Ressourcenadapter

• Netegrity SiteMinder 6.0 wird jetzt unterstützt. Für die ordnungsgemäße Funktion des Adapters müssen PolicyServer und WebAgent für SiteMinder korrekt konfiguriert sein. (ID-6478)

• Der Active Directory-Ressourcenadapter bietet jetzt ein Home Directory Rights-Ressourcenattribut, das die Vererbung der Berechtigungen und die Berechtigungsstufe für das Home-Verzeichnis steuert. Der Vorgabewert beträgt 0. Der Wert 0 gibt an, dass keine Rechte übernommen werden, und dass die Benutzerberechtigungen FULL umfassen. Der Wert 1 gibt an, dass Rechte übernommen werden, und dass die Benutzerberechtigungen FULL umfassen. Der Wert 2 gibt an, dass keine Rechte übernommen werden, und dass die Benutzerberechtigungen MODIFY umfassen. Der Wert 3 gibt an, dass Rechte übernommen werden, und dass die Benutzerberechtigungen MODIFY umfassen. MODIFY umfasst die folgenden Rechte: FILE_GENERIC_WRITE, FILE_GENERIC_READ, FILE_EXECUTE und DELETE. (ID-12881, 19706)

• Der Datenbanktabellen-Ressourcenadapter kann jetzt eine Datenbankspalte verarbeiten, die dem Attribut „accountId“ zugeordnet ist und den Datentyp „Integer“ aufweist. (ID-13362)

• Der LDAP-Ressourcenadapter synchronisiert jetzt Einträge ausschließlich unter den vordefinierten Basiskontexten. (ID-15389)

• Dem LDAP-Ressourcenadapter wurde der Ressourcenparameter „Respect resource password policy change-after-reset“ (Ressourcen-Passwortrichtlinie 'Änderung nach einem Reset' beachten) hinzugefügt. Ist diese Option aktiviert, diese Ressource in einem Anmeldemodul angegeben und die Passwortrichtlinie der Ressource für eine „Änderung nach einem Reset“ definiert, muss ein Benutzer, dessen Ressourcenkonto-Passwort von administrativer Seite zurückgesetzt wurde, sein Passwort nach erfolgreicher Authentifizierung ändern. (ID-16255)

  In dieser Version ist dieses Verhalten nur für die LDAP-Server verfügbar, die die (unaufgeforderte) Reaktion „Netscape Password Expired“ (Netscape-Passwort nicht mehr gültig) (OID 2.16.840.1.113730.3.4.4) mit einer Reaktion über einen erfolgreichen Bind-Vorgang zurückgeben. Die Kombination aus einem erfolgreichen Bind-Versuch und der Steuerung wird so gedeutet, dass das Benutzerpasswort von administrativer Seite zurückgesetzt wurde und geändert werden muss. Ein LDAP-Server, der die Passwortrichtlinie „Änderung nach einem Reset“ implementiert, gestattet einen Benutzer mit einem erfolgreich authentifizierten und zurückgesetzten Passwort lediglich die Änderung des Passwortes. Jeder andere Vorgang wird zurückgewiesen.

  Außerdem gilt: da Identity Manager alle LDAP-Ressourcenvorgänge außer der „Pass-through-Authentication“ mit einem LDAP-Ressourcenadministratorkonto durchführt, betrachten bestimmte LDAP-Server jeden Änderungsversuch eines Benutzerpassworts als einen Reset-Vorgang durch einen Administrator und löschen den Status des Benutzerkontos nie. Zu diesen LDAP-Servern gehören:

  • Sun Java Systems Directory Server 5.x, der zur Verwendung von rootDN (in der Regel cn=directory manager) als Ressourcenadapter-Verbindungskonto konfiguriert wurde

  • Sun Java Systems Directory Server 5.2 mit passwordNonRootMayResetUserpwd:on .

  • Sun Java Systems Directory Server 6.0 und aktueller (einschließlich OpenDS)

• Der Domino-Ressourcenadapter unterstützt jetzt den ObjectType für die Bereitstellung von Gruppen und implementiert die ObjectFeatures „create“, „delete“, „list“, „rename“, „saveas“ sowie „update“. (ID-16422)

• Der SecurId-Ressourcenadapter unterstützt das Umbenennen von Konten. (ID-16517)

• Der SAP-Ressourcenadapter wurde aktualisiert. Die Verarbeitung des CUA ist jetzt stabiler. Mit den neuen Formularen und Codeänderungen können Benutzer von Identity Manager jetzt CUA-Untersysteme sowie Rollen und Profile für diese Untersysteme auf einer SAP-Benutzerbasis ändern. (ID-16819)

  Die Eigenschaften der Kontoattribute profiles und activityGroups wurden geändert. Beide Attribute weisen jetzt den Datentyp „complex“ auf. Das Attribut „profiles“ ist jetzt dem Ressourcen-Benutzerattribut PROFILES zugeordnet, während das Attribut activityGroups jetzt dem Ressourcen-Benutzerattribut ACTIVITYGROUPS zugeordnet ist.

  Laden Sie die Datei $WSHOME/web/sample/updateSAPforCUA.xml, um Ihre SAP-Ressourcenadapter mit diesen Änderungen zu aktualisieren. Diese Attribute sind in neuen SAP-Ressourcen enthalten, es sei denn, sie erstellen die Ressource durch Kopieren einer bereits vorhandenen Ressource, die nicht aktualisiert wurde.

• Identity Manager erfasst und fängt Domino-Fehler „denial-of-service“ ab. (ID-16911)

• Der WRQ Attachmate 3270 Mainframe Adapter für Sun wird jetzt unterstützt. Informationen zum Einrichten dieses Produkts finden Sie in der Ressourcenreferenz. (ID-17031)

• Linux-Ressourcen unterstützen die Verwendung von sudo zum Verwalten des Befehls /usr/bin/chage. (ID-17119)

• Unterstützung für Lotus Notes/Domino 8.0 hinzugefügt. (ID-17213)

• Der Scripted Gateway-Adapter unterstützt jetzt die Passwortsynchronisation. (ID-17813)

• Der Oracle ERP-Ressourcenadapter gestattet jetzt, dass EMPLOYEE_NUMBER sowohl alphabetische als auch numerische Zeichen enthält. (ID-18239)

• Der OS400-Ressourcenadapter unterstützt jetzt Sonderzeichen in Passwörtern. (ID-18412)

• Die Beispiel-Ausnahmeregeln „RACF Case Insensitive Excluded Resource Accounts“ und „RACF_LDAP Case Insensitive Excluded Resource Accounts“ wurden hinzugefügt. Sie sind in der Datei sample/wfresource.xml definiert.

• Der MySQL-Ressourcenadapter wurde so aktualisiert, dass er jetzt Einstellungen von JdbcResourceAdapter übernimmt. Vorhandene MySQL-Ressourcenattribute werden automatisch aktualisiert. (ID-18835)

• Der Windows NT-Ressourcenadapter wird wieder unterstützt. Es ist nicht mehr veraltet. (ID-19170)

• Der LDAP-Ressourcenadapter verfügt jetzt über einen neuen Konfigurationsparameter mit der Bezeichnung Use Paged Result Control. Wenn dieser Parameter aktiviert ist (standardmäßig deaktiviert), verwendet Identity Manager bei einer Abstimmung die Steuerung der ausgelagerten Ergebnisse (Paged Result Control) anstelle der VLV-Steuerung für den Konto-Iterator. Das Verwenden des Konfigurationsparameters Steuerung der ausgelagerten Ergebnisse verwenden verbessert die Leistung, sofern Ihr LDAP-Ressourcenadapter die einfache Paging-Steuerung unterstützt. (ID-19231)

• Dem SAP HR-Adapter wurde der Ressourcenparameter Aus SAP HR zu lesende Objekttypen hinzugefügt, um eine Verarbeitung von Unternehmens-IDOCs aus SAP HR zu ermöglichen. Hierbei handelt es sich um ein Attribut mit mehreren Werten, das derzeit die Werte „P“, „CP“, „S“, „C“ und „O“ unterstützt. (ID-19286)

• Der OracleERP-Ressourcenadapter unterstützt jetzt eine Option, die die Fähigkeit von Identity Manager zum Voranstellen der Benutzerschema-Kennung des Administrators (z. B. APPS) an die Namen der administrativen Oracle EBS-Tabellen unterdrückt (z. B. FND_USER, FND_VIEWS usw.). Diese Option wird über ein neues Ressourcenattribut mit dem Anzeigenamen „Schema-Bezeichner nicht verwenden“ und dem Standardwert FALSE bereitgestellt. Wenn Sie diesen Wert in TRUE ändern, kann der Adapter die Schema-Kennung den administrativen Tabellennamen nicht mehr voranstellen. (ID-19352)

• Der Active Directory-Adapter unterstützt jetzt die Objektklasse inetOrgPerson sowie weitere Objektklassen, die von der Benutzer-Objektklasse abgeleitet werden. (ID-19399)

• Dem LDAP-Adapter wurde der Parameter „LDAP-Gruppenmitgliedschaft aufrechterhalten“ hinzugefügt, mit dem gesteuert wird, ob Identity Manager oder die LDAP-Ressource dafür verantwortlich ist, eine LDAP-Gruppenmitgliedschaft aufrecht zu erhalten, wenn ein Benutzer umbenannt oder gelöscht wird. (ID-19463)

• Dem Shell Script-Ressourcenadapter wurde der Ressourcenparameter ERROR_CODE_LIMIT hinzugefügt. Mit diesem Parameter können Sie festlegen, welcher Rückgabecode ein Fehler ist. (ID-19858)

• Die SecurId-Adapter unterstützen jetzt die folgenden Funktionen: (ID-18665, 18671, 18672, 18673, 18676, 18677, 19726)

  • Bearbeiten des Vor- und Nachnamens des Benutzers sowie der Standard-Shell.

  • Abrufen aller gültigen ACE-Gruppen vom ACE-Server

  • Suchvorgänge in allen ACE-Gruppen und Rückgabe aller Benutzer in dieser Gruppe.

  • Abrufen einer Liste aller definierten ACE-Agenten vom ACE-Server.

  • Anzeigen aller Gruppen, die auf einem ACE-Agenten aktiviert sind.

  • Abrufen aller Administratoren und deren Admin-Ebene.

• Das Gateway unterstützt bei der Kommunikation mit dem Identity Manager-Server jetzt die AES-Verschlüsselung mit 128-Bit-, 192-Bit- und 256-Bit-Schlüsseln. (ID-19738)