Sun Identity Manager 8.1 リリースノート

第 3 章 Identity Manager 8.1 の機能

この章では、次の情報について説明します。

このリリースの新機能

ここでは、Identity Manager 8.1 で提供される新機能についての追加情報を示します。情報の構成は次のとおりです。

Sun のパッチプロセス

Identity Manager 7.1 Update 1 のリリース以降、顧客によって報告された重要かつ重大なバグの修正を含む更新は、従来のホットフィックスプロセスに代わる「パッチプロセス」を通じて配布されるようになりました。

パッチは 6 週間の間隔で開発、テスト、およびリリースされます。これらのパッチは GUI インストーラを備えていますが、手動インストールのオプションも用意されており、/WEB-INF/lib 内のファイルを更新します。パッチのインストール手順は、PDF 形式で配布されるパッチのリリースノートに記載されています。Gateway または Password Sync への修正はリリースノートに記載され、パッチのインストールによる更新を必要とします。

Identity Manager のパッチは累積的であるため、個別に修正を適用するよりも多くの問題を修正できます。メジャーリリースまたはマイナーリリースをインストールする、あるいはそれらのリリースにアップグレードするときは、最新のパッチレベルへの更新を計画に組み込むことをお勧めします。たとえば、8.1 をインストールする時点、または 8.1 にアップグレードする時点でパッチ 3 が公開されている場合は、そのインストールまたはアップグレード後にパッチ 3 を適用してください。パッチ 3 にはそれ以前のパッチのすべての機能が含まれているため、パッチ 1 および 2 をインストールする必要はありません。

パッチプロセスの導入により、実際のバグ番号によって修正をより簡単に追跡できるようになります。ただし、古いバージョンに対して行われた修正が新しいバージョンではまだ提供されていない、という場合も考えられます。現在使用している Identity Manager のバージョンでどのプロセスを採用しているかに関係なく、必要なバグ修正のすべてが、アップグレード後の新しい Identity Manager のバージョンに含まれていることを確認する必要があります。

新しいパッチがリリースされると、すべてのカスタマサポートに告知が送付されます。パッチはカスタマサポートを通じて提供されます。入手可能な最新のパッチについては、Sun カスタマサポート (http://www.sun.com/service/online/us) までお問い合わせください。

主な機能

Identity Manager 8.1 は、次の新しい機能を備えています。

外部リソース管理

この機能により Identity Manager は、リソースアダプタを通して直接 Identity Manager に接続されていない企業で、アプリケーションのプロビジョニングと監査を管理することができます。これには、ラップトップ、携帯電話、セキュリティーカードなどの、デジタルでない外部リソースも含まれます。Identity Manager を通して外部リソースをプロビジョニングすると、1 人または複数のプロビジョニング担当者が、電子メールまたは Remedy Help Desk 6.3 による通知を受け取ります。

コネクタ

Connector Framework では、コネクタを使用して Identity Manager をターゲットアプリケーションに接続する新しい方法が提供されます。Identity Connectors および Framework は、オープンソースイニシアティブの一部として、Identity Manager でリソースをプロビジョニングする一般的で一貫性のある方法を提供します。コネクタはコア Identity Manager サーバーから切り離されているため、Identity Manager のビルドに依存せずにリリースできます。Identity Manager には次のサポートされたコネクタが付属しています。また、オープンソースプロジェクトの Web サイトでは、追加のコネクタをダウンロードできるようになる予定です。

Microsoft Active Directory 2003 および 2008
SPML 2.0

詳細は、オープンソースプロジェクト Web サイト (https://identityconnectors.dev.java.net/) を参照してください。

追加のコネクタはまもなく用意される予定です

Sun Role Manager の統合

この統合は、Sun Role Manager version 4.1.3 以降を対象としています。Identity Manager のフォームから Role Manager の Web サービスを直接呼び出して、ユーザーのロール操作を通知および実行できるようになりました。Identity Manager データエクスポータは、Role Manager が Identity Manager のユーザーとロールを取得することをすでに許可しており、最新の 8.1 データエクスポータは次の機能を備えます。

ユーザーのマイニングをより有効にする機能情報
Sun Role Manager の今後のバージョンで有効になるリソーススキーマ

Java Management Extensions (JMX)

Identity Manager は、JMX MBeans を使用して、List、Create、Get、Modify、Delete、および Authenticate 操作のパフォーマンスデータを提供します。収集されるデータは次のとおりです。

操作の数
1 操作あたりの移動平均時間
1 操作あたりの最小時間
1 操作あたりの最大時間
収集の開始時刻
リソースアダプタのクラスとバージョン

プラグイン可能なセキュリティー (AES) サポート

Identity Manager は、Advanced Encryption Standard をサポートします。AES は対称キーの暗号化技術で、DES (Data Encryption Standard) の代わりに使用できます。AES は、政府機関のアプリケーションでデータを保護するために一般的に使用されています。

XML デジタル署名 (XML-DSig)

この機能は、W3C XML Signature Syntax and Processing (XMLDSig) を使用する、標準的な否認防止メカニズムを提供します。この拡張機能により、作業項目の承認を XMLDSig 形式で作成、保存、および表示できます。この形式では、RFC 3161 準拠のタイムスタンプを含めることもできます。

SPML

SPML2.0 のサポートが強化されました。Identity Manager は、検索機能をサポートします。また、監査ログもサポートされるようになりました。

管理者インタフェースとユーザーインタフェース

Checkbox、Label、Radio、Select、Text、TextArea、および Container のユーザーインタフェースコンポーネントが更新され、カスタム CSS スタイルが正しく表示されるようになりました。これまでは、Button 要素でしかカスタムスタイルが表示されませんでした。(ID-15025)
デバッグトレースページで、カスタムクラスを設定できるようになりました。(ID-15490)
1 人以上のユーザーを選択して次のページに進んだときに、複数のユーザーアクションを実行しても、これらの選択が解除されることがなくなりました。(ID-15529)
AuthnProperty name='password' XML 要素で noTrim='true' を指定した場合、「ログイン」ページのパスワード入力ボックスから空白文字が削除されません。noTrim='true' はほかの AuthnProperty にも適用できます。(ID-16434)
誘導ヘルプの画像サイズを、customStyle.css スタイルシートで設定できるようになりました。(ID-17360)
管理者インタフェースで、「ヘルプ」ボタンの上にカーソルを移動したときに表示されるバージョン情報を、新しいカスタムメッセージカタログキー UI_VERSION を追加することで無効にできます。カスタムメッセージカタログで値を空の文字列に設定します。(ID-17507)
エンドユーザーのダッシュボード (ホーム) ページに、ユーザーの accountId ではなくフルネームが表示されるようになりました。JSP を変更する代わりに、End User Dashboard フォームをカスタマイズすることで変更できます。(ID-19006)
System Configuration オブジェクトのセキュリティー属性に、saveNoValidateAllowedFormsAndWorkflows という ID のリストを設定できるようになりました。このリストを設定すると、Identity Manager はリストにあるフォームとワークフローだけを SaveNoValidate アクションとして処理します。その他のフォームとワークフローは Save アクションとして処理されます。リストが設定されていない場合、動作はこれまでと同じです (すべてのフォームとワークフローを SaveNoValidate として処理できます)。(ID-19115)

一括操作

一括操作では、リソースに複数のアカウントを持つユーザーに対してプロビジョニングを実行できるようになりました。(ID-13160)
「読み取り専用」として設定されたリソースから、一括操作を使用してアカウントを割り当て解除またはリンク解除する機能が追加されました (アカウントの更新を許可するすべてのリソース機能は無効になります)。これは、一括操作を使用した場合のみ可能です。これまでは、読み取り専用リソースからアカウントの割り当て解除またはリンク解除を試みると、リソースが存在しないことを示すエラーが返されました。(ID–19048)

委任

承認作業項目をページに分けて表示し、ページのタイムアウトを避けるオプションが追加されました。(ID-18544) approval.jsp ページは、次のプロパティーを受け入れるようになりました。

Paging。設定されている場合は、ページによる表示が有効になります。
MaxRows。各ページに表示される行の数。
orderBy。ソートのパラメータ。

次のフィールドを追加して、WorkItemList フォームを変更します。

<Field name='PagingButtons'>
   <Display class='ButtonRow'>
      <Property name='align' value='right'/>
   </Display>
   <Disable>
      <not>
         <ref>viewOptions.Paging</ref>
      </not>
   </Disable>
   <Field name='action'>
      <Display class='Button'>
         <Property name='command' value='Recalculate'/>
         <Property name='label' value='&lt;&lt;'/>
         <Property name='value' value='first'/>
      </Display>
   </Field>
   <Field name='action'>
      <Display class='Button'>
         <Property name='command' value='Recalculate'/>
         <Property name='label' value='&lt;'/>
         <Property name='value' value='previous'/>
      </Display>
   </Field>
   <Field name='action'>
      <Display class='Button'>
         <Property name='command' value='Recalculate'/>
         <Property name='label' value='&gt;'/>
         <Property name='value' value='next'/>
      </Display>
   </Field>
   <Field name='action'>
      <Display class='Button'>
         <Property name='command' value='Recalculate'/>
         <Property name='label' value='&gt;&gt;'/>
         <Property name='value' value='last'/>
      </Display>
   </Field>
</Field>

Multi Approval ワークフロープロセスは、approvers リストから、承認作業項目を生成するために使用される approverObjects リストへの自動変換をサポートするように拡張されました。(ID-19238)

ドキュメント

Sun Identity Manager のドキュメントセットは再編成されました。主な変更は次のとおりです。
- 『管理』ドキュメントは、『Business Administrator's Guide』と『System Administrator's Guide』の 2 つのドキュメントに再編成されました。
- 『Tuning, Troubleshooting, and Error Messages』ドキュメントの内容は、新しい『System Administrator's Guide』に移動されました。
- 『配備ツール』ドキュメントの SPML の章は、『Web Services Guide』に移動され、『配備ツール』はドキュメントセットから削除されました。
- 『配備に関する技術概要』ドキュメントの名称が、『Deployment Guide』に変更されました。
- 『ワークフロー、フォーム、およびビュー』ドキュメントの名称が、『Deployment Reference』に変更されました。
- ドキュメントセットに、新しく『Sun Identity Manager Overview』が追加されました。
Sun Identity Manager のドキュメントの一覧については、「Preface」の「Related Books」の節を参照してください。
Sun Identity Manager のドキュメントに関する訂正および更新は、Identity Manager Documentation Updates Web サイトに掲載されるようになりました。

http://blogs.sun.com/idmdocupdates/

RSS フィードリーダーを使用して Web サイトを定期的に確認し、更新を利用できる場合に通知を受けることができます。サイトを購読するには、フィードリーダーをダウンロードして、ページの右側の「Feeds」の下にあるリンクをクリックします。バージョン 8.0 から、メジャーリリースごとのフィードを利用できます。

インストールとアップグレード

データベースアップグレードスクリプトは、アカウントテーブルの ownerId 列にインデックスを付加します。多数のアカウントがある場合、アップグレードで大規模なテーブルに新しいインデックスが作成されるため、データベースアップグレードスクリプトの処理に長い時間がかかります。(ID-19314)
アップグレード中のメモリー不足の例外に関する問題が修正されました。これまでのアップグレードでは、Java VM の最大ヒープサイズは 256M バイトにハードコードされていました。このハードコードされた値が削除されました。(ID-19407)

JAVA_OPTS 環境変数をカスタム値に設定できるようになりました。値を設定しない場合は、1024M バイトのデフォルト値が使用されます。

最大ヒープサイズの値を定義するには、JAVA_OPTS 環境変数を、—Xmx HeapSize の形式で設定します。HeapSize には 512m などの値を指定します。たとえば、-Xmx512m のように指定します。

パスワード同期

PasswordSync から送信される電子メール通知で、電子メールの送信者名、件名、および本文に、UTF-8 エンコーディングが使用されるようになりました。その他のヘッダー部分は、電子メールの RFC で要求されているように、平文の ASCII を使用してエンコードされます。(ID-14120)

非 ASCII 文字を使用する電子メール通知は、一部のメールクライアントまたはオペレーティングシステムで正しく表示されない場合があります。
空白文字を含むパスワードが、正しく暗号化および復号化されるようになりました。(ID-17670)

8.0 ～ 8.0.0.2 または 7.1.1 ～ 7.1.1.7、または 7.1 より前のバージョンからアップグレードする場合、すべての Password Sync のインスタンスとゲートウェイを再インストールする必要があります。
PasswordSync は、Windows Server 2008 (32 ビットおよび 64 ビットバージョン) をサポートするようになりました。(ID-18342)
新しい 2 つの設定が Windows のレジストリとインストーラの GUI に追加され、PasswordSync の証明書の動作を設定できます。これらの設定は、非推奨のレジストリ設定 clientSecurityFlags および clientConnectionFlags を置き換えます。(ID-19140)

securityIgnoreCertRevoke。1 に設定すると、証明書の失効エラーを無視します。

securityAllowInvalidCert。1 に設定すると、安全性チェックに失敗した証明書を許可します。
PasswordSync の内部チェックが拡張され、パスワード変更の一部として渡された、障害を引き起こす可能性のある不正な値から保護します。(ID-19291)
PasswordSync インストーラは、設定パラメータをインストール中にファイルに記録できるように拡張されました。別のインストールでファイルを参照して、同じ設定を再実行できます。以降の PasswordSync のインストールで、インストールと設定を自動的に実行できます。(ID-19311)

パフォーマンス

デッドロックによる、認証キャッシュへのアクセス過多が発生しなくなりました。(ID-16926)
「ユーザーの作成」および「ユーザーの編集」ページのパフォーマンスが向上しました。(ID-17066)

Identity Manager は、管理者に作業項目をユーザーに委任する権限および許可があるかどうかを判定する前に、デフォルトで組織内のすべてのユーザーをチェックしなくなりました。以前のデフォルトの動作に戻すには、account/modify.jsp ファイルに次の文を追加します。
```
req.setOption(DelegateWorkItemsViewer.OP_CALL_DELEGATORS_AVAILABLE_USERS,"true");
```
DelegateWorkItemsViewer で OP_CALL_DELEGATORS_AVAILABLE_USERS を true に設定した場合、Identity Manager はすべてのユーザーについて、管理者にユーザーを表示する権限があるかどうかをチェックします。
ルールによって管理ロールが動的に割り当てられたユーザーの場合、ログイン中にユーザーのコンテキストが引数として渡されるようになりました。(ID-17964)
割り当てられたリソースに定義された accountId 以外の表示名属性がある場合に、Identity Manager ユーザーインタフェースにログインするときのパフォーマンスが向上しました。(ID-18885)

ポリシー

秘密の質問ポリシーに新たに「次へ」というオプションが追加されました。このポリシーでは、ユーザーの回答が正しくない場合、ユーザーが認証の質問に正しく回答してログインするか、指定した試行回数の制限に基づいてロックされるまで、Identity Manager は次の質問を表示します。(ID-17307)

レポート

違反の概要レポートの違反の状態がローカライズ可能になりました。(ID-17011、17042)
レポートの方向を、デフォルトの縦長だけでなく、横長でも生成できるようになりました。またページサイズは、デフォルトのレターサイズのほかに、リーガルサイズを指定できるようになりました。(ID-17649)

リポジトリ

Identity Manager は、本稼働リポジトリとして、MySQL 5.0.6.0 SP1 Enterprise Server をサポートするようになりました。(ID-17735、ID-19703)
MySQL 5.1.30 Enterprise Server を Identity Manager の本稼働リポジトリとして使用できるようになりましたが、my.cnf ファイルの変更が必要となる場合があります。MySQL の InnoDB コードに対する変更により、デフォルトのバイナリログ形式は STATEMENT になりました。Identity Manager は READ-COMMITTED トランザクション遮断レベルを使用するため、STATEMENT モードのバイナリログにより次のようなエラーが発生します。(ID-20460)
com.waveset.util.IOException: java.sql.SQLException: Binary logging not possible. Message: Transaction level 'READ-COMMITTED' in InnoDB is not safe for binlog mode 'STATEMENT'
バイナリログを有効にする場合は、my.cnf ファイルに次の行を追加して、モードを MIXED に設定してください。
binlog_format=mixed
この設定の変更により、バイナリログの例外を発生させることなく、5.1.30 をリポジトリとして使用できます。詳細は、MySQL のバグ #40360 を参照してください。
Identity Manager Repository は、MySQL の障害 9021 を回避するように変更されました。Repository の MysqlDataStore は、属性の条件ごとに名前の付いた JOIN を生成するようになりました。これまでは、MysqlDataStore は SUBSELECT および EXISTS 述語を使用する場合がありました。(ID-15636)
setRepo コマンドの使用法の出力が更新されました。-o がオプションのリストに追加され、-o を指定すると setRepo が新しいリポジトリの場所で初期チェックを実行しないという内容の説明が表示されます。使用法には、直接 JDBC 接続の例に -U と -P のフラグも表示されます。(ID-19475)

リソースアダプタ

Netegrity SiteMinder 6.0 がサポートされるようになりました。アダプタを正しく動作させるには、SiteMinder に対して PolicyServer および WebAgent を正しく設定する必要があります。(ID-6478)
Active Directory リソースアダプタは、Home Directory Rights リソース属性を提供します。この属性は、ホームディレクトリに関するアクセス権の継承と、アクセス権のレベルをコントロールします。デフォルト値は、0 です。値が 0 の場合、継承は行われず、ユーザーのアクセス権は FULL 制御になります。値が 1 の場合、アクセス権が継承され、ユーザーのアクセス権は FULL 制御になります。値が 2 の場合、アクセス権は継承されず、ユーザーのアクセス権は MODIFY 制御になります。値が 3 の場合、アクセス権は継承され、ユーザーのアクセス権は MODIFY 制御になります。MODIFY 制御は、FILE_GENERIC_WRITE、FILE_GENERIC_READ、FILE_EXECUTE、および DELETE の権限で構成されます。(ID-12881、19706)
データベーステーブルリソースアダプタは、データ型が整数の、accountId 属性にマップされた列を処理できるようになりました。(ID-13362)
LDAP リソースアダプタは、定義済みのベースコンテキストにあるエントリのみを同期するようになりました。(ID-15389)
LDAP リソースアダプタに、「Respect resource password policy change-after-reset」リソースパラメータを追加しました。このオプションが有効で、このリソースがログインモジュールに指定され、リソースのパスワードポリシーが change-after-reset に設定されている場合、リソースアカウントパスワードが管理上リセットされたユーザーは、認証に成功したあとパスワードの変更を要求されます。(ID-16255)

このリリースでは、この動作は、成功したバインド操作への応答に「Netscape Password Expired」 (非要請) 応答制御 (OID 2.16.840.1.113730.3.4.4) を返す LDAP サーバーのみで使用できます。正常なバインドの試行と制御の組み合わせは、ユーザーのパスワードが管理上リセットされ変更の必要があると解釈されます。パスワードポリシーの change-after-reset 機能を実装する LDAP サーバーでは、パスワードのリセットが必要なユーザーは認証のあとパスワードの変更のみが許可され、ほかの操作は拒否されます。

また、Identity Manager は、LDAP リソース管理者アカウントを使用するパススルー認証以外のすべての LDAP リソース操作を実行するため、特定の LDAP サーバーはユーザーのパスワードの変更操作を管理上のリセットと見なし、ユーザーのアカウントからその状態をクリアしません。このような LDAP サーバーには、次のものがあります。
- Sun Java Systems Directory Server 5.x で、rootDN (通常は cn=directory manager) をリソースアダプタ接続アカウントとして使用するように設定されている場合
- Sun Java Systems Directory Server 5.2 で、passwordNonRootMayResetUserpwd:on が設定されている場合
- Sun Java Systems Directory Server 6.0 以降 (OpenDS を含む)
Domino リソースアダプタは、グループプロビジョニングの ObjectType をサポートするようになりました。ObjectFeature の create、delete、list、rename、saveas、および update を実装します。(ID-16422)
SecurId リソースアダプタは、アカウント名の変更をサポートします。(ID-16517)
SAP リソースアダプタは、CUA をより堅牢な方法で処理するように更新されました。新しいフォームとコードの変更により、Identity Manager は SAP ユーザーごとに、CUA の子システムとその子システムのロールとプロファイルを変更できます。(ID-16819)

profiles および activityGroups アカウント属性の特性が変更されました。これらの属性はどちらも複合データ型になりました。profiles 属性は PROFILES リソースユーザー属性にマップされ、activityGroups 属性は ACTIVITYGROUPS リソースユーザー属性にマップされます。

$WSHOME/web/sample/updateSAPforCUA.xml ファイルを読み込んで、SAP リソースアダプタでこれらの変更を更新してください。新しい SAP リソースには、更新されていない既存のリソースをコピーしてリソースを作成しないかぎり、これらの属性が含まれます。
Identity Manager は、Domino サービス拒否エラーを検出してトラップするようになりました。(ID-16911)
WRQ Attachmate 3270 Mainframe Adapter for Sun がサポートされます。この製品の設定については、『リソースリファレンス』を参照してください。(ID-17031)
Linux リソースは、sudo を使用した /usr/bin/chage コマンドの管理をサポートします。(ID-17119)
Lotus Notes/Domino 8.0 のサポートが追加されました。(ID-17213)
Scripted Gateway アダプタは、パスワード同期をサポートするようになりました。(ID-17813)
Oracle ERP リソースアダプタでは、EMPLOYEE_NUMBER にアルファベットと数字の両方を使用できるようになりました。(ID-18239)
OS400 リソースアダプタは、パスワード中の特殊文字をサポートするようになりました。(ID-18412)
サンプルの除外規則として RACF Case Insensitive Excluded Resource Accounts および RACF_LDAP Case Insensitive Excluded Resource Accounts が追加されました。これらは sample/wfresource.xml ファイルで定義されています。
MySQL リソースアダプタは、JdbcResourceAdapter から継承するように更新されました。既存の MySQL リソース属性は自動的に更新されます。(ID-18835)
Windows NT リソースアダプタは、再度サポートされます。非推奨ではなくなりました。(ID-19170)
LDAP リソースアダプタに、新しい Use Paged Result Control 設定パラメータが追加されました。このパラメータを有効にすると (デフォルトでは無効)、Identity Manager は調整のアカウント反復子に VLV Control の代わりに Paged Result Control を使用します。Use Paged Result Control 設定パラメータを使用する場合、LDAP リソースアダプタが単純なページング制御をサポートしていれば、パフォーマンスが向上します。(ID-19231)
SAP HR アダプタに Objecttypes to read from SAP HR リソースパラメータが追加されました。組織の IDOC を SAP HR から処理できます。これは複数値属性で、現在「P」、「CP」、「S」、「C」、および「O」がサポートされています。(ID-19286)
OracleERP リソースアダプタでは、Oracle EBS 管理テーブルの名前 (FND_USER、FND_VIEWS など) の前に管理者ユーザーのスキーマ ID (APPS など) を付加する Identity Manager の機能を抑制するオプションがサポートされるようになりました。このオプションは、表示名が Do Not Use Schema Identifier の新しいリソース属性により提供され、デフォルト値は FALSE です。この値を TRUE に変更すると、アダプタは管理テーブル名の前にスキーマ ID を付加しなくなります。(ID-19352)
Active Directory アダプタは、inetOrgPerson オブジェクトクラスと、ユーザーオブジェクトクラスから派生したその他のオブジェクトクラスをサポートするようになりました。(ID-19399)
Maintain LDAP Group Membership パラメータが LDAP アダプタに追加されました。ユーザーが名前変更または削除されたときに、Identity Manager または LDAP リソースで LDAP グループメンバーシップを維持する必要があるかどうかを制御します。(ID-19463)
リソースパラメータ ERROR_CODE_LIMIT がシェルスクリプトリソースアダプタに追加されました。このパラメータにより、どのリターンコードがエラーかを判断できます。(ID-19858)
SecurId アダプタは、次の機能をサポートするようになりました (ID-18665、18671、18672、18673、18676、18677、19726)。
- ユーザーの名、性、およびデフォルトのシェルを編集できます。
- すべての有効な ACE グループを ACE サーバーから取得できます。
- ACE グループを検索して、グループ内のすべてのユーザーを返すことができます。
- 定義された ACE エージェントの一覧を ACE サーバーから取得できます。
- ACE エージェントでアクティブなすべてのグループを表示できます。
- すべての管理者と管理レベルを取得できます。
ゲートウェイは、Identity Manager サーバーとの通信で、128 ビット、192 ビット、および 256 ビットキーの ACE 暗号化方式をサポートするようになりました。(ID-19738)

ロール

管理者ロールが動的な編成を制御していて、「ユーザーの検索」ページでユーザーが編集された場合に、Identity Manager は管理者ロールによる UserForm の割り当てを認識するようになりました。(ID-18028)
アップグレード中に RoleUpdater にオプションの noroleconfigurationupdate 引数を指定して、8.0 より前のロールを直接ユーザーに割り当て可能にするかどうかを指定する RoleConfiguration オブジェクトの変更を省略できます。値を true に設定すると、この変更が必要かどうかを確認するテストを省略します。(ID-18483)
すべての RoleAttribute ロジックは、大文字と小文字を区別しなくなりました。(ID-18766)
主体が直接管理する組織と、主体に割り当てられている管理者ロール経由で管理する組織の両方で、レポート結果を利用できるようになりました。(ID-19736)

セキュリティー

IDM 8.1 は、新しい暗号化オプションをサポートします。(ID-16979、17789)
- サーバー暗号化キーの暗号化では、256 ビットキーを使用した AES による PBE (ECB モード) のサポートが追加されました。この新しいオプションは、既存の DES による PBE に似ていますが、基本となる暗号化方式に AES を使用します。
- リポジトリのデータとゲートウェイ通信の両方について、128、192、および 256 ビットキーの AES (ECB モード) のサポートが追加されました。
- この新しい機能に対応するように、サーバー暗号化の管理タスクが変更されました。
これらの新しいオプションの一部では、『Administrator's Guide』で説明するように、追加のインストールまたは設定手順が必要となります。
パスワードを忘れてしまった場合に、秘密の質問を用いてログイン認証を行う代わりの方法として、新たに「ログインの復元」が追加されました。(ID-18052)
Identity Manager は、XMLDSIG 形式の署名された承認をサポートするようになりました。これまでは、署名された承認は Identity Manager の監査ログに独自の形式で保存されていました。この拡張により、これらの承認レコードを XMLDSIG 標準に準拠した形式で保存して、相互運用性を維持することができます。また、外部のタイムスタンプ発行局から取得した RFC 3161 準拠のデジタルタイムスタンプを含める機能もサポートされます。(ID-19011)
パススルー認証が有効なとき、ユーザーのリソースパスワードが期限切れで、Identity Manager のアカウント ID とリソースのアカウント ID が異なる場合、パスワード変更機能は正しく機能します。(ID-19218)
複数の CSRF (クロスサイトリクエストフォージェリ) の脆弱性が修正されました。(ID-19280、19659、19660、19661、19683、20072) includes/headStartUser.jsp および user/userHeader.jsp ファイルに対するすべてのカスタマイズは、手動で更新する必要があります。
動的な編成のパフォーマンスを向上しました。Waveset.properties ファイルに、ルールに基づくメンバーリストのキャッシュ方法を定義するプロパティーが追加されました。(ID-19586)

サービスプロバイダ

サービスプロバイダのエンドユーザーのページを設定して、サーバーが常に HTTPS を使用してページ要求を処理するように指定できます。(ID-18509)

タスク

SourceAdapterTask を、Configurator 以外の管理者が実行できるようになりました。(ID-15299) 別の管理者を指定するには、システム設定オブジェクトに次の内容を追加します。
```
<Attribute name='sources'>
   <Object>
      <Attribute name='hosts'/> 
      <Attribute name='subject' value='Configurator'/>
    </Object>
</Attribute>
```

このリリースで解決されたバグ

ここでは、Identity Manager 8.1 で解決されたバグについて説明します。情報の構成は次のとおりです。

管理者インタフェースとユーザーインタフェース

tabindex プロパティーを DatePicker クラスに追加しました。(ID-15244)
「是正の転送」ページの「...」ボタンをクリックしたあとに表示される、関係のない「検索」ボタンをページから削除しました。(ID-17236)
ユーザーを編集または更新して、存在していない idmManager を割り当てようとしたときに、エラーが返されなくなりました。(ID-17339)
「アクセススキャンの作成」ページから重複する「必須フィールドを示します」を削除しました。(ID-17417)
MultiSelect 表示コンポーネントのクリックによるフォーカスと選択の問題が、Mac OS X JRE で修正されました。(ID-17938)
複数のインタフェースにログインできるユーザーが、同じユーザー証明書を別のインタフェースにログインするために同時に使用しているときに、間違ったインタフェースにログインすることがなくなりました。(ID-18204、18506)
複数のアカウントを持つユーザーのプロビジョニング解除を、管理者インタフェースから正しく完了できるようになりました。(ID-18314)
「承認待ち」ページと作業項目のテーブルを含むその他のページで、作業項目を選択せずにアクションボタン (「承認」、「拒否」など) をクリックすると、エラーメッセージが表示されるようになりました。(ID-18472)
管理者が「自分のパスワードの変更」画面を使用してパスワードを変更しているときに、管理者インタフェースから確認要求オプションが表示されていませんでした。この問題が修正されました。(ID-18578)
管理者インタフェースでユーザーのパスワードを変更するときに、不要な「パスワードは、空ではいけません」エラーが生成されなくなりました。(ID-18579)
ユーザーが指定した UserID に対して「Forgot Password」オプションが「必須フィールド「ユーザー ID」の値がありません」を返す、Identity/Lighthouse ログインモジュールの問題が修正されました。(ID-18939)
Find User フォームでユーザーのロールを照会する機能が修正されました。(ID-18986)
入れ子のフィールドが必要なプロパティーと noNewRow プロパティーを正しく継承するように、UI のコンテナが修正されました。(ID-19040)
Identity Manager は、ResourceUIConfig オブジェクトの MaximumNumberOfChildrenPerNode 属性 (デフォルトは 100) を参照して、ノードのレベルを表示するようになりました。子ノードの数がこの値を超えると、Identity Manager は返された順に 100 のノードだけを表示されます。(ID-19434)
動的編成でユーザーを編集するときに発生していた、回復不能のエラーが修正されました。(ID-19519)
これまでは、タスクのアクセス権からユーザーの Modify 権限を削除すると、まだユーザーに Delete 権限があり、削除のためにタスクを選択する必要がある場合でも、ユーザーはタスクを選択できませんでした。Modify 権限を削除したあとも、タスクリストのユーザーインタフェースにチェックボックスの列が表示されるようになりました。(ID-19718)
相対 URL を有効にしたときに、ユーザーインタフェースに画像が表示されるようになりました。(ID-19771、19868)
「ユーザーの検索」タブですべての論理 AND が正しく処理されるように、クエリーの作成プログラムが修正されました。(ID-19898)
System Configuration オブジェクトで endableEndUserProcessDiagrams フラグを有効にすると、保留中の作業項目をエンドユーザーインタフェースの結果ページに表示できます。(ID-19919)

監査

監査ログイベントのレポートが、アテステーションに応答するために使用されたインタフェースを正しく示すようになりました。(ID-16950)
Waveset.properties ファイルで xpress.traceFileOnly オプションを true に設定した場合、すべての XPRESS 文の評価により、xpress.traceFile で指定したファイルにトレースメッセージが生成されます。xpress.traceFile に値が設定されている場合、すべてのトレースメッセージはコンソールとファイルの両方にリダイレクトされます。(ID-19748)

機能

Import/Export Administrator で、想定されていない管理ページおよびタブが表示されなくなりました。(ID-19389)
System Configuration オブジェクトは、承認されていないユーザーによる変更から保護されます。(ID-20224)

フォーム

ワークフローによって呼び出されるフォームで sortColumn 値を設定した場合、値が無視されなくなりました。(ID-17781)

委任

管理者が、組織、ロール、またはリソースに対する現在の Organization Approval、Role Approval、または Resource Approval を持ち、オブジェクトの制御を失っている場合、ユーザー UI の「委任」ページにエラーメッセージが表示されなくなりました。(ID-18951)

Identity Manager IDE

Identity Manager IDE がカスタムロールのタイプを判断できない場合、Identity Manager IDE はロールの primaryobjectclass を変更しなくなりました。(ID-19672)
カスタムロールタイプに対して Display Schema 操作を実行しても、デバッグページに NullPointerException が返されなくなりました。(ID-19686)

ゲートウェイ

ゲートウェイを実行しているマシンにゲートウェイのレジストリがない場合に、ゲートウェイと Identity Manager サーバー間のレジストリキーの交換が失敗しなくなりました。(ID-17137)
ゲートウェイのシャットダウン中に誤って報告されていたエラーが解決されました。この影響で、起動およびシャットダウン中に書き込まれたメッセージは、トレースが有効な場合はゲートウェイトレースログに、トレースが無効の場合はコンソールに書き込まれるようになりました。(ID-19310)

ログ

システムは、要求を送信するロードバランサの IP アドレスの代わりに、クライアントの IP アドレスをログに記録するようになりました。(ID-17774)
Identity Manager のトレースログは、既存のログファイルの上書きを始める前に、トレースログファイルを設定された最大数まで使用するようになりました。(ID-19102)
アクティビティーレポートページでは、監査イベントに関する追加情報が、「メッセージ」フィールドを使用して表示されるようになりました。(ID-19257)
これまでのリリースでは、リソースアカウントプロビジョニングに失敗したタスクが、アクティビティーレポートに成功として記録される場合がありました。この問題は修正されました。(ID-19283)
システムログメンテナンスタスクまたは監査ログメンテナンスタスクの実行中を除いて、Log または SysLog オブジェクトで削除を試みたときに、エラーメッセージが表示されるようになりました。これらのタスクは、別のメソッドを使用してこれらのタイプのオブジェクトを削除します。(ID-19356)
リソースアカウントのパスワードの変更およびリソースアカウントのパスワードのリセット操作は、パスワードの変更またはパスワードのリセット監査アクションで監査ログに記録されるようになりました。また、changeResourceAccountPassword ワークフローサービスの呼び出しの前に障害が発生した場合、「監査」アクティビティーのみが呼び出されるように、「Change Resource Account Password」ワークフローが変更されました。(ID-19359)
アクセスレビューの結果が正しく監査されない問題が修正されました。(ID-19548)
Server オブジェクトに対する操作が正しく監査されるようになりました。(ID-19606)
Resource Group の変更 (Create、Update、Delete) が監査されるようになりました。Resource Group オブジェクトは Application オブジェクトとも呼ばれ、Application オブジェクトの操作には ApplicationViewer が使用されます。したがって、監査は Application ビューアで行われます。(ID-19607)
delete user 操作が失敗したときに、失敗状態の監査ログレコードが発行されるようになりました。(ID-19722)

パスワード同期

ユーザーの電子メールが無効であるときに、PasswordSync が管理者に正しく電子メールを送信するようになりました。(ID-18110)
PasswordSync での NULL 参照によるクラッシュの可能性が修正されました。(ID-19042)
有効な証明書と自己署名証明書を使用したテスト接続が正しく動作するようになりました。(ID-19216)
2 つのバッファーオーバーランの可能性が修正されました。どちらの場合も、固定長のバッファーにバッファーより大きい内容を渡すことによりオーバーランが発生する可能性がありました。これらのバッファーは、十分なサイズとなるように動的に割り当てられるようになりました。(ID-19358)
コンピュータアカウントのパスワード同期が無効になりました。(ID-19366)
Password Sync ファイルのデフォルトのインストールディレクトリが、製品名に一致するように変更されました。(ID-20276) デフォルトでは、アプリケーションは C:\Program Files\Sun Microsystems\Sun Identity Manager PasswordSync にインストールされます。64 ビットバージョンの Windows では、デフォルトのディレクトリは C:\Program Files (x86)\Sun Microsystems\Sun Identity Manager PasswordSync\ です。

ポリシー

パスワードポリシーは、入力された拡張 ASCII 文字を、「使用禁止単語」の条件に対して正しく評価するようになりました。この条件は、ポリシー違反メッセージを表示するときに、単語の完全一致と文字列属性の一致も区別するようになりました。(ID-19384)

プロビジョニング

二次操作で再試行による再プロビジョニングが失敗した場合、再試行タスク中に NullPointerException は発生なくなりました。(ID-19826)

レポート

以前のバージョンのリスク分析レポートは、有効でない XML を含む TaskResult オブジェクトを waveset.dtd ごとに生成していました。その結果、これらの TaskResult オブジェクトは Identity Manager に再インポートできませんでした。新しいリスク分析レポートでは、再インポートできる有効な XML が生成されます。(ID-14419)

次の手順を使用して、古い TaskResult オブジェクトを更新およびインポートします。
1. TaskRef を object.xml などのファイルにエクスポートします。
2. UNIX シェルから次のコマンドを実行します。修正されたファイルが、object-fixed.xml に書き込まれます。
```
cat object.xml | sed -e s/'&#xA;'//g | sed -e s/'&#xA; '//g | sed -e
s/'&#xA;  '//g | sed -e s/'&#xA;  '//g > object-fixed.xml
```
3. object-fixed.xml ファイルを Identity Manager にインポートします。
監査レコードはデフォルトで、レコードが参照する Object と同じ ObjectGroup に配置されます。ApproverReportTask は All ObjectGroup にあり、レポートが実行されたことを示す監査レコードも All ObjectGroup に配置されます。(ID-16363)

つまり、監査レコードはすべての管理者がアクセスできます。この状況が望ましくない場合は、ApproveReportTask TaskInstance の MemberObjectGroup をより適切な ObjectGroup に変更するか、AuditReport タスクに次の XML を追加します。
```
<Field name='excludeAll'>
   <Display class='Hidden'>
      <Property name='value' value='true'/>
   </Display>
</Field>
```
使用状況レポートタイプのレポートで、X 軸および Y 軸の「インタフェース」および「属性の変更」のオプションは有効な照会可能な値にマッピングされ、NullPointerException は発生しなくなりました。「属性の変更」は Attribute.ACCT_ATTR_CHANGES にマッピングされます。「インタフェース」は、新しく作成された Attribute.INTERFACE にマッピングされ、これは Attribute.CLIENT と同義です。(ID-16769)
Top 組織を管理しないユーザーに対して、アカウントインデックスレポートを正しく生成できるようになりました。(ID-16643)
リソースユーザーレポートに、管理者の名前が正しく表示されます。(ID-17650)
レポートを PDF 形式で生成しているときにエラーが発生した場合、エラーメッセージが正しく表示されるようになりました。(ID-17979)
レポートの複製が正しく機能するようになりました。(ID-18187)
ユーザーレポートに検索オプションとして Extended User Attributes が含まれている場合、Identity Manager は NullPointerException を返しません。(ID-19567)
複数の AdminRole に割り当てられたユーザーがレポートを作成しようとしたときに発生していた、アクセス拒否エラーが修正されました。(ID-20067)
タスクレポートに列の名前が正しく表示されるようになりました。(ID–20131)

リポジトリ

ユーザーが All Compliance Violation レポートで監査ポリシーのリンクをクリックしたときに、MySQL のエラー「Column 'id' in field list is ambiguous」が発生しなくなりました。リポジトリは、この列名を修飾する DML を生成するようになりました。(ID-19900)

リソースアダプタ

リソースパスワードの変更タスクが正しく表示されるようになりました。(ID-6947)
リソースアダプタで定義されたデータベースが利用できない場合に、アダプタがデフォルトの Sybase システムデータベースを調整しようとしていた、Sybase アダプタでの問題が修正されました。(ID-15867)
タブ (\u0009) が、Flat File Active Sync リソースのフィールド区切り文字として機能するようになりました。(ID-16780)
Scripted JDBC リソースアダプタのトレース機能が拡張されました。(ID-16900)
Domino Server および Lotus Notes クライアントが同じマシンにインストールされている場合に、ゲートウェイは Domino Server の notes.ini ファイルにある ServerKeyFileName の値を上書きしません。(ID-17216)
force_change フラグを明示的に false に設定して新しいユーザーを作成する場合、Solaris リソースで正しく動作するようになりました。(ID-17401)
SecureID が再起動されたときに、Gateway サービスは SecurID へのデータベース接続を再確立するようになりました。(ID-17443)
ScriptedGateway が唯一のゲートウェイリソースである場合に、ゲートウェイの暗号化キーが更新されない問題が修正されました。(ID-17556)
Active Directory にユーザーを作成するときの 2 つのエラー状況 (アカウントがすでに存在する、アカウント ID が不正な形式である) が、正しい内容のエラーで表示されます。(ID-17587)
SecurId ACE Server UNIX アダプタは、プールされた接続が有効かどうかをテストするようになりました。(ID-17673)
Identity Manager は、Lotus Domino グループ名のエイリアスの使用を無視するようになりました。エイリアスがネイティブに使用されていても、無効なオブジェクトエラーを生成しません。(ID-17739)
Domino アダプタは、create アクションおよび update 後のアクション中に作成されたスクリプトファイルを削除します。(ID-18136)
Active Directory リソースアダプタは、削除前のアクションから返される 0 以外の終了コードを正しく処理するようになりました。(ID-18241)
Lotus Domino リソースは、接続プールへの接続を正しく返すようになりました。(ID-18417)
Exchange 2007 アダプタの Name アカウント属性は、作成専用属性になりました。属性を変更すると予想できない結果となって、ユーザーを Identity Manager で管理できなくなる可能性があり、この場合はサポート対象となりません。(ID-18606)
ゲートウェイリソースアダプタは、読み取り専用のアカウント属性を上書きしなくなりました。(ID-18932)
OracleERP リソースアダプタは、ユーザーにプロビジョニングされていない責任を検索するときに、データを見つけられないエラーを返さなくなりました。(ID-19056)
OracleERP リソースアダプタは、一意でない名前の責任を検索するときに、エラーを返さなくなりました。(ID-19057)
LDAP リソースアダプタは、グループメンバーシップをテストするときに、一意の Member 属性を要求しなくなりました。(ID-19134)
Domino Gateway アダプタのメモリーリークが修正されました。(ID-19139)
「get info」メッセージが Scripted Gateway リソースに送信されるときに、ゲートウェイがクラッシュしなくなりました。(ID-19249)
サーバー暗号化の管理タスクは、キーのタイムスタンプを付加したコピーを保存するときに、GatewayEncryptionKey タイプのオブジェクトを破損しなくなりました。(ID-19250)
ログインに繰り返し失敗してロックされたユーザーを、SAP リソースアダプタがロック解除できない問題が修正されました。(ID-19252)
非推奨の DominoActiveSyncAdapter は配信されなくなりました。Domino リソースアダプタはこの機能を含むようになりました。(ID-19281)
Windows NT リソースで調整を実行するときに、ゲートウェイがクラッシュしなくなりました。(ID-19295)
NDS ゲートウェイが、非ユーザー NDS オブジェクトを処理するときに、User クラスに関する誤った警告メッセージを送信しなくなりました。(ID-19362)
アダプタで Exchange 2007 サポートが有効な場合、古いバージョンの Exchange 2000/2003 対応のメールユーザーは、AD 専用ユーザー (RecipientType が User) として報告されます。Exchange 2000/2003 ユーザーは、legacyExchangeDN とその他の Exchange 2000/2003 属性により、AD 専用ユーザーと区別できます。(ID-19393)
Red Hat Linux リソースで、ユーザー ID をほかのユーザー ID と同じ値に変更すると、Uid is not unique エラーがスローされます。(ID-19395)
Identity Manager は、SAP Access Enforcer カスタム属性を Access Enforcer に正しく渡すようになりました。(ID-19427)
複数の objectClasses のある LDAP グループが、正しく保存されるようになりました。(ID-19436)
NIS を実行している Solaris、HPUX、AIX、および Linux アダプタでは、使用中の uid を持つアカウントを作成したり、uid をすでに存在しているアカウントのものに変更することが禁止されました。(ID-19465)
Exchange 2007 属性が Active Directory アダプタで getAllObjects() 呼び出しの一部として要求されたときに、ゲートウェイはこれらを正しく返すようになりました。(ID-19492)
AIX アダプタは、無効なユーザーで更新されたときに、すべてのグループメンバーを削除しなくなりました。(ID-19516)
Red Hat および AIX で、ユーザーの一次グループを削除するときに発生していた問題が修正されました。リソースが例外をスローしてグループの削除に失敗した場合に、管理者インタフェースは成功を報告していました。エラーが正しく報告されるようになりました。(ID-19520)
存在しないグループにユーザーが割り当てられたときに Red Hat Enterprise Linux 5 から返されるエラーコードを、Identity Manager が正しく解釈するようになりました。(ID-19523)
シェルスクリプトアダプタからの SSH を通した非 root アクセスが、正しく機能するようになりました。(ID-19583)
操作の更新に ExcludedAccountsRule を使用しても、null accountID が発生しなくなりました。(ID-19585)
LDAP 認証にアスタリスク (*) などの LDAP 予約文字を使用したときに、すべての LDAP ユーザーがロックアウトされることがなくなりました。(ID-19588)
AIX リソースアダプタは、二次グループリストを正しく更新します。(ID-19628)
Oracle リソースアダプタで、アカウントパスワードに疑問符 (?) と中括弧 ({ }) を使用できるようになりました。(ID-19653)
SecurId ACE Server for Windows アダプタは、ゲートウェイとバッキング SecurId 環境の両方がクエリーに応答していることを確認するように拡張されました。(ID-19667)
完全調整で、アカウントの無効状態が正しく変更されるようになりました。LDAP リソースアダプタは、調整中に無効状態をチェックするようになりました。(ID-19708)
NIS リソースの無効なログインシェルでユーザーを作成または変更すると、エラーが発生するようになりました。(ID-19755)
Identity Manager は、同期中に Active Directory の更新を失わなくなりました。(ID-19905)
無効なユーザーの SiteminderLDAP アカウントステータスは、「ユーザーの編集」ページに Tabbed User Form を使用して正しく表示されるようになりました。(ID-19931)
Windows NT リソースアダプタは、groupType リソースオブジェクトのサポートを終了しました。(ID-19791)
SecurId UNIX リソースアダプタは、コンマ区切りのグループの値を正しく処理します。(ID-20152)
管理者は、SecurId Windows アダプタで複数のグループとクライアントをユーザーに割り当てることができます。(ID-20153)
ユーザーパスワード中に制御文字 (0x00 ～ 0x1f、0x7f) がある場合、Linux、AIX、Solaris、HPUX、および ShellScript リソースアダプタではエラーがスローされます。(ID-20174)

ロール

含まれるロールを削除する場合、割り当てられているロールからこのロールを削除しておく必要があります。(ID-18981)
システムデプロイヤが Identity Manager にロールを保存およびインポートできない問題が修正されました。(ID-19036)
JDK 1.6 を実行している Identity Manager で、ビジネスロールに割り当てられたロールを割り当てられない問題が修正されました。この問題には、ビジネスロールが割り当てられたあとに、Identity Manager がビジネスロールを IT ロールとして識別することが含まれていました。この問題は JDK 1.6 に固有の問題です。(ID-19086)
ロールの変更中に ResourceAttribute の値を文字列値に設定すると、SPML ビューアが ClassCastException をスローする問題が修正されました。(ID-19177)
カスタムユーザーフォームを通してロールをユーザーに割り当てられない問題が修正されました。この問題は、更新されない UI コンポーネント (テキストボックスなど) を使用してロールが割り当てられるときに発生していました。(ID-19241)
動的な管理ロールを持つユーザーに対して、次の機能が正しく動作するようになりました。(ID-19456)
- 承認の取り消し
- 作業項目の履歴の表示
- レポートの実行
RoleAttribute リストの値が正しく実行されるようになりました。(ID-19981)

サービスプロバイダ

Identity Manager Service Provider が organization 属性を使用するように設定されたときに発生する問題が修正されました。Top を管理しない Identity Manager の管理者は、Service Provider エンドユーザーを更新できず、「User must have a value for the 'org' attribute」のメッセージを受信していました。(ID-18329)

セッション API

EmailUtil API 呼び出しと sendEmailToAddress() メソッドは、呼び出しの引数として送信された null の HTTP 要求を処理するようになりました。メソッドは、HTTP 要求からロケールを判定するときに null の場合をチェックし、NullPointerException をスローせずに適切なロケールをデフォルトに設定します。(ID-17755)

同期

起動タイプが「Automatic with Failover」で、リソースに対して Active Sync を実行するサーバーが Identity Manager リポジトリに接続できない場合、タスクはリソースの変更をポーリングしません。Active Sync タスクが以降のスケジュールされたポーリング時にリポジトリと接続を確立できるときに、クラスタの別の Identity Manager サーバーで、そのリソースに対してすでに別の Active Sync タスクが開始されている場合、タスクは終了します。(ID-19452)

ビュー

SystemConfiguration 属性の ProvisioningDisabledUserShouldThrow を true に設定すると、リソースに対する無効なユーザーのプロビジョニングが防止され、エラーが生成されます。属性が true に設定されていない場合、プロビジョニングは防止されますが、エラーは生成されません。(ID-19433)

その他のバグの修正

17055、18242、19019、19065、19244、19288、19651、20352