Problèmes connus d’Identity Manager 8.0

Cette section des notes de version dresse la liste des problèmes connus et des solutions disponibles concernant Identity Manager 8.0

---

Problèmes connus

Cette section des notes de version d’Identity Manager 8.0 dresse la liste des problèmes connus et des solutions disponibles :

Généralités
Installation et mise à jour
Audit
Exportateur de données
Identity Manager Service Provider
Configuration de connexion
Organisations
Stratégies et capacités
Réconciliation et importation d’utilisateurs
Rapports
Ressources
Serveur
Sun Identity Manager Gateway
Tâches
Flux de travaux, formulaires, règles et XPRESS

Généralités

Les champs obligatoires définis sur le mappage du schéma des ressources sont seulement contrôlés lors de la création d’un compte utilisateur (ID-220). Si un champ doit être obligatoire lors des mises à jour de l’utilisateur, le formulaire associé doit être configuré à cet effet.
Aucun contrôle de la présence de caractères incorrects n’est effectué sur les noms de l’organisation, de l’administrateur, du compte, de l’attribut de l’utilisateur (côté gauche du mappage de schéma) ou sur les noms de tâches (ID-1145, 1206, 1679, 1734, 1767, 2413, 3331). Vous ne pouvez pas utiliser de dollar ($), de virgule (,), de point (.), d'apostrophe ('), d'esperluette (&), de crochet d'ouverture ( [ ), de crochet de fermeture ( ] ) ni de deux-points (:) dans le nom de ces types d'objets.
Un message d’erreur trompeur est donné sur la page du compte lorsque vous tentez d’effectuer une action une fois la session arrivée à échéance (ID-1223).
L’objet calendrier n’est pas totalement visible lorsque le navigateur utilise de grandes polices (ID-2120).
La case à cocher de sélection globale disponible sur la page des résultats de la recherche et la page répertoriant les tâches n’est pas désactivée si l’un des éléments de la liste est désélectionné (ID-5090). Cette case à cocher n’est pas prise en compte pendant l’action résultante si la case à cocher affichée en regard de chaque membre de la liste n’est pas sélectionnée.
Si vous apportez une modification à un catalogue de messages personnalisé, vous devez redémarrer le serveur pour qu’elle soit prise en compte. (ID-6792)
Pour le mécanisme habituel de détection d’un serveur en panne, on suppose que tous les systèmes d’un cluster Identity Manager sont synchronisés sur la même heure. (ID-7064). Avec un intervalle de panne par défaut de cinq minutes, si un serveur est décalé de cinq minutes par rapport à un autre, le serveur qui avance déclare que le serveur en retard est non opérationnel, causant des résultats inattendus.

Solution : maintenez une meilleure synchronisation temporelle ou augmentez l’intervalle de basculement.

Sous Windows, si vous vous connectez en tant qu’utilisateur dont le nom contient des caractères codés sur deux octets et que le codage par défaut de la machine ne prend en charge que les caractères codés sur un octet, vous devez définir la variable d’environnement UTILISATEUR_JPI_PROFILE sur un répertoire existant dont le nom contient uniquement des caractères codés sur un octet. (ID-8540)
Si vous extrayez une ressource vers un fichier XML en utilisant Format de fichier comme option XML puis que vous sélectionnez un format de fichier CSV dans la liste déroulante, le message suivant s’affiche :

The form has already been submitted

Solution : Pour éviter ce message, cliquez sur Accounts > Extract to File > Choose a Ressource > Choose CSV File Format. Cliquez sur Télécharger pour télécharger les détails du compte de ressources dans le format de fichier .csv. (ID-10847)

Si un nœud étendu contient moins d’une page de données et si vous y insérez un nouvel enfant (en créant, par exemple, un utilisateur dans l’organisation) avant le premier enregistrement de la page, Identity Manager insère une page contenant un élément avant la page courante lors du rafraîchissement suivant. (ID-12151)

Solution : pour réaligner les pages, cliquez sur le bouton Première page.

Si vous modifiez un formulaire de rôle en vue de changer la variable showSuperAndSubRoles de 0 à 1, puis importez un fichier de définition d’objet de super rôle contenant des sous-rôles existants à partir de l’onglet Configurer, ces sous-rôles ne contiendront pas la section <SuperRoles>. En revanche, si vous créez un super rôle via l’interface graphique d’Identity Manager, les sous-rôles référencés par ce super rôle seront mis à jour. (ID-15053)

Ce problème peut se produire avec des rôles créés en dehors d’Identity Manager et disposant de références à des rôles existants (des sous-rôles ou des super rôles) déjà présents sur le système.

Lors de l’importation de ces rôles, les rôles déjà présents sur le système ne sont pas mis à jour de manière à refléter les nouvelles relations. Ainsi, l’intégrité référentielle n’est pas conservée. Faites appel à la fonction RoleUpdater pour vérifier et corriger l’intégrité référentielle lorsque les rôles sont importés de cette manière.

Solution : voir ID-15482 décrit à la section Rôles.

L’édition de l’objet AdminRole peut émettre une exception ItemNotFound pour certains caractères non-ASCII. (ID-15782)

Solutions :

Éditez adminrolemodify.jsp pour ne plus passer l’ID comme chaîne de requête.

<%

   String bodyAttributes = “onload=\”selectFirstEditField();\””;

   try {

      String id = requestState.getParameter(“id”);

      if (id = = null) {

         :

      }

   else {

      form.setTitle(Messages.UI_ADMIN_RÔLES_JSP_EDIT_RÔLE_TITLE);

      form.setSubTitle(Messages.UI_ADMIN_RÔLES_JSP_EDIT_RÔLE_SUBTITLE);

      // stop passing id as a query string

     //form.setPostURL(response.encodeURL(“security/adminrolemodify.jsp?id=”+id));

      form.setPostURL(response.encodeURL(“security/adminrolemodify.jsp”));

   }

Éditez adminrolemodify.jsp pour coder la valeur du paramètre de requête de l’ID.

<%

   String bodyAttributes = “onload=\”selectFirstEditField();\””;

   try {

      String id = requestState.getParameter(“id”);

      if (id = = null) {

         :

      }

      else {

         form.setTitle(Messages.UI_ADMIN_RÔLES_JSP_EDIT_RÔLE_TITLE);

         form.setSubTitle(Messages.UI_ADMIN_RÔLES_JSP_EDIT_RÔLE_SUBTITLE);

         // encode id query parameter value

        //form.setPostURL(response.encodeURL(“security/adminrolemodify.jsp?id=”+id ));

         form.setPostURL(response.encodeURL(“security/adminrolemodify.jsp”?id=”

           + com.waveset.util.URLUTF8Encoder.encode(id)));

}

Si vous modifiez des paramètres (en ajoutant par exemple des attributs de colonne supplémentaires) sur un ChangeLog existant, ces modifications peuvent ne pas figurer dans un fichier CSV de ChanegLog préexistant. (ID-15973)
Certains mots de l’onglet de l’écran « Édition d’un utilisateur » peuvent poser des problèmes d’affichage en mode plurilingue. (ID-16054)

Solution : pour vous assurer que les mots des onglets s’affichent correctement, ajoutez ce qui suit à $WSHOME/styles/customStyle.css :

table.Tab2TblNew td
{background-image:url(../images/tabs/level2_deselect.jpg);background-repeat:repeat-x;b ackground-position:left top;background-color:#C4CBD1;border:solid 1px #8f989f;white-space:nowrap}

table.Tab2TblNew td.Tab2TblSelTd
{border-bottom:none;background-image:url(../images/tabs/level3_selected.jpg);backgroun d-repeat:repeat-x;background-position:left bottom;background-color:#F2F4F3;border-left:solid 1px #8f989f;border-right:solid 1px #8f989f;border-top:solid 1px #8f989f;white-space:nowrap}

Au cours d’une session d’Identity Manager dans une langue autre que l’anglais, les utilisateurs peuvent rencontrer une traduction partielle (un mélange d’anglais et de la langue sélectionnée) dans les applets de diagramme de processus. (ID-16139)
L’objet de configuration du référentiel a un attribut nommé maxAttrValLength. La valeur de cet attribut est ignorée et est toujours 255. (ID-16261)
La synchronisation des mots de passe en mode direct nécessite la configuration de SimpleRpcHandler dans le fichier web.xml. Par défaut, ce gestionnaire n’est pas fourni en tant que tel pour le servlet rpcrouter2. (ID-16469) Pour utiliser la synchronisation des mots de passe en mode direct, définissez le paramètre d’initialisation du gestionnaire de la manière suivante :

<init-param>

   <param-name>handlers</param-name>

   <param-value>com.waveset.rpc.SimpleRpcHandler,com.waveset.rpc.PasswordSyncHandler
</param-value>

</init-param>

Vous noterez que SimpleRpcHandler perturbe certains appels de type RemoteSession. Si vous envisagez d’utiliser RemoteSession en plus de la synchronisation des mots de passe en mode direct, configurez un servlet distinct pour le traitement des appels RemoteSession.

Lorsque vous éditez ou mettez à jour un utilisateur, si vous tentez d’assigner un idmManager déjà assigné à un autre idmManager qui n’existe pas encore (par exemple, si idmManager manque), vous verrez le message d’erreur suivant et il sera impossible d’enregistrer la modification effectuée. (ID-17339)

'Item User:[idmManager that doesn't exist] was not found in the repository, it may have been deleted in another session'

Vous ne verrez pas ce problème lors de la création d’un nouvel utilisateur.

Comptes > Extract to File enregistre les fichiers XML et CSV avec l’extension .dat au lieu des extensions attendues .xml et .csv. (ID-17521)

Solution : Les fichiers sauvegardés peuvent être renommer manuellement en leur attribuant les extensions de fichier appropriées.

La stratégie de qualité de chaîne affiche le texte en lignes verticales. (ID-18551)
Les délégations de types de rôles remplaceront les délégations d’approbation des rôles faites pour un rôle spécifique. (ID-18559) Par exemple, si les types d’éléments de travail de rôles futurs pour un ou plusieurs rôles spécifiques sont délégués à l’utilisateur un, tandis que les éléments de travail des rôles métier sont délégués à l’utilisateur deux, les rôles spécifiques de la première délégation seront délégués à l’utilisateur deux au lieu qu’à l’utilisateur un. En résumé, les délégations s’utilisent comme suit :
Déléguez l’approbation des rôles pour le rôle métier 1 à l’utilisateur un.
Déléguez l’approbation du rôle métier à l’utilisateur deux

Dans toutes les requêtes, quand l’approbation d’un rôle métier a été assignée à un utilisateur, le rôle métier est toujours délégué à l’utilisateur deux.

L’activation d’un rôle n’autorise pas l’utilisateur à mettre à jour les rôles assignés. (ID-18647)

Solutions : Mettez à jour les utilisateurs assignés manuellement ou depuis les pages List/Find Roles.

Les rôles contenus par d’autres rôles peuvent maintenant être assignés sous condition à des utilisateurs quand leur rôle parent est assigné. Il est possible de spécifier une condition sur l’association entre le parent et le rôle contenu lors de l’édition du rôle parent. Une condition peut être créée ou peut référencer un règle. Si une règle a été spécifiée, tous les attributs d’affichage de l’utilisateur requis pour l’évaluation de la règle doivent être spécifiés sous forme d’argument de règle. (ID-18734)
Le catalogue de message de l’entrepôt, WICMessages.properties, est chargé sur la base de l’emplacement du serveur et non de l’emplacement de l’utilisateur. (ID-18898) Par exemple, si un serveur d’application est utilisé en Japonais, les attributs de requête seront affichés en Japonais, même si l’interface utilisateur est normalement en Anglais.

Solution : Redémarrez le serveur d’application dans une locale avec une variante UTF-8 qui correspond au paramètre de langue du navigateur.

Identity Manager 8.0 contient un nouvel attribut interrogeable, assignedRoles, qui renvoie à tous les rôles directs et indirects assignés à un utilisateur. (ID-18921) Les versions précédentes contenaient l’attribut interrogeable encore disponible, rôle, qui ne contient que des rôles directement assignés aux utilisateurs. Le processus de mise à niveau ne détermine que l’actualisation automatique des utilisateurs avec des rôles indirects pour permettre une population de assignedRoles. Un rapport pour les utilisateurs avec un rôle assigné ne renverra pas à tous les utilisateurs assignés à un rôle dans un environnement mis à niveau tant que tous les utilisateurs n’auront pas été actualisés.

Solutions :

Actualisez tous les utilisateurs.
Créez un rapport pour les utilisateurs avec des rôles directement assignés.

Trois attributs de référence de la classe d’objets Principale ne peuvent pas être exposés sur un Utilisateur pour les données exportée dans la version 8.0 : MemberAdminGroups, adminRoles et adminGroupsRule.

Les attributs MemberAdminGroups et adminRoles sont des attributs interrogeables de l’Utilisateur, même s’ils ne sont pas affichés en tant que tels dans le schéma de la classe d’objets. (ID-18536)

Installation et mise à jour

Le programme d’installation Identity Manager ne s’exécute pas avec un JDK de 64 bits. (ID-18534)

Solutions :

Effectuez l’installation manuellement.
Utilisez un JDK de version 32 bits pour exécuter le programme d’installation.
Définissez os.arch=ppc en définissant JAVA_OPTS (utilisé par install script) pour mener l’installation à terme. Par exemple :

export JAVA_OPTS=”-Dos.arch=ppc”

install

Ou, siJAVA_OPTS contient déjà les options requises :

export JAVA_OPTS=”$JAVA_OPTS -Dos.arch=ppc”

install

Si le processus de mise à niveau échoue, pour se connecter avec le compte configurator et le mot de passe par défaut, le fichier journal consigne l’erreur, mais ne consigne plus rien avec l’erreur. (ID-18929)

Le fichier update.xml est importé pendant le processus de mise à niveau. L’importation tente de se connecter en tant que configurator avec le mot de passe par défaut. Si la connexion échoue, une erreur est affichée et le programme de mise à niveau vous invite à entrer les informations de connexions correctes. Si vous entrez les informations correctes, la mise à niveau se poursuit. Quand vous examinez le fichier journal pour le processus de mise à niveau, vous pouvez voir le message d’erreur quand la connexion par défaut échoue, mais vous ne pouvez pas voir d’autres informations sur la mise à niveau du fichier journal. Cette erreur n’a aucune conséquence sur la mise à niveau, mais uniquement sur le fichier journal.

Le script upgradeto80from71.mysql contient une erreur qui détermine son abandon avant la fin. (ID-18874, 18977)

Pour éviter l’erreur, vous devez éditer le script et modifier la ligne suivante :

INSERT INTO waveset.roleobj SELECT * from waveset.object where type = 'Role';

La ligne doit être modifiée de la façon suivante :

INSERT INTO waveset.roleobj (SELECT id, type, name, lockinfo, modified, repomod, summary, attr1, attr2, attr3, attr4, attr5, counter, xmlSize, xml FROM waveset.object WHERE type='Role');

Les noms explicites de colonnes sont nécessaires parce que l’ordre des colonnes est différents dans une base de données 7.1 mise à niveau.

Audit

Pendant un balayage, il est impossible de renouveler des tentatives visant à récupérer des comptes utilisateur non extraits à partir des ressources ou suite à d’autres pannes. Ces défaillances sont signalées à la fin du balayage, mais il n’existe aucun moyen automatisé de rebalayer ces comptes. (ID-9112)
Identity Auditor tente de conserver les utilisateurs en conformité entre les balayages de stratégie en appliquant systématiquement la stratégie quand l’utilisateur est édité. Si vous éditez un utilisateur auquel des stratégies d’audit sont assignées et qui enfreint une stratégie, vous ne pouvez pas enregistrer les modifications apportées à cet utilisateur, même si la modification est aussi simple que le transfert de l’utilisateur vers une autre organisation. (ID-9504)

Solution : utilisez la fonction de déplacement (ou de recherche puis de déplacement) disponible dans le menu contextuel sur l’applet de l’utilisateur ou désactivez temporairement les contrôles de la stratégie d’audit.

Pour désactiver temporairement les contrôles de la stratégie d’audit, éditez la configuration système et supprimez la propriété userViewValidators. Cette propriété, qui a une valeur de liste de chaînes, est ajoutée pendant l’importation du fichier init.xml ou upgrade.xml.

L’échelle logarithmique n’est pas implémentée sur les rapports de stratégie d’audit. (ID-9522)
Actuellement, il est impossible pour un administrateur de rapports de balayage d’accès Auditor de planifier un balayage des stratégies d’audit. L’erreur « Error message: Create access denied to Subject auditadmin on type TaskSchedule » (Message d’erreur : accès en création refusé pour l’admin d’audit Sujet pour le type TaskSchedule) s’affiche. Pour planifier une tâche, les administrateurs doivent disposer de privilèges de type create pour le type d’authentification TaskSchedule. (ID-14713)

Solution : éditez l’administrateur pour assigner le privilège create pour Task Schedule ou spécifiez un utilisateur ayant au moins les capacités d’Auditor Administrator et de Waveset Administrator.

Lors de l’exécution de balayages d’audit entraînant plusieurs violations, Auditor crée dans certains cas un flux de travaux de résolution destiné à gérer le traitement des violations. (ID-15830) Le paramètre MySQL par défaut de max_allowed_packet (1M) est trop petit pour un flux de travaux contenant des dizaines de violations. Si cette limite est atteinte, Auditor ne lance pas le flux de travaux de résolution.

Solution : pour une utilisation intensive d’Auditor, augmentez considérablement cette valeur. Pour résoudre ce problème, ajoutez max_allowed_packet = 32M au fichier de configuration MySQL (my.cnf) et redémarrez le serveur de base de données.

La modification des valeurs de gravité et de priorité pour les résolutions de violations de conformité peut être trompeuse. Les valeurs initiales du formulaire ne correspondent pas aux valeurs actuelles des violations de conformité. Elles reflètent les dernières valeurs définies suite à une modification. Il est important de connaître la valeur de gravité/priorité souhaitée pendant que la liste est encore affichée, car vous ne pouvez pas déterminer les valeurs actuelles lorsque vous visualisez la page permettant de changer ces valeurs. (ID-16040)
Les noms des stratégies d’audit ne peuvent pas contenir les caractères suivants : ' (apostrophe), . (point), | (trait), [ (crochet gauche), ] (crochet droit), , (virgule), : (deux points), $ (symbole du dollar), " (guillemets simples), = (signe égal) (ID-16078)
Les violations de conformité créées avant l’installation de la mise à niveau IdM 7.1 ne permettront pas de définir les niveaux de gravité et de priorité. Le message d’erreur renvoyé indique qu’il n’y a plus de violation de conformité, ce qui est faux. La violation existe toujours, mais IdM se trouve dans l’impossibilité de définir les niveaux de gravité et de priorité. (ID-16420)

Exportateur de données

L’exportateur de données peut être configuré pour fonctionner comme n’importe quel administrateur Identity Manager bénéficiant des capacités appropriées. La tâche d’exportation fonctionne comme un démon; elle est démarrée et surveillée par l’ordonnanceur Identity Manager. Les enregistrements d’audit créés par l’exportateur de données présenteront le sujet de l’ordonnanceur Identity Manager (Ordonnanceur :IDMServer), au lieu du sujet que la tâche est configurée pour utiliser. (ID-18055)
Une requête sur attributs ne prend pas en charge les actions d’édition et de modification pour les types de rôle. (ID-18769)

Identity Manager Service Provider

Identity Manager Service Provider et Sun Java System Portal Server peuvent ne pas être compatibles en raison d’un problème lié aux bibliothèques chiffrées. (ID-10744)

Il est possible de corriger ce problème en définissant les valeurs suivantes dans le fichier /etc/opt/SUNWam/config/AMConfig.properties de Portal Server puis en redémarrant le conteneur Web :

com.iplanet.security.encryptor=com.iplanet.services.util.JCEEncryption

com.iplanet.security.SSLSocketFactoryImpl=netscape.ldap.factory.

JSSESocketFactory

com.iplanet.security.SecureRandomFactoryImpl=com.iplanet.am.util.

SecureRandomFactoryImpl

Certaines options de configuration disponibles dans l’interface administrateur d’Identity Manager ne sont pas utilisées avec Identity Manager Service Provider. (ID-10843). Il s’agit entre autres des suivantes :
options de ressources : règle d’exclusion de comptes, approbateurs et organisation à laquelle la ressource est assignée.
Attributs de rôle
Par défaut, l’audit n’est pas effectué lors de l’utilisation des appels d’API checkinObject et deleteObject. Vous devez expressément demander l’audit en définissant la clé IDMXContext.OP_AUDIT sur true dans le mappage d’options transmis à ces méthodes. La méthode createAndLinkUser() figurant dans la classe ApiUsage indique comment demander l’audit. (ID-11261)
Le groupe du module de connexion Service Provider par défaut s’attend à ce que la ressource Service Provider s’intitule « SPE End-User Directory » (Répertoire des utilisateurs finaux SPE). Si le nom de la ressource est différent, la page de connexion de l’utilisateur final Service Provider présentera des dysfonctionnements. Elle n’affichera pas les champs de connexion. (ID-14891)

Solution : mettez à jour le nom de la ressource dans l’objet UI_LOGIN_MOD_GRP_DEFAULT_SPE_PWD LoginModGroup afin de référencer le nom de ressource correct.

La tâche SPE Sync est planifiée. Par conséquent, l’arrêter à partir de la page Tâches n’entraînera pas l’arrêt de la synchronisation. Pour l’arrêter, vous pouvez désactiver la planification proprement dite. (ID-16000)

Solution : la méthode de démarrage et d’arrêt préconisée est l’interface produit sur la page Ressource ou la programmation (à partir d’un flux de travaux, par exemple) via les méthodes SessionUtil permettant de démarrer et d’arrêter SPE Sync. Pour empêcher SPE Sync de démarrer automatiquement au lancement d’une instance de serveur Identity Manager, désactivez-le à partir de la stratégie de synchronisation relative à la ressource. L’arrêt de SPE Sync par le biais de l’IG ou de la méthode SessionUtil stoppe simplement la synchronisation jusqu’au prochain démarrage d’une instance de serveur Identity Manager.

Une exception javax.servlet.UnavailableException se produit lorsque vous utilisez la page de connexion de l’utilisateur final Identity Manager SPE dans WebSphere ; une erreur 404 s’affiche également dans le navigateur. (ID-16001)

Solution : vous devez définir les propriétés suivantes dans le kit JDK IBM 1.5 :

Dans le répertoire was-install/java/jre/lib, renommez jaxb.properties.sample to jax.properties et placez hors commentaire les deux lignes suivantes :

javax.xml.parsers.SAXParserFactory=

org.apache.xerces.jaxp.SAXParserFactoryImpl

javax.xml.parsers.DocumentBuilderFactory=

org.apache.xerces.jaxp.DocumentBuilderFactoryImpl

Enregistrez le fichier et redémarrez le serveur d’application.

Configuration de connexion

Le module d’authentification d’intercommunication ne fonctionne pas pour la ressource Domino (ID-1646).
Les modifications apportées aux pages Configurer la connexion de l’administrateur et Configurer la connexion de l’utilisateur ne sont pas visibles pour les autres administrateurs connectés (ID-3487). Pour visualiser ces modifications, les autres administrateurs doivent se déconnecter de l’interface administrateur puis s’y reconnecter.
Si un administrateur se connecte et sélectionne Changer mon mot de passe puis active un autre onglet, son compte est verrouillé jusqu’à l’expiration du verrou. (ID-3705)

Si un autre administrateur tente d’éditer cet administrateur verrouillé, le message suivant s’affiche :

com.waveset.util.WavesetException : Impossible d’accéder au compte #ID#Configurator en ce moment. Veuillez réessayer plus tard.

Si l’administrateur clique sur OK, le diagramme du processus de flux de travaux de la dernière action s’affiche.

Organisations

Lorsque des demandes de provisioning comptant des utilisateurs appartenant à une organisation dont vous êtes en train de changer le nom sont en attente, elles aboutissent à un échec (ID-564).

Solution : vérifiez l’absence de toute demande en attente avant de renommer une organisation.

Si l’option Règles de membres utilisateurs est sélectionnée avant la spécification du nom de l’organisation que vous êtes en train de créer, un ID d’organisation s’affiche dans le champ du nom de l’organisation après le rafraîchissement de la page (ID-6302). Le nom peut encore être défini avant l’enregistrement de l’organisation.

( ) - Avertissement : les valeurs entre parenthèses dans le champ Approbateurs ne correspondent à aucune des valeurs admises.

Stratégies et capacités

L’attribut de stratégie de compte d’Identity Manager « Option de notification de la réinitialisation » dispose d’une option de valeur « administrateur » sans aucun effet (ID-944). Les seules options valables sont « immédiat » et « utilisateur ».
Si, lors de la suppression de plusieurs rôles, une erreur se produit, l’ensemble de l’opération s’arrête au lieu de reprendre avec les autres rôles (ID-1168).
Le nombre minimum de questions auxquelles un utilisateur doit répondre peut être défini sur une valeur supérieure au nombre de questions définies (ID-1834). Si ce cas de figure se présente, l’utilisateur sera dans l’impossibilité de se connecter à l’aide de l’option « Mot de passe oublié ».
Il est impossible de cloner la stratégie de compte Lighthouse par défaut en l’éditant, en la renommant et en sélectionnant la création d’un nouvel objet (ID-5147).

Solution : créez une nouvelle stratégie de compte.

Le balayage d’audit a une option dans le formulaire Lancer un tâche pour envoyer un e-mail à une adresse électronique spécifiée avec un rapport de violation. Cet e-mail ne sera pas envoyé si aucune violation n’est détectée. (ID-18773)

Réconciliation et importation d’utilisateurs

Quand une réconciliation complète est annulée, le message d’erreur s’affiche :

Canceled the incremental reconciliation of [resource] running on [server]

Le message devrait être :

Canceled the full reconciliation of [resource] running on [server] (ID-14554)

La valeur de l’attribut waitForCompletion dans le flux de travail doit être changé sur false pour éviter le blocage pendant la réconciliation. L’attribut waitForCompletion sera supprimé dans la prochaine version majeure d’Identity Manager. (ID-16888)

Solutions :

Importez le fichier <idm_root>/sample/wfrecon.xml en utilisant lh console.
Modifiez manuellement le flux de travail Notify Reconcile Finish en utilisant lh config.

Lorsque vous exécutez Charger à partir de la ressource et que la ressource prend en charge les ACCOUNT_CASE_INSENSITIVE_IDS si la casse de l’ID de compte de l’utilisateur diffère de celle d’ID de compte stocké dans l’objet utilisateur ResourceInfo d’Identity Manager, un deuxième ResourceInfo utilisant la casse rapportée par la ressource sera ajouté à l’objet utilisateur.

Solution : assurez-vous que l’ID de compte de l’objet Identity Manager ResourceInfo dans l’objet utilisateur a la même casse que celle rapportée par la ressource. (ID-17377)

Si vous désactivez l’applet du composant d’affichage MultiSelect (et utilisez la version HTML à sa place) et éditez la stratégie de réconciliation d’une instance de ressource particulière, vous pouvez obtenir une erreur quand vous désélectionnez la case Inherit ressource type policy. (ID-18964)

Solution : réactivez les applets MultiSelect.

Rapports

Les rapports d’analyse des risques peuvent être affichés par des administrateurs autres que les administrateurs de rapports (ID-1224).
Les résultats de rapports envoyés par e-mail avec l’option texte normal ne sont pas formatés (ID-2191).

Solution : utilisez l’option HTML pour la messagerie.

Des chiffres s’affichent dans les colonnes Priorité et Gravité du Rapport récapitulatif des violations au lieu d'un texte de description. (ID-16932)
Le Rapport récapitulatif des violations ne contient pas les violations corrigées. Le rapport contient uniquement les violations actives (nouvelles ou récurrentes) ou atténuées. (ID-16933)
La colonne État de violation du Rapport récapitulatif des violations devrait être localisée. (ID-17011)
Ajoutez une option EXEMPTED au menu déroulant États possibles dans le Rapport récapitulatif des violations. (ID-17042)
Quand plusieurs conditions sont spécifiées pour générer un rapport d’utilisation, le graphe s’affiche correctement sur la page Résultats du rapport, mais la ligne de longueur fixe tronquera le texte conditionnel. (ID-17224)
Tous les rapports Balayage des comptes inactifs n’affichent pas leurs résultats dans la page Afficher analyse de risque. Pour afficher les résultats depuis ces rapports, allez à la page Tâches du serveur. (ID-17255)
Le rapport des questions utilisateur n’affiche pas le titre quand la stratégie de questionnement n’est pas configurée. (ID-17415)
Le rapport Utilisateur de la ressource liste l’administrateur de réinitialisation en tant qu’utilisateur, mais l’administrateur de réinitialisation est un utilisateur caché qui ne doit pas être affiché (ID-17650)

Ressources

Le bouton de test de ressources ne teste pas tous les champs. (ID-51)
Les assignations de ports de ressources peuvent être définies sur des valeurs supérieures à 65535. (ID-59)
Un message d’erreur erroné s’affiche lors de la définition d’un nom de groupe Active Directory incorrect. (ID-393) Si vous tentez de définir un nom de groupe Active Directory sur « groupname » au lieu de « cn=groupname,cn=builtin,dc=waveset,dc=com », un message d’erreur du type « index de la baie hors limites » s’affiche.
Les attributs de compte obligatoires sont parfois ignorés si une autre ressource dotée du même nom d’attribut sans indicateur obligatoire défini existe. (ID-1161)
Si un administrateur tente d’ajouter une organisation à une ressource pour laquelle il ne dispose d’aucun droit, une erreur s’affiche. Il est alors nécessaire d’annuler l’édition de la ressource puis de rééditer celle-ci en cas de nouvelles modifications à lui apporter. (ID-1274)
Le message d’erreur qui s’affiche quand un mot de passe ou un nom d’utilisateur de compte de ressources est incorrect sur une ressource PeopleSoft n’est pas clair. (ID-2235) Ce message d’erreur indique :

bea.jolt.ApplicationException: TPESVCFAIL - application level service failure

Les actions de ressources Windows Active Directory utilisant le statut de sortie %DISPLAY_INFO_CODE% entraînent l’échec de l’action avec des erreurs. (ID-2827)
La définition de l’ID de groupe principal d’un utilisateur sur Active Directory n’est pas possible au moment de la création de l’utilisateur. (ID-3221)

Solution : créez l’utilisateur sans définir l’ID de groupe principal, puis éditez l’utilisateur et définissez la valeur. L’ID de groupe principal est aussi défini par le numéro et pas par le nom distinctif du groupe.

Les adresses IP des ressources sont mises en cache dans le JVM une fois le nom d’hôte résolu en adresse IP. Si l’adresse IP d’une ressource est modifiée, vous devez redémarrer le serveur d’application afin qu’Identity Manager détecte la modification. (ID-3635) Il s’agit là d’un paramètre de Sun JDK (versions 1.3 et ultérieures) pouvant être contrôlé à l’aide de la propriété sun.net.inetaddr.ttl, généralement définie dans jre/lib/security/java.security.
Vous ne pouvez pas créer plusieurs comptes pour un seul utilisateur sur les ressources Oracle. (ID-3832)
Les utilisateurs finaux ne peuvent pas appliquer la fonction de détection automatique aux comptes de ressources Domino. (ID-4775)
Si un utilisateur est déplacé depuis ou vers un sous-conteneur au sein de l’organisation Active Directory, l’adaptateur Active Sync détecte le changement. Toutefois, lorsque vous affichez l’utilisateur sur la page d’édition (ou lorsque vous effectuez une modification et visualisez la page de confirmation), l’ID de compte de l’utilisateur est encore affiché sous la forme du DN d’origine. (ID-4950) Étant donné que nous utilisons GUID pour modifier l’utilisateur, cela n’entraîne pas de problèmes de fonctionnement. L’exécution d’une réconciliation par rapport à la ressource corrige le problème.
Si un utilisateur passe d’une organisation (OU) à une sous-organisation, l’adaptateur LDAP ChangeLog ne reconnaît pas le changement et suppose que l’utilisateur a été supprimé. L’objet utilisateur est ensuite verrouillé dans Identity Manager (s’il s’agit du paramètre actif) et aucun nouveau compte n’est créé pour le compte déplacé (ID-4953). (ID-4953)
Les connexions groupées utilisées par les adaptateurs de ressources UNIX peuvent être conservées dans un état indéterminé si une erreur se produit pendant l’exécution d’une commande ou d’un script. (ID-5406)
Il est possible de créer des organisations NDS au niveau supérieur de l’arborescence en définissant seulement le contexte de base de la ressource sur « [ROOT] ». (ID-5509)
Sur NDS, si vous éditez un champ (par exemple Grace Login Limit) sur la provision initiale et si vous ne fournissez pas de valeurs pour les champs booléens, ces derniers sont définis sur false. (ID-6770) Cela empêche de définir d’autres champs sur l’onglet de restriction, dans lequel certaines cases à cocher doivent être définies sur la valeur true. Pour éviter cela, assurez-vous que tous les champs booléens sont définis sur true lorsque cela est prévu, de sorte qu’ils soient transmis correctement au moment de l’édition d’autres champs.
Si vous changez le mot de passe d’une machine UNIX à l’aide de la fonction Gérer une connexion --> Changer le mot de passe de la ressource, le nom de tâche qui s’affiche est le suivant :

_FM_PASSWORD_CHANGING_TASK null:null

Un nom convivial devrait s’afficher. (ID-6947)

Lorsque vous mettez à jour des utilisateurs en procédant à partir d’une organisation d’Identity Manager, les utilisateurs dotés d’un compte Sun One ID Server reçoivent une erreur s’ils ont été créés en natif puis chargés dans Identity Manager. (ID-7094) La solution consiste à mettre individuellement à jour ces utilisateurs.
Identity Manager contient toujours les classes désapprouvées suivantes :
com.waveset.object.IAPI
com.waveset.object.IAPIProcess
com.waveset.object.IAPIUser

Les classes de l’adaptateur personnalisé ne devraient plus faire référence à ces classes mais à des classes correspondantes du package com.waveset.adapter.iapi. (ID-8246)

Si vous quittez l’assistant Nouvel objet de ressource sans cliquer sur le bouton Enregistrer ou Annuler, le formulaire abandonné peut ne pas être détruit et risque de perturber la création des futurs objets de ressource. (ID-11033) Cela génère l’erreur suivante :

No resource form id found in options or view.

Solution : utilisez toujours le bouton Annuler pour abandonner l’assistant Nouvel objet de ressource.

Si vous éditez un utilisateur alors que vous exécutez Active Sync sous un autre nom d’administrateur, une exception Active Sync se produit. L’utilisateur étant verrouillé par un autre administrateur, Active Sync ne peut pas retenter le processus. (ID-11255)

Solution : Pour activer une relance d’Active Sync pour une ressource, mettez à jour le XML de cette ressource de façon à inclure les deux attributs de ressource supplémentaires suivants, dans le format suivant :

<ResourceAttribute name='syncRetryCountLimit' type='string' multi='false' facets='activesync' value='180'/>

<ResourceAttribute name='syncRetryInterval' type='string' multi='false' facets='activesync' value='10000'/>

Où :

syncRetryCountLimit est le nombre de relances de la mise à jour.
syncRetryInterval est le nombre de millisecondes d'intervalle entre deux relances.

Par la suite, ces valeurs s’afficheront à titre de paramètres de ressource personnalisés lorsque vous configurerez Active Sync. Spécifier un displayName est conseillé ; en utilisant une clé de catalogue personnalisée si la localisation est nécessaire.

L’éditeur de modèles de l’intégration Remedy présente deux problèmes connus. (ID-14729)
La valeur par défaut du schéma Remedy (HPD:HelpDesk) est inappropriée pour les versions ultérieures de BMC Remedy. Ces versions contiennent un autre schéma intitulé « HPE:Help Desk ».
La colonne de choix ne s’affiche pas pour certains champs. Cela n’a aucune incidence sur l’utilisation des modèles Remedy.
Une régression entraîne l’échec de la synchronisation des mots de passe d’Identity Manager lorsqu’elle utilisée avec Sun Java^TM System Directory Server Enterprise Edition 6.0, 6.1 et 6.2. Cet échec sera corrigé dans la version Directory Server 6.3. Si les versions 6.0, 6.1 ou 6.2 doivent pouvoir fonctionner avec Identity Manager, veuillez demander un correctif de Directory Server au support en précisant le bogue n˚6604342 de Directory Server. (ID-14895)
Si vous étendez les objets ressources d’une ressource Sun Java^™ System Access Manager 7.0 à partir de l’onglet Ressources, il est possible que vous voyiez l’erreur suivante : (ID-15525)

Error listing objects. ==> com.waveset.util.WavesetException: Error trying to get attribute value for attribute 'guid'. ==> java.lang.IllegalAccessError: tried to access method com.sun.identity.idm.AMIdentity.getUniversalId()Ljava/lang/String; from class com.waveset.adapter.SunAccessManagerRealmResourceAdapter

Cette erreur se produit sur les ressources Access Manager 7.0 auxquelles aucun patch n’a été appliqué. Pour corriger ce problème, vous devez appliquer au minimum le patch 1 d’Access Manager puis recompiler et redéployer le SDK client d’Access Manager.

À cause de problèmes d’interopérabilité entre les sources de données WebSphere et les pilotes JDBC Oracle, les clients d’Oracle qui veulent utiliser une source de données WebSphere avec Identity Manager doivent utiliser Oracle 10g R2 et le pilote JDBC correspondant (le pilote JDBC Oracle 9 ne fonctionnera pas avec une source de données WebSphere et Identity Manager). (ID-16167)

Si vous avez une version d’Oracle antérieure à la version 10g R2 et ne pouvez pas mettre à niveau Oracle vers 10g R2, configurez alors le référentiel d’Identity Manager de sorte qu’il se connecte à la base de données d’Oracle en utilisant le JDBC Driver Manager d’Oracle (et non pas une source de données WebSphere).

Pour plus d’informations, reportez-vous à l’URL suivant :

http://www-1.ibm.com/support/docview.wss?uid=swg21225859

Les utilisateurs de NDS/Groupwise créés par Identity Manager disposant des champs Accès et ID de compte peuvent sembler ne pas être dotés des valeurs correspondantes enregistrées lorsqu’ils sont contrôlés par certains afficheurs au sein de l’application NDS Console 1 (lorsque, par exemple, vous choisissez la commande des propriétés de l’utilisateur puis que vous sélectionnez l’onglet Groupwise).

Toutefois, si l’afficheur Groupwise Diagnostic (Diagnostic Groupwise) -> Display Object (Afficher l’objet) de l’utilisateur est utilisé à la place, ces champs sont visibles. Les mises à jour effectuées par Identity Manager aux champs susmentionnés ne semblent pas être concernées par ce bogue d’afficheur. (ID-16330)

WRQ effectue une recherche dans le classpath pour détecter sa propre entrée. Depuis cette entrée, WRQ calcule le répertoire où le fichier JAR est stocké puis utilise ce répertoire pour lire le fichier .JAW (fichier de licence). Cependant, BEA et WebSphere utilisent tous deux des noms de protocole non standard (BEA utilise zip et WebSphere wsjar) à la place de JAR (standard) qui est le protocole dont le code WRQ assume l’existence. (ID-16709, 17319)

Solutions :

Pour BEA, ajoutez l’option suivante à la commande java dans le fichier startWeblogic.sh  :

-Dcom.wrq.profile.dir="DirectoryContainingLibraries"

Pour WebSphere, ajoutez la propriétécom.wrq.profile.dir=DirectoryContainingLibraries au fichier WebSphere/AppServer/configuration/config.ini.

Une exception « sealing violation » peut se produire lorsque vous utilisez Identity Manager 7.1 ou 8.0 avec Oracle 10g sur Sun Java^™ System Application Server Enterprise Edition 8.2. Ce problème peut être dû à la présence de plus d’un fichier JAR JDBC Oracle dans le CLASSPATH ou à celle d’une version incompatible du fichier JAR JDBC dans le CLASSPATH. (ID-17311)

Vérifiez qu’il n’y a qu’un fichier JAR JDBC Oracle dans le CLASSPATH et qu’il s’agit d’une version compatible telle que le fichier JAR fourni pendant l’installation d’Oracle.

Avant de créer une nouvelle ressource, veillez à activer le type de ressource dans la liste des types configurés. Sinon, l’objet ressource nouvellement créé risque de ne pas présenter tous les champs obligatoires.. (ID-17324)
La valeur par défaut de l’attribut Créer répertoire est incohérente dans les ressources Unix OS. (ID-18301)
Quand Identity Manager utilise une langue localisée avec un jeu de caractères multioctet, les résultats de l’action en masse ne génèrent pas correctement le nom de fichier CSV. (ID-18661)

Rôles

Le pop-up de sélection de la date, utilisé pour spécifier les dates futures d’activation et de désactivation pour les rôles assignés aux utilisateurs ne fonctionne pas quand le nom d’un rôle contient une apostrophe. (ID-18941)

Solution : tapez la date d’activation ou de désactivation dans la zone de texte près de l’icône de sélection de la date .

Lors de l’entrée manuelle des dates d’activation ou de désactivation pour les rôles d’un utilisateur, les champs sont automatiquement soumis quand vous cliquez en dehors du champ. Ce comportement détermine l’affichage d’un message « Form Already Submitted » si vous cliquez sur Enregistrer après le changement manuel de la date dans les champs d’activation ou de désactivation. (ID-18927)
Pour supprimer un rôle, il faut contrôler les références ce rôle en tant que rôle contenu puis par utilisateurs. Si l’une de ces références est détectée, une erreur est générée et le rôle n’est pas supprimé. (ID-18981)

Toutefois, le processus rencontre un problème de contrôle des références par d’autres rôles, quand le rôle est supprimé de ses rôles parent même s’il ne doit par être supprimé. Le rôle n’est pas supprimé parce qu’il est encore référencé par les utilisateurs. Les références au rôle contenu restent sur l’objet Utilisateur, même si le rôle parent ne contient plus ce rôle.

Avant de supprimer un rôle, vous devez vérifier que le rôle n’est pas contenu par aucun rôle ou assigné à un utilisateur quelconque, directement ou indirectement.

Serveur

Les alertes ne s’affichent pas si certains noms d’organisations comportent des apostrophes ('). (ID-5653)

Sun Identity Manager Gateway

Sun Identity Manager Gateway ne s’arrête pas toujours lorsque vous cliquez sur le bouton Arrêter de l’écran Services Windows. (ID-590)

Solution : annulez la demande d’arrêt du service (si elle est toujours bloquée) et arrêtez de nouveau le service. Vous pouvez aussi quitter la boîte de dialogue des services Windows, y revenir et retenter l’opération d’arrêt.

Il arrive que la passerelle ne s’arrête pas lorsque 'net stop « Sun Identity Manager Gateway » est utilisé (ID-2337).
La passerelle Sun Identity Manager perd de la mémoire quand la prise en charge d’Exchange 2007 est activée sur l’adaptateur de ressources Active Directory en causant la croissance du processus avec le temps. (ID-18854)

Solution : surveillez le processus de service de la passerelle et redémarrez le service avant que l’utilisation de la mémoire n’arrive à sa limite.

Tâches

La page Rechercher tâches n’affiche pas le nombre des tâches correspondant aux critères de recherche (ID-5152).
Les administrateurs délégués ne contrôlant pas le sommet peuvent planifier des tâches et en afficher les résultats, mais ils ne peuvent pas visualiser une tâche après sa création (ID-6659). La tâche planifiée a été placée au sommet et l’administrateur délégué ne dispose pas de droits lui permettant d’afficher l’objet.
Un champ nommé Tâches différées a été ajouté à la bibliothèque. Il permet de lister les tâches différées pour un utilisateur. Pour implémenter ce champ, la ligne suivante doit être ajoutée aux formulaires utilisateur en tableau (Tabbed User Form) et aux formulaires utilisateur d’affichage en tableau (Tabbed View User Form) (ID-7660).

<FieldRef name='Deferred Tasks'/>

Flux de travaux, formulaires, règles et XPRESS

Vous ne pouvez pas utiliser la fonction XPRESS <eq> afin de comparer des valeurs booléennes à des chaînes TRUE ou FALSE ou aux entiers 1 et 2 (ID-3904).

Solution : utilisez le code suivant :

<cond>

<isTrue><ref>variable_booléenne</ref></isTrue>

<s>True action</s>

<s>False action</s>

</cond>

Les expressions de chemin ne fonctionnent pas lors de l’itération d’une liste d’objets génériques via une dolist. (ID-4920)

<dolist name='genericObj'>

<ref>listOfGenericObjects</ref>

<ref>genericObj.name</ref>

</dolist>

Solution : utilisez <get> / <set> comme indiqué :

<dolist name='genericObj'>

<ref>listOfGenericObjects</ref>

<get><ref>genericObject</ref><s>name</s>

</dolist>

Si vous utilisez les variables global.attrname pour les champs du formulaire utilisateur et que l’attribut est partagé entre plusieurs ressources, vous devez aussi définir une règle de dérivation. (ID-5074) À défaut, si l’attribut a été changé en natif sur l’une des ressources, l’attribut n’est pas forcément recueilli et propagé vers d’autres ressources.
Impossible d’utiliser des chaînes spéciales commençant par & dans les composants HTML des formulaires. Par exemple, &nbsp; ne s’affiche pas sous forme d’espace. Ce problème a été introduit suite à un changement conçu pour permettre la prise en charge des caractères spéciaux (&\<>‘) dans les listes de sélection. (ID-5548)
Les commentaires de formulaires, flux de travaux et règles contenus dans les balises <Comment> contiennent des chaînes &#xA; qui représentent le caractère d'ajout de ligne. (ID-6243) Ces caractères sont uniquement visibles dans les pages XML de ces objets ; le serveur Identity Manager et Business Process Editor les traitent correctement.
Si vous vous servez du formulaire utilisateur du tableau des ressources (Resource Table User Form) pour éditer les utilisateurs, les attributs de la ressource ne sont pas récupérés lorsque le formulaire s’affiche pour la première fois au moment de l’édition de la ressource d’un utilisateur.

Solution : cliquez sur le bouton Actualiser, lequel cherchera les données d’attribut. (ID-10551)

Si Identity Manager est protégé par un Policy Agent Sun Access Manager, les diagrammes des processus de flux de travaux peuvent être incomplets (ID-18304)