Nouveautés de cette version

Cette section contient des informations supplémentaires sur les nouveautés incluses dans Identity Manager 8.1. Ces informations sont organisées de la manière suivante :

• Patch process de Sun

• Principales nouveautés

• Interfaces administrateur et utilisateur

• Opérations en masse

• Délégations

• Documentation

• Installation et mise à niveau

• Synchronisation des mots de passe

• Performance

• Stratégie

• Rapports

• Référentiel

• Adaptateurs de ressources

• Rôles

• Sécurité

• Service Provider

• Tâches

Patch process de Sun

À compter de la version 7.1 Update 1 d'Identity Manager, les mises à jour contenant des correctifs de bogues importants et signalés comme critiques par les clients sont fournies via un processus d'installation de patchs, qui remplace le hot-fix précédent.

Les patchs sont développés, testés et mis à disposition à intervalles de six semaines. Ces patchs ont un programme d'installation IG ainsi qu'une option d'installation manuelle et mettent à jour les fichiers dans /WEB-INF/lib . Les instructions pour l'installation des patchs seront incluses dans les notes de version des patchs, qui sont distribuées au format PDF. Tous les correctifs à la passerelle ou à la synchronisation des mots de passe seront décrits dans les notes de version et devront être mis à jour lors de l'application du patch.

Les patchs d'Identity Manager sont cumulatifs, de sorte que vous devriez rencontrer moins de problèmes avec les différents correctifs. Vous devez envisager de passer au niveau de patch le plus récent lorsque vous effectuez une installation ou une mise à niveau vers une version majeure ou mineure. Par exemple, si le patch 3 est disponible quand vous installez la version 8.1 ou effectuez une mise à niveau vers cette version, vous devez appliquer le patch 3 après votre installation ou mise à niveau vers 8.1. Vous n'aurez pas besoin d'installer les patchs 1 et 2 puisque le patch 3 contient toutes les fonctionnalités des patchs précédents.

Le processus d'installation de patchs facilite le suivi d'un correctif à l'aide de son numéro de bogue. Toutefois, il arrive qu'un correctif relatif à une ancienne version ne soit pas disponible dans une version plus récente. Indépendamment du processus suivi par votre version actuelle d'Identity Manager, vous devez confirmer que la nouvelle version cible d'Identity Manager contient tous les correctifs dont vous avez besoin.

Quand un nouveau patch est disponible, un communiqué est envoyé au support clientèle. Les patchs sont disponibles via le support clientèle. Pour connaître les derniers patchs disponibles, veuillez contacter le support clientèle de Sun sur http://www.sun.com/service/online/us.

Principales nouveautés

Identity Manager 8.1 fournit les principales nouveautés suivantes :

• Gestion des ressources externes

• Connecteurs

• Intégration de Sun Role Manager

• Java Management Extensions (JMX)

• Prise en charge de sécurité enfichable (AES)

• Signature numérique XML (XML-DSig)

• SPML

Gestion des ressources externes

Cette fonctionnalité fournit à Identity Manager la capacité de gérer le provisioning et l'audit pour les applications de l'entreprise qui ne sont pas directement connectées à Identity Manager par le biais d'un adaptateur de ressources. Ceci inclut les ressources externes non numériques telles que les ordinateurs portables, les téléphones portables et les badges de sécurité. Provisionner des ressources externes via Identity Manager se traduira par la notification par e-mail ou au moyen de notifications Remedy Help Desk 6.3 de un ou plusieurs provisionneurs.

Connecteurs

La Connector Framework (Structure de connecteurs) fournit une nouvelle façon de connecter Identity Manager à des applications cibles par le biais de l'utilisation d'un connecteur. Les connecteurs d'identité et la structure font partie d'une initiative Open Source qui offre une manière générique et cohérente de provisionner des ressources avec Identity Manager. Les connecteurs ont été désolidarisés du serveur Identity Manager de base, ce qui permet d'en sortir de nouvelles versions indépendamment des versions d'Identity Manager. En plus des connecteurs additionnels proposés en téléchargement sur le site Web du projet Open Source, Identity Manager est livré avec les connecteurs pris en charge suivants :

• Microsoft Active Directory 2003 et 2008 ;

• SPML 2.0.

Pour plus d'informations, consultez le site Web du projet Open Source : https://identityconnectors.dev.java.net/.

D'autres connecteurs seront ajoutés sous peu.

Intégration de Sun Role Manager

Cette intégration met l'accent sur les versions 4.1.3. et supérieures de Sun Role Manager. Les formulaires d'Identity Manager peuvent désormais appeler directement les services Web Role Manager pour notifier et appeler des opérations de rôle sur les utilisateurs. Identity Manager Data Exporter permet déjà à Role Manager de récupérer les utilisateurs et les rôles d'Identity Manager ; le dernier exportateur de données 8.1 fournit désormais les fonctionnalités suivantes :

• Des informations de capacité permettant une meilleure utilisation de l'exploration des utilisateurs.

• Un schéma de ressource qui sera exploité dans les futures versions de Sun Role Manager.

Java Management Extensions (JMX)

Identity Manager utilise JMX MBeans pour fournir des données de performance pour les opérations List, Create, Get, Modify, Delete et Authenticate. Les données recueillies sont les suivantes :

• nombre des opérations ;

• temps moyen de déplacement par opération ;

• temps minimum par opération ;

• temps maximum par opération ;

• heure de début du recueil ;

• classe et version de l' adaptateur de ressources.

Prise en charge de sécurité enfichable (AES)

Identity Manager prend en charge AES (Advanced Encryption Standard). AES est une technique de chiffrement de clés symétrique qui peut être utilisée à la place de DES (Data Encryption Standard). AES est communément utilisé dans les applications gouvernementales pour protéger les données.

Signature numérique XML (XML-DSig)

Cette fonctionnalité offre un mécanisme de non répudiation utilisant la syntaxe et le traitement de signatures W3C XML (XMLDSig). Cette amélioration permet de créer, stocker et afficher les approbations d'éléments de travail dans un format XMLDSig. Ce format permet également en option l'inclusion d'horodatages conformes RFC 3161.

SPML

La prise en charge de SPML2.0 a été améliorée. Identity Manager prend en charge la fonctionnalité de recherche. De plus, la journalisation d'audit est désormais prise en charge.

Interfaces administrateur et utilisateur

• Les composants d'interface utilisateur Checkbox (Case à cocher), Label (Étiquette), Radio (Radio), Select (Sélection), Text (Texte), TextArea (Zone de texte) et Container (Conteneur) ont été mis à jour pour rendre correctement les styles CSS personnalisés. Auparavant, seul l'élément Button (Bouton) affichait les styles personnalisés. (ID-15025)

• Vous pouvez désormais configurer des classes personnalisées sur la page de suivi du débogage. (ID-15490)

• Sélectionner un ou plusieurs utilisateurs puis passer à la page suivante n'entraîne plus la perte de ces sélections lors de l'exécution d'une action concernant plusieurs utilisateurs. (ID-15529)

• La page Connexion ne supprime pas les espaces des zones de saisie du mot de passe lorsque vous spécifiez noTrim='true' dans l'élément XML AuthnProperty name='password'. Vous pouvez appliquer noTrim='true' sur tout autre AuthnProperty. (ID-16434)

• La taille de l'image d'aide contenant les directives peut maintenant être configurée dans la feuille de style customStyle.css. (ID-17360)

• Les informations de version qui s'affichent dans l'interface administrateur lorsque l'on passe sur le bouton Aide peuvent être désactivées en ajoutant une nouvelle clé de catalogue de messages personnalisée UI_VERSION. Définissez la valeur sur une chaîne vide dans un catalogue de messages personnalisé. (ID-17507)

• La page Tableau de bord de l'utilisateur final (accueil) affiche désormais le nom complet de l'utilisateur à la place de son accountId. Ceci peut être modifié en personnalisant le formulaire Tableau de bord de l'utilisateur final plutôt qu'en changeant un JSP. (ID-19006)

• Vous pouvez désormais définir une liste d'ID appelée saveNoValidateAllowedFormsAndWorkflows dans l'attribut de sécurité dans l'objet de configuration système. Lorsque cette liste est présente, Identity Manager autorise uniquement les formulaires et flux de travaux qui y figure à être traités en tant qu'action SaveNoValidate. Tous les autres formulaires et flux de travaux seront traités comme une action Save. Si la liste n'est pas présente, le comportement reste le même pour tous les formulaires et flux de travaux (tous les formulaires et flux de travaux seront traités en tant que SaveNoValidate ). (ID-19115)

Opérations en masse

• Les opérations en masse peuvent désormais assurer le provisioning pour les utilisateurs ayant plusieurs comptes sur une ressource. (ID-13160)

• Ajout de la capacité d'annuler l'assignation ou de supprimer le lien d'un compte (en utilisant les opérations en masse) depuis une ressource qui a été configurée en tant que « read-only » (lecture seule) (toutes les fonctionnalités de ressource permettant la mise à jour des comptes sont désactivées). Vous remarquerez que ceci n'est possible qu'en utilisant les opérations en masse. Auparavant, toute tentative d'annulation d'assignation/suppression de lien d'un compte depuis une ressource en lecture seule retournait une erreur qui indiquait que la ressource n'existait pas. (ID–19048)

Délégations

• Ajout de l'option permettant de paginer les éléments de travail d'approbation pour éviter tout expiration des délais d'attente de page. (ID-18544) La page approval.jsp accepte désormais les propriétés suivantes :

  • Paging. Si cette propriété est présente, elle active la pagination.

  • MaxRows. Nombre de lignes à afficher par page

  • orderBy. Un paramètre de tri

  Modifiez le formulaire WorkItemList en ajoutant les champs suivants :

  <Field name='PagingButtons'>
     <Display class='ButtonRow'>
        <Property name='align' value='right'/>
     </Display>
     <Disable>
        <not>
           <ref>viewOptions.Paging</ref>
        </not>
     </Disable>
     <Field name='action'>
        <Display class='Button'>
           <Property name='command' value='Recalculate'/>
           <Property name='label' value='&lt;&lt;'/>
           <Property name='value' value='first'/>
        </Display>
     </Field>
     <Field name='action'>
        <Display class='Button'>
           <Property name='command' value='Recalculate'/>
           <Property name='label' value='&lt;'/>
           <Property name='value' value='previous'/>
        </Display>
     </Field>
     <Field name='action'>
        <Display class='Button'>
           <Property name='command' value='Recalculate'/>
           <Property name='label' value='&gt;'/>
           <Property name='value' value='next'/>
        </Display>
     </Field>
     <Field name='action'>
        <Display class='Button'>
           <Property name='command' value='Recalculate'/>
           <Property name='label' value='&gt;&gt;'/>
           <Property name='value' value='last'/>
        </Display>
     </Field>
  </Field>

• Le processus de flux de travaux Multi Approval (Multi-approbation) a été amélioré pour prendre en charge la conversion automatique d'une liste d'approvers en une liste d'approverObjects utilisés pour générer les éléments de travail d'approbation. (ID-19238)

Documentation

• L'ensemble de documentation de Sun Identity Manager a été réorganisé. Les principaux changements effectués sont les suivants :

  • Le livre Administration a été divisé en deux livres : le Business Administrator's Guide et le System Administrator's Guide.

  • Le contenu du livre Tuning, Troubleshooting, and Error Messages a été transféré dans le nouveau System Administrator's Guide.

  • Les chapitres sur SPML du livre Deployment Tools figurent maintenant dans le nouveau Web Services Guide tandis que le livre Deployment Tools a disparu de l'ensemble de documentation.

  • Le livre Technical Deployment Overview s'appelle désormais Deployment Guide.

  • Le livre Workflows, Forms, and Views s'appelle désormais Deployment Reference.

  • L'ensemble de documentation contient un nouveau titre : Sun Identity Manager Overview.

  Pour la liste complète des titres relatifs à Sun Identity Manager, consultez la section Livres connexes de la Préface.

• Les corrections et mises à jour des publications sur Sun Identity Manager sont désormais postées sur le site Web des mises à jour de la documentation d'Identity Manager :

  http://blogs.sun.com/idmdocupdates/

  Un lecteur de flux RSS peut être utilisé pour contrôler périodiquement le site Web et vous avrtir lorsque de nouvelles mises à jour sont disponibles. Pour vous abonner, téléchargez un lecteur de flux et cliquez sur un lien sous Feeds (Flux) sur la droite de la page. Depuis la version 8.0, des flux séparés sont disponibles pour chacune des versions majeures.

Installation et mise à niveau

• Les scripts de mise à niveau de la base de données ajoutent un index à la colonne ownerId de la table des comptes. La mise à niveau d'une installation comportant de nombreux comptes prendra un temps considérable pour traiter le script de mise à niveau de la base de données à cause de la création d'un nouvel index sur une grande table. (ID-19314)

• Correction d'un problème associé à des exceptions out-of-memory (mémoire épuisée) au cours des mises à niveau. Auparavant, pendant les mises à niveau, la taille de tas JVM maximum était codée en dur à 256 Mo. Cette valeur codée en dur a été supprimée. (ID-19407)

  Il est désormais possible de définir la variable d'environnement JAVA_OPTS sur une valeur personnalisée. Si aucune valeur par défaut n'est fournie, une valeur par défaut de 1024 Mo est utilisée.

  Pour définir la valeur de la taille de tas maximum, définissez la variable d'environnement JAVA_OPTS en utilisant le formulaire —Xmx HeapSize où HeapSize est une valeur, par exemple 512m. Exemple : -Xmx512m.

Synchronisation des mots de passe

• Les notifications par e-mail envoyées depuis PasswordSync utilisent maintenant le codage UTF-8 pour le nom de l'expéditeur, l'objet et le corps de l'e-mail. Toutes les autres parties de l'en-tête sont codées en utilisant en ASCII brut comme requis par les RFC relatives à la messagerie électronique. (ID-14120)

  Vous remarquerez que les notifications par e-mail qui utilisent des caractères non ASCII risquent de ne pas s'afficher correctement dans tous les clients de messagerie ni sous tous les systèmes d'exploitation.

• Les mots de passe contenant des espaces sont désormais chiffrés et déchiffrés correctement. (ID-17670)

  Si vous effectuez une mise à niveau depuis la version 8.0 à 8.0.0.2 ou depuis la version 7.1.1 à 7.1.1.7 ou encore depuis une version antérieure à la 7.1, vous devez réinstaller toutes les instances de Password Sync et les passerelles.

• PasswordSync prend désormais en charge Windows Server 2008 (versions 32 et 64 bits). (ID-18342)

• Deux nouveaux paramètres ont été ajoutés au registre de Windows et à l'IG du programme d'installation pour permettre la configuration du comportement des certificats dans PasswordSync. Ces paramètres remplacent les paramètres de registre désapprouvés clientSecurityFlags et clientConnectionFlags. (ID-19140)

  securityIgnoreCertRevoke. Si défini sur 1, ignore les erreurs de révocation de certificats.

  securityAllowInvalidCert. Si défini sur 1, autorise les certificats qui échouent aux contrôles de sécurité.

• Les contrôles internes de PasswordSync ont été étendus pour assurer une protection contre les valeurs illégales transmises dans le cadre d'un changement de mot de passe pouvant causer un arrêt brutal. (ID-19291)

• Le programme d'installation de PasswordSync a été amélioré pour permettre l'enregistrement des paramètres de configuration dans un fichier au cours d'une installation. Les future installations pourront référencer ce fichier et réutiliser les paramètres de configuration. Ceci permettra une installation et une configuration silencieuses des installations futures de PasswordSync. (ID-19311)

Performance

• Il ne se produit plus d'interblocages lors de l'accès au cache d'authentification. (ID-16926)

• Amélioration de la performance sur les pages Créer un utilisateur et Éditer l'utilisateur. (ID-17066)

  Identity Manager ne contrôle plus par défaut tous les utilisateurs d'une organisation avant de déterminer si un administrateur a les droits et permissions nécessaires pour déléguer un élément de travail à un utilisateur. Pour revenir au comportement par défaut précédent, ajoutez l'instruction suivante au fichier account/modify.jsp.

  req.setOption(DelegateWorkItemsViewer.OP_CALL_DELEGATORS_AVAILABLE_USERS,"true");

  Si OP_CALL_DELEGATORS_AVAILABLE_USERS est défini sur true dans DelegateWorkItemsViewer, Identity Manager explore les utilisateurs pour contrôler si l'administrateur a le droit de voir les utilisateurs.

• Pour un utilisateur ayant un rôle admin assigné par règle de manière dynamique, le contexte de l'utilisateur est maintenant transmis sous la forme d'un argument pendant la connexion. (ID-17964)

• La performance a été améliorée pendant les connexions à l'interface utilisateur d'Identity Manager lorsque les ressources assignées ont un attribut de nom d'affichage qui n'est pas l'accountId défini. (ID-18885)

Stratégie

• Ajout de la stratégie de mot de passe Next (Suivant). Dans cette stratégie, si l'utilisateur ne répond pas correctement, Identity Manager affiche la question suivante et ce jusqu'à ce que l'utilisateur réponde correctement à une question d'authentification et se connecte, ou soit bloqué pour avoir atteint le nombre limite spécifié de tentatives ratées. (ID-17307)

Rapports

• Le contenu de l'État de violation dans le Rapport récapitulatif des violations peut désormais être localisé. (ID-17011, 17042)

• Les rapports peuvent désormais être générés au format paysage ainsi que dans le format portrait par défaut. De plus, il est possible de spécifier la taille de page « legal » en plus de celle par défaut de « letter ». (ID-17649)

Référentiel

• Identity Manager prend désormais en charge MySQL 5.0.60 SP1 Enterprise Server en tant que référentiel de production. (ID-17735, ID-19703)

• Vous pouvez maintenant utiliser MySQL 5.1.30 Enterprise Edition en tant que référentiel Identity Manager, mais il est possible que vous deviez modifier votre fichier my.cnf. Compte tenu des modifications récentes du code InnoDB de MySQL, le format de journalisation binaire par défaut est maintenant STATEMENT. Identity Manager utilise un niveau d'isolation de transaction READ-COMMITTED, de sorte que la journalisation binaire en mode STATEMENT produit une erreur similaire à la suivante : (ID-20460).

  com.waveset.util.IOException: java.sql.SQLException: Binary logging not possible. Message: Transaction level 'READ-COMMITTED' in InnoDB is not safe for binlog mode 'STATEMENT'

  Si vous activez la journalisation binaire, définissez le mode sur MIXED en ajoutant la ligne suivante à votre fichier my.cnf :

  binlog_format=mixed

  Avec ce changement de configuration, vous pouvez utiliser 5.1.30 en tant que référentiel sans exception de journalisation binaire. Pour plus de détails, voir le bogue MySQL n°40360.

• Le référentiel d'Identity Manager a été modifié pour contourner le défaut n°9021 de MySQL. Le MysqlDataStore du référentiel génère désormais une jointure (JOIN) nommée, séparée, pour chaque condition d'attribut (auparavant, le MysqlDataStore utilisait dans certains cas SUBSELECT et le prédicat EXISTS). (ID-15636)

• La sortie d'utilisation de la commande setRepo a été mise à jour. Elle répertorie désormais -o en tant qu'option et explique que -o entraîne la non exécution par setRepo d'un contrôle d'initialisation sur le nouvel emplacement du référentiel. Elle montre aussi désormais les indicateurs -U et -P dans des exemples de connexions JDBC directes. (ID-19475)

Adaptateurs de ressources

• Netegrity SiteMinder 6.0 est désormais pris en charge. Une configuration appropriée du PolicyServer et du WebAgent pour SiteMinder est nécessaire pour que l' adaptateur fonctionne correctement. (ID-6478)

• L'adaptateur de ressources Active Directory fournit désormais un attribut de ressource Droits du répertoire personnel qui contrôle l'héritage des permissions et le niveau de permission associé au répertoire personnel. La valeur par défaut est 0. Une valeur de 0 indique l'absence d'héritage des permissions et un contrôle de type FULL pour l'utilisateur. Une valeur de 1 indique que les permissions seront héritées et que le contrôle sera de type FULL pour l'utilisateur. Une valeur de 2 indique que les permissions ne seront pas héritées et que le contrôle sera de type MODIFY pour l'utilisateur. Une valeur de 3 indique que les permissions seront héritées et que le contrôle sera de type MODIFY pour l'utilisateur. Le type MODIFY comprend les droits suivants : FILE_GENERIC_WRITE, FILE_GENERIC_READ, FILE_EXECUTE et DELETE. (ID-12881, 19706)

• L'adaptateur de ressources de la table de la base de données peut maintenant traiter une colonne de base de données qui est mappée vers l'attribut accountId et dont le type de données est integer (entier). (ID-13362)

• L'adaptateur de ressources LDAP synchronise désormais les entrées uniquement dans les contextes de base prédéfinis. (ID-15389)

• Ajout du paramètre de ressource Respecter la stratégie de mot de passe de la ressource Changement après réinitialisation à l' adaptateur de ressources LDAP. Lorsque cette option est activée et que cette ressource est spécifiée dans un module de connexion et que la stratégie de mot de passe de la ressource est configurée pour un changement après réinitialisation, un utilisateur dont le mot de passe de compte de ressource a été réinitialisé par voie administrative est obligé de changer ce mot de passe après son authentification. (ID-16255)

  Dans cette version, ce comportement est uniquement disponible pour les serveurs LDAP qui retournent le contrôle de réponse « Netscape Password Expired » (Expiration du mot de passe Netscape) (non sollicité) (OID 2.16.840.1.113730.3.4.4) avec la réponse à une opération de liaison réussie. La combinaison de la tentative de liaison réussie et du contrôle est interprétée comme indiquant que le mot de passe de l'utilisateur a été réinitialisé par voie administrative et doit être changé. Un serveur LDAP implémentant la fonction de mot de passe de la ressource Changement après réinitialisation permettra uniquement à un utilisateur dont le mot de passe a été réinitialisé de changer le mot de passe ; toute autre opération sera refusée.

  De plus, étant donné qu'Identity Manager effectue toutes les opérations de ressources LDAP autres que l'authentification d'intercommunication en utilisant un compte administrateur de ressources LDAP, certains serveurs LDAP considèreront toute tentative de modification du mot de passe de l'utilisateur comme une réinitialisation administrative et n'effaceront jamais ce statut du compte de l'utilisateur. Ces serveurs LDAP sont les suivants :

  • Sun Java Systems Directory Server 5.x configuré pour utiliser rootDN (en général cn=directory manager) en tant que compte de connexion d'adaptateur de ressource

  • Sun Java Systems Directory Server 5.2 avec passwordNonRootMayResetUserpwd:on .

  • Sun Java Systems Directory Server 6.0 et sup. (OpenDS inclus)

• L'adaptateur de ressources Domino prend désormais en charge l'ObjectType de provisioning de groupe, en implémentant les ObjectFeatures create, delete, list, rename, saveas et update. (ID-16422)

• L'adaptateur de ressources SecurId prend en charge les renommages de compte. (ID-16517)

• L'adaptateur de ressources SAP a été mis à jour pour gérer CUA de manière plus robuste. Avec le nouveaux formulaires et les modifications du code, les utilisateurs d'Identity Manager peuvent changer les systèmes enfants CUA ainsi que les rôles et les profils de ces systèmes enfants par utilisateur SAP. (ID-16819)

  Les caractéristiques des attributs de compte profiles et activityGroups ont changé. Ces deux attributs ont maintenant le type de données complex. L'attribut profiles mappe vers l'attribut d'utilisateur de ressources PROFILES tandis que l'attribut activityGroups mappe désormais vers l'attribut d'utilisateur de ressources ACTIVITYGROUPS.

  Chargez le fichier $WSHOME/web/sample/updateSAPforCUA.xml pour mettre à jour ces changements sur vos adaptateurs de ressources SAP. Les nouvelles ressources SAP contiennent ces attributs, à moins que vous ne créiez la ressource en copiant une ressource existante qui n'aurait pas été mise à jour.

• Identity Manager détecte désormais et déroute les erreurs déni de service de Domino. (ID-16911)

• L'adaptateur de mainframe WRQ Attachmate 3270 pour Sun est pris en charge. Reportez-vous au document Resource Reference pour tout détail sur l'installation de ce produit. (ID-17031)

• Les ressources Linux prennent en charge l'utilisation de sudo pour gérer la commande /usr/bin/chage. (ID-17119)

• Ajout de la prise en charge de Lotus Notes/Domino 8.0. (ID-17213)

• L'adaptateur Scripted Gateway prend désormais en charge la synchronisation des mots de passe. (ID-17813)

• L'adaptateur de ressources Oracle ERP permet désormais qu'EMPLOYEE_NUMBER contienne à la fois des caractères alphabétiques et numériques. (ID-18239)

• L'adaptateur de ressources OS400 prend désormais en charge les caractères spéciaux dans les mots de passe. (ID-18412)

• Ajout des règles d'exclusion d'exemple RACF Case Insensitive Excluded Resource Accounts et RACF_LDAP Case Insensitive Excluded Resource Accounts. Celles-ci sont définies dans le fichier sample/wfresource.xml.

• L'adaptateur de ressources MySQL a été mis à jour pour hériter du JdbcResourceAdapter. Les attributs de ressources MySQL existants seront mis à jour automatiquement. (ID-18835)

• L'adaptateur de ressources Windows NT est de nouveau pris en charge. Il n'est plus désapprouvé. (ID-19170)

• L'adaptateur de ressources LDAP a un nouveau paramètre de configuration Utiliser le contrôle des résultats paginés. Lorsque vous activez ce paramètre, qui est désactivé par défaut, Identity Manager préfère le contrôle des résultats paginés LDAP au contrôle VLV pour l'itérateur de compte lors de la réconciliation. L'utilisation du paramètre de configuration Utiliser le contrôle des résultats paginés améliore la performance à condition que votre adaptateur de ressources LDAP prenne en charge le contrôle de pagination simple. (ID-19231)

• Ajout du paramètre de ressources Types d'objets à lire à partir de SAP HR à l' adaptateur SAP HR pour permettre le traitement des IDOC de l'organisation à partir de SAP HR. Ceci est un attribut à valeurs multiples qui prend actuellement en charge les valeurs « P », « CP », « S », « C » et « O ». (ID-19286)

• L'adaptateur de ressources OracleERP prend désormais en charge une option qui supprime la capacité d'Identity Manager d'ajouter l'identificateur de schéma de l'utilisateur administrateur (par exemple APPS) aux noms des tables administratives Oracle EBS (telles que FND_USER, FND_VIEWS , etc.). Cette option est fournie au travers d'un nouvel attribut de ressource avec le nom d'affichage Ne pas utiliser l'identificateur de schéma et la valeur par défaut est FALSE. Si vous remplacez cette valeur par TRUE, l' adaptateur ne peut plus ajouter l'identificateur de schéma aux noms de tables administratives. (ID-19352)

• L'adaptateur Active Directory prend désormais en charge la classe d'objet inetOrgPerson et d'autres classes d'objet dérivées de la classe d'objet utilisateur. (ID-19399)

• Ajout du paramètre Maintenir l'appartenance au groupe LDAP à l' adaptateur LDAP pour contrôler si Identity Manager ou la ressources LDAP est responsable du maintien de l'appartenance au groupe LDAP lorsqu'un utilisateur est renommé ou supprimé. (ID-19463)

• Ajout du paramètre de ressources ERROR_CODE_LIMIT à l' adaptateur de ressources Shell Script. Ce paramètre vous permet de déterminer le code de retour qui est une erreur. (ID-19858)

• Les adaptateurs SecurId prennent désormais en charge les fonctionnalités suivantes : (ID-18665, 18671, 18672, 18673, 18676, 18677, 19726)

  • Éditer le prénom de l'utilisateur, son nom et le shell par défaut.

  • Extraire tous les groupes ACE valides du serveur ACE.

  • Effectuer une recherche sur un groupe ACE et retourner tous les utilisateurs de ce groupe.

  • Extraire une liste de tous les agents ACE définis depuis le serveur ACE.

  • Afficher tous les groupes qui sont activés sur un agent ACE.

  • Extraire tous les administrateurs et leur niveau Admin.

• La passerelle prend désormais en charge le chiffrement AES en clés de 128 bits, 192 bits et 256 pour la communication avec le serveur Identity Manager. (ID-19738)

Rôles

• Identity Manager reconnaît désormais l'assignation d'un UserForm par le biais d'un rôle Admin lorsque ce rôle Admin contrôle une organisation dynamique et que l'utilisateur est édité via la page Find User (Rechercher l'utilisateur). (ID-18028)

• L'argument optionnel noroleconfigurationupdate de RoleUpdater peut être spécifié pendant les mises à niveau pour ignorer la modification de l'objet RoleConfiguration pour indiquer si les rôles antérieurs à la version 8.0 pourront être directement assignables aux utilisateurs. Définir cette valeur sur « true » ignorera le test consistant à vérifier si ce changement est nécessaire. (ID-18483)

• Toute la logique RoleAttribute est désormais insensible à la casse. (ID-18766)

• Les résultats des rapports sont désormais disponibles pour l'organisation d'un sujet et les rôles admin. (ID-19736)

Sécurité

• IDM 8.1 prend en charge plusieurs nouvelles options de chiffrement. (ID-16979, 17789)

  • Pour le chiffrement des clés de chiffrement du serveur, la prise en charge de PBE avec AES (mode ECB) utilisant une clé de 256 bits a été ajoutée. Cette nouvelle option est similaire au mécanisme PBE avec DES existant mais utilise AES en chiffrement sous-jacent.

  • Pour les données du référentiel et la communication de la passerelle, la prise en charge d'AES avec des clés de 128, 192 et 256 bits (mode ECB) a été ajoutée.

  • La tâche « (Gérer le chiffrement du serveur » a également été modifiée pour héberger cette nouvelle fonctionnalité.

  Certaines de ces nouvelles options requièrent des étapes d'installation et/ou de configuration détaillées dans l'Administrator's Guide.

• Ajout d'une nouvelle solution d'authentification « Login Recovery » (Récupération des données de connexion) pouvant remplacer la connexion basée sur des questions de sécurité « Mot de passe oublié ». (ID-18052)

• Identity Manager prend désormais en charge les approbations signées au format XMLDSIG. Auparavant, les approbations signées étaient stockées dans le journal d'audit d'Identity Manager dans un format propriétaire. Cette amélioration permet à ces enregistrements d'approbation d'être stockés dans un format conforme aux normes XMLDSIG ce qui se traduit par une meilleure interopérabilité. La capacité d'inclure un horodatage numérique conforme RFC 3161 récupéré d'une autorité d'horodatage externe a également été ajoutée. (ID-19011)

• Lorsque l'authentification d'intercommunication est activée, la fonctionnalité de changement de mot de passe fonctionne correctement lorsque le mot de passe de ressource d'un utilisateur expire et que l'ID de compte Identity Manager et l'ID de compte de ressource diffèrent. (ID-19218)

• Correction de plusieurs vulnérabilités de type « contrefaçons de requêtes inter-sites » (CSRF, Cross-Site Request Forgery). (ID-19280, 19659, 19660, 19661, 19683, 20072) Toute personnalisation des fichiers includes/headStartUser.jsp et user/userHeader.jsp doit être mise à jour manuellement.

• Performances améliorées pour les organisations dynamiques. Le fichier Waveset.properties contient maintenant plusieurs propriétés qui définissent comment les listes Rule-Driven Members sont mises en cache. (ID-19586)

Service Provider

• Vous pouvez configurer les pages utilisateur final de Service Provider pour forcer vos serveurs a toujours traiter les requêtes de page en utilisant HTTPS. (ID-18509)

Tâches

• La SourceAdapterTask peut désormais être exécutée par un administrateur autre que le Configurateur. (ID-15299) Pour spécifier un autre administrateur, ajoutez ce qui suit à l'objet configuration système :

  <Attribute name='sources'>
     <Object>
        <Attribute name='hosts'/> <!-- any host is the default -->
        <Attribute name='subject' value='Configurator'/>
      </Object>
  </Attribute>