ここでは、Identity Manager 8.1 で提供される新機能についての追加情報を示します。情報の構成は次のとおりです。
Identity Manager 7.1 Update 1 のリリース以降、顧客によって報告された重要かつ重大なバグの修正を含む更新は、従来のホットフィックスプロセスに代わる「パッチプロセス」を通じて配布されるようになりました。
パッチは 6 週間の間隔で開発、テスト、およびリリースされます。これらのパッチは GUI インストーラを備えていますが、手動インストールのオプションも用意されており、/WEB-INF/lib 内のファイルを更新します。パッチのインストール手順は、PDF 形式で配布されるパッチのリリースノートに記載されています。Gateway または Password Sync への修正はリリースノートに記載され、パッチのインストールによる更新を必要とします。
Identity Manager のパッチは累積的であるため、個別に修正を適用するよりも多くの問題を修正できます。メジャーリリースまたはマイナーリリースをインストールする、あるいはそれらのリリースにアップグレードするときは、最新のパッチレベルへの更新を計画に組み込むことをお勧めします。たとえば、8.1 をインストールする時点、または 8.1 にアップグレードする時点でパッチ 3 が公開されている場合は、そのインストールまたはアップグレード後にパッチ 3 を適用してください。パッチ 3 にはそれ以前のパッチのすべての機能が含まれているため、パッチ 1 および 2 をインストールする必要はありません。
パッチプロセスの導入により、実際のバグ番号によって修正をより簡単に追跡できるようになります。ただし、古いバージョンに対して行われた修正が新しいバージョンではまだ提供されていない、という場合も考えられます。現在使用している Identity Manager のバージョンでどのプロセスを採用しているかに関係なく、必要なバグ修正のすべてが、アップグレード後の新しい Identity Manager のバージョンに含まれていることを確認する必要があります。
新しいパッチがリリースされると、すべてのカスタマサポートに告知が送付されます。パッチはカスタマサポートを通じて提供されます。入手可能な最新のパッチについては、Sun カスタマサポート (http://www.sun.com/service/online/us) までお問い合わせください。
Identity Manager 8.1 は、次の新しい機能を備えています。
この機能により Identity Manager は、リソースアダプタを通して直接 Identity Manager に接続されていない企業で、アプリケーションのプロビジョニングと監査を管理することができます。これには、ラップトップ、携帯電話、セキュリティーカードなどの、デジタルでない外部リソースも含まれます。Identity Manager を通して外部リソースをプロビジョニングすると、1 人または複数のプロビジョニング担当者が、電子メールまたは Remedy Help Desk 6.3 による通知を受け取ります。
Connector Framework では、コネクタを使用して Identity Manager をターゲットアプリケーションに接続する新しい方法が提供されます。Identity Connectors および Framework は、オープンソースイニシアティブの一部として、Identity Manager でリソースをプロビジョニングする一般的で一貫性のある方法を提供します。コネクタはコア Identity Manager サーバーから切り離されているため、Identity Manager のビルドに依存せずにリリースできます。Identity Manager には次のサポートされたコネクタが付属しています。また、オープンソースプロジェクトの Web サイトでは、追加のコネクタをダウンロードできるようになる予定です。
Microsoft Active Directory 2003 および 2008
SPML 2.0
詳細は、オープンソースプロジェクト Web サイト (https://identityconnectors.dev.java.net/) を参照してください。
追加のコネクタはまもなく用意される予定です
この統合は、Sun Role Manager version 4.1.3 以降を対象としています。Identity Manager のフォームから Role Manager の Web サービスを直接呼び出して、ユーザーのロール操作を通知および実行できるようになりました。Identity Manager データエクスポータは、Role Manager が Identity Manager のユーザーとロールを取得することをすでに許可しており、最新の 8.1 データエクスポータは次の機能を備えます。
ユーザーのマイニングをより有効にする機能情報
Sun Role Manager の今後のバージョンで有効になるリソーススキーマ
Identity Manager は、JMX MBeans を使用して、List、Create、Get、Modify、Delete、および Authenticate 操作のパフォーマンスデータを提供します。収集されるデータは次のとおりです。
操作の数
1 操作あたりの移動平均時間
1 操作あたりの最小時間
1 操作あたりの最大時間
収集の開始時刻
リソースアダプタのクラスとバージョン
Identity Manager は、Advanced Encryption Standard をサポートします。AES は対称キーの暗号化技術で、DES (Data Encryption Standard) の代わりに使用できます。AES は、政府機関のアプリケーションでデータを保護するために一般的に使用されています。
この機能は、W3C XML Signature Syntax and Processing (XMLDSig) を使用する、標準的な否認防止メカニズムを提供します。この拡張機能により、作業項目の承認を XMLDSig 形式で作成、保存、および表示できます。この形式では、RFC 3161 準拠のタイムスタンプを含めることもできます。
SPML2.0 のサポートが強化されました。Identity Manager は、検索機能をサポートします。また、監査ログもサポートされるようになりました。
Checkbox、Label、Radio、Select、Text、TextArea、および Container のユーザーインタフェースコンポーネントが更新され、カスタム CSS スタイルが正しく表示されるようになりました。これまでは、Button 要素でしかカスタムスタイルが表示されませんでした。(ID-15025)
デバッグトレースページで、カスタムクラスを設定できるようになりました。(ID-15490)
1 人以上のユーザーを選択して次のページに進んだときに、複数のユーザーアクションを実行しても、これらの選択が解除されることがなくなりました。(ID-15529)
AuthnProperty name='password' XML 要素で noTrim='true' を指定した場合、「ログイン」ページのパスワード入力ボックスから空白文字が削除されません。noTrim='true' はほかの AuthnProperty にも適用できます。(ID-16434)
誘導ヘルプの画像サイズを、customStyle.css スタイルシートで設定できるようになりました。(ID-17360)
管理者インタフェースで、「ヘルプ」ボタンの上にカーソルを移動したときに表示されるバージョン情報を、新しいカスタムメッセージカタログキー UI_VERSION を追加することで無効にできます。カスタムメッセージカタログで値を空の文字列に設定します。(ID-17507)
エンドユーザーのダッシュボード (ホーム) ページに、ユーザーの accountId ではなくフルネームが表示されるようになりました。JSP を変更する代わりに、End User Dashboard フォームをカスタマイズすることで変更できます。(ID-19006)
System Configuration オブジェクトのセキュリティー属性に、saveNoValidateAllowedFormsAndWorkflows という ID のリストを設定できるようになりました。このリストを設定すると、Identity Manager はリストにあるフォームとワークフローだけを SaveNoValidate アクションとして処理します。その他のフォームとワークフローは Save アクションとして処理されます。リストが設定されていない場合、動作はこれまでと同じです (すべてのフォームとワークフローを SaveNoValidate として処理できます)。(ID-19115)
一括操作では、リソースに複数のアカウントを持つユーザーに対してプロビジョニングを実行できるようになりました。(ID-13160)
「読み取り専用」として設定されたリソースから、一括操作を使用してアカウントを割り当て解除またはリンク解除する機能が追加されました (アカウントの更新を許可するすべてのリソース機能は無効になります)。これは、一括操作を使用した場合のみ可能です。これまでは、読み取り専用リソースからアカウントの割り当て解除またはリンク解除を試みると、リソースが存在しないことを示すエラーが返されました。(ID–19048)
承認作業項目をページに分けて表示し、ページのタイムアウトを避けるオプションが追加されました。(ID-18544) approval.jsp ページは、次のプロパティーを受け入れるようになりました。
Paging。設定されている場合は、ページによる表示が有効になります。
MaxRows。各ページに表示される行の数。
orderBy。ソートのパラメータ。
次のフィールドを追加して、WorkItemList フォームを変更します。
<Field name='PagingButtons'> <Display class='ButtonRow'> <Property name='align' value='right'/> </Display> <Disable> <not> <ref>viewOptions.Paging</ref> </not> </Disable> <Field name='action'> <Display class='Button'> <Property name='command' value='Recalculate'/> <Property name='label' value='<<'/> <Property name='value' value='first'/> </Display> </Field> <Field name='action'> <Display class='Button'> <Property name='command' value='Recalculate'/> <Property name='label' value='<'/> <Property name='value' value='previous'/> </Display> </Field> <Field name='action'> <Display class='Button'> <Property name='command' value='Recalculate'/> <Property name='label' value='>'/> <Property name='value' value='next'/> </Display> </Field> <Field name='action'> <Display class='Button'> <Property name='command' value='Recalculate'/> <Property name='label' value='>>'/> <Property name='value' value='last'/> </Display> </Field> </Field>
Multi Approval ワークフロープロセスは、approvers リストから、承認作業項目を生成するために使用される approverObjects リストへの自動変換をサポートするように拡張されました。(ID-19238)
Sun Identity Manager のドキュメントセットは再編成されました。主な変更は次のとおりです。
『管理』ドキュメントは、『Business Administrator's Guide』と『System Administrator's Guide』の 2 つのドキュメントに再編成されました。
『Tuning, Troubleshooting, and Error Messages』ドキュメントの内容は、新しい『System Administrator's Guide』に移動されました。
『配備ツール』ドキュメントの SPML の章は、『Web Services Guide』に移動され、『配備ツール』はドキュメントセットから削除されました。
『配備に関する技術概要』ドキュメントの名称が、『Deployment Guide』に変更されました。
『ワークフロー、フォーム、およびビュー』ドキュメントの名称が、『Deployment Reference』に変更されました。
ドキュメントセットに、新しく『Sun Identity Manager Overview』が追加されました。
Sun Identity Manager のドキュメントの一覧については、「Preface」の「Related Books」の節を参照してください。
Sun Identity Manager のドキュメントに関する訂正および更新は、Identity Manager Documentation Updates Web サイトに掲載されるようになりました。
http://blogs.sun.com/idmdocupdates/
RSS フィードリーダーを使用して Web サイトを定期的に確認し、更新を利用できる場合に通知を受けることができます。サイトを購読するには、フィードリーダーをダウンロードして、ページの右側の「Feeds」の下にあるリンクをクリックします。バージョン 8.0 から、メジャーリリースごとのフィードを利用できます。
データベースアップグレードスクリプトは、アカウントテーブルの ownerId 列にインデックスを付加します。多数のアカウントがある場合、アップグレードで大規模なテーブルに新しいインデックスが作成されるため、データベースアップグレードスクリプトの処理に長い時間がかかります。(ID-19314)
アップグレード中のメモリー不足の例外に関する問題が修正されました。これまでのアップグレードでは、Java VM の最大ヒープサイズは 256M バイトにハードコードされていました。このハードコードされた値が削除されました。(ID-19407)
JAVA_OPTS 環境変数をカスタム値に設定できるようになりました。値を設定しない場合は、1024M バイトのデフォルト値が使用されます。
最大ヒープサイズの値を定義するには、JAVA_OPTS 環境変数を、—Xmx HeapSize の形式で設定します。HeapSize には 512m などの値を指定します。たとえば、-Xmx512m のように指定します。
PasswordSync から送信される電子メール通知で、電子メールの送信者名、件名、および本文に、UTF-8 エンコーディングが使用されるようになりました。その他のヘッダー部分は、電子メールの RFC で要求されているように、平文の ASCII を使用してエンコードされます。(ID-14120)
非 ASCII 文字を使用する電子メール通知は、一部のメールクライアントまたはオペレーティングシステムで正しく表示されない場合があります。
空白文字を含むパスワードが、正しく暗号化および復号化されるようになりました。(ID-17670)
8.0 ~ 8.0.0.2 または 7.1.1 ~ 7.1.1.7、または 7.1 より前のバージョンからアップグレードする場合、すべての Password Sync のインスタンスとゲートウェイを再インストールする必要があります。
PasswordSync は、Windows Server 2008 (32 ビットおよび 64 ビットバージョン) をサポートするようになりました。(ID-18342)
新しい 2 つの設定が Windows のレジストリとインストーラの GUI に追加され、PasswordSync の証明書の動作を設定できます。これらの設定は、非推奨のレジストリ設定 clientSecurityFlags および clientConnectionFlags を置き換えます。(ID-19140)
securityIgnoreCertRevoke。1 に設定すると、証明書の失効エラーを無視します。
securityAllowInvalidCert。1 に設定すると、安全性チェックに失敗した証明書を許可します。
PasswordSync の内部チェックが拡張され、パスワード変更の一部として渡された、障害を引き起こす可能性のある不正な値から保護します。(ID-19291)
PasswordSync インストーラは、設定パラメータをインストール中にファイルに記録できるように拡張されました。別のインストールでファイルを参照して、同じ設定を再実行できます。以降の PasswordSync のインストールで、インストールと設定を自動的に実行できます。(ID-19311)
デッドロックによる、認証キャッシュへのアクセス過多が発生しなくなりました。(ID-16926)
「ユーザーの作成」および「ユーザーの編集」ページのパフォーマンスが向上しました。(ID-17066)
Identity Manager は、管理者に作業項目をユーザーに委任する権限および許可があるかどうかを判定する前に、デフォルトで組織内のすべてのユーザーをチェックしなくなりました。以前のデフォルトの動作に戻すには、account/modify.jsp ファイルに次の文を追加します。
req.setOption(DelegateWorkItemsViewer.OP_CALL_DELEGATORS_AVAILABLE_USERS,"true");
DelegateWorkItemsViewer で OP_CALL_DELEGATORS_AVAILABLE_USERS を true に設定した場合、Identity Manager はすべてのユーザーについて、管理者にユーザーを表示する権限があるかどうかをチェックします。
ルールによって管理ロールが動的に割り当てられたユーザーの場合、ログイン中にユーザーのコンテキストが引数として渡されるようになりました。(ID-17964)
割り当てられたリソースに定義された accountId 以外の表示名属性がある場合に、Identity Manager ユーザーインタフェースにログインするときのパフォーマンスが向上しました。(ID-18885)
秘密の質問ポリシーに新たに「次へ」というオプションが追加されました。このポリシーでは、ユーザーの回答が正しくない場合、ユーザーが認証の質問に正しく回答してログインするか、指定した試行回数の制限に基づいてロックされるまで、Identity Manager は次の質問を表示します。(ID-17307)
違反の概要レポートの違反の状態がローカライズ可能になりました。(ID-17011、17042)
レポートの方向を、デフォルトの縦長だけでなく、横長でも生成できるようになりました。またページサイズは、デフォルトのレターサイズのほかに、リーガルサイズを指定できるようになりました。(ID-17649)
Identity Manager は、本稼働リポジトリとして、MySQL 5.0.6.0 SP1 Enterprise Server をサポートするようになりました。(ID-17735、ID-19703)
MySQL 5.1.30 Enterprise Server を Identity Manager の本稼働リポジトリとして使用できるようになりましたが、my.cnf ファイルの変更が必要となる場合があります。MySQL の InnoDB コードに対する変更により、デフォルトのバイナリログ形式は STATEMENT になりました。Identity Manager は READ-COMMITTED トランザクション遮断レベルを使用するため、STATEMENT モードのバイナリログにより次のようなエラーが発生します。(ID-20460)
com.waveset.util.IOException: java.sql.SQLException: Binary logging not possible. Message: Transaction level 'READ-COMMITTED' in InnoDB is not safe for binlog mode 'STATEMENT' |
バイナリログを有効にする場合は、my.cnf ファイルに次の行を追加して、モードを MIXED に設定してください。
binlog_format=mixed |
この設定の変更により、バイナリログの例外を発生させることなく、5.1.30 をリポジトリとして使用できます。詳細は、MySQL のバグ #40360 を参照してください。
Identity Manager Repository は、MySQL の障害 9021 を回避するように変更されました。Repository の MysqlDataStore は、属性の条件ごとに名前の付いた JOIN を生成するようになりました。これまでは、MysqlDataStore は SUBSELECT および EXISTS 述語を使用する場合がありました。(ID-15636)
setRepo コマンドの使用法の出力が更新されました。-o がオプションのリストに追加され、-o を指定すると setRepo が新しいリポジトリの場所で初期チェックを実行しないという内容の説明が表示されます。使用法には、直接 JDBC 接続の例に -U と -P のフラグも表示されます。(ID-19475)
Netegrity SiteMinder 6.0 がサポートされるようになりました。アダプタを正しく動作させるには、SiteMinder に対して PolicyServer および WebAgent を正しく設定する必要があります。(ID-6478)
Active Directory リソースアダプタは、Home Directory Rights リソース属性を提供します。この属性は、ホームディレクトリに関するアクセス権の継承と、アクセス権のレベルをコントロールします。デフォルト値は、0 です。値が 0 の場合、継承は行われず、ユーザーのアクセス権は FULL 制御になります。値が 1 の場合、アクセス権が継承され、ユーザーのアクセス権は FULL 制御になります。値が 2 の場合、アクセス権は継承されず、ユーザーのアクセス権は MODIFY 制御になります。値が 3 の場合、アクセス権は継承され、ユーザーのアクセス権は MODIFY 制御になります。MODIFY 制御は、FILE_GENERIC_WRITE、FILE_GENERIC_READ、FILE_EXECUTE、および DELETE の権限で構成されます。(ID-12881、19706)
データベーステーブルリソースアダプタは、データ型が整数の、accountId 属性にマップされた列を処理できるようになりました。(ID-13362)
LDAP リソースアダプタは、定義済みのベースコンテキストにあるエントリのみを同期するようになりました。(ID-15389)
LDAP リソースアダプタに、「Respect resource password policy change-after-reset」リソースパラメータを追加しました。このオプションが有効で、このリソースがログインモジュールに指定され、リソースのパスワードポリシーが change-after-reset に設定されている場合、リソースアカウントパスワードが管理上リセットされたユーザーは、認証に成功したあとパスワードの変更を要求されます。(ID-16255)
このリリースでは、この動作は、成功したバインド操作への応答に「Netscape Password Expired」 (非要請) 応答制御 (OID 2.16.840.1.113730.3.4.4) を返す LDAP サーバーのみで使用できます。正常なバインドの試行と制御の組み合わせは、ユーザーのパスワードが管理上リセットされ変更の必要があると解釈されます。パスワードポリシーの change-after-reset 機能を実装する LDAP サーバーでは、パスワードのリセットが必要なユーザーは認証のあとパスワードの変更のみが許可され、ほかの操作は拒否されます。
また、Identity Manager は、LDAP リソース管理者アカウントを使用するパススルー認証以外のすべての LDAP リソース操作を実行するため、特定の LDAP サーバーはユーザーのパスワードの変更操作を管理上のリセットと見なし、ユーザーのアカウントからその状態をクリアしません。このような LDAP サーバーには、次のものがあります。
Sun Java Systems Directory Server 5.x で、rootDN (通常は cn=directory manager) をリソースアダプタ接続アカウントとして使用するように設定されている場合
Sun Java Systems Directory Server 5.2 で、passwordNonRootMayResetUserpwd:on が設定されている場合
Sun Java Systems Directory Server 6.0 以降 (OpenDS を含む)
Domino リソースアダプタは、グループプロビジョニングの ObjectType をサポートするようになりました。ObjectFeature の create、delete、list、rename、saveas、および update を実装します。(ID-16422)
SecurId リソースアダプタは、アカウント名の変更をサポートします。(ID-16517)
SAP リソースアダプタは、CUA をより堅牢な方法で処理するように更新されました。新しいフォームとコードの変更により、Identity Manager は SAP ユーザーごとに、CUA の子システムとその子システムのロールとプロファイルを変更できます。(ID-16819)
profiles および activityGroups アカウント属性の特性が変更されました。これらの属性はどちらも複合データ型になりました。profiles 属性は PROFILES リソースユーザー属性にマップされ、activityGroups 属性は ACTIVITYGROUPS リソースユーザー属性にマップされます。
$WSHOME/web/sample/updateSAPforCUA.xml ファイルを読み込んで、SAP リソースアダプタでこれらの変更を更新してください。新しい SAP リソースには、更新されていない既存のリソースをコピーしてリソースを作成しないかぎり、これらの属性が含まれます。
Identity Manager は、Domino サービス拒否エラーを検出してトラップするようになりました。(ID-16911)
WRQ Attachmate 3270 Mainframe Adapter for Sun がサポートされます。この製品の設定については、『リソースリファレンス』を参照してください。(ID-17031)
Linux リソースは、sudo を使用した /usr/bin/chage コマンドの管理をサポートします。(ID-17119)
Lotus Notes/Domino 8.0 のサポートが追加されました。(ID-17213)
Scripted Gateway アダプタは、パスワード同期をサポートするようになりました。(ID-17813)
Oracle ERP リソースアダプタでは、EMPLOYEE_NUMBER にアルファベットと数字の両方を使用できるようになりました。(ID-18239)
OS400 リソースアダプタは、パスワード中の特殊文字をサポートするようになりました。(ID-18412)
サンプルの除外規則として RACF Case Insensitive Excluded Resource Accounts および RACF_LDAP Case Insensitive Excluded Resource Accounts が追加されました。これらは sample/wfresource.xml ファイルで定義されています。
MySQL リソースアダプタは、JdbcResourceAdapter から継承するように更新されました。既存の MySQL リソース属性は自動的に更新されます。(ID-18835)
Windows NT リソースアダプタは、再度サポートされます。非推奨ではなくなりました。(ID-19170)
LDAP リソースアダプタに、新しい Use Paged Result Control 設定パラメータが追加されました。このパラメータを有効にすると (デフォルトでは無効)、Identity Manager は調整のアカウント反復子に VLV Control の代わりに Paged Result Control を使用します。Use Paged Result Control 設定パラメータを使用する場合、LDAP リソースアダプタが単純なページング制御をサポートしていれば、パフォーマンスが向上します。(ID-19231)
SAP HR アダプタに Objecttypes to read from SAP HR リソースパラメータが追加されました。組織の IDOC を SAP HR から処理できます。これは複数値属性で、現在「P」、「CP」、「S」、「C」、および「O」がサポートされています。(ID-19286)
OracleERP リソースアダプタでは、Oracle EBS 管理テーブルの名前 (FND_USER、FND_VIEWS など) の前に管理者ユーザーのスキーマ ID (APPS など) を付加する Identity Manager の機能を抑制するオプションがサポートされるようになりました。このオプションは、表示名が Do Not Use Schema Identifier の新しいリソース属性により提供され、デフォルト値は FALSE です。この値を TRUE に変更すると、アダプタは管理テーブル名の前にスキーマ ID を付加しなくなります。(ID-19352)
Active Directory アダプタは、inetOrgPerson オブジェクトクラスと、ユーザーオブジェクトクラスから派生したその他のオブジェクトクラスをサポートするようになりました。(ID-19399)
Maintain LDAP Group Membership パラメータが LDAP アダプタに追加されました。ユーザーが名前変更または削除されたときに、Identity Manager または LDAP リソースで LDAP グループメンバーシップを維持する必要があるかどうかを制御します。(ID-19463)
リソースパラメータ ERROR_CODE_LIMIT がシェルスクリプトリソースアダプタに追加されました。このパラメータにより、どのリターンコードがエラーかを判断できます。(ID-19858)
SecurId アダプタは、次の機能をサポートするようになりました (ID-18665、18671、18672、18673、18676、18677、19726)。
ユーザーの名、性、およびデフォルトのシェルを編集できます。
すべての有効な ACE グループを ACE サーバーから取得できます。
ACE グループを検索して、グループ内のすべてのユーザーを返すことができます。
定義された ACE エージェントの一覧を ACE サーバーから取得できます。
ACE エージェントでアクティブなすべてのグループを表示できます。
すべての管理者と管理レベルを取得できます。
ゲートウェイは、Identity Manager サーバーとの通信で、128 ビット、192 ビット、および 256 ビットキーの ACE 暗号化方式をサポートするようになりました。(ID-19738)
管理者ロールが動的な編成を制御していて、「ユーザーの検索」ページでユーザーが編集された場合に、Identity Manager は管理者ロールによる UserForm の割り当てを認識するようになりました。(ID-18028)
アップグレード中に RoleUpdater にオプションの noroleconfigurationupdate 引数を指定して、8.0 より前のロールを直接ユーザーに割り当て可能にするかどうかを指定する RoleConfiguration オブジェクトの変更を省略できます。値を true に設定すると、この変更が必要かどうかを確認するテストを省略します。(ID-18483)
すべての RoleAttribute ロジックは、大文字と小文字を区別しなくなりました。(ID-18766)
主体が直接管理する組織と、主体に割り当てられている管理者ロール経由で管理する組織の両方で、レポート結果を利用できるようになりました。(ID-19736)
IDM 8.1 は、新しい暗号化オプションをサポートします。(ID-16979、17789)
サーバー暗号化キーの暗号化では、256 ビットキーを使用した AES による PBE (ECB モード) のサポートが追加されました。この新しいオプションは、既存の DES による PBE に似ていますが、基本となる暗号化方式に AES を使用します。
リポジトリのデータとゲートウェイ通信の両方について、128、192、および 256 ビットキーの AES (ECB モード) のサポートが追加されました。
この新しい機能に対応するように、サーバー暗号化の管理タスクが変更されました。
これらの新しいオプションの一部では、『Administrator's Guide』で説明するように、追加のインストールまたは設定手順が必要となります。
パスワードを忘れてしまった場合に、秘密の質問を用いてログイン認証を行う代わりの方法として、新たに「ログインの復元」が追加されました。(ID-18052)
Identity Manager は、XMLDSIG 形式の署名された承認をサポートするようになりました。これまでは、署名された承認は Identity Manager の監査ログに独自の形式で保存されていました。この拡張により、これらの承認レコードを XMLDSIG 標準に準拠した形式で保存して、相互運用性を維持することができます。また、外部のタイムスタンプ発行局から取得した RFC 3161 準拠のデジタルタイムスタンプを含める機能もサポートされます。(ID-19011)
パススルー認証が有効なとき、ユーザーのリソースパスワードが期限切れで、Identity Manager のアカウント ID とリソースのアカウント ID が異なる場合、パスワード変更機能は正しく機能します。(ID-19218)
複数の CSRF (クロスサイトリクエストフォージェリ) の脆弱性が修正されました。(ID-19280、19659、19660、19661、19683、20072) includes/headStartUser.jsp および user/userHeader.jsp ファイルに対するすべてのカスタマイズは、手動で更新する必要があります。
動的な編成のパフォーマンスを向上しました。Waveset.properties ファイルに、ルールに基づくメンバーリストのキャッシュ方法を定義するプロパティーが追加されました。(ID-19586)
サービスプロバイダのエンドユーザーのページを設定して、サーバーが常に HTTPS を使用してページ要求を処理するように指定できます。(ID-18509)