Neue Funktionen in dieser Version

In diesem Abschnitt finden Sie zusätzliche Informationen zu den neuen Funktionen in Identity Manager 8.1. Die Informationen sind in die folgenden Abschnitte unterteilt:

• Suns neuer Patch-Prozess

• Hauptfunktionen

• Administrator- und Endbenutzeroberflächen

• Massenvorgänge

• Delegierungen

• Dokumentation

• Installation und Aufrüstung

• Passwortsynchronisation

• Leistung

• Richtlinie

• Berichte

• Repository

• Ressourcenadapter

• Rollen

• Sicherheit

• Service Provider

• Aufgaben

Suns neuer Patch-Prozess

Ab der Version Product_IDMgr; 7.1 Update 1 werden Updates mit Korrekturen für schwerwiegende und kritische Probleme, die von Kunden gemeldet wurden, über einen Patch-Prozess bereitgestellt. Dieser löst den älteren Hotfix-Prozess ab.

Patches werden in einem 6-Wochen-Turnus entwickelt, getestet und veröffentlicht. Die Patches verfügen über ein Installationsprogramm mit grafischer Oberfläche, können aber auch manuell über die Befehlszeile installiert werden. Sie aktualisieren die Dateien in /WEB-INF/lib. Installationsanweisungen für einen Patch sind in den dazugehörigen Versionshinweisen (PDF-Datei) enthalten. Falls Korrekturen an den Gateway- oder Password-Sync-Komponenten erforderlich sind, wird dies ebenfalls in den Versionshinweisen beschrieben. In diesem Fall muss die entsprechende Aktualisierung bei der Patch-Installation vorgenommen werden.

Die Identity Manager-Patches sind kumulativ, d. h. es sind weniger Probleme mit einzelnen Fehlerkorrekturen zu erwarten. Wenn Sie eine Haupt- oder Nebenversion installieren oder darauf aufrüsten, sollten Sie gleichzeitig den neuesten Patch einspielen. Wenn Sie z. B. die Version 8.1 installieren (oder darauf aufrüsten) möchten und dafür der Patch 3 zur Verfügung steht, sollten Sie diesen installieren, nachdem Sie die Version 8.1 installiert haben. In diesem Fall müssen Sie die Patches 1 und 2 nicht gesondert installieren, da der Patch 3 alle darin enthaltenen Funktionen und Korrekturen bereits enthält.

Mit dem Patch-Prozess wird es auch einfacher, den Status einer Fehlerkorrektur über die dazugehörige Fehlernummer zu verfolgen. Dennoch kann es vorkommen, dass eine Korrektur aus einer älteren Version in einer neueren Version noch nicht verfügbar ist. Unabhängig von dem Prozess, den Ihre aktuelle Identity Manager-Version verwendet, müssen Sie sich daher immer vergewissern, dass die neue Zielversion von Identity Manager alle Korrekturen enthält, die Sie benötigen.

Bei der Veröffentlichung eines neuen Patches wird der gesamte Kundendienst/Support darüber informiert. Alle Patches stehen über den Kundendienst zur Verfügung. Um den jeweils neuesten Patch zu erhalten, wenden Sie sich bitte an den Sun Kundendienst unter http://www.sun.com/service/online/us.

Hauptfunktionen

Identity Manager 8.1 bietet die folgenden neuen Hauptfunktionen:

• Externe Ressourcenverwaltung

• Konnektoren

• Integration von Sun Role Manager

• Java Management Extensions (JMX)

• Pluggable Security (AES)-Unterstützung

• XML Digital Signature (XML-DSig)

• SPML

Externe Ressourcenverwaltung

Dieses Merkmal bietet Identity Manager die Funktionen zum Verwalten der Bereitstellung und Überwachung von Anwendungen im Unternehmen, die nicht direkt über einen Ressourcenadapter mit Identity Manager verbunden sind. Hierzu gehören nicht-digitale externe Ressourcen wie Laptops, Mobiltelefone und Sicherheitsetiketten. Die Bereitstellung externer Ressourcen über Identity Manager führt dazu, dass mindestens ein Bereitsteller per E-Mail oder über Remedy Help Desk 6.3-Benachrichtigungen informiert wird.

Konnektoren

Das Connector Framework bietet einen neuen Weg, Identity Manager über einen Konnektor mit Zielanwendungen zu verbinden. Identity-Konnektoren und das Framework sind Teil einer Open Source-Initiative, die einen generischen und konsistenten Weg zur Bereitstellung von Ressourcen mit Identity Manager bieten. Konnektoren wurden vom Identity Manager-Hauptserver abgekoppelt, wodurch sie unabhängig von Identity Manager-Builds veröffentlicht werden können. Neben der Open Source-Projektwebsite, von der zusätzliche Konnektoren heruntergeladen werden können, wird Identity Manager mit den folgenden unterstützten Konnektoren ausgeliefert:

• Microsoft Active Directory 2003 und 2008

• SPML 2.0

Weitere Informationen finden Sie auf der Open Source-Projektwebsite unter https://identityconnectors.dev.java.net/.

Weitere Konnektoren werden in naher Zukunft hinzugefügt.

Integration von Sun Role Manager

Diese Integration konzentriert sich auf die Sun Role Manager-Versionen 4.1.3 und höher. Identity Manager-Formulare können jetzt direkt Role Manager-Webdienste aufrufen, um Benutzer zu informieren und Rollenvorgänge an Benutzern aufzurufen. Der Identity Manager Data Exporter gestattet Role Manager bereits das Abrufen von Identity Manager-Benutzern und -Rollen; die neueste Version 8.1 von Data Exporter bietet jetzt zusätzlich:

• Kapazitätsinformationen, die ein besseres User Mining ermöglichen.

• Ressourcenschema, dass in künftigen Sun Role Manager-Versionen weiterverwendet wird.

Java Management Extensions (JMX)

Identity Manager verwendet JMX MBeans, um Leistungsdaten für die Vorgänge „List“ (Auflisten), „Create“ (Erstellen), „Get“ (Abrufen), „Modify“ (Ändern), „Delete“ (Löschen) und „Authenticate“ (Authentifizieren) bereitzustellen. Die folgenden Daten werden gesammelt:

• Anzahl der Vorgänge

• Durchschnittszeit pro Vorgang

• Mindestzeit pro Vorgang

• Höchstzeit pro Vorgang

• Startzeit der Datensammlung

• Ressourcenadapter-Klasse und -Version

Pluggable Security (AES)-Unterstützung

Identity Manager unterstützt den Advanced Encryption Standard. AES ist eine symmetrische Verschlüsselungstechnik, die anstelle des Data Encryption Standard (DES) verwendet werden kann. AES wird im Allgemeinen in Regierungsanwendungen zum Schützen von Daten verwendet.

XML Digital Signature (XML-DSig)

Diese Funktion bietet einen standardmäßigen, nicht zurückweisbaren Mechanismus, der die W3C XML Signature-Syntax und Verarbeitungsweise (XMLDSig) verwendet. Mit dieser Verbesserung können Arbeitselement-Genehmigungen in einem XMLDSig-Format erstellt, gespeichert und angezeigt werden. Dieses Format gestattet optional die Verwendung von RFC 3161–konformen Zeitmarken.

SPML

Die Unterstützung für SPML2.0 wurde erweitert. Identity Manager unterstützt jetzt Suchfunktionen. Darüber hinaus wird jetzt ein Überwachungsprotokoll unterstützt.

Administrator- und Endbenutzeroberflächen

• Die Benutzeroberflächenelemente „Checkbox“, „Label“, „Radio“, „Select“, „Text“, „TextArea“ und „Container“ wurden aktualisiert. Benutzerdefinierte CSS-Stile werden jetzt korrekt dargestellt. Zuvor hat lediglich das Element „Button“ benutzerdefinierte Stile korrekt dargestellt. (ID-15025)

• Sie können benutzerdefinierte Klassen jetzt auf der Seite „Debug Traces“ konfigurieren. (ID-15490)

• Das Auswählen eines oder mehrerer Benutzer und das anschließende Wechseln zur nächsten Seite führt nicht mehr dazu, dass die Auswahl aufgehoben wird, wenn Sie eine Aktion an mehreren Benutzern ausführen. (ID-15529)

• Auf der Anmeldeseite werden nicht mehr Leerzeichen aus den Feldern für die Passworteingabe entfernt, wenn Sie noTrim='true' im XML-Element AuthnProperty Name='='password' festlegen. Sie können die Einstellung noTrim='true' für beliebige andere AuthnProperty-Elemente verwenden. (ID-16434)

• Die Größe des Bildes für „Weitere Informationen“ kann jetzt im Stylesheet customStyle.css konfiguriert werden. (ID-17360)

• Die Versionsinformationen, die in der Administratorbenutzeroberfläche angezeigt wurden, wenn der Mauszeiger über die Hilfe-Schaltfläche gehalten wird, können jetzt durch Hinzufügen eines neuen benutzerdefinierten Nachrichtenkatalogschlüssels UI_VERSION deaktiviert werden. Richten Sie einen Wert mit einer leeren Zeichenfolge in einem benutzerdefinierten Nachrichtenkatalog ein. (ID-17507)

• Die Seite „Endbenutzer-Bedienfeld“ (Startseite) zeigt jetzt den vollständigen Namen des Benutzers anstelle der Konto-ID an. Diese Einstellung kann in dem Formular „Endbenutzer-Bedienfeld“ anstatt durch das Ändern einer JSP angepasst werden. (ID-19006)

• Sie können jetzt eine ID-Liste mit der Bezeichnung saveNoValidateAllowedFormsAndWorkflows im Attribut „security“ des Systemkonfigurationsobjekts einrichten. Wenn dieses Attribut vorhanden ist, gestattet Identity Manager nur die Verarbeitung von Formularen und Arbeitsabläufen als eine SaveNoValidate-Aktion. Alle sonstigen Formulare und Arbeitsabläufe werden als eine „Save“-Aktion verarbeitet. Ist diese Liste nicht vorhanden, bleibt das Verhalten für alle Formulare und Arbeitsabläufe gleich (das heißt, alle Formulare und Arbeitsabläufe werden als SaveNoValidate verarbeitet). (ID-19115)

Massenvorgänge

• Massenvorgänge können jetzt für Benutzer mit mehreren Konten auf einer Ressource bereitgestellt werden. (ID-13160)

• Es wurde eine Funktion hinzugefügt, um die Zuweisung oder eine Verbindung eines Kontos (mithilfe von Massenvorgängen) von einer Ressource aufzuheben, die als „schreibgeschützt“ konfiguriert wurde (alle Ressourcenfunktionen, die das Aktualisieren von Konten gestatten, werden deaktiviert). Beachten Sie, dass dies nur mithilfe von Massenvorgängen möglich ist. In früheren Versionen führte ein Versuch zum Aufheben einer Zuweisung/Trennung eines Kontos von einer schreibgeschützten Ressource zu einer Fehlermeldung, in der darauf hingewiesen wurde, dass die Ressource nicht existiert. (ID–19048)

Delegierungen

• Der Seite der Genehmigungsarbeitselemente wurde eine Option hinzugefügt, mit der Zeitüberschreitungen der Seite verhindert werden sollen. (ID-18544) Die Seite approval.jsp akzeptiert jetzt die folgenden Eigenschaften:

  • Paging. Wenn vorhanden, ermöglicht diese Eigenschaft das Paging.

  • MaxRows. Die Anzahl an Zeilen, die auf jeder Seite angezeigt werden

  • orderBy. Ein Sortierparameter

  Ändern Sie das Formular „WorkItemList“ durch Hinzufügen der folgenden Felder:

  <Field name='PagingButtons'>
     <Display class='ButtonRow'>
        <Property name='align' value='right'/>
     </Display>
     <Disable>
        <not>
           <ref>viewOptions.Paging</ref>
        </not>
     </Disable>
     <Field name='action'>
        <Display class='Button'>
           <Property name='command' value='Recalculate'/>
           <Property name='label' value='&lt;&lt;'/>
           <Property name='value' value='first'/>
        </Display>
     </Field>
     <Field name='action'>
        <Display class='Button'>
           <Property name='command' value='Recalculate'/>
           <Property name='label' value='&lt;'/>
           <Property name='value' value='previous'/>
        </Display>
     </Field>
     <Field name='action'>
        <Display class='Button'>
           <Property name='command' value='Recalculate'/>
           <Property name='label' value='&gt;'/>
           <Property name='value' value='next'/>
        </Display>
     </Field>
     <Field name='action'>
        <Display class='Button'>
           <Property name='command' value='Recalculate'/>
           <Property name='label' value='&gt;&gt;'/>
           <Property name='value' value='last'/>
        </Display>
     </Field>
  </Field>

• Der Arbeitsablaufvorgang „Multi Approval“ (Mehrfachgenehmigung) wurde verbessert und unterstützt jetzt die automatische Umwandlung einer Liste der approvers (Genehmiger) zu einer Liste der approverObjects (Genehmigerobjekte), die zum Erzeugen von Genehmigungsarbeitselementen verwendet werden. (ID-19238)

Dokumentation

• Die Sun Identity Manager-Dokumentation wurden neu strukturiert. Im Wesentlichen wurden die folgenden Änderungen vorgenommen:

  • Das Handbuch Administration wurde auf zwei neue Handbücher aufgeteilt: das Handbuch Business Administrator's Guide und das Handbuch System Administrator's Guide

  • Die Inhalte des Handbuchs Tuning, Troubleshooting, and Error Messages wurden in das neue Handbuch System Administrator's Guide verschoben

  • Die SPML-Kapitel im Handbuch Deployment Tools befinden sich jetzt im neuen Handbuch Web Services Guide und das Handbuch Deployment Tools wurde aus der Dokumentation gestrichen

  • Das Handbuch Technical Deployment Overview wurde umbenannt zu Deployment Guide

  • Das Handbuch Workflows, Forms, and Views wurde umbenannt zu Deployment Reference

  • Der Dokumentationssatz enthält einen neuen Titel: Sun Identity Manager Overview

  Eine vollständige Liste der Sun Identity Manager-Titel finden Sie im Vorwort unter „Verwandte Dokumentation“.

• Korrekturen und Aktualisierungen an den Sun Identity Manager-Veröffentlichungen werden jetzt auf der Identity Manager Documentation Updates-Website bekannt gegeben:

  http://blogs.sun.com/idmdocupdates/

  Mit einem RSS Feed Reader kann die Website regelmäßig abgefragt und festgestellt werden, ob Aktualisierungen verfügbar sind. Um diesen Dienst zu abonnieren, laden Sie einen Feed Reader herunter und klicken auf einen Link unter „Feeds“ rechts auf der Website. Ab Version 8.0 sind separate Feeds für jede Hauptversion verfügbar.

Installation und Aufrüstung

• Die Skripten zur Datenbankaktualisierung fügen einen Index zur Spalte ownerId der Kontentabelle hinzu. Bei der Aktualisierung einer Installation mit vielen Konten dauert die Verarbeitung des Datenbankaktualisierungsskripts sehr lange, da die Erstellung eines neuen Index einer großen Tabelle viel Zeit in Anspruch nimmt. (ID-19314)

• Ein Problem mit Speicherüberlauf-Ausnahmefehlern während Aufrüstungen wurde behoben. Zuvor wurde bei Aufrüstungen die maximale Java VM-Heap-Größe mit 256 MB festkodiert. Dieser festkodierte Wert wurde gelöscht. (ID-19407)

  Jetzt kann die Umgebungsvariable JAVA_OPTS auf einen benutzerdefinierten Wert gesetzt werden. Ist kein Wert angegeben, wird der Standardwert 1024 MB verwendet.

  Zum Definieren einer maximalen Heap-Größe setzen Sie die Umgebungsvariable JAVA_OPTS mithilfe des Formulars —Xmx=HeapSize, dabei ist HeapSize ein Wert, z. B. 512 m. Ein Beispiel ist -Xmx512m.

Passwortsynchronisation

• Von der Passwortsynchronisation gesendete E-Mail-Benachrichtigungen verwenden jetzt die UTF-8-Verschlüsselung für den Absendernamen, den Betreff und den E-Mail-Text. Alle anderen Header-Teile werden in normalem ASCII kodiert, wie es in den E-Mail-RFCs verlangt wird. (ID-14120)

  Beachten Sie bitte, dass E-Mail-Benachrichtigungen, in denen nicht standardmäßige ASCII-Zeichen verwendet werden, nicht in allen E-Mail-Clients und unter allen Betriebssystemen korrekt dargestellt werden.

• Passwörter mit Leerzeichen werden jetzt korrekt verschlüsselt und entschlüsselt. (ID-17670)

  Wenn Sie von 8.0 über 8.0.0.2 oder 7.1.1 über 7.1.1.7 oder früher auf 7.1 aktualisieren, müssen Sie alle Instanzen von PasswordSync und die Gateways neu installieren.

• PasswordSync unterstützt jetzt Windows Server 2008 (32- und 64-Bit-Versionen). (ID-18342)

• Der Windows-Registrierungsdatei und der grafischen Benutzeroberfläche des Installationsprogramms wurden zwei neue Einstellungen hinzugefügt, um eine Konfiguration des Zertifikatsverhaltens in PasswordSync zu ermöglichen. Diese Einstellungen ersetzen die veralteten Registrierungsdatei-Einstellungen clientSecurityFlags und clientConnectionFlags. (ID-19140)

  securityIgnoreCertRevoke. Wenn diese Einstellung auf 1 gesetzt ist, werden Fehler bei der Rücknahme von Zertifikaten ignoriert.

  securityAllowInvalidCert. Wenn diese Einstellung auf 1 gesetzt ist, erlauben fehlgeschlagene Zertifikate Sicherheitsprüfungen.

• Die internen Prüfungen von PasswordSync wurden erweitert, um vor ungültigen Werten zu schützen, die im Rahmen einer Passwortänderung übergeben werden. Diese Werte könnten zu einem Systemabsturz führen. (ID-19291)

• Das PasswordSync-Installationsprogramm wurde verbessert, so dass es jetzt die Aufzeichnung von Konfigurationsparametern während einer Installation in einer Datei ermöglicht. Spätere Installationen können die Angaben in dieser Datei nutzen und die Konfigurationseinstellungen wiedergeben. Auf diese Weite können spätere PasswordSync-Installationen ohne weiteren Benutzereingriff installiert und konfiguriert werden. (ID-19311)

Leistung

• Beim Zugriff auf den Authentifizierungscache treten keine gegenseitigen Sperren (Deadlocks) mehr auf. (ID-16926)

• Die Leistung der Seiten „Benutzer erstellen“ und „Benutzer bearbeiten“ wurde verbessert. (ID-17066)

  Standardmäßig prüft Identity Manager nicht mehr alle Benutzer in einer Organisation, bevor festgestellt wird, ob ein Administrator über die erforderlichen Rechte und Berechtigungen verfügt, ein Arbeitselement an einen Benutzer zu delegieren. Um das vorherige Standardverhalten wiederherzustellen, fügen Sie die folgende Anweisung zur Datei account/modify.jsp hinzu.

  req.setOption(DelegateWorkItemsViewer.OP_CALL_DELEGATORS_AVAILABLE_USERS,"true");

  Wenn OP_CALL_DELEGATORS_AVAILABLE_USERS im DelegateWorkItemsViewer auf „true“ gesetzt ist, führt Identity Manager einen Suchlauf über alle Benutzer durch, um festzustellen, ob der Administrator über die erforderlichen Rechte zum Anzeigen der Benutzer verfügt.

• Bei einem Benutzer mit einer Administratorrolle, die über eine dynamische Regel zugewiesen wird, übergibt der Benutzerkontext jetzt ein Argument während der Anmeldung. (ID-17964)

• Die Leistung während Anmeldevorgängen bei der Benutzeroberfläche von Identity Manager wurde verbessert, wenn zugewiesene Ressourcen über ein anderes zugewiesenes Anzeigenamen-Attribut als die definierte Konto-ID verfügen. (ID-18885)

Richtlinie

• Die Next-Passwortrichtlinie wurde hinzugefügt. Mit dieser Richtlinie gilt: Antwortet der Benutzer falsch, zeigt Identity Manager die jeweils nächste Frage an, bis der Benutzer eine Authentifizierungsfrage korrekt beantwortet und einloggen kann oder aufgrund des Grenzwertes für fehlgeschlagene Versuche gesperrt wird. (ID-17307)

Berichte

• Die Inhalte des Zusammenfassungsberichts „Violation State of Violation“ (Status des Verstoßes) können jetzt lokalisiert werden. (ID-17011, 17042)

• Berichte können jetzt sowohl im Quer- als auch im Hochformat erstellt werden. Darüber hinaus kann die Seitengröße als US-Legal und als Standard-US-Letter festgelegt werden. (ID-17649)

Repository

• Identity Manager unterstützt jetzt MySQL 5.0.60SP1 Enterprise Server als ein Produktionsrepository. (ID-17735, ID-19703)

• Sie können jetzt MySQL 5.1.30 Enterprise Server als Ihr Identity Manager-Produktionsrepository verwenden, aber Sie müssen Ihre my.cnf-Datei ändern. Aufgrund von Änderungen am InnoDB-Code von MySQLs lautet das standardmäßige Binärprotokollformat jetzt STATEMENT. Identity Manager verwendet eine READ-COMMITTED-Transaktionsisolationsebene, daher erzeugt die Binärprotokollierung im STATEMENT-Modus eine Fehlermeldung ähnlich der Folgenden: (ID-20460)

  com.waveset.util.IOException: java.sql.SQLException: Binary logging not possible. Message: Transaction level 'READ-COMMITTED' in InnoDB is not safe for binlog mode 'STATEMENT'

  Wenn Sie die Binärprotokollierung aktivieren, setzen Sie den Modus auf MIXED, indem Sie die folgende Zeile zu Ihrer my.cnf-Datei hinzufügen:

  binlog_format=mixed

  Mit dieser Konfigurationsänderung können Sie 5.1.30 als Ihr Repository ohne die Ausnahme für die Binärprotokollierung verwenden. Weitere Informationen finden Sie unter MySQL-Fehlernummer 40360.

• Das Identity Manager-Repository wurde überarbeitet, um den MySQL-Defekt 9021 zu umgehen. Der MysqlDataStore des Repository erzeugt jetzt für jeden Attributzustand ein separates, benanntes JOIN. (Zuvor verwendete der MysqlDataStore in einigen Fällen SUBSELECTs und das EXISTS-Prädikat.) (ID-15636)

• Die Nutzungsausgabe des Befehls setRepo wurde aktualisiert. Die Nutzung führt jetzt -o als eine Option auf und erklärt, dass -o erzwingt, dass setRepo keine Initialisierungsprüfung am neuen Repository-Speicherort durchführt. Darüber hinaus zeigt die Nutzung jetzt die Flags -U und -P in Beispielen von direkten JDBC-Verbindungen an. (ID-19475)

Ressourcenadapter

• Netegrity SiteMinder 6.0 wird jetzt unterstützt. Für die ordnungsgemäße Funktion des Adapters müssen PolicyServer und WebAgent für SiteMinder korrekt konfiguriert sein. (ID-6478)

• Der Active Directory-Ressourcenadapter bietet jetzt ein Home Directory Rights-Ressourcenattribut, das die Vererbung der Berechtigungen und die Berechtigungsstufe für das Home-Verzeichnis steuert. Der Vorgabewert beträgt 0. Der Wert 0 gibt an, dass keine Rechte übernommen werden, und dass die Benutzerberechtigungen FULL umfassen. Der Wert 1 gibt an, dass Rechte übernommen werden, und dass die Benutzerberechtigungen FULL umfassen. Der Wert 2 gibt an, dass keine Rechte übernommen werden, und dass die Benutzerberechtigungen MODIFY umfassen. Der Wert 3 gibt an, dass Rechte übernommen werden, und dass die Benutzerberechtigungen MODIFY umfassen. MODIFY umfasst die folgenden Rechte: FILE_GENERIC_WRITE, FILE_GENERIC_READ, FILE_EXECUTE und DELETE. (ID-12881, 19706)

• Der Datenbanktabellen-Ressourcenadapter kann jetzt eine Datenbankspalte verarbeiten, die dem Attribut „accountId“ zugeordnet ist und den Datentyp „Integer“ aufweist. (ID-13362)

• Der LDAP-Ressourcenadapter synchronisiert jetzt Einträge ausschließlich unter den vordefinierten Basiskontexten. (ID-15389)

• Dem LDAP-Ressourcenadapter wurde der Ressourcenparameter „Respect resource password policy change-after-reset“ (Ressourcen-Passwortrichtlinie 'Änderung nach einem Reset' beachten) hinzugefügt. Ist diese Option aktiviert, diese Ressource in einem Anmeldemodul angegeben und die Passwortrichtlinie der Ressource für eine „Änderung nach einem Reset“ definiert, muss ein Benutzer, dessen Ressourcenkonto-Passwort von administrativer Seite zurückgesetzt wurde, sein Passwort nach erfolgreicher Authentifizierung ändern. (ID-16255)

  In dieser Version ist dieses Verhalten nur für die LDAP-Server verfügbar, die die (unaufgeforderte) Reaktion „Netscape Password Expired“ (Netscape-Passwort nicht mehr gültig) (OID 2.16.840.1.113730.3.4.4) mit einer Reaktion über einen erfolgreichen Bind-Vorgang zurückgeben. Die Kombination aus einem erfolgreichen Bind-Versuch und der Steuerung wird so gedeutet, dass das Benutzerpasswort von administrativer Seite zurückgesetzt wurde und geändert werden muss. Ein LDAP-Server, der die Passwortrichtlinie „Änderung nach einem Reset“ implementiert, gestattet einen Benutzer mit einem erfolgreich authentifizierten und zurückgesetzten Passwort lediglich die Änderung des Passwortes. Jeder andere Vorgang wird zurückgewiesen.

  Außerdem gilt: da Identity Manager alle LDAP-Ressourcenvorgänge außer der „Pass-through-Authentication“ mit einem LDAP-Ressourcenadministratorkonto durchführt, betrachten bestimmte LDAP-Server jeden Änderungsversuch eines Benutzerpassworts als einen Reset-Vorgang durch einen Administrator und löschen den Status des Benutzerkontos nie. Zu diesen LDAP-Servern gehören:

  • Sun Java Systems Directory Server 5.x, der zur Verwendung von rootDN (in der Regel cn=directory manager) als Ressourcenadapter-Verbindungskonto konfiguriert wurde

  • Sun Java Systems Directory Server 5.2 mit passwordNonRootMayResetUserpwd:on .

  • Sun Java Systems Directory Server 6.0 und aktueller (einschließlich OpenDS)

• Der Domino-Ressourcenadapter unterstützt jetzt den ObjectType für die Bereitstellung von Gruppen und implementiert die ObjectFeatures „create“, „delete“, „list“, „rename“, „saveas“ sowie „update“. (ID-16422)

• Der SecurId-Ressourcenadapter unterstützt das Umbenennen von Konten. (ID-16517)

• Der SAP-Ressourcenadapter wurde aktualisiert. Die Verarbeitung des CUA ist jetzt stabiler. Mit den neuen Formularen und Codeänderungen können Benutzer von Identity Manager jetzt CUA-Untersysteme sowie Rollen und Profile für diese Untersysteme auf einer SAP-Benutzerbasis ändern. (ID-16819)

  Die Eigenschaften der Kontoattribute profiles und activityGroups wurden geändert. Beide Attribute weisen jetzt den Datentyp „complex“ auf. Das Attribut „profiles“ ist jetzt dem Ressourcen-Benutzerattribut PROFILES zugeordnet, während das Attribut activityGroups jetzt dem Ressourcen-Benutzerattribut ACTIVITYGROUPS zugeordnet ist.

  Laden Sie die Datei $WSHOME/web/sample/updateSAPforCUA.xml, um Ihre SAP-Ressourcenadapter mit diesen Änderungen zu aktualisieren. Diese Attribute sind in neuen SAP-Ressourcen enthalten, es sei denn, sie erstellen die Ressource durch Kopieren einer bereits vorhandenen Ressource, die nicht aktualisiert wurde.

• Identity Manager erfasst und fängt Domino-Fehler „denial-of-service“ ab. (ID-16911)

• Der WRQ Attachmate 3270 Mainframe Adapter für Sun wird jetzt unterstützt. Informationen zum Einrichten dieses Produkts finden Sie in der Ressourcenreferenz. (ID-17031)

• Linux-Ressourcen unterstützen die Verwendung von sudo zum Verwalten des Befehls /usr/bin/chage. (ID-17119)

• Unterstützung für Lotus Notes/Domino 8.0 hinzugefügt. (ID-17213)

• Der Scripted Gateway-Adapter unterstützt jetzt die Passwortsynchronisation. (ID-17813)

• Der Oracle ERP-Ressourcenadapter gestattet jetzt, dass EMPLOYEE_NUMBER sowohl alphabetische als auch numerische Zeichen enthält. (ID-18239)

• Der OS400-Ressourcenadapter unterstützt jetzt Sonderzeichen in Passwörtern. (ID-18412)

• Die Beispiel-Ausnahmeregeln „RACF Case Insensitive Excluded Resource Accounts“ und „RACF_LDAP Case Insensitive Excluded Resource Accounts“ wurden hinzugefügt. Sie sind in der Datei sample/wfresource.xml definiert.

• Der MySQL-Ressourcenadapter wurde so aktualisiert, dass er jetzt Einstellungen von JdbcResourceAdapter übernimmt. Vorhandene MySQL-Ressourcenattribute werden automatisch aktualisiert. (ID-18835)

• Der Windows NT-Ressourcenadapter wird wieder unterstützt. Es ist nicht mehr veraltet. (ID-19170)

• Der LDAP-Ressourcenadapter verfügt jetzt über einen neuen Konfigurationsparameter mit der Bezeichnung Use Paged Result Control. Wenn dieser Parameter aktiviert ist (standardmäßig deaktiviert), verwendet Identity Manager bei einer Abstimmung die Steuerung der ausgelagerten Ergebnisse (Paged Result Control) anstelle der VLV-Steuerung für den Konto-Iterator. Das Verwenden des Konfigurationsparameters Steuerung der ausgelagerten Ergebnisse verwenden verbessert die Leistung, sofern Ihr LDAP-Ressourcenadapter die einfache Paging-Steuerung unterstützt. (ID-19231)

• Dem SAP HR-Adapter wurde der Ressourcenparameter Aus SAP HR zu lesende Objekttypen hinzugefügt, um eine Verarbeitung von Unternehmens-IDOCs aus SAP HR zu ermöglichen. Hierbei handelt es sich um ein Attribut mit mehreren Werten, das derzeit die Werte „P“, „CP“, „S“, „C“ und „O“ unterstützt. (ID-19286)

• Der OracleERP-Ressourcenadapter unterstützt jetzt eine Option, die die Fähigkeit von Identity Manager zum Voranstellen der Benutzerschema-Kennung des Administrators (z. B. APPS) an die Namen der administrativen Oracle EBS-Tabellen unterdrückt (z. B. FND_USER, FND_VIEWS usw.). Diese Option wird über ein neues Ressourcenattribut mit dem Anzeigenamen „Schema-Bezeichner nicht verwenden“ und dem Standardwert FALSE bereitgestellt. Wenn Sie diesen Wert in TRUE ändern, kann der Adapter die Schema-Kennung den administrativen Tabellennamen nicht mehr voranstellen. (ID-19352)

• Der Active Directory-Adapter unterstützt jetzt die Objektklasse inetOrgPerson sowie weitere Objektklassen, die von der Benutzer-Objektklasse abgeleitet werden. (ID-19399)

• Dem LDAP-Adapter wurde der Parameter „LDAP-Gruppenmitgliedschaft aufrechterhalten“ hinzugefügt, mit dem gesteuert wird, ob Identity Manager oder die LDAP-Ressource dafür verantwortlich ist, eine LDAP-Gruppenmitgliedschaft aufrecht zu erhalten, wenn ein Benutzer umbenannt oder gelöscht wird. (ID-19463)

• Dem Shell Script-Ressourcenadapter wurde der Ressourcenparameter ERROR_CODE_LIMIT hinzugefügt. Mit diesem Parameter können Sie festlegen, welcher Rückgabecode ein Fehler ist. (ID-19858)

• Die SecurId-Adapter unterstützen jetzt die folgenden Funktionen: (ID-18665, 18671, 18672, 18673, 18676, 18677, 19726)

  • Bearbeiten des Vor- und Nachnamens des Benutzers sowie der Standard-Shell.

  • Abrufen aller gültigen ACE-Gruppen vom ACE-Server

  • Suchvorgänge in allen ACE-Gruppen und Rückgabe aller Benutzer in dieser Gruppe.

  • Abrufen einer Liste aller definierten ACE-Agenten vom ACE-Server.

  • Anzeigen aller Gruppen, die auf einem ACE-Agenten aktiviert sind.

  • Abrufen aller Administratoren und deren Admin-Ebene.

• Das Gateway unterstützt bei der Kommunikation mit dem Identity Manager-Server jetzt die AES-Verschlüsselung mit 128-Bit-, 192-Bit- und 256-Bit-Schlüsseln. (ID-19738)

Rollen

• Identity Manager erkennt jetzt die Zuweisung eines UserForm über eine Admin-Rolle, wenn die Admin-Rolle eine dynamische Organisation steuert und der Benutzer über die Seite „Benutzer suchen“ bearbeitet wurde. (ID-18028)

• Das optionale Argument noroleconfigurationupdate für RoleUpdater kann während Aktualisierungen angegeben werden, um die Bearbeitung des Objekts RoleConfiguration zu umgehen. Mit diesem Objekt wird angegeben, ob in einer Version vor 8.0 erstellte Rollen Benutzern direkt zugewiesen werden können. Setzen Sie diesen Wert auf „true“, um in den Test zu umgehen. So können Sie feststellen, ob diese Änderung erforderlich ist. (ID-18483)

• Die gesamte RoleAttribute-Logik ignoriert jetzt die Groß-/Kleinschreibung. (ID-18766)

• Bericht-Ergebnisse stehen jetzt für die Organisation und die Admin-Rollen eines Themas zur Verfügung. (ID-19736)

Sicherheit

• IDM 8.1 unterstützt jetzt mehrere neue Verschlüsselungsoptionen. (ID-16979, 17789)

  • Für die Verschlüsselung von Serververschlüsselungsschlüsseln wurde eine Unterstützung für PBE mit AES (ECB-Modus) unter Verwendung eines 256-Bit-Schlüssels hinzugefügt. Diese neue Option ähnelt der bestehenden PBE mit dem DES-Mechanismus, verwendet jedoch AES als zu Grunde liegende Verschlüsselung.

  • Für Daten im Repository und für Gateway-Kommunikationen wurde eine Unterstützung für AES mit 128-, 192- und 256-Bit-Schlüsseln (ECB-Modus) hinzugefügt.

  • Es wurden Änderungen an der Aufgabe „Serververschlüsselung verwalten“ vorgenommen, um diese neue Funktion unterstützen.

  Einige dieser neuen Optionen erfordern zusätzliche Installations- und/oder Konfigurationsschritte, die im Administratorhandbuch ausführlich beschrieben werden.

• Es wurde eine neue Authentifizierungsalternative „Wiederherstellung der Anmeldedaten“ zur Anmeldung mit Authentifizierungsabfrage „Passwort vergessen“ hinzugefügt. (ID-18052)

• Identity Manager unterstützt jetzt im XMLDSIG-Format signierte Genehmigungen. Zuvor wurden signierte Genehmigungen in einem Identity Manager-Überwachungsprotokoll in einem systemeigenen Format gespeichert. Durch diese Erweiterung können Genehmigungsdatensätze in einem XMLDSIG-kompatiblen Format gespeichert werden, das bessere Interoperabilität bietet. Außerdem ist es jetzt möglich, eine RFC 3161-konforme digitale Zeitmarke aufzunehmen, die von einer externen Zeitmarkenstelle ausgegeben wurde. (ID-19011)

• Bei aktivierter Passthrough-Authentifizierung arbeitet die Passwortänderungsfunktion jetzt korrekt, wenn das Ressourcen-Passwort eines Benutzers abgelaufen ist und die Identity Manager-Konto-ID und Ressourcenkonto-ID unterschiedlich sind. (ID-19218)

• Verschiedene Cross-Site Request Forgery (CSRF)-Anfälligkeiten wurden behoben. (ID-19280, 19659, 19660, 19661, 19683, 20072) Alle Anpassungen an den Dateien includes/headStartUser.jspund user/userHeader.jsp müssen manuell aktualisiert werden.

• Verbesserte Leistung für dynamische Organisationen. Die Datei Waveset.properties enthält jetzt mehrere Eigenschaften, mit denen festgelegt wird, wie regelgesteuerte Mitgliederlisten zwischengespeichert werden. (ID-19586)

Service Provider

• Sie können die Service Provider-Endbenutzerseiten jetzt konfigurieren, um für Ihre Server durchzusetzen, dass Seitenanforderungen stets mit HTTPS verarbeitet werden. (ID-18509)

Aufgaben

• Die „SourceAdapterTask“ kann jetzt von einem anderen Administrator als dem Configurator ausgeführt werden. (ID-15299) Um einen anderen Administrator anzugeben, fügen Sie dem Systemkonfigurationsobjekt Folgendes hinzu:

  <Attribute name='sources'>
     <Object>
        <Attribute name='hosts'/> <!-- any host is the default -->
        <Attribute name='subject' value='Configurator'/>
      </Object>
  </Attribute>