Identity Manager 8.0 Problemas detectados

En esta sección de las Notas de la versión se enumeran los problemas detectados y se ofrecen soluciones para Identity Manager 8.0:

---

Problemas detectados

En esta sección de las Notas de la versión de Identity Manager 8.0 se enumeran los problemas detectados y se ofrecen soluciones:

General
Instalación y actualización
Auditoría
Exportador de datos
Identity Manager Service Provider
Configuración de inicio de sesión
Organizaciones
Directivas y capacidades
Reconciliación e importación de usuarios
Informes
Recursos
Servidor
Puerta de enlace de Sun Identity Manager
Tareas
Flujo de trabajo, formularios, reglas y XPRESS

General

Los campos necesarios definidos en el mapa del esquema de recursos sólo se comprueban cuando se crea una cuenta de usuario (ID-220). Cuando se vaya a necesitar un campo en las actualizaciones de usuario, el formulario de usuario tendrá que configurarse de manera que se requiera el campo.
No se comprueba la existencia de caracteres no válidos en el nombre de organización, el nombre de administrador, el nombre de cuenta, el nombre de atributo de usuario (a la izquierda del mapa del esquema) o los nombres de tareas (ID-1145, 1206, 1679, 1734, 1767, 2413, 3331). El nombre de estos tipos de objetos no puede incluir los siguientes caracteres: símbolo de dólar ($), coma (,), punto (.), apóstrofo ('), Y comercial (&), corchete izquierdo ([), corchete derecho (]) o dos puntos (:).
En la página de cuentas aparece un mensaje de error engañoso si intenta realizar una acción una vez que la sesión ha terminado (ID-1223).
El objeto de calendario no puede verse en su totalidad si el explorador utiliza fuentes grandes (ID-2120).
La casilla de verificación Select All de las páginas Find Results y List Task no se deselecciona si se anula la selección de uno de los elementos de la lista (ID-5090). La casilla de verificación selectAll no se tiene en cuenta en la acción resultante si no se han marcado las casillas de todos componentes de la lista.
Si realiza un cambio en un catálogo de mensajes personalizados, tendrá que reiniciar el servidor para ver los cambios. (ID-6792)
El mecanismo de detección actual de fallo del servidor asume que todos los sistemas de un clúster de Identity Manager están sincronizados en el tiempo. (ID-7064) Cuando se aplica el intervalo de error predeterminado de cinco minutos y un servidor presenta un desfase de sincronización de cinco minutos con otro, el servidor adelantado declara que el servidor atrasado está inactivo, lo que produce resultados inesperados.

Solución: Mejore la sincronización temporal o aumente el intervalo de reconexión de emergencia.

Si inicia una sesión en Windows con un nombre de usuario que contiene caracteres de dos bytes y la codificación predeterminada del equipo sólo admite caracteres de un byte, debe configurar la variable de entorno USER_JPI_PROFILE en un directorio existente cuyo nombre sólo contenga caracteres de un byte. (ID-8540)
Si extrae un recurso en un archivo XML utilizando la opción de formato de archivo XML y después selecciona el formato de archivo CSV en la lista desplegable, aparece el siguiente diálogo de mensaje.

El formulario ya se ha enviado

Solución alternativa: Para evitar este mensaje, haga clic en Accounts > Extract to File > Choose a Resource > Choose CSV File Format. Haga clic en Download para descartar los detalles de cuenta del recurso en formato .csv. (ID-10847)

Si un nodo expandido contiene menos de una página de datos y se inserta un nuevo nodo dependiente del otro (por ejemplo, cuando se crea un usuario de la organización) delante del primer registro de la página, Identity Manager introducirá una página con un elemento delante de la página actual cuando se actualice. (ID-12151)

Solución:Para realinear las páginas, haga clic en el botón First Page.

Si modifica un formulario de roles para cambiar el valor de la variable showSuperAndSubRoles de 0 a 1 y luego importa un archivo de definición de súper roles que contenga los subroles existente mediante la ficha Configurar, los subroles no se modificarán para incluir la sección <SuperRoles>. Sin embargo, si utiliza la interfaz gráfica de usuario de Identity Manager para crear un súper rol, los subroles asociados al súper rol se actualizarán. (ID-15053)

Este problema suele afectar a roles creados fuera de Identity Manager que hacen referencia a roles (subroles o súper roles) existentes del sistema.

Cuando se importan estos roles, los existentes no se actualizan para reflejar la nueva relación; por ejemplo, no se mantiene la integridad referencial. Utilice RoleUpdater para comprobar y corregir la integridad referencial cuando importe roles de esta manera.

Solución:Consulte ID-15482 en Editor de procesos de negocio (BPE) de Identity Manager.

Al editar el objeto AdminRole se puede generar una excepción ItemNotFound para algunos caracteres no ASCII. (ID-15782)

Soluciones:

Edite adminrolemodify.jsp para que deje de pasar id como cadena de consulta.

<%

   String bodyAttributes = “onload=\”selectFirstEditField();\””;

   try {

      String id = requestState.getParameter(“id”);

      if (id = = null) {

         :

      }

   else {

      form.setTitle(Messages.UI_ADMIN_ROLES_JSP_EDIT_ROLE_TITLE);

      form.setSubTitle(Messages.UI_ADMIN_ROLES_JSP_EDIT_ROLE_SUBTITLE);

      // stop passing id as a query string

     //form.setPostURL(response.encodeURL(“security/adminrolemodify.jsp?id=”+id));

      form.setPostURL(response.encodeURL(“security/adminrolemodify.jsp”));

   }

Edite adminrolemodify.jsp para codificar ella valor del parámetro de consulta de ID.

<%

   String bodyAttributes = “onload=\”selectFirstEditField();\””;

   try {

      String id = requestState.getParameter(“id”);

      if (id = = null) {

         :

      }

      else {

         form.setTitle(Messages.UI_ADMIN_ROLES_JSP_EDIT_ROLE_TITLE);

         form.setSubTitle(Messages.UI_ADMIN_ROLES_JSP_EDIT_ROLE_SUBTITLE);

         // encode id query parameter value

        //form.setPostURL(response.encodeURL(“security/adminrolemodify.jsp?id=”+id ));

         form.setPostURL(response.encodeURL(“security/adminrolemodify.jsp”?id=”

           + com.waveset.util.URLUTF8Encoder.encode(id)));

}

Si modifica la configuración de un registro de cambios (por ejemplo, añadiendo atributos de columna), quizá no aparezcan esas modificaciones en un archivo CSV de registro de cambios que ya exista. (ID-15973)
Algunas palabras de la ficha de la pantalla “Editar usuario” pueden ajustarse en el modo de varios idiomas. (ID-16054)

Solución: Para asegurarse de que las palabras mostradas en las fichas no se ajusten, agregue lo siguiente a $WSHOME/styles/customStyle.css:

table.Tab2TblNew td
{background-image:url(../images/tabs/level2_deselect.jpg);background-repeat:repeat-x;b ackground-position:left top;background-color:#C4CBD1;border:solid 1px #8f989f;white-space:nowrap}

table.Tab2TblNew td.Tab2TblSelTd
{border-bottom:none;background-image:url(../images/tabs/level3_selected.jpg);backgroun d-repeat:repeat-x;background-position:left bottom;background-color:#F2F4F3;border-left:solid 1px #8f989f;border-right:solid 1px #8f989f;border-top:solid 1px #8f989f;white-space:nowrap}

En sesiones de Identity Manager localizadas, las miniaplicaciones de diagrama de proceso pueden estar parcialmente localizadas (mezcla de inglés y el idioma seleccionado). (ID-16139)
El objeto Repository Configuration tiene un atributo llamado maxAttrValLength. El valor de este atributo se pasa por alto, y siempre es 255. (ID-16261)
Para sincronizar contraseñas en modo directo hay que configurar SimpleRpcHandler en el archivo web.xml. De manera predeterminada, este gestor no se suministra como tal al servlet rpcrouter2. (ID-16469) Para usar sincronización de contraseñas en modo directo, defina como sigue el parámetro de inicialización del gestor:

<init-param>

   <param-name>handlers</param-name>

   <param-value>com.waveset.rpc.SimpleRpcHandler,com.waveset.rpc.PasswordSyncHandler
</param-value>

</init-param>

Recuerde que se ha constatado que SimpleRpcHandler interfiere con determinadas llamadas de RemoteSession. Si prevé utilizar tanto RemoteSession como sincronización de contraseñas en modo directo, configure aparte un servlet para gestionar las llamadas de RemoteSession.

Si al editar o actualizar un usuario intenta asignar un atributo idmManager a otro idmManager que aún no existe (por ejemplo, falta idmManager), aparecerá el mensaje de error siguiente y no se guardará la modificación. (ID-17339)

'No se ha encontrado el elemento Item User:[idmManager that doesn't exist] en el depósito, se ha debido eliminar en otra sesión'

Este problema no surge cuando se crea un usuario nuevo.

Accounts > Extract to File guarda los formatos de archivo XML y CSV con la extensión .dat, en lugar de las extensiones .xml y .csv esperadas. (ID-17521)

Solución alternativa: Los archivos guardados pueden de nombrarse manualmente con las extensiones adecuadas.

La página String Quality Policy muestra texto en líneas verticales. (ID-18551)
Las delegaciones de tipo de rol sustituyen las delegaciones de aprobación de rol realizadas para un rol específico. (ID-18559) Por ejemplo, si los tipos de elementos de trabajo de rol de uno o más roles específicos se delegan al usuario uno, mientras que todos los elementos de trabajo de rol de negocio futuro se delegan al usuario dos, los roles específicos de la primera delegación se delegarán al usuario dos el lugar de al uno. Este es el resumen de la situación de delegación:
Delegue la aprobación de rol de rol empresarial 1 al usuario uno
Delegue la aprobación de rol empresarial al usuario dos

En todas las solicitudes en las que a un usuario se le asigne una aprobación de rol de negocio, el rol de negocio se delega al usuario dos.

La activación de un rol no da al usuario la opción de actualizar roles asignados. (ID-18647)

Soluciones: Actualice manualmente los usuarios asignados, o actualice los usuarios asignados desde las páginas List/Find Roles.

Los roles contenidos en otros roles ahora pueden asignarse condicionalmente a usuarios cuando se asigna su rol principal. Puede especificarse una condición en la asociación entre el rol principal y el contenido al evitar el rol principal. Puede crearse una condición o puede diferenciarse una regla. Si se especifica una regla, todos los atributos de vista de usuarios necesarios para la evaluación de la regla deben especificarse con un argumento de regla. (ID-18734)
El catálogo de mensajes de almacén de datos WICMessages.properties se carga basándose en la ubicación del servidor en lugar de la del usuario. (ID-18898) Por ejemplo, si un servidor de aplicaciones ejecuta la configuración regional japonesa, los atributos de consulta aparecen en japonés, aunque la interfaz del usuario suele estar en inglés.

Solución alternativa: Reinicie el servidor de aplicaciones en una configuración local con una variante UTF-8 que corresponda con la configuración de idioma del navegador.

Identity Manager 8.0 ha añadido el nuevo atributo consultable assignedRoles, que hace referencia a todos los roles directos e indirectos asignados a un usuario. (ID-18921) Versiones anteriores contenían el atributo role, que todavía puede consultarse, que sólo contiene roles asignados directamente a usuarios. El proceso de actualización sólo actualiza automáticamente usuarios con roles indirectos para permitir el relleno de assignedRoles. El informe de usuarios con rol asignado no devuelve todos los usuarios asignados a un rol en entornos actualizados hasta que se han actualizado todo los usuarios.

Soluciones:

Actualice todos los usuarios.
Cree un informe de usuarios con roles asignados directa entre punto

Tres atributos de referencia de la clase de objeto Principal no se pueden exponer en User para exportación de datos en 8.0 MemberAdminGroups, adminRoles y adminGroupsRule.

Los atributos MemberAdminGroups y adminRoles son atributos consultables de User, aunque no aparezcan como tales en el esquema objectclass. (ID-18536)

Instalación y actualización

El instalador de Identity Manager no se ejecuta con JDK de 64 bits. (ID-18534)

Soluciones:

Instalación manual.
Use una versión de JDK de 32 bits para ejecutar el instalador.
Configure os.arch=ppc definiendo JAVA_OPTS (usado por install.bat) para realizar la instalación. Por ejemplo:

export JAVA_OPTS=”-Dos.arch=ppc”

install

O, si JAVA_OPTS ya contiene las opciones necesarias:

export JAVA_OPTS=”$JAVA_OPTS -Dos.arch=ppc”

install

Si el proceso de actualización no consigue iniciar la sesión con la cuenta y contraseña del configurador predeterminado, el archivo de registro consigna el error pero no guarda nada tras el error. (ID-18929)

El archivo update.xml se importa durante el proceso de actualización. La importación intenta iniciar sesión como configurador con la contraseña predeterminada. Si falla el inicio de sesión, aparece un error y el programa de actualización solicitar la información de inicio de sesión correcta. Si proporciona la información correcta, la actualización continúa. Cuando busque en el archivo de registro el proceso de actualización, puede ver el mensaje de error al fallar el inicio de sesión predeterminado, pero no verá ninguna información sobre la actualización en el archivo de registro. Este problema no afecta a la actualización, sólo al archivo de registro.

La secuencia comandos upgradeto80from71.mysql tiene un error que hace que la secuencia se detenga a medias. (ID-18874, 18977)

Para evitar el error, debe evitar la secuencia de comandos y cambiar la línea siguiente:

INSERT INTO waveset.roleobj SELECT * from waveset.object where type = 'Role';

Modifique la línea para que quede así:

INSERT INTO waveset.roleobj (SELECT id, type, name, lockinfo, modified, repomod, summary, attr1, attr2, attr3, attr4, attr5, counter, xmlSize, xml FROM waveset.object WHERE type='Role');

Los nombres de columna explícitos son necesarios porque las columnas de las bases de datos 7.1 actualizadas tienen un orden diferente.

Auditoría

Durante una exploración no se admiten reintentos de exploración de cuentas de usuario que no se han podido capturar de los recursos o donde han ocurrido otros fallos. Estos fallos se notifican cuando la exploración termina, pero no existe ningún modo de explorar otra vez las cuentas forma automática. (ID-9112)
Identity Auditor intenta hacer que los usuarios no infrinjan el cumplimiento entre exploraciones de directiva mediante la aplicación obligatoria de la directiva siempre que se edita el usuario. Si edita un usuario que tiene asignadas directivas de auditoría y además incumple una directiva, no podrá guardar los cambios, aunque se trate de un cambio tan simple como trasladar a un usuario a otra organización. (ID-9504)

Solución: Utilice la función de la miniaplicación de usuario que permite mover con un clic en el botón secundario del ratón (o la de búsqueda y desplazamiento) o deshabilite temporalmente las comprobaciones de la directiva de auditoría.

Para deshabilitar las comprobaciones de la directiva de auditoría, edite la configuración del sistema y elimine la propiedad userViewValidators. Esta propiedad, que tiene como valor una lista de cadenas, se añade durante la importación del archivo init.xml o upgrade.xml.

No se ha implementado la escala logarítmica en los informes de directiva de auditoría. (ID-9522)
En la actualidad, el administrador de informes de exploración de acceso de Auditor no puede programar la exploración de las directivas de auditoría. Se genera el error Error message: Create access denied to Subject auditadmin on type TaskSchedule. Para programar cualquier tarea, los administradores deben contar con privilegios create sobre TaskSchedule authType. (ID-14713)

Solución: Modifique el administrador para asignarle privilegios create sobre TaskSchedule o especifique un usuario que tenga las capacidades Auditor Administrator o Waveset Adminsistrator como mínimo.

Cuando se realizan exploraciones de auditoría que dan lugar a varias infracciones, el Auditor puede crear un flujo de trabajo de remediación para gestionar el proceso de las infracciones. (ID-15830) La configuración predeterminada de MySQL para max_allowed_packet (1M) es demasiado limitada para un flujo de trabajo con docenas de infracciones. Cuando se alcanza el límite, el Auditor no inicia el flujo de trabajo de remediación.

Solución: Este valor debe ser más alto cuando se utiliza con frecuencia el auditor. Para solucionar el problema, añada max_allowed_packet = 32M al archivo de configuración de MySQL (my.cnf) y reinicie el servidor de la base de datos.

Puede resultar confuso cambiar los valores de gravedad y prioridad para las remediaciones de infracción de cumplimiento. Los valores iniciales del formulario no son los valores actuales de las infracciones de cumplimiento, sino los últimos valores definidos al realizar un cambio. Es importante saber qué valor de gravedad/prioridad interesa mientras aún está visible la vista de lista, ya que no es posible determinar los valores actuales en la página donde se pueden cambiar. (ID-16040)
Los nombres de directiva de auditoría no pueden contener los siguientes caracteres: ' (apóstrofo), . (punto), | (línea), [ (corchete izquierdo), ] (corchete derecho), , (coma), : (dos puntos), $ (símbolo del dólar), " (comillas) y = (signo igual). (ID-16078)
Las infracciones de cumplimiento producidas antes de actualizar a IdM 7.1 no permiten definir la gravedad ni la prioridad. El mensaje de error resultante indica que la infracción de cumplimiento ya no existe, pero esta afirmación es incorrecta. La infracción está ahí, pero IdM no es capaz de definir su gravedad o prioridad. (ID-16420)

Exportador de datos

El exportador de datos puede configurarse para que se ejecute como administrador de Identity Manager con las capacidades apropiadas. La tarea de exportación se ejecuta como demonio, iniciado y supervisado por el programador de Identity Manager. Los registros de auditoría creados por el exportador de datos muestran el asunto del programador (Scheduler:IDMServer), el lugar de la tarea configurada. (ID-18055)
La consulta forense no admite acciones de edición/modificación sobre tipos de rol. (ID-18769)

Identity Manager Service Provider

Identity Manager Service Provider y Sun Java System Portal Server pueden ser incompatibles debido a un problema relacionado con las bibliotecas cifradas. (ID-10744)

Este problema se puede solucionar configurando los valores siguientes en el archivo /etc/opt/SUNWam/config/AMConfig.properties de Portal Server y reiniciando el contenedor Web:

com.iplanet.security.encryptor=com.iplanet.services.util.JCEEncryption

com.iplanet.security.SSLSocketFactoryImpl=netscape.ldap.factory.

JSSESocketFactory

com.iplanet.security.SecureRandomFactoryImpl=com.iplanet.am.util.

SecureRandomFactoryImpl

Algunas de las opciones de configuración que aparecen en la interfaz del administrador de Identity Manager no se utilizan con Identity Manager Service Provider. (ID-10843). Entre ellas se encuentran:
Opciones de recurso: regla de exclusión de cuentas, aprobadores y organizaciones asociados con el recurso.
Atributos de función
De forma predeterminada, la auditoría no se realiza cuando se utilizan las llamadas checkinObject y deleteObject IDMXContext de API. La auditoría se debe solicitar de forma explícita configurando la clave IDMXContext.OP_AUDIT como verdadero en la asignación de opciones transferida a estos métodos. El método createAndLinkUser() de la clase ApiUsage muestra cómo solicitar la auditoría. (ID-11261)
El grupo de módulos de inicio de sesión predeterminado asume que el nombre asignado al recurso de Service Provider es 'Directorio de usuarios SPE'. La página de inicio de sesión de usuario de Service Provider no funciona correctamente cuando se usa otro nombre. La página no mostrará los campos relacionados con el inicio de sesión. (ID-14891)

Solución:Actualice el objeto UI_LOGIN_MOD_GRP_DEFAULT_SPE_PWD LoginModGroup con el nombre de recurso correcto.

La tarea de sincronización de SPE está programada, de modo que la sincronización no se detiene al detener dicha tarea en la página Tareas. Para lograrlo puede deshabilitar la programación en sí. (ID-16000)

Solución:El método preferible para iniciarla y detenerla es utilizar la interfaz del producto en la página Recurso o programar (por ejemplo, desde un flujo de trabajo) los métodos SessionUtil para que inicien y detengan la sincronización de SPE. Para impedir que la sincronización de SPE empiece automáticamente cada vez que se inicie una instancia del servidor de Identity Manager, hay que deshabilitarla en la directiva de sincronización para el recurso. Al detener la sincronización de SPE con la interfaz de usuario o con el método SessionUtil, sólo se detiene la sincronización hasta que se inicia otra instancia del servidor de Identity Manager.

Cuando se utiliza la página de inicio de sesión de usuario final de Identity Manager SPE en WebSphere y aparece un error 404 en el explorador, se genera una excepción javax.servlet.UnavailableException. (ID-16001)

Solución alternativa: Utilice las propiedades siguientes en IBM 1.5 JDK:

En el directorio was-install/java/jre/lib, cambie jaxb.properties.sample a jax.properties y quite los comentarios de estas dos líneas:

javax.xml.parsers.SAXParserFactory=

org.apache.xerces.jaxp.SAXParserFactoryImpl

javax.xml.parsers.DocumentBuilderFactory=

org.apache.xerces.jaxp.DocumentBuilderFactoryImpl

Guarde el archivo y reinicie el servidor de aplicaciones.

Configuración de inicio de sesión

El módulo de autenticación intermedia no funciona con el recurso de Domino (ID-1646).
Los demás administradores que hayan iniciado una sesión no podrán ver los cambios efectuados en las páginas de configuración de inicio de sesión de administrador y de usuario (ID-3487). Para ver los cambios, esos administradores tendrán que cerrar la sesión de la interfaz del administrador y volver a iniciarla.
Si un administrador inicia una sesión y selecciona “Cambiar mi contraseña” seguido de otra ficha, su cuenta se bloquea hasta que el intervalo de bloqueo termina. (ID-3705)

Cuando otro administrador intenta editar el administrador bloqueado, se muestra el siguiente mensaje:

com.waveset.util.WavesetException: Unable to access account #ID#Configurator at this time. Pruebe otra vez más tarde.

Si el administrador hace clic en el botón "Aceptar", se muestra el diagrama del proceso de flujo de trabajo correspondiente a la última acción.

Organizaciones

Si se cambia el nombre de una organización mientras hay pendientes solicitudes de provisión que afectan a usuarios de la organización, la solicitud falla (ID-564).

Solución: Asegúrese de que no hay solicitudes importantes antes de cambiar el nombre de la organización.

Cuando se crea una organización nueva y se selecciona la opción User Member Rules antes de especificar un nombre de organización, en el campo de nombre de la organización aparece un ID al actualizar la página (ID-6302). El nombre se puede configurar antes de guardar la nueva organización.

( ) - Warning: Parenthesized values in field 'Approvers' do not match any of the allowed values.

Directivas y capacidades

El atributo de directiva de cuenta Identity Manager Opción de notificación de reinicialización de tiene una opción “administrador” que no se aplica (ID-944). Las únicas opciones viables son “inmediata” y “usuario”.
Cuando se eliminan varias funciones, la operación se detiene en lugar de continuar eliminando otras funciones si se detecta un error (ID-1168).
El número mínimo de preguntas que un usuario debe responder se puede configurar en un valor mayor que el número de preguntas definidas (ID-1834). En este caso, el usuario no podrá iniciar una sesión utilizando la opción “Olvidó mi contraseña”.
La directiva de cuenta de Lighthouse predeterminada no se puede clonar editando la directiva, cambiando el nombre y seleccionando crear un objeto nuevo (ID-5147).

Solución: Cree una directiva de cuenta nueva.

La exploración de auditoría tiene una opción en el formulario Task Launch para enviar un mensaje de correo electrónico a una dirección de correo electrónico con un informe de infracción. Este mensaje no se envía si no se detectan violaciones. (ID-18773)

Reconciliación e importación de usuarios

Cuando se cancela una reconciliación completa, el mensaje de error muestra:

Cancelada la reconciliación gradual de [recurso] que se ejecuta en [servidor].

El mensaje debería ser:

Cancelada la reconciliación completa de [recurso] que se ejecuta en [servidor]. (ID-14554)

El valor del atributo waitForCompletion en el flujo de trabajo Notify Reconcile Finish debe cambiarse a false para evitar bloqueos durante la reconciliación. El atributo waitForCompletion se eliminará en la próxima versión principal de Identity Manager. (ID-16888)

Soluciones:

Importe el archivo <idm_root>/sample/wfrecon.xml usando lh console.
Cambie manualmente el flujo de trabajo Notify Reconcile Finish usando lh config.

Cuando se ejecuta Cargar desde recurso y el recurso admite ACCOUNT_CASE_INSENSITIVE_IDS, si las mayúsculas y minúsculas del ID de cuenta del usuario no coinciden con las del ID de cuenta almacenado en el objeto de usuario ResourceInfo de Identity Manager se añadirá un segundo ResourceInfo al objeto de usuario con el ID de cuenta en las mismas mayúsculas y minúsculas que indica el recurso.

Solución: Asegúrese de que el ID de cuenta del objeto Identity Manager ResourceInfo que hay en el objeto de usuario tenga las mismas mayúsculas y minúsculas que indica el recurso. (ID-17377)

Si ha desactivado el applet de componente de visualización MultiSelect (y utiliza en su lugar la versión HTML) y edita la directiva de reconciliación de una instancia de recurso concreta, puede producirse un error al desactivar la casilla de herencia de tipo de recurso. (ID-18964)

Solución: Vuelva a activar las applets MultiSelect.

Informes

Otros administradores, además de los administradores de informes, pueden ver los informes de análisis de riesgos (ID-1224).
Los resultados de los informes que se envían por correo electrónico con la opción de texto normal no tienen formato (ID-2191).

Solución: Utilice la opción HTML para el correo electrónico.

En las columnas Prioridad y Gravedad del informe resumido de infracciones aparecen números en lugar de descripciones textuales. (ID-16932)
El informe resumen de infracciones no incluye las infracciones solucionadas. El informe sólo incluye violaciones actualmente activas (nuevas o recurrentes) o mitigadas. (ID-16933)
La columna Estado de infracción del informe resumido de infracciones debe estar localizada. (ID-17011)
Se incluye la opción EXEMPTED en el menú descendente Posibles estados del informe resumido de infracciones. (ID-17042)
Cuando se especifican varias condiciones para generar un informe de uso, el gráfico se muestra correctamente en la página de resultado del informe, pero la línea de grosor fijo trunca el texto condicional. (ID-17224)
Todos los informes de exploración de cuentas inactivas no muestran sus resultados en la página Ver análisis de riesgo. Para ver el resultado de estos informes, vaya a la página Tareas de servidor. (ID-17255)
El informe de preguntas del usuario no muestra su título informe si no se ha configurado la directiva de preguntas. (ID-17415)
El informe de usuario de recurso lista el administrador de reinicialización como usuario, pero el administrador de reinicialización es un usuario oculto que no debería mostrarse. (ID-17650)

Recursos

El botón de prueba de recursos no sirve para probar todos los campos. (ID-51)
Las asignaciones de puertos de recursos se pueden configurar en valores superiores a 65535 (ID-59).
Cuando se configura un nombre de grupo de Active Directory incorrecto se muestra un mensaje de error. (ID-393) Si intenta configurar el nombre del grupo de Active Directory en “groupname” en lugar de en “cn=groupname,cn=builtin,dc=waveset,dc=com”, aparece el mensaje de error “array index out of bounds”.
A veces no se tienen en cuenta los atributos de cuenta necesarios si hay otro recurso con el mismo nombre de atributo de cuenta que no tiene configurado el indicador necesario. (ID-1161)
Si un administrador intenta añadir una organización a un recurso para el cual no dispone de derechos, aparece un error. Será preciso cancelar la edición del recurso y editar de nuevo el recurso para realizar otros cambios. (ID-1274)
El mensaje de error que aparece cuando una contraseña o un nombre de usuario de cuenta de recurso no es correcto en un recurso de PeopleSoft no es claro. (ID-2235) El mensaje de error es el siguiente:

bea.jolt.ApplicationException: TPESVCFAIL - application level service failure

Las acciones de recursos de Windows Active Directory que utilizan el estado de salida %DISPLAY_INFO_CODE% causan fallos con errores. (ID-2827)
No es posible configurar un ID de grupo principal de usuario en Active Directory cuando se crea el usuario. (ID-3221)

Solución: Cree el usuario sin configurar el ID de grupo principal, y luego edite el usuario y configure el valor. El ID de grupo principal no lo establece el nombre distinguido (DN) del grupo, sino el número.

Las direcciones IP de los recursos se almacenan en caché en JVM una vez que el nombre de host hace referencia a una dirección IP. Cuando se cambia la dirección IP de un recurso, es preciso reiniciar el servidor de aplicaciones para que Identity Manager detecte el cambio. (ID-3635) Esto aparece configurado en Sun JDK (versión 1.3 o posterior) y se puede controlar con la propiedad sun.net.inetaddr.ttl, que normalmente se configura en jre/lib/security/java.security.
En los recursos de Oracle no se pueden crear varias cuentas para un solo usuario. (ID-3832)
Los usuarios finales no pueden utilizar la función de autodescubrimiento en cuentas de recursos de Domino. (ID-4775)
Si se pasa un usuario desde o hasta un subcontenedor dentro de la organización de Active Directory, el adaptador de Active Sync detecta el cambio; sin embargo, cuando se visualiza el usuario en la página de edición (o se efectúa un cambio y se visualiza la página de confirmación), el ID de la cuenta del usuario sigue siendo el DN (nombre distinguido) original. (ID-4950) La utilización de GUID para modificar el usuario no causa problemas de funcionamiento. La ejecución de la reconciliación contra el recurso puede solucionar este problema.
Si el usuario se pasa de una organización (OU) a una suborganización, el adaptador del registro de cambios de LDAP no reconoce el cambio y asume que el usuario se ha eliminado. El objeto de usuario se bloquea en Identity Manager (si es la configuración actual) y no se crea una cuenta nueva para la que se ha movido. (ID-4953)
Las conexiones agrupadas que utilizan los adaptadores de recursos de UNIX se pueden dejar en un estado indeterminado si ocurre un error durante la ejecución de un comando o una secuencia de comandos. (ID-5406)
Sólo es posible crear organizaciones NDS en el nivel superior del árbol configurando el contexto de base del recurso en "[ROOT]". (ID-5509)
Si en NDS edita un campo (como Grace Login Limit) de la provisión inicial y no introduce valores en los campos booleanos, todos los campos booleanos se configuran como falsos. (ID-6770) Esto impide configurar otros campos de la ficha de restricción que requieren que los valores de ciertas casillas de verificación sean verdaderos. Para evitar esto, asegúrese de que todos los campos booleanos que necesite sean verdaderos para que se transmitan correctamente al editar otros campos.
Si cambia la contraseña de un equipo UNIX mediante la función Manage Connection --> Change Resource Password, el nombre de tarea que aparece es:

_FM_PASSWORD_CHANGING_TASK null:null

Debería aparece un nombre fácil. (ID-6947)

Cuando se actualicen usuarios mediante una actualización desde una organización de Identity Manager, los usuarios que tengan un ID de cuenta de servidor Sun One recibirán un error si se crearon de forma nativa y se cargaron en Identity Manager. (ID-7094) La solución consiste en actualizar los usuarios por separado.
Identity Manager sigue incluyendo las clases desaprobadas que siguen:
com.waveset.object.IAPI
com.waveset.object.IAPIProcess
com.waveset.object.IAPIUser

Las clases de adaptador personalizado no deberían hacer referencia a estas clases, sino a las clases correspondientes del paquete com.waveset.adapter.iapi. (ID-8246)

Si sale del asistente Nuevo objeto de recurso sin hacer clic en el botón Guardar o Cancelar, el formulario desechado quizá no se destruya e interfiera cuando después al crear objetos de recurso nuevos. (ID-11033) Esto produce un error que indica

No resource form id found in options or view.

Solución: Utilice siempre el botón Cancelar para salir del asistente Nuevo objeto de recurso.

Si se edita un usuario a la vez que se ejecuta Active Sync como otro administrador, se produce una excepción de Active. Como otro administrador bloquea al usuario, Active Sync no puede reintentar el proceso. (ID-11255)

Solución: Para que Active Sync pueda realizar reintentos con un recurso, actualice el XML de recursos incluyendo los dos atributos de recurso adicionales con el formato que se indica:

<ResourceAttribute name='syncRetryCountLimit' type='string' multi='false' facets='activesync' value='180'/>

<ResourceAttribute name='syncRetryInterval' type='string' multi='false' facets='activesync' value='10000'/>

Donde:

syncRetryCountLimit es el número de veces que se reintenta la actualización.
syncRetryInterval es el número de milisegundos que se espera entre reintentos.

Estos valores aparecerán después como opciones de recurso personalizados al configurar Active Sync. Es conveniente especificar un displayName, utilizando una clave de catálogo personalizada si se necesita localización.

Se han detectado dos problemas en el editor de plantillas de integración de Remedy. (ID-14729)
El valor predeterminado de esquema de Remedy, "HPD:HelpDesk", no es adecuado para las últimas versiones de BMC Remedy, que no contienen ningún esquema "HPE:Help Desk".
La columna Opciones no aparece para algunos campos. Ello no afecta a la capacidad de usar plantillas de Remedy.
Debido a una regresión, la sincronización de contraseña de Identity Manager falla cuando se utiliza con Sun Java^TM System Directory Server Enterprise Edition 6.0, 6.1 y 6.2. El fallo se corregirá en la versión Directory Server 6.3. Si se necesitan las versiones 6.0, 6.1 o 6.2 para trabajar con Identity Manager, solicite a asistencia técnica un parche para Directory Server, mencionando como referencia el error 6604342 de Directory Server. (ID-14895)
Cuando se expanden los objetos de recurso de un recurso de Sun Java^™ System Access Manager 7.0 desde la ficha Recursos, puede aparecer este error: (ID-15525)

Error al listar objetos. ==> com.waveset.util.WavesetException: Error al tratar de obtener el valor de atributo para el atributo 'guid'. ==> java.lang.IllegalAccessError: tried to access method com.sun.identity.idm.AMIdentity.getUniversalId()Ljava/lang/String; from class com.waveset.adapter.SunAccessManagerRealmResourceAdapter

Este error se produce con recursos de Access Manager 7.0 a los que no se ha aplicado ningún parche. Para solucionar el problema, debe aplicar al menos el parche 1 de Access Manager y después volver a compilar e implantar el SDK de cliente de Access Manager.

Por problemas de interoperabilidad entre los orígenes de datos de WebSphere y los controladores Oracle JDBC, los clientes de Oracle que deseen utilizar un origen de datos de WebSphere con Identity Manager deben usar Oracle 10g R2 y el correspondiente controlador JDBC. (El controlador Oracle 9 JDBC no funciona con un origen de datos de WebSphere e Identity Manager.) (ID-16167)

Si tiene una versión de Oracle anterior a 10g R2 y no puede actualizar a 10g R2, configure el repositorio de Identity Manager de manera que se conecte a la base de datos de Oracle mediante un controlador administrador JDBC de Oracle (no un origen de datos de WebSphere).

Para obtener más información, consulte la URL siguiente:

http://www-1.ibm.com/support/docview.wss?uid=swg21225859

Cuando determinados visores de la aplicación de consola 1 de NDS inspeccionan a los usuarios de NDS/Groupwise creados por Identity Manager que tienen los campos Access y AccountID (por ejemplo, al seleccionar primero las propiedades de usuario y después la ficha Groupwise) puede parecer que no se guardan sus valores correspondientes.

Sin embargo, los campos aparecen si se utiliza el visor de usuario de Groupwise Diagnostic -> Display Object. Este error de visor no parece afectar a las actualizaciones que Identity Manager realiza en los campos antes mencionados. (ID-16330)

WRQ busca en la ruta de clase classpath para detectar su propia entrada. A partir de dicha entrada, WRQ determina el directorio donde está almacenado el archivo JAR y después utiliza dicho directorio para leer el archivo de licencia .JAW. No obstante, tanto BEA como WebSphere utilizan nombres d protocolo no estándar (BEA usa zip y WebSphere usa wsjar), en lugar del estándar JAR, que es el protocolo que el código de WRQ asume que existe. (ID-16709, 17319)

Soluciones:

Para BEA, añada la opción siguiente al comando java en el archivo startWeblogic.sh :

-Dcom.wrq.profile.dir="DirectoryContainingLibraries"

Para WebSphere, añada la propiedad com.wrq.profile.dir=DirectoryContainingLibraries al archivo WebSphere/AppServer/configuration/config.ini.

Se puede producir una infracción de sellado cuando se utiliza Identity Manager 7.1 o 8.0 con Oracle 10g en Sun Java^™ System Application Server Enterprise Edition 8.2. El problema puede deberse a la presencia de más de un archivo JAR de Oracle JDBC en la ruta de clase CLASSPATH o de una versión incompatible del archivo JAR de JDBC en CLASSPATH. (ID-17311)

Asegúrese de que haya un único archivo JAR de Oracle JDBC en CLASSPATH y que sea de una versión compatible, como el archivo JAR suministrado durante la instalación de Oracle.

Antes de crear un recurso nuevo, no olvide habilitar el tipo de recurso en la lista de tipos configurados. De lo contrario, el objeto de recurso recién creado quizá no tenga todos los campos necesarios. (ID-17324)
El valor predeterminado del atributo Create Directory no es coherente entre recursos del sistema operativo Unix. (ID-18301)
Cuando Identity Manager utiliza una configuración regional con un juego de caracteres multibyte, los resultados de acciones masivas no generan correctamente el nombre de archivo CSV. (ID-18661)

Roles

El menú emergente de selección de fecha, usado para especificar fechas futuras de activación y desactivación para roles asignados a usuarios, no es funcional si el nombre del rol contiene un apóstrofo. (ID-18941)

Solución: Escriba la fecha de activación o desactivación en el cuadro de texto que hay junto al icono de selección de fecha.

Al introducir anualmente fechas de activación o desactivación para los roles de los usuarios, los campos se envían automáticamente al hacer clic fuera de ellos o desplazarse a otros con el tabulador. Este comportamiento hace que aparezca el mensaje de formulario ya enviado si hace clic en guardar después de modificar manualmente en la ficha de los campos de activación o desactivación. (ID-18927)
La eliminación de un rol debe verificar las referencias a éste como rol contenido y después por usuarios. Si el proceso encuentra una de estas referencias, se genera un error y no se elimina el rol. (ID-18981)

Sin embargo, el proceso tiene un problema al verificar referencias de otros roles, y el rol se elimina de sus roles principales, aunque no debería hacerse. El rol no se elimina porque sigue estando referenciado por usuarios. Las referencias al rol contenido se mantienen en el objeto User, aunque el rol principal ya no contenga ese rol.

Antes de eliminar un rol debe verificar que no está contenido en otros roles y asignado a usuarios de forma directa o indirecta.

Servidor

El panel no aparecerá aunque se seleccione si hay organizaciones en las que el nombre contiene apóstrofos ('). (ID-5653)

Puerta de enlace de Sun Identity Manager

La Puerta de enlace de Sun Identity Manager a veces no se detiene cuando se pulsa el botón Stop en la pantalla Windows Services. (ID-590)

Solución: Cancele la solicitud del servicio (si todavía está bloqueado) y detenga de nuevo del servicio, o salga del cuadro de diálogo Windows services, vuelva a entrar e intente realizar la operación de parada otra vez.

En ocasiones la puerta de enlace no se detiene cuando se utiliza 'net stop “Sun Identity Manager Gateway”' (ID-2337).
La puerta de enlace Sun Identity Manager tienen fugas de memoria cuando se activa la compatibilidad de Exchange 2007 en el adaptador de recurso de Active Directory, haciendo que el proceso crezca con el tiempo. (ID-18854)

Solución: Controle el proceso de servicio de puerta de enlace y reinicie el servicio antes de que el uso de memoria llegue al límite.

Tareas

La página de búsqueda de tareas no muestra el número de tareas que satisfacen los criterios de búsqueda (ID-5152).
Los administradores delegados que no disponen de control de nivel superior pueden programar tareas y ver los resultados, pero no pueden visualizar la tarea una vez creada (ID-6659). La tarea programada se ha incluido en el nivel superior y el administrador delegado no tiene los derechos adecuados para visualizar el objeto.
Se ha añadido un campo denominado Deferred Tasks a la biblioteca. Este campo ofrece una lista de tareas aplazadas de un usuario. Para implementar este campo, es preciso añadir la línea siguiente al formulario de usuario con fichas y al formulario de vista de usuario con fichas (ID-7660).

<FieldRef name='Deferred Tasks'/>

Flujo de trabajo, formularios, reglas y XPRESS

Puede utilizar la función XPRESS <eq> para comparar valores booleanos con las cadenas TRUE or FALSE o con los enteros 1 o 2 (ID-3904).

Solución: Utilice lo siguiente:

<cond>

<isTrue><ref>Boolean_variable</ref></isTrue>

<s>True action</s>

<s>False action</s>

</cond>

Las expresiones de ruta no funcionan cuando se repite una lista de objetos genéricos mediante dolist. (ID-4920)

<dolist name='genericObj'>

<ref>listOfGenericObjects</ref>

<ref>genericObj.name</ref>

</dolist>

Solución:Utilice <get> / <set> como se indica:

<dolist name='genericObj'>

<ref>listOfGenericObjects</ref>

<get><ref>genericObject</ref><s>name</s>

</dolist>

Si utiliza variables global.attrname para los campos del formulario de usuario y varios recursos comparten el mismo atributo, también debería definir una regla de derivación. (ID-5074) De lo contrario, cuando se efectúe un cambio nativo en el atributo en uno de los recursos, cabrá la posibilidad de que el atributo se capte y propague, o no, a otros recursos.
No se pueden utilizar cadenas especiales que empiezan con & en los componentes HTML de los formularios. Por ejemplo, &nbsp; ya no aparece como un espacio. Este problema surgió debido a un cambio relacionado con los caracteres especiales (&\<>') admitidos en las listas de selección. (ID-5548)
Los comentarios relacionados con formularios, flujo de trabajo y reglas que aparecen en las fichas <Comment> llevan cadenas &#xA; que representan el carácter de avance de línea. Estos caracteres sólo pueden verse en la versión XML de estos objetos; el servidor de Identity Manager y el editor de procesos de negocio procesan estos caracteres correctamente.
Si utiliza el formulario de tabla de recursos de usuario para editar usuarios, al editar un recurso de usuario no se obtendrán los atributos del recurso la primera vez que aparezca el formulario.

Solución: Haga clic en el botón Actualizar para que se capturen los datos del atributo. (ID-10551)

Si Identity Manager está protegido por un Policy Agent Sun Access Manager, los diagramas de proceso de flujo de trabajo pueden no mostrarse completos. (ID-18304)