Esta sección proporciona información relacionada con la instalación o actualización de Identity Manager. La información se ha dividido como sigue:
Consulte el documento Sun Identity Manager 8.1 Installation para obtener instrucciones detalladas sobre la instalación del producto.
Al instalar Identity Manager no mezcle kits de desarrollo de java (JDK) de distintos fabricantes. Por ejemplo, si ejecuta Identity Manager con el JDK de IBM en WebSphere, utilice ese mismo JDK para instalar Identity Manager. No deben utilizarse JDK de diferentes fabricantes porque los datos cifrados bajo un JDK no se pueden leer con un JDK de otra marca. (ID-17800)
Es posible que el instalador de Identity Manager no se ejecute con JDK de 64 bits. (ID-18534)
Soluciones:
Instalación manual.
Use una versión de JDK de 32 bits para ejecutar el instalador.
Configure os.arch=ppc definiendo la variable JAVA_OPTS (que es utilizada por la secuencia de instalación) para llevar a cabo la instalación. Por ejemplo:
export JAVA_OPTS="-Dos.arch=ppc" install |
O, si JAVA_OPTS ya contiene las opciones necesarias:
export JAVA_OPTS="$JAVA_OPTS -Dos.arch=ppc" install |
Esta sección contiene información y problemas conocidos relacionados con la actualización de Identity Manager de las versiones 6.0, 7.0, 7.1, 7.1.1 o 8.0 a la versión 8.1.
La información se ha organizado como sigue:
Tenga presente la información siguiente antes de iniciar el proceso de actualización:
Consulte el documento Sun Identity Manager 8.1 Upgrade para obtener las instrucciones de actualización completas.
Si actualiza el JDK o el JRE, debe utilizar un JDK o un JRE suministrado por el mismo fabricante que suministrase el anterior. Por ejemplo, no instale un JDK de Sun si antes utilizaba uno de IBM. Si mezcla JDK de diferentes fabricantes, los datos cifrados bajo el JDK anterior no podrán leerse desde el JDK nuevo de otra marca. (ID-17800)
Actualice Identity Manager en el orden siguiente:
Actualice todas las instancias del servidor de Identity Manager y de la puerta de enlace.
Actualice todas las instancias de PasswordSync.
La versión 8.1 del servidor de Identity Manager proporciona compatibilidad limitada y provisional con versiones antiguas de PasswordSync. Se ha proporcionado esta compatibilidad para poder seguir ejecutando Identity Manager mientras se actualizan las instancias de PasswordSync. Todas las instancias de PasswordSync deberían actualizarse con la misma versión que el servidor de Identity Manager tan pronto como sea posible.
Para desinstalar PasswordSync, utilice la función Agregar o modificar programas del Panel de control de Windows para asegurarse de su completa eliminación. Es preciso volver a arrancar después de realizar la desinstalación.
Cuando instale PasswordSync, no olvide utilizar el archivo binario correspondiente al sistema operativo donde lo vaya a instalar. Para Windows de 32 bits es IdmPwSync_x86.msi, mientras que para Windows de 64 bits es IdmPwSync_x64.msi. Es preciso volver a arrancar el sistema después de cada instalación de PasswordSync.
Asegúrese de usar sólo un servidor de Identity Manager para importar update.xml.
Durante cada actualización, sólo debe estar ejecutándose un servidor de Identity Manager. Si inicia cualquier otro servidor de Identity Manager durante la actualización, debe detener y reiniciar dichos servidores antes de ponerlos en servicio. Los cambios de RepositoryConfiguration no afectan al servidor de Identity Manager hasta que se reinicia el servidor.
Si el proceso de actualización no consigue iniciar la sesión con la cuenta y contraseña del configurador predeterminado, el archivo de registro consigna el error pero no guarda nada tras el error. (ID -18929)
El archivo update.xml se importa durante el proceso de actualización. La importación intenta iniciar sesión como configurador con la contraseña predeterminada. Si falla el inicio de sesión, aparece un error y el programa de actualización solicitar la información de inicio de sesión correcta. Si proporciona la información correcta, la actualización continúa. Cuando busque en el archivo de registro el proceso de actualización, puede ver el mensaje de error al fallar el inicio de sesión predeterminado, pero no verá ninguna información sobre la actualización en el archivo de registro. Este problema no afecta a la actualización, sólo al archivo de registro.
Si la instalación actual de Identity Manager tiene una gran cantidad de trabajo personalizado, piense en la posibilidad de ponerse en contacto con Sun Professional Services para recibir asistencia en el proceso de planificación y ejecución de la actualización.
Si está pensando en actualizar varias versiones de una vez, no olvide consultar las notas de actualización de las secciones siguientes. Las notas relativas a las versiones posteriores de Identity Manager también son aplicables a su actualización.
Si actualiza desde una instalación de Identity Manager versión 6.x y quiere empezar a utilizar las nuevas páginas de usuario final del producto, deberá cambiar manualmente la configuración del sistema de ui.web.user.showMenu a true para que aparezca la barra de navegación horizontal. (ID -14901)
Asimismo, si quiere que el nuevo panel de control de usuario final aparezca en la página inicial de dicho usuario, debe cambiar a mano la asignación de formulario de usuario final para el tipo de formulario endUserMenu. Vaya a Configurar > Asignaciones de formularios y procesos > para el tipo de formulario "endUserMenu". Cambie "Nombre de formulario asignado a" de forma que sea Panel de usuario final.
También debe actualizar la asignación del tipo de formulario endUserWorkItemListExt. Cambie "Nombre de formulario asignado a" de forma que sea End User Approvals List (lista de aprobaciones de usuario final).
Si actualiza la versión 6.0 y está utilizando LocalFiles, tiene que exportar todos los datos antes de la actualización para luego importarlos de nuevo una vez instalada la versión 8.1. (ID-15366)
Si está pensando en actualizar varias versiones de una vez, no olvide consultar las notas de actualización de las secciones siguientes. Las notas relativas a las versiones posteriores de Identity Manager también son aplicables a su actualización.
Si va a actualizar la versión 7.0 y está utilizando LocalFiles, tiene que exportar todos los datos antes de la actualización para luego importarlos de nuevo una vez instalada la versión 8.1. (ID-15366)
Puede que aparezcan excepciones ItemNotFound en el registro de actualización a causa de objetos de Identity Manager Service Provider Edition (SPE) cuyo nombre ha cambiado para adecuarlo a Identity Manager Service Provider. (ID -18860)
Si la instalación contiene un recurso de Remedy, debe situar todas las bibliotecas de API de Remedy en el directorio donde está instalada la puerta de enlace. Estas bibliotecas se hallan en el servidor de Remedy.
Si está pensando en actualizar varias versiones de una vez, no olvide consultar las notas de actualización de las secciones siguientes. Las notas relativas a las versiones posteriores de Identity Manager también son aplicables a su actualización.
A partir de la versión 7.1.1, los atributos extendidos de usuario de Identity Manager admiten atributos de múltiples valores. (ID -14863)
En la tabla de la lista de cuentas se puede incluir un atributo de usuario extendido de varios valores, que devolverá la lista sin errores. No obstante, si se intenta ordenar por dicha columna, se producirá el error:
java.lang.ClassCastException: java.util.ArrayList
Una condición de atributo que se refiere a un atributo extendido de varios valores se evalúa correctamente para un objeto de usuario sólo una vez que se ha serializado dicho objeto de usuario. Si quiere que esa condición de atributo se evalúe correctamente para todos los objetos de usuario, deberá reserializar todos los objetos de usuario. Consulte la sección siguiente, Actualización de objetos de usuario, para obtener instrucciones al respecto.
Algunos tipos de cambios precisan un administrador para actualizar todos los objetos User. Por ejemplo, ha de actualizar todos los objetos User cuando cambien los atributos en línea de Type.USER en RepositoryConfiguration. Siempre que marque un atributo como consultable o resumen en el objeto IDMSchemaConfiguration, debe actualizar todos los objetos User para que el cambio afecte a objetos más antiguos no modificados. La misma lógica se aplica cuando una versión nueva de Identity Manager añade un nuevo atributo, o cuando una nueva versión de Identity Manager cambia los valores de un atributo existente; el proceso de actualización o un administrador deben actualizar todo los objetos User para que el cambio afecte a objetos más antiguos no modificados.
Hay tres formas de reserializar usuarios existentes:
Modificar un objeto de usuario individual durante las operaciones normales.
Por ejemplo, abriendo una cuenta de usuario mediante la interfaz y guardándola con o sin modificaciones.
Inconveniente: es un método largo y el administrador debe cerciorarse meticulosamente de reserializar todos los usuarios existentes.
Emplear la utilidad lh refreshType para reserializar todos los usuarios. La utilidad refreshType genera una lista actualizada de usuarios.
lh console
refreshType User
Inconveniente: como la utilidad refreshType se ejecuta en primer plano, no en segundo, puede ser un proceso muy lento. Si hay muchos usuarios, se tardará mucho en reserializarlos todos.
Usar el Explorador de tareas diferidas.
Antes de ejecutar el proceso del Explorador de tareas diferidas, hay que editar el objeto de configuración del sistema (System Configuration) con Sun Identity Manager Integrated Development Environment (IDE) u otro método.
Busque ’refreshOfType’ y suprima los atributos de ’2005Q4M3refreshOfTypeUserIsComplete’ y ’2005Q4M3refreshOfTypeUserUpperBound’.
Tras editar el objeto System Configuration, debe importarlo al repositorio para que se apliquen los cambios.
Inconveniente: con este método, el siguiente proceso del Explorador de tareas diferidas tarda mucho en ejecutarse, porque examina y rescribe casi todos los objetos User. Sin embargo, los posteriores procesos del Explorador de tareas diferidas deberían ejecutarse con la velocidad y la duración normales.
Si está pensando en actualizar varias versiones de una vez, no olvide consultar las notas de actualización de las secciones siguientes. Las notas relativas a las versiones posteriores de Identity Manager también son aplicables a su actualización.
Si utiliza un repositorio Oracle, el DDL de repositorio de Identity Manager 8.0 y 8.1 utiliza tipos de datos que versiones anteriores de los controladores de Oracle JDBC no manejan correctamente. Los controladores de JDBC de ojdbc14.jar no leen correctamente todas las columnas de la tabla de registro.
Es preciso actualizar a ojdbc5.jar para obtener controladores de JDK 5 con los que Identity Manager pueda funcionar correctamente.
La actualización convierte automáticamente el objeto User Extended Attributes y los elementos QueryableAttrNames y SummaryAttrNames del objeto UserUIConfig en el objeto IDM Schema Configuration. (ID-17784)
La secuencia de comandos de ejemplo update.xml contiene un comando de importación que invoca a IDMSchemaConfigurationUpdater para convertir objetos de configuración de esquema de usuario existente. La conversión con éxito de objetos de configuración de esquema de usuario existentes realiza las acciones siguientes:
Crea dentro de IDM Schema Configuration un elemento IDMObjectClassAttribute por cada nombre de atributo extendido de User Extended Attributes.
Marca como "resumen" todos los atributos IDMObjectClassAttribute que se corresponden con cada valor del elemento SummaryAttrNames dentro de UserUIConfig.
Marca como "consultables" todos los atributos IDMObjectClassAttribute que se corresponden con cada valor del elemento QueryableAttrNames dentro de UserUIConfig.
Vacía el elemento SummaryAttrNames de dentro de UserUIConfig.
Vacía el elemento QueryableAttrNames de dentro de UserUIConfig.
Renombra cualquier atributo extendido llamado objectClass como spml2ObjectClass. A partir de la versión 8.0, los atributos antiguos llamados objectClass entran en conflicto con un atributo central del esquema de Identity Manager
Identity Manager 8.0 dedica nuevas tablas para objetos Roles. Debe utilizar las secuencias de comando incluidas en el directorio db_scripts para realizar los cambios de esquema, crear las nuevas estructuras de tabla y mover los datos existentes.
Antes de actualizar las definiciones de tabla de base de datos del repositorio, haga una copia de seguridad completa de las tablas que contiene.
Consulte la secuencia de comandos db_scripts/upgradeto8.0from71.DBMSName para obtener más información.
Tenga cuidado al editar el campo de super rol del formulario Role porque el super rol puede ser a su vez un rol anidado. Los campos de super rol y subrol indican un anidamiento de roles y sus grupos de recursos o recursos asociados. Cuando se aplica a un usuario, el super rol incluye los recursos asociados a algún subrol designado. El campo de superrol se muestra para indicar los roles que incluyen el rol mostrado.
Durante el proceso de actualización, Identity Manager analiza todos los roles del sistema y actualiza todos los vínculos de subroles y superroles ausentes mediante la clase RoleUpdater
Para verificar y actualizar roles fuera del proceso de actualización, puede importar el nuevo objeto de configuración RoleUpdater, suministrado en sample/forms/RoleUpdater.xml .
Por ejemplo:
<?xml version='1.0' encoding='UTF-8'?> <!DOCTYPE Waveset PUBLIC 'waveset.dtd' 'waveset.dtd'> <Waveset> <ImportCommand class='com.waveset.session.RoleUpdater' > <Map> <MapEntry key='verbose' value='true' /> <MapEntry key='noupdate' value='false' /> <MapEntry key='nofixsubrolelinks' value='false' /> </Map> </ImportCommand> </Waveset> |
Donde:
Verbose: proporciona una información de salida detallada al actualizar los roles. Especifique false para permitir una actualización silenciosa de los roles.
noupdate: determina si se actualizan los roles. Especifique false para obtener un informe que incluya únicamente los roles que se van a actualizar.
nofixsubrolelinks: determina si los superroles se actualizan con vínculos de subrol ausentes. El valor predeterminado es “false”, que repara los vínculos.
Los administradores que necesitan ver o editar el esquema de Identity Manager para usuarios o roles deben estar incluidos en el grupo de administración (AdminGroup) de IDM Schema Configuration y disponer de capacidad para configurar esquemas de IDM.
La implementación de SPML 2.0 de Identity Manager ha cambiado en la versión 8.0. En versiones anteriores, el atributo objectclass de SPML utilizado en los mensajes de este lenguaje se asignaba directamente al atributo objectclass de los objetos User de Identity Manager. El atributo objectclass ahora se asigna internamente al atributo spml2ObjectClass y se usa internamente con otros fines.
Durante el proceso de actualización, el valor del atributo objectclass se renombra automáticamente para los usuarios existentes. Si su configuración SPML 2.0 contiene formularios que hacen referencia al atributo objectclass, debe cambiar estas referencias manualmente a spml2ObjectClass.
Identity Manager no sustituye el archivo de configuración de ejemplo spml2.xml durante la actualización. Si ha utilizado el archivo de configuración spml2.xml como punto de partida, debe saber que este archivo contiene un formulario con referencias a objectclass que debe cambiar a spml2ObjectClass. Cambie el atributo objectclass en los formularios (donde se utiliza internamente) pero no cambie el atributo objectclass en el esquema objetivo (donde el atributo se expone externamente).
Al actualizar Identity Manager, cualquier código personalizado que llame a UserUIConfig#getRepoIndexAttributes() debe suprimirse o modificarse de forma que llame a Type.USER#getInlineAttributeNames(). (ID -18051)
Al importar update.xml se convierten los valores de UserUIConfig RepoIndexAttrs en valores de atributos XML del elemento TypeDataStore para Type.USER dentro del objeto RepositoryConfiguration. El archivo update.xml incluye el archivo UserUIConfigUpdater.xml, que contiene un comando Import que invoca a UserUIConfigUpdater para convertir RepoIndexAttrs. La conversión también define un indicador en SystemConfiguration que inhibe la reconversión.
Cualquier cambio futuro a los atributos en línea de Type.USER debe realizarse editando el objeto RepositoryConfiguration. Si modifica los atributos en línea de Type.USER, normalmente debe actualizar todos los objetos Type.USER .
Los cambios de RepositoryConfiguration no afectan al servidor de Identity Manager hasta que se reinicia el servidor.
En Sun Identity Manager 8.0 se ha cambiado el método de visualización de gráficos y tablas en los informes. Los informes creados antes de la versión 8.0 se presentan tal y como se presentaban en la versión 8.0. Sin embargo, estos informes no aparecerán adecuadamente en Sun Identity Manager 8.1. En el documento Sun Identity Manager Release Notes, Version 8.0 May 2008 apareció una nota de deprecación relativa a este hecho. (ID -17636)
Los formularios y flujos de trabajo que utilizan la acción SaveNoValidate deberán agregarse a la nueva lista saveNoValidateAllowedFormsAndWorkflows. (ID-19115)
La función de lista blanca agregada a Sun Identity Manager 8.1 coteja los formularios y flujos de trabajo que utilizan la acción SaveNoValidate con una lista de ID de nombres de formularios. La lista saveNoValidateAllowedFormsAndWorkflows está situada en el atributo security del objeto System Configuration. Con esta actualización, si el nombre del formulario o el ID de su propietario se encuentran en la lista blanca, el formulario o el flujo de trabajo pueden usar la acción SaveNoValidate. Si ni el nombre del formulario ni el ID del propietario se encuentran en la lista, el formulario o el flujo de trabajo se procesa utilizando una acciónSave.
Para obtener los ID o nombres de formulario de los formularios y flujos de trabajo que utilizan la acción SaveNoValidate, compruebe el registro del sistema o active el nivel de seguimiento 4 para com.waveset.ui.util.GenericEditForm y envíe cualquier formulario o flujo de trabajo personalizado que utilice SaveNoValidate. Se registrará una advertencia donde se incluirá el ID.
Si agrega un nombre de formulario a la lista blanca, asegúrese de que esté configurado el nombre de atributo del formulario, de lo contrario aparecerá el siguiente mensaje de error:
SaveNoValidate on null processed as Save because it is not in the saveNoValidateAllowedFormsAndWorkflows list.