Kapitel 3 Identity Manager 8.1-Funktionen

In diesem Abschnitt der Identity Manager 8.1-Versionshinweise finden Sie folgende Informationen:

• Neue Funktionen in dieser Version

• In dieser Version behobene Fehler

Neue Funktionen in dieser Version

In diesem Abschnitt finden Sie zusätzliche Informationen zu den neuen Funktionen in Identity Manager 8.1. Die Informationen sind in die folgenden Abschnitte unterteilt:

• Suns neuer Patch-Prozess

• Hauptfunktionen

• Administrator- und Endbenutzeroberflächen

• Massenvorgänge

• Delegierungen

• Dokumentation

• Installation und Aufrüstung

• Passwortsynchronisation

• Leistung

• Richtlinie

• Berichte

• Repository

• Ressourcenadapter

• Rollen

• Sicherheit

• Service Provider

• Aufgaben

Suns neuer Patch-Prozess

Ab der Version Product_IDMgr; 7.1 Update 1 werden Updates mit Korrekturen für schwerwiegende und kritische Probleme, die von Kunden gemeldet wurden, über einen Patch-Prozess bereitgestellt. Dieser löst den älteren Hotfix-Prozess ab.

Patches werden in einem 6-Wochen-Turnus entwickelt, getestet und veröffentlicht. Die Patches verfügen über ein Installationsprogramm mit grafischer Oberfläche, können aber auch manuell über die Befehlszeile installiert werden. Sie aktualisieren die Dateien in /WEB-INF/lib. Installationsanweisungen für einen Patch sind in den dazugehörigen Versionshinweisen (PDF-Datei) enthalten. Falls Korrekturen an den Gateway- oder Password-Sync-Komponenten erforderlich sind, wird dies ebenfalls in den Versionshinweisen beschrieben. In diesem Fall muss die entsprechende Aktualisierung bei der Patch-Installation vorgenommen werden.

Die Identity Manager-Patches sind kumulativ, d. h. es sind weniger Probleme mit einzelnen Fehlerkorrekturen zu erwarten. Wenn Sie eine Haupt- oder Nebenversion installieren oder darauf aufrüsten, sollten Sie gleichzeitig den neuesten Patch einspielen. Wenn Sie z. B. die Version 8.1 installieren (oder darauf aufrüsten) möchten und dafür der Patch 3 zur Verfügung steht, sollten Sie diesen installieren, nachdem Sie die Version 8.1 installiert haben. In diesem Fall müssen Sie die Patches 1 und 2 nicht gesondert installieren, da der Patch 3 alle darin enthaltenen Funktionen und Korrekturen bereits enthält.

Mit dem Patch-Prozess wird es auch einfacher, den Status einer Fehlerkorrektur über die dazugehörige Fehlernummer zu verfolgen. Dennoch kann es vorkommen, dass eine Korrektur aus einer älteren Version in einer neueren Version noch nicht verfügbar ist. Unabhängig von dem Prozess, den Ihre aktuelle Identity Manager-Version verwendet, müssen Sie sich daher immer vergewissern, dass die neue Zielversion von Identity Manager alle Korrekturen enthält, die Sie benötigen.

Bei der Veröffentlichung eines neuen Patches wird der gesamte Kundendienst/Support darüber informiert. Alle Patches stehen über den Kundendienst zur Verfügung. Um den jeweils neuesten Patch zu erhalten, wenden Sie sich bitte an den Sun Kundendienst unter http://www.sun.com/service/online/us.

Hauptfunktionen

Identity Manager 8.1 bietet die folgenden neuen Hauptfunktionen:

• Externe Ressourcenverwaltung

• Konnektoren

• Integration von Sun Role Manager

• Java Management Extensions (JMX)

• Pluggable Security (AES)-Unterstützung

• XML Digital Signature (XML-DSig)

• SPML

Externe Ressourcenverwaltung

Dieses Merkmal bietet Identity Manager die Funktionen zum Verwalten der Bereitstellung und Überwachung von Anwendungen im Unternehmen, die nicht direkt über einen Ressourcenadapter mit Identity Manager verbunden sind. Hierzu gehören nicht-digitale externe Ressourcen wie Laptops, Mobiltelefone und Sicherheitsetiketten. Die Bereitstellung externer Ressourcen über Identity Manager führt dazu, dass mindestens ein Bereitsteller per E-Mail oder über Remedy Help Desk 6.3-Benachrichtigungen informiert wird.

Konnektoren

Das Connector Framework bietet einen neuen Weg, Identity Manager über einen Konnektor mit Zielanwendungen zu verbinden. Identity-Konnektoren und das Framework sind Teil einer Open Source-Initiative, die einen generischen und konsistenten Weg zur Bereitstellung von Ressourcen mit Identity Manager bieten. Konnektoren wurden vom Identity Manager-Hauptserver abgekoppelt, wodurch sie unabhängig von Identity Manager-Builds veröffentlicht werden können. Neben der Open Source-Projektwebsite, von der zusätzliche Konnektoren heruntergeladen werden können, wird Identity Manager mit den folgenden unterstützten Konnektoren ausgeliefert:

• Microsoft Active Directory 2003 und 2008

• SPML 2.0

Weitere Informationen finden Sie auf der Open Source-Projektwebsite unter https://identityconnectors.dev.java.net/.

Weitere Konnektoren werden in naher Zukunft hinzugefügt.

Integration von Sun Role Manager

Diese Integration konzentriert sich auf die Sun Role Manager-Versionen 4.1.3 und höher. Identity Manager-Formulare können jetzt direkt Role Manager-Webdienste aufrufen, um Benutzer zu informieren und Rollenvorgänge an Benutzern aufzurufen. Der Identity Manager Data Exporter gestattet Role Manager bereits das Abrufen von Identity Manager-Benutzern und -Rollen; die neueste Version 8.1 von Data Exporter bietet jetzt zusätzlich:

• Kapazitätsinformationen, die ein besseres User Mining ermöglichen.

• Ressourcenschema, dass in künftigen Sun Role Manager-Versionen weiterverwendet wird.

Java Management Extensions (JMX)

Identity Manager verwendet JMX MBeans, um Leistungsdaten für die Vorgänge „List“ (Auflisten), „Create“ (Erstellen), „Get“ (Abrufen), „Modify“ (Ändern), „Delete“ (Löschen) und „Authenticate“ (Authentifizieren) bereitzustellen. Die folgenden Daten werden gesammelt:

• Anzahl der Vorgänge

• Durchschnittszeit pro Vorgang

• Mindestzeit pro Vorgang

• Höchstzeit pro Vorgang

• Startzeit der Datensammlung

• Ressourcenadapter-Klasse und -Version

Pluggable Security (AES)-Unterstützung

Identity Manager unterstützt den Advanced Encryption Standard. AES ist eine symmetrische Verschlüsselungstechnik, die anstelle des Data Encryption Standard (DES) verwendet werden kann. AES wird im Allgemeinen in Regierungsanwendungen zum Schützen von Daten verwendet.

XML Digital Signature (XML-DSig)

Diese Funktion bietet einen standardmäßigen, nicht zurückweisbaren Mechanismus, der die W3C XML Signature-Syntax und Verarbeitungsweise (XMLDSig) verwendet. Mit dieser Verbesserung können Arbeitselement-Genehmigungen in einem XMLDSig-Format erstellt, gespeichert und angezeigt werden. Dieses Format gestattet optional die Verwendung von RFC 3161–konformen Zeitmarken.

SPML

Die Unterstützung für SPML2.0 wurde erweitert. Identity Manager unterstützt jetzt Suchfunktionen. Darüber hinaus wird jetzt ein Überwachungsprotokoll unterstützt.

Administrator- und Endbenutzeroberflächen

• Die Benutzeroberflächenelemente „Checkbox“, „Label“, „Radio“, „Select“, „Text“, „TextArea“ und „Container“ wurden aktualisiert. Benutzerdefinierte CSS-Stile werden jetzt korrekt dargestellt. Zuvor hat lediglich das Element „Button“ benutzerdefinierte Stile korrekt dargestellt. (ID-15025)

• Sie können benutzerdefinierte Klassen jetzt auf der Seite „Debug Traces“ konfigurieren. (ID-15490)

• Das Auswählen eines oder mehrerer Benutzer und das anschließende Wechseln zur nächsten Seite führt nicht mehr dazu, dass die Auswahl aufgehoben wird, wenn Sie eine Aktion an mehreren Benutzern ausführen. (ID-15529)

• Auf der Anmeldeseite werden nicht mehr Leerzeichen aus den Feldern für die Passworteingabe entfernt, wenn Sie noTrim='true' im XML-Element AuthnProperty Name='='password' festlegen. Sie können die Einstellung noTrim='true' für beliebige andere AuthnProperty-Elemente verwenden. (ID-16434)

• Die Größe des Bildes für „Weitere Informationen“ kann jetzt im Stylesheet customStyle.css konfiguriert werden. (ID-17360)

• Die Versionsinformationen, die in der Administratorbenutzeroberfläche angezeigt wurden, wenn der Mauszeiger über die Hilfe-Schaltfläche gehalten wird, können jetzt durch Hinzufügen eines neuen benutzerdefinierten Nachrichtenkatalogschlüssels UI_VERSION deaktiviert werden. Richten Sie einen Wert mit einer leeren Zeichenfolge in einem benutzerdefinierten Nachrichtenkatalog ein. (ID-17507)

• Die Seite „Endbenutzer-Bedienfeld“ (Startseite) zeigt jetzt den vollständigen Namen des Benutzers anstelle der Konto-ID an. Diese Einstellung kann in dem Formular „Endbenutzer-Bedienfeld“ anstatt durch das Ändern einer JSP angepasst werden. (ID-19006)

• Sie können jetzt eine ID-Liste mit der Bezeichnung saveNoValidateAllowedFormsAndWorkflows im Attribut „security“ des Systemkonfigurationsobjekts einrichten. Wenn dieses Attribut vorhanden ist, gestattet Identity Manager nur die Verarbeitung von Formularen und Arbeitsabläufen als eine SaveNoValidate-Aktion. Alle sonstigen Formulare und Arbeitsabläufe werden als eine „Save“-Aktion verarbeitet. Ist diese Liste nicht vorhanden, bleibt das Verhalten für alle Formulare und Arbeitsabläufe gleich (das heißt, alle Formulare und Arbeitsabläufe werden als SaveNoValidate verarbeitet). (ID-19115)

Massenvorgänge

• Massenvorgänge können jetzt für Benutzer mit mehreren Konten auf einer Ressource bereitgestellt werden. (ID-13160)

• Es wurde eine Funktion hinzugefügt, um die Zuweisung oder eine Verbindung eines Kontos (mithilfe von Massenvorgängen) von einer Ressource aufzuheben, die als „schreibgeschützt“ konfiguriert wurde (alle Ressourcenfunktionen, die das Aktualisieren von Konten gestatten, werden deaktiviert). Beachten Sie, dass dies nur mithilfe von Massenvorgängen möglich ist. In früheren Versionen führte ein Versuch zum Aufheben einer Zuweisung/Trennung eines Kontos von einer schreibgeschützten Ressource zu einer Fehlermeldung, in der darauf hingewiesen wurde, dass die Ressource nicht existiert. (ID–19048)

Delegierungen

• Der Seite der Genehmigungsarbeitselemente wurde eine Option hinzugefügt, mit der Zeitüberschreitungen der Seite verhindert werden sollen. (ID-18544) Die Seite approval.jsp akzeptiert jetzt die folgenden Eigenschaften:

  • Paging. Wenn vorhanden, ermöglicht diese Eigenschaft das Paging.

  • MaxRows. Die Anzahl an Zeilen, die auf jeder Seite angezeigt werden

  • orderBy. Ein Sortierparameter

  Ändern Sie das Formular „WorkItemList“ durch Hinzufügen der folgenden Felder:

  <Field name='PagingButtons'>
     <Display class='ButtonRow'>
        <Property name='align' value='right'/>
     </Display>
     <Disable>
        <not>
           <ref>viewOptions.Paging</ref>
        </not>
     </Disable>
     <Field name='action'>
        <Display class='Button'>
           <Property name='command' value='Recalculate'/>
           <Property name='label' value='&lt;&lt;'/>
           <Property name='value' value='first'/>
        </Display>
     </Field>
     <Field name='action'>
        <Display class='Button'>
           <Property name='command' value='Recalculate'/>
           <Property name='label' value='&lt;'/>
           <Property name='value' value='previous'/>
        </Display>
     </Field>
     <Field name='action'>
        <Display class='Button'>
           <Property name='command' value='Recalculate'/>
           <Property name='label' value='&gt;'/>
           <Property name='value' value='next'/>
        </Display>
     </Field>
     <Field name='action'>
        <Display class='Button'>
           <Property name='command' value='Recalculate'/>
           <Property name='label' value='&gt;&gt;'/>
           <Property name='value' value='last'/>
        </Display>
     </Field>
  </Field>

• Der Arbeitsablaufvorgang „Multi Approval“ (Mehrfachgenehmigung) wurde verbessert und unterstützt jetzt die automatische Umwandlung einer Liste der approvers (Genehmiger) zu einer Liste der approverObjects (Genehmigerobjekte), die zum Erzeugen von Genehmigungsarbeitselementen verwendet werden. (ID-19238)

Dokumentation

• Die Sun Identity Manager-Dokumentation wurden neu strukturiert. Im Wesentlichen wurden die folgenden Änderungen vorgenommen:

  • Das Handbuch Administration wurde auf zwei neue Handbücher aufgeteilt: das Handbuch Business Administrator's Guide und das Handbuch System Administrator's Guide

  • Die Inhalte des Handbuchs Tuning, Troubleshooting, and Error Messages wurden in das neue Handbuch System Administrator's Guide verschoben

  • Die SPML-Kapitel im Handbuch Deployment Tools befinden sich jetzt im neuen Handbuch Web Services Guide und das Handbuch Deployment Tools wurde aus der Dokumentation gestrichen

  • Das Handbuch Technical Deployment Overview wurde umbenannt zu Deployment Guide

  • Das Handbuch Workflows, Forms, and Views wurde umbenannt zu Deployment Reference

  • Der Dokumentationssatz enthält einen neuen Titel: Sun Identity Manager Overview

  Eine vollständige Liste der Sun Identity Manager-Titel finden Sie im Vorwort unter „Verwandte Dokumentation“.

• Korrekturen und Aktualisierungen an den Sun Identity Manager-Veröffentlichungen werden jetzt auf der Identity Manager Documentation Updates-Website bekannt gegeben:

  http://blogs.sun.com/idmdocupdates/

  Mit einem RSS Feed Reader kann die Website regelmäßig abgefragt und festgestellt werden, ob Aktualisierungen verfügbar sind. Um diesen Dienst zu abonnieren, laden Sie einen Feed Reader herunter und klicken auf einen Link unter „Feeds“ rechts auf der Website. Ab Version 8.0 sind separate Feeds für jede Hauptversion verfügbar.

Installation und Aufrüstung

• Die Skripten zur Datenbankaktualisierung fügen einen Index zur Spalte ownerId der Kontentabelle hinzu. Bei der Aktualisierung einer Installation mit vielen Konten dauert die Verarbeitung des Datenbankaktualisierungsskripts sehr lange, da die Erstellung eines neuen Index einer großen Tabelle viel Zeit in Anspruch nimmt. (ID-19314)

• Ein Problem mit Speicherüberlauf-Ausnahmefehlern während Aufrüstungen wurde behoben. Zuvor wurde bei Aufrüstungen die maximale Java VM-Heap-Größe mit 256 MB festkodiert. Dieser festkodierte Wert wurde gelöscht. (ID-19407)

  Jetzt kann die Umgebungsvariable JAVA_OPTS auf einen benutzerdefinierten Wert gesetzt werden. Ist kein Wert angegeben, wird der Standardwert 1024 MB verwendet.

  Zum Definieren einer maximalen Heap-Größe setzen Sie die Umgebungsvariable JAVA_OPTS mithilfe des Formulars —Xmx=HeapSize, dabei ist HeapSize ein Wert, z. B. 512 m. Ein Beispiel ist -Xmx512m.

Passwortsynchronisation

• Von der Passwortsynchronisation gesendete E-Mail-Benachrichtigungen verwenden jetzt die UTF-8-Verschlüsselung für den Absendernamen, den Betreff und den E-Mail-Text. Alle anderen Header-Teile werden in normalem ASCII kodiert, wie es in den E-Mail-RFCs verlangt wird. (ID-14120)

  Beachten Sie bitte, dass E-Mail-Benachrichtigungen, in denen nicht standardmäßige ASCII-Zeichen verwendet werden, nicht in allen E-Mail-Clients und unter allen Betriebssystemen korrekt dargestellt werden.

• Passwörter mit Leerzeichen werden jetzt korrekt verschlüsselt und entschlüsselt. (ID-17670)

  Wenn Sie von 8.0 über 8.0.0.2 oder 7.1.1 über 7.1.1.7 oder früher auf 7.1 aktualisieren, müssen Sie alle Instanzen von PasswordSync und die Gateways neu installieren.

• PasswordSync unterstützt jetzt Windows Server 2008 (32- und 64-Bit-Versionen). (ID-18342)

• Der Windows-Registrierungsdatei und der grafischen Benutzeroberfläche des Installationsprogramms wurden zwei neue Einstellungen hinzugefügt, um eine Konfiguration des Zertifikatsverhaltens in PasswordSync zu ermöglichen. Diese Einstellungen ersetzen die veralteten Registrierungsdatei-Einstellungen clientSecurityFlags und clientConnectionFlags. (ID-19140)

  securityIgnoreCertRevoke. Wenn diese Einstellung auf 1 gesetzt ist, werden Fehler bei der Rücknahme von Zertifikaten ignoriert.

  securityAllowInvalidCert. Wenn diese Einstellung auf 1 gesetzt ist, erlauben fehlgeschlagene Zertifikate Sicherheitsprüfungen.

• Die internen Prüfungen von PasswordSync wurden erweitert, um vor ungültigen Werten zu schützen, die im Rahmen einer Passwortänderung übergeben werden. Diese Werte könnten zu einem Systemabsturz führen. (ID-19291)

• Das PasswordSync-Installationsprogramm wurde verbessert, so dass es jetzt die Aufzeichnung von Konfigurationsparametern während einer Installation in einer Datei ermöglicht. Spätere Installationen können die Angaben in dieser Datei nutzen und die Konfigurationseinstellungen wiedergeben. Auf diese Weite können spätere PasswordSync-Installationen ohne weiteren Benutzereingriff installiert und konfiguriert werden. (ID-19311)

Leistung

• Beim Zugriff auf den Authentifizierungscache treten keine gegenseitigen Sperren (Deadlocks) mehr auf. (ID-16926)

• Die Leistung der Seiten „Benutzer erstellen“ und „Benutzer bearbeiten“ wurde verbessert. (ID-17066)

  Standardmäßig prüft Identity Manager nicht mehr alle Benutzer in einer Organisation, bevor festgestellt wird, ob ein Administrator über die erforderlichen Rechte und Berechtigungen verfügt, ein Arbeitselement an einen Benutzer zu delegieren. Um das vorherige Standardverhalten wiederherzustellen, fügen Sie die folgende Anweisung zur Datei account/modify.jsp hinzu.

  req.setOption(DelegateWorkItemsViewer.OP_CALL_DELEGATORS_AVAILABLE_USERS,"true");

  Wenn OP_CALL_DELEGATORS_AVAILABLE_USERS im DelegateWorkItemsViewer auf „true“ gesetzt ist, führt Identity Manager einen Suchlauf über alle Benutzer durch, um festzustellen, ob der Administrator über die erforderlichen Rechte zum Anzeigen der Benutzer verfügt.

• Bei einem Benutzer mit einer Administratorrolle, die über eine dynamische Regel zugewiesen wird, übergibt der Benutzerkontext jetzt ein Argument während der Anmeldung. (ID-17964)

• Die Leistung während Anmeldevorgängen bei der Benutzeroberfläche von Identity Manager wurde verbessert, wenn zugewiesene Ressourcen über ein anderes zugewiesenes Anzeigenamen-Attribut als die definierte Konto-ID verfügen. (ID-18885)

Richtlinie

• Die Next-Passwortrichtlinie wurde hinzugefügt. Mit dieser Richtlinie gilt: Antwortet der Benutzer falsch, zeigt Identity Manager die jeweils nächste Frage an, bis der Benutzer eine Authentifizierungsfrage korrekt beantwortet und einloggen kann oder aufgrund des Grenzwertes für fehlgeschlagene Versuche gesperrt wird. (ID-17307)

Berichte

• Die Inhalte des Zusammenfassungsberichts „Violation State of Violation“ (Status des Verstoßes) können jetzt lokalisiert werden. (ID-17011, 17042)

• Berichte können jetzt sowohl im Quer- als auch im Hochformat erstellt werden. Darüber hinaus kann die Seitengröße als US-Legal und als Standard-US-Letter festgelegt werden. (ID-17649)

Repository

• Identity Manager unterstützt jetzt MySQL 5.0.60SP1 Enterprise Server als ein Produktionsrepository. (ID-17735, ID-19703)

• Sie können jetzt MySQL 5.1.30 Enterprise Server als Ihr Identity Manager-Produktionsrepository verwenden, aber Sie müssen Ihre my.cnf-Datei ändern. Aufgrund von Änderungen am InnoDB-Code von MySQLs lautet das standardmäßige Binärprotokollformat jetzt STATEMENT. Identity Manager verwendet eine READ-COMMITTED-Transaktionsisolationsebene, daher erzeugt die Binärprotokollierung im STATEMENT-Modus eine Fehlermeldung ähnlich der Folgenden: (ID-20460)

  com.waveset.util.IOException: java.sql.SQLException: Binary logging not possible. Message: Transaction level 'READ-COMMITTED' in InnoDB is not safe for binlog mode 'STATEMENT'

  Wenn Sie die Binärprotokollierung aktivieren, setzen Sie den Modus auf MIXED, indem Sie die folgende Zeile zu Ihrer my.cnf-Datei hinzufügen:

  binlog_format=mixed

  Mit dieser Konfigurationsänderung können Sie 5.1.30 als Ihr Repository ohne die Ausnahme für die Binärprotokollierung verwenden. Weitere Informationen finden Sie unter MySQL-Fehlernummer 40360.

• Das Identity Manager-Repository wurde überarbeitet, um den MySQL-Defekt 9021 zu umgehen. Der MysqlDataStore des Repository erzeugt jetzt für jeden Attributzustand ein separates, benanntes JOIN. (Zuvor verwendete der MysqlDataStore in einigen Fällen SUBSELECTs und das EXISTS-Prädikat.) (ID-15636)

• Die Nutzungsausgabe des Befehls setRepo wurde aktualisiert. Die Nutzung führt jetzt -o als eine Option auf und erklärt, dass -o erzwingt, dass setRepo keine Initialisierungsprüfung am neuen Repository-Speicherort durchführt. Darüber hinaus zeigt die Nutzung jetzt die Flags -U und -P in Beispielen von direkten JDBC-Verbindungen an. (ID-19475)

Ressourcenadapter

• Netegrity SiteMinder 6.0 wird jetzt unterstützt. Für die ordnungsgemäße Funktion des Adapters müssen PolicyServer und WebAgent für SiteMinder korrekt konfiguriert sein. (ID-6478)

• Der Active Directory-Ressourcenadapter bietet jetzt ein Home Directory Rights-Ressourcenattribut, das die Vererbung der Berechtigungen und die Berechtigungsstufe für das Home-Verzeichnis steuert. Der Vorgabewert beträgt 0. Der Wert 0 gibt an, dass keine Rechte übernommen werden, und dass die Benutzerberechtigungen FULL umfassen. Der Wert 1 gibt an, dass Rechte übernommen werden, und dass die Benutzerberechtigungen FULL umfassen. Der Wert 2 gibt an, dass keine Rechte übernommen werden, und dass die Benutzerberechtigungen MODIFY umfassen. Der Wert 3 gibt an, dass Rechte übernommen werden, und dass die Benutzerberechtigungen MODIFY umfassen. MODIFY umfasst die folgenden Rechte: FILE_GENERIC_WRITE, FILE_GENERIC_READ, FILE_EXECUTE und DELETE. (ID-12881, 19706)

• Der Datenbanktabellen-Ressourcenadapter kann jetzt eine Datenbankspalte verarbeiten, die dem Attribut „accountId“ zugeordnet ist und den Datentyp „Integer“ aufweist. (ID-13362)

• Der LDAP-Ressourcenadapter synchronisiert jetzt Einträge ausschließlich unter den vordefinierten Basiskontexten. (ID-15389)

• Dem LDAP-Ressourcenadapter wurde der Ressourcenparameter „Respect resource password policy change-after-reset“ (Ressourcen-Passwortrichtlinie 'Änderung nach einem Reset' beachten) hinzugefügt. Ist diese Option aktiviert, diese Ressource in einem Anmeldemodul angegeben und die Passwortrichtlinie der Ressource für eine „Änderung nach einem Reset“ definiert, muss ein Benutzer, dessen Ressourcenkonto-Passwort von administrativer Seite zurückgesetzt wurde, sein Passwort nach erfolgreicher Authentifizierung ändern. (ID-16255)

  In dieser Version ist dieses Verhalten nur für die LDAP-Server verfügbar, die die (unaufgeforderte) Reaktion „Netscape Password Expired“ (Netscape-Passwort nicht mehr gültig) (OID 2.16.840.1.113730.3.4.4) mit einer Reaktion über einen erfolgreichen Bind-Vorgang zurückgeben. Die Kombination aus einem erfolgreichen Bind-Versuch und der Steuerung wird so gedeutet, dass das Benutzerpasswort von administrativer Seite zurückgesetzt wurde und geändert werden muss. Ein LDAP-Server, der die Passwortrichtlinie „Änderung nach einem Reset“ implementiert, gestattet einen Benutzer mit einem erfolgreich authentifizierten und zurückgesetzten Passwort lediglich die Änderung des Passwortes. Jeder andere Vorgang wird zurückgewiesen.

  Außerdem gilt: da Identity Manager alle LDAP-Ressourcenvorgänge außer der „Pass-through-Authentication“ mit einem LDAP-Ressourcenadministratorkonto durchführt, betrachten bestimmte LDAP-Server jeden Änderungsversuch eines Benutzerpassworts als einen Reset-Vorgang durch einen Administrator und löschen den Status des Benutzerkontos nie. Zu diesen LDAP-Servern gehören:

  • Sun Java Systems Directory Server 5.x, der zur Verwendung von rootDN (in der Regel cn=directory manager) als Ressourcenadapter-Verbindungskonto konfiguriert wurde

  • Sun Java Systems Directory Server 5.2 mit passwordNonRootMayResetUserpwd:on .

  • Sun Java Systems Directory Server 6.0 und aktueller (einschließlich OpenDS)

• Der Domino-Ressourcenadapter unterstützt jetzt den ObjectType für die Bereitstellung von Gruppen und implementiert die ObjectFeatures „create“, „delete“, „list“, „rename“, „saveas“ sowie „update“. (ID-16422)

• Der SecurId-Ressourcenadapter unterstützt das Umbenennen von Konten. (ID-16517)

• Der SAP-Ressourcenadapter wurde aktualisiert. Die Verarbeitung des CUA ist jetzt stabiler. Mit den neuen Formularen und Codeänderungen können Benutzer von Identity Manager jetzt CUA-Untersysteme sowie Rollen und Profile für diese Untersysteme auf einer SAP-Benutzerbasis ändern. (ID-16819)

  Die Eigenschaften der Kontoattribute profiles und activityGroups wurden geändert. Beide Attribute weisen jetzt den Datentyp „complex“ auf. Das Attribut „profiles“ ist jetzt dem Ressourcen-Benutzerattribut PROFILES zugeordnet, während das Attribut activityGroups jetzt dem Ressourcen-Benutzerattribut ACTIVITYGROUPS zugeordnet ist.

  Laden Sie die Datei $WSHOME/web/sample/updateSAPforCUA.xml, um Ihre SAP-Ressourcenadapter mit diesen Änderungen zu aktualisieren. Diese Attribute sind in neuen SAP-Ressourcen enthalten, es sei denn, sie erstellen die Ressource durch Kopieren einer bereits vorhandenen Ressource, die nicht aktualisiert wurde.

• Identity Manager erfasst und fängt Domino-Fehler „denial-of-service“ ab. (ID-16911)

• Der WRQ Attachmate 3270 Mainframe Adapter für Sun wird jetzt unterstützt. Informationen zum Einrichten dieses Produkts finden Sie in der Ressourcenreferenz. (ID-17031)

• Linux-Ressourcen unterstützen die Verwendung von sudo zum Verwalten des Befehls /usr/bin/chage. (ID-17119)

• Unterstützung für Lotus Notes/Domino 8.0 hinzugefügt. (ID-17213)

• Der Scripted Gateway-Adapter unterstützt jetzt die Passwortsynchronisation. (ID-17813)

• Der Oracle ERP-Ressourcenadapter gestattet jetzt, dass EMPLOYEE_NUMBER sowohl alphabetische als auch numerische Zeichen enthält. (ID-18239)

• Der OS400-Ressourcenadapter unterstützt jetzt Sonderzeichen in Passwörtern. (ID-18412)

• Die Beispiel-Ausnahmeregeln „RACF Case Insensitive Excluded Resource Accounts“ und „RACF_LDAP Case Insensitive Excluded Resource Accounts“ wurden hinzugefügt. Sie sind in der Datei sample/wfresource.xml definiert.

• Der MySQL-Ressourcenadapter wurde so aktualisiert, dass er jetzt Einstellungen von JdbcResourceAdapter übernimmt. Vorhandene MySQL-Ressourcenattribute werden automatisch aktualisiert. (ID-18835)

• Der Windows NT-Ressourcenadapter wird wieder unterstützt. Es ist nicht mehr veraltet. (ID-19170)

• Der LDAP-Ressourcenadapter verfügt jetzt über einen neuen Konfigurationsparameter mit der Bezeichnung Use Paged Result Control. Wenn dieser Parameter aktiviert ist (standardmäßig deaktiviert), verwendet Identity Manager bei einer Abstimmung die Steuerung der ausgelagerten Ergebnisse (Paged Result Control) anstelle der VLV-Steuerung für den Konto-Iterator. Das Verwenden des Konfigurationsparameters Steuerung der ausgelagerten Ergebnisse verwenden verbessert die Leistung, sofern Ihr LDAP-Ressourcenadapter die einfache Paging-Steuerung unterstützt. (ID-19231)

• Dem SAP HR-Adapter wurde der Ressourcenparameter Aus SAP HR zu lesende Objekttypen hinzugefügt, um eine Verarbeitung von Unternehmens-IDOCs aus SAP HR zu ermöglichen. Hierbei handelt es sich um ein Attribut mit mehreren Werten, das derzeit die Werte „P“, „CP“, „S“, „C“ und „O“ unterstützt. (ID-19286)

• Der OracleERP-Ressourcenadapter unterstützt jetzt eine Option, die die Fähigkeit von Identity Manager zum Voranstellen der Benutzerschema-Kennung des Administrators (z. B. APPS) an die Namen der administrativen Oracle EBS-Tabellen unterdrückt (z. B. FND_USER, FND_VIEWS usw.). Diese Option wird über ein neues Ressourcenattribut mit dem Anzeigenamen „Schema-Bezeichner nicht verwenden“ und dem Standardwert FALSE bereitgestellt. Wenn Sie diesen Wert in TRUE ändern, kann der Adapter die Schema-Kennung den administrativen Tabellennamen nicht mehr voranstellen. (ID-19352)

• Der Active Directory-Adapter unterstützt jetzt die Objektklasse inetOrgPerson sowie weitere Objektklassen, die von der Benutzer-Objektklasse abgeleitet werden. (ID-19399)

• Dem LDAP-Adapter wurde der Parameter „LDAP-Gruppenmitgliedschaft aufrechterhalten“ hinzugefügt, mit dem gesteuert wird, ob Identity Manager oder die LDAP-Ressource dafür verantwortlich ist, eine LDAP-Gruppenmitgliedschaft aufrecht zu erhalten, wenn ein Benutzer umbenannt oder gelöscht wird. (ID-19463)

• Dem Shell Script-Ressourcenadapter wurde der Ressourcenparameter ERROR_CODE_LIMIT hinzugefügt. Mit diesem Parameter können Sie festlegen, welcher Rückgabecode ein Fehler ist. (ID-19858)

• Die SecurId-Adapter unterstützen jetzt die folgenden Funktionen: (ID-18665, 18671, 18672, 18673, 18676, 18677, 19726)

  • Bearbeiten des Vor- und Nachnamens des Benutzers sowie der Standard-Shell.

  • Abrufen aller gültigen ACE-Gruppen vom ACE-Server

  • Suchvorgänge in allen ACE-Gruppen und Rückgabe aller Benutzer in dieser Gruppe.

  • Abrufen einer Liste aller definierten ACE-Agenten vom ACE-Server.

  • Anzeigen aller Gruppen, die auf einem ACE-Agenten aktiviert sind.

  • Abrufen aller Administratoren und deren Admin-Ebene.

• Das Gateway unterstützt bei der Kommunikation mit dem Identity Manager-Server jetzt die AES-Verschlüsselung mit 128-Bit-, 192-Bit- und 256-Bit-Schlüsseln. (ID-19738)

Rollen

• Identity Manager erkennt jetzt die Zuweisung eines UserForm über eine Admin-Rolle, wenn die Admin-Rolle eine dynamische Organisation steuert und der Benutzer über die Seite „Benutzer suchen“ bearbeitet wurde. (ID-18028)

• Das optionale Argument noroleconfigurationupdate für RoleUpdater kann während Aktualisierungen angegeben werden, um die Bearbeitung des Objekts RoleConfiguration zu umgehen. Mit diesem Objekt wird angegeben, ob in einer Version vor 8.0 erstellte Rollen Benutzern direkt zugewiesen werden können. Setzen Sie diesen Wert auf „true“, um in den Test zu umgehen. So können Sie feststellen, ob diese Änderung erforderlich ist. (ID-18483)

• Die gesamte RoleAttribute-Logik ignoriert jetzt die Groß-/Kleinschreibung. (ID-18766)

• Bericht-Ergebnisse stehen jetzt für die Organisation und die Admin-Rollen eines Themas zur Verfügung. (ID-19736)

Sicherheit

• IDM 8.1 unterstützt jetzt mehrere neue Verschlüsselungsoptionen. (ID-16979, 17789)

  • Für die Verschlüsselung von Serververschlüsselungsschlüsseln wurde eine Unterstützung für PBE mit AES (ECB-Modus) unter Verwendung eines 256-Bit-Schlüssels hinzugefügt. Diese neue Option ähnelt der bestehenden PBE mit dem DES-Mechanismus, verwendet jedoch AES als zu Grunde liegende Verschlüsselung.

  • Für Daten im Repository und für Gateway-Kommunikationen wurde eine Unterstützung für AES mit 128-, 192- und 256-Bit-Schlüsseln (ECB-Modus) hinzugefügt.

  • Es wurden Änderungen an der Aufgabe „Serververschlüsselung verwalten“ vorgenommen, um diese neue Funktion unterstützen.

  Einige dieser neuen Optionen erfordern zusätzliche Installations- und/oder Konfigurationsschritte, die im Administratorhandbuch ausführlich beschrieben werden.

• Es wurde eine neue Authentifizierungsalternative „Wiederherstellung der Anmeldedaten“ zur Anmeldung mit Authentifizierungsabfrage „Passwort vergessen“ hinzugefügt. (ID-18052)

• Identity Manager unterstützt jetzt im XMLDSIG-Format signierte Genehmigungen. Zuvor wurden signierte Genehmigungen in einem Identity Manager-Überwachungsprotokoll in einem systemeigenen Format gespeichert. Durch diese Erweiterung können Genehmigungsdatensätze in einem XMLDSIG-kompatiblen Format gespeichert werden, das bessere Interoperabilität bietet. Außerdem ist es jetzt möglich, eine RFC 3161-konforme digitale Zeitmarke aufzunehmen, die von einer externen Zeitmarkenstelle ausgegeben wurde. (ID-19011)

• Bei aktivierter Passthrough-Authentifizierung arbeitet die Passwortänderungsfunktion jetzt korrekt, wenn das Ressourcen-Passwort eines Benutzers abgelaufen ist und die Identity Manager-Konto-ID und Ressourcenkonto-ID unterschiedlich sind. (ID-19218)

• Verschiedene Cross-Site Request Forgery (CSRF)-Anfälligkeiten wurden behoben. (ID-19280, 19659, 19660, 19661, 19683, 20072) Alle Anpassungen an den Dateien includes/headStartUser.jspund user/userHeader.jsp müssen manuell aktualisiert werden.

• Verbesserte Leistung für dynamische Organisationen. Die Datei Waveset.properties enthält jetzt mehrere Eigenschaften, mit denen festgelegt wird, wie regelgesteuerte Mitgliederlisten zwischengespeichert werden. (ID-19586)

Service Provider

• Sie können die Service Provider-Endbenutzerseiten jetzt konfigurieren, um für Ihre Server durchzusetzen, dass Seitenanforderungen stets mit HTTPS verarbeitet werden. (ID-18509)

Aufgaben

• Die „SourceAdapterTask“ kann jetzt von einem anderen Administrator als dem Configurator ausgeführt werden. (ID-15299) Um einen anderen Administrator anzugeben, fügen Sie dem Systemkonfigurationsobjekt Folgendes hinzu:

  <Attribute name='sources'>
     <Object>
        <Attribute name='hosts'/> <!-- any host is the default -->
        <Attribute name='subject' value='Configurator'/>
      </Object>
  </Attribute>

In dieser Version behobene Fehler

In diesem Abschnitt sind die Programmfehler beschrieben, die in Identity Manager behoben wurden. Die Informationen sind wie folgt unterteilt:

• Administrator- und Endbenutzeroberflächen

• Überwachung

• Fähigkeiten

• Formulare

• Delegierung

• Identity Manager-IDE

• Gateway

• Protokollierung

• Passwortsynchronisation

• Richtlinie

• Bereitstellung

• Berichte

• Repository

• Ressourcenadapter

• Rollen

• Service Provider

• Sitzungs-API

• Synchronisation

• Ansichten

• Weitere behobene Probleme

Administrator- und Endbenutzeroberflächen

• Der Klasse DatePicker wurde die Eigenschaft tabindex hinzugefügt. (ID-15244)

• Eine zusätzliche Schaltfläche „Suchen“ wurde entfernt, die nach dem Klicken auf die Schaltfläche ... auf der Seite „Forward Remediations“ (Korrekturen weiterleiten) angezeigt wurde. (ID-17236)

• Es wird keine Fehlermeldung mehr ausgegeben, wenn Sie einen Benutzer bearbeiten oder aktualisieren und versuchen, einen idmManager zuzuweisen, der noch nicht existiert oder fehlt. (ID-17339)

• Ein doppelt vorhandenes „Gibt ein erforderliches Feld an” wurde von der Seite „Zugriffsabfrage erstellen“ entfernt. (ID-17417)

• Die Probleme beim Klicken zum Fokussieren und Auswählen in der MultiSelect-Anzeigekomponente der Mac OS X JRE wurden behoben. (ID-17938)

• Ein Benutzer, der sich bei mehreren Oberflächen anmelden kann, wird nicht mehr als bei der falschen Oberfläche angemeldet protokolliert, wenn die gleichen Berechtigungsnachweise zur gleichen Zeit zum Anmelden bei einer anderen Oberfläche verwendet werden können. (ID-18204, 18506)

• Das Aufheben der Bereitstellung eines Benutzers mit mehreren Konten in der Administratorbenutzeroberfläche wird jetzt erfolgreich abgeschlossen. (ID-18314)

• Auf der Seite „Wartet auf Genehmigung“ und auf anderen Seiten, die Tabellen mit Arbeitselementen enthalten, wird jetzt eine Fehlermeldung angezeigt, wenn Sie auf eine Aktionsschaltfläche wie z. B. „Genehmigen“ oder „Zurückweisen“ klicken, ohne zuvor ein Arbeitselement auszuwählen. (ID-18472)

• Die Administratorbenutzeroberfläche setzte die Option für eine geheime Frage nicht durch, wenn Administratoren das Fenster „Mein Passwort ändern“ zum Ändern ihres Passwort verwendeten. Dieses Problem wurde behoben. (ID-18578)

• Das Ändern eines Benutzerpasswortes über die administrative Benutzeroberfläche erzeugt die unnötige Fehlermeldung „Das Passwort darf nicht leer sein“ nicht mehr. (ID-18579)

• Ein Problem im Identity/Lighthouse-Anmeldemodul wurde behoben, bei dem die Option „Passwort vergessen“ die Fehlermeldung „Wert für obligatorisches Feld "User ID" fehlt“ anzeigte, wenn ein Benutzer eine Benutzer-ID angegeben hat. (ID-18939)

• Über das Formular „Benutzer suchen“ kann jetzt eine Abfrage mit Benutzerrollen durchgeführt werden. (ID-18986)

• Die Probleme mit UI-Containern wurden behoben, so dass verschachtelte Felder jetzt die erforderliche Eigenschaft und die noNewRow-Eigenschaft erben können. (ID-19040)

• Identity Manager verweist jetzt auf das Attribut MaximumNumberOfChildrenPerNode (Standardwert ist 100) im Objekt ResourceUIConfig, um die Knotenebenen anzuzeigen. Übersteigt in die Anzahl an untergeordneten Knoten diesen Wert, zeigt Identity Manager nur die ersten 100 zurückgegebenen Knoten an. (ID-19434)

• Ein unkorrigierbarer Fehler, der beim Bearbeiten eines Benutzers in einer dynamischen Organisation aufgetreten ist, wurde behoben. (ID-19519)

• Wenn Sie bisher das Recht eines Benutzers zum Ändern von Aufgaben gelöscht hatten, konnte der Benutzer keine Aufgabe mehr auswählen, auch dann nicht, wenn er noch immer über Rechte zum Löschen verfügt und in der Lage sein muss, bestimmte Aufgaben zum Löschen auszuwählen. Jetzt wird die Kontrollkästchenspalte auch dann in der Aufgabenlisten angezeigt, wenn die Berechtigung zum Ändern gelöscht wurde. (ID-19718)

• Bilder werden jetzt in der Benutzeroberfläche auch dann korrekt angezeigt, wenn Sie relative URLs aktiviert haben. (ID-19771, 19868)

• Ein Problem mit dem Abfrageersteller wurde behoben. Jetzt werden alle logischen ANDs auf der Registerkarte „Benutzer suchen“ korrekt verarbeitet. (ID-19898)

• Anstehende Arbeitselemente können auf der Ergebnisseite in der Endbenutzer-Oberfläche angezeigt werden, in dem das Flag endableEndUserProcessDiagrams im Systemkonfigurationsobjekt aktiviert wird.(ID-19919)

Überwachung

• Überwachungsprotokoll-Ereignisberichte geben jetzt die Oberfläche korrekt an, die für eine Reaktion auf eine Bescheinigung verwendet wurde. (ID-16950)

• Wenn Sie die Option xpress.traceFileOnly in der Datei Waveset.properties auf „true“ setzen, erzeugen alle Auswertungen der XPRESS-Anweisung Trace-Meldungen in einer Datei, die durch xpress.traceFile angegeben wird. Wenn die xpress.traceFile über einen Wert verfügt, werden alle Trace-Meldungen sowohl an die Konsole als auch in eine Datei umgeleitet. (ID-19748)

Fähigkeiten

• Import/Export-Administratoren können die administrativen Seiten und Registerkarten, die nicht für sie bestimmt sind, nicht mehr anzeigen. (ID-19389)

• Das Systemkonfigurationsobjekt ist jetzt gesperrt, so dass es durch nicht autorisierte Benutzer nicht geändert werden kann. (ID-20224)

Formulare

• Wenn Sie den Wert sortColumn in einem Formular einrichten, das durch einen Arbeitsablauf aufgerufen wird, wird dieser Wert nicht mehr ignoriert. (ID-17781)

Delegierung

• Wenn ein Administrator derzeit über die Delegierungen „Genehmigung der Organisation“, „Genehmigung der Rolle“ oder „Genehmigung der Ressource“ für eine Organisation, Rolle oder Ressource verfügt und die Steuerung über dieses Objekt verliert, zeigt die Seite „Delegierung“ in der Endbenutzeroberfläche keine Fehlermeldung mehr an. (ID-18951)

Identity Manager-IDE

• Die Identity Manager-IDE modifiziert die primaryobjectclass einer Rolle nicht mehr, wenn der Identity Manager-IDE keine Informationen über benutzerdefinierte Rollentypen vorliegen. (ID-19672)

• Das Durchführen von Anzeigeschema-Vorgängen für benutzerdefinierte Rollentypen gibt keine NullPointerException-Fehlermeldung mehr auf den Debugging-Seiten zurück. (ID-19686)

Gateway

• Registrierungsschlüsselwechsel zwischen dem Gateway und dem Identity Manager-Server schlagen nicht mehr fehl, wenn der Computer, auf dem das Gateway ausgeführt wird, keine Registrierung für das Gateway aufweist. (ID-17137)

• Ein gelegentlich während des Herunterfahren des Gateways auftretender Fehler wurde behoben. Ein Nebeneffekt stellt sich ein: Meldungen, die während des Hoch- und Herunterfahrens geschrieben werden, werden jetzt in die Gateway-Trace-Protokolle geschrieben (wenn das Tracing aktiviert ist) oder an die Konsole gesendet (wenn das Tracing nicht aktiviert ist). (ID-19310)

Protokollierung

• Das System protokolliert jetzt die IP-Adresse eines Client anstelle der IP-Adresse des Load Balancers, der eine Anfrage gesendet hat. (ID-17774)

• Die Identity Manager-Verlaufsprotokollierung speichert jetzt die konfigurierte maximale Anzahl an Verlaufsprotokolldateien, bevor mit dem Überschreiben vorhandener Protokolldateien begonnen wird. (ID-19102)

• Activity Report-Seiten verwenden jetzt das Feld „Nachricht“, um zusätzliche Informationen zu Überwachungsereignissen anzuzeigen. (ID-19257)

• In früheren Versionen wurden Aufgaben, bei denen Fehler bei der Ressourcenkonto-Bereitstellung aufgetreten sind, gelegentlich als Erfolge in den Aktivitätsberichten protokolliert. Dieses Problem wurde jetzt korrigiert. (ID-19283)

• Jetzt wird eine Fehlermeldung angezeigt, wenn ein Löschvorgang an einem Log- oder SysLog-Objekt versucht wird, es sei denn, es wird die Systemprotokoll-Wartungsaufgabe oder die Überwachungsprotokoll-Wartungsaufgabe ausgeführt. (Diese Aufgaben verwenden eine andere Methode zum Löschen dieser Objekttypen.) (ID-19356)

• Die Vorgänge „Ressourcenkontopasswort ändern“ und „Ressourcenkontopasswort zurücksetzen“ werden jetzt mit der Überwachungsaktion „Passwort ändern“ oder „Passwort zurücksetzen“ protokolliert. Darüber hinaus wurde der Arbeitsablauf „Ressourcenkontopasswort ändern“ so geändert, dass die Aktion „Überwachung“ nur dann aufgerufen wird, wenn ein Fehler auftritt, bevor der Aufruf des Arbeitsablaufdienstes changeResourceAccountPassword erfolgte. (ID-19359)

• Ein Problem, das dazu führte, dass die Ergebnisse einer Zugriffsprüfung nicht korrekt überprüft wurden, wurde behoben. (ID-19548)

• Die Vorgänge an einem Serverobjekt werden jetzt überprüft. (ID-19606)

• Änderungen an einer Ressourcengruppe (Erstellen, Aktualisieren, Löschen) werden jetzt überprüft. Das Ressourcengruppenobjekt wird auch als ein Anwendungsobjekt bezeichnet, so dass der ApplicationViewer für Vorgänge an einem Anwendungsobjekt verwendet werden kann. Aus diesem Grund findet die Überprüfung im Anzeigeprogramm der Anwendung statt. (ID-19607)

• Ein Überwachungsprotokolleintrag mit einem Fehlerstatus wird jetzt veröffentlicht, wenn das Löschen eines Benutzers fehlschlägt. (ID-19722)

Passwortsynchronisation

• PasswordSync sendet jetzt korrekt E-Mails an Administratoren, wenn E-Mails an Benutzer deaktiviert wurden. (ID 18110)

• Ein möglicher Systemabsturz, verursacht durch einen NULL-Verweis in PasswordSync, wurde behoben. (ID-19042)

• Test-Verbindungen unter Verwendung gültiger Zertifikate und selbst-signierter Zertifikate arbeiten jetzt korrekt. (ID-19216)

• Ein Problem mit zwei potentiellen Pufferüberläufen wurde behoben. In beiden Fällen konnten Puffer mit einer festen Länge überlaufen, wenn der Inhalt größer als der Puffer war. Diese Puffer werden jetzt dynamisch zugewiesen, um sicherzustellen, dass sie groß genug sind. (ID-19358)

• Die Passwortsynchronisation für Computerkonten wurde deaktiviert. (ID-19366)

• Das standardmäßige Installationsverzeichnis für die Dateien von PasswordSync wurde geändert, so dass es jetzt dem Produktnamen entspricht. (ID-20276) In der Standardeinstellung wird die Anwendung jetzt in dem Verzeichnis C:\Programme\Sun Microsystems\Sun Identity Manager PasswordSync installiert. Das Standardverzeichnis der 64-Bit-Version von Windows ist C:\Programme (x86)\Sun Microsystems\Sun Identity Manager PasswordSync\

Richtlinie

• Die Passwortrichtlinie validiert jetzt alle erweiterten ASCII-Zeichen korrekt, die für die Bedingung „Darf Wörter nicht enthalten“ eingegeben wurden. Außerdem unterscheidet diese Bedingung jetzt zwischen einer vollständigen Wortübereinstimmung und einer Übereinstimmung des Zeichenfolgenattributs, wenn eine Meldung über die Verletzung der Richtlinien angezeigt wird. (ID-19384)

Bereitstellung

• Die Fehlermeldung NullPointerException tritt nicht mehr während einer Wiederholversuch-Aufgabe auf, wenn eine erneute Bereitstellung mit Wiederholversuch beim zweiten Versuch scheitert. (ID-19826)

Berichte

• Ältere Versionen von Risikoanalyse-Berichten erzeugten ein TaskResult-Objekt, das XML-Code enthielt, der nicht durch die waveset.dtd validiert werden konnte . Entsprechend konnten diese TaskResult-Objekte nicht erneut in Identity Manager importiert werden. Jetzt erzeugt die Ausführung von Risikoanalyse-Berichten einen gültigen XML-Code, der erneut importiert werden kann. (ID-14419)

  Verwenden Sie das folgende Verfahren, um alte TaskResult-Objekte zu aktualisieren und zu importieren:

  1. Exportieren Sie die TaskRef in eine Datei, z. B. object.xml

  2. Führen Sie den folgenden Befehl von einer UNIX-Shell aus. Eine korrigierte Version der Datei wird in die Datei object-fixed.xml geschrieben.

     cat object.xml | sed -e s/'
'//g | sed -e s/'
 '//g | sed -e
     s/'
  '//g | sed -e s/'
  '//g > object-fixed.xml

  3. Importieren Sie die Datei object-fixed.xml in Identity Manager

• In der Standardeinstellung werden Überwachungsdatensätze in der gleichen „ObjectGroup“ wie das Objekt platziert, in der sich das Objekt befindet, auf das verwiesen wird. Die „ApproverReportTask“ befindet sich in der „All ObjectGroup“, daher wird der Überwachungsdatensatz, in dem verzeichnet wird, dass der Bericht ausgeführt wurde, ebenfalls in der „All ObjectGroup“ platziert. (ID-16363)

  Dies bedeutet, dass der Überwachungsdatensatz von allen Administratoren angezeigt werden kann. Falls dieses Verhalten nicht gewünscht wird, ändern Sie entweder die „MemberObjectGroup“ der „ApproverReportTask“-TaskInstance in eine besser geeignete „ObjectGroup“, oder Sie fügen den folgenden XML-Code in die „AuditReport“-Aufgabe ein:

  <Field name='excludeAll'>
     <Display class='Hidden'>
        <Property name='value' value='true'/>
     </Display>
  </Field>

• Die Optionen „Schnittstelle“ und „Attributänderungen“ für die x- und y-Achse in Verwendungsberichten werden jetzt gültigen abfragbaren Werten zugeordnet, und es tritt keine „NullPointerException“-Fehlermeldung mehr auf. „Attributänderungen“ werden jetzt Attribute.ACCT_ATTR_CHANGES zugeordnet. „Schnittstelle“ wird jetzt dem neu erstellten Attribute.INTERFACE zugeordnet, ein Synonym für Attribute.CLIENT. (ID-16769)

• Der Kontoindexbericht kann jetzt korrekt für einen Benutzer erzeugt werden, der die oberste Organisation nicht steuert. (ID-16643)

• Der Ressourcenbenutzerbericht zeigt Administratornamen jetzt korrekt an. (ID-17650)

• Falls während des Erzeugen eines Berichtes im PDF-Format ein Fehler auftritt, wird die entsprechende Fehlermeldung jetzt korrekt angezeigt. (ID-17979)

• Das Klonens eines Berichts funktioniert jetzt korrekt. (ID-18187)

• Identity Manager gibt keine NullPointerException-Fehlermeldung mehr aus, wenn ein Benutzerbericht erweiterte Benutzerattribute als Suchoptionen enthält. (ID-19567)

• Ein Problem mit einer „Zugriff verweigert“-Fehlermeldung wurde behoben. Dieses Problem trat auf, wenn ein Benutzer, dem mehrere Admin-Rollen zugewiesen wurden, versuchte, einen Bericht zu erstellen. (ID-20067)

• Aufgabenberichte zeigen die Spaltennamen jetzt korrekt an. (ID–20131)

Repository

• Die MySQL-Fehlermeldung „Column 'id' in field list is ambiguous“ (Spalte 'ID' in der Filterliste ist mehrdeutig) tritt nicht mehr auf, wenn ein Benutzer in einem „Alle Einwilligungsverstöße“-Bericht auf einen Link für eine Überwachungsrichtlinie klickt. Das Repository erzeugt jetzt einen DML-Code, der diesen Spaltennamen qualifiziert. (ID-19900)

Ressourcenadapter

• Der Name der Aufgabe „Ressourcenpasswort ändern“ wird jetzt korrekt angezeigt. (ID-6947)

• Ein Problem mit dem Sybase-Adapter wurde behoben. Es führte dazu, dass der Adapter versuchte, eine Abstimmung mit der standardmäßigen Sybase-Systemdatenbank durchzuführen, wenn die im Ressourcenadapter definierte Datenbank nicht verfügbar war. (ID-15867)

• Tabulatoren (\u0009) können jetzt als Feld-Trennzeichen für Flat File Active Sync-Ressourcen verwendet werden. (ID-16780)

• Die Verfolgungsmöglichkeiten im Scripted JDBC-Ressourcenadapter wurden verbessert. (ID16900)

• Das Gateway überschreibt nicht mehr den Wert ServerKeyFileName in der Domino Server-Datei notes.ini, wenn der Domino Server und der Lotus Notes-Client auf dem gleichen Computer installiert sind. (ID-17216)

• Das Erstellen eines neuen Benutzers, für den das Flag „force_change“ explizit auf „false“ gesetzt wurde, funktioniert jetzt auch mit Solaris-Ressourcen korrekt. (ID-17401)

• Der Gateway-Dienst stellt jetzt seine Datenbankverbindung mit SecurID wieder her, wenn die SecureID neu gestartet wird. (ID-17443)

• Ein Problem, bei dem der Gateway-Chiffrierschlüssel nicht aktualisiert wurde, wenn ScriptedGateway die einzige Gateway-Ressource war, wurde behoben. (ID-17556)

• Zwei Fehlersituationen beim Erstellen eines Benutzers in Active Directory zeigen jetzt eine korrekte und lesbare Fehlermeldung: das Konto existiert bereits und die Konto-ID weist ein ungültiges Format auf. (ID-17587)

• Der SecurId ACE Server UNIX-Adapter testet jetzt, ob im Pool befindliche Verbindungen realisierbar sind. (ID-17673)

• Identity Manager ignoriert jetzt die Verwendung von Lotus Domino-Gruppennamenaliasen und verursacht keine Fehlermeldungen über ungültige Objekte mehr, wenn sie nativ verwendet werden. (ID-17739)

• Der Domino-Adapter löscht Skriptdateien, die während Erstellen- und nach Aktualisieren-Aktionen erstellt wurden.(ID-18136)

• Der Active Directory-Ressourcenadapter verarbeitet Beendigungscodes mit Werten ungleich Null aus „Delete before“-Aktionen jetzt korrekt. (ID-18241)

• Eine Lotus Domino-Ressource gibt Verbindungen jetzt korrekt an den Verbindungspool zurück. (ID-18417)

• Das Kontoattribut Name für den Exchange 2007-Adapter ist ein Attribut, das nur erstellt werden kann. Änderungen an dem Attribut führen zu unvorhersehbaren Nebeneffekten und könnten dazu führen, dass der Benutzer in Identity Manager nicht mehr verwaltet werden kann. Daher wird dieser Vorgang nicht mehr unterstützt. (ID-18606)

• Gateway-Ressourcenadapter überschreiben keine schreibgeschützten Kontoattribute mehr. (ID-18932)

• Der OracleERP-Ressourcenadapter gibt keine „Keine Daten gefunden“-Fehlermeldung mehr aus, wenn Verantwortlichkeiten nachgeschlagen werden, die den Benutzern noch nicht bereitgestellt wurden. (ID-19056)

• Der OracleERP-Ressourcenadapter gibt keine Fehlermeldung mehr aus, wenn eine Verantwortlichkeit nachgeschlagen wird, die nicht über einen eindeutigen Namen verfügt. (ID-19057)

• Der LDAP-Ressourcenadapter fordert beim Testen einer Gruppenmitgliedschaft kein „uniqueMember“-Attribut mehr an. (ID-19134)

• Ein Speicherleck im Domino Gateway-Adapter wurde behoben. (ID-19139)

• Das Gateway stürzt nicht mehr ab, wenn eine „get info“-Meldung an eine Scripted Gateway-Ressource gesendet wird (ID-19249).

• Die Aufgabe „Serververschlüsselung verwalten“ beschädigt keine Objekte des Typs GatewayEncryptionKey mehr, wenn eine Kopie des Schlüssels mit einer Zeitmarke gespeichert wird. (ID-19250)

• Ein Problem wurde behoben, das dazu führte, dass der SAP-Ressourcenadapter keine Benutzer freigeben konnte, die aufgrund von zu vielen ungültigen Anmeldeversuchen gesperrt wurden. (ID-19252)

• Der veraltete DominoActiveSyncAdapter wird nicht mehr mitgeliefert. Diese Funktion ist jetzt im Domino-Ressourcenadapter enthalten. (ID-19281)

• Das Gateway stürzt nicht mehr ab, wenn eine Abstimmung auf einer auf Windows NT-Ressource durchgeführt wird. (ID-19295)

• Das NDS-Gateway sendet keine falsche Warnmeldung zur User-Klasse mehr, wenn NDS-Objekte verarbeitet werden, die nicht zum Benutzer gehören. (ID-19362)

• Legacy Exchange 2000/2003-konforme Mail-Benutzer werden jetzt als nur-AD-Benutzer gemeldet (der RecipientType entspricht User), wenn die Exchange 2007-Unterstützung auf dem Adapter aktiviert ist. Exchange 2000/2003-Benutzer können von nur-AD-Benutzern anhand des legacyExchangeDN-Attributs und anderer Exchange 2000/2003-Attributer unterschieden werden. (ID-19393)

• Jetzt wird die Fehlermeldung Uid is not unique (UID ist nicht eindeutig) ausgegeben, wenn eine Benutzer-ID auf den gleichen Wert wie eine andere Benutzer-ID in der Red Hat Linux-Ressource geändert wird. (ID-19395)

• Identity Manager übergibt benutzerdefinierte SAP Access Enforcer-Attribute jetzt korrekt an den Access Enforcer. (ID-19427)

• LDAP-Gruppen mit mehreren „objectClasses“ werden jetzt korrekt gespeichert. (ID-19436)

• Die Solaris-, HPUX-, AIX- und Linux-Adapter, die NIS ausführen, verhindern jetzt, dass Sie ein Konto mit einer UID eines bereits vorhandenen Kontos erstellen. (ID-19465)

• Das Gateway gibt Exchange 2007-Attribute jetzt korrekt zurück, wenn sie als Teil des getAllObjects()-Aufrufs an einen Active Directory-Adapter angefordert wurden. (ID-19492)

• Der AIX-Adapter löscht nicht mehr alle Gruppenmitglieder, wenn eine Aktualisierung mit ungültigen Benutzern stattfindet. (ID-19516)

• Ein Problem wurde behoben, das beim Löschen der Primärgruppe eines Benutzers bei Red Hat und AIX aufgetreten ist. Wenn die Ressource einen Ausnahmefehler ausgibt und das Löschen der Gruppe fehlschlägt, meldete die Administratorbenutzeroberfläche dennoch einen Erfolg. Der Fehler wird jetzt korrekt gemeldet. (ID-19520)

• Identity Manager interpretiert den Fehlercode, der von Red Hat Enterprise Linux 5 zurückgegeben wird, wenn ein Benutzer einer nicht existenten Gruppe zugewiesen wird, jetzt korrekt. (ID-19523)

• Der non-root-Zugriff über SSH vom Shellscript-Adapter funktioniert jetzt korrekt. (ID-19583)

• Das Verwenden von ExcludedAccountsRule für Aktualisierungen von Vorgängen führt nicht mehr zu einer Null-AccountID. (ID-19585)

• Das Verwenden von für LDAP vorbehaltenen Zeichen wie z. B. dem Sternchen (*) für die LDAP-Authentifizierung sperrt nicht mehr alle LDAP-Benutzer. (ID-19588)

• Der AIX-Ressourcenadapter aktualisiert Sekundärgruppenlisten jetzt korrekt. (ID-19628)

• Der Oracle-Ressourcenadapter ermöglicht Ihnen jetzt das Verwenden von Fragezeichen (?) und geschweiften Klammern ({ }) in einem Kontopasswort. (ID-19653)

• Der SecurId ACE Server for Windows-Adapter wurde erweitert, so dass der Adapter jetzt bestätigt, dass sowohl die Gateway- als auch die unterstützende SecurId-Umgebung auf Arbeitsanfragen reagieren. (ID-19667)

• Eine vollständige Abstimmung ändert den Konto deaktiviert-Status jetzt korrigiert. Der LDAP-Ressourcenadapter prüft jetzt den Konto deaktiviert-Status während einer Abstimmung. (ID-19708)

• Wenn Sie jetzt einen Benutzer mit einer ungültigen Anmelde-Shell für NIS-Ressources erstellen oder bearbeiten, tritt ein Fehler auf. (ID-19755)

• Identity Manager verliert beim Ausführen einer Synchronisation keine Aktualisierungen im Active Directory mehr. (ID-19905)

• Der SiteminderLDAP-Kontostatus eines deaktivierten Benutzers wird bei Verwendung eines Benutzerformulars mit Registerkarten jetzt korrekt auf der Seite „Benutzer bearbeiten“ angezeigt. (ID-19931)

• Der Windows NT-Ressourcenadapter unterstützt keine groupType-Ressourcenobjekte mehr. (ID-19791)

• Der SecurId UNIX-Ressourcenadapter verarbeitet kommagetrennte Gruppenwerte jetzt korrekt. (ID-20152)

• Ein Administrator kann einem Benutzer im SecurId Windows-Adapter jetzt mehrere Gruppen und Clients zuordnen. (ID-20153)

• Die Steuerzeichen (0x00-0x1f, 0x7f) in einem Benutzerpasswort geben Fehlermeldungen für Linux-, AIX-, Solaris-, HPUX- und ShellScript-Ressourcenadapter aus. (ID-20174)

Rollen

• Eine enthaltene Rolle muss jetzt aus den Rollen entfernt werden, denen sie zugewiesen ist, bevor sie gelöscht werden kann. (ID-18981)

• Ein Problem, das verhinderte, dass Systementwickler Rollen in der Identity Manager IDE speichern und importieren konnten, wurde behoben. (ID-19036)

• Ein Problem, das dazu führte, dass Identity Manager unter JDK 1.6 keine Rollen zuweisen konnte, die einer Geschäftsrolle zugewiesen waren, wurde behoben. Ein Symptom dieses Problems war, dass Identity Manager eine Geschäftsrolle als eine IT-Rolle identifizierte, nachdem die Geschäftsrolle zugewiesen wurde. Dieses Problem war auf JDK 1.6 beschränkt. (ID-19086)

• Ein Problem, bei dem der SPML-Viewer eine „ClassCastException“-Fehlermeldung ausgab, wenn beim Bearbeiten einer Rolle ein „ResourceAttribute“-Wert auf einen String-Wert gesetzt wird, wurde behoben. (ID-19177)

• Ein Problem, das verhinderte, dass Rollen Benutzern über benutzerdefinierte Benutzerformulare zugewiesen werden können, wurde behoben. Das Problem trat auf, wenn Rollen mithilfe von nicht aktualisierbaren UI-Komponenten (z. B. einem Textfeld) zugewiesen wurden. (ID-19241)

• Die folgenden Funktionen arbeiten jetzt für Benutzer mit dynamischen Admin-Rollen korrekt: (ID-19456)

  • Abbrechen von Genehmigungen

  • Anzeigen des Verlaufs eines Arbeitselements

  • Ausführen eines Berichts

• „RoleAttribute“-Listenwerte werden jetzt korrekt ausgeführt. (ID-19981)

Service Provider

• Ein Problem, das auftrat, wenn Identity Manager Service Provider zum Verwenden des Attributs organization konfiguriert ist, wurde behoben. Ein Identity Manager-Administrator, der das oberste Element (Top) nicht steuert, war nicht in der Lage, die Service Provider-Endbenutzer zu aktualisieren und erhielt die folgende Fehlermeldung: „User must have a value for the 'org' attribute.“ (Benutzer muss einen Wert für das 'org'-Attribut angeben) (ID-18329)

Sitzungs-API

• Der API-Aufruf EmailUtil und die Methode sendEmailToAddress() verarbeiten jetzt eine null HTTP-Anforderung, die als Argumente an den Aufruf übergeben wurden. Die Methode prüft jetzt auf den null-Fall, wenn das Gebietsschema der HTTP-Anforderung ermittelt wird und wechselt standardmäßig zum geeigneten Gebietsschema, ohne eine NullPointerException-Fehlermeldung auszugeben. (ID-17755)

Synchronisation

• Wenn ein Server, der eine „Active Sync“-Aufgabe für eine Ressource mit dem Startup-Typ „Automatisch mit Failover“ ausführt, nicht in der Lage ist, eine Verbindung mit dem Identity Manager-Repository herzustellen, fragt die Aufgabe die Ressource nicht nach Änderungen ab. Wenn die „Active Sync“-Aufgabe zu einem späteren geplanten Abfragezeitpunkt eine Verbindung mit dem Repository herstellen kann, wird sie beendet, wenn bereits eine andere „Active Sync“-Aufgabe für diese Ressource auf einem anderen Identity Manager-Server im Cluster gestartet wurde. (ID-19452)

Ansichten

• Wenn das Attribut SystemConfiguration mit der Bezeichnung ProvisioningDisabledUserShouldThrow auf „true“ gesetzt ist, wird jeder Versuch der Bereitstellung eines deaktivierten Benutzers für eine Ressource verhindert und eine Fehlermeldung erzeugt. Ist das Attribut nicht auf „true“ gesetzt, wird die Bereitstellung weiterhin verhindert, aber es wird keine Fehlermeldung erzeugt. (ID-19433)

Weitere behobene Probleme

17055, 18242, 19019, 19065, 19244, 19288, 19651, 20352