Sun Identity Manager 8.1 Versionshinweise

Aufrüstungshinweise

Dieser Abschnitt enthält Informationen und bekannte Probleme im Hinblick auf die Aufrüstung von Identity Manager von 6.0, 7.0, 7.1, 7.1.1 oder 8.0 auf die Version 8.1.

Die Informationen in diesem Abschnitt sind wie folgt unterteilt:

Vorbereitung

Beachten Sie die folgenden Informationen, bevor Sie mit der Aufrüstung beginnen:

Detaillierte Aufrüstunganweisungen finden Sie in dem Handbuch Sun Identity Manager 8.1 Upgrade.
Wenn Sie Ihr JDK bzw. Ihre JRE aktualisieren, müssen Sie ein JDK bzw. eine JRE des Anbieters Ihres vorherigen JDK verwenden. Beispielsweise dürfen Sie kein Sun JDK verwenden, wenn Sie zuvor ein JDK von IBM verwendeten. Wenn Sie JDKs verschiedener Anbieter verwenden, können Daten, die mit der alten Version eines JDK verschlüsselt wurden, nicht mit dem JDK des neuen Anbieters gelesen werden. (ID-17800)
Aktualisieren Sie Identity Manager in der folgenden Reihenfolge:
1. Aktualisieren Sie alle Identity Manager-Serverinstanzen und Gateway-Instanzen
2. Aktualisieren Sie alle PasswordSync-Instanzen
Die 8.1-Version von Identity Manager-Server bietet eine eingeschränkte, zeitlich begrenzte Unterstützung älterer Versionen von PasswordSync. Diese Unterstützung sorgt dafür, dass Identity Manager weiterhin ausgeführt werden kann, während Sie Ihre PasswordSync-Instanzen aktualisieren. Alle Instanzen von PasswordSync sollten umgehend auf die gleiche Version wie der Identity Manager-Server aktualisiert werden.
Sie müssen PasswordSync mithilfe der Funktion „Software“ in der Windows-Systemsteuerung deinstallieren, damit alle Dateien ordnungsgemäß entfernt werden. Nach der Deinstallation muss das System neu gebootet werden.

Bei der Installation von PasswordSync müssen Sie die passende Binärdatei für das Betriebssystem verwenden, auf dem Sie die Installation durchführen. Die Binärdatei für die 32-Bit-Version von Windows heißt IdmPwSync_x86.msi, die für die 64-Bit-Version IdmPwSync_x64.msi. Nach jeder Installation von PasswordSync muss das System neu gebootet werden.
Stellen Sie sicher, dass Sie die Datei update.xml nur über einen einzigen Identity Manager-Server importieren werden kann.
Während einer Aktualisierung darf nur eine Identity Manager-Serverinstanz ausgeführt werden. Wenn Sie weitere Identity Manager-Server während der Aktualisierung starten, müssen Sie diese anhalten und neu starten, bevor Sie sie verfügbar machen. Änderungen am RepositoryConfiguration-Objekt werden erst nach einem Neustart des betreffenden Identity Manager-Servers wirksam.
Wenn sich der Aufrüstungsprozess nicht mit dem Standardkonto und -passwort „configurator“ anmelden kann, wird dieser Fehler in der Protokolldatei protokolliert, anschließend jedoch nichts mehr. (ID-18929)

Beim Aufrüsten wird die Datei update.xml importiert. Dabei versucht die Importroutine, sich als „configurator“ mit dem Standardpasswort anzumelden. Falls die Anmeldung fehlschlägt, wird ein Fehler angezeigt, und das Aufrüstungsprogramm bittet Sie um Eingabe der korrekten Anmeldedaten. Wenn Sie die korrekten Daten eingeben, wird die Aufrüstung fortgesetzt. Wenn Sie sich anschließend die Protokolldatei für die Aufrüstung ansehen, finden Sie dort zwar noch die Fehlermeldung über die fehlgeschlagene Anmeldung, danach aber keine weiteren Protokollinformationen über die Aufrüstung. Dieses Problem betrifft aber lediglich die Protokolldatei, nicht die Aufrüstung an sich.
Wenn Ihre aktuelle Identity Manager-Installation viele benutzerdefinierte Anpassungen enthält, sollten Sie sich für Unterstützung bei der Planung und Ausführung der Aufrüstung an Sun Professional Services wenden.

Aufrüstungshinweise – Wenn Sie von Version 6.0 aktualisieren

Wenn Sie beabsichtigen, Versionen bei der Aufrüstung zu überspringen, sollten Sie die Aufrüstungshinweise in den folgenden Abschnitten aufmerksam lesen. Die Aufrüstungshinweise für die nachfolgenden Versionen von Identity Manager gelten auch für Ihrer Aufrüstung.

Wenn Sie von einer Identity Manager-Version 6. x aufrüsten und die neuen Identity Manager-Endbenutzerseiten verwenden möchten, müssen Sie die Systemkonfiguration ui.web.user.showMenu manuell auf true setzen, damit die horizontale Navigationsleiste angezeigt wird. (ID-14901)

Wenn das neue Endbenutzer-Bedienfeld auf der Endbenutzer-Homepage angezeigt werden soll, müssen Sie außerdem die Endbenutzer-Formularzuordnung für den Formulartyp endUserMenu manuell ändern. Rufen Sie dazu „Konfigurieren > Formular- und Prozesszuordnung“ für den Formulartyp ’endUserMenu’ auf. Ändern Sie die Angabe unter „Formularname, zugeordnet zu“ in End User Dashboard.

Aktualisieren Sie außerdem die Zuordnung für den Formulartyp endUserWorkItemListExt. Ändern Sie die Angabe unter „Formularname, zugeordnet zu“ in End User Approvals List.
Wenn Sie von Version 6.0 aufrüsten und LocalFiles verwenden, müssen Sie vor der Aufrüstung alle Ihre Daten exportieren und dann nach der Neuinstallation von 8.1 wieder importieren. (ID-15366)

Aufrüstungshinweise – Wenn Sie von Version 7.0 aktualisieren

Wenn Sie von Version 7.0 aufrüsten und LocalFiles verwenden, müssen Sie vor der Aufrüstung alle Ihre Daten exportieren und dann nach der Neuinstallation von 8.1 wieder importieren. (ID-15366)
Es können ?ItemNotFound“-Ausnahmefehler im Aufrüstungsprotokoll auftreten. Dies liegt daran, dass „Identity Manager Service Provider Edition“ (SPE)-Objekte in „Identity Manager Service Provider“ umbenannt werden. (ID-18860)
Wenn Ihre Installation eine Remedy-Ressource enthält, müssen Sie die Remedy API-Bibliotheken in das Verzeichnis kopieren, in dem das Gateway installiert ist. Sie finden diese Bibliotheken auf dem Remedy-Server.

Tabelle 5–1 Remedy API-Biblioheken


Remedy 4.x und 5.x	Remedy 6.3	Remedy 7.0
`arapiXX.dll` `arrpcXX.dll` `arutlXX.dll` Hierbei entspricht `XX` der Remedy-Version. Beispiel: `arapi45.dll` für Remedy 4.5.	`arapi63.dll` `arrpc63.dll` `arutl63.dll` `icudt20.dll` `icuin20.dll` `icuuc20.dll`	`arapi70.dll` `arrpc70.dll` `arutl70.dll` `icudt32.dll` `icuin32.dll` `icuuc32.dll`

Aufrüstungshinweise – Wenn Sie von Version 7.1 aktualisieren

Ab Version 7.1.1, Identity Manager unterstützen vom Benutzer erweiterte Attribute mehrwertige Attribute vollständig. (ID-14863).

Hinweis –
Sie können vom Benutzer erweiterte Attribute mit mehreren Werten zur Kontolistentabelle hinzufügen. Die Liste wird jetzt fehlerlos ausgegeben. Wenn Sie jedoch versuchen, für diese Spalte eine Sortierung durchzuführen, wird die folgende Fehlermeldung angezeigt:
```
java.lang.ClassCastException: java.util.ArrayList
```
Eine Attributbedingung, die sich auf ein erweitertes Attribut mit mehreren Attributwerten bezieht, wird erst dann für ein Benutzerobjekt korrekt evaluiert, wenn dieses Objekt neu serialisiert wurde. Wenn eine solche Attributbedingung für alle Benutzerobjekte korrekt evaluiert werden soll, müssen Sie alle Benutzerobjekte neu serialisieren. Anweisungen finden Sie unter „Aktualisieren von Benutzerobjekten“ im folgenden Abschnitt.

Aktualisieren von Benutzerobjekten

Bei bestimmten Änderungen muss ein Administrator alle User-Objekte aktualisieren. Dies ist beispielsweise dann der Fall, wenn Sie die Inline-Attribute für Type.USER im RepositoryConfiguration-Objekt ändern. Wenn Sie ein Attribut im IDMSchemaConfiguration-Objekt als abfragbar oder als Übersichtsattribut markieren, müssen Sie alle User-Objekte aktualisieren, damit die Änderung auch für ältere, nicht geänderte Objekte wirksam wird. Entsprechendes gilt, wenn in einer neuen Identity Manager-Version ein neues Attribut hinzugefügt wird oder wenn die Werte eines vorhandenen Attributs geändert werden. In diesem Fall muss der Aufrüstungsvorgang oder ein Administrator alle User-Objekte aktualisieren, damit die Änderung auch für ältere, nicht geänderte Objekte wirksam wird.

Sie können vorhandene Benutzerobjekte auf dreierlei Art neu serialisieren:

Ändern eines einzelnen Benutzerobjekts im Normalbetrieb

Sie können beispielsweise ein Benutzerkonto über die Benutzeroberfläche öffnen und dieses mit oder ohne Änderungen speichern.

Nachteil: Diese Methode ist zeitaufwändig, und der Administrator muss besonders sorgfältig darauf achten, dass auch alle vorhandenen Benutzerobjekte neu serialisiert wurden.
Neuserialisierung aller Benutzerobjekte mithilfe des Dienstprogramms lh refreshType. Die Ausgabe des Dienstprogramms refreshType ist die aktualisierte Benutzerliste.

lh console

refreshType User

Nachteil: Da das Dienstprogramm refreshType im Vordergrund und nicht im Hintergrund läuft, kann dieser Prozess zeitaufwändig sein. Bei einer großen Benutzeranzahl kann die Neuserialisierung lange dauern.
Verwendung der Abfragefunktion für verschobene Aufgaben

Hinweis –
Vor dem Ausführen der Abfragefunktion für verschobene Aufgaben müssen Sie das System Configuration-Objekt in der Identity Manager Integrated Development Environment (IDE) oder mithilfe einer anderen Methode bearbeiten.

Suchen Sie nach 'refreshOfType' und entfernen Sie die Attribute für ’2005Q4M3refreshOfTypeUserIsComplete’ und ’2005Q4M3refreshOfTypeUserUpperBound’.

Nach dem Bearbeiten des System Configuration-Objekts muss dieses wieder in das Repository importiert werden, damit die Änderungen wirksam werden.

Nachteil: Durch dieses Verfahren dauert die Abfragefunktion für verschobene Aufgaben relativ lange, da die Funktion jedes einzelne User-Objekt untersucht und neu schreibt. Nachfolgende Ausführungen der Abfragefunktion für verschobene Aufgaben sollten jedoch mit regulärer Geschwindigkeit und Zeitdauer ausgeführt werden.

Aufrüstungshinweise – Wenn Sie von Version 7.1.1 aktualisieren

Falls Sie ein Oracle-Repository verwenden: Die Repository-DDL von Identity Manager 8.0 und 8.1 verwendet Datentypen, mit denen ältere Oracle JDBC-Treiber nicht korrekt umgehen können. Die JDBC-Treiber in ojdbc14.jar lesen nicht alle Spalten der Protokolltabelle korrekt.

Damit Identity Manager korrekt funktioniert, müssen Sie auf die ojdbc5.jar für JDK 5 aktualisieren.
Bei der Aufrüstung werden das Objekt User Extended Attributes sowie die Elemente QueryableAttrNames und SummaryAttrNames des Objekts UserUIConfig automatisch in das Objekt IDM Schema Configuration konvertiert. (ID-17784)

Das Beispielskript update.xml ruft über einen Import-Befehl IDMSchemaConfigurationUpdater auf, um die alten Benutzerschema-Konfigurationsobjekte zu konvertieren. Bei einer erfolgreichen Konvertierung dieser alten Objekte geschieht Folgendes:
- In IDM Schema Configuration wird ein IDMObjectClassAttribute-Element für jedes erweiterte Attribut aus User Extended Attributes erstellt.
- Jedes IDMObjectClassAttribute, das einem Wert im Element SummaryAttrNames in UserUIConfig entspricht, wird als „summary“ (Übersichtsattribut) markiert.
- Jedes IDMObjectClassAttribute, das einem Wert im Element QueryableAttrNames in UserUIConfig entspricht, wird als „queryable“ (abfragbares Attribut) markiert.
- Das Element SummaryAttrNames in UserUIConfig wird geleert.
- Das Element QueryableAttrNames in UserUIConfig wird geleert.
- Erweiterte Attribute mit dem Namen objectClass werden in spml2ObjectClass umbenannt. Ab Version 8.0 führen Altattribute mit dem Namen objectClass zu einem Namenskonflikt mit einem Kernattribut des Identity Manager-Schemas.
In Identity Manager 8.0 gibt es einige neue Tabellen für Roles-Objekte. Sie müssen die Beispielskripten im Verzeichnis db_scripts verwenden, um die Schemaänderungen vorzunehmen, die neuen Tabellenstrukturen zu erstellen und Ihre vorhandenen Daten zu verschieben.

Tipp –
- Vor dem Aufrüsten der Tabellendefinitionen in der Repository-Datenbank sollten Sie von allen Repository-Tabellen Sicherungskopien erstellen.
- Weitere Informationen hierzu finden Sie im Skript db_scripts/upgradeto8.0from71.DBMSName.
Gehen Sie beim Bearbeiten des Felds für die übergeordnete Rolle im Rollenformular mit Bedacht vor, da die übergeordnete Rolle eine verschachtelte Rolle sein kann. Die Felder für die übergeordnete und untergeordnete Rolle weisen Verschachtelungen von Rollen und deren zugehörigen Ressourcen bzw. Ressourcengruppen auf. Wenn sie auf einen Benutzer angewendet wird, enthält die betreffende SuperRole die zugehörigen Ressourcen mit den dafür vorgesehenen SubRoles (Unterrollen). Das Feld für die übergeordnete Rolle wird angezeigt, um auf die Rollen hinzuweisen, die die angezeigte Rolle enthalten.

Während der Aufrüstung analysiert Identity Manager alle Rollen im System und aktualisiert alle fehlenden Verknüpfungen zwischen untergeordneten und übergeordneten Rollen mithilfe der Klasse RoleUpdater.

Rollen können auch unabhängig von der Aufrüstung überprüft und aktualisiert werden. Importieren Sie dazu das neue Konfigurationsobjekt RoleUpdater. Es befindet sich in sample/forms/RoleUpdater.xml.

Beispiel:

<?xml version='1.0' encoding='UTF-8'?>
<!DOCTYPE Waveset PUBLIC 'waveset.dtd' 'waveset.dtd'>
<Waveset>
  <ImportCommand class='com.waveset.session.RoleUpdater' >
    <Map>
      <MapEntry key='verbose' value='true' />
      <MapEntry key='noupdate' value='false' />
      <MapEntry key='nofixsubrolelinks' value='false' />
    </Map>
  </ImportCommand>
</Waveset>

Wobei:

verbose: Beim Aktualisieren von Rollen erfolgt eine ausführliche Ausgabe. Geben Sie false an, wenn die Aktualisierung von Rollen ohne Ausgabe erfolgen soll.
noupdate: Hiermit legen Sie fest, ob die Rollen aktualisiert werden. Geben Sie false an, um eine reine Auflistung der Rollen zu erzeugen, die gegebenenfalls aktualisiert werden.
nofixsubrolelinks: Hiermit legen Sie fest, ob bei übergeordneten Rollen fehlende Verknüpfungen mit untergeordneten Rollen wiederhergestellt werden. Standardmäßig ist hier „false“ eingestellt und die Verknüpfungen werden repariert.

Administratoren müssen zum Anzeigen oder Bearbeiten des Identity Manager-Schemas für Benutzer oder Rollen Mitglied der Admin-Gruppe „IDM Schema Configuration“ sein und die Fähigkeit „IDM Schema Configuration“ besitzen.
Die SPML 2.0-Implementierung in Identity Manager wurde in Sun Identity Manager 8.0 geändert. In früheren Versionen wurde das SPML-Attribut objectclass in SPML-Meldungen dem Attribut objectclass in Identity Manager-Objekten User direkt zugeordnet. Das Attribut objectclass ist jetzt intern dem Attribut spml2ObjectClass zugeordnet und wird für andere Zwecke verwendet.

Bei der Aufrüstung wird der objectclass-Attributwert für vorhandene Benutzer automatisch umbenannt. Wenn Ihre SPML 2.0-Konfiguration Formulare mit Verweisen auf das Attribut objectclass enthält, müssen Sie diese manuell auf das Attribut spml2ObjectClass abändern.

Identity Manager ersetzt die Beispiel-Konfigurationsdatei spml2.xml während einer Aufrüstung nicht. Wenn Sie die Datei spml2.xml als Ausgangspunkt für eine eigene Konfiguration verwendet haben, so beachten Sie bitte, dass diese Datei ebenfalls ein Formular mit Verweisen auf objectclass enthält, die Sie in spml2ObjectClass ändern müssen. Ändern Sie das Attribut objectclass außerdem nur in Formularen (wo es intern verwendet wird), nicht aber im Zielschema (wo es nach außen hin offengelegt wird).
Wenn Sie Identity Manager aktualisieren und bisher eigenen Code verwendet haben, der UserUIConfig#getRepoIndexAttributes() aufruft, müssen Sie diese Aufrufe entfernen oder so ändern, dass stattdessen Type.USER#getInlineAttributeNames() aufgerufen wird. (ID-18051)

Beim Importieren von update.xml werden die Werte aus UserUIConfig RepoIndexAttrs in XML-Attributwerte des TypeDataStore-Elements für Type.USER im RepositoryConfiguration-Objekt konvertiert. Die Datei update.xml schließt die Datei UserUIConfigUpdater.xml ein. In dieser ruft ein Import-Befehl UserUIConfigUpdater auf, um RepoIndexAttrs zu konvertieren. Die Konvertierung setzt außerdem eine Markierung im SystemConfiguration-Objekt, die eine erneute Konvertierung (bzw. Rückkonvertierung) verhindert.

Wenn Sie in Zukunft Änderungen an den Inline-Attributen für Type.USER vornehmen möchten, sollten Sie hierzu das RepositoryConfiguration-Objekt bearbeiten. Wenn Sie die Inline-Attribute für Type.USER ändern, müssen Sie im Regelfall alle Type.USER-Objekte aktualisieren.

Hinweis –
Änderungen am Objekt RepositoryConfiguration werden erst nach einem Neustart des betreffenden Identity Manager-Servers wirksam.

Aufrüstungshinweise – Wenn Sie von Version 8.0 aktualisieren

In Sun Identity Manager 8.0 wurde die Anzeigemethode für Diagramme und Graphen in Berichten geändert. Berichte, die vor Version 8.0 erstellt wurden, werden wie in Version 8.0 erwartet angezeigt. Die Berichte werden in Sun Identity Manager 8.1 nicht korrekt angezeigt. Ein entsprechender Hinweis zu diesem Problem erschien in den Sun Identity Manager – Versionshinweisen zur Version 8.0, Mai 2008. (ID-17636)
Formulare und Arbeitsabläufe, die die Aktion SaveNoValidate verwenden, müssen der neuen saveNoValidateAllowedFormsAndWorkflows-Liste hinzugefügt werden. (ID-19115)

Mit der ab Sun Identity Manager 8.1 verfügbaren Whitelist-Funktion können Formulare und Arbeitsabläufe, die die Aktion SaveNoValidate verwenden, gegen eine Liste mit IDs oder Formularnamen geprüft werden können. Die ID-Liste mit der Bezeichnung saveNoValidateAllowedFormsAndWorkflow befindet sich im Attribut Security des Objekts System Configuration. Befindet sich der Formularname oder die Eigentümer-ID in der Whitelist, kann das Formular bzw. der Arbeitsablauf die Aktion SaveNoValidate verwenden. Befindet sich der Formularname oder die Eigentümer-ID nicht in der Whitelist, wird das Formular bzw. der Arbeitsablauf mit der Aktion Save verarbeitet.

Um die IDs oder Formularnamen für Formulare und Arbeitsabläufe anzuzeigen, die die Aktion SaveNoValidate verwenden, prüfen Sie das Systemprotokoll (syslog) oder aktivieren die Ablaufverfolgungsebene 4 für com.waveset.ui.util.GenericEditForm und übermitteln alle benutzerdefinierten Formulare oder Arbeitsabläufe, die SaveNoValidate verwenden. Es wird eine Warnmeldung protokolliert, in der auch die ID enthalten ist.

Hinweis –
Wenn Sie einen Formularnamen zur Whitelist hinzufügen, achten Sie darauf, dass das „name“-Attribut für das Formular eingerichtet ist, anderenfalls erhalten Sie die folgende Fehlermeldung:
```
SaveNoValidate on null processed as Save because it is not
 in the saveNoValidateAllowedFormsAndWorkflows list.
```