En esta sección se proporciona información adicional sobre las nuevas funciones de Identity Manager 8.1. Esta información se ha organizado como sigue:
A partir de la publicación de Identity Manager 7.1 Actualización 1, las actualizaciones que contienen correcciones de errores importantes y críticos detectados por el usuario se entregan mediante un proceso de aplicación de parches, que sustituye al proceso anterior.
Los parches se desarrollan, verifican y publican en intervalos de seis semanas. Estos parches tienen un instalador IGU, además de una pequeña opción de instalación, y actualizan los archivos de /WEB-INF/lib . Las instrucciones para instalar el parche se incluyen en las Notas de la versión del parche, que se distribuyen en formato PDF. Las correcciones a la puerta de enlace o al sincronizador de contraseñas se escribirán en las Notas de la versión y requerirán actualización con la instalación del parche.
Los parches de Identity Manager son acumulativos, así que encontrará menos problemas con correcciones únicas. Debe planificar la actualización al nivel de parche más reciente antes de instalar o actualizar a una versión principal o menor. Por ejemplo, si el parche 3 está disponible al instalar o actualizar a la versión 8.1, debe aplicar este parche tras instalar o actualizar a dicha versión. No sería necesario instalar los parches 1 y 2 porque el parche 3 contiene toda la funcionalidad de los parches anteriores.
El proceso de parche también facilita el seguimiento de las correcciones por su número de error. Sin embargo, sigue siendo posible que una solución creada para una versión antigua todavía no esté disponible para una versión más reciente. Con independencia del proceso que siga su versión actual de Identity Manager, debe confirmar que la nueva versión de destino del producto contenga todas las correcciones de errores necesarias.
Cuando se publica un parche, se envía un anuncio a todo el servicio de asistencia al cliente. Los parches están disponibles a través del servicio de asistencia al cliente. Póngase en contacto con el servicio de asistencia al cliente de Sun en http://www.sun.com/service/online/us para obtener el último parche disponible.
En Identity Manager 8.1 se destacan las siguientes funciones nuevas:
Esta función proporciona a Identity Manager capacidad para administrar las operaciones de provisión y auditoría de las aplicaciones de la empresa que no están directamente conectadas a Identity Manager a través de un adaptador de recursos. Esto incluye recursos externos no digitales tales como portátiles, teléfonos móviles y distintivos de seguridad. La provisión de recursos externos a través de Identity Manager dará como resultado que uno o varios provisionadores recibirán las notificaciones a través de correo electrónico o a través de Remedy Help Desk 6.3.
Connector Framework proporciona una forma nueva de conectar Identity Manager a las aplicaciones de destino sin necesidad de usar conectores. Identity Connectors y Connector Framework son parte de una iniciativa de código abierto que ofrece una forma genérica y homogénea de provisionar recursos con Identity Manager. Los conectores se han desvinculado del servidor de Identity Manager central, lo que ha permitido publicarlos con independencia de las compilaciones de Identity Manager. Además de los conectores disponibles para descarga en el sitio web de proyectos de código abierto, Identity Manager se entrega con los siguientes conectores incluidos:
Microsoft Active Directory 2003 y 2008
SPML 2.0
Visite el sitio de proyectos de código abierto en https://identityconnectors.dev.java.net/ para obtener más información.
Pronto se agregarán otros conectores.
Esta integración se centra en Sun Role Manager 4.1.3 y versiones superiores. Los formularios de Identity Manager ahora pueden llamar directamente a los servicios web del administrador de roles (Rol Manager) para enviar notificaciones y hacer llamadas a operaciones de roles sobre los usuarios. El exportador de datos de Identity Manager ya permite al administrador de roles recuperar los usuarios y roles de Identity Manager. El exportador de datos de la versión 8.1 ahora proporciona:
Información sobre capacidades que facilitarán una mejor minería de datos de los usuarios.
Un esquema de recursos que se aprovechará en futuras versiones de Sun Role Manager.
Identity Manager utiliza JMX MBeans para proporcionar datos de rendimiento relativos a las operaciones de lista, creación, obtención, modificación, eliminación y autenticación (List, Create, Get, Modify, Delete y Authenticate). Se recogen los datos siguientes:
Recuento de la operación
Media móvil de tiempo por operación
Tiempo mínimo por operación
Tiempo máximo por operación
Hora de inicio de la recopilación
Clase y versión del adaptador de recursos
Identity Manager es compatible con la norma AES (Advanced Encryption Standard). AES es una técnica de cifrado de claves simétrica que puede utilizarse en lugar de la norma DES (Data Encryption Standard). La utiliza normalmente la aplicación de gobierno para proteger los datos.
Esta función ofrece un mecanismo estándar de no repudio que utiliza la sintaxis y el procesamiento de XML Signature de W3C (XMLDSig). Esta mejora brinda la posibilidad de crear, almacenar y ver aprobaciones de elementos de trabajo en formato XMLDSig. Este formato también permite, de forma opcional, incluir códigos de tiempo conformes con la norma RFC 3161.
Se ha mejorado la compatibilidad con SPML2.0. Identity Manager admite la función de búsqueda. Asimismo, ahora se pueden efectuar registros de auditoría.
Se han actualizado los componentes de casilla de selección, etiqueta, botón de selección, selección, texto, área de texto y contenedor (Checkbox, Label, Radio, Select, Text, TextArea y Container respectivamente) de la interfaz de usuario para que representen adecuadamente los estilos CSS. Hasta ahora, sólo el elemento botón (Button) podía representar estilos personalizados. (ID -15025)
Ya es posible configurar clases personalizadas en la página de seguimiento del depurador. (ID -15490)
Cuando se realiza una acción con varios usuarios, si se seleccionan uno o más usuarios y se pasa a la página siguiente, ya no se pierden las selecciones realizadas. (ID -15529)
La página de inicio de sesión no suprime los espacios sobrantes del campo de introducción de contraseña cuando se especifica noTrim='true' en el elemento AuthnProperty name='password' de XML. Puede aplicar noTrim='true' a cualquier otro elemento AuthnProperty. (ID -16434)
El tamaño de la imagen de la guía de ayuda ahora puede configurarse en la hoja de estilo customStyle.css. (ID -17360)
La información de versión que aparece en la interfaz de administrador al pasar el puntero sobre el botón de ayuda puede inhabilitarse agregando una nueva clave del catálogo de mensajes personalizados UI_VERSION. Configure el valor con una cadena vacía en un catálogo de mensajes personalizados. (ID -17507)
La página del panel de usuario final (inicio) ahora muestra el nombre completo del usuario en lugar del ID de cuenta (accountId). Esto puede modificarse personalizando el formulario del panel en lugar de cambiar una página JSP. (ID -19006)
Ahora se puede configurar una lista de identificadores denominada saveNoValidateAllowedFormsAndWorkflows en el atributo de seguridad del objeto System Configuration. Si existe esta lista, Identity Manager sólo permite procesar los formularios y flujos de trabajo de la lista como una acción SaveNoValidate. El resto de formularios y flujos de trabajo pueden procesarse como una acción Save. Si no existe, se mantiene el mismo comportamiento (es decir, todos los formularios y flujos de trabajo pueden procesarse como SaveNoValidate ). (ID-19115)
Ahora las operaciones en masa pueden realizar acciones de provisión para usuarios con múltiples cuentas en un recurso. (ID -13160)
Se ha añadido la posibilidad de anular la asignación de una cuenta o desvincularla (utilizando operaciones en masa) de un recurso que se había configurado como de “sólo lectura” (todas las funciones de recursos que permiten actualizar cuentas se inhabilitan). Tenga presente que esto sólo es posible si se utilizan operaciones en masa. Anteriormente, cualquier intento de anular la asignación/desvincular una cuenta de un recurso de sólo lectura devolvería un error que indica que el recurso no existe. (ID–19048)
Se ha agregado la opción de paginar los elementos de trabajo de aprobación para evitar que se agoten los tiempos de espera de paginación. (ID-18544) La página approval.jsp ahora acepta las siguientes propiedades:
Paging Si está presente, habilita la opción de paginación.
MaxRows. Número de filas que se mostrarán en cada página.
orderBy. Un parámetro de ordenación
Modifique el formulario WorkItemList agregando los campos siguientes:
<Field name='PagingButtons'> <Display class='ButtonRow'> <Property name='align' value='right'/> </Display> <Disable> <not> <ref>viewOptions.Paging</ref> </not> </Disable> <Field name='action'> <Display class='Button'> <Property name='command' value='Recalculate'/> <Property name='label' value='<<'/> <Property name='value' value='first'/> </Display> </Field> <Field name='action'> <Display class='Button'> <Property name='command' value='Recalculate'/> <Property name='label' value='<'/> <Property name='value' value='previous'/> </Display> </Field> <Field name='action'> <Display class='Button'> <Property name='command' value='Recalculate'/> <Property name='label' value='>'/> <Property name='value' value='next'/> </Display> </Field> <Field name='action'> <Display class='Button'> <Property name='command' value='Recalculate'/> <Property name='label' value='>>'/> <Property name='value' value='last'/> </Display> </Field> </Field>
El proceso del flujo de trabajo de aprobaciones múltiples se ha mejorado para poder convertir automáticamente una lista de aprobadores (approvers) en una lista de objetos de aprobador (approverObjects), que se utiliza para generar elementos de trabajo de aprobación. (ID -19238)
Se ha reorganizado el juego de documentación de Sun Identity Manager. Se han realizado los siguientes cambios fundamentales:
El manual Administration se ha distribuido en dos nuevos manuales: Business Administrator's Guide y System Administrator's Guide.
El contenido del documento Tuning, Troubleshooting, and Error Messages se ha trasladado al nuevo manual System Administrator's Guide.
Los capítulos dedicados a SPML en el documento Deployment Tools ahora se encuentran en el nuevo libro Web Services Guide y Deployment Tools se ha eliminado del juego de documentación.
El manual Technical Deployment Overview ahora se titula Deployment Guide
El documento Workflows, Forms, and Views ahora se titula Deployment Reference
Se ha incluido un nuevo título en el juego de documentación: Sun Identity Manager Overview
Consulte la sección de documentación relacionada del Prólogo para ver la lista completa de manuales de Sun Identity Manager.
Las correcciones y actualizaciones de la documentación de Sun Identity Manager ahora se publican en el sitio web de documentación de Identity Manager:
http://blogs.sun.com/idmdocupdates/
Es posible utilizar un canal RSS para comprobar periódicamente este sitio y recibir notificaciones cuando haya actualizaciones disponibles. Para suscribirse, descargue un lector de RSS y haga clic bajo Feeds en el lado derecho de la página. Desde la versión 8.0, existen diferentes canales para cada versión principal.
Las secuencias de comandos de actualización de la base de datos añaden un índice a la columna ownerId (ID de propietario) de la tabla de cuentas. La actualización de una instalación con muchas cuentas tardará un tiempo considerable en procesar la secuencia de comandos de actualización de la base de datos debido a la creación de un nuevo índice de una tabla de gran tamaño. (ID -19314)
Se ha corregido un problema relacionado con ciertos errores de falta de memoria que se producían durante las actualizaciones. Antes, durante las actualizaciones, el tamaño de pila máximo para Java VM tenía un valor fijo de 256 MB en el código. Este valor fijo se ha suprimido. (ID-19407)
Ahora es posible configurar la variable de entorno JAVA_OPTS con un valor personalizado. Si no se suministra ninguna cifra, se aplica el valor predeterminado de 1024 MB.
Para definir el valor de pila máximo, configure la variable de entorno JAVA_OPTS utilizando el formulario —Xmx TamañoPila donde TamañoPila es un valor como 512m. Un ejemplo es -Xmx512m.
Las notificaciones enviadas por correo electrónico desde PasswordSync ahora utilizan el juego de caracteres UTF-8 para reproducir el nombre del remitente, el asunto y el cuerpo de texto del mensaje. El resto de componentes se codifican con los caracteres ASCII normales, como exige la norma RFC de correo electrónico. (ID -14120)
Tenga presente que las notificaciones de correo electrónico que no utilicen caracteres ASCII podrían no reproducirse correctamente en todos los clientes de correo o sistemas operativos.
Las contraseñas que contienen espacios ahora se cifran y descifran correctamente. (ID -17670)
Si va a actualizar cualquiera de las versiones situadas entre la 8.0 y la 8.0.0.2 o entre la 7.1.1 y la 7.1.1.7 (o una versión anterior a la 7.1), debe reinstalar todas las instancias de PasswordSync y las puertas de enlace.
PasswordSync ahora es compatible con Windows Server 2008 (versiones de 32 y 64 bits). (ID -18342)
Se han agregado dos valores al registro de Windows y la interfaz gráfica del programa de instalación para poder configurar el comportamiento de las acciones de certificado en PasswordSync. Estos valores sustituyen a otros parámetros desaprobados del registro, clientSecurityFlags y clientConnectionFlags. (ID -19140)
securityIgnoreCertRevoke. Si se configura con el valor 1, no se tienen en cuenta los errores de revocación de certificados.
securityAllowInvalidCert. Si se configura con el valor 1, admite los certificados que no superan las comprobaciones de seguridad.
Se han ampliado las comprobaciones internas de PasswordSync para impedir el paso de valores no válidos como parte de un cambio de contraseña, lo que podría provocar un fallo de la aplicación. (ID -19291)
El instalador de PasswordSync se ha mejorado para permitir la grabación de parámetros de configuración en un archivo durante la instalación. Las instalaciones que se efectúen posteriormente pueden hacer referencia a ese archivo y reproducir los valores de configuración. Esto permite realizar las sucesivas instalaciones y configuraciones de PasswordSync en modo silencioso. (ID-19311)
Ya no se producen interbloqueos en los accesos a la caché de autenticación. (ID -16926)
Se ha mejorado el rendimiento en las páginas Crear y Editar usuario. (ID -17066)
En la configuración predeterminada, Identity Manager ya no comprueba todos los usuarios de una organización antes de determinar si un administrador posee los derechos y permisos necesarios para delegar un elemento de trabajo en un usuario. Para recuperar la configuración predeterminada anterior, agregue la instrucción siguiente al archivo account/modify.jsp .
req.setOption(DelegateWorkItemsViewer.OP_CALL_DELEGATORS_AVAILABLE_USERS,"true");
Si OP_CALL_DELEGATORS_AVAILABLE_USERS se configura como "true" en DelegateWorkItemsViewer, Identity Manager examina los usuarios para comprobar si el administrador tiene permiso para ver usuarios.
En el caso de los usuarios cuyo rol de administrador se haya asignado dinámicamente mediante una regla, el contexto del usuario ahora se pasa como argumento durante el inicio de sesión. (ID-17964)
Se ha mejorado el rendimiento de los inicios de sesión de la interfaz de usuario de Identity Manager cuando los recursos asignados tienen definido un atributo de nombre distinto de accountId para la visualización del nombre en pantalla. (ID-18885)
Se ha agregado la directiva de contraseñas Next. Según esta directiva, si el usuario responde de forma incorrecta a la pregunta de autenticación, Identity Manager presenta la siguiente pregunta hasta que obtiene la respuesta correcta y permite el inicio de sesión, o bien bloquea la cuenta si se supera el límite especificado de intentos fallidos. (ID-17307)
Ahora se puede adaptar a otras configuraciones locales el contenido del estado de las infracciones del Informe resumido de infracciones. (ID-17011, 17042)
Además de generar los informes en el formato vertical habitual, ahora también pueden generarse en formato apaisado. Asimismo, es posible especificar el tamaño de página legal además del tamaño letter predeterminado. (ID-17649)
Identity Manager ahora permite utilizar MySQL 5.0.60 SP1 Enterprise Server como repositorio de producción. (ID-17735, ID-19703)
Ahora es posible utilizar MySQL 5.1.30 Enterprise Server como repositorio de producción de Identity Manager, pero puede que necesite realizar cambios en el archivo my.cnf. Debido a ciertas modificaciones realizadas recientemente en el código InnoDB de MySQL, el formato predeterminado para las operaciones de registro binario ahora es STATEMENT. Identity Manager utiliza un nivel de aislamiento de transacciones READ-COMMITTED , por lo que el registro binario en modo STATEMENT produce un error similar al siguiente: (ID-20460).
com.waveset.util.IOException: java.sql.SQLException: Binary logging not possible. Message: Transaction level 'READ-COMMITTED' in InnoDB is not safe for binlog mode 'STATEMENT' |
Si activa el registro binario, configure el modo como MIXED agregando la línea siguiente al archivo my.cnf:
binlog_format=mixed |
Con este cambio de configuración, puede utilizar la versión 5.1.30 como repositorio sin la excepción de registro binario. Para obtener más información, consulte el error nº 40360 de MySQL.
El repositorio de Identity Manager se ha modificado para resolver el defecto 9021 de MySQL. La clase MysqlDataStore del repositorio ahora genera una acción JOIN con nombre diferente por cada condición de atributo. (Anteriormente, MysqlDataStore utilizaba en algunos casos consultas SUBSELECT y el predicado EXISTS.) (ID-15636)
Se ha actualizado la información de uso del comando setRepo. Ahora presenta -o como opción y explica que su función es impedir que setRepo efectúe una comprobación de inicialización sobre la ubicación del nuevo repositorio. También muestra los indicadores -U y -P en los ejemplos de conexiones directas de JDBC. (ID-19475)
Se ha incluido compatibilidad con Netegrity SiteMinder 6.0. Para que el adaptador funcione correctamente, es preciso configurar PolicyServer y WebAgent de forma correcta para SiteMinder. (ID-6478)
El adaptador de recursos de Active Directory ahora proporciona un atributo de recurso llamado "Derechos sobre directorio principal" que controla la herencia de permisos y el nivel de permiso en el directorio principal. El valor predeterminado es 0. El valor 0 indica que no heredará los permisos y el permiso del usuario será control completo (FULL). El valor 1 indica que se heredarán los permisos y que el permiso del usuario será control FULL. El valor 2 indica que los permisos no se heredarán y que el permiso del usuario será control MODIFY. El valor 3 indica que se heredarán los permisos y que el permiso del usuario será control MODIFY. El control MODIFY está formado por los derechos: FILE_GENERIC_WRITE, FILE_GENERIC_READ, FILE_EXECUTE y DELETE. (ID-12881, 19706)
El adaptador de recursos de tablas de la base de datos ahora procesa una columna de la base de datos que está asignada al atributo accountId y posee un tipo de datos entero. (ID-13362)
El adaptador de recursos de LDAP ahora sincroniza entradas únicamente bajo los contextos de base predefinidos. (ID-15389)
Se ha agregado el parámetro de recurso "Respetar cambio de directiva de contraseñas de recurso tras restablecer" al adaptador de recursos de LDAP. Si esta opción está habilitada, el recurso se ha especificado en un módulo de inicio de sesión y la directiva de contraseñas del recurso se ha configurado para cambio después de restablecer, se pedirá a cualquier usuario cuya contraseña de cuenta de recurso se haya reinicializado de forma administrativa que cambie esa contraseña después de realizar la autenticación de forma correcta. (ID-16255)
En esta versión, este comportamiento sólo está disponible para aquellos servidores LDAP que devuelvan el control de respuesta "Netscape Password Expired" (no solicitado) (OID 2.16.840.1.113730.3.4.4) con la respuesta a una operación de enlace correcta. La combinación del intento de enlace correcto y el control se interpreta como que la contraseña del usuario se ha restablecido de forma administrativa y debe cambiarse. Un servidor LDAP que implemente el cambio de directiva de contraseñas tras restablecer sólo permitirá a aquellos usuarios cuya contraseña se haya restablecido y estén correctamente autenticados cambiar la contraseña. Cualquier otra operación será rechazada.
Asimismo, dado que Identity Manager realiza todas las operaciones de recursos de LDAP, excepto la autenticación de paso, utilizando una cuenta de administrador de recursos LDAP, ciertos servidores LDAP consideran cualquier intento de modificación de contraseñas de cualquier usuario como un restablecimiento administrativo y nunca borran ese estado de la cuenta del usuario. Estos servidores LDAP incluyen:
Sun Java Systems Directory Server 5.x configurado para usar rootDN (normalmente cn=directory manager) como cuenta de conexión del adaptador de recursos.
Sun Java Systems Directory Server 5.2 con passwordNonRootMayResetUserpwd:on .
Sun Java Systems Directory Server 6.0 y versiones posteriores (incluida OpenDS).
El adaptador de recursos de Domino ahora admite el tipo de objeto (ObjectType) de provisión de grupos, que implementa las funciones de objeto (ObjectFeatures) crear, eliminar, mostrar lista, cambiar nombre, guardar como y actualizar (create, delete, list, rename, saveas y update). (ID-16422)
El adaptador de recursos de SecurId admite el cambio de nombre de las cuentas. (ID-16517)
El adaptador de recursos de SAP se ha actualizado para manejar CUA de una forma más sólida y estable. Con los nuevos formularios y cambios de código, los usuarios de Identity Manager pueden cambiar sistemas CUA secundarios, así como los roles y perfiles de esos sistemas, como un usuario de SAP. (ID-16819)
Han cambiado las características de los atributos de cuenta profiles y activityGroups. Ahora, estos atributos utilizan el tipo de datos complejo. El atributo profiles ahora se asigna al atributo de recurso PROFILES, mientras que activityGroups se asigna al atributo de recurso ACTIVITYGROUPS.
Cargue el archivo $WSHOME/web/sample/updateSAPforCUA.xml para actualizar estos cambios en sus adaptadores de recursos de SAP. Los nuevos recursos de SAP contienen estos atributos, a menos que cree el recurso copiando un recurso existente que no se haya actualizado.
Identity Manager ahora detecta y captura los errores de denegación de servicio de Domino. (ID-16911)
Se incluye compatibilidad con el adaptador de mainframe WRQ Attachmate 3270 para Sun. Consulte el documento Resource Reference para obtener información sobre la forma de configurar este producto. (ID-17031)
Los recursos de Linux permiten utilizar sudo para realizar operaciones con el comando /usr/bin/chage . (ID-17119)
Se ha agregado compatibilidad con Lotus Notes/Domino 8.0. (ID-17213)
El adaptador de Puerta de enlace con secuencia de comandos (Scripted Gateway) ahora admite sincronización de contraseñas. (ID-17813)
El adaptador de recursos de Oracle ERP ahora permite que EMPLOYEE_NUMBER contenga caracteres numéricos y alfabéticos. (ID-18239)
El adaptador de recursos de OS400 ahora admite caracteres especiales en la contraseñas. (ID-18412)
Se han agregado los ejemplos de reglas de exclusión de cuentas de recursos RACF Case Insensitive Excluded Resource Accounts y RACF_LDAP Case Insensitive Excluded Resource Accounts. Están definidas en el archivo sample/wfresource.xml.
El adaptador de recursos de MySQL se ha actualizado para heredar de JdbcResourceAdapter. Los atributos de recursos de MySQL se actualizarán automáticamente. (ID-18835)
Vuelve a admitirse el adaptador de recurso de Windows NT. Ya no está desaprobado. (ID-19170)
El adaptador de recursos de LDAP tiene un nuevo parámetro de configuración denominado Usar control de resultados paginados. Cuando se habilita este parámetro (que está inhabilitado de forma predeterminada), Identity Manager utiliza el control de resultados paginados en lugar del control de VLV para el iterador de cuentas en la reconciliación. La utilización del parámetro Usar control de resultados paginado mejora el rendimiento siempre que el adaptador de recursos de LDAP admita el control de paginación simple. (ID-19231)
Se ha agregado el parámetro de recurso Tipos de objeto para leer procedentes del HR de SAP al adaptador de SAP HR para facilitar el procesamiento de los IDOC de la organización desde SAP HR. Se trata de un atributo de múltiples valores que actualmente admite los valores "P", "CP", "S", "C" y "O". (ID-19286)
El adaptador de recursos de OracleERP ahora admite una opción que suprime la capacidad de Identity Manager.s de anteponer el identificador de esquema del usuario administrador (por ejemplo, APPS) a los nombres de las tablas administrativas de Oracle EBS (por ejemplo, FND_USER, FND_VIEWS , etc.). Esta opción se suministra a través de un nuevo atributo de recurso denominado "No utilizar identificador de esquema en la interfaz gráfica" y tiene el valor predeterminado FALSE. Si cambia este valor a TRUE, el adaptador no podrá anteponer el identificador de esquema a los nombres de las tablas administrativas. (ID-19352)
El adaptador de Active Directory ahora admite la clase de objeto inetOrgPerson y otras clases de objetos derivadas de la clase de objeto usuario. (ID-19399)
Se ha agregado el parámetro "Mantener miembros de grupo de LDAP" al adaptador de LDAP para controlar si Identity Manager o el recurso de LDAP es responsable de mantener la pertenencia al grupo de LDAP cuando se elimina un usuario o se le cambia el nombre. (ID-19463)
Se ha agregado el parámetro de recurso ERROR_CODE_LIMIT al adaptador de recursos de la secuencia de comandos de shell (Shell Script). Este parámetro permite determinar qué código de retorno es un error. (ID-19858)
Los adaptadores de SecurId ahora admiten las siguientes funciones: (ID-18665, 18671, 18672, 18673, 18676, 18677, 19726)
Editar el nombre, el apellido y el shell predeterminado del usuario.
Obtener todos los grupos de ACE válidos del servidor ACE.
Hacer búsquedas en un grupo de ACE y devolver todos los usuarios del grupo.
Obtener una lista de todos los agentes ACE definidos en el servidor ACE.
Mostrar todos los grupos activos en un agente ACE.
Obtener todos los administradores y su nivel de administración.
La puerta de enlace ahora admite cifrado AES con claves de 128, 192 y 256 bits para la comunicación con el servidor de Identity Manager. (ID-19738)
Identity Manager ahora reconoce la asignación de un formulario de usuario (UserForm) a través de un rol de administrador cuando ese rol controla una organización dinámica y el usuario se edita a través de la página Buscar usuarios. (ID-18028)
Durante las actualizaciones, es posible especificar el argumento opcional noroleconfigurationupdate de RoleUpdater para sortear la modificación del objeto RoleConfiguration a fin de indicar si los roles previos a la versión 8.0 podrán ser directamente asignables a los usuarios. Si este valor se configura como "true", se omite la prueba para ver si el cambio es necesario. (ID-18483)
Ahora, la lógica de RoleAttribute no hace distinción entre mayúsculas y minúsculas. (ID-18766)
Los resultados de los informes ahora están disponibles para la organización y los roles de administración de un sujeto. (ID-19736)
IDM 8.1 admite varias opciones de cifrado nuevas. (ID-16979, 17789)
Para cifrar las claves de cifrado del servidor, se ha agregado compatibilidad para PBE con AES (modo ECB) utilizando una clave de 256 bits . Esta nueva opción es parecida al mecanismo PBE con DES existente, pero utiliza AES como cifrado de base.
Se ha agregado funcionalidad AES con claves de 128, 192, y 256 bits (modo ECB) para los datos del repositorio y la comunicación de la puerta de enlace.
También se ha modificado la tarea "Administrar el cifrado del servidor" para dar cabida a esta nueva funcionalidad.
Algunas de estas nuevas opciones precisan pasos de instalación o configuración adicionales, como se explica en el documento Administrator's Guide.
Se ha agregado una nueva opción de autenticación denominada "Login Recovery" (Recuperación de datos de acceso) como alternativa al inicio de sesión basado en las preguntas de seguridad de la opción de "Contraseña olvidada". (ID-18052)
Identity Manager ahora admite aprobaciones firmadas con formato XMLDSIG. Antes, las aprobaciones firmadas se almacenaban en el registro de auditoría de Identity Manager con un formato de uso exclusivo. Esta mejora permite almacenar esos registros de aprobación en un formato XMLDSIG estándar, lo que proporciona mayor interoperabilidad. También se admite la posibilidad de incluir un código de tiempo digital conforme con la norma RFC 3161 obtenido de una autoridad de códigos de tiempo externa. (ID-19011)
Si la autenticación de paso está habilitada, la función de cambio de contraseña funciona correctamente cuando caduca la contraseña de recurso de un usuario, y los ID de cuenta de Identity Manager y cuenta de recurso son diferentes. (ID-19218)
Se han corregido varias vulnerabilidades frente ataques CSRF (cross-site request forgery). (ID-19280, 19659, 19660, 19661, 19683, 20072) Cualquier personalización de los archivos includes/headStartUser.jspy user/userHeader.jsp debe actualizarse de forma manual.
Mejora del rendimiento para organizaciones dinámicas. El archivo Waveset.properties ahora contiene varias propiedades que definen la forma en que se guardan en caché las listas de miembros manejados por reglas file now contains several properties that define how Rule-Driven Members lists cached. (ID-19586)
Es posible configurar las páginas de usuario final de Service Provider para obligar a sus servidores a procesar las peticiones de las páginas siempre con HTTPS. (ID-18509)
Ahora pueden ejecutar la tarea SourceAdapterTask otros administradores aparte del Configurator. (ID-15299) Para especificar otro administrador, agregue lo siguiente al objeto System Configuration:
<Attribute name='sources'> <Object> <Attribute name='hosts'/> <!-- any host is the default --> <Attribute name='subject' value='Configurator'/> </Object> </Attribute>