Chapitre 3 Fonctionnalités de Identity Manager 8.1

Cette section des notes de version de Identity Manager 8.1 contient des informations sur les éléments suivants :

• Nouveautés de cette version

• Bogues corrigés dans cette version

Nouveautés de cette version

Cette section contient des informations supplémentaires sur les nouveautés incluses dans Identity Manager 8.1. Ces informations sont organisées de la manière suivante :

• Patch process de Sun

• Principales nouveautés

• Interfaces administrateur et utilisateur

• Opérations en masse

• Délégations

• Documentation

• Installation et mise à niveau

• Synchronisation des mots de passe

• Performance

• Stratégie

• Rapports

• Référentiel

• Adaptateurs de ressources

• Rôles

• Sécurité

• Service Provider

• Tâches

Patch process de Sun

À compter de la version 7.1 Update 1 d'Identity Manager, les mises à jour contenant des correctifs de bogues importants et signalés comme critiques par les clients sont fournies via un processus d'installation de patchs, qui remplace le hot-fix précédent.

Les patchs sont développés, testés et mis à disposition à intervalles de six semaines. Ces patchs ont un programme d'installation IG ainsi qu'une option d'installation manuelle et mettent à jour les fichiers dans /WEB-INF/lib . Les instructions pour l'installation des patchs seront incluses dans les notes de version des patchs, qui sont distribuées au format PDF. Tous les correctifs à la passerelle ou à la synchronisation des mots de passe seront décrits dans les notes de version et devront être mis à jour lors de l'application du patch.

Les patchs d'Identity Manager sont cumulatifs, de sorte que vous devriez rencontrer moins de problèmes avec les différents correctifs. Vous devez envisager de passer au niveau de patch le plus récent lorsque vous effectuez une installation ou une mise à niveau vers une version majeure ou mineure. Par exemple, si le patch 3 est disponible quand vous installez la version 8.1 ou effectuez une mise à niveau vers cette version, vous devez appliquer le patch 3 après votre installation ou mise à niveau vers 8.1. Vous n'aurez pas besoin d'installer les patchs 1 et 2 puisque le patch 3 contient toutes les fonctionnalités des patchs précédents.

Le processus d'installation de patchs facilite le suivi d'un correctif à l'aide de son numéro de bogue. Toutefois, il arrive qu'un correctif relatif à une ancienne version ne soit pas disponible dans une version plus récente. Indépendamment du processus suivi par votre version actuelle d'Identity Manager, vous devez confirmer que la nouvelle version cible d'Identity Manager contient tous les correctifs dont vous avez besoin.

Quand un nouveau patch est disponible, un communiqué est envoyé au support clientèle. Les patchs sont disponibles via le support clientèle. Pour connaître les derniers patchs disponibles, veuillez contacter le support clientèle de Sun sur http://www.sun.com/service/online/us.

Principales nouveautés

Identity Manager 8.1 fournit les principales nouveautés suivantes :

• Gestion des ressources externes

• Connecteurs

• Intégration de Sun Role Manager

• Java Management Extensions (JMX)

• Prise en charge de sécurité enfichable (AES)

• Signature numérique XML (XML-DSig)

• SPML

Gestion des ressources externes

Cette fonctionnalité fournit à Identity Manager la capacité de gérer le provisioning et l'audit pour les applications de l'entreprise qui ne sont pas directement connectées à Identity Manager par le biais d'un adaptateur de ressources. Ceci inclut les ressources externes non numériques telles que les ordinateurs portables, les téléphones portables et les badges de sécurité. Provisionner des ressources externes via Identity Manager se traduira par la notification par e-mail ou au moyen de notifications Remedy Help Desk 6.3 de un ou plusieurs provisionneurs.

Connecteurs

La Connector Framework (Structure de connecteurs) fournit une nouvelle façon de connecter Identity Manager à des applications cibles par le biais de l'utilisation d'un connecteur. Les connecteurs d'identité et la structure font partie d'une initiative Open Source qui offre une manière générique et cohérente de provisionner des ressources avec Identity Manager. Les connecteurs ont été désolidarisés du serveur Identity Manager de base, ce qui permet d'en sortir de nouvelles versions indépendamment des versions d'Identity Manager. En plus des connecteurs additionnels proposés en téléchargement sur le site Web du projet Open Source, Identity Manager est livré avec les connecteurs pris en charge suivants :

• Microsoft Active Directory 2003 et 2008 ;

• SPML 2.0.

Pour plus d'informations, consultez le site Web du projet Open Source : https://identityconnectors.dev.java.net/.

D'autres connecteurs seront ajoutés sous peu.

Intégration de Sun Role Manager

Cette intégration met l'accent sur les versions 4.1.3. et supérieures de Sun Role Manager. Les formulaires d'Identity Manager peuvent désormais appeler directement les services Web Role Manager pour notifier et appeler des opérations de rôle sur les utilisateurs. Identity Manager Data Exporter permet déjà à Role Manager de récupérer les utilisateurs et les rôles d'Identity Manager ; le dernier exportateur de données 8.1 fournit désormais les fonctionnalités suivantes :

• Des informations de capacité permettant une meilleure utilisation de l'exploration des utilisateurs.

• Un schéma de ressource qui sera exploité dans les futures versions de Sun Role Manager.

Java Management Extensions (JMX)

Identity Manager utilise JMX MBeans pour fournir des données de performance pour les opérations List, Create, Get, Modify, Delete et Authenticate. Les données recueillies sont les suivantes :

• nombre des opérations ;

• temps moyen de déplacement par opération ;

• temps minimum par opération ;

• temps maximum par opération ;

• heure de début du recueil ;

• classe et version de l' adaptateur de ressources.

Prise en charge de sécurité enfichable (AES)

Identity Manager prend en charge AES (Advanced Encryption Standard). AES est une technique de chiffrement de clés symétrique qui peut être utilisée à la place de DES (Data Encryption Standard). AES est communément utilisé dans les applications gouvernementales pour protéger les données.

Signature numérique XML (XML-DSig)

Cette fonctionnalité offre un mécanisme de non répudiation utilisant la syntaxe et le traitement de signatures W3C XML (XMLDSig). Cette amélioration permet de créer, stocker et afficher les approbations d'éléments de travail dans un format XMLDSig. Ce format permet également en option l'inclusion d'horodatages conformes RFC 3161.

SPML

La prise en charge de SPML2.0 a été améliorée. Identity Manager prend en charge la fonctionnalité de recherche. De plus, la journalisation d'audit est désormais prise en charge.

Interfaces administrateur et utilisateur

• Les composants d'interface utilisateur Checkbox (Case à cocher), Label (Étiquette), Radio (Radio), Select (Sélection), Text (Texte), TextArea (Zone de texte) et Container (Conteneur) ont été mis à jour pour rendre correctement les styles CSS personnalisés. Auparavant, seul l'élément Button (Bouton) affichait les styles personnalisés. (ID-15025)

• Vous pouvez désormais configurer des classes personnalisées sur la page de suivi du débogage. (ID-15490)

• Sélectionner un ou plusieurs utilisateurs puis passer à la page suivante n'entraîne plus la perte de ces sélections lors de l'exécution d'une action concernant plusieurs utilisateurs. (ID-15529)

• La page Connexion ne supprime pas les espaces des zones de saisie du mot de passe lorsque vous spécifiez noTrim='true' dans l'élément XML AuthnProperty name='password'. Vous pouvez appliquer noTrim='true' sur tout autre AuthnProperty. (ID-16434)

• La taille de l'image d'aide contenant les directives peut maintenant être configurée dans la feuille de style customStyle.css. (ID-17360)

• Les informations de version qui s'affichent dans l'interface administrateur lorsque l'on passe sur le bouton Aide peuvent être désactivées en ajoutant une nouvelle clé de catalogue de messages personnalisée UI_VERSION. Définissez la valeur sur une chaîne vide dans un catalogue de messages personnalisé. (ID-17507)

• La page Tableau de bord de l'utilisateur final (accueil) affiche désormais le nom complet de l'utilisateur à la place de son accountId. Ceci peut être modifié en personnalisant le formulaire Tableau de bord de l'utilisateur final plutôt qu'en changeant un JSP. (ID-19006)

• Vous pouvez désormais définir une liste d'ID appelée saveNoValidateAllowedFormsAndWorkflows dans l'attribut de sécurité dans l'objet de configuration système. Lorsque cette liste est présente, Identity Manager autorise uniquement les formulaires et flux de travaux qui y figure à être traités en tant qu'action SaveNoValidate. Tous les autres formulaires et flux de travaux seront traités comme une action Save. Si la liste n'est pas présente, le comportement reste le même pour tous les formulaires et flux de travaux (tous les formulaires et flux de travaux seront traités en tant que SaveNoValidate ). (ID-19115)

Opérations en masse

• Les opérations en masse peuvent désormais assurer le provisioning pour les utilisateurs ayant plusieurs comptes sur une ressource. (ID-13160)

• Ajout de la capacité d'annuler l'assignation ou de supprimer le lien d'un compte (en utilisant les opérations en masse) depuis une ressource qui a été configurée en tant que « read-only » (lecture seule) (toutes les fonctionnalités de ressource permettant la mise à jour des comptes sont désactivées). Vous remarquerez que ceci n'est possible qu'en utilisant les opérations en masse. Auparavant, toute tentative d'annulation d'assignation/suppression de lien d'un compte depuis une ressource en lecture seule retournait une erreur qui indiquait que la ressource n'existait pas. (ID–19048)

Délégations

• Ajout de l'option permettant de paginer les éléments de travail d'approbation pour éviter tout expiration des délais d'attente de page. (ID-18544) La page approval.jsp accepte désormais les propriétés suivantes :

  • Paging. Si cette propriété est présente, elle active la pagination.

  • MaxRows. Nombre de lignes à afficher par page

  • orderBy. Un paramètre de tri

  Modifiez le formulaire WorkItemList en ajoutant les champs suivants :

  <Field name='PagingButtons'>
     <Display class='ButtonRow'>
        <Property name='align' value='right'/>
     </Display>
     <Disable>
        <not>
           <ref>viewOptions.Paging</ref>
        </not>
     </Disable>
     <Field name='action'>
        <Display class='Button'>
           <Property name='command' value='Recalculate'/>
           <Property name='label' value='&lt;&lt;'/>
           <Property name='value' value='first'/>
        </Display>
     </Field>
     <Field name='action'>
        <Display class='Button'>
           <Property name='command' value='Recalculate'/>
           <Property name='label' value='&lt;'/>
           <Property name='value' value='previous'/>
        </Display>
     </Field>
     <Field name='action'>
        <Display class='Button'>
           <Property name='command' value='Recalculate'/>
           <Property name='label' value='&gt;'/>
           <Property name='value' value='next'/>
        </Display>
     </Field>
     <Field name='action'>
        <Display class='Button'>
           <Property name='command' value='Recalculate'/>
           <Property name='label' value='&gt;&gt;'/>
           <Property name='value' value='last'/>
        </Display>
     </Field>
  </Field>

• Le processus de flux de travaux Multi Approval (Multi-approbation) a été amélioré pour prendre en charge la conversion automatique d'une liste d'approvers en une liste d'approverObjects utilisés pour générer les éléments de travail d'approbation. (ID-19238)

Documentation

• L'ensemble de documentation de Sun Identity Manager a été réorganisé. Les principaux changements effectués sont les suivants :

  • Le livre Administration a été divisé en deux livres : le Business Administrator's Guide et le System Administrator's Guide.

  • Le contenu du livre Tuning, Troubleshooting, and Error Messages a été transféré dans le nouveau System Administrator's Guide.

  • Les chapitres sur SPML du livre Deployment Tools figurent maintenant dans le nouveau Web Services Guide tandis que le livre Deployment Tools a disparu de l'ensemble de documentation.

  • Le livre Technical Deployment Overview s'appelle désormais Deployment Guide.

  • Le livre Workflows, Forms, and Views s'appelle désormais Deployment Reference.

  • L'ensemble de documentation contient un nouveau titre : Sun Identity Manager Overview.

  Pour la liste complète des titres relatifs à Sun Identity Manager, consultez la section Livres connexes de la Préface.

• Les corrections et mises à jour des publications sur Sun Identity Manager sont désormais postées sur le site Web des mises à jour de la documentation d'Identity Manager :

  http://blogs.sun.com/idmdocupdates/

  Un lecteur de flux RSS peut être utilisé pour contrôler périodiquement le site Web et vous avrtir lorsque de nouvelles mises à jour sont disponibles. Pour vous abonner, téléchargez un lecteur de flux et cliquez sur un lien sous Feeds (Flux) sur la droite de la page. Depuis la version 8.0, des flux séparés sont disponibles pour chacune des versions majeures.

Installation et mise à niveau

• Les scripts de mise à niveau de la base de données ajoutent un index à la colonne ownerId de la table des comptes. La mise à niveau d'une installation comportant de nombreux comptes prendra un temps considérable pour traiter le script de mise à niveau de la base de données à cause de la création d'un nouvel index sur une grande table. (ID-19314)

• Correction d'un problème associé à des exceptions out-of-memory (mémoire épuisée) au cours des mises à niveau. Auparavant, pendant les mises à niveau, la taille de tas JVM maximum était codée en dur à 256 Mo. Cette valeur codée en dur a été supprimée. (ID-19407)

  Il est désormais possible de définir la variable d'environnement JAVA_OPTS sur une valeur personnalisée. Si aucune valeur par défaut n'est fournie, une valeur par défaut de 1024 Mo est utilisée.

  Pour définir la valeur de la taille de tas maximum, définissez la variable d'environnement JAVA_OPTS en utilisant le formulaire —Xmx HeapSize où HeapSize est une valeur, par exemple 512m. Exemple : -Xmx512m.

Synchronisation des mots de passe

• Les notifications par e-mail envoyées depuis PasswordSync utilisent maintenant le codage UTF-8 pour le nom de l'expéditeur, l'objet et le corps de l'e-mail. Toutes les autres parties de l'en-tête sont codées en utilisant en ASCII brut comme requis par les RFC relatives à la messagerie électronique. (ID-14120)

  Vous remarquerez que les notifications par e-mail qui utilisent des caractères non ASCII risquent de ne pas s'afficher correctement dans tous les clients de messagerie ni sous tous les systèmes d'exploitation.

• Les mots de passe contenant des espaces sont désormais chiffrés et déchiffrés correctement. (ID-17670)

  Si vous effectuez une mise à niveau depuis la version 8.0 à 8.0.0.2 ou depuis la version 7.1.1 à 7.1.1.7 ou encore depuis une version antérieure à la 7.1, vous devez réinstaller toutes les instances de Password Sync et les passerelles.

• PasswordSync prend désormais en charge Windows Server 2008 (versions 32 et 64 bits). (ID-18342)

• Deux nouveaux paramètres ont été ajoutés au registre de Windows et à l'IG du programme d'installation pour permettre la configuration du comportement des certificats dans PasswordSync. Ces paramètres remplacent les paramètres de registre désapprouvés clientSecurityFlags et clientConnectionFlags. (ID-19140)

  securityIgnoreCertRevoke. Si défini sur 1, ignore les erreurs de révocation de certificats.

  securityAllowInvalidCert. Si défini sur 1, autorise les certificats qui échouent aux contrôles de sécurité.

• Les contrôles internes de PasswordSync ont été étendus pour assurer une protection contre les valeurs illégales transmises dans le cadre d'un changement de mot de passe pouvant causer un arrêt brutal. (ID-19291)

• Le programme d'installation de PasswordSync a été amélioré pour permettre l'enregistrement des paramètres de configuration dans un fichier au cours d'une installation. Les future installations pourront référencer ce fichier et réutiliser les paramètres de configuration. Ceci permettra une installation et une configuration silencieuses des installations futures de PasswordSync. (ID-19311)

Performance

• Il ne se produit plus d'interblocages lors de l'accès au cache d'authentification. (ID-16926)

• Amélioration de la performance sur les pages Créer un utilisateur et Éditer l'utilisateur. (ID-17066)

  Identity Manager ne contrôle plus par défaut tous les utilisateurs d'une organisation avant de déterminer si un administrateur a les droits et permissions nécessaires pour déléguer un élément de travail à un utilisateur. Pour revenir au comportement par défaut précédent, ajoutez l'instruction suivante au fichier account/modify.jsp.

  req.setOption(DelegateWorkItemsViewer.OP_CALL_DELEGATORS_AVAILABLE_USERS,"true");

  Si OP_CALL_DELEGATORS_AVAILABLE_USERS est défini sur true dans DelegateWorkItemsViewer, Identity Manager explore les utilisateurs pour contrôler si l'administrateur a le droit de voir les utilisateurs.

• Pour un utilisateur ayant un rôle admin assigné par règle de manière dynamique, le contexte de l'utilisateur est maintenant transmis sous la forme d'un argument pendant la connexion. (ID-17964)

• La performance a été améliorée pendant les connexions à l'interface utilisateur d'Identity Manager lorsque les ressources assignées ont un attribut de nom d'affichage qui n'est pas l'accountId défini. (ID-18885)

Stratégie

• Ajout de la stratégie de mot de passe Next (Suivant). Dans cette stratégie, si l'utilisateur ne répond pas correctement, Identity Manager affiche la question suivante et ce jusqu'à ce que l'utilisateur réponde correctement à une question d'authentification et se connecte, ou soit bloqué pour avoir atteint le nombre limite spécifié de tentatives ratées. (ID-17307)

Rapports

• Le contenu de l'État de violation dans le Rapport récapitulatif des violations peut désormais être localisé. (ID-17011, 17042)

• Les rapports peuvent désormais être générés au format paysage ainsi que dans le format portrait par défaut. De plus, il est possible de spécifier la taille de page « legal » en plus de celle par défaut de « letter ». (ID-17649)

Référentiel

• Identity Manager prend désormais en charge MySQL 5.0.60 SP1 Enterprise Server en tant que référentiel de production. (ID-17735, ID-19703)

• Vous pouvez maintenant utiliser MySQL 5.1.30 Enterprise Edition en tant que référentiel Identity Manager, mais il est possible que vous deviez modifier votre fichier my.cnf. Compte tenu des modifications récentes du code InnoDB de MySQL, le format de journalisation binaire par défaut est maintenant STATEMENT. Identity Manager utilise un niveau d'isolation de transaction READ-COMMITTED, de sorte que la journalisation binaire en mode STATEMENT produit une erreur similaire à la suivante : (ID-20460).

  com.waveset.util.IOException: java.sql.SQLException: Binary logging not possible. Message: Transaction level 'READ-COMMITTED' in InnoDB is not safe for binlog mode 'STATEMENT'

  Si vous activez la journalisation binaire, définissez le mode sur MIXED en ajoutant la ligne suivante à votre fichier my.cnf :

  binlog_format=mixed

  Avec ce changement de configuration, vous pouvez utiliser 5.1.30 en tant que référentiel sans exception de journalisation binaire. Pour plus de détails, voir le bogue MySQL n°40360.

• Le référentiel d'Identity Manager a été modifié pour contourner le défaut n°9021 de MySQL. Le MysqlDataStore du référentiel génère désormais une jointure (JOIN) nommée, séparée, pour chaque condition d'attribut (auparavant, le MysqlDataStore utilisait dans certains cas SUBSELECT et le prédicat EXISTS). (ID-15636)

• La sortie d'utilisation de la commande setRepo a été mise à jour. Elle répertorie désormais -o en tant qu'option et explique que -o entraîne la non exécution par setRepo d'un contrôle d'initialisation sur le nouvel emplacement du référentiel. Elle montre aussi désormais les indicateurs -U et -P dans des exemples de connexions JDBC directes. (ID-19475)

Adaptateurs de ressources

• Netegrity SiteMinder 6.0 est désormais pris en charge. Une configuration appropriée du PolicyServer et du WebAgent pour SiteMinder est nécessaire pour que l' adaptateur fonctionne correctement. (ID-6478)

• L'adaptateur de ressources Active Directory fournit désormais un attribut de ressource Droits du répertoire personnel qui contrôle l'héritage des permissions et le niveau de permission associé au répertoire personnel. La valeur par défaut est 0. Une valeur de 0 indique l'absence d'héritage des permissions et un contrôle de type FULL pour l'utilisateur. Une valeur de 1 indique que les permissions seront héritées et que le contrôle sera de type FULL pour l'utilisateur. Une valeur de 2 indique que les permissions ne seront pas héritées et que le contrôle sera de type MODIFY pour l'utilisateur. Une valeur de 3 indique que les permissions seront héritées et que le contrôle sera de type MODIFY pour l'utilisateur. Le type MODIFY comprend les droits suivants : FILE_GENERIC_WRITE, FILE_GENERIC_READ, FILE_EXECUTE et DELETE. (ID-12881, 19706)

• L'adaptateur de ressources de la table de la base de données peut maintenant traiter une colonne de base de données qui est mappée vers l'attribut accountId et dont le type de données est integer (entier). (ID-13362)

• L'adaptateur de ressources LDAP synchronise désormais les entrées uniquement dans les contextes de base prédéfinis. (ID-15389)

• Ajout du paramètre de ressource Respecter la stratégie de mot de passe de la ressource Changement après réinitialisation à l' adaptateur de ressources LDAP. Lorsque cette option est activée et que cette ressource est spécifiée dans un module de connexion et que la stratégie de mot de passe de la ressource est configurée pour un changement après réinitialisation, un utilisateur dont le mot de passe de compte de ressource a été réinitialisé par voie administrative est obligé de changer ce mot de passe après son authentification. (ID-16255)

  Dans cette version, ce comportement est uniquement disponible pour les serveurs LDAP qui retournent le contrôle de réponse « Netscape Password Expired » (Expiration du mot de passe Netscape) (non sollicité) (OID 2.16.840.1.113730.3.4.4) avec la réponse à une opération de liaison réussie. La combinaison de la tentative de liaison réussie et du contrôle est interprétée comme indiquant que le mot de passe de l'utilisateur a été réinitialisé par voie administrative et doit être changé. Un serveur LDAP implémentant la fonction de mot de passe de la ressource Changement après réinitialisation permettra uniquement à un utilisateur dont le mot de passe a été réinitialisé de changer le mot de passe ; toute autre opération sera refusée.

  De plus, étant donné qu'Identity Manager effectue toutes les opérations de ressources LDAP autres que l'authentification d'intercommunication en utilisant un compte administrateur de ressources LDAP, certains serveurs LDAP considèreront toute tentative de modification du mot de passe de l'utilisateur comme une réinitialisation administrative et n'effaceront jamais ce statut du compte de l'utilisateur. Ces serveurs LDAP sont les suivants :

  • Sun Java Systems Directory Server 5.x configuré pour utiliser rootDN (en général cn=directory manager) en tant que compte de connexion d'adaptateur de ressource

  • Sun Java Systems Directory Server 5.2 avec passwordNonRootMayResetUserpwd:on .

  • Sun Java Systems Directory Server 6.0 et sup. (OpenDS inclus)

• L'adaptateur de ressources Domino prend désormais en charge l'ObjectType de provisioning de groupe, en implémentant les ObjectFeatures create, delete, list, rename, saveas et update. (ID-16422)

• L'adaptateur de ressources SecurId prend en charge les renommages de compte. (ID-16517)

• L'adaptateur de ressources SAP a été mis à jour pour gérer CUA de manière plus robuste. Avec le nouveaux formulaires et les modifications du code, les utilisateurs d'Identity Manager peuvent changer les systèmes enfants CUA ainsi que les rôles et les profils de ces systèmes enfants par utilisateur SAP. (ID-16819)

  Les caractéristiques des attributs de compte profiles et activityGroups ont changé. Ces deux attributs ont maintenant le type de données complex. L'attribut profiles mappe vers l'attribut d'utilisateur de ressources PROFILES tandis que l'attribut activityGroups mappe désormais vers l'attribut d'utilisateur de ressources ACTIVITYGROUPS.

  Chargez le fichier $WSHOME/web/sample/updateSAPforCUA.xml pour mettre à jour ces changements sur vos adaptateurs de ressources SAP. Les nouvelles ressources SAP contiennent ces attributs, à moins que vous ne créiez la ressource en copiant une ressource existante qui n'aurait pas été mise à jour.

• Identity Manager détecte désormais et déroute les erreurs déni de service de Domino. (ID-16911)

• L'adaptateur de mainframe WRQ Attachmate 3270 pour Sun est pris en charge. Reportez-vous au document Resource Reference pour tout détail sur l'installation de ce produit. (ID-17031)

• Les ressources Linux prennent en charge l'utilisation de sudo pour gérer la commande /usr/bin/chage. (ID-17119)

• Ajout de la prise en charge de Lotus Notes/Domino 8.0. (ID-17213)

• L'adaptateur Scripted Gateway prend désormais en charge la synchronisation des mots de passe. (ID-17813)

• L'adaptateur de ressources Oracle ERP permet désormais qu'EMPLOYEE_NUMBER contienne à la fois des caractères alphabétiques et numériques. (ID-18239)

• L'adaptateur de ressources OS400 prend désormais en charge les caractères spéciaux dans les mots de passe. (ID-18412)

• Ajout des règles d'exclusion d'exemple RACF Case Insensitive Excluded Resource Accounts et RACF_LDAP Case Insensitive Excluded Resource Accounts. Celles-ci sont définies dans le fichier sample/wfresource.xml.

• L'adaptateur de ressources MySQL a été mis à jour pour hériter du JdbcResourceAdapter. Les attributs de ressources MySQL existants seront mis à jour automatiquement. (ID-18835)

• L'adaptateur de ressources Windows NT est de nouveau pris en charge. Il n'est plus désapprouvé. (ID-19170)

• L'adaptateur de ressources LDAP a un nouveau paramètre de configuration Utiliser le contrôle des résultats paginés. Lorsque vous activez ce paramètre, qui est désactivé par défaut, Identity Manager préfère le contrôle des résultats paginés LDAP au contrôle VLV pour l'itérateur de compte lors de la réconciliation. L'utilisation du paramètre de configuration Utiliser le contrôle des résultats paginés améliore la performance à condition que votre adaptateur de ressources LDAP prenne en charge le contrôle de pagination simple. (ID-19231)

• Ajout du paramètre de ressources Types d'objets à lire à partir de SAP HR à l' adaptateur SAP HR pour permettre le traitement des IDOC de l'organisation à partir de SAP HR. Ceci est un attribut à valeurs multiples qui prend actuellement en charge les valeurs « P », « CP », « S », « C » et « O ». (ID-19286)

• L'adaptateur de ressources OracleERP prend désormais en charge une option qui supprime la capacité d'Identity Manager d'ajouter l'identificateur de schéma de l'utilisateur administrateur (par exemple APPS) aux noms des tables administratives Oracle EBS (telles que FND_USER, FND_VIEWS , etc.). Cette option est fournie au travers d'un nouvel attribut de ressource avec le nom d'affichage Ne pas utiliser l'identificateur de schéma et la valeur par défaut est FALSE. Si vous remplacez cette valeur par TRUE, l' adaptateur ne peut plus ajouter l'identificateur de schéma aux noms de tables administratives. (ID-19352)

• L'adaptateur Active Directory prend désormais en charge la classe d'objet inetOrgPerson et d'autres classes d'objet dérivées de la classe d'objet utilisateur. (ID-19399)

• Ajout du paramètre Maintenir l'appartenance au groupe LDAP à l' adaptateur LDAP pour contrôler si Identity Manager ou la ressources LDAP est responsable du maintien de l'appartenance au groupe LDAP lorsqu'un utilisateur est renommé ou supprimé. (ID-19463)

• Ajout du paramètre de ressources ERROR_CODE_LIMIT à l' adaptateur de ressources Shell Script. Ce paramètre vous permet de déterminer le code de retour qui est une erreur. (ID-19858)

• Les adaptateurs SecurId prennent désormais en charge les fonctionnalités suivantes : (ID-18665, 18671, 18672, 18673, 18676, 18677, 19726)

  • Éditer le prénom de l'utilisateur, son nom et le shell par défaut.

  • Extraire tous les groupes ACE valides du serveur ACE.

  • Effectuer une recherche sur un groupe ACE et retourner tous les utilisateurs de ce groupe.

  • Extraire une liste de tous les agents ACE définis depuis le serveur ACE.

  • Afficher tous les groupes qui sont activés sur un agent ACE.

  • Extraire tous les administrateurs et leur niveau Admin.

• La passerelle prend désormais en charge le chiffrement AES en clés de 128 bits, 192 bits et 256 pour la communication avec le serveur Identity Manager. (ID-19738)

Rôles

• Identity Manager reconnaît désormais l'assignation d'un UserForm par le biais d'un rôle Admin lorsque ce rôle Admin contrôle une organisation dynamique et que l'utilisateur est édité via la page Find User (Rechercher l'utilisateur). (ID-18028)

• L'argument optionnel noroleconfigurationupdate de RoleUpdater peut être spécifié pendant les mises à niveau pour ignorer la modification de l'objet RoleConfiguration pour indiquer si les rôles antérieurs à la version 8.0 pourront être directement assignables aux utilisateurs. Définir cette valeur sur « true » ignorera le test consistant à vérifier si ce changement est nécessaire. (ID-18483)

• Toute la logique RoleAttribute est désormais insensible à la casse. (ID-18766)

• Les résultats des rapports sont désormais disponibles pour l'organisation d'un sujet et les rôles admin. (ID-19736)

Sécurité

• IDM 8.1 prend en charge plusieurs nouvelles options de chiffrement. (ID-16979, 17789)

  • Pour le chiffrement des clés de chiffrement du serveur, la prise en charge de PBE avec AES (mode ECB) utilisant une clé de 256 bits a été ajoutée. Cette nouvelle option est similaire au mécanisme PBE avec DES existant mais utilise AES en chiffrement sous-jacent.

  • Pour les données du référentiel et la communication de la passerelle, la prise en charge d'AES avec des clés de 128, 192 et 256 bits (mode ECB) a été ajoutée.

  • La tâche « (Gérer le chiffrement du serveur » a également été modifiée pour héberger cette nouvelle fonctionnalité.

  Certaines de ces nouvelles options requièrent des étapes d'installation et/ou de configuration détaillées dans l'Administrator's Guide.

• Ajout d'une nouvelle solution d'authentification « Login Recovery » (Récupération des données de connexion) pouvant remplacer la connexion basée sur des questions de sécurité « Mot de passe oublié ». (ID-18052)

• Identity Manager prend désormais en charge les approbations signées au format XMLDSIG. Auparavant, les approbations signées étaient stockées dans le journal d'audit d'Identity Manager dans un format propriétaire. Cette amélioration permet à ces enregistrements d'approbation d'être stockés dans un format conforme aux normes XMLDSIG ce qui se traduit par une meilleure interopérabilité. La capacité d'inclure un horodatage numérique conforme RFC 3161 récupéré d'une autorité d'horodatage externe a également été ajoutée. (ID-19011)

• Lorsque l'authentification d'intercommunication est activée, la fonctionnalité de changement de mot de passe fonctionne correctement lorsque le mot de passe de ressource d'un utilisateur expire et que l'ID de compte Identity Manager et l'ID de compte de ressource diffèrent. (ID-19218)

• Correction de plusieurs vulnérabilités de type « contrefaçons de requêtes inter-sites » (CSRF, Cross-Site Request Forgery). (ID-19280, 19659, 19660, 19661, 19683, 20072) Toute personnalisation des fichiers includes/headStartUser.jsp et user/userHeader.jsp doit être mise à jour manuellement.

• Performances améliorées pour les organisations dynamiques. Le fichier Waveset.properties contient maintenant plusieurs propriétés qui définissent comment les listes Rule-Driven Members sont mises en cache. (ID-19586)

Service Provider

• Vous pouvez configurer les pages utilisateur final de Service Provider pour forcer vos serveurs a toujours traiter les requêtes de page en utilisant HTTPS. (ID-18509)

Tâches

• La SourceAdapterTask peut désormais être exécutée par un administrateur autre que le Configurateur. (ID-15299) Pour spécifier un autre administrateur, ajoutez ce qui suit à l'objet configuration système :

  <Attribute name='sources'>
     <Object>
        <Attribute name='hosts'/> <!-- any host is the default -->
        <Attribute name='subject' value='Configurator'/>
      </Object>
  </Attribute>

Bogues corrigés dans cette version

Cette section décrit les bogues corrigés dans Identity Manager 8.1. Ces informations sont organisées de la manière suivante :

• Interfaces administrateur et utilisateur

• Audit

• Capacités

• Formulaires

• Délégation

• Identity Manager IDE

• Passerelle

• Journalisation

• Synchronisation des mots de passe

• Stratégie

• Provisioning

• Rapports

• Référentiel

• Adaptateurs de ressources

• Rôles

• Service Provider

• API de session

• Synchronisation

• Affichages

• Autres bogues corrigés

Interfaces administrateur et utilisateur

• Ajout de la propriété tabindex à la classe DatePicker. (ID-15244)

• Suppression du bouton Recherche étranger de la page qui s'affiche après que l'utilisateur a cliqué sur le bouton ... sur la page Transfert de la résolution. (ID-17236)

• Aucune erreur n'est plus retournée lorsque vous éditez ou mettez à jour un utilisateur et essayez d'assigner un idmManager qui n'existe pas ou est manquant, (ID-17339)

• Suppression d'une inscription « indique un champ obligatoire » en double dans la page Créer un scannage d'accès. (ID-17417)

• Les problèmes associés à cliquer pour obtenir le focus et sélectionner se produisant avec le composant d'affichage MultiSelect ont été corrigés dans le JRE Mac OS X. (ID-17938)

• Un utilisateur pouvant se connecter à plusieurs interfaces n'est plus connecté à la mauvaise interface lorsque les mêmes informations d'identification d'utilisateur sont utilisées pour se connecter simultanément à une autre interface. (ID-18204, 18506)

• Le deprovisioning d'un utilisateur ayant plusieurs comptes depuis l'interface Administrateur s'effectue maintenant avec succès. (ID-18314)

• Un message d'erreur s'affiche désormais si vous cliquez sur un bouton d'action tel que Approuver ou Rejeter sans sélectionner d'élément de travail sur la page En attente d'approbation et les autres pages contenant des tables d'éléments de travail. (ID-18472)

• L'interface administrateur n'imposait pas l'option questions/réponses lorsque les administrateurs utilisaient l'écran Changer mon mot de passe pour changer leur mot de passe. Ce problème a été résolu. (ID-18578)

• Changer le mot de passe d'un utilisateur par le biais de l'interface administrative ne génère plus inutilement l'erreur « Le mot de passe ne peut pas rester vide ». (ID-18579)

• Correction d'un problème du module de connexion Identity/Lighthouse qui faisait que l'option Mot de passe oublié retournait l'erreur suivante : Valeur manquante pour le champ obligatoire « ID utilisateur », lorsque l'utilisateur fournissait l'ID utilisateur. (ID-18939)

• Correction de la capacité d'interroger avec des rôles utilisateur via le formulaire Find User (Trouver l'utilisateur). (ID-18986)

• Correction des conteneurs IG de sorte que les champs imbriqués héritent correctement de la propriété requise et de la propriété noNewRow. (ID-19040)

• Identity Manager se réfère désormais à l'attribut MaximumNumberOfChildrenPerNode (valeur par défaut 100) dans l'objet ResourceUIConfig pour afficher les niveaux de nœuds. Si le nombre de nœuds enfants dépasse cette valeur, Identity Manager affiche uniquement les 100 premiers nœuds retournés. (ID-19434)

• Correction d'une erreur irrécupérable qui se produisait lors de l'édition d'un utilisateur dans une organisation dynamique. (ID-19519)

• Auparavant, lorsque vous supprimiez les droits Modifier pour les permissions associées aux tâches, l'utilisateur ne pouvait plus sélectionner de tâche même lorsqu'il avait encore des droits de suppression Supprimer et devait sélectionner des tâches pour la suppression. Maintenant, la colonne des cases à cocher s'affiche dans l'interface utilisateur de la liste des tâches même une fois que la permission Modifier a été supprimée. (ID-19718)

• Les images sont désormais rendues dans l'interface utilisateur lorsque vous activez des URL relatifs. (ID-19771, 19868)

• Correction du créateur d'interrogations de sorte qu'il gère tous les AND logiques correctement dans l'onglet Find User (Trouver l'utilisateur). (ID-19898)

• Les éléments de travail en attente peuvent être affichés dans la page de résultats sur l'interface utilisateur final en activant l'indicateur endableEndUserProcessDiagrams dans l'objet de configuration système.(ID-19919)

Audit

• Les rapports d'événements du journal d'audit indiquent désormais correctement l'interface qui a été utilisée pour répondre à une attestation. (ID-16950)

• Lorsque vous définissez l'option xpress.traceFileOnly sur true dans le fichier Waveset.properties, toutes les évaluations d'instructions XPRESS génèrent des messages de trace dans un fichier spécifié par xpress.traceFile. Lorsque xpress.traceFile a une valeur, tous les messages de trace seront redirigés sur à la fois la console et un fichier. (ID-19748)

Capacités

• Les administrateurs d'import/export ne sont plus en mesure de voir les pages et des onglets d'administration qu'ils ne sont pas supposés voir. (ID-19389)

• Un blocage empêche désormais toute modification de l'objet configuration système par des utilisateurs non autorisés. (ID-20224)

Formulaires

• Si vous définissez la valeur sortColumn dans un formulaire appelé par un flux de travaux, cette valeur n'est plus ignorée. (ID-17781)

Délégation

• Si un administrateur a une délégation Approbation d'organisation, Approbation de rôle ou Approbation de ressource pour une organisation, un rôle ou une ressource et perd le contrôle de cet objet, la page Délégations de l'IG utilisateur n'affiche plus de message d'erreur. (ID-18951)

Identity Manager IDE

• L'Identity Manager IDE ne modifie plus le primaryobjectclass d'un rôle lorsque l'Identity Manager IDE ne sait rien des types de rôles personnalisés. (ID-19672)

• Effectuer des opérations Display Schema (Schéma d'affichage) pour les types de rôles personnalisés ne retourne plus de NullPointerException sur les pages de débogage. (ID-19686)

Passerelle

• Les échanges de clés de registre entre la passerelle et le serveur Identity Manager n'échouent plus si la machine qui exécute la passerelle n'a pas de registre pour la passerelle. (ID-17137)

• Une erreur parasite se produisant pendant l'arrêt de la passerelle a été résolue. À titre d'effet secondaire, les messages écrits au cours du démarrage et de l'arrêt sont désormais écrits dans les journaux de traces de la passerelle si le suivi est activé, ou sur la console s'il ne l'est pas. (ID-19310)

Journalisation

• Le système consigne désormais l'adresse IP d'un client à la place de l'adresse IP d'un équilibreur de charge qui envoie une requête. (ID-17774)

• La journalisation des traces d'Identity Manager remplit désormais le nombre maximum configuré de fichiers journaux de traces avant d'écraser les fichiers journaux existants. (ID-19102)

• Les pages Activity Report (Rapport d'activité) utilisent désormais le champ Message pour afficher toute information supplémentaire sur les événements d'audit. (ID-19257)

• Dans les versions précédentes, les tâches qui se heurtaient à des échecs de provisioning de compte de ressources étaient parfois consignées comme des réussites dans les rapports d'activité. Ce problème est désormais corrigé. (ID-19283)

• Un message d'erreur s'affiche désormais lorsqu'une suppression est tentée sur un objet Log ou SysLog, sauf lors de l'exécution de la Tâche de maintenance du journal système ou de la Tâche de maintenance AuditLog. Ces tâches utilisent une méthode différente pour supprimer les objets de ces types. (ID-19356)

• Les opérations Resource Account Change Password (Changement du mot de passe d'un compte de ressources) et Resource Account Reset Password (Réinitialisation du mot de passe d'un compte de ressources) sont désormais consignées dans le cadre de l'audit avec l'action d'audit Changement du mot de passe ou Réinitialisation du mot de passe. De plus, le flux de travaux « Modifier le mot de passe du compte de ressources » a été modifié de sorte que l'activité « Audit » soit appelée uniquement quand un échec survient avant l'appel du service de flux de travaux changeResourceAccountPassword. (ID-19359)

• Correction d'un problème dans le cadre duquel les résultats d'un examen des accès n'étaient pas audités correctement. (ID-19548)

• Les opérations effectuées sur l'objet Serveur sont désormais auditées. (ID-19606)

• Les modifications des groupes de ressources (Création, Mise à jour, Suppression) sont désormais auditées. L'objet Groupe de ressources est désormais connu comme un objet Application et ApplicationViewer est utilisé pour travailler sur un objet Application. Par conséquent, c'est au niveau de l'afficheur d'application que le contrôle a lieu. (ID-19607)

• Un enregistrement de journal d'audit à l'état d'échec est maintenant publié lorsqu'une opération de suppression d'utilisateur échoue. (ID-19722)

Synchronisation des mots de passe

• PasswordSync peut désormais envoyer correctement des e-mails d'administrateur lorsque les e-mails d'utilisateur ont été désactivés. (ID 18110)

• Un arrêt brutal possible causé par une référence NULL dans PasswordSync a été corrigé. (ID-19042)

• Les connexions de test utilisant des certificats valables et des certificats autosignés fonctionnent désormais correctement. (ID-19216)

• Correction de deux dépassements de capacité de tampon potentiels. Dans les deux cas, les tampons de longueur fixe risquaient de voir leur capacité dépassée par un volume de contenu supérieur au leur. Ces tampons sont maintenant alloués de manière dynamique pour assurer que leur taille soit suffisante. (ID-19358)

• La synchronisation des mots de passe pour les comptes d'ordinateur a été désactivée. (ID-19366)

• Le répertoire d'installation par défaut des fichiers de synchronisation des mots de passe a été modifié pour correspondre au nom du produit. (ID-20276) Par défaut, l'application sera désormais installée dans C:\Program Files\Sun Microsystems\Sun Identity Manager PasswordSync. Le répertoire par défaut sur la version 64 bits de Windows est C:\Program Files (x86)\Sun Microsystems\Sun Identity Manager PasswordSync\

Stratégie

• La stratégie de mot de passe valide désormais correctement tous les caractères ASCII étendus qui sont saisis pour la condition « Ne doit pas contenir les mots ». Cette condition fait désormais également la différence entre une correspondance de type mot complet et une correspondance d'attribut de chaîne lors de l'affichage d'un message Violation de stratégie. (ID-19384)

Provisioning

• Il ne se produit plus de NullPointerException pendant une tâche de relance lorsqu'une tentative de reprovisioning avec relance échoue sur une opération secondaire. (ID-19826)

Rapports

• Les versions plus anciennes des rapports d'analyse de risque produisaient un objet TaskResult qui contenait du XML qui n'était pas valable pour waveset.dtd. Par conséquent, ces objets TaskResult ne pouvaient pas être réimportés dans Identity Manager. Les nouvelles exécutions des rapports d'analyse de risque produisent du XML valable qui peut être réimporté. (ID-14419)

  Utilisez la procédure suivante pour mettre à jour et importer les anciens objets TaskResult :

  1. Exportez TaskRef dans un fichier, par exemple object.xml

  2. Exécutez la commande suivante depuis un shell UNIX. Une version corrigée du fichier est écrite dans object-fixed.xml.

     cat object.xml | sed -e s/'
'//g | sed -e s/'
 '//g | sed -e
     s/'
  '//g | sed -e s/'
  '//g > object-fixed.xml

  3. Importez le fichier object-fixed.xml dans Identity Manager

• Par défaut, les enregistrements d'audit sont placés dans le même ObjectGroup que l'objet auquel l'enregistrement se réfère. L'ApproverReportTask est dans le All ObjectGroup, de sorte que l'enregistrement d'audit indiquant que le rapport a été exécuté est également placé dans le All ObjectGroup. (ID-16363)

  Cela signifie que l'enregistrement d'audit peut être vu par tous les administrateurs. Si cela n'est pas souhaitable, vous pouvez soit remplacer le MemberObjectGroup de la ApproverReportTask TaskInstance par un ObjectGroup plus approprié, soit ajouter le XML suivant à la tâche AuditReport :

  <Field name='excludeAll'>
     <Display class='Hidden'>
        <Property name='value' value='true'/>
     </Display>
  </Field>

• Les options « Interface » et « Changements d'attribut » pour l'axe X et l'axe Y pour les rapports de type rapport d'utilisation sont désormais mappées vers des valeurs interrogeables valables et aucune NullPointerException ne se produit. « Changements d'attribut » mappe désormais vers Attribute.ACCT_ATTR_CHANGES. « Interface » mappe vers l'Attribute.INTERFACE nouvellement créé qui est un synonyme d'Attribute.CLIENT. (ID-16769)

• Le Rapport d'index de comptes peut désormais être généré correctement pour un utilisateur qui ne contrôle pas l'organisation supérieure. (ID-16643)

• Le Rapport d'utilisateur de ressources affiche correctement les noms des administrateurs. (ID-17650)

• Si une erreur se produit pendant la génération d'un rapport au format PDF, un message d'erreur s'affiche désormais correctement. (ID-17979)

• Le clonage d'un rapport fonctionne désormais correctement. (ID-18187)

• Identity Manager ne retourne plus d'exception NullPointerException lorsqu'un rapport d'utilisateur inclut Extended User Attributes (Attributs d'utilisateur étendus) dans ses options de recherche. (ID-19567)

• Correction d'une erreur accès refusé qui se produisait lorsqu'un utilisateur auquel plus de un AdminRole avait été assigné essayait de créer un rapport. (ID-20067)

• Les rapports de tâches affichent désormais correctement les noms de colonnes. (ID–20131)

Référentiel

• L'erreur MySQL « Column 'id' in field list is ambiguous » (La colonne « id » de la liste des champs est ambiguë) ne se produit plus lorsqu'un utilisateur clique sur un lien de stratégie d'audit dans le rapport « Toutes les violations de conformité ». Le référentiel génère désormais DML qui qualifie ce nom de colonne. (ID-19900)

Adaptateurs de ressources

• Le nom d'une tâche Change Resource Password (Modification du mot de passe de la ressource) s'affiche désormais correctement. (ID-6947)

• Correction d'un problème avec l' adaptateur Sybase qui faisait que l' adaptateur tentait une réconciliation avec la base de données système lorsque la base de données définie dans l' adaptateur de ressources n'était pas disponible. (ID-15867)

• Les onglets (\u0009) fonctionnent maintenant en tant que délimiteurs de champ pour les ressources ActiveSync fichier plat. (ID-16780)

• Amélioration des capacités de suivi dans l' adaptateur de ressources Scripted JDBC. (ID16900)

• La passerelle n'écrase plus la valeur ServerKeyFileName dans le fichier notes.ini de Domino Server lorsque Domino Server et le client Lotus Notes sont installés sur la même machine. (ID-17216)

• La création d'un nouvel utilisateur avec l'indicateur force_change explicitement défini sur false fonctionne désormais correctement avec les ressources Solaris. (ID-17401)

• Le service Gateway rétablit désormais sa connexion de base de données à SecurID en cas de redémarrage du SecureID. (ID-17443)

• Correction d'un problème qui faisait que la clé de chiffrement de la passerelle n'était pas mise à jour lorsque ScriptedGateway était la seule ressource passerelle. (ID-17556)

• Deux situations d'erreur se produisant lors de la création d'un utilisateur dans Active Directory indiquent désormais l'erreur correcte et lisible suivante : the account already exist and the account ID has an improper format (Le compte existe déjà et l'ID de compte a un format inadéquat). (ID-17587)

• L'adaptateur SecurId ACE Server UNIX teste désormais si les connexions en pool sont viables. (ID-17673)

• Identity Manager ignore désormais l'utilisation des alias de nom de groupe Lotus Domino et ne cause pas d'erreurs d'objet invalide s'ils sont utilisés de manière native. (ID-17739)

• L'adaptateur Domino supprime les fichiers de script qui sont créés pendant les actions de création et post mise à jour.(ID-18136)

• L'adaptateur de ressources Active Directory traite désormais correctement les codes de sortie non null des actions supprimer avant. (ID-18241)

• Une ressource Lotus Domino retourne désormais correctement les connexions au pool de connexion. (ID-18417)

• L'attribut de compte Name de l' adaptateur Exchange 2007 est un attribut en création seule. La modification de cet attribut a des effets secondaires non définis et peut rendre l'utilisateur ingérable depuis Identity Manager et n'est, par conséquent, plus prise en charge. (ID-18606)

• Les adaptateurs de ressources de passerelle n'écrasent plus les attributs de compte en lecture seule. (ID-18932)

• L'adaptateur de ressources OracleERP ne retourne plus d'erreur « no data found » (pas de données trouvées) lorsqu'il recherche les responsabilités qui n'ont pas encore été provisionnées aux utilisateurs. (ID-19056)

• L'adaptateur de ressources OracleERP ne retourne plus d'erreur lorsqu'il recherche une responsabilité ayant un nom non unique. (ID-19057)

• L'adaptateur de ressources LDAP ne demande plus d'attribut uniqueMember lors du test de l'appartenance à un groupe. (ID-19134)

• Correction d'une fuite de mémoire dans l'adaptateur Domino Gateway. (ID-19139)

• La passerelle ne s'arrête plus brusquement lorsqu'un message « get info » (Obtenir des informations) est envoyé à une ressource Scripted Gateway (ID-19249).

• La tâche Gérer le chiffrement du serveur ne corrompt plus les objets de type GatewayEncryptionKey lorsqu'elle stocke une copie horodatée de la clé. (ID-19250)

• Correction d'un problème qui empêchait l' adaptateur de ressources SAP de déverrouiller les utilisateurs qui avait été verrouillés suite à un nombre d'échecs de connexion trop élevé. (ID-19252)

• Le DominoActiveSyncAdapter désapprouvé n'est plus fourni. L'adaptateur de ressources Domino contient désormais cette fonctionnalité. (ID-19281)

• La passerelle ne s'arrête plus brusquement lors de l'exécution d'une réconciliation sur une ressource Windows NT. (ID-19295)

• La passerelle NDS n'envoie plus de faux message d'avertissement sur la classe User (Utilisateur) lors du traitement des objets NDS autres que des utilisateurs. (ID-19362)

• Les utilisateurs de messagerie compatible Legacy Exchange 2000/2003 sont désormais rapportés comme des utilisateurs AD uniquement, (RecipientType égale User) lorsque la prise en charge d'Exchange 2007 est activée sur l' adaptateur. Il est possible de distinguer les utilisateurs d'Exchange 2000/2003 des utilisateurs AD uniquement au moyen de legacyExchangeDN et d'autres attributs d'Exchange 2000/2003. (ID-19393)

• Maintenant l'erreur Uid is not unique (UID non unique) est générée lors du remplacement d'un ID utilisateur par une valeur qui est l'ID d'un autre utilisateur dans la ressource Red Hat Linux. (ID-19395)

• Identity Manager transmet désormais correctement les attributs personnalisés SAP Access Enforcer à Access Enforcer. (ID-19427)

• Les groupes LDAP présentant plusieurs objectClasses sont désormais stockés correctement. (ID-19436)

• Les adaptateurs Solaris, HPUX, AIX et Linux exécutant NIS vous empêchent désormais de créer un compte avec un UID en cours d'utilisation ou de remplacer un UID par celui d'un compte existant. (ID-19465)

• La passerelle retourne désormais correctement les attributs d'Exchange 2007 s'ils sont demandés dans le cadre de l'appel getAllObjects() sur un adaptateur Active Directory. (ID-19492)

• L'adaptateur AIX ne supprime plus tous les membres d'un groupe en cas de mise à jour avec des utilisateurs non valides. (ID-19516)

• Correction d'un problème qui se produisait lors de la suppression du groupe principal d'un utilisateur sous Red Hat et AIX. Si la ressource avait généré une exception et n'avait pas supprimé le groupe, l'interface administrateur rapportait une réussite. Cette erreur est désormais rapportée correctement. (ID-19520)

• Identity Manager interprète désormais correctement le code d'erreur retourné de Red Hat Enterprise Linux 5 lorsqu'un utilisateur est assigné à un groupe inexistant. (ID-19523)

• L'utilisation d'un accès non root à travers SSH depuis l' adaptateur de script de shell fonctionne désormais correctement. (ID-19583)

• L'utilisation d'ExcludedAccountsRule pour les mises à jour d'opération ne donne plus d'accountID null. (ID-19585)

• L'utilisation de caractères LDAP réservés, tels que l'astérisque (*), pour l'authentification LDAP ne verrouille plus tous les utilisateurs LDAP. (ID-19588)

• L'adaptateur de ressources AIX met correctement à jour la liste des groupes secondaires. (ID-19628)

• L'adaptateur de ressources Oracle permet désormais d'utiliser le point d'interrogation (?) et les accolades ({ }) dans un mot de passe de compte. (ID-19653)

• L'adaptateur SecurId ACE Server for Windows a été amélioré de façon à maintenant confirmer que tant la passerelle que l'environnement SecurId de secours répondent aux requêtes de travail. (ID-19667)

• La réconciliation complète modifie désormais correctement l'état désactivé des comptes. L'adaptateur de ressources LDAP contrôle maintenant l'état désactivé pendant la réconciliation. (ID-19708)

• Maintenant, lorsque vous créez ou modifiez un utilisateur avec un shell de connexion invalide pour les ressources NIS, une erreur se produit. (ID-19755)

• Identity Manager ne perd plus les mises à jour dans Active Directory pendant l'exécution de la synchronisation. (ID-19905)

• L 'état d'un compte SiteminderLDAP d'utilisateur désactivé s'affichera désormais correctement sur la page Éditer l'utilisateur en utilisant le Tabbed User Form (Formulaire utilisateur à onglets). (ID-19931)

• L'adaptateur de ressources Windows NT ne prend plus en charge les objets ressource groupType. (ID-19791)

• L'adaptateur de ressources SecurId UNIX traite correctement les valeurs de groupe séparées par des virgules. (ID-20152)

• Un administrateur peut assigner plus d'un groupe et client à un utilisateur dans l' adaptateur SecurId Windows. (ID-20153).

• La présence de caractères de contrôle (0x00-0x1f, 0x7f) dans un mot de passe utilisateur génèrera une erreur pour les adaptateurs de ressources Linux, AIX, Solaris, HPUX et ShellScript. (ID-20174)

Rôles

• Un rôle contenu doit maintenant être supprimé du ou des rôles auxquels il a été assigné pour pouvoir être supprimé. (ID-18981)

• Correction d'un problème qui empêchait les déployeurs de systèmes d'enregistrer et d'importer des rôles dans l'IDE Identity Manager IDE. (ID-19036)

• Correction d'un problème qui faisait qu'Identity Manager s'exécutant sur JDK 1.6 ne parvenait pas à assigner les rôles assignés à un rôle professionnel. Un symptôme de ce problème était qu'Identity Manager identifiait un rôle professionnel comme un rôle informatique après l'assignation d'un rôle professionnel. Ce problème était limité à JDK 1.6. (ID-19086)

• Correction d'un problème dans le cadre duquel l'afficheur SPML générait une ClassCastException lors de la définition d'une valeur ResourceAttribute sur une valeur String lors de la modification d'un rôle. (ID-19177)

• Correction d'un problème qui empêchait toute assignation des rôles aux utilisateurs au moyen de formulaires personnalisés. Ce problème se produisait quand des rôles étaient assignés en utilisant des composants d'IG non-actualisables tels que la zone de texte. (ID-19241)

• Les fonctions suivantes fonctionnent désormais correctement pour les utilisateurs ayant des rôles admin dynamiques : (ID-19456)

  • annulation d'approbations ;

  • affichage de l'historique d'un élément de travail ;

  • exécution d'un rapport.

• Les valeurs de la liste RoleAttribute fonctionnent désormais correctement. (ID-19981)

Service Provider

• Correction d'un problème qui se produisait lorsque l'Identity Manager Service Provider était configuré pour utiliser l'attribut organization. Un administrateur Identity Manager qui ne contrôlait pas Top (Haut) était dans l'impossibilité de mettre à jour les utilisateurs finals de Service Provider et recevait l'erreur suivante : « User must have a value for the 'org' attribute » (L'utilisateur doit avoir une valeur pour l'attribut « org »). (ID-18329)

API de session

• L'appel API EmailUtil et la méthode sendEmailToAddress() gèrent désormais une requête HTTP null envoyée sous forme d'arguments de l'appel. La méthode contrôle maintenant le cas null lors de la détermination de l'environnement linguistique depuis la requête HTTP et passe correctement par défaut à l'environnement linguistique approprié sans NullPointerException. (ID-17755)

Synchronisation

• Lorsqu'un serveur exécutant Active Sync pour une ressource avec un type de démarrage « Automatic with Failover » (Automatique avec basculement) est dans l'impossibilité de se connecter au référentiel d'Identity Manager, la tâche n'interroge pas la ressource pour connaître les changements. Si la tâche Active Sync peut établir une connexion avec le référentiel à une heure d'interrogation programmée ultérieure, elle se terminera si une autre tâche Active Sync pour cette même ressource a déjà été démarrée sur un autre serveur Identity Manager du cluster. (ID-19452)

Affichages

• Lorsque l'attribut de SystemConfiguration nommé ProvisioningDisabledUserShouldThrow est défini sur true, toute tentative visant à provisionner un utilisateur désactivé à une ressource sera empêchée et produira une erreur. Lorsque cet attribut n'est pas sur true, le provisioning est empêché de la même manière mais aucune erreur ne se produit. (ID-19433)

Autres bogues corrigés

17055, 18242, 19019, 19065, 19244, 19288, 19651, 20352