Sun[TM] Identity Manager 8.0 发行说明 |
Identity Manager 8.0 功能
Identity Manager 8.0 发行说明中的本节提供了有关以下内容的信息:
此发行版的新增功能本节提供了有关 Identity Manager 8.0 中提供的新功能的其他信息,该信息分为以下几个部分:
Sun 的新修补程序进程
从 Identity Manager 7.1 Update 1 发行版开始,现在将通过修补程序进程提供更新(包含客户所报告的主要和关键错误的修复),该进程替代以前的热修复程序进程。
修补程序将每隔六周进行一次开发、测试和发行。这些修补程序具有 GUI 安装程序以及手动安装选项,它们将更新 /WEB-INF/lib 中的文件。修补程序发行说明中包含有关安装修补程序的说明,该发行说明是以 PDF 格式分发的。发行说明将介绍对 Gateway 或 PasswordSync 进行的任何修复,这些修复要求通过安装修补程序进行更新。
Identity Manager 修补程序是累积更新的,因此,使用独特的修复程序可以使问题减少。在安装或升级到主要或次要发行版时,应计划更新到最新的修补程序级别。例如,如果在安装或升级到 8.0 时已发行 Patch 3,则应该在安装或升级到 8.0 后应用 Patch 3。您不需要安装 Patch 1 和 2,因为 Patch 3 包含以前修补程序中的所有功能。
修补程序进程还简化了按实际错误编号跟踪修复程序的过程。不过,新版本可能尚未提供针对旧版本所做的修复。无论当前版本的 Identity Manager 采用哪种进程,您都必须确认新的目标 Identity Manager 版本包含所需的所有错误修复。
在发行新的修补程序时,将向所有客户支持部门发送通知。修补程序是通过客户支持部门提供的。要获取最新的修补程序,请与 Sun 客户支持部门联系:http://www.sun.com/service/online/us。
主要功能
Identity Manager 8.0 新增了以下主要功能:
角色增强功能
Identity Manager 8.0 增加了角色生命周期管理功能以实现以下目的:要求在创建、编辑和删除角色以及将角色更改应用于所有分配的用户时进行更改批准。此外,还改进了用户-角色生命周期管理功能,以便为将来和临时的角色分配提供支持。现在提供了具有可配置功能的角色类型(默认情况下包括“业务角色”、“IT 角色”、“应用程序”以及“资产”),以便按最佳方式进行角色管理。例如,业务角色可能包含所有用户都需要的角色、有条件地为某些用户分配的角色以及可以为其他用户选择分配的角色(根据请求分配并且可能需要批准)。这样,业务角色设计者就可以定义粗放型访问;同时为用户或用户管理员委托以下功能:在单个业务角色范围内微调分配给每个用户的访问。
使用数据导出器改进报告
现在增加了数据导出器功能,以使 Identity Manager 使用和生成的操作数据可供其他进程和应用程序使用。通过使用数据导出器,可以将 Identity Manager 保留的数据以及流经它的数据定期导出到客户管理的数据仓库或第三方业务智能和报告工具。数据导出是可选的,在启用此功能后,客户可以配置数据导出时间和导出的数据。可以使用导出的数据解答关于“谁具有访问资源 X 的权限,以及谁批准了该权限?”的历史问题。此外,还可以使用此数据提供 IDM 的操作行为随时间变化的报告,例如,“资源执行的置备操作”和“工作流手动操作响应时间”。通过分离操作数据(保存在 Identity Manager 系统信息库中)和历史数据(由数据导出器导出),可使用户能够显式地控制该数据的生命周期。通过文档中说明的符合模式的方式提供数据,可使用户能够构建并执行在 Identity Manager 的将来发行版中仍然有效的分析进程。
属性配置
现在,可以为角色以及用户配置扩展属性、可查询属性以及摘要属性。新的扩展属性配置支持值语法规范(STRING、INT、DATE 或 BOOLEAN),而无论该属性是包含单个值还是多个值,以及该属性是否具有文本说明。
管理员界面和用户界面
- 现在,用户可通过“配置表单和进程映射”页面为“提问式登录”表单和“匿名登录”表单指定自定义表单。(ID-4697)
- 改进了角色管理界面以支持新的角色功能。有关详细信息,请参见 Identity Manager 8.0 管理出版物中的“角色和资源”一章。(ID-15518)
- 默认情况下,在此 Identity Manager 发行版中关闭了进程图。可通过修改系统配置对象并重新启动应用服务器来打开进程图。有关说明,请参见 Identity Manager 8.0 管理中的“启用进程图”一节。(ID-16337)
- 在“编辑协调策略”页面中添加了一项可选的安全保护功能。此选项计算资源上缺少的帐户数;如果超过阈值,则禁止协调程序解除这些帐户的链接。有关详细信息,请参见 Identity Manager 8.0 管理出版物中的“数据加载和同步”一章。(ID-16391)
- 对于具有暂挂工作项目且需要从 Identity Manager 中删除的用户,Identity Manager 的行为已发生变化。有关详细信息,请参见 Identity Manager 8.0 管理的“管理”一章下面“管理工作项目”一节中的“对已删除用户的委托”部分。(ID-16417)
- 在定义 AdminRole 时,通过选中排除所有受控子组织及其包含的对象复选框,可以指定控制范围以排除所有受控子组织及其包含的对象。如果未选中该复选框,则会为分配了 AdminRole 的用户授予所有子组织及其内容的相关权能。(ID-16859)
- 现在,管理员角色将在搜索结果中作为名称显示。(ID-17130)
- Identity Manager 8.0 简化了最终用户界面中的结果页面以显示状态消息。默认升级设置为保留原始进程图,同时新安装显示状态消息。可通过单击“配置”->“用户界面”并启用“启用最终用户进程图”设置,将进程图选项设置为默认值。
要为最终用户界面启用进程图,您必须为产品统一启用进程图。有关为产品统一启用进程图的详细信息,请参考管理员界面和用户界面中的 ID-16337。(ID-17365)
- 简化并重新排列了最终用户登录表单以提高可用性。修改了 JSP user/login.jsp,因此,需要在升级时手动合并用户对该文件进行的任何自定义。(ID-17368)
- 新的默认“最终用户密码更改”表单允许用户更改其密码。此表单中聚集并汇总了分配给用户的所有资源的密码策略,密码更改将应用于所有分配的资源。对于用户需要选择为哪些资源应用密码更改的部署,应为其指定原来的“基本更改密码”表单。(ID-17371)
- 以前,在登录时向用户显示的错误消息指出需要回答验证问题,现在该消息显示为一条警告。(ID-17549)
- 在启用匿名注册功能后,最终用户界面不再显示“请求帐户”按钮。相反,将显示文本“初次登录的用户?”,后跟“请求帐户”链接。该链接下面将显示其他信息。可以对此页面上的文本进行自定义。有关详细信息,请参见 Identity Manager 技术部署概述出版物。(ID-17582)
- 现在,DatePicker 显示组件具有一个 disableTextInput 属性,可用于禁止用户通过文本字段输入内容,而强制用户通过弹出式日历选择日期。(ID-17586)
审计
数据导出器
表单
Identity Manager 业务进程编辑器 (Business Process Editor, BPE)
Identity Manager 集成开发环境 (Identity Manager IDE)
- 现在,将在 https://identitymanageride.dev.java.net 上提供 Identity Manager 集成开发环境 (Identity Manager IDE) 应用程序。此站点上还提供了安装、配置和迁移项目的说明。(ID-17700)
安装
密码同步
报告
- 在以 PDF 格式下载时,Identity Manager 使用情况报告和 Identity Auditor 策略违规报告现在包含一些图表。(ID-10719)
- 现在提供了一个名为“单个用户审计日志报告”的新报告。与审计日志报告一样,单个用户审计日志报告基于在系统审计日志中捕获的事件。不过,此报告提示输入要报告的用户,并返回对该用户执行的各种活动的列表。有关详细信息,请参见 Identity Manager 8.0 管理出版物中的“报告”一章。(ID-16976)
- AuditReportTask(以及使用 LogRecordFormatter 的任何报告)现在可以选择在报告上显示的列。请使用 TaskDefinition 和 TaskTemplate 中的 useCustomColumns 和 customColumns 属性。(ID-17712)
- 您可以现在自定义报告,以使仅具有运行报告权能的管理员可以在运行报告之前指定报告参数。(ID-17733) 通过进行这种更改,这些管理员可以在运行报告或者下载 .csv 或 .pdf 文件之前设置报告参数。Identity Manager 不保存对以这种方式生成的报告定义所做的更改。
系统信息库
资源
新的资源适配器
此发行版中添加了以下新资源版本:
资源适配器更新
- 主机适配器支持 Demand V10 上的 IBM 主机。(ID-6419)
- 现在,Microsoft SQL Server 适配器资源向导简化了选择数据库的过程,并相应地自动保留模式中的 userName$(dbname) 和 roles$(dbname) 属性。(ID-8546)
- SAP 适配器现在可以显示国际化消息。(ID-9077)
- 删除了 com.waveset.adapter.AttrParse 类。请改用 com.waveset.object.AttrParse。(D-11870)
- UNIX 适配器现在支持 SSHPubKey 连接。通过使用此新功能,用户可以连接到远程主机,而无需输入可信工作站的密码。(ID-11959)
- SAP 适配器可以为 BAPI_USER_CREATE1 和 BAPI_USER_CHANGE 调用的任何 SAP 表进行置备,尤其是 GROUPS 和 PARAMETER 表。(ID-12217)
- 帐户名称现在可以包含 "@" 符号,但前提是定义该帐户的资源允许使用此名称。(ID-12383)
- 可以对 RACF 和 RACF LDAP 适配器进行配置,以支持默认支持的段中未包含的属性。(ID-13351)
- 现在,SAP 资源适配器返回可用用户类型和用户组的列表。(ID-16123)
- 现在,可以使用相同网关为 NetWare 帐户进行置备和传递验证。可提供此功能。有关实现此功能的信息,请参见 Identity Manager 资源参考资料。(ID-16584)
- 通过使用忽略 Siebel 8.0 nextRecord() 错误资源参数,Siebel CRM 适配器可以忽略在 Siebel 8.0 上发生的 nextRecord() 错误。有关此错误的详细信息,请参阅 Siebel 警报 1315。(ID-16779、18159)
- 在将启用 CUA 资源属性设置为 true 时,SAP 适配器不会尝试重命名帐户。(在 CUA 模式下,SAP 不支持重命名。)(ID-16986)
- 现在,数据库表资源适配器支持重命名帐户。(ID-16993)
- 在 SAP 适配器中添加了每次连接读取的用户数资源参数。此参数可确保及时释放内存。(ID-17017)
- 现在,Solaris 资源适配器可以强制用户在下次登录时更改其密码。要启用此功能,请在模式映射的“Identity System 用户属性”列中添加 expirePassword,并在“资源用户属性”列中添加 force_change。必须将该属性类型设置为字符串。(ID-17032)
- SAP、SAP HR 和 AccessEnforcer(基础 SAP 实现)适配器现在支持安全网络通信 (Secure Network Communications, SNC)。有关实现此功能的信息,请参见 Identity Manager 资源参考资料。(ID-17059)
- 改进了 JDBC 连接的内置 Identity Manager 池以支持最大空闲超时。将关闭和放弃池中未使用时间超过最大空闲超时的连接。(ID-17107)
- Identity Manager SAP 适配器现在提供了 accountLockedNoPwd 和 accountLockedWrngPwd 帐户属性。accountLockedNoPwd 属性指示是否由于用户没有密码而将帐户锁定。accountLockedWrngPwd 属性指示是否由于登录尝试失败而将帐户锁定。(ID-17296)
- 在 HostAccess 类中添加了 sendKeys(EncryptedData) 方法,该方法可用于避免输入登录密码。(ID-17544)
- 如果选中“资源参数”页面上的本机时间戳复选框,数据库表适配器可正确处理 Oracle 时间戳数据类型。(ID-17551)
- 现在,JMS 侦听器适配器上提供了一个新的资源参数接收超时。通过使用该参数,您可以配置在终止轮询之前适配器等待传入消息的时间。默认值为 10 秒。(ID-17935)
- 现在,JMS 侦听器适配器为每个轮询建立一个新连接。(ID-17941)
- 现在,可以使用 Java Management Extensions (JMX) 来监视 JMS 侦听器适配器。(ID-17943)
- 现在,NDS Groupwise 密码更新可以正确处理加密的密码。(ID-18020)
- 为在传统模式下运行的 Sun Access Manager 资源添加了一个资源参数“搜索范围”。此属性指定 Access Manager 对象的搜索范围。有效值为 oneLevel 和 subTree。默认值为 subTree。(ID-18079)
角色
- 对 Identity Manager 中的角色管理进行了一些重要修订。增加的新功能可大大提高对角色生命周期以及用户-角色生命周期进行管理的功能。Identity Manager 现在支持以下四种角色类型:“业务角色”、“IT 角色”、“应用程序”以及“资产”。从早期版本的 Identity Manager 升级到版本 8.0 的组织会自动将其传统角色转换为 IT 角色。有关如何使用 Identity Manager 8.0 中的角色的详细信息,请参见 Identity Manager 8.0 管理中的“角色和资源”一章。(ID-17677)
- 角色管理界面现在支持将角色更改应用于分配的用户的功能。(ID-17719)
- 用户摘要和角色报告现在报告更多的角色和角色分配信息。(ID-17751)
- Identity Manager 现在支持在角色上使用扩展的属性值。(ID-17770)
方案
安全性
- 现在,在与使用 LDAP 和 AD 资源的传递验证一起使用时,提问式登录界面可以按正常方式进行工作。以前,当用户忘记其密码时,将要求他们输入其 Identity Manager 帐户 ID(他们可能并不知道),而不是输入资源帐户 ID。现在,交互式质询页面要求用户重新输入其资源帐户 ID 和密码,以前仅要求输入密码。(ID-9616)
- SSH 验证现在允许使用私钥/公钥对。通过使用此新功能,用户可以连接到远程主机,而无需输入可信工作站的密码。(ID-11959)
- 在用户对象的密码历史记录部分中存储的密码现在以原始大小写进行存储。在执行密码策略期间所进行的比较不区分大小写,因此,此更改不会影响产品行为。(ID-12705)
- 此发行版包含一项安全功能,可防范跨站点请求伪造 (Cross-site Request Forgery, CSRF) 攻击。默认情况下,不会启用此功能。需要 Cookie 才能使用此功能。如果出于安全原因禁用了 Cookie,则不要启用此功能,因为它将禁止使用 Identity Manager。Cookie 中不包含用户敏感数据,并且仅在用户会话期间存在于内存中。(ID-16703)
要启用此安全保护功能,请编辑系统配置对象并将 security.csrfGuardToken.enable 更改为 true。有关如何编辑系统配置对象的说明,请参见 Identity Manager 8.0 管理。
- Identity Manager 现在包含一个基于任务的新权能“调试”,Identity Manager 调试页要求具有此权能,然后用户才能访问和执行操作。以前,具有某些权能的用户可能会从调试页中访问和执行操作,而无需具有相应的权限。现在,如果用户没有“调试”权能,则会显示一个错误页。默认情况下,为管理员和配置者用户分配此权能。此外,Waveset 管理员和安全管理员权能包含此新的“调试”权能。(ID-16999)
- 增加了一项功能,以便为由于在回答登录问题时多次出现错误而锁定的帐户设置到期时间。要实现此功能,请选择以下选项:
- 在自动帐户锁定到期期间,不会清除失败的密码和提问式登录计数器。在最终用户和管理员界面中,将正确显示失败的密码和失败的提问式登录尝试次数。(ID-17412)
- Waveset.properties 现在包含 ui.web.baseHrefURL 属性,以支持使用相对 URL 的配置。(ID-17763)
- Identity Manager 现在支持配置 PKCS#11 密钥库。要合并密钥库,必须对 TransactionSigner HTML 组件进行非向后兼容的更改。(ID-17769)
不再支持显示属性 supportedKeyStoreTypes。现在提供了一个单值的 supportedKeyStoreType。它可以是以下值之一:JKS、PKCS12、PKCS11。默认值是由系统配置属性 security.nonrepudiation.defaultKeystoreType 确定的。通常,仅设置系统范围内的属性 security.nonrepudiation.defaultKeystoreType 就足够了。
要添加 PKCS11 签名支持,TransactionSigner applet 必须使用仅在 JRE 1.5 中提供的功能。所有使用 TransactionSigner applet 的客户端必须安装 JRE1.5,并将其配置为浏览器的 JRE。
服务器
在下次启动 Identity Manager 服务器后,对 IDM 模式配置对象所做的更改才会在该服务器中生效。由于有了 IDM 模式配置对象,将禁止进行重新转换。有关详细信息,请参见本发行说明中的升级问题一节。
SPML
同步
其他
此发行版中修复的错误本节介绍了 Identity Manager 8.0 中修复的错误,该信息分为以下几个部分:
管理员界面和用户界面
- 现在,用户可通过“配置表单和进程映射”页面为“提问式登录”表单和“匿名登录”表单指定自定义表单。(ID-4697)
- DatePicker 表单 UI 组件现在支持 action=true。(ID-4930)
- NetCharts applet 已由 JGraph 图像代替。(ID-14736)
- 现在,服务器任务表基于类型进行正确排序。(ID-14850)
- 以前,在强制执行密码策略时,Identity Manager 在密码历史记录中并不包含初始用户密码,而是仅跟踪更改的密码值。这意味着,如果策略规定不能重复使用过去的三个密码,并且用户只更改了两次密码,Identity Manager 仍会允许重复使用初始密码。此发行版中修复了该错误。(ID-15026)
- 现在,在使用 UI 中的“编辑用户”功能取消分配用户的资源帐户时,可在所有情况下正确更新这些帐户在帐户索引中的“状况”。(ID-15310)
- 以前,允许将批准工作项目转发给其他批准者的最终用户界面菜单包含不正确的填充内容。该错误已得到修复。现在,此列表中填充了一组批准者,这些批准者位于登录到最终用户界面上的用户的控制范围内。(ID-15935)
- 以前,如果在 ManualAction 工作项目上发生超时,不会向用户返回超时错误。相反,用户会收到一个过时的工作流程图,从而造成已正确处理表单的假象。该错误已得到修复。现在,除非启用了 IgnoreTimeout 选项,否则,会将用户重定向到 workItemTimeout.jsp 页。(ID-16467)
- 现在可以编辑并保存当前或以前的工作项目委托。(ID-16564)
- 当管理员代表用户创建委托时,管理员无法在用户的控制范围以外选择委托。现在,管理员与创建委托时所代表的用户具有相同的控制范围。以前,在代表用户创建委托时,管理员可以选择用户不能选择的委托。(ID-16561)
- 现在,当 Sun Identity Manager 无法验证用户时,UI 将显示失败的密码登录和失败的验证提问式登录次数。(ID-17188)
- 可以在用户界面的“暂挂批准”表中正确排序。(ID-17304)
- 现在,在执行操作后显示的结果页中始终包含“确定”按钮。(ID-17482)
- 对于尚未显式设置 System Configuration.forgotPasswordChangeResults.User 的新安装和升级,在通过“忘记密码”按钮设置密码后,将始终显示指示成功或失败的确认页。如果显式设置了 System Configuration.forgotPasswordChangeResults.User,该行为将保持不变。(ID-17619)
- 现在,月份值下拉框在所有浏览器中显示完整的月份列表。(ID-17740)
- 现在修复了几个跨站点脚本 (XSS) 漏洞。(ID-17748、18054)
- 现在,SimpleTable UI 显示组件和 gentable.jsp 文件生成的表在呈现的 HTML 中正确提供结束 <TH> 标记。(ID-17945)
- 现在,在将单个浏览器同时连接到最终用户界面和管理界面时,仅在相应的界面中显示表单。(ID-18039)
- 不允许在资源列表的“状态”列中使用 JavaScript,但允许在字符串内容中使用安全的 HTML 标记,并且现在可以正确显示该标记。(ID-18050)
- 批量操作表单中的错误现在生成 InlineAlert,而不带可见的 HTML 标记。(ID-18338)
- 修复了 UI 中的目录遍历漏洞,用户可通过此漏洞对位于 Identity Manager 服务器中的文件进行未经授权的访问。(ID-18653)
- 现在加快了“列出帐户”页的显示速度。(ID-18751)
审计
使用 PE 键记录的操作是 EndProcess 和 PreOperation。PreOperation 操作现在使用数据库键 PP。使用 AV 记录的类型是 AccessReview 和 AccessReviewWorkflow。AccessReviewWorkflow 类型现在使用数据库键 AW。
审计日志报告将使用 PE 的现有审计记录解释为 EndProcess 操作。现在将使用 AV 的现有记录解释为 AccessReview。
在包含 SQL 的数据库中更新审计记录可能会带来安全问题(因为这些记录似乎被篡改过),因此建议忽略使用 8.0 之前的版本创建的这些记录(将 PE 或 AV 作为 logDb 键)。
委托
- 现在,将在执行时和创建时检查委托周期。(ID-17387)
- 在由两个步骤组成的委托中,在第一个委托者结束修正工作项目的委托时,任何现有的修正工作项目现在将返回到第一个委托者。(ID-18435)
- 在配置委托时,现在将在下拉列表中显示可以委托的所有可能的工作项目类型。在管理员 UI 中,委托下拉列表不再过滤显示的工作项目类型,因此,现在会列出可以委托的所有可能的工作项目类型。在最终用户 UI 中,仅在下拉列表中列出 5 个基本的工作项目类型。(ID-18496)
- Identity Manager 8.0 增加了角色类型和角色更改批准(包括特定于角色类型的更改批准)以及委托这些工作项目类型的功能。此外,还增加了支持,以允许在委托新角色类型或角色更改工作项目类型时指定特定的角色。(ID-18558)
表单
安装
lh console
日志记录
组织
置备
报告
- 现在,可通过单击“报告”页中的允许同时执行报告?复选框来并发执行具有相同任务名称的报告。(ID-14631)
- 在编辑报告时,现在可以使用“运行”按钮执行该报告,而不会对自动保存报告更改造成不利影响。使用“保存”按钮可保存对报告所做的更改。(ID-17212)
- 某些 html 电子邮件报告现在将正确包含非空列标题(已删除这些列中的空链接)。(ID-17369)
- 在为报告时间线选择日期范围时,审计日志报告显示所有相关记录。(ID-17621)
- 对于包含安全组且组名称包含“和”符号 (&) 的 Active Directory 服务器,将按预期方式为其呈现生成的组报告,而不会出现 XMLParserException。(ID-17942)
- 资源用户报告、资源组报告和用户访问报告(以及任何使用 com.waveset.report.IndividualUserReport 或 com.waveset.report.GroupMemberReport 的自定义报告)不会再在报告条目之间输出“未找到任何记录”。(ID-18049)
- 在编辑完报告并随后使用“运行”按钮执行该报告时,报告查看器现在将正确处理表单属性 refType。表单中的 refType 属性指示查看器应使用在 refType 属性值中指定的类型创建 ObjectRef。该 ObjectRef 用作查询的属性值,而不是对象名称。(ID-18107)
- 将用户名字段设置为正确值时,使用 IndividualUserReport.java 的报告(资源用户报告和详细用户报告)现在将正确获取报告。(ID-18260)
- 现在,访问查看摘要报告在条件中使用 parInstanceName 属性以获取访问查看列表,而不是使用 parTaskInstanceName 属性。另外,在未选择任何访问查看对象时,报告现在将正确报告未找到任何记录。(ID-18282)
- 单个用户审计日志报告现在包含一个帮助页。(ID-18539)
- 现在,具有非 ASCII 长任务名称的报告可以使用正确的文件名进行下载。(ID-18550)
- 现在,最近系统消息报告将在主报告表中显示的数据截断为 128 个字符,以便当消息列中包含大量数据时生成更加可读的报告。与以前一样,报告记录的详细信息仍包含所有数据。此修复还适用于将 com.waveset.report.SyslogReportTask 作为 TaskDefinition 中的执行器的任何报告。(ID-18657)
系统信息库
- 默认情况下,在将 role 配置为 UserUIConfig 对象中的摘要属性时,摘要字符串中仅包含三个角色。请使用 UserUIConfig 中的 SummaryAttrrResourceCountLimit 属性来更改默认值。(ID-13291)
- Identity Manager 不再关闭并删除连接池中的有效连接。以前,非致命异常可能会导致 Identity Manager 关闭正常工作的连接。(ID-13719)
- 在 CLOB log.acctAttrChanges 的今日/每周活动审计报告中修复了 NullPointerException (NPE)。(ID-17346)
- 在写入审计事件时,具有较大表的审计日志不再对性能造成重大影响。(ID-18053)
资源
- 从 XPRESS 中进行调用时,com.waveset.ui.FormUtil 的 getResourceObjects() 方法将为 Active Directory 资源正确返回多值属性。(ID-11965)
- 资源扩充工具 (Resource Extension Facility, REF) 包中包含的框架测试不再依赖于未随产品提供的类。以前,框架测试依赖于 com.waveset.junit.WavesetRunner 和 com.waveset.junit.WavesetSuite(未随产品提供),现已重构了该测试以消除这种依赖性。(ID-12370)
- 当 name 或 mapName 属性为 null 时,Resource.getAccountAttributeType(name,mapName) 方法现在可以正常工作。(ID-13598)
- 在取消资源的“编辑同步策略”时,Identity Manager 不会再在系统信息库中创建工件,并且 Remedy 资源不再发生错误。(ID-14356)
- 如果在更新 Solaris NIS 帐户时指定了无效的组名称,Identity Manager 将会显示一条错误消息。(ID-15841)
- 以前,ExampleSPML2ResourceAdapter 用户曾报告无法执行修改请求。现在,在数据元素中嵌套更改元素时,将处理 SPML v2 修改请求。(ID-16646)
- 以前,LDAP 资源适配器的错误处理使用多种硬编码字符串和消息格式。在此发行版中,对由于基于 LDAP 的资源适配器异常而生成的错误消息进行了本地化。(ID-16721)
- 修复了网关跟踪模块中可能出现的缓冲区溢出。(ID-17093)
- 如果在 Sun Access Manager 数据存储中设置了“复制领域配置”选项,子领域的管理员用户(而不是 amAdmin)将会对该子领域进行置备。这是因为,在设置此选项时,从技术上讲,标识仅在创建它们的领域或子领域中存在。(ID-17101)
- 8.0 版的 Identity Manager NDS 网关没有单线程模式,因此,不再使用 ExclusiveNDSContext 注册表主键。这将消除以前通过单线程 NDS 网关置备 GroupWise 用户时出现的错误。(ID-17144)
- 在协调期间,LDAP 资源适配器不会导致 IndexOutOfBoundsException。(ID-17454)
- 脚本化网关适配器不支持密码更改。如果在模式映射中添加密码帐户属性,该适配器现在阻止试图将其绕过。(ID-17533)
- 修复了在为 LDAPResourceAdapterBase 类打开跟踪时抛出的空指针异常问题。(ID-17588)
- 引用 accounts[os400].accountId 将不再返回 waveset.accountId。相反,它为 OS400 帐户返回正确的 accountId 值。(ID-17632)
- 当 SAP 资源适配器要连接的 SAP 系统不包含 PASSWORD_FORMAL_CHECK 功能模块时,SAP 资源适配器不再抛出 JCO_ERROR_FUNCTION_NOT_FOUND 错误。(ID-17665)
- 您现在可以通过 SSH 成功连接到 VMS 资源。如果要进行升级,您必须运行 update.xml 或重新导入 resourceWizardForms.xml 以将更改应用于 VMS 资源向导。(ID-17695)
- Shell 脚本资源适配器现在为禁用、启用和重命名操作提供退出代码。(ID-17749)
- 在正确关闭时,Identity Manager 网关不再触发在 Domino 7.x Server 控制台日志中显示“异常终止”消息。(ID-17782)
- 修改了 UNIX 资源适配器,以使其可以创建仅具有用户读取/写入权限的临时文件。(ID-17835)
- 现在,正确更新了 Netware NDS GroupWise 帐户的加密密码。(ID-18020)
角色
安全性
服务器
服务提供者
- 如果在配置为与 Service Provider Edition 实例一起使用的单点登录 (SSO) 领域中验证某个用户,但该用户在 Server Provider Edition 实例中不存在,则会向用户显示相应的错误消息。以前,将向用户显示 Service Provider Edition 主页,但无法执行列出的任何操作。(ID-13194)
- 在配置服务提供者时,lh console 的 export all 命令不再由于发生 java.lang.UnsupportedOperationException 而失败。在调试页中,IDMXUser 不再显示为“列出对象”选项。(ID-16141)
- 以前,在服务提供者用户登录到服务提供者最终用户界面时,将提交两个登录审计事件。已修复该错误,以便仅提交一个审计事件。(ID-16742)
- 在此发行版之前,审计记录不会跟踪服务提供者用户的属性级别更改。Identity Manager 现在审计对服务提供者属性、执行事务时所在的服务器名称以及登录界面名称进行的更改。(ID-16837)
请注意,与 Identity Manager 不同,服务提供者不记录旧的属性更改值,而只记录尝试的值和新值。服务提供者不记录对资源分配和验证回答的更改。
- 以前,在启用跟踪的事件后,系统信息库中的任务表将会变得很大。该问题已得到更正。(ID-16923)
- 服务提供者服务置备标记语言 (Service Provider Service Provisioning Markup Language, SPML) 修改请求不再删除请求中未指定的扩展属性。(ID-17145)
- 现在,将正确同步内存和持久性数据存储中的事务数据。(ID-17384)
同步
工作流
修复的其他缺陷
17111, 17242, 17269, 17414, 17668, 18555