceso que sigue su versión actual de Identity Manager, debe confirmar que la nueva versión objetivo Identity Manager contiene todas las correcciones de errores necesarias.

Cuando se publica un parche, se envía un anuncio a todo el servicio al cliente. Los parches están disponibles a través del servicio de asistencia al cliente. Para obtener el último parche disponible, póngase en contacto con la asistencia de cliente de Sun en http://www.sun.com/service/online/us.

Funciones principales

Identity Manager 8.0 proporciona las siguientes novedades importantes.

Mejoras en roles
Mejores informes con el exportador de datos
Configuración de atributos

Mejoras en roles

Identity Manager 8.0 incorpora gestión del ciclo de vida de rol ofreciendo la capacidad de exigir aprobación de cambios en creaciones, ediciones y supresiones de rol, además de aplicar cambios de rol a todos los usuarios asignados. Además, la gestión del ciclo de vida de usuario a rol se ha mejorado incluyendo compatibilidad de asignaciones futuras y temporales de rol. Los tipos de rol con funciones configurables, incluidos de forma predeterminada roles de negocio, roles de TI, roles de aplicación y activos, ahora se proporcionan para incentivar prácticas recomendadas con respecto a la gestión de centrales. Por ejemplo, los roles de negocio pueden contener roles obligatorios para todos, condicionales para algunos y activos (bajo pedido y con posible aprobación) para otros. De este modo, el diseñador del rol de negocio puede definir un acceso genérico a la vez que delega en el usuario o en su administrador la capacidad de afinar el acceso asignado a cada usuario, dentro del ámbito de un Business Role único.

Mejores informes con el exportador de datos

El exportador de datos se ha añadido para permitir que los datos operativos usados y producidos por Identity Manager estén disponibles para otros procesos y aplicaciones. El exportador de datos permite exportar periódicamente los datos contenidos en Identity Manager, y que fluyen por él, a un almacén de datos administrado por el usuario o a herramientas de inteligencia de negocio y generación de informes de terceros. La exportación de datos es opcional y cuando se activa, los usuarios pueden configurar cuándo y qué datos se exportan. Los datos exportados pueden utilizarse para responder a preguntas históricas sobre '¿Quién tuvo acceso al recurso X y quien aprobó ese acceso?'. También pueden usarse para ofrecer informes sobre el comportamiento operativo de Identity Manager en el tiempo, como ' Operaciones de abastecimiento por recurso' y 'Tiempos de respuesta manual en el flujo de trabajo'. La desconexión de los datos operativos (contenidos en el repositorio de Identity Manager) y los datos históricos (exportados mediante el exportador de datos) da al usuario control explícito sobre el ciclo de vida de estos datos. Suministrar los datos de forma documentada conforme a un esquema ofrece al usuario la capacidad de construir y ejecutar procesos de análisis que seguirán siendo válidos en versiones futuras de Identity Manager.

Configuración de atributos

Ahora es posible configurar atributos extendidos, consultables y resumen para roles además de para usuarios. Y la nueva configuración extendida de atributos admite la especificación de sintaxis de valor (CADENA, ENTERO, FECHA, o BOOLEANO), si el atributo puede tener uno o varios valores, y una descripción textual del atributo.

Interfaces de administrador y usuario

Los usuarios pueden especificar ahora un formulario personalizado de inicio de sesión con pregunta e inicio de sesión anónimo a través de la página Configurar asignaciones de formularios y procesos. (ID-4697)
La interfaz de administración de rol se ha mejorado para admitir la nueva funcionalidad de roles. Para más información, consulte el capítulo sobre roles y recursos en la publicación Identity Manager Administration 8.0. (ID-15518)
De forma predeterminada, los diagramas de proceso se han desactivado en esta versión de Identity Manager. Los diagramas de proceso pueden activarse modificando el objeto de configuración del sistema y reiniciando el o los servidores de aplicación. Para más información, consulte la sección sobre activación de diagramas de proceso en Identity Manager Administration 8.0. (ID-16337)
Se ha añadido una salvaguardia opcional a la página Evitar directiva de reconciliación. Esta opción evalúa el número de cuentas ausentes en un recurso y, si se supera el umbral, evita que el reconciliador las desvincule. Para más información, consulte el capítulo sobre carga y sincronización de datos en la publicación Identity Manager Administration 8.0. (ID-16391)
El comportamiento de Identity Manager ha cambiado con respecto a los usuarios con elementos de trabajo pendientes que deben eliminarse de Identity Manager. Encontrará más detalles en Identity Manager Administration 8.0, capítulo sobre administración, sección de administración de elementos de trabajo, subsección de delegaciones a usuarios eliminados. (ID-16417)
Al definir un rol de administrador, ahora se puede activar una casilla de verificación Excluir todas las organizaciones derivadas controladas y los objetos contenidos para excluir del ámbito de control del usuario todas las organizaciones secundarias controladas y sus objetos contenidos. No active esta casilla para que el usuario que tiene asignado el rol de administrador disfrute de todas las capacidades asociadas en todas las organizaciones secundarias y sus contenidos. (ID-16859)
Los roles de administrador ahora se muestran como nombres en los resultados de búsqueda. (ID-17130)
Identity Manager 8.0 ha simplificado las páginas de resultado en la interfaz de usuario final para mostrar un mensaje de estado. La configuración de actualización predeterminada es conservar los diagramas de proceso originales, mientras que las nuevas instalaciones muestran el mensaje de estado. La opción de diagrama de proceso puede configurarse de forma predeterminada haciendo clic en Configurar-> Interfaz de usuario y activando Habilitar diagramas de proceso de usuario final.

Para habilitar los diagramas de proceso para la interfaz de usuario final, los diagramas de procesos deben activarse para el producto en su conjunto. Para más información sobre la habilitación de diagramas de proceso para el producto en su conjunto, consulte ID-16336 en Interfaces de administrador y usuario. (ID-17365)

El formulario de inicio de sesión de usuario final se ha simplificado y reorganizado para mejorar la usabilidad.
El archivo JSP user/login.jsp se ha modificado, así que cualquier personalización realizada deberá fusionarse a mano al actualizar. (ID-17368)
El nuevo formulario de cambio de contraseña del usuario final predeterminado permite a los usuarios cambiar su contraseña. Las directivas de contraseña de todos los recursos asignados al usuario se agregan y resumen en este formulario, y los cambios de contraseñas se aplican a todos los recursos asignados. El formulario original básico de cambio de contraseña debe especificarse en implantaciones en las que el usuario necesite seleccionar los recursos a los que aplicar el cambio de contraseña. (ID-17371)
El mensaje de error presentado los usuarios en el inicio de sesión indicando la necesidad de responder a preguntas de autenticación ahora se muestra como una advertencia. (ID-17549)
Cuando se activa la función de Registro anónimo, la interfaz de usuario del usuario final ya no demuestra el botón "Solicitar cuenta". En su lugar, aparece el texto "¿Es la primera vez que es usuario?", seguido de un enlace "Solicitar cuenta". Bajo el enlace se muestra la información adicional. El texto de esta página es personalizable. Encontrará más detalles en la publicación Identity Manager Technical Deployment Overview. (ID-17582)
El componente de visualización DatePicker tiene ahora una propiedad disableTextInput que puede utilizarse para evitar la introducción de datos del usuario mediante campos de texto, lo que fuerza al usuario a seleccionar una fecha con el calendario emergente. (ID-17586)

Auditoría

Las entradas de registro de auditoría que describen las acciones de abastecimiento de cuentas de recurso ahora serán visibles para los administradores de auditoría en los grupos de objeto que contengan los recursos afectados, contengan o no esos grupos el usuario sujeto de la acción. (ID-17724)
Ahora los eventos de notificación por correo electrónico se auditan. En la interfaz de administrador, hay un nuevo grupo de auditoría en la página de configuración de auditoría (Configurar > Auditoría) llamado Administración de eventos. (ID-17734)

Exportador de datos

El exportador de datos permite exportar periódicamente datos de Identity Manager a un almacén de datos administrado por el cliente para su posterior procesamiento.

Formularios

Los campos con un valor de propiedad “confirmar” que hacen referencia a un componente de origen (por ejemplo el campo Confirmar contraseña del formulario de usuario con fichas), ya no tienen sus valores ajustados automáticamente al valor del componente de origen cuando el formulario se envía al servidor y el valor del componente de confirmación es nulo. Debido a este cambio, asegúrese de que cualquier par de campos origen/confirmar con expresión predeterminada aplican la expresión tanto al campo de origen como al de confirmación. (ID-17838)

Editor de procesos de negocio (BPE) de Identity Manager

Se ha desaprobado Business Process Editor (BPE), que dejará de incluirse en la próxima versión principal de Identity Manager. En lugar de él, utilice Identity Manager Integrated Development Environment (Identity Manager IDE). (ID-17510)

Entorno de desarrollo integrado Identity Manager (Identity Manager IDE)

La aplicación Identity Manager Integrated Development Environment (Identity Manager IDE) ahora se suministra en https://identitymanageride.dev.java.net. En este sitio también se encuentran las instrucciones para instalarla, configurarla y migrar proyectos. (ID-17700)

Instalación

Esta versión de Identity Manager ya no admite los siguientes servidores de aplicación: (ID-16369)
Apache Tomcat Versión 4.1.x
BEA Weblogic Express 8.1
BEA Weblogic Server 8.1
IBM Websphere Application Server - Express 5.1.1
IBM Websphere 6.0
Sun ONE Application Server 7

Sincronización de contraseña

Las versiones de sincronización de contraseña anteriores a la 7.1.1 deben actualizarse al menos a la versión 7.1.1 en todos los controladores de dominio.

La compatibilidad del servlet rpcrouter2 se ha desaprobado en la versión 8.0 y se eliminará en una versión futura. La sincronización de contraseña admite el nuevo protocolo desde la versión 7.1.1

Para más información sobre la instalación de la sincronización de contraseña, consulte el libro Identity Manager Administration.

Hay instaladores separados para las versiones de 32 y 64 bits de sincronización de contraseña. El instalador de 32 bits sólo se ejecuta en las versiones de 32 bits de Windows, y el de 64 bits sólo se ejecuta en las versiones de 64 bits de Windows. Si intenta ejecutar la versión incorrecta del instalador se producirá un error. (ID-17290)

Informes

Los informes de uso de Identity Manager y los informes de infracción de directivas de Identity Auditor ahora incluyen tablas al descargarse en formato PDF. (ID-10719)
Ahora está disponible un nuevo informe denominado “Informe de registro de auditoría de usuario individual”. Igual que sucede con los informes de registro de auditoría, el informe de registro de auditoría de usuario individual se basa en eventos capturados en el registro de auditoría del sistema. Sin embargo, este informe solicita el usuario sobre el que informar, y devuelve una lista de las actividades realizadas por ese usuario. Para más información, consulte el capítulo sobre informes en la publicación Identity Manager Administration 8.0. (ID-16976)
AuditReportTask (y cualquier otro informe que utilice LogRecordFormatter) ahora pueden seleccionar las columnas que aparecen en el informe. Utilice los atributos useCustomColumns y customColumns en TaskDefinition y TaskTemplate. (ID-17712)
Ahora pueden personalizarse informes para que los administradores que sólo disponen de capacidades de ejecución de informes puedan especificar parámetros de informes antes de ejecutar el informe. (ID-17733) Este cambio permitirá a esos administradores definir los parámetros del informe antes de ejecutar el informe o antes de descargar un archivo .csv o .pdf. Identity Manager no guarda los cambios a la definición del informe que se generan de este modo.

Para utilizar esta función con informes existentes, añada alwaysProcessForm (definida como true) a TaskTemplate. Para añadir esta función a nuevos informes distintos del informe de registro de auditoría de usuario individual, añada un campo llamado alwaysProcessForm (definido como true) al formulario de inicio TaskDefinition.

El administrador que ejecuta un informe con alwaysProcessForm (definido como true), debe disponer de las capacidades apropiadas para buscar los datos que necesita en el repositorio. Por ejemplo, si el informe trata de roles, el administrador debe tener la capacidad de obtener una lista de roles disponibles.

Puede seleccionar las columnas que aparecen en el informe de auditoría de usuario individual (y en cualquier informe cuyo ejecutor sea com.waveset.report. AuditReportTask) trabajando con los atributos useCustomColumns y customColumns en Task Definition y Task Template. Cualquier informe distinto del informe de auditoría de usuario individual precisará que se actualicen los objetos taskDefinition y TaskTemplate para incluir la función customColumns. (ID-17744)
useCustomColumns -- (Booleano) Específica si la función de columna personalizada está activada.
customColumns -- (Asignación) Especifica las columnas que incluir en el informe, donde key identifica la clave de catálogo de mensajes y value representa el valor de catálogo de mensajes.

Consulte como ejemplo el informe de auditoría del usuario individual.

Los botones de descarga están ahora disponibles en la página principal de informes para administradores IDM que tengan capacidad para ejecutar informes de auditoría. (ID-17881)

Repositorio

Las instalaciones de Identity Manager que utilizan Oracle como repositorio tienen la opción de convertir el campo accountAttrChanges de la tabla de registro de auditoría de VARCHAR(4000) a CLOB. Este cambio es opcional y sólo debe realizarse si se aprecian errores de truncamientos en el registro de auditoría. La secuencia de comandos DDL de ejemplo está en web/sample/convert_log_acctAttrChangesCHAR2CLOB.oracle.sql. Asegúrese de realizar una copia seguridad de las tablas afectadas antes de ejecutar la secuencia de comandos de conversión. (ID-17343)

Recursos

Adaptadores de recursos nuevos

Esta versión incorpora adaptadores las siguientes nuevas versiones de recursos:

El adaptador de recursos Sybase ASE sustituye al adaptador de recursos Sybase desaprobado El adaptador Sybase ASE ofrece la capacidad de administrar usuarios en múltiples bases de datos. (ID-16872)

Actualizaciones de adaptadores de recursos

Los adaptadores de sistema central son compatibles con IBM Host on Demand V10. (ID-6419)
El asistente de recursos de adaptador para Microsoft SQL Server ahora simplifica la selección de bases de datos y mantiene automáticamente los atributos userName$(dbname) y roles$(dbname) como corresponde en el esquema. (ID-8546)
Los adaptadores SAP ahora pueden mostrar mensajes internacionalizados. (ID-9077)
La clase com.waveset.adapter.AttrParse se ha eliminado. Utilice en su lugar com.waveset.object.AttrParse. (D-11870)
Los adaptadores de UNIX ahora admiten conexiones SSHPubKey. Esta nueva función permite a los usuarios conectarse a hosts remotos sin introducir una contraseña desde estaciones de trabajo de confianza. (ID-11959)
El adaptador SAP puede abastecer cualquier tabla SAP llamada por BAPI_USER_CREATE1 y BAPI_USER_CHANGE, principalmente las tablas GROUPS y PARAMETER. (ID-12217)
Ahora, el nombre de la cuenta puede incluir símbolos "@", siempre que el recurso que define la cuenta lo permita. (ID-12383)

Los nombres y las ID de recurso no deben incluir los símbolos "@". Si un nombre o ID de recurso contienen el símbolo "@", Identity Manager analizará incorrectamente la ID de vista.

Se ha añadido el nuevo atributo booleano de cuenta TSO.Delete Segment a los recursos RACF y RACF_LDAP. Si este atributo se define como true, TSO Segment se elimina del usuario RACF. (ID-13347)

Si está actualizando y quiere incluir este atributo, añada el elemento siguiente a la sección AccountAttributes de la definición de recurso:

<AccountAttributeType id='<next ID in sequence>' name='Delete TSO Segment' syntax='boolean' mapName='TSO.Delete Segment' mapType='boolean' writeOnly='true'>

Los adaptadores RACF y RACF LDAP pueden configurarse para admitir atributos que no se encuentran entre los segmentos admitidos de forma predeterminada. (ID-13351)
El adaptador de recurso SAP ahora devuelve la lista de tipos de usuario y grupos de usuarios disponibles. (ID-16123)
La misma puerta de enlace puede usarse ahora para abastecimiento y autenticación de paso. Cuentas de NetWare Para más información sobre la implementación de esta función, consulte Identity Manager Resources Reference. (ID-16584)
El parámetro de recurso Ignore Siebel 8.0 nextRecord() Error (Ignorar error nextRecord() de Siebel 8.0) permite al adaptador Siebel CRM caso omiso del error nextRecord() que se produce en Siebel 8.0. Para obtener más información sobre este error, consulte la alerta 1315 de Siebel. (ID-16779, 18159)
El adaptador de SAP no intenta cambiar el nombre de las cuentas cuando el atributo de recurso Enable CUA se define como true. (SAP no admite cambios de nombre en modo CUA.) (ID-16986)
El adaptador de recursos de tabla de base de datos ahora permite renombrar cuentas. (ID-16993)
Se ha añadido el parámetro de recurso Número de lecturas de usuarios por conexión al adaptador SAP. Este adaptador asegura la liberación a tiempo de la memoria. (ID-17017)
El adaptador de recurso Solaris ahora puede forzar a los usuarios a cambiar sus contraseñas en el siguiente inicio de sesión. Para habilitar esta función, añada expirePassword a la columna Atributo de usuario de Identity System del mapa del esquema y force_change a la columna Atributo de usuario de recurso. Este tipo de atributo de definirse como cadena. (ID-17032)
Los adaptadores SAP, SAP HR y AccessEnforcer (Implementación subyacente de SAP) ahora admiten Secure Network Communications (SNC). Para más información sobre la implementación de esta función, consulte Identity Manager Resources Reference. (ID-17059)
El grupo integrado en Identity Manager para conexiones JDBC se ha mejorado para admitir un tiempo máximo de inactividad. Las conexiones que no se utilicen en el grupo durante un período superior al tiempo máximo de inactividad se cierran y descartan. (ID-17107)

Durante una actualización a 8.0, se alterarán las instancias de recursos existentes de los adaptadores siguientes para utilizar un valor de 600 segundos (10 minutos) como tiempo de inactividad máxima:

Tabla de base de datos
Microsoft SQL Server
MIIS
Oracle ERP
Oracle
Scripted JDBC
Sybase ASE

Los adaptadores de recurso personalizados que amplían JdbcResourceApapter también pueden aprovechar la nueva función añadiendo un nuevo atributo de recurso llamado idleTimeout.

La página debug/Show_JDBC.jsp se ha mejorado para mostrar tiempos adicionales relacionados con la inactividad.

El adaptador SAP de Identity Manager ahora ofrece los atributos de cuenta accountLockedNoPwd y accountLockedWrngPwd. El atributo accountLockedNoPwd indica si la cuenta está bloqueada porque el usuario no tiene contraseña. El atributo accountLockedWrngPwd indica si la cuenta está bloqueada por intentos de inicio de sesión fallidos. (ID-17296)
Se ha añadido el método sendKeys(EncryptedData) a la clase HostAccess, que puede usarse para evitar el registro de contraseñas. (ID-17544)
El adaptador de tablas de base de datos manipula correctamente el tipo de datos de marca de fecha y hora de Oracle si se selecciona la casilla Native Timestamps en la página de parámetros de recurso. (ID-17551)
Ahora está disponible el nuevo parámetro de recurso Tiempo de espera de recepción, en el adaptador Receptor de JMS. Permite configurar cuánto tiempo esperará el adaptador un mensaje de entrada antes de terminar el sondeo. El valor predeterminado es 10 segundos. (ID-17935)
El Receptor de JMS ahora establece una nueva conexión por cada sondeo. (ID-17941)
El Receptor de JMS puede supervisarse con Java Management Extensions (JMX). (ID-17943)
Las actualizaciones de contraseña para NDS Groupwise ahora manipulan correctamente las contraseñas cifradas. (ID-18020)
Se ha añadido del parámetro de recurso Search Scope para recursos de Sun Access Manager en modo heredado. Este atributo especifica el ámbito de las búsquedas de objetos Access Manager. Los valores válidos son oneLevel y subTree. subTree es el valor predeterminado. (ID-18079)

Roles

Pueden especificarse propietarios para cada rol de forma estática o dinámica con una norma. (ID-10602)
Cuando se importan roles que contienen vínculos recíprocos con súper roles existentes, Identity Manager actualiza los roles existentes con los importados. (ID-15482)

Identity Manager detecta y crea vínculos entre los súper roles existentes y los subroles asociados. Durante la actualización, Identity Manager ejecuta la clase RoleUpdater que permite reparar roles.

Para actualizar roles fuera del proceso de actualización puede importar el archivo RoleUpdater.xml nuevo que se encuentra disponible en sample/forms/RoleUpdater.xml. De forma predeterminada, Identity Manager añade vínculos de subrol durante la actualización o cuando se importa el archivo RoleUpdater.xml.

Para deshabilitar esta nueva función, configure el atributo nofixsubrolelinks de la clase RoleUpdater en true. Por ejemplo:

<MapEntry key='nofixsubrolelinks' value='true' />

Consulte la información relacionada con la actualización automática de roles durante la importación en ID-15053.

La administración de rol en Identity Manager ha experimentado una importante revisión. Se ha añadido nueva funcionalidad que mejora considerablemente la capacidad para realizar administración de ciclo de vida de rol, además de administración de ciclo de vida de usuario a rol. Identity Manager ahora admite cuatro tipos de rol: roles de negocio, roles de TI, roles de aplicación y activos. Las organizaciones que actualizan desde versiones anteriores de Identity Manager a la 8.0 convertirán automáticamente sus roles existentes en roles de TI. Para información detallada sobre el funcionamiento de los roles en Identity Manager 8.0, consulte el capítulo sobre un roles y recursos en Identity Manager Administration 8.0. (ID-17677)
La interfaz de administración de roles ahora admite la capacidad de aplicar cambios de rol usuarios asignados. (ID-17719)
Los informes de resumen de usuario y de rol ahora contienen más información sobre roles y asignaciones de rol. (ID-17751)
Identity Manager ahora admite valores de atributo extendidos en los roles. (ID-17770)

Escenarios

Identity Manager 8.0 no incluye el escenario Communications Services que antes se encontraba en idm/sample/scenario1, ni el escenario HR Database/Active Directory Deployment que se encontraba en idm/sample/scenario2. Ya no se incluyen referencias a estos diccionarios en Identity Manager Technical Deployment Overview. (ID-18519)

Seguridad

La interfaz de inicio de sesión con pregunta ahora funciona de forma natural cuando se utiliza con autenticación de paso usando recursos LDAP y AD. Antes, cuando los usuarios olvidaban sus contraseñas, debían introducir la ID de cuenta de Identity Manager (que posiblemente no conocieran) el lugar de la ID de cuenta del recurso. La página de pregunta interactiva ahora exige al usuario que introduzca la ID de cuenta del recurso y la contraseña, mientras que antes bastaba con la contraseña. (ID-9616)
Ahora la autenticación SSH admite parejas de claves privada/pública. Esta nueva función permite a los usuarios conectarse a hosts remotos sin introducir una contraseña desde estaciones de trabajo de confianza. (ID-11959)
Las contraseñas almacenadas en la sección de historial y contraseña del objeto usuario ahora se guardan con mayúsculas/minúsculas. La comparación realizada durante la verificación de la directiva de contraseña sigue sin distinguir mayúsculas y minúsculas, así que este cambio no afecta al comportamiento del producto. (ID-12705)
Esta versión incluye una función de seguridad para evitar ataques Cross-site Request Forgery (CSRF). La función no está habilitada de forma predeterminada. Para utilizar esta función se necesitan cookies. Si tiene desactivadas las cookies por motivos de seguridad, no active esta función porque le impedirá utilizar Identity Manager. No hay datos referentes al usuario en la cookie, y sólo permanece en memoria durante la sesión del usuario. (ID-16703)

Para activar la protección de seguridad, evite el objeto de configuración del sistema y cambie security.csrfGuardToken.enable a true. Consulte en Identity Manager Administration 8.0 las instrucciones para evitar el objeto de configuración del sistema.

Identity Manager ahora incluye una nueva capacidad basada en tareas llamada Debug que las páginas de depuración de Identity Manager necesitan antes de que los usuarios pueden acceder a operaciones y ejecutarlas. Mayúscula inicial antes, los usuarios con determinadas capacidades podían acceder y ejecutar potencialmente operaciones de las páginas de depuración sin los permisos apropiados. Ahora, los usuarios que no tienen la capacidad Debug reciben una página de error. De forma predeterminada los usuarios administrador y configurador tienen asignada esta capacidad. Además, las capacidades Waveset Administrator y Security Administrator incluyen esta nueva capacidad Debug. (ID-16999)
Se ha añadido la capacidad de definir un periodo de expiración para las cuentas que han estado bloqueadas debido a múltiples errores al responder a preguntas de inicio de sesión. Para implementar esta función, seleccione las opciones siguientes:
En Seguridad / Directivas, seleccione una directiva que editar.
En las opciones de directivas de cuenta de usuario, observe la nueva opción: “Account lock created by failed question logins expires in” que puede tener un valor y una unidad temporal definidos. El valor 0 significa que los bloqueos de preguntas nunca expiran. (ID-17139)
Los contadores de fallo de contraseña y pregunta de inicio de sesión no se ponen acero durante la explicación automática de bloqueo de cuenta. Los intentos fallidos de inicio de sesión con contraseña y con pregunta se indican correctamente en las interfaces del usuario final y del administrador. (ID-17412)
Waveset.properties ahora incluye la propiedad ui.web.baseHrefURL para permitir la configuración usando URL relativas. (ID-17763)
Identity Manager ahora admite la configuración de almacenes de claves PKCS#11. Para incorporar los almacenes de clase, ha sido necesario realizar un cambio sin compatibilidad retroactiva del componente HTML TransactionSigner. (ID-17769)

La propiedad de visualización supportedKeyStoreTypes ya no se admite. Ahora hay un único valor de supportedKeyStoreType. Puede ser uno de los siguientes: JKS, PKCS12, PKCS11. El valor predeterminado depende de la propiedad de configuración del sistema security.nonrepudiation.defaultKeystoreType. En general, debería bastar sencillamente con definir la propiedad de sistema security.nonrepudiation.defaultKeystoreType.

Para añadir compatibilidad de firma PKCS11, la applet TransactionSigner abre utilizar funcionalidad sólo disponible en JRE 1.5. Los clientes que utilicen la applet TransactionSigner deben tener JRE 1.5 instalado y configurado como JRE de su navegador.

Identity Manager ahora ofrece soporte de URL relativas. (ID-18507)

Para implementar esta función, defina los valores siguientes en el archivo Waveset.properties:

Defina la propiedad ui.web.relativeURL como true.
Defina la propiedad ui.web.relativeURL como false.
Defina la propiedad ui.web.baseHrefURL en el contexto donde se implementa Identity Manager en formato /IDM/ (por ejemplo, ui.web.basehrefURL=/idm/).

Servidor

El rendimiento ahora aumenta significativamente conforme aumenta el número de usuarios que son miembros dinámicos de un objeto grupo. (ID-17561)
Identity Manager 8.0 consolida las ubicaciones donde el administrador especifica atributos extendidos, consultables y resumen para objetos de usuario en el nuevo objeto IDM Schema Configuration. (ID-17784) En versiones anteriores de Identity Manager, un administrador editaba el objeto de configuración User Extended Attributes para añadir atributos extendidos a objetos usuario y el objeto de configuración UserUIConfig para especificar atributos adicionales consultables o resumen para objetos usuario. Ahora, el administrador edita el objeto IDM Schema Configuration con estos fines.

Los cambios al objeto IDM Schema Configuration no tienen efecto sobre el servidor Identity Manager hasta que se inicia el servidor la próxima vez. La presencia del objeto IDM Schema Configuration inhibe la reconversión. Para obtener más información, consulte el Cuestiones relativas a la actualización de las Notas de la versión.

SPML

La implementación OpenSPML incluye ahora un valor de tiempo de espera SPML para llamadas a servicio web. (ID-17687)
Quienes utilizaban SPMLv2 en versiones anteriores y dependían del valor del atributo “objectclass”, deben tener en cuenta que el valor de ese atributo ahora se mantiene en el atributo “spml2ObjectClass”. (ID-17757)

Sincronización

Antes, el atributo idmManager no se mostraba en el espacio de nombres activesync con determinados adaptadores durante el proceso del formulario Active Sync. En esta versión, se ha modificado el método toHashMap para añadir el atributo idmManager al mapa devuelto para que pueda sincronizarse con él durante Active Sync. (ID-16717)

Otros

Las funciones del servidor com.waveset.server.Server public Map getResourceObjectListCache() y public Map getResourceObjectGetCache() se han desaprobado. Estas cachés son estructuras de datos internas. El código que dependa de estas estructuras ya no funcionará. (ID-14790)
Identity Manager ahora dispone de una función de registro del producto. Para registrarse, necesitará su número de cuenta Sun Online y una contraseña. Si no tiene una cuenta Sun Online, puede registrarse rellenando el formulario en esta dirección: (ID-17133)

https://reg.sun.com/register

Identity Manager puede registrarse desde la consola o utilizando la interfaz del administrador. Registrarse desde la consola permite crear también una etiqueta de servicio local, que puede usarse con software Sun Service Tag para seguimiento de inventario de sistemas, software y servicios de Sun. Para más información, consulte la sección sobre registro de Identity Manager en Identity Manager Administration 8.0.

Cuando utilice la función de registro de producto, si el servidor de aplicaciones no está configurado para permitir conexiones SSL de salida, puede aparecer el mensaje de error siguiente: (ID-18546)

Failed to register on Sun Connection server due to invalid Sun Online Account user/password (No se pudo registrar en el servidor de Sun Connection porque el usuario/la contraseña de la cuenta de Sun Online no son válidos).

Para resolver este problema, incluya los correspondientes certificados raíz acreditados en el almacén de claves del servidor de aplicaciones. Consulte los detalles en la documentación del servidor de aplicaciones.

Cuando utilice la función de registro de producto, si la ruta de clase del servidor de aplicaciones contiene versiones antiguas de xml-apis.jar y xercesImpl.jar, quizá reciba este mensaje de error:

java.lang.NoSuchMethodError:org.w3c.dom.Node.getTextContent()Ljava/lang/String;

Para resolver este problema, modifique la ruta de clase de manera que sólo aparezcan las versiones más recientes de xml-apis.jar y xercesImpl.jar. (ID-18547)

Cuando utilice la función de registro de producto, en los servidores Identity Manager debe tener Java configurado correctamente para SSL. Todas las JAR referenciadas en el archivo java.security (o equivalente) deben estar presentes. (ID-18548)

---

Problemas corregidos en esta versión

En esta sección se describen los problemas que se han corregido en Identity Manager 8.0. La información se ha organizado como sigue:

Interfaces de administrador y usuario
Auditoría
Delegaciones
Formularios
Instalación
Consola lh
Registro
Organizaciones
Abastecimiento
Informes
Repositorio
Recursos
Roles
Seguridad
Servidor
Service Provider
Sincronización
Flujo de trabajo
Otros problemas corregidos

Interfaces de administrador y usuario

Los usuarios pueden especificar ahora un formulario personalizado de inicio de sesión con pregunta e inicio de sesión anónimo a través de la página Configurar asignaciones de formularios y procesos. (ID-4697)
El componente UI del formulario DatePicker ahora admite action=true. (ID-4930)
La applet NetCharts se ha sustituido por una imagen JGraph. (ID-14736)
La tabla Server Tasks ahora clasifica correctamente por tipo. (ID-14850)
Al aplicar las directivas de contraseñas, Identity Manager no incluía la contraseña inicial del usuario en el historial de contraseñas. En lugar de ello, sólo se seguían los valores de contraseñas cambiados. Esto significaba que si una directiva indicaba que las últimas tres contraseñas no podían reutilizarse y un usuario sólo había cambiado su contraseña dos veces, Identity Manager permitiría reutilizar la contraseña inicial. Este error se ha solucionado en esta versión. (ID-15026)
Cuando se desasignan cuentas de recurso a un usuario mediante la funcionalidad Editar usuario de la UI, la SITUACIÓN de la cuenta en el índice de cuenta ya se actualiza correctamente en todos los casos. (ID-15310)
Antes, el menú de interfaz de usuario final que permitía reenviar los elementos de trabajo de aprobación a otro aprobador no se rellenaba correctamente. Este problema se ha solucionado. Ahora esta lista se rellena con una lista de aprobadores dentro del ámbito de control del usuario activo en la interfaz de usuario final. (ID-15935)
Antes, cuando se superaba el tiempo de espera en ManualAction WorkItem, el error de tiempo de espera no se devolvía al usuario. En lugar de ello, el usuario recibía un diagrama de proceso de flujo de trabajo que transmitía la impresión de que el formulario se había procesado correctamente. Este problema se ha solucionado. Ahora, el usuario se redirige a la página workItemTimeout.jsp salvo que se haya activado la opciónIgnoreTimeout. (ID-16467)
Es posible editar y guardar delegaciones de elementos de trabajo actuales o anteriores. (ID-16564)
Cuando un administrador crea delegaciones en nombre de un usuario, el administrador no puede seleccionar delegados fuera del ámbito de control del usuario. El ámbito de control del administrador es ahora igual que el del usuario en cuyo nombre se delega. Antes, al crear delegaciones en nombre de un usuario, los administradores podían seleccionar delegados que los usuarios no podían. (ID-16561)
Ahora, la UI muestra los números de inicio de sesión fallidos por contraseña y por pregunta de autenticación cuando Sun Identity Manager no consigue autenticar un usuario. (ID-17188)
La clasificación en la tabla Pendiente de aprobación de la interfaz de usuario funciona correctamente. (ID-17304)
La página de resultado que aparece tras una operación ahora siempre incluye el botón Aceptar. (ID-17482)
Una página en de confirmación que indica el éxito o fallo siempre aparece tras definir una contraseña con el botón Olvidó su contraseña para nuevas instalaciones y actualizaciones en las que System Configuration.forgotPasswordChangeResults.User no se ha definido explícitamente. Si System Configuration.forgotPasswordChangeResults.User se ha definido explícitamente, el comportamiento no varía. (ID-17619)
Las listas descendentes de valores de meses ahora muestran la lista completa de meses en todos los navegadores. (ID-17740)
Se han corregido varias vulnerabilidades de secuencia de comandos entre sitios (XSS). (ID-17748, 18054)
Las tablas generadas por el componente de visualización de UI SimpleTable y por el archivo gentable.jsp ahora cierran correctamente los códigos <TH> en el HTML resultante. (ID-17945)
Cuando se conecta un único navegador a la interfaz de usuario final y a la interfaz administrativa, los formularios se muestran sólo en la interfaz apropiada. (ID-18039)
JavaScript no puede usarse en la columna Status de las listas de recursos, pero se permite HTML seguro en el contenido de la cadena y ahora se muestra correctamente. (ID-18050)
Un error en el formulario de operaciones masivas ahora genera una InlineAlert sin codificación HTML visible. (ID-18338)
Se ha solucionado una vulnerabilidad de recorrido de directorios en la UI, que permitía a los usuarios obtener acceso autorizado a archivos residentes en el servidor de Identity Manager. (ID-18653)
La página Accounts ahora se muestra más rápidamente. (ID-18751)

Auditoría

El registro de auditoría ahora registra correctamente las acciones “Prioritize”. (ID-16924)
Antes, al crear una directiva de auditoría restringida a un recurso con un tipo de cuenta, se producía una a NullPointerException en la interfaz de usuario. Este problema se ha solucionado. (ID-16977)
Antes, al crear una regla de auditoría que utilizara “isTrue” se producía un error que indicaba que la regla necesita un valor de comparación. Este problema se ha solucionado. (ID-17041)
El texto de comentario de autenticación ya no se borra incorrectamente. (ID-17418)
Ahora los eventos de notificación por correo electrónico se auditan. (ID-17708)
Las claves de base de datos duplicadas ahora se eliminan del registro de auditoría. Las claves duplicadas son de tipo extendido (AV) y acción extendida (PE). (ID-18642)

Las acciones que se registran con la clave PE son EndProcess y PreOperation. La acción PreOperation ahora utiliza una clave DB de PP. Los tipos que se registran con AV son AccessReview y AccessReviewWorkflow. El tipo AccessReviewWorkflow ahora utiliza una clave DB de AW.

Los registros de auditoría existentes con PE se interpretan como acciones EndProcess en los informes de registro de auditoría. Los registros existentes con AV Ahora se interpretan como AccessReview.

La actualización de registros de auditoría de la base de datos con SQL puede suponer una preocupación de seguridad (porque parecerá que se han manipulado los registros), así que se recomienda que esos registros (con clave logDb PE o AV) creados antes de la versión 8.0 se pasen por alto.

Delegaciones

Ahora los ciclos de delegación se verifican en el momento de la ejecución y en el momento de la creación. (ID-17387)
En una delegación de dos saltos, cualquier elemento de trabajo de remediación existente se devuelve al primer delegador cuando el primer delegador termina la delegación de elementos de trabajo de remediación. (ID-18435)
Todos los tipos de elementos de trabajo posibles que puede delegarse ahora aparecen en la lista descendente cuando se configura la delegación. En la UI del administrador, la lista descendente de delegación ya no filtra los tipos de elementos de trabajo que aparecen, así que ahora se muestran todos los tipos de elementos de trabajo posibles que pueden delegarse. En la UI de usuario final sólo se listan los cinco tipos de elementos de trabajo básicos en la lista descendente. (ID-18496)
Identity Manager 8.0 ha incorporado a las aprobaciones de tipo y cambio de rol (incluida la aprobación específica de cambio de tipo de rol), junto con la capacidad de delegar estos tipos de elementos de trabajo. También se ha añadido compatibilidad para permitir la designación de roles específicos al delegar nuevos tipos de elementos de trabajo de tipo de rol o cambio. (ID-18558)

Formularios

MultiSelect admite la nueva propiedad displayCase que puede ajustarse para mayúsculas o minúsculas. Esta función es equivalente a un valueMap definido que asigna cada uno de los valores permitidos a sus equivalentes en letras mayúsculas o minúsculas. (ID-8356)

Instalación

Si actualiza la versión 6.0 o 7.0 a la versión 7.1 u 8.0 y está utilizando LocalFiles, tiene que exportar todos los datos antes de la actualización para luego importarlos de nuevo una vez que se instala correctamente la versión 7.1 o 8.0. (ID-15366)

Consola lh

El comando lh syslog ahora devuelve correctamente los registros coincidentes cuando se especifica un número de días muy grande. (ID-17844)

Registro

La clase com.waveset.ui.FormUtil ahora imprime un breve mensaje en el registro del servidor de aplicación que hace referencia al registro del sistema cuando se producen errores ClassNotFoundException (y otros errores, si se encuentran en esta clase). Ahora, el registro del sistema contiene los detalles del error. Antes, el seguimiento de pila de estas excepciones se imprimía en el registro de servidor de aplicación. (ID-18473)

Organizaciones

Los objetos User y ObjectGroup se han mejorado (defecto 14973) para admitir múltiples formularios personalizados por usuario/por grupo de usuarios ampliando los dos (View User, Edit User) que se admitían anteriormente. Estos nuevos formularios se almacenan en un elemento <CustomForms> del XML para User y ObjectGroup. waveset.dtd no declaraba <CustomForms> como elemento de <ObjectGroup>, por lo que los XML ObjectGroup con formularios personalizados no se validaban. Este defecto añade <CustomForms> como elemento de waveset.dtd. (ID-17812)

Abastecimiento

Si múltiples recursos no consiguen abastecer en el primer intento de abastecimiento y tienen diferentes periodos de reintento, todos los recursos en los que ha fallado del abastecimiento se reintentan según el periodo y el número de intentos definidos. Antes, sólo se reintentaban los recursos con el periodo de reintento más breve. (ID-18190)

Informes

Los objetos ReportsConfig y TrackedEvents ahora se conservan al actualizar de una versión anterior. (ID-17363).

Para sobrescribir los objetos de configuración de informes existentes (ReportsConfig y TrackedEvents), una vez completado el proceso de actualización, elimine el texto siguiente del inicio del archivo reportConfig.xml e importe del archivo en el repositorio de Identity Manager.

<ImportCommand type='preserve'>
   <ObjectRef type='Configuration' id='#ID#Configuration:ReportsConfig'/>
   <ObjectRef type='Configuration' id='#ID#Configuration:TrackedEvents'/>
</ImportCommand>

Ahora puede ejecutar simultáneamente informes que tienen el mismo nombre de tarea si hace clic en la casilla Allow Reports to Execute Concurrently? de la página de informes. (ID-14631)
Al editar un informe, el informe puede ejecutarse con el botón Run sin el efecto colateral de guardar automáticamente los cambios al informe. Use el botón Guardar para guardar los cambios introducidos en el informe. (ID-17212)
Algunos informes de correo electrónico HTML ahora contienen correctamente encabezados de columna no nulos (se han eliminado los vínculos vacíos de esas columnas). (ID-17369)
Los informes de registro de auditoría muestran todos los registros relevantes cuando se selecciona un intervalo de fechas en Report Timeline. (ID-17621)
La generación de informes de grupo para servidores de Active Directory que contienen grupos de seguridad con un ampersand (&) en el nombre ahora se muestra como se espera, sin producir XMLParserException. (ID-17942)
El informe de usuarios de recurso, el del grupo de recurso y el de acceso de usuario (y cualquier informe personalizado que utilice com.waveset.report.IndividualUserReport o com.waveset.report.GroupMemberReport) ya no imprimen “No records were found” entre las entradas del informe. (ID-18049)
El visor de informe ahora procesa la propiedad de formulario refType correctamente cuando se edita un informe y después se ejecuta con el botón “Run”. La propiedad refType del formulario indica al visor que cree una ObjectRef con el tipo especificado en el valor de la propiedad refType. Esta ObjectRef se utiliza como valor del atributo para la consulta del lugar del nombre del objeto. (ID-18107)
Los informes que usan IndividualUserReport.java (informe de usuarios de recurso y de usuario detallado) ahora generan informes correctamente si el nombre de usuario se define en un valor correcto (ID-18260)
El informe de un resumen de revisión de acceso ahora utiliza el atributo parInstanceName en lugar de parTaskInstanceName en las condiciones para obtener la lista de revisiones de acceso. Además, ahora el informe indica correctamente que no se han hallado registros si no se seleccionan objetos de revisión de acceso. (ID-18282)
El informe AuditLog individual de usuario ahora dispone de una página de ayuda. (ID-18539)
Los informes con nombres de tarea largos no ASCII ahora se descargan con el nombre de archivo correcto. (ID-18550)
El informe de mensajes recientes de sistema ahora trunca los datos a los 128 caracteres en la presentación de la tabla principal del informe para generar un formato más legible cuando la columna de mensajes contienen muchos datos. Los detalles del registro de informe siguen conteniendo los mismos datos que antes. Esta corrección también se aplica a los informes que usan com.waveset.report.SyslogReportTask como ejecutor en TaskDefinition. (ID-18657)

Repositorio

Cuando role se configura como atributo resumen en el objeto UserUIConfig, sólo se incluyen en la cadena de resumen tres roles de forma predeterminada. Utilice el atributo SummaryAttrrResourceCountLimit de UserUIConfig para cambiar el valor predeterminado (ID-13291)
Identity Manager ya no se cierra y elimina las conexiones válidas del grupo de conexión. Antes, una excepción no fatal podría hacer que Identity Manager cerrara una conexión en funcionamiento. (ID-13719)
Se ha corregido NullPointerException (NPE) en el informe de auditoría de actividad diario/semanal de CLOB log.acctAttrChanges. (ID-17346)
Los registros de auditoría con tamaño de tabla grande ya no provocan un impacto significativo en el rendimiento al escribir eventos de auditoría. (ID-18053)

Recursos

El método getResourceObjects() de la propiedad com.waveset.ui.FormUtil Devuelve atributos multivalor para los recursos de Active Directory cuando se invoca desde XPRESS. (ID-11965)
La prueba de skeleton Incluida con el kit de Resource Extension Facility (REF) ya no depende de clases no entregadas por el producto. Antes, la prueba de skeleton dependía de com.waveset.junit.WavesetRunner y com.waveset.junit.WavesetSuite (que no se incluyen con el producto), pero la prueba se ha modificado para eliminar esta dependencia. (ID-12370)
El método Resource.getAccountAttributeType(name,mapName) ahora funciona correctamente cuando el atributo name o mapName es null. (ID-13598)
Al cancelar “Editar directiva desincronización” para un recurso, Identity Manager ya no crea artefactos en el repositorio y ya no se produce un error en los recursos de remediación. (ID-14356)
Identity Manager muestra un mensaje de error si se especifica un nombre de grupo no válido al actualizar las cuentas NIS de Solaris. (ID-15841)
Anteriormente, algunos usuarios de ExampleSPML2ResourceAdapter han informado de que las solicitudes de modificación no se ejecutan. Ahora, la solicitud de modificación SPML v2 se procesa cuando los elementos de cambio están anidados en elementos de datos. (ID-16646)
Antes, la gestión de errores de adaptador de recurso LDAP utilizaba varias cadenas y formatos de mensajes codificados. En esta versión, los mensajes de error que se originan en excepciones debidos a adaptadores de recursos basados en LDAP están localizados. (ID-16721)
Se ha corregido un posible desbordamiento de búfer en el módulo de seguimiento de la puerta de enlace. (ID-17093)
Si la opción de copia de configuración de dominio (Realm) se ha activado en el almacén de datos de Sun Access Manager, el usuario administrador de un sub dominio (en lugar de amAdmin) abastece ese sub dominio. Esto se debe a que cuando se establece esta opción, las identidades sólo existen técnicamente en el dominio o subdominio en el que se han creado. (ID-17101)
No hay modo monosubproceso en la versión 8.0 de la puerta de enlace NDS de Identity Manager, así que la clave de registro ExclusiveNDSContext ya no se utiliza. Así se elimina el terror que se apreciaba al abastecer usuarios GroupWise a través de una puerta de enlace NDS monosubproceso. (ID-17144)
El adaptador de recurso LDAP no provoca una IndexOutOfBoundsException durante la reconciliación. (ID-17454)
El adaptador de puerta de enlace con secuencia de comandos no admite cambios de contraseña. Ahora, en el adaptador intenta evitarlo si se añade un atributo de cuenta de contraseña al esquema del mapa. (ID-17533)
Se ha corregido un problema que provocaba una excepción de puntero nulo al activar el seguimiento de la clase LDAPResourceAdapterBase. (ID-17588)
El hacer referencia a accounts[os400].accountId ya no devuelve waveset.accountId. En lugar de ello, devuelve el valor corregido de accountId de la cuenta OS400. (ID-17632)
El adaptador de recurso SAP no genera un error JCO_ERROR_FUNCTION_NOT_FOUND cuando el sistema SAP con el que está conectado no contiene el módulo de función PASSWORD_FORMAL_CHECK. (ID-17665)

Además, Identity Manager ahora utiliza BAPI_USER_EXISTENCE_CHECK (en lugar de BAPI_USER_GET_DETAIL) durante la sincronización de contraseña con sistemas SAP R/3 4.6C.

Ahora puede conectar con éxito a un recurso VMS a través de SSH. Si está actualizando, debe ejecutar update.xml o volver a importar resourceWizardForms.xml para aplicar los cambios al asistente de recurso VMS. (ID-17695)
El adaptador de recurso de secuencia de comandos de shell ahora respeta los códigos de salida de las operaciones de habilitación, deshabilitación y cambio de nombre. (ID-17749)
Si se cierra correctamente, la puerta de enlace de Identity Manager ya no hace que aparezca un mensaje de terminación anormal en los registros de consola del servidor Domino 7.x. (ID-17782)
Los adaptadores de recurso UNIX se han modificado para crear archivos temporales con permisos de lectura/escritura de usuario solamente. (ID-17835)
Las contraseñas cifradas de cuentas NetWare NDS GroupWise ahora se actualizan correctamente. (ID-18020)

Roles

Las reglas empleadas para calcular atributos de recurso de los roles ya no se aplican cuando un usuario inicia la sesión en la página de usuario final. (ID-13338)
Basándose en la UI en la que se ha iniciado la sesión, todos los tipos de elementos de trabajo posibles que puede delegarse ahora aparecen en la lista descendente cuando se configura la delegación. En la UI del administrador, la lista descendente de delegación ya no filtra los tipos de elementos de trabajo que aparecen, así que ahora se muestran todos los tipos de elementos de trabajo posibles que pueden delegarse. En la UI de usuario final sólo se listan los cinco tipos de elementos de trabajo básicos en la lista descendente. (ID-18496)

Seguridad

Ahora, los usuarios deben tener los derechos apropiados para eliminar la cuenta de otro usuario, en caso contrario se genera una excepción y se evita la supresión de la cuenta. Además, se registra un registro de auditoría con los detalles del intento de supresión. (ID-15552)
La definición de una regla de correlación con el módulo de inicio de sesión X509 ya no produce un error durante el inicio de sesión. (ID-17128)
Esta versión incluye correcciones para varios fallos de secuencia de comandos entre sitios (XSS). (ID-17830, 18015)

Servidor

Las marcas temporales ya no son ambiguas y utilizan especificaciones de zona horaria como GMT +/- <núm>. (ID-8297)
El repositorio LocalFiles predeterminado ahora funciona con GlassFish. (ID-15589)
Se ha resuelto un problema que causaba bloqueos de repositorio durante las operaciones de aprobación de usuario final y de edición de administrador. (ID-16926)
Los servidores de aplicación ya no registran un mensaje de advertencia si la codificación del carácter se define después de llamar a getReader(). (ID-17900)
La vista de usuario ya no contiene elementos de trabajo para el sujeto que obtiene la vista si el sujeto no es un usuario de la vista. (ID-18430)

Service Provider

La página básica de búsqueda de usuario del proveedor de servicios (ID-11245) ahora indica

Se debe proporcionar un valor de búsqueda

cuando no se ha especificado el valor de búsqueda, en lugar de

javax.naming.CommunicationException: [LDAP: error code 2 - Bad search filter]

o bien

java.lang.IndexOutOfBoundsException: Posn: -1, Size: 0

Si un usuario se autentica en un dominio de un único inicio de sesión (SSO) configurado para usarse con una instancia de Service Provider Edition, pero el usuario no existe en la instancia de Server Provider Edition, el usuario recibe el mensaje de error correspondiente. Antes, el usuario accedía a la página inicial de Service Provider Edition, pero no podría realizar ninguna de las acciones listadas. (ID-13194)
Cuando se ha configurado el proveedor de servicio, el comando export all de la consola lh ya no produce el fallo java.lang.UnsupportedOperationException. En la página de depuración, ya no se muestra IDMXUser como opción para List Objects. (ID-16141)
Antes, se enviaban dos eventos de la auditoría de inicio de sesión cuando un usuario del proveedor de servicio iniciaba la sesión en la interfaz de usuario final del proveedor de servicio. Esto se ha corregido para que sólo se envíe un evento de auditoría. (ID-16742)
Antes de esta versión, los registros de auditoría no seguían los cambios de nivel de atributo de los usuarios de proveedor del servicio. Ahora, Identity Manager audita los cambios de atributos de proveedor de servicio, el nombre del servidor donde se ha ejecutado la transacción y el nombre de la interfaz de inicio de sesión. (ID-16837)

Observe que, a diferencia de Identity Manager, Service Provider no registra los valores antiguos de los cambios de atributo, sólo los valores intentados y nuevos. Service Provider tampoco registra los cambios a las asignaciones de recursos ni a las respuestas de autenticación.

Antes, cuando se activaba el seguimiento de eventos, la tabla de tareas del repositorio resultaba muy grande. Este problema se ha corregido. (ID-16923)
Las solicitudes de modificación de Service Provider Service Provisioning Markup Language (SPML) ya no eliminan atributos extendidos que no se hayan especificado en la solicitud. (ID-17145)
Los datos de transacción en memoria y en el almacén de datos persistentes ahora se sincronizan correctamente. (ID-17384)

Sincronización

Identity Manager registra un error cuando el usuario elimina un usuario no existente y crea un incidente de auditoría para informes. Ahora Identity Manager registra una operación delete de un usuario no existente. Observe que este registro está disponible en los registros del sistema y el los informes de registro de auditoría en las versiones 6.0 SP4 y posteriores. (ID-13284)
La tarea de colector de recuperación de sincronización de AD funciona correctamente en servidores de catálogo global (ID-17851)
Cuando se utiliza un catálogo global para Active Sync ante un recurso de Active Directory, cada nombre de host de la tarea de colector de recuperación de sincronización de AD, con respecto a ese recurso de Active Directory, se considera ahora un catálogo global. (ID-18597)

Flujo de trabajo

La fecha de creación ahora calcula correctamente el tiempo transcurrido. (ID-11247)
Se ha corregido un error java.lang.NullPointerException en el flujo de trabajo de post-reconciliación. (ID-16893)
El flujo de ejemplo de post-reconciliación, Notify Reconcile Finish, se ha modificado para eliminar la opción waitForCompletion de la llamada a getView en la vista ReconcileStatus. (ID-17151) Los clientes también deben eliminar la opción waitForCompletion en todos los flujos de trabajo post-reconciliación. Esta opción nunca es necesaria desde dentro de los flujos de trabajo, porque el reconciliador vacía el resultado antes de lanzar el flujo de trabajo. Si un flujo de trabajo de post reconciliación define waitForCompletion=true, el flujo de trabajo se bloquea.

Otros problemas corregidos

17111, 17242, 17269, 17414, 17668, 18555