Chapitre 4 Problèmes connus

Cette section des notes de version dresse la liste des problèmes connus et des solutions disponibles concernant Identity Manager 8.1.

Elle aborde les sujets suivants :

• Généralités

• Audit

• Exportateur de données

• Identity Manager Service Provider

• Localisation

• Configuration de connexion

• Organisations

• PasswordSync

• Stratégies et capacités

• Réconciliation et importation d'utilisateurs

• Rapports

• Ressources

• Rôles

• SPML

• Sun Identity Manager Gateway

• Tâches

• Flux de travaux, formulaires, règles et XPRESS

Généralités

• Aucun contrôle de la présence de caractères incorrects n'est effectué sur les noms d'organisation, d'administrateur, de compte, d'attribut d'utilisateur (côté gauche de la mappe du schéma) ou sur les noms de tâches (ID-1145, 1206, 1679, 1734, 1767, 2413, 3331). Vous ne pouvez pas utiliser de dollar ($), de virgule (,), de point (.), d'apostrophe ('), d'esperluette &), de crochet d'ouverture ([), de crochet de fermeture (]), ni de deux-points :) dans le nom de ces types d'objets.

• L'objet calendrier n'est pas totalement visible lorsque le navigateur utilise de grandes polices. (ID-2120).

• La case à cocher de sélection globale disponible sur la page des résultats de la recherche et la page répertoriant les tâches n'est pas désactivée si l'un des éléments de la liste est désélectionné (ID-5090). Cette case à cocher n'est pas prise en compte pendant l'action résultante si la case à cocher affichée en regard de chaque membre de la liste n'est pas sélectionnée.

• Si vous apportez une modification à un catalogue de messages personnalisé, vous devez redémarrer le serveur pour qu'elle soit prise en compte. (ID-6792)

• Le mécanisme actuel de détection de serveur en panne suppose que tous les systèmes d'un cluster Identity Manager sont synchronisés sur la même heure. (ID-7064). Avec un intervalle de panne par défaut de cinq minutes, si un serveur est décalé de cinq minutes par rapport à un autre, le serveur qui avance déclare que le serveur en retard est non opérationnel, causant des résultats inattendus.

  Solution : maintenez une meilleure synchronisation temporelle ou augmentez l'intervalle de basculement.

• Sous Windows, si vous vous connectez en tant qu'utilisateur dont le nom contient des caractères codés sur deux octets et que le codage par défaut de la machine ne prend en charge que les caractères codés sur un octet, vous devez définir la variable d'environnement UTILISATEUR_JPI_PROFILE sur un répertoire existant dont le nom contient uniquement des caractères codés sur un octet. (ID-8540)

• Si vous extrayez une ressource vers un fichier XML en utilisant Format de fichier comme option XML puis sélectionnez un format de fichier CSV dans la liste déroulante, le message suivant s'affiche : (ID-10847)

  The form has already been submitted.

  Solution : pour éviter ce message, cliquez sur Comptes -> Extraire vers le fichier -> Choose a Resource (Choisir une ressource) -> Choose CSV File Format (Choisir le format de fichiers CSV). Cliquez sur Télécharger pour télécharger les détails du compte de ressources dans le format de fichier .csv.

• Si un nœud étendu contient moins d'une page de données et que vous y insérez un nouvel enfant (en créant, par exemple, un utilisateur dans l'organisation) avant le premier enregistrement de la page, Identity Manager insère une page contenant un élément avant la page courante lors de l'actualisation suivante. (ID-12151)

  Solution : pour réaligner les pages, cliquez sur le bouton Première page.

• Si vous modifiez un formulaire de rôle en vue de changer la variable showSuperAndSubRoles de 0 à 1, puis importez un fichier de définition d'objet de super rôle contenant des sous-rôles existants à partir de l'onglet Configurer, ces sous-rôles ne contiendront pas la section <SuperRoles>. En revanche, si vous créez un super rôle via l'interface graphique d'Identity Manager, les sous-rôles référencés par ce super rôle seront mis à jour. (ID-15053)

  Ce problème peut se produire avec des rôles créés en dehors d'Identity Manager et disposant de références à des rôles existants (des sous-rôles ou des super rôles) déjà présents sur le système.

  Lors de l'importation de ces rôles, les rôles déjà présents sur le système ne sont pas mis à jour de manière à refléter les nouvelles relations. Ainsi, l'intégrité référentielle n'est pas conservée. Faites appel à la fonction RoleUpdater pour vérifier et corriger l'intégrité référentielle lorsque les rôles sont importés de cette manière.

  Solution : vous pouvez mettre à jour des rôles en dehors de la procédure de mise à niveau en important un nouveau fichier RoleUpdater.xml se trouvant dans sample/forms/RoleUpdater.xml. Par défaut, Identity Manager ajoute les liens pointant vers les sous-rôles lors des mises à niveau ou lors de l'importation du fichier RoleUpdater.xml.

  Pour désactiver cette nouvelle fonctionnalité, définissez l'attribut RoleUpdater nofixsubrolelinks sur true. Par exemple :

  <MapEntry key='nofixsubrolelinks' value='true' />

• Si vous modifiez des paramètres (en ajoutant par exemple des attributs de colonne supplémentaires) sur un ChangeLog existant, ces modifications peuvent ne pas figurer dans un fichier CSV de ChangeLog préexistant. (ID-15973)

• L'objet de configuration du référentiel a un attribut nommé maxAttrValLength. La valeur de cet attribut est ignorée et est toujours 255. (ID-16261)

• Au cours d'une session d'Identity Manager dans une langue autre que l'anglais, les utilisateurs peuvent rencontrer une traduction partielle (un mélange d'anglais et de la langue sélectionnée) dans les applets de diagramme de processus. (ID-16139)

• La synchronisation des mots de passe en mode direct nécessite la configuration de SimpleRpcHandler dans le fichier web.xml. Par défaut, ce gestionnaire n'est pas fourni en tant que tel pour le servlet rpcrouter2. (ID-16469) Pour utiliser la synchronisation des mots de passe en mode direct, définissez le paramètre d'initialisation du gestionnaire de la manière suivante :

  <init-param>
     <param-name>handlers</param-name>
     <param-value>com.waveset.rpc.SimpleRpcHandler,
         com.waveset.rpc.PasswordSyncHandler</param-value>
  </init-param>

  Vous noterez que SimpleRpcHandler perturbe certains appels de type RemoteSession. Si vous envisagez d'utiliser RemoteSession en plus de la synchronisation des mots de passe en mode direct, configurez un servlet distinct pour le traitement des appels RemoteSession.

• Comptes > Extraire vers le fichier enregistre les fichiers XML et CSV avec l'extension .dat au lieu des extensions attendues .xml et .csv. (ID-17521)

  Solution les fichiers sauvegardés peuvent être renommés manuellement avec des extensions de fichier appropriées.

• La stratégie de qualité de chaîne affiche le texte en lignes verticales. (ID-18551)

• Les délégations de types de rôles remplaceront les délégations d'approbation des rôles faites pour un rôle spécifique. (ID-18559)

  Par exemple, si les types d'éléments de travail de rôles futurs pour un ou plusieurs rôles spécifiques sont délégués à l'utilisateur un, tandis que les éléments de travail des rôles métier sont délégués à l'utilisateur deux, les rôles spécifiques de la première délégation seront délégués à l'utilisateur deux et non pas à l'utilisateur un.

  En résumé, les délégations s'utilisent comme suit :

  • Déléguez l'approbation des rôles pour le rôle métier 1 à l'utilisateur un.

  • Déléguez l'approbation du rôle métier à l'utilisateur deux

  Dans toutes les requêtes, quand l'approbation d'un rôle métier a été assignée à un utilisateur, le rôle métier est toujours délégué à l'utilisateur deux.

• L'activation d'un rôle n'autorise pas l'utilisateur à mettre à jour les rôles assignés. (ID-18647)

  Solutions : mettez à jour manuellement les utilisateurs assignés ou mettez-les à jour depuis les pages Lister les rôles/Rechercher des rôles.

• Les rôles contenus par d'autres rôles peuvent maintenant être assignés sous condition à des utilisateurs quand leur rôle parent est assigné. Il est possible de spécifier une condition sur l'association entre le parent et le rôle contenu lors de l'édition du rôle parent. Une condition peut être créée ou peut référencer une règle. Si une règle a été spécifiée, tous les attributs d'affichage de l'utilisateur requis pour l'évaluation de cette règle doivent être spécifiés sous forme d'arguments de règle. (ID-18734)

• La mise à niveau de Identity Manager 7.x vers Identity Manager 8.0 échouera si le référentiel est MySQL et que l'installation 7.x a configuré des objets de rôle. Ce problème se produit quand le script upgradeto80from71.mysql s'exécute. Lorsque ce script s'exécute, l'ordre des colonnes de l'ancienne table d'objets, qui contient les rôles 7.x, et celui de la nouvelle table de rôles diffèrent. (ID-18874)

• Le catalogue de message de l'entrepôt, WICMessages.properties, est chargé sur la base de l'emplacement du serveur et non de l'emplacement de l'utilisateur. Par exemple, si un serveur d'application est utilisé en Japonais, les attributs de requête seront affichés en Japonais, même si l'interface utilisateur est normalement en Anglais. (ID-18898)

  Solution : redémarrez le serveur d'application dans un environnement linguistique avec une variante UTF-8 qui correspond au paramètre de langue du navigateur.

• Identity Manager 8.0 contient un nouvel attribut interrogeable, assignedRoles, qui référencie tous les rôles directs et indirects assignés à un utilisateur. (ID-18921) Les versions précédentes contenaient l'attribut interrogeable encore disponible, rôle, qui ne contient que des rôles directement assignés aux utilisateurs. Le processus de mise à niveau n'actualise automatiquement que les utilisateurs ayant des rôles indirects pour permettre la population d'assignedRoles. Un rapport pour les utilisateurs avec un rôle assigné ne renverra pas à tous les utilisateurs assignés à un rôle dans un environnement mis à niveau tant que tous les utilisateurs n'auront pas été actualisés.

  Solutions :

  • Actualisez tous les utilisateurs.

  • Créez un rapport pour les utilisateurs avec des rôles directement assignés.

• L'option Sort by Repetition (Trier par répétition) ne fonctionne pas sur la table Tâches programmées. (ID-20377)

Audit

• Pendant un balayage, il est impossible de renouveler des tentatives visant à récupérer des comptes utilisateur non extraits à partir des ressources ou suite à d'autres pannes. Ces défaillances sont signalées à la fin du balayage, mais il n'existe aucun moyen automatisé de rebalayer ces comptes. (ID-9112)

• Identity Auditor tente de conserver les utilisateurs en conformité entre les balayages de stratégie en appliquant systématiquement la stratégie quand l'utilisateur est édité. Si vous éditez un utilisateur auquel des stratégies d'audit sont assignées et qui enfreint une stratégie, vous ne pouvez pas enregistrer les modifications apportées à cet utilisateur, même si la modification est aussi simple que le transfert de l'utilisateur vers une autre organisation. (ID-9504)

  Solution : utilisez la fonction de déplacement (ou de recherche puis de déplacement) disponible dans le menu contextuel sur l'applet de l'utilisateur ou désactivez temporairement les contrôles de la stratégie d'audit.

  Pour désactiver temporairement les contrôles de la stratégie d'audit, éditez la configuration système et supprimez la propriété userViewValidators. Cette propriété, qui a une valeur de liste de chaînes, est ajoutée pendant l'importation du fichier init.xml ou upgrade.xml.

• Dans les rapports d'historique des violations de stratégie d'audit, par ressource et par organisation, implémenter le dimensionnement logarithmique pour un type de diagramme STACK peut se traduire par un comportement d'affichage inhabituel. (ID-9522)

• Actuellement, il est impossible pour un administrateur de rapports de balayage d'accès Auditor de planifier un balayage des stratégies d'audit. Une erreur, Error message: Create access denied to Subject auditadmin on type TaskSchedule (Message d'erreur : accès en création refusé au sujet auditadmin sur le type TaskSchedule) s'affiche. Pour planifier une tâche, les administrateurs doivent disposer de privilèges de type create pour le type d'authentification TaskSchedule. (ID-14713)

  Solution : éditez l'administrateur pour assigner le privilège create pour TaskSchedule ou spécifiez un utilisateur avec au minimum les capacités Auditor Administrator ou Wave set Administrator.

• Lors de l'exécution de balayages d'audit entraînant plusieurs violations, Auditor crée dans certains cas un flux de travaux de résolution destiné à gérer le traitement des violations. Le paramètre MySQL par défaut de max_allowed_packet (1M) est trop petit pour un flux de travaux contenant des dizaines de violations. Si cette limite est atteinte, Auditor ne lance pas le flux de travaux de résolution. (ID-15830)

  Solution : pour une utilisation intensive d'Auditor, augmentez considérablement cette valeur. Pour résoudre ce problème, ajoutez max_allowed_packet = 32M au fichier de configuration MySQL (my.cnf) et redémarrez le serveur de base de données.

• La modification des valeurs de gravité et de priorité pour les résolutions de violations de conformité peut être trompeuse. Les valeurs initiales du formulaire ne correspondent pas aux valeurs actuelles des violations de conformité. Elles reflètent les dernières valeurs définies suite à une modification. Il est important de connaître la valeur de gravité/priorité souhaitée pendant que la liste est encore affichée, car vous ne pouvez pas déterminer les valeurs actuelles lorsque vous visualisez la page permettant de changer ces valeurs. (ID-16040)

• Les noms de stratégies d'audit ne peuvent pas contenir les caractères suivants : (point), | (barre verticale), [ (crochet gauche), ] (crochet droit), , (virgule), : (deux points), $ (symbole du dollar), " (guillemets double) et = (signe égal). (ID-16078)

Exportateur de données

• L'exportateur de données peut être configuré pour fonctionner comme n'importe quel administrateur Identity Manager bénéficiant des capacités appropriées. La tâche d'exportation s'exécute comme un démon ; elle est démarrée et surveillée par l'ordonnanceur d'Identity Manager. Les enregistrements d'audit créés par l'exportateur de données présenteront le sujet de l'ordonnanceur d'Identity Manager (Ordonnanceur:IDMServer), au lieu du sujet que la tâche est configurée pour utiliser. (ID-18055)

• Une requête sur attributs ne prend pas en charge les actions d'édition et de modification pour les types de rôle. (ID-18769)

• Les utilisateurs de l'explorateur de données doivent être conscients des problèmes de performance suivants : une fois la configuration du modèle d'entrepôt écrite, l'explorateur de données ne réexaminera le code de l'interface de l'entrepôt. Si vous modifiez le code de l'interface de l'entrepôt pour ajouter les attributs utilisateur étendus, ces nouveaux attributs n'affichent pas dans Configurer -> Entrepôt -> Configuration de modèle d'entrepôt (Modèle -> onglet Attributs) et, par conséquent, ne s'afichent pas pour être utilisés avec l'interface Forensic Query. (ID-18975)

  Vous rencontrerez ce problème lorsque vous configurerez votre entrepôt puis essaierez d'ajouter des attributs personnalisés pour l'exportation. La configuration initiale de l'entrepôt examine le code WIC et écrit l'objet Configuration -> Data Warehouse Configuration (Configuration de l'entrepôt de données). L'explorateur de données ne réexaminera pas le code WIC par la suite.

  Les mises à niveau successives de l'entrepôt avec de nouvelles versions d'Identity Manager se heurtent au même problème.

Identity Manager Service Provider

• Identity Manager Service Provider et Sun Java^TM System Portal Server peuvent ne pas être compatibles en raison d'un problème lié aux bibliothèques chiffrées. (ID-10744)

  Il est possible de corriger ce problème en définissant les valeurs suivantes dans le fichier /etc/opt/SUNWam/config/AMConfig.properties de Portal Server puis en redémarrant le conteneur Web :

  com.iplanet.security.encryptor=com.iplanet.services.util.JCEEncryption
  com.iplanet.security.SSLSocketFactoryImpl=netscape.ldap.factory.
     JSSESocketFactory
  com.iplanet.security.SecureRandomFactoryImpl=com.iplanet.am.util.
     SecureRandomFactoryImpl

• Certaines options de configuration disponibles dans l'interface administrateur d'Identity Manager ne sont pas utilisées avec Identity Manager Service Provider. (ID-10843).

  Il s'agit entre autres des suivantes :

  • Options de ressource : règle d'exclusion de comptes, approbateurs et organisation à laquelle la ressource est assignée.

  • Attributs de rôle

• Le groupe du module de connexion Service Provider par défaut s'attend à ce que la ressource Service Provider s'intitule « SPE End-User Directory » (Répertoire des utilisateurs finaux SPE). Si le nom de la ressource est différent, la page de connexion de l'utilisateur final Service Provider présentera des dysfonctionnements. Elle n'affichera pas les champs de connexion. (ID-14891)

  Solution : mettez à jour le nom de la ressource dans l'objet UI_LOGIN_MOD_GRP_DEFAULT_SPE_PWD LoginModGroup afin de référencer le nom de ressource correct.

Localisation

• Identity Manager ne fournit pas de mécanisme permettant de personnaliser le codage d'un fichier CSV ayant été généré suite à une action en masse. Lorsque vous utilisez Excel pour ouvrir un fichier CSV codé UTF-8, le contenu s'affiche comme du garbage car Excel s'attend à trouver un codage natif dans un fichier CSV (par exemple, pour le japonais iShift_JIS) (ID-19901)

  Solution : utilisez un éditeur qui prend en charge le codage UTF-8.

• Dans l'e-mail de notification de PasswordSync, les caractères multioctets du champ $cn ne s'affichent pas correctement. (ID-19934)

• Dans le conteneur Web Tomcat, les caractères multioctets des noms de colonnes s'affichent sous la forme « ??? » dans le rapport SOD en mode d'affichage compact. (ID-20040)

• Pour une ressource Solaris, Identity Manager affiche un message tronqué dans le champ Rôles. Si OpenSolaris est utilisé comme une ressource, ceci n'est pas un problème. (ID-20046)

  Solution : dans le fichier /etc/default/init, définissez LANG=C et réinitialisez Solaris. Assignez ensuite une ressource Solaris à l'utilisateur. Le champ Rôles est vide, ce qui est le comportement attendu.

• Identity Manager tronque les apostrophes et les caractères multioctets sur les applets Java MultiSelect pour les configurations de navigateur suivantes : Internet Explorer 7 avec Java 1.6.0_07 et 1.6.0_11 (quand le codage UTF-8 est défini) Firefox 3 avec Java 1.6.0_07 sous Windows XP Professional (ID-20106)

• La chaîne « Check Alignment of PHs » (Contrôlez l'alignement des PH) et des balises html mal placées s'affichent dans certains fichiers d'aide en ligne allemands. (ID-20345)

Configuration de connexion

• Si un administrateur se connecte et sélectionne Changer mon mot de passe puis active un autre onglet, son compte est verrouillé jusqu'à l'expiration du verrou. (ID-3705)

  Si un autre administrateur tente d'éditer cet administrateur verrouillé, le message suivant s'affiche :

  com.waveset.util.WavesetException:
  Unable to access account #ID#Configurator at this time
  Please try again later.

  Si l'administrateur clique sur OK, le diagramme du processus de flux de travaux de la dernière action s'affiche.

Organisations

• Les demandes de provisioning en attente comptant des utilisateurs appartenant à une organisation dont vous êtes en train de changer le nom se solderont par un échec (ID-564).

  Solution : vérifiez l'absence de toute demande en attente avant de renommer une organisation.

• Si l'option Règles de membres utilisateurs est sélectionnée avant la spécification du nom de l'organisation que vous êtes en train de créer, un ID d'organisation s'affiche dans le champ du nom de l'organisation après le rafraîchissement de la page (ID-6302). Le nom peut encore être défini avant l'enregistrement de l'organisation.

PasswordSync

• L'application d'installation et de configuration PasswordSync peut lire un fichier XML pour remplir les clés de registre utilisées par la DLL. Le fichier XML utilisé doit toujours être basé sur le fichier généré par l'option « -writexml » de l'application de configuration prise depuis une installation de PasswordSync qui fonctionne. (ID-20375)

  Solution : vous pouvez changer le fichier à condition de garder à l'esprit les restrictions suivantes : les noms de clés sont sensibles à la casse ; Identity Manager ne contrôle pas les valeurs ; les clés qu'Identity Manager ne reconnaît pas ne génèreront pas d'erreurs ni d'avertissements et seront ignorées en silence.

Stratégies et capacités

• L'attribut de stratégie de compte d'Identity Manager « Option de notification de la réinitialisation » dispose d'une option de valeur « administrateur » sans aucun effet (ID-944). Les seules options valables sont « immédiat » et « utilisateur ».

• Le nombre minimum de questions auxquelles un utilisateur doit répondre peut être défini sur une valeur supérieure au nombre de questions définies (ID-1834). Si ce cas de figure se présente, l'utilisateur sera dans l'impossibilité de se connecter à l'aide de l'option « Mot de passe oublié ».

• Il est impossible de cloner la stratégie de compte Lighthouse par défaut en l'éditant, en la renommant et en sélectionnant la création d'un nouvel objet (ID-5147).

  Solution : réez une nouvelle stratégie de compte.

• Le balayage d'audit a une option dans le formulaire Lancer une tâche permettant d'envoyer un e-mail à une adresse électronique spécifiée avec un rapport de violation. Cet e-mail ne sera pas envoyé si aucune violation n'est détectée. (ID-18773)

Réconciliation et importation d'utilisateurs

• Quand une réconciliation complète est annulée, le message d'erreur suivant s'affiche :(ID-14554)

  Canceled the incremental reconciliation of [resource] running on [server]

  Le message devrait être :

  Canceled the full reconciliation of [resource] running on [server]

• Lorsque vous exécutez Charger à partir de la ressource et que la ressource prend en charge les ACCOUNT_CASE_INSENSITIVE_IDS si la casse de l'ID de compte de l'utilisateur diffère de celle de l'ID de compte stocké dans l'objet utilisateur ResourceInfo d'Identity Manager, un deuxième ResourceInfo utilisant la casse rapportée par la ressource sera ajouté à l'objet utilisateur. (ID-17377)

  Solution : assurez-vous que l'ID de compte de l'objet ResourceInfo dans l'objet utilisateur a la même casse que celle rapportée par la ressource.

• Si vous désactivez l'applet du composant d'affichage MultiSelect (et utilisez la version HTML à sa place) et éditez la stratégie de réconciliation d'une instance de ressource particulière, vous pouvez obtenir un erreur quand vous désélectionnez la case Hériter stratégie du type de ressources. (ID-18964)

  Solution : Réactivez les applets MultiSelect.

Rapports

• Des chiffres s'affichent dans les colonnes Priorité et Gravité du Rapport récapitulatif des violations au lieu d'un texte de description. (ID-16932)

• Le Rapport récapitulatif des violations ne contient pas les violations corrigées. Le rapport contient uniquement les violations actives (nouvelles ou récurrentes) ou atténuées. (ID-16933)

• Quand plusieurs conditions sont spécifiées pour générer un rapport d'utilisation, le graphe s'affiche correctement sur la page Résultats du rapport, mais la ligne de longueur fixe tronquera le texte conditionnel. (ID-17224)

• Tous les rapports Balayage des comptes inactifs n'affichent pas leurs résultats dans la page Afficher analyse de risque. Pour afficher les résultats depuis ces rapports, allez à la page Tâches du serveur. (ID-17255)

• Le rapport des questions utilisateur n'affiche pas le titre quand la stratégie de questionnement n'est pas configurée. (ID-17415)

• Le rapport Utilisateur de la ressource liste l'administrateur de réinitialisation en tant qu'utilisateur, mais l'administrateur de réinitialisation est un utilisateur caché qui ne doit pas être affiché. (ID-17650)

• Identity Manager n'affiche pas l'étiquette « Date de la dernière connexion » sur la table de résultats Rapport d'analyse de risque. (ID-20269)

• Le rapport Télécharger CSV envoie une notification par e-mail lorsque la case à cocher Envoyer le rapport par e-mail est sélectionnée. Cette notification par e-mail ne devrait avoir lieu que quand le rapport est exécuté (en cliquant sur le bouton Exécuter). (ID-20346)

Ressources

• Le bouton de test de ressources ne teste pas tous les champs. (ID-51)

• Le message d'erreur qui s'affiche quand un mot de passe ou un nom d'utilisateur de compte de ressources est incorrect sur une ressource PeopleSoft n'est pas clair (ID-2235). Ce message d'erreur indique :

  bea.jolt.ApplicationException: TPESVCFAIL - application level service failure

• Les actions de ressources Windows Active Directory utilisant le statut de sortie %DISPLAY_INFO_CODE% entraînent l'échec de l'action avec des erreurs (ID-2827).

• La définition de l'ID de groupe principal d'un utilisateur sur Active Directory n'est pas possible au moment de la création de l'utilisateur (ID-3221).

  Solution : créez l'utilisateur sans définir l'ID de groupe principal, puis éditez l'utilisateur et définissez la valeur. L'ID de groupe principal est aussi défini par le numéro et pas par le nom distinctif du groupe.

• Les adresses IP des ressources sont mises en cache dans le JVM une fois le nom d'hôte résolu en adresse IP. Si l'adresse IP d'une ressource est modifiée, vous devez redémarrer le serveur d'application afin qu'Identity Manager détecte la modification (ID-3635). Il s'agit là d'un paramètre du JDK de Sun (versions 1.3 et ultérieures) pouvant être contrôlé à l'aide de la propriété sun.net.inetaddr.ttl, généralement définie dans jre/lib/security/java.security.

• Vous ne pouvez pas créer plusieurs comptes pour un unique utilisateur sur les ressources Oracle (ID-3832).

• Si un utilisateur est déplacé depuis ou vers un sous-conteneur au sein de l'organisation Active Directory, l'adaptateur Active Sync détecte le changement. Toutefois, lorsque vous affichez l'utilisateur sur la page d'édition (ou lorsque vous effectuez une modification et visualisez la page de confirmation), l'ID de compte de l'utilisateur est encore affiché sous la forme du DN d'origine (nom distinctif) (ID-4950). Étant donné que nous utilisons GUID pour modifier l'utilisateur, cela n'entraîne pas de problèmes de fonctionnement. L'exécution d'une réconciliation par rapport à la ressource corrige le problème.

• Si un utilisateur passe d'une organisation (OU) à une sous-organisation, l'adaptateur LDAP ChangeLog ne reconnaît pas le changement et suppose que l'utilisateur a été supprimé. L'objet utilisateur est ensuite verrouillé dans Identity Manager (s'il s'agit du paramètre actif) et aucun nouveau compte n'est créé pour le compte déplacé (ID-4953).

• Les connexions groupées utilisées par les adaptateurs de ressources UNIX peuvent être conservées dans un état indéterminé si une erreur se produit pendant l'exécution d'une commande ou d'un script (ID-5406).

• Sur NDS, si vous éditez un champ (par exemple Grace Login Limit) sur la provision initiale et si vous ne fournissez pas de valeurs pour les champs booléens, ces derniers sont définis sur false (ID-6770). Cela empêche de définir d'autres champs sur l'onglet de restriction, dans lequel certaines cases à cocher doivent être définies sur la valeur true. Pour éviter cela, assurez-vous que tous les champs booléens sont définis sur true lorsque cela est prévu, de sorte qu'ils soient transmis correctement au moment de l'édition d'autres champs.

• Lorsque vous mettez à jour des utilisateurs en procédant à partir d'une organisation d'Identity Manager, les utilisateurs dotés d'un compte Sun One ID Server reçoivent une erreur s'ils ont été créés en natif puis chargés dans Identity Manager (ID-7094). La solution consiste à mettre individuellement à jour ces utilisateurs.

• Identity Manager contient encore les classes désapprouvées suivantes :

  • com.waveset.object.IAPI

  • com.waveset.object.IAPIProcess

  • com.waveset.object.IAPIUser

    Les classes d'adaptateur personnalisé ne devraient plus faire référence à ces classes mais à des classes correspondantes du package com.waveset.adapter.iapi. (ID-8246)

• Si vous quittez l'assistant Nouvel objet de ressource sans cliquer sur le bouton Enregistrer ou Annuler, le formulaire abandonné peut ne pas être détruit et perturber la création des futurs objets de ressource. (ID-11033) Cela génère l'erreur suivante :

  No resource form id found in options or view.

  Solution : utilisez toujours le bouton Annuler pour abandonner l'assistant Nouvel objet de ressource.

• Si vous éditez un utilisateur alors que vous exécutez Active Sync sous un autre nom d'administrateur, une exception Active Sync se produit. L'utilisateur étant verrouillé par un autre administrateur, Active Sync ne peut pas retenter le processus. (ID-11255)

  Solution : pour activer une relance d'Active Sync pour une ressource, mettez à jour le XML de cette ressource de façon à inclure les deux attributs de ressource supplémentaires ci-après, dans le format suivant :

  <ResourceAttribute name='syncRetryCountLimit' type='string' multi='false'facets='activesync' value='180'/>

  <ResourceAttribute name='syncRetryInterval' type='string' multi='false' facets='activesync' value='10000'/>

  Où :

  • syncRetryCountLimit est le nombre de relances de mise à jour.

  • syncRetryInterval est le nombre de millisecondes d'intervalle entre deux relances.

  Par la suite, ces valeurs s'afficheront à titre de paramètres de ressource personnalisés lorsque vous configurerez Active Sync. Spécifier un displayName est conseillé ; en utilisant une clé de catalogue personnalisée si la localisation est nécessaire.

• Si le mot de passe d'un utilisateur sur tous les systèmes qui font partie du paysage CUA n'est pas synchronisé, la modification de ce mot de passe risque d'échouer sur les systèmes enfants qui sont non synchronisés. Cela se produira uniquement lorsque l'administrateur définira un mot de passe productif, n'ayant pas expiré pour l'utilisateur ou quand l'utilisateur changera lui-même son mot de passe. Dans toutes les autres circonstances, la modification du mot de passe réussira même si les systèmes sont non synchronisés. (ID-13396)

  Solution : commencez par définir un mot de passe expiré puis, au moyen d'une seconde modification, définissez le mot de passe productif pour l'utilisateur.

• L'éditeur de modèles de l'intégration Remedy présente deux problèmes connus. (ID-14729)

  • La valeur par défaut du schéma Remedy « HPD:HelpDesk » est inappropriée pour les versions ultérieures de BMC Remedy. Ces versions contiennent un autre schéma intitulé « HPE:Help Desk ».

  • La colonne de choix ne s'affiche pas pour certains champs. Cela n'a aucune incidence sur l'utilisation des modèles Remedy.

• Une régression entraîne l'échec de la synchronisation des mots de passe d'Identity Manager en cas d'utilisation conjointe avec Sun Java SystemDirectory Server Enterprise Edition 6.0, 6.1 et 6.2. Cet échec sera corrigé dans la version 6.3 de Directory Server. Si les versions 6.0, 6.1 ou 6.2 doivent pouvoir fonctionner avec Identity Manager, veuillez demander un correctif de Directory Server au support en précisant le bogue n?6604342 de Directory Server. (ID-14895)

• Si vous étendez les objets ressources d'une ressource Sun Java System Access Manager 7.0 à partir de l'onglet Ressources, il est possible que vous voyiez l'erreur suivante :(ID-15525)

  Error listing objects. ==> com.waveset.util.WavesetException: Error trying to get attribute value for attribute 'guid'. ==> java.lang.IllegalAccessError: tried to access method com.sun.identity.idm.AMIdentity.getUniversalId()Ljava/lang/String; from class com.waveset.adapter.SunAccessManagerRealmResourceAdapter

  Cette erreur se produit sur les ressources Access Manager 7.0 auxquelles aucun patch n'a été appliqué. Pour corriger ce problème, vous devez appliquer au minimum le patch 1 d'Access Manager puis recompiler et redéployer le SDK client d'Access Manager.

• Les utilisateurs de NDS/Groupwise créés par Identity Manager disposant des champs Accès et ID de compte peuvent sembler ne pas être dotés des valeurs correspondantes enregistrées lorsqu'ils sont contrôlés par certains afficheurs au sein de l'application NDS Console 1 (par exemple, en choisissant la commande des propriétés de l'utilisateur puis en sélectionnant l'onglet Groupwise). (ID-16330)

  Toutefois, si l'afficheur Groupwise Diagnostic (Diagnostic Groupwise) -> Display Object (Afficher l'objet) de l'utilisateur est utilisé à la place, ces champs sont visibles. Les mises à jour apportées par Identity Manager aux champs susmentionnés ne semblent pas être concernées par ce bogue d'afficheur.

• WRQ effectue une recherche dans le classpath pour détecter sa propre entrée. Depuis cette entrée, WRQ calcule le répertoire où le fichier JAR est stocké puis utilise ce répertoire pour lire le fichier .JAW (fichier de licence). Cependant, BEA et WebSphere utilisent tous deux des noms de protocole non standard (BEA utilise zip et WebSphere wsjar) à la place de JAR (standard) qui est le protocole dont le code WRQ assume l'existence. (ID-16709, 17319)

  Solutions :

  • Pour BEA, ajoutez l'option suivante à la commande java dans le fichier startWeblogic.sh :

    -Dcom.wrq.profile.dir="DirectoryContainingLibraries"

  • Pour WebSphere, ajoutez la propriété com.wrq.profile.dir=DirectoryContainingLibraries au fichier WebSphere/AppServer/configuration/config.ini.

• Avant de créer une nouvelle ressource, veillez à activer le type de ressource dans la liste des types configurés. Sinon, l'objet ressource nouvellement créé risque de ne pas présenter tous les champs obligatoires. (ID-17324)

• La valeur par défaut de l'attribut de ressource Créer un répertoire est incohérent entre les différents adaptateurs de ressources du SE UNIX. Pour AIX, les créations d'utilisateur entraînent toujours la création d'un répertoire personnel et, par conséquent, cette valeur n'est pas présente. Pour les adaptateurs Linux, cette valeur est définie sur « true » par défaut. Pour les adaptateurs Solaris et HP-UX, la valeur par définie est définie sur « false ». (ID-18301)

• Si une assignation de ressource externe est en attente de provisioning et que vous renommez l'utilisateur auquel l'élément de travail a été signalé, la tâche de provisioning se terminera sans signalisation à l'intention de l'utilisateur renommé. (ID-19897)

• Lorsque l'authentification d'intercommunication est configurée entre Identity Manager et le serveur OpenSSO (adaptateur Sun Access Manager Realm Resource), l'authentification peut échouer si vous utilisez le caractère « % » dans les mots de passe. Pour plus d'informations sur ce problème, reportez-vous à https://opensso.dev.java.net/issues/show_bug.cgi?id=4122 . (ID-20011)

• Les formulaires de création et de mise à jour d'objets de ressource de la passerelle Domino ne reconnaissent pas les valeurs de catégories de groupe autres que celles par défaut (c'est-à-dire les valeurs autre qu'« Administration » et « None ». Le formulaire de mise à jour d'objets de ressource de la passerelle Domino affichera une erreur lors de l'édition d'un groupe utilisant des valeurs de catégories autres que celles par défaut. (ID-20212)

• Le connecteur Active Directory n'affiche pas les messages localisés si la langue du navigateur est définie sur une valeur sans cntry à l'instar de ja. (ID-20255)

  Solution : sélectionnez une langue ayant une valeur cntry, par exemple ja-JP sur le navigateur ou spécifiez cntry=JP en tant que paramètre d'URL lorsque vous vous connectez à Identity Manager. Par exemple :

  http://host:port/idm/login.jsp?lang&cntry=ja=JP

• Si vous faites migrer une ressource basée sur un adaptateur Active Directory vers une ressource basée sur un connecteur Active Directory, vous devez éditer toute action de ressource associée de façon à ce qu'elle inclue l'attribut execMode. Les valeurs valables pour cet attribut sont connector et resource, mais pour Active Directory, si vous utilisez le type d'action SHELL, resource est la seule valeur valable. (ID-20534)

  Par exemple, lorsque des implémentations précédentes d'une action de ressource présente la ligne suivante : <

  <ResTypeAction restype='Windows Active Directory' actionType='SHELL'>

  Vous devez ajouter la ligne suivante si vous utilisez le connecteur Active Directory :

  <ResTypeAction restype='Windows Active Directory' actionType='SHELL' execMode='resource'>

Rôles

• Le statut des rôles n'est pas immédiatement mis à jour sur la page Role List (Liste des rôles). (ID-20259)

  Solution : rechargez la page ou cliquez sur Effacer.

SPML

• Les réponses à des recherches de SPML2 qui incluent des itérateurs peuvent inclure des éléments de résultat incohérents si la requête de recherche utilise l'élément de filtre Substrings (Sous-chaînes). (ID-20328)

Sun Identity Manager Gateway

• Il peut arriver que la passerelle ne s'arrête pas lors de l'utilisation de net stop “Sun Identity Manager Gateway“ (ID-2337).

• Dans certaines circonstances, la passerelle ne s'arrête pas de manière progressive lorsqu'elle est arrêtée depuis la console des services sous Windows (toute version de Windows prise en charge). En réponse, Identity Manager affiche une boîte de dialogue contenant un message indiquant que la passerelle n'a pas répondu en temps dû. Si vous fermez la boîte de dialogue, Identity Manager indique que la passerelle a été arrêtée. Si vous utilisez l'équivalent de ligne de commande, net stop <nom service>, Identity Manager indique qu'une exception s'est produite. Vous noterez que dans les deux cas, la passerelle s'est arrêtée. (ID-20296)

  Solution : utilisez la ligne de commande gateway -k pour arrêter le service de passerelle.

Tâches

• La page Find Task (Rechercher la tâche) n'affiche pas le nombre de tâches correspondant aux critères de recherche (ID-5152).

• Les administrateurs délégués ne contrôlant pas le sommet peuvent planifier des tâches et en afficher les résultats, mais ils ne peuvent pas visualiser une tâche après sa création (ID-6659). La tâche planifiée a été placée au sommet et l'administrateur délégué ne dispose pas de droits lui permettant d'afficher l'objet.

Flux de travaux, formulaires, règles et XPRESS

• Vous ne pouvez pas utiliser la fonction XPRESS <eq> afin de comparer des valeurs booléennes à des chaînes TRUE ou FALSE ou à des entiers 1 ou 2 (ID-3904).

  Solution : procédez comme suit.

  <cond>
     <isTrue><ref>Boolean_variable</ref></isTrue>
     <s>True action</s>
     <s>False action</s>
  </cond>

• Les expressions de chemin ne fonctionnent pas lors de l'itération d'une liste d'objets génériques via une dolist (ID-4920).

  <dolist name='genericObj'>
     <ref>listOfGenericObjects</ref>
     <ref>genericObj.name</ref>
  </dolist>

  Solution : utilisez <get> / <set> comme indiqué :

  <dolist name='genericObj'>
     <ref>listOfGenericObjects</ref>
     <get><ref>genericObject</ref><s>name</s>
  </dolist>

• Si vous utilisez les variables global.attrname pour les champs du formulaire utilisateur et que l'attribut est partagé entre plusieurs ressources, vous devez aussi définir une règle de dérivation (ID-5074). À défaut, si l'attribut a été changé en natif sur l'une des ressources, l'attribut n'est pas forcément recueilli et propagé vers d'autres ressources.

• Impossible d'utiliser des chaînes spéciales commençant par « & » dans les composants HTML des formulaires. Par exemple, « &nbsp; » ne s'affiche plus sous forme d'espace. Ce problème a été introduit suite à un changement conçu pour permettre la prise en charge des caractères spéciaux (&<>') dans les listes de sélection. (ID-5548)

• Les commentaires de formulaires, flux de travaux et règles contenus dans les balises<Comment> contiennent des chaînes &#xA; qui représentent le caractère d'ajout de ligne (ID-6243). Ces caractères ne se voient que lorsqu'on affiche le code XML de ces objets ; le serveur Identity Manager les traitera correctement.

• Si vous vous servez du Resource Table User Form (formulaire utilisateur de tableau des ressources) pour éditer les utilisateurs, les attributs de la ressource ne sont pas récupérés lorsque le formulaire s'affiche pour la première fois au moment de l'édition de la ressource d'un utilisateur.

  Solution : cliquez sur le bouton Actualiser, lequel cherchera les données d'attribut. (ID-10551)

• Si Identity Manager est protégé par un Sun Java System Access Manager Policy Agent, les diagrammes des processus de flux de travaux peuvent être incomplets. (ID-18304)