Notes de version de Sun Identity Manager 8.1

Ressources

Le bouton de test de ressources ne teste pas tous les champs. (ID-51)
Le message d'erreur qui s'affiche quand un mot de passe ou un nom d'utilisateur de compte de ressources est incorrect sur une ressource PeopleSoft n'est pas clair (ID-2235). Ce message d'erreur indique :
```
bea.jolt.ApplicationException: TPESVCFAIL - application level service failure
```
Les actions de ressources Windows Active Directory utilisant le statut de sortie %DISPLAY_INFO_CODE% entraînent l'échec de l'action avec des erreurs (ID-2827).
La définition de l'ID de groupe principal d'un utilisateur sur Active Directory n'est pas possible au moment de la création de l'utilisateur (ID-3221).

Solution : créez l'utilisateur sans définir l'ID de groupe principal, puis éditez l'utilisateur et définissez la valeur. L'ID de groupe principal est aussi défini par le numéro et pas par le nom distinctif du groupe.
Les adresses IP des ressources sont mises en cache dans le JVM une fois le nom d'hôte résolu en adresse IP. Si l'adresse IP d'une ressource est modifiée, vous devez redémarrer le serveur d'application afin qu'Identity Manager détecte la modification (ID-3635). Il s'agit là d'un paramètre du JDK de Sun (versions 1.3 et ultérieures) pouvant être contrôlé à l'aide de la propriété sun.net.inetaddr.ttl, généralement définie dans jre/lib/security/java.security.
Vous ne pouvez pas créer plusieurs comptes pour un unique utilisateur sur les ressources Oracle (ID-3832).
Si un utilisateur est déplacé depuis ou vers un sous-conteneur au sein de l'organisation Active Directory, l'adaptateur Active Sync détecte le changement. Toutefois, lorsque vous affichez l'utilisateur sur la page d'édition (ou lorsque vous effectuez une modification et visualisez la page de confirmation), l'ID de compte de l'utilisateur est encore affiché sous la forme du DN d'origine (nom distinctif) (ID-4950). Étant donné que nous utilisons GUID pour modifier l'utilisateur, cela n'entraîne pas de problèmes de fonctionnement. L'exécution d'une réconciliation par rapport à la ressource corrige le problème.
Si un utilisateur passe d'une organisation (OU) à une sous-organisation, l'adaptateur LDAP ChangeLog ne reconnaît pas le changement et suppose que l'utilisateur a été supprimé. L'objet utilisateur est ensuite verrouillé dans Identity Manager (s'il s'agit du paramètre actif) et aucun nouveau compte n'est créé pour le compte déplacé (ID-4953).
Les connexions groupées utilisées par les adaptateurs de ressources UNIX peuvent être conservées dans un état indéterminé si une erreur se produit pendant l'exécution d'une commande ou d'un script (ID-5406).
Sur NDS, si vous éditez un champ (par exemple Grace Login Limit) sur la provision initiale et si vous ne fournissez pas de valeurs pour les champs booléens, ces derniers sont définis sur false (ID-6770). Cela empêche de définir d'autres champs sur l'onglet de restriction, dans lequel certaines cases à cocher doivent être définies sur la valeur true. Pour éviter cela, assurez-vous que tous les champs booléens sont définis sur true lorsque cela est prévu, de sorte qu'ils soient transmis correctement au moment de l'édition d'autres champs.
Lorsque vous mettez à jour des utilisateurs en procédant à partir d'une organisation d'Identity Manager, les utilisateurs dotés d'un compte Sun One ID Server reçoivent une erreur s'ils ont été créés en natif puis chargés dans Identity Manager (ID-7094). La solution consiste à mettre individuellement à jour ces utilisateurs.
Identity Manager contient encore les classes désapprouvées suivantes :
- com.waveset.object.IAPI
- com.waveset.object.IAPIProcess
- com.waveset.object.IAPIUser
  
  Les classes d'adaptateur personnalisé ne devraient plus faire référence à ces classes mais à des classes correspondantes du package com.waveset.adapter.iapi. (ID-8246)
Si vous quittez l'assistant Nouvel objet de ressource sans cliquer sur le bouton Enregistrer ou Annuler, le formulaire abandonné peut ne pas être détruit et perturber la création des futurs objets de ressource. (ID-11033) Cela génère l'erreur suivante :
```
No resource form id found in options or view.
```
Solution : utilisez toujours le bouton Annuler pour abandonner l'assistant Nouvel objet de ressource.
Si vous éditez un utilisateur alors que vous exécutez Active Sync sous un autre nom d'administrateur, une exception Active Sync se produit. L'utilisateur étant verrouillé par un autre administrateur, Active Sync ne peut pas retenter le processus. (ID-11255)

Solution : pour activer une relance d'Active Sync pour une ressource, mettez à jour le XML de cette ressource de façon à inclure les deux attributs de ressource supplémentaires ci-après, dans le format suivant :
<ResourceAttribute name='syncRetryCountLimit' type='string' multi='false'facets='activesync' value='180'/>
<ResourceAttribute name='syncRetryInterval' type='string' multi='false' facets='activesync' value='10000'/>
Où :
- syncRetryCountLimit est le nombre de relances de mise à jour.
- syncRetryInterval est le nombre de millisecondes d'intervalle entre deux relances.
Par la suite, ces valeurs s'afficheront à titre de paramètres de ressource personnalisés lorsque vous configurerez Active Sync. Spécifier un displayName est conseillé ; en utilisant une clé de catalogue personnalisée si la localisation est nécessaire.
Si le mot de passe d'un utilisateur sur tous les systèmes qui font partie du paysage CUA n'est pas synchronisé, la modification de ce mot de passe risque d'échouer sur les systèmes enfants qui sont non synchronisés. Cela se produira uniquement lorsque l'administrateur définira un mot de passe productif, n'ayant pas expiré pour l'utilisateur ou quand l'utilisateur changera lui-même son mot de passe. Dans toutes les autres circonstances, la modification du mot de passe réussira même si les systèmes sont non synchronisés. (ID-13396)

Solution : commencez par définir un mot de passe expiré puis, au moyen d'une seconde modification, définissez le mot de passe productif pour l'utilisateur.
L'éditeur de modèles de l'intégration Remedy présente deux problèmes connus. (ID-14729)
- La valeur par défaut du schéma Remedy « HPD:HelpDesk » est inappropriée pour les versions ultérieures de BMC Remedy. Ces versions contiennent un autre schéma intitulé « HPE:Help Desk ».
- La colonne de choix ne s'affiche pas pour certains champs. Cela n'a aucune incidence sur l'utilisation des modèles Remedy.
Une régression entraîne l'échec de la synchronisation des mots de passe d'Identity Manager en cas d'utilisation conjointe avec Sun Java SystemDirectory Server Enterprise Edition 6.0, 6.1 et 6.2. Cet échec sera corrigé dans la version 6.3 de Directory Server. Si les versions 6.0, 6.1 ou 6.2 doivent pouvoir fonctionner avec Identity Manager, veuillez demander un correctif de Directory Server au support en précisant le bogue n?6604342 de Directory Server. (ID-14895)

Si vous étendez les objets ressources d'une ressource Sun Java System Access Manager 7.0 à partir de l'onglet Ressources, il est possible que vous voyiez l'erreur suivante :(ID-15525)

Error listing objects. ==> com.waveset.util.WavesetException:
Error trying to get attribute value for attribute 'guid'.
==> java.lang.IllegalAccessError: tried to access method
com.sun.identity.idm.AMIdentity.getUniversalId()Ljava/lang/String; from
class com.waveset.adapter.SunAccessManagerRealmResourceAdapter

Cette erreur se produit sur les ressources Access Manager 7.0 auxquelles aucun patch n'a été appliqué. Pour corriger ce problème, vous devez appliquer au minimum le patch 1 d'Access Manager puis recompiler et redéployer le SDK client d'Access Manager.

Les utilisateurs de NDS/Groupwise créés par Identity Manager disposant des champs Accès et ID de compte peuvent sembler ne pas être dotés des valeurs correspondantes enregistrées lorsqu'ils sont contrôlés par certains afficheurs au sein de l'application NDS Console 1 (par exemple, en choisissant la commande des propriétés de l'utilisateur puis en sélectionnant l'onglet Groupwise). (ID-16330)

Toutefois, si l'afficheur Groupwise Diagnostic (Diagnostic Groupwise) -> Display Object (Afficher l'objet) de l'utilisateur est utilisé à la place, ces champs sont visibles. Les mises à jour apportées par Identity Manager aux champs susmentionnés ne semblent pas être concernées par ce bogue d'afficheur.
WRQ effectue une recherche dans le classpath pour détecter sa propre entrée. Depuis cette entrée, WRQ calcule le répertoire où le fichier JAR est stocké puis utilise ce répertoire pour lire le fichier .JAW (fichier de licence). Cependant, BEA et WebSphere utilisent tous deux des noms de protocole non standard (BEA utilise zip et WebSphere wsjar) à la place de JAR (standard) qui est le protocole dont le code WRQ assume l'existence. (ID-16709, 17319)

Solutions :
- Pour BEA, ajoutez l'option suivante à la commande java dans le fichier startWeblogic.sh :
  -Dcom.wrq.profile.dir="DirectoryContainingLibraries"
- Pour WebSphere, ajoutez la propriété com.wrq.profile.dir=DirectoryContainingLibraries au fichier WebSphere/AppServer/configuration/config.ini.
Avant de créer une nouvelle ressource, veillez à activer le type de ressource dans la liste des types configurés. Sinon, l'objet ressource nouvellement créé risque de ne pas présenter tous les champs obligatoires. (ID-17324)
La valeur par défaut de l'attribut de ressource Créer un répertoire est incohérent entre les différents adaptateurs de ressources du SE UNIX. Pour AIX, les créations d'utilisateur entraînent toujours la création d'un répertoire personnel et, par conséquent, cette valeur n'est pas présente. Pour les adaptateurs Linux, cette valeur est définie sur « true » par défaut. Pour les adaptateurs Solaris et HP-UX, la valeur par définie est définie sur « false ». (ID-18301)
Si une assignation de ressource externe est en attente de provisioning et que vous renommez l'utilisateur auquel l'élément de travail a été signalé, la tâche de provisioning se terminera sans signalisation à l'intention de l'utilisateur renommé. (ID-19897)
Lorsque l'authentification d'intercommunication est configurée entre Identity Manager et le serveur OpenSSO (adaptateur Sun Access Manager Realm Resource), l'authentification peut échouer si vous utilisez le caractère « % » dans les mots de passe. Pour plus d'informations sur ce problème, reportez-vous à https://opensso.dev.java.net/issues/show_bug.cgi?id=4122 . (ID-20011)
Les formulaires de création et de mise à jour d'objets de ressource de la passerelle Domino ne reconnaissent pas les valeurs de catégories de groupe autres que celles par défaut (c'est-à-dire les valeurs autre qu'« Administration » et « None ». Le formulaire de mise à jour d'objets de ressource de la passerelle Domino affichera une erreur lors de l'édition d'un groupe utilisant des valeurs de catégories autres que celles par défaut. (ID-20212)
Le connecteur Active Directory n'affiche pas les messages localisés si la langue du navigateur est définie sur une valeur sans cntry à l'instar de ja. (ID-20255)

Solution : sélectionnez une langue ayant une valeur cntry, par exemple ja-JP sur le navigateur ou spécifiez cntry=JP en tant que paramètre d'URL lorsque vous vous connectez à Identity Manager. Par exemple :

http://host:port/idm/login.jsp?lang&cntry=ja=JP
Si vous faites migrer une ressource basée sur un adaptateur Active Directory vers une ressource basée sur un connecteur Active Directory, vous devez éditer toute action de ressource associée de façon à ce qu'elle inclue l'attribut execMode. Les valeurs valables pour cet attribut sont connector et resource, mais pour Active Directory, si vous utilisez le type d'action SHELL, resource est la seule valeur valable. (ID-20534)

Par exemple, lorsque des implémentations précédentes d'une action de ressource présente la ligne suivante : <

<ResTypeAction restype='Windows Active Directory' actionType='SHELL'>

Vous devez ajouter la ligne suivante si vous utilisez le connecteur Active Directory :

<ResTypeAction restype='Windows Active Directory' actionType='SHELL' execMode='resource'>