Kapitel 4 Bekannte Probleme

In diesem Abschnitt der Identity Manager 8.1-Versionshinweise finden Sie bekannte Probleme und Zwischenlösungen für die folgenden Themen;.

Die Informationen sind wie folgt unterteilt:

• Allgemein

• Überwachung

• Data Exporter

• Identity Manager Service Provider

• Lokalisierung

• Anmeldekonfiguration

• Organisationen

• PasswordSync

• Richtlinien und Fähigkeiten

• Abstimmen und Importieren von Benutzern

• Berichte

• Ressourcen

• Rollen

• SPML

• Sun Identity Manager Gateway

• Aufgaben

• Arbeitsabläufe, Formulare, Regeln und XPRESS

Allgemein

• Der Organisationsname, Administratorname, Kontoname, Name des Benutzerattributs (links in der Schemazuordnung) und die Aufgabennamen werden nicht auf ungültige Zeichen geprüft (ID-1145, 1206, 1679, 1734, 1767, 2413, 3331). In den Namen für diese Objekttypen sind folgende Zeichen nicht zulässig: ($), Komma (,), Punkt (.), Apostroph (’), Ampersand (&), linke eckige Klammer ([), rechte eckige Klammer (]) und Doppelpunkt.

• Das Kalenderobjekt ist nicht vollständig sichtbar, wenn große Schriftarten im Browser verwendet werden. (ID-2120).

• Das Kontrollkästchen „Alle auswählen“ auf der Seite für die Suchergebnisse und die Listenaufgabe wird nicht deaktiviert, wenn eines der Listenelemente deaktiviert ist (ID-5090). Das Kontrollkästchen „Alle auswählen“ wird während der sich ergebenden Aktion ignoriert, wenn nicht die Kontrollkästchen aller Listenelemente aktiviert sind.

• Um die Änderungen bei einem angepassten Meldungskatalog zu übernehmen, muss der Server neu gestartet werden. (ID-6792)

• Der derzeitige Mechanismus zur Ermittelung eines fehlgeschlagenen Servers geht davon aus, dass alle Systeme eines Identity Manager-Clusters bezüglich der Zeit synchronisiert sind. (ID-7064). Wenn bei dem Standardausfallintervall von fünf Minuten ein Server fünf Minuten lang nicht mit einem anderen Server synchron ist, deklariert der Server, der zeitlich voraus ist, den zeitlich nachstehenden Server für inaktiv, was unvorhersehbare Ergebnisse zur Folge haben kann.

  Zwischenlösung: Einrichtung einer besseren Zeitsynchronisation oder Erhöhung des Failoverintervalls.

• Wenn Sie sich unter Windows mit einem Benutzernamen mit Doppelbytezeichen anmelden und die Standardcodierung für den Computer nur Einzelbytezeichen unterstützt, müssen Sie die USER_JPI_PROFILE-Umgebungsvariable auf ein vorhandenes Verzeichnis setzen, dessen Name nur Einzelbytezeichen enthält. (ID-8540)

• Wenn Sie über das XML-Dateiformat eine Ressource in eine XML-Datei extrahieren und dann das CSV-Dateiformat in der Dropdown-Liste auswählen, wird die folgende Meldung angezeigt: (ID-10847)

  The form has already been submitted.

  Zwischenlösung: Um diese Meldung zu vermeiden, klicken Sie auf „Konten -> In Datei extrahieren -> Ressource wählen -> CSV-Dateiformat wählen“. Klicken Sie auf „Herunterladen“, um die Kontendetails der Ressource im Format .csv herunterzuladen.

• Wenn ein erweiterter Knoten weniger als eine Datenseite enthält und Sie vor dem ersten Datensatz auf der Seite für diesen Knoten ein neues untergeordnetes Element erstellen (z. B. einen Benutzer in der Organisation), fügt Identity Manager bei der nächsten Aktualisierung vor der aktuellen Seite eine Seite mit einem Element ein. (ID-12151)

  Zwischenlösung: Um die Seiten neu auszurichten, klicken Sie auf die Schaltfläche „Erste Seite“.

• Wenn Sie zum Ändern der Variable showSuperAndSubRoles von 0 auf 1 ein Rollenformular ändern und dann eine Objektdefinitionsdatei einer übergeordneten Rolle importieren, die untergeordnete Rollen von der Registerkarte „Konfigurieren“ enthält, werden diese untergeordneten Rollen nicht dahingehend geändert, dass sie den Abschnitt <SuperRoles> enthalten. Wenn Sie jedoch eine übergeordnete Rolle auf der grafischen Benutzeroberfläche von Identity Manager erstellen, werden die von dieser übergeordneten Rolle referenzierten untergeordneten Rollen aktualisiert. (ID-15053)

  Dieses Problem kann bei Rollen auftreten, die außerhalb von Identity Manager erstellt wurden und Referenzen zu vorhandenen Rollen (entweder untergeordnete oder übergeordnete Rollen) enthalten, die sich bereits auf dem System befinden.

  Beim Importieren dieser Rollen werden die Rollen, die sich bereits auf dem System befinden, nicht bezüglich der neuen Beziehungen aktualisiert; die Referenzintegrität ist somit nicht gewährleistet. Wenn Sie Rollen auf diese Weise importieren, prüfen und ggf. korrigieren Sie die Referenzintegrität mittels RoleUpdater.

  Zwischenlösung: Sie können Rollen außerhalb des Aufrüstungsprozesses aktualisieren, indem Sie die Datei RoleUpdater.xml unter sample/forms/RoleUpdater.xml neu importieren. Identity Manager fügt während der Aufrüstung oder beim Importieren von RoleUpdater.xml standardmäßig die Verknüpfungen für untergeordnete Rollen hinzu.

  Um diese neue Funktion zu deaktivieren, stellen Sie das RoleUpdater-Attribut nofixsubrolelinks auf true ein. Zum Beispiel:

  <MapEntry key='nofixsubrolelinks' value='true' />

• Wenn Sie Einstellungen in einem vorhandenen Änderungsprotokoll ändern, also z.-B. weitere Spaltenattribute hinzufügen, erscheinen diese Änderungen in einer bereits vorhandenen CSV-Änderungsprotokolldatei möglicherweise nicht. (ID-15973)

• Das Repositorykonfigurationsobjekt hat ein Attribut namens maxAttrValLength. Dieses Attribut hat immer den Wert 255 und wird ignoriert. (ID-16261)

• Prozessdiagramm-Applets sind auch in einer lokalisierten Identity Manager-Sitzung u. U. nicht vollständig lokalisiert (d.h. sie enthalten eine Mischung aus Englisch und Deutsch. (ID-16139)

• Für die Passwortsynchronisation im Direktmodus muss SimpleRpcHandler in der Datei web.xml konfiguriert sein. Standardmäßig steht diese Behandlungsroutine nicht als Behandlungsroutine für das rpcrouter2-Servlet zur Verfügung. (ID-16469) Wenn Sie die Passwortsynchronisation im Direktmodus verwenden wollen, stellen Sie die Initialisierungsparameter für die Behandlungsroutine folgendermaßen ein:

  <init-param>
     <param-name>handlers</param-name>
     <param-value>com.waveset.rpc.SimpleRpcHandler,
         com.waveset.rpc.PasswordSyncHandler</param-value>
  </init-param>

  Beachten Sie, dass SimpleRpcHandler bestimmte RemoteSession-Aufrufe stört. Konfigurieren Sie ein eigenes Servlet für die Abarbeitung von RemoteSession-Aufrufen, wenn Sie RemoteSession und die Passwortsynchronisation im Direktmodus verwenden wollen.

• Der Befehl „Konten > In Datei extrahieren“ speichert XML- und CSV-Dateien mit der Endung .dat (statt mit den korrekten Endungen .xml bzw. .csv. (ID-17521)

  Zwischenlösung: Sie können die gespeicherten Dateien manuell umbenennen und ihnen die passende Endung geben.

• Auf der Seite „Qualitätsrichtlinie für die Zeichenfolge“ wird Text in vertikalen Linien angezeigt. (ID-18551)

• Rollentyp-Delegierungen haben Vorrang vor Rollengenehmigungs-Delegierungen für eine bestimmte Rolle. (ID-18559)

  Wenn Sie z. B. künftige Rollen-Arbeitselemente für bestimmte Rollen an Benutzer 1 delegieren, alle Geschäftsrollen-Arbeitselemente aber an Benutzer 2, so werden auch Genehmigungen für die Rollen aus der ersten Delegierung an Benutzer 2 (und nicht an Benutzer 1) delegiert.

  Das Szenario ist also wie folgt:

  • Sie delegieren die Rollengenehmigung für die Geschäftsrolle 1 an Benutzer 1.

  • Sie delegieren die Rollengenehmigung für Geschäftsrollen allgemein an Benutzer 2.

  Alle Anforderungen bezüglich der Genehmigung einer Geschäftsrolle für einen Benutzer werden in diesem Fall an Benutzer 2 delegiert.

• Beim Aktivieren einer Rolle hat der Benutzer keine Möglichkeit, die zugewiesenen Rollen zu aktualisieren. (ID-18647)

  Zwischenlösung: Aktualisieren Sie die zugewiesenen Benutzer manuell oder über die Seiten „Rollen auflisten“ bzw. „Rollen finden“.

• Rollen, die in anderen Rollen enthalten sind, können Benutzern nun bedingt zugewiesen werden, wenn die übergeordnete Rolle zugewiesen wird. Beim Bearbeiten der übergeordneten Rolle kann eine Bedingung für die Verknüpfung zwischen der übergeordneten und der enthaltenen Rolle festgelegt werden. Diese Bedingung kann auch auf eine Regel verweisen. Wenn eine Regel verwendet wird, müssen alle für ihre Auswertung erforderlichen Benutzeransicht-Attribute als Argumente übergeben werden. (ID-18734)

• Das Aufrüsten von Identity Manager 7.x auf Identity Manager 8.0 schlägt fehl, wenn das Repository MySQL ist und in die 7.x-Installation über konfigurierte Rollenobjekte verfügt. Dieses Problem tritt auf, wenn das „upgradeto80from71.mysql“-Skript ausgeführt wird. Beim Ausführen dieses Skript weisen die Spalten in der alten Objekttabelle, die die 7.x -Rollen enthält, und in der neuen Rollentabelle eine unterschiedlicher Reihenfolge auf. (ID-18874)

• Der verwendete Data-Warehouse-Meldungskatalog (WICMessages.properties) richtet sich nach dem Gebietsschema des Servers, nicht dem des Benutzers. Wenn ein Anwendungsserver z. B. unter dem Gebietsschema „Japanisch“ läuft, werden die Abfrageattribute auf Japanisch angezeigt, auch wenn die Benutzeroberfläche normalerweise auf „Englisch“ oder einer anderen Sprache angezeigt wird. (ID-18898)

  Zwischenlösung: Starten Sie den Anwendungsserver in einem Gebietsschema mit einer UTF-8-Variante neu, die der Spracheinstellung des Browsers entspricht.

• In Identity Manager 8.0 gibt es ein neues abfragbares Attribut namens „assignedRoles“, das auf alle direkten und indirekten Rollen verweist, die einem Benutzer zugewiesen sind. (ID-18921) In Vorgängerversionen gab es das (weiterhin verfügbare) Attribut „role“, das lediglich die Rollen enthält, die einem Benutzer direkt zugewiesen sind. Beim Aufrüsten werden nur Benutzer mit indirekten Rollen automatisch aktualisiert, um das Attribut „assignedRoles“ mit den korrekten Daten zu füllen. Berichte über die Benutzer, die einer Regel zugewiesen sind, zeigen in einer aufgerüsteten Umgebung erst dann alle Benutzer korrekt an, nachdem alle Benutzer aktualisiert wurden.

  Zwischenlösungen:

  • Aktualisieren Sie alle Benutzer.

  • Erstellen Sie einen Bericht für Benutzer mit direkt zugewiesenen Rollen.

• Die Optionen „Sort by Repetition“ (Nach Wiederholung sortieren) funktioniert nicht in der Tabelle der geplanten Aufgaben. (ID-20377)

Überwachung

• Während einer Prüfung wird der erneute Abruf von Benutzerkonten, die von den Ressourcen nicht abgerufen werden konnten oder bei denen andere Ausfälle aufgetreten sind, nicht unterstützt. Diese Ausfälle werden nach der Prüfung gemeldet. Es gibt jedoch keine automatisierte Möglichkeit zur erneuten Prüfung der Konten. (ID-9112)

• Identity Auditor versucht, die Benutzer zwischen Richtlinienprüfungen konform zu halten, indem die Richtlinie immer dann durchgesetzt wird, wenn der Benutzer bearbeitet wird. Wenn Sie einen Benutzer bearbeiten, dem Überwachungsrichtlinien zugewiesen sind und der außerdem eine Richtlinie verletzt, können Sie die Änderungen beim Benutzer nicht speichern, und zwar auch dann nicht, wenn der Benutzer lediglich zu einer anderen Organisation verschoben werden soll. (ID-9504)

  Zwischenlösung: Über das Kontextmenü (oder die Suchfunktion) im Benutzerapplet können Sie Benutzer verschieben oder die Prüfungen der Überwachungsrichtlinie vorübergehend deaktivieren.

  Um die Prüfungen der Auditorrichtlinie zu deaktivieren, entfernen Sie die userViewValidators-Eigenschaft aus der Systemkonfiguration. Diese Eigenschaft hat den Wert einer Liste von Zeichenfolgen und wird während des Imports von init.xml oder upgrade.xml hinzugefügt.

• Im Verstoßverlauf für die AuditPolicy, Ressource und Organisation kann die Implementierung der logarithmischen Skalierung für den STACK-Diagrammtyp zu einer ungewöhnlichen Anzeige führen. (ID-9522)

• Der Administrator für Auditor-Zugriffsabfragenberichte ist derzeit nicht in der Lage, eine Überwachungsrichtliniensuche zu planen. Die Fehlermeldung Create access denied to Subject auditadmin on type TaskSchedule (Erstellungszugriff auf Subjekt „auditadmin“ des Typs „TaskSchedule“ verweigert ) wird angezeigt. Für die Planung von Aufgaben benötigen Administratoren Erstellungsrechte für TaskSchedule authType. (ID-14713)

  Zwischenlösung: Bearbeiten Sie den Administrator und erteilen Sie ihm Erstellungsrechte für TaskSchedule oder geben Sie einen Benutzer an, der mindestens über die Fähigkeiten Auditor Administrator oder Waveset Administrator verfügt.

• Bei der Ausführung von Überprüfungsrichtlinienabfragen, die mehrere Verletzungen zurückgeben, erstellt Auditor u. U. einen Korrekturarbeitsablauf für die Verarbeitung der Verletzungen. Die MySQL-Standardeinstellung für max_allowed_packet (1M) ist für einen Arbeitsablauf mit Dutzenden von Verletzungen zu niedrig. Bei Erreichen dieses Grenzwerts wird der Korrekturarbeitsablauf von Auditor nicht gestartet. (ID-15830)

  Zwischenlösung: Bei einer hohen Auslastung von Auditor muss dieser Wert deutlich größer sein. Um dieses Problem zu beheben, fügen Sie der MySQL-Konfigurationsdatei (my.cnf) max_allowed_packet = 32M hinzu und starten den Anwendungsserver erneut.

• Beim Ändern der Schweregrads- und Prioritätswerte für die Korrektur von Konformitätsverletzungen kann es zu Missverständnissen kommen. Die Anfangswerte im Formular entsprechen nicht den aktuellen Werten der Konformitätsverletzungen. Es handelt sich vielmehr um die beim Vornehmen von Änderungen zuletzt eingestellten Werte. Sie müssen sich in der Listenansicht darüber im Klaren sein, welche Schweregrads-/Prioritätswerte Sie einstellen wollen, denn die aktuellen Werte lassen sich auf der Seite, auf der Sie die Werte ändern können, nicht ermitteln. (ID-16040)

• Die Namen von Überwachungsrichtlinien dürfen die folgenden Zeichen NICHT enthalten: ’ (Apostroph), . (Punkt), | (Linie), [ (eckige Klammer links), ] (eckige Klammer rechts), , (Komma), : (Doppelpunkt), $ (Dollarzeichen), " (doppeltes Anführungszeichen), = (Gleichheitszeichen). (ID-16078)

Data Exporter

• Als Ausführungskonto für die Funktion „Data Exporter“ kann ein beliebiger Identity Manager-Administrator mit den erforderlichen Fähigkeiten konfiguriert werden. Die Export-Aufgabe wird als Dämon ausgeführt und vom Identity Manager-Planer (Scheduler) gestartet und überwacht. Von der Data-Exporter-Funktion erstellte Überwachungseinträge zeigen daher das Subjekt des Identity Manager-Planers (Scheduler:IDMServer) und nicht das Subjekt an, das für die Aufgabe konfiguriert wurde. (ID-18055)

• Die forensische Abfrage unterstützt keine Bearbeiten-/Ändern-Aktionen an Rollentypen. (ID-18769)

• Benutzer von Data Exporter müssen sich der folgenden Leistungsprobleme bewusst sein: nachdem die Warehouse-Modellkonfiguration geschrieben wurde, wird Data Exporter den Warehouse-Schnittstellencode nicht erneut untersuchen. Wenn Sie den Warehouse-Schnittstellencode geändert haben, um erweiterte Benutzerattribute aufzunehmen, erscheinen diese neuen Attribute nicht unter „Konfigurieren -> Warehouse -> Warehouse-Modellkonfiguration (Modell -> Registerkarte „Attribute“), entsprechend können sie nicht in der Benutzeroberfläche für eine forensische Abfrage genutzt werden. (ID-18975)

  Dieses Problem wird deutlich, wenn Sie Ihr Warehouse konfigurieren und im Nachhinein versuchen, benutzerdefinierte Attribute für den Export hinzuzufügen. Die ursprüngliche Warehouse-Konfiguration prüft den WIC-Code und schreibt das „Konfiguration -> Data Warehouse-Konfiguration“-Objekt. Anschließend untersucht Data Exporter den WIC-Code nicht noch einmal.

  Dieses Problem tritt auch bei Warehouse-Aktualisierungen mit neuen Versionen von Identity Manager auf.

Identity Manager Service Provider

• Identity Manager Service Provider und Sun Java^TM System Portal Server sind aufgrund eines Problems bei den verschlüsselten Bibliotheken eventuell nicht kompatibel. (ID-10744)

  Sie können dieses Problem beheben, indem Sie folgende Werte in der Datei /etc/opt/SUNWam/config/AMConfig.properties für den Portalserver festlegen und anschließend den Webcontainer neu starten:

  com.iplanet.security.encryptor=com.iplanet.services.util.JCEEncryption
  com.iplanet.security.SSLSocketFactoryImpl=netscape.ldap.factory.
     JSSESocketFactory
  com.iplanet.security.SecureRandomFactoryImpl=com.iplanet.am.util.
     SecureRandomFactoryImpl

• Einige Konfigurationsoptionen in der Identity Manager-Administratorbenutzeroberfläche werden in Identity Manager Service Provider nicht verwendet;. (ID-10843).

  Hierzu gehören:

  • Ressourcen-Optionen: Kontenausschlussregel, Genehmiger und die Organisation, der die Ressource zugeordnet ist.

  • Rollenattribute

• Die Standardgruppe des Service Provider-Anmeldemoduls geht davon aus, dass die Service Provider-Ressource den Namen „SPE End-User Directory“ hat. Hat die Ressource jedoch einen anderen Namen, funktioniert die Anmeldeseite für Service Provider-Endbenutzer nicht einwandfrei. Auf der Seite werden dann keine Anmeldefelder angezeigt. (ID-14891)

  Zwischenlösung: Aktualisieren Sie den Ressourcennamen im Objekt UI_LOGIN_MOD_GRP_DEFAULT_SPE_PWD LoginModGroup, damit auf den richtigen Ressourcennamen verwiesen wird.

Lokalisierung

• Identity Manager bietet keinen Mechanismus zum Anpassung der Verschlüsselung einer CSV-Datei, die als Ergebnis eines Massenvorgangs erstellt wurde. Wenn Sie Excel verwenden, um eine UTF-8-verschlüsselte CSV-Datei zu öffnen, werden die Inhalte unleserlich dargestellt, da Excel in einer CSV-Datei eine native Verschlüsselung erwartet. (Beispielsweise iShift_JIS für Japanisch) (ID-19901)

  Zwischenlösung: Verwenden Sie einen Editor, der die UTF-8-Verschlüsselung unterstützt.

• In einer E-Mail-Benachrichtigung von PasswordSync werden Multibyte-Zeichen im Feld $cn nicht korrekt dargestellt. (ID-19934)

• Im Tomcat-Webcontainer werden die Multibyte-Zeichen für Spaltennamen als „???“ in einem SOD-Bericht im kompakten Anzeigemodus dargestellt. (ID-20040)

• Bei einer Solaris-Ressource zeigt Identity Manager eine unleserliche Meldung im Feld „Rollen“an. Wenn OpenSolaris als eine Ressource verwendet wird, stellt dies kein Problem dar. (ID-20046)

  Zwischenlösung: Setzen Sie in der Datei /etc/default/init LANG=C, und starten Sie Solaris neu. Dann weisen Sie dem Benutzer eine Solaris-Ressource zu. Das Feld „Rollen“ ist leer; dies ist das erwartete Verhalten.

• Identity Manager stellt Apostrophe und Multibyte-Zeichen in MultiSelect Java-Applets bei den folgenden Browser-Konfigurationen nicht korrekt dar: Internet Explorer 7 mit Java 1.6.0_07 und 1.6.0_11 (wenn die UTF-8-Verschlüsselung eingerichtet ist) Firefox 3 mit Java 1.6.0_07 unter Windows XP Professional (ID-20106)

• In einigen deutschen Online-Hilfedateien wird die Zeichenfolge „Check Alignment of PHs“ (Ausrichtung der PHs prüfen) und einige fehl platzierte HTML-Tags angezeigt. (ID-20345)

Anmeldekonfiguration

• Wenn sich ein Administrator anmeldet und erst Mein Passwort ändern und anschließend eine andere Registerkarte auswählt, wird das Konto gesperrt, bis die Sperre abgelaufen ist. (ID-3705)

  Wenn ein anderer Administrator versucht, den gesperrten Administrator zu bearbeiten, wird folgende Meldung angezeigt:

  com.waveset.util.WavesetException:
  Unable to access account #ID#Configurator at this time
  Please try again later.

  Wenn dieser Administrator auf „OK“ klickt, wird das Arbeitsablauf-Prozessdiagramm der letzten Aktion angezeigt.

Organisationen

• Wenn bei einer Organisation, die zugewiesene Benutzer und ausstehende Bereitstellungsanforderungen aufweist, umbenannt wird, schlägt die Bereitstellungsanforderung fehl (ID-564).

  Zwischenlösung: Stellen Sie sicher, dass keine ausstehenden Anforderungen vorhanden sind, bevor Sie eine Organisation umbenennen.

• Wenn beim Erstellen einer neuen Organisation die Option für die Benutzermitgliedsregel vor der Angabe eines Organisationsnamens ausgewählt wird und anschließend die Seite aktualisiert wird, erscheint eine Organisations-ID im Feld für den Organisationsnamen (ID-6302). Der Name kann weiterhin vor dem Speichern der neuen Organisation festgelegt werden.

PasswordSync

• Die Installations- und Konfigurationsanwendung von PasswordSync kann eine XML-Datei einlesen, um die von der DLL verwendeten Registrierungsschlüssel zu bestücken. Die XML-Datei muss immer auf der Datei basieren, die von der „-writexml“-Optionen der Konfigurationsanwendung aus einer laufenden PasswordSync-Installation erstellt wurde. (ID-20375)

  Zwischenlösung: Sie können die Datei ändern, wenn Sie die folgenden Einschränkungen berücksichtigen: Schlüsselnamen unterscheiden zwischen der Groß-/Kleinschreibung; Identity Manager prüft die Werte nicht; von Identity Manager nicht erkannte Schlüssel erzeugen keine Fehler- oder Warnmeldungen und werden stillschweigend ignoriert.

Richtlinien und Fähigkeiten

• Das Identity Manager-Kontorichtlinienattribut „Rücksetzungs-Benachrichtigungsoption“ hat die Wertoption „administrator“, welche keine Auswirkung hat (ID-944). Die einzig gültigen Optionen sind „immediate“ und „user“.

• Die Mindestanzahl der Fragen, die ein Benutzer beantworten muss, kann auf einen Wert gesetzt werden, der größer als die Anzahl der definierten Fragen ist (ID-1834). In diesem Fall kann sich der Benutzer nicht über die Option „Passwort vergessen“ anmelden.

• Die Lighthouse-Standardkontorichtlinie kann nicht durch Bearbeiten der Richtlinie, Ändern des Namens oder Erstellen eines neuen Objekts geklont werden (ID-5147).

  Zwischenlösung: Erstellen Sie eine neue Kontorichtlinie.

• Auf dem Formular zum Starten einer Überwachungsrichtlinien-Überprüfungsaufgabe gibt es eine Option, nach Abschluss der Prüfung eine E-Mail mit einem Verletzungsbericht an eine bestimmte Adresse zu schicken. Wenn keine Verletzungen gefunden werden, wird diese E-Mail auch nicht verschickt. (ID-18773)

Abstimmen und Importieren von Benutzern

• Beim Abbrechen einer vollständigen Abstimmung wird die folgende Fehlermeldung angezeigt: (ID-14554)

  Canceled the incremental reconciliation of [resource] running on [server]

  Die Meldung sollte wie folgt lauten:

  Canceled the full reconciliation of [resource] running on [server]

• Wenn Objekte aus einer Ressource geladen werden und die betreffende Ressource das Attribut ACCOUNT_CASE_INSENSITIVE_IDS unterstützt, wird dem Benutzerobjekt ein zweites ResourceInfo-Feld hinzugefügt, das die gleiche Konto-ID wie die der Ressource besitzt, wenn sich die Benutzerkonto-ID in Groß- und Kleinschreibung von der ID unterscheidet, die im ResourceInfo-Benutzerobjekt von Identity Manager gespeichert ist. (ID-17377)

  Zwischenlösung: Stellen Sie sicher, dass die Groß- und Kleinschreibung der Konto-ID im ResourceInfo-Objekt von Identity Manager die gleiche ist wie die in der Ressource.

• Wenn Sie das Anzeigekomponenten-Applet „MultiSelect“ deaktiviert haben (und stattdessen die HTML-Version verwenden) und die Abstimmungsrichtlinie einer Ressourceninstanz bearbeiten, kann ein Fehler auftreten, wenn Sie das Kontrollkästchen „Ressourcentyp-Richtlinie übernehmen“ deaktivieren. (ID-18964)

  Zwischenlösung: Aktivieren Sie die MultiSelect-Applets erneut.

Berichte

• In den Spalten „Priorität“ und „Schweregrad“ der Verletzungszusammenfassung werden Zahlen anstatt Text angezeigt. (ID-16932)

• Der Bericht „Verletzungszusammenfassung“ enthält keine korrigierten Verletzungen. Er umfasst nur Verletzungen, die momentan aktiv (neu oder wiederholt aufgetreten) sind bzw. gemindert wurden. (ID-16933)

• Wenn mehrere Bedingungen zum Erzeugen eines Nutzungsberichts festgelegt werden, wird das Diagramm zwar korrekt auf der Berichtsergebnisseite angezeigt, aufgrund der festen Zeilenbreite wird der Bedingungstext jedoch abgeschnitten. (ID-17224)

• Bei Berichten für die Suche nach inaktiven Konten werden die Ergebnisse nicht auf der Seite „Risikoanalyseberichte anzeigen“ angezeigt. Gehen Sie zur Seite „Serveraufgaben“, wenn Sie sich die Ergebnisse dieser Berichte anzeigen lassen wollen. (ID-17255)

• Im Bericht zu Benutzerfragen wird kein Berichttitel angezeigt, wenn die Fragenrichtlinie nicht konfiguriert ist. (ID-17415)

• Im Ressourcenbenutzerbericht wird der Rücksetzungs-Administrator als Benutzer aufgeführt. Hierbei handelt es sich jedoch um einen verborgenen Benutzer, der nicht angezeigt werden sollte. (ID-17650)

• Identity Manager zeigt die Bezeichnung „Letztes Anmeldedatum“ in der Risikoanalysebericht-Ergebnistabelle nicht an. (ID-20269)

• Der Bericht „CSV herunterladen“ sendet E-Mail-Benachrichtigungen, wenn das Kontrollkästchen „Berichtsergebnis per E-Mail“ aktiviert ist. Diese E-Mail-Benachrichtigung sollte nur dann gesendet werden, wenn der Bericht ausgeführt wird (durch Klicken auf die Schaltfläche „Ausführen“). (ID-20346)

Ressourcen

• Über die Schaltfläche für den Ressourcentest werden nicht alle Felder getestet. (ID-51)

• Die Fehlermeldung, die bei einem falschen Ressourcenkontokennwort oder Benutzernamen erzeugt wird, ist bei einer nicht klaren PeopleSoft-Ressource falsch (ID-2235). Die Fehlermeldung lautet:

  bea.jolt.ApplicationException: TPESVCFAIL - application level service failure

• Bei Windows Active Directory-Ressourcenaktionen, die den Beendigungsstatus %DISPLAY_INFO_CODE% verwenden, schlägt die Aktion mit Fehlern fehl (ID-2827).

• Beim Erstellen eines Benutzers kann die primäre Gruppen-ID des Benutzers in Active Directory nicht festgelegt werden (ID-3221).

  Zwischenlösung : Erstellen Sie den Benutzer, ohne die primäre Gruppen-ID festzulegen. Bearbeiten Sie anschließend den Benutzer, und legen Sie den Wert fest. Die primäre Gruppen-ID wird außerdem nach Nummer und nicht nach DN der Gruppe festgelegt.

• Ressourcen-IP-Adressen werden in der JVM zwischengespeichert, nachdem der Hostname in eine IP-Adresse aufgelöst wurde. Wenn eine Ressourcen-IP-Adresse geändert wurde, ist ein Neustart des Anwendungsservers erforderlich, damit Identity Manager die Änderung erkennt (ID-3635). Dies ist eine Einstellung in Sun JDK (ab Version 1.3), die über die Eigenschaft sun.net.inetaddr.ttl gesteuert wird, die in der Regel in jre/lib/security/java.security festgelegt wird.

• Sie können nicht mehrere Konten für einen einzelnen Benutzer bei Oracle-Ressourcen erstellen (ID-3832).

• Wenn ein Benutzer aus einem oder in einen Untercontainer innerhalb der Active Directory-Organisation verschoben wird, erkennt der ActiveSync-Adapter diese Änderung. Wenn Sie jedoch den Benutzer auf der Bearbeitungsseite anzeigen (oder eine Änderung vornehmen und die Bestätigungsseite aufrufen) wird die Konto-ID des Benutzers weiterhin als ursprünglicher DN (Distinguished Name, eindeutiger Name) angezeigt (ID-4950). Da der Benutzer über die GUID geändert wird, entstehen keine Probleme beim Betrieb. Sie können dieses Problem beheben, indem Sie für die Ressource eine Abstimmung ausführen.

• Wenn ein Benutzer aus einer Organisation (OU) in eine Unterorganisation verschoben wird, erkennt der LDAP ChangeLog-Adapter die Änderung nicht und geht davon aus, dass der Benutzer gelöscht wurde. Das Benutzerobjekt wird anschließend in Identity Manager gesperrt (wenn dies der aktuellen Einstellung entspricht), und es wird kein neues Konto für das verschobene Konto erstellt (ID-4953).

• Die im Pool abgelegten Verbindungen für die UNIX-Ressourcenadapter können in einem nicht festgelegten Status belassen werden, wenn bei der Ausführung von Befehlen oder Skripten Fehler auftreten (ID-5406).

• Wenn Sie in NDS ein Feld (beispielsweise die Verlängerungsfrist für die Anmeldung) während der ersten Bereitstellung bearbeiten und keine Werte für die booleschen Felder angeben, werden alle booleschen Felder auf FALSE gesetzt (ID-6770). Dadurch wird verhindert, dass die anderen Felder der Registerkarte für die Einschränkung bearbeitet werden können, weil bei denen für bestimmte Kontrollkästchenwerte TRUE gelten muss. Um dies zu vermeiden, stellen Sie immer sicher, dass alle gewünschten booleschen Felder auf TRUE gesetzt sind, damit sie beim Bearbeiten anderer Felder korrekt aktiviert werden.

• Wenn Sie Benutzer aktualisieren, indem Sie eine Aktualisierung aus einer Identity Manager-Organisation auswählen, erhalten Benutzer mit einem Sun One ID Server-Konto eine Fehlermeldung, falls diese nativ erstellt und in Identity Manager geladen wurden (ID-7094). Zwischenlösung: Aktualisieren Sie diese Benutzer individuell.

• Identity Manager enthält noch immer die folgenden verworfenen Klassen:

  • com.waveset.object.IAPI

  • com.waveset.object.IAPIProcess

  • com.waveset.object.IAPIUser

    Angepasste Adapterklassen sollten nicht mehr auf diese Klassen, sondern auf die entsprechenden Klassen im Paket com.waveset.adapter.iapi verweisen. (ID-8246)

• Wenn Sie den Assistenten „Neues Ressourcenobjekt“ beenden, ohne auf die Schaltfläche Speichern oder Abbrechen zu klicken, wird das verworfene Formular möglicherweise nicht vollständig gelöscht. Dies kann später beim Erstellen neuer Ressourcenobjekte zu Problemen führen. (ID-11033) In diesem Fall wird folgender Fehler angezeigt:

  No resource form id found in options or view.

  Zwischenlösung: Klicken Sie immer auf „Abbrechen“, wenn Sie den Assistenten „Neues Ressourcenobjekt“ beenden möchten, ohne die Änderungen zu speichern.

• Wenn Sie bei der Ausführung von ActiveSync einen Benutzer unter einem anderen Administratornamen bearbeiten, wird ein ActiveSync-Ausnahmefehler ausgelöst. Da der betreffende Benutzer vom anderen Administrator gesperrt wurde, kann ActiveSync den betreffenden Prozess nicht ausführen. (ID-11255)

  Zwischenlösung: Zum Aktivieren wiederholter ActiveSync-Zugriffe auf eine Ressource müssen Sie den XML-Code der Ressource mit den folgenden beiden Ressourcenattributen im folgenden Format ergänzen:

  <ResourceAttribute name='syncRetryCountLimit' type='string' multi='false'facets='activesync' value='180'/>

  <ResourceAttribute name='syncRetryInterval' type='string' multi='false' facets='activesync' value='10000'/>

  Wobei:

  • syncRetryCountLimit gibt an, wie oft die Aktualisierung versucht werden soll.

  • syncRetryInterval ist die Zeit (in ms), die zwischen den Aktualisierungsversuchen gewartet werden soll.

  Diese Werte erscheinen danach bei der ActiveSync-Konfiguration als benutzerspezifische Ressourceneinstellungen. Sie sollten einen Anzeigenamen (displayName) angeben. Verwenden Sie dafür einen benutzerspezifischen Katalogschlüssel, wenn dieser Name lokalisiert angezeigt werden soll.

• Wenn ein Passwort eines Benutzers nicht auf allen Systemen, die Teil der CUA-Umgebung sind, synchron ist, könnte das Ändern des Passwort dazu führen, dass eine Anmeldung auf untergeordneten Systemen fehlschlägt, da diese nicht mehr synchron sind. Dies tritt nur dann auf, wenn der Administrator ein produktives, nicht abgelaufenes Passwort für den Benutzer einrichtet, oder der Benutzer das Passwort selbst ändert. In allen anderen Fällen ist die Passwortänderung auch dann erfolgreich, wenn die Systeme nicht synchron sind. (ID-13396)

  Zwischenlösung: Zunächst richten Sie das abgelaufenes Passwort ein und bearbeiten Sie das produktive Passwort des Benutzers dann in einer zweiten Änderung.

• Beim Remedy-Integrations-Vorlageneditor sind zwei Probleme bekannt. (ID-14729)

  • Der standardmäßige Remedy-Schemawert „HPD:HelpDesk“ ist für spätere Versionen von BMC Remedy nicht geeignet. Spätere Versionen enthalten das Schema „HPE:Help Desk“.

  • Die Optionen-Spalten werden nicht für alle Felder angezeigt. Die Verwendung von Remedy-Vorlagen wird dadurch nicht eingeschränkt.

• Eine Regression führt dazu, dass die Identity Manager-Passwortsynchronisation fehlschlägt, wenn eine Sun Java SystemDirectory Server Enterprise Edition 6.0, 6.1 und 6.2 verwendet wird. Dieses Verhalten wurde in der Directory Server 6.3-Version korrigiert. Wenn Identity Manager mit den Versionen 6.0, 6.1 oder 6.2 zusammenarbeiten soll, müssen Sie vom Technischen Support ein Directory Server-Hotfix anfordern. Geben Sie bei der Anforderung Directory Server-Bug 6604342 an 6604342. (ID-14895)

• Wenn Sie Ressourcenobjekte einer Sun Java System Access Manager 7.0-Ressource von der Registerkarte „Ressourcen“ aus erweitern, kann es sein, dass die folgende Fehlermeldung angezeigt wird: (ID-15525)

  Error listing objects. ==> com.waveset.util.WavesetException: Error trying to get attribute value for attribute 'guid'. ==> java.lang.IllegalAccessError: tried to access method com.sun.identity.idm.AMIdentity.getUniversalId()Ljava/lang/String; from class com.waveset.adapter.SunAccessManagerRealmResourceAdapter

  Dieser Fehler tritt auf Access Manager-7.0-Ressourcen auf, für die noch keine Patches installiert wurden. Zur Behebung dieses Problems müssen Sie mindestens Patch-1 von Access Manager installieren und dann das Access Manager Client-SDK neu erstellen und bereitstellen.

• Es kann vorkommen, dass bei in Identity Manager erstellten NDS/Groupwise-Benutzern mit Access- und AccountID-Feldern die entsprechenden Werte scheinbar nicht gespeichert sind, wenn bestimmte Anzeigeprogrammen innerhalb der NDS Console 1-Anwendung verwendet werden. Dies ist z. B. der Fall, wenn Benutzereigenschaften und dann die Registerkarte „Groupwise“ ausgewählt werden). (ID-16330)

  Wenn dagegen die Anzeige über „Groupwise Diagnostisc < Objekt anzeigen“ erfolgt, sind die Felder zu sehen. In Identity Manager an den oben genannten Feldern vorgenommene Aktualisierungen scheinen von diesem Anzeigeprogramm-Fehler nicht betroffen zu sein.

• WRQ sucht die im CLASSPATH aufgeführten Verzeichnisse ab, um seinen eigenen Eintrag zu finden. Aus diesem Eintrag ermittelt WRQ das Verzeichnis, in dem die JAR-Datei gespeichert ist, und liest dann mithilfe dieses Verzeichnisses die JAW-Datei (Lizenzierungsdatei) ein. BEA und WebSphere nutzen jedoch beide statt des Standardformats JAR, dass vom WRQ-Code als vorhanden vorausgesetzt wird, keine Standardprotokollnamen (BEA verwendet zip und WebSphere wsjar). (ID-16709, 17319)

  Zwischenlösungen:

  • Für BEA fügen Sie zum Befehl java in der DateistartWeblogic.sh die folgende Zeile hinzu:

    -Dcom.wrq.profile.dir="DirectoryContainingLibraries"

  • Für WebSphere fügen Sie die Eigenschaft com.wrq.profile.dir=DirectoryContainingLibraries in die Datei WebSphere/AppServer/configuration/config.ini ein.

• Vor dem Erstellen einer neuen Ressource müssen Sie in der Liste konfigurierter Typen den entsprechenden Ressourcentyp aktivieren. Andernfalls kann es sein, dass das neu erstellte Ressourcenobjekt nicht alle erforderlichen Felder besitzt. (ID-17324)

• Der Standardwert für das „Verzeichnis erstellen“-Ressourcenattribut ist unter den verschiedenen UNIX OS-Ressourcenadaptern inkonsistent. Bei AIX führt das Erstellen eines Benutzers immer dazu, dass das Home-Verzeichnis erstellt wird, entsprechend ist dieser Wert nicht vorhanden. Bei den Linux-Adaptern ist dieser Wert standardmäßig auf „true“ gesetzt. Bei den Solaris- und HP-UX-Adaptern ist der Standardwert auf „false“ gesetzt. (ID-18301)

• Wenn eine externe Ressourcenzuweisung zur Bereitstellung ansteht und Sie den Benutzer umbenennen, an den das Arbeitselement eskaliert wurde, wird die Bereitstellungsaufgabe beendet, ohne dass eine Eskalation zu dem umbenannten Benutzer stattfindet. (ID-19897)

• Wurde die Passthrough-Authentifizierung zwischen Identity Manager und OpenSSO-Server (Sun Access Manager Realm Resource-Adapter) konfiguriert, könnte die Authentifizierung fehlschlagen, wenn Sie das Zeichen '%' in Passwörtern verwenden. Weitere Informationen zu diesem Problem finden Sie unter https://opensso.dev.java.net/issues/show_bug.cgi?id=4122 . (ID-20011)

• Das Domino-Gateway-Ressourcenobjekt zum Erstellen und Aktualisieren von Formularen erkennt keine nicht-standardmäßigen Gruppenkategoriewerte (das heißt, andere Werte als „Administration“ und „None“. Das Domino-Gateway-Ressourcenobjekt zum Aktualisieren eines Formulars zeigt eine Fehlermeldung an, wenn eine Gruppe bearbeitet wird, die nicht-standardmäßige Kategoriewerte verwendet. (ID-20212)

• Der Active Directory-Konnektor zeigt keine lokalisierten Meldungen an, wenn die Browsersprache auf einen Wert ohne cntry gesetzt ist, z. B. ja. (ID-20255)

  Zwischenlösung: Wählen Sie eine Sprache mit einem cntry-Wert, z. B. ja-JP im Browser, oder geben Sie cntry=JP als einen URL-Parameter an, wenn Sie sich bei Identity Manager anmelden. Zum Beispiel:

  http://host:port/idm/login.jsp?lang&cntry=ja=JP

• Wenn Sie eine Active Directory-Adapter basierten Ressource zu einer Active Directory-Konnektor-basierten Ressource migrieren, müssen Sie alle zugewiesenen Ressourcenaktionen so ändern, dass sie das Attribut execMode enthalten. Gültige Werte für dieses Attribut sind connector und resource; für Active Directory gilt jedoch, wenn Sie den Aktionstyp SHELL verwenden, ist resource der einzige gültige Wert. (ID-20534)

  Beispielsweise enthalten frühere Implementierungen einer Ressourcenaktion die folgende Zeile: <

  <ResTypeAction restype='Windows Active Directory' actionType='SHELL'>

  Wenn Sie den Active Directory-Konnektor verwenden, müssen Sie die folgende Zeile hinzufügen:

  <ResTypeAction restype='Windows Active Directory' actionType='SHELL' execMode='resource'>

Rollen

• Der Rollenstatus wird auf der Seite „Rollenliste“ nicht unverzüglich aktualisiert. (ID-20259)

  Zwischenlösung : Laden Sie die Seite neu oder klicken Sie auf „Löschen“.

SPML

• Reaktionen auf SPML2-Suchvorgänge, die Iteratoren enthalten, können inkonsistente Ergebniselemente umfassen, wenn die Suchanfrage das Filterelement „Substrings“ verwendet. (ID-20328)

Sun Identity Manager Gateway

• Das Gateway wird gelegentlich nicht angehalten, wenn der Befehl net stop “Sun Identity Manager Gateway“ verwendet wird (ID-2337).

• Unter bestimmten Umständen wird das Gateway nicht sofort angehalten, wenn es von der Services Console unter Windows Windows angehalten wird (jede unterstützte Windows-Version). Als Reaktion zeigt Identity Manager ein Dialogfeld mit einer Meldung an, die darauf hindeutet, dass das Gateway nicht zeitgerecht reagiert. Wenn Sie das Dialogfeld schließen, zeigt Identity Manager an, dass das Gateway angehalten wurde. Wenn Sie die Befehlszeilenentsprechung net stop <service name> verwenden, zeigt Identity Manager an, dass ein Ausnahmefehler aufgetreten ist. In beiden Fällen wird das Gateway angehalten (ID-20296)

  Zwischenlösung : Geben Sie gateway -k an der Befehlszeile ein, um den Gateway-Dienst anzuhalten.

Aufgaben

• Auf der Seite zum Ermitteln von Aufgaben wird die Anzahl der Aufgaben, die den Suchkriterien entsprechen (ID-5152), nicht angezeigt.

• Delegierte Administratoren, die das oberste Element („Top“) nicht steuern, können Aufgaben planen und die Aufgabenergebnisse anzeigen. Diese Administratoren können die Aufgabe jedoch nicht anzeigen, nachdem sie erstellt wurde (ID-6659). Die geplante Aufgabe wurde an oberster Stelle platziert, und der delegierte Administrator ist nicht berechtigt, das Objekt anzuzeigen.

Arbeitsabläufe, Formulare, Regeln und XPRESS

• Zum Vergleichen von booleschen Werten mit den Zeichenketten TRUE oder FALSE oder den ganzen Zahlen 1 oder 2 kann die XPRESS-Funktion <eq> nicht verwendet werden (ID-3904).

  Zwischenlösung: Geben Sie Folgendes ein:

  <cond>
     <isTrue><ref>Boolean_variable</ref></isTrue>
     <s>True action</s>
     <s>False action</s>
  </cond>

• Die Pfadausdrücke funktionieren nicht bei der Iteration einer Liste mit generischen Objekten über eine Dolist (ID-4920).

  <dolist name=’genericObj’>
     <ref>listOfGenericObjects</ref>
     <ref>genericObj.name</ref>
  </dolist>

  Zwischenlösung: Verwenden Sie <get> / <set> wie folgt:

  <dolist name=’genericObj’>
     <ref>listOfGenericObjects</ref>
     <get><ref>genericObject</ref><s>name</s>
  </dolist>

• Wenn Sie global.attrname-Variablen für die Felder Ihres Benutzerformulars verwenden und das Attribut für mehrere Ressourcen freigegeben ist, müssen Sie außerdem eine Ableitungsregel definieren (ID-5074). Wenn andernfalls das Attribut nativ auf einer der Ressourcen geändert wird, kann das Attribut ausgewählt und auf die anderen Ressourcen propagiert werden.

• Es können in den HTML-Komponenten der Formulare keine Sonderzeichen verwendet werden, die mit „&“ beginnen. So wird beispielsweise &nbsp; nicht als Leerzeichen dargestellt. Dieses Problem ist eine Folge der neuen Unterstützung von Sonderzeichen (&\<>’) in Auswahllisten. (ID-5548)

• Die Formular-, Arbeitsablauf- und Regelkommentare in <Comment>-Marken haben &#xA;-Zeichenfolgen für das Zeilenvorschubzeichen (ID-6243). Diese Zeichen werden nur im XML-Format für diese Objekte angezeigt. Der Identity Manager-Server und Business Process Editor verarbeiten diese Zeichen korrekt.

• Wenn Sie das Ressourcentabellen-Benutzerformular zum Bearbeiten von Benutzern verwenden, während Sie die Ressource eines Benutzers bearbeiten, werden die Ressourcenattribute bei der ersten Anzeige des Formulars nicht abgerufen.

  Zwischenlösung : Klicken Sie auf die Schaltfläche „Aktualisieren“, um die Attributdaten abzurufen. (ID-10551)

• Wenn Identity Manager durch einen Sun Java System Access Manager Policy Agent geschützt wird, werden die Arbeitsablauf-Prozessdiagramme unter Umständen nicht vollständig angezeigt. (ID-18304)