安装和更新说明

本节提供了与安装或更新 Identity Manager 有关的信息，该信息分为以下几个部分：



注	有关与安装和升级过程相关的已知问题，请参阅本文档中的安装和更新一节。

安装说明

以下是与产品安装过程有关的信息：

在安装 PasswordSync 时，使用的二进制文件必须适合执行安装的操作系统。32 位 Windows 对应的二进制文件为 IdmPwSync_x86.msi，而 64 位 Windows 对应的二进制文件为 IdmPwSync_x64.msi。

在卸载 PasswordSync 时，请使用 Windows“控制面板”中的添加/修改程序功能，以确保正确卸载。如果安装了错误的二进制文件，则可能表面上看安装已成功，但实际上无法正确运行 PasswordSync。(ID-17290)

在 HP-UX 上，必须手动安装 Identity Manager。

Identity Manager 安装实用程序现在可以安装或更新至任何安装目录名。在开始安装前，必须先创建此目录或选择从安装面板创建该目录。

在 Windows 系统上运行 Sun Identity Manager Gateway 需要 Microsoft Active Directory Client 扩展。可以在以下位置找到 DSClient：

http://support.microsoft.com/default.aspx?scid=kb;en-us;Q288358



注	有关详细的产品安装说明，请参阅 Sun Identity Manager 安装出版物。

升级说明

本节包含有关将 Identity Manager 从版本 6.0 或 7.0 升级到版本 8.0 的信息和已知问题。

本节中的信息分为以下几个部分：

准备工作

升级问题

刷新用户对象



注	有关升级说明和信息，请参见 Identity Manager 升级。升级 Identity Manager 时，请确保查看 Sun Identity Manager 安装中应用服务器的安装部分，以获得应用服务器的具体说明。如果当前的 Identity Manager 安装需要进行大量的自定义工作，您应该与 Sun 专业服务部门联系，以寻求规划和执行升级方面的帮助。

准备工作

在开始升级过程之前，必须注意以下信息：



注意	如果使用的是 Oracle 系统信息库，Identity Manager 8.0 系统信息库 DDL 会使用未由旧 Oracle JDBC 驱动程序正确处理的数据类型。ojdbc14.jar 中的 JDBC 驱动程序无法正确读取日志表中的所有列。您必须升级到 oracle11g_jdbc.jar 驱动程序，Identity Manager 才能正常工作。

Identity Manager 8.0 将某些新表专用于角色对象。您必须使用 db_scripts 目录中提供的样例脚本进行模式更改、创建新的表结构以及移动现有数据。



注	在更新系统信息库数据库表定义之前，请对系统信息库表进行完整备份。有关详细信息，请参考 db_scripts/upgradeto8.0from71.DBMSName 脚本。

如果要升级到 Identity Manager 8.0，并且使用调用 UserUIConfig#getRepoIndexAttributes() 的任何自定义代码，则必须删除该代码，或者将其更改为调用 Type.USER#getInlineAttributeNames()。

导入 update.xml 可将 UserUIConfig RepoIndexAttrs 中的值转换为 RepositoryConfiguration 对象中 Type.USER 的 TypeDataStore 元素上的 XML 属性值。update.xml 文件包含 UserUIConfigUpdater.xml 文件，该文件又包含 Import 命令，该命令用于调用 UserUIConfigUpdater 以转换 RepoIndexAttrs。转换过程还会在 SystemConfiguration 中设置一个标志，以禁止进行重新转换。

如果以后要对 Type.USER 的内联属性进行任何更改，应通过编辑 RepositoryConfiguration 对象来进行。如果更改了 Type.USER 的内联属性，通常必须刷新所有 Type.USER 对象。



注	在重新启动 Identity Manager 服务器之前，对 RepositoryConfiguration 所做的更改不会影响该服务器。

确保只使用一个 Identity Manager 服务器导入 update.xml，并且在升级期间只运行一个 Identity Manager 服务器。如果在升级期间启动了任何其他 Identity Manager 服务器，则必须停止并重新启动这些服务器，然后才能使用它们。

在编辑角色表单中的超级角色字段时，一定要格外小心，因为超级角色本身可能是嵌套角色。超级角色和子角色字段将指示角色的嵌套及其关联的资源或资源组。在应用于用户时，超级角色包含与任何指定子角色关联的资源。显示的超级角色字段将指示哪些角色包含显示的角色。

在升级过程中，Identity Manager 将分析系统上的所有角色，然后使用 RoleUpdater 类更新所有丢失的子角色和超级角色链接。

要在升级过程以外检查和升级角色，您可以导入 sample/forms/RoleUpdater.xml 中提供的新 RoleUpdater 配置对象。
例如：

<?xml version='1.0' encoding='UTF-8'?>

<!DOCTYPE Waveset PUBLIC 'waveset.dtd' 'waveset.dtd'>

<Map>

</Map>

</ImportCommand>

</Waveset>

其中：

verbose：在更新角色时提供详细输出。指定 false 可启用无提示角色更新。

noupdate：确定是否更新角色。指定 false 可获取仅列出将要更新的角色的报告。

nofixsubrolelinks：确定是否更新超级角色中丢失的子角色链接。默认情况下，此值设置为 false，将会对链接进行修复。

需要查看或编辑用户或角色的 Identity Manager 模式的管理员必须位于 IDM 模式配置管理组中，并且必须具有 IDM 模式配置权能。

Identity Manager 中的 SPML 2.0 实现在 Identity Manager 8.0 中已更改。在以前的发行版中，SPML 消息中使用的 SPML objectclass 属性直接映射到 Identity Manager 用户对象的 objectclass 属性。现在，objectclass 属性在内部映射到 spml2ObjectClass 属性，并且在内部用于其他用途。

在升级过程中，将为现有用户自动重命名 objectclass 属性值。如果 SPML 2.0 配置包含引用 objectclass 属性的表单，则必须手动将这些引用更改为 spml2ObjectClass。

在升级期间，Identity Manager 不会替换样例 spml2.xml 配置文件。如果将 spml2.xml 配置文件作为起始点，请注意该文件包含一个表单，您必须将该表单中包含的 objectclass 引用更改为 spml2ObjectClass。请在表单中更改 objectclass 属性（该属性是在内部使用的），而不要在目标模式中更改 objectclass 属性（该属性是在外部显示的）。

对于 UNIX 环境，请确保 install 目录在以下某个位置中存在，并且可以在其中写入数据：

对于 Linux/HP-UX：/var/opt/sun/install

对于 Solaris：/var/sadm/install

先前安装的所有热修复程序将归档到以下目录：

$WSHOME/patches/HotfixName

升级问题

升级后，changedFileList 和 notRestoredFileLists 将包含以下文件。不会显示这些文件，并且无需执行任何操作。(ID-9228)

bin/winnt/nspr4.dll

bin/winnt/jdic.dll

bin/winnt/MozEmbed.exe

bin/winnt/IeEmbed.exe

bin/winnt/AceApi.dll

bin/winnt/DominoAPIWrapper.dll

bin/winnt/DotNetWrapper.dll

bin/winnt/gateway.exe

bin/winnt/lhpwic.dll

bin/winnt/msems.inf

bin/winnt/pwicsvc.exe

bin/winnt/remedy.dll

bin/solaris/libjdic.so

bin/solaris/mozembed-solaris-gtk2

bin/linux/librfccm.so

bin/linux/libsapjcorfc.so

bin/linux/libjdic.so

bin/linux/mozembed-linux-gtk2

Identity Manager 的用户扩展属性现在完全支持多值属性。(ID-14863)



注	将多值用户扩展属性添加到帐户列表中，可以正确无误地呈现列表。但是，尝试在该列上进行排序将导致以下错误： java.lang.ClassCastException: java.util.ArrayList

只有在重新序列化用户对象之后，引用多值扩展属性的属性条件才能针对该用户对象作出正确评估。如果希望这样的属性条件能够针对所有用户对象作出正确评估，则必须重新序列化所有用户对象。有关说明，请参见刷新用户对象。

如果要从 Identity Manager 版本 6.x 安装升级到版本 7.x，然后再升级到版本 8.0，并且要使用新的 Identity Manager 最终用户页面进行启动，则必须手动将系统配置 ui.web.user.showMenu 更改为 true 才能显示水平导航栏。(ID-14901)

另外，如果您希望新的最终用户面板显示在最终用户的主页上，则必须手动更改表单类型 "endUserMenu" 的最终用户表单映射。请转到“配置”>“表单和进程映射”，对于表单类型 "endUserMenu"，将“表单名称，映射到”更改为“最终用户面板”。

此外，还应该更新表单类型 "endUserWorkItemListExt" 的映射。将“表单名称，映射到”更改为“最终用户批准列表”。



注	如果要从 Identity Manager 版本 7.x 直接升级到版本 8.0，则不需要进行前面的修改。

如果要从版本 6.0 或 7.0 升级到版本 7.1 或 8.0 并使用 LocalFiles，则必须在升级之前导出所有数据，然后在执行 7.1 或 8.0 全新安装后重新导入数据。(ID-15366)

如果安装中包含 Remedy 资源，则必须将 Remedy API 库放到安装网关的目录中。这些库可以在 Remedy 服务器上找到。

表 1 Remedy API 库
Remedy 4.x 和 5.x	Remedy 6.3	Remedy 7.0
arapiXX.dll arrpcXX.dll arutlXX.dll 其中，XX 与 Remedy 版本相匹配。例如，与 Remedy 4.5 对应的 arapi45.dll。	arapi63.dll arrpc63.dll arutl63.dll icudt20.dll icuin20.dll icuuc20.dll	arapi70.dll arrpc70.dll arutl70.dll icudt32.dll icuin32.dll icuuc32.dll

在升级到 Identity Manager 8.0 时，会自动将用户扩展属性对象以及 UserUIConfig 对象的 QueryableAttrNames 和 SummaryAttrNames 元素转换为 IDM 模式配置对象。(ID-17784) 样例 update.xml 脚本包含一个 import 命令，用于调用 IDMSchemaConfigurationUpdater 以转换旧用户模式配置对象。成功的旧用户模式配置对象转换将执行以下操作：

在 IDM 模式配置中，为用户扩展属性中的每个扩展属性名称创建一个 IDMObjectClassAttribute 元素。

将与 UserUIConfig 中的 SummaryAttrNames 元素的每个值对应的任何 IDMObjectClassAttribute 都标记为 "summary"。

将与 UserUIConfig 中的 QueryableAttrNames 元素的每个值对应的任何 IDMObjectClassAttribute 都标记为 "queryable"。

将 UserUIConfig 中的 SummaryAttrNames 元素设置为空。

将 UserUIConfig 中的 QueryableAttrNames 元素设置为空。

将名为 objectClass 的任何扩展属性重命名为 spml2ObjectClass。名为 objectClass 的旧属性与 Identity Manager 8.0 模式中的核心属性发生冲突。

如果要升级到 Identity Manager 8.0，并且使用调用 UserUIConfig#getRepoIndexAttributes() 的任何自定义代码，则必须删除该代码，或者将其更改为调用 Type.USER#getInlineAttributeNames()。(ID-18051)

导入 update.xml 可将 UserUIConfig RepoIndexAttrs 中的值转换为 RepositoryConfiguration 对象中 Type.USER 的 TypeDataStore 元素上的 XML 属性值。update.xml 文件包含 UserUIConfigUpdater.xml 文件，该文件又包含 import 命令，该命令用于调用 UserUIConfigUpdater 以转换 RepoIndexAttrs。转换过程还会在 SystemConfiguration 中设置一个标志，以禁止进行重新转换。



注	在重新启动 Identity Manager 服务器之前，对 RepositoryConfiguration 所做的更改不会影响该服务器。

确保只使用一个 Identity Manager 服务器导入 update.xml，并且在升级期间只运行一个 Identity Manager 服务器。(ID-18051)

如果在升级期间启动了任何其他 Identity Manager 服务器，则必须停止并重新启动该服务器，然后才能使用。

如果从 Identity Manager 7.1 以前的任何 Identity Manager 发行版升级到 Identity Manager 8.0，则可能会由于以下原因在升级日志中记录 ItemNotFound 异常：在 Identity Manager 8.0 中将 Identity Manager Service Provider Edition (SPE) 对象重命名为 Identity Manager Service Provider。(ID-18860)

已过时的功能

Identity Manager 8.0 更改了报告中的图表和图形的显示方法。在 Identity Manager 8.0 之前创建的报告将按预期方式显示在 Identity Manger 8.0 发行版中，但不会按预期方式显示在后续主要发行版和修补程序中。例如，在 Identity Manager 7.1 中创建的报告将按预期方式显示在 Identity Manager 8.0 和 Identity Manager 8.0 Patch 1 中，但在 Identity Manager 9.0 中则不会。(ID-17636)

刷新用户对象

某些类型的更改要求管理员刷新所有用户对象。例如，在更改 RepositoryConfiguration 中的 Type.USER 的内联属性时，必须刷新所有用户对象。只要将 IDMSchemaConfiguration 对象中的属性标记为 "queryable" 或 "summary"，就必须刷新所有用户对象，以使更改影响未修改的旧对象。这同样适用于以下情况：如果新版本的 Identity Manager 添加了一个新属性，或者新版本的 Identity Manager 更改了现有属性的值，则升级过程或管理员必须刷新所有用户对象，以使更改影响未修改的旧对象。

对现有用户进行重新序列化有以下三种方法：

在正常运行过程中修改单个用户对象。

例如，通过用户界面打开一个用户帐户，修改后（或不做修改）保存该帐户。

缺点：此方法比较耗时，并且管理员必须小心，以确保重新序列化所有现有的用户。

使用 lh refreshType 实用程序重新序列化所有用户。refreshType 实用程序的输出是一个刷新的用户列表。

lh console

refreshType User

缺点：因为 refreshType 实用程序是在前台而不是后台运行，此过程可能比较耗时。如果用户很多，则重新序列化所有用户会花费很长时间。

使用延迟任务扫描程序。



注	在运行延迟任务扫描程序进程之前，必须使用 Identity Manager 集成开发环境 (Identity Manager IDE) 或某些其他方法编辑系统配置对象。搜索 'refreshOfType' 并删除 '2005Q4M3refreshOfTypeUserIsComplete' 和 '2005Q4M3refreshOfTypeUserUpperBound' 的属性。在编辑系统配置对象后，必须将该对象导入到系统信息库中，以使更改生效。

缺点：此方法会导致下一次运行延迟任务扫描程序时花费的时间较长，因为需要检查并重写几乎每个用户对象。但此后再运行延迟任务扫描程序时，将恢复正常的速度和持续时间。