第 4 章 既知の問題

この章では、Identity Manager 8.1 の既知の問題とその回避方法の一覧を示します。

この情報は、次の節で構成されています。

• 「一般」

• 「監査」

• 「データエクスポータ」

• 「Identity Manager サービスプロバイダ」

• 「ローカリゼーション」

• 「ログイン設定」

• 「組織」

• 「PasswordSync」

• 「ポリシーと機能」

• 「ユーザーの調整とインポート」

• 「レポート」

• 「リソース」

• 「ロール 」

• 「SPML」

• 「Sun Identity Manager Gateway」

• 「タスク」

• 「ワークフロー、フォーム、規則、および XPRESS」

一般

• 組織名、管理者名、アカウント名、ユーザー属性名 (スキーママップの左側)、またはタスク名について、無効な文字のチェックが行われません (ID-1145、1206、1679、1734、1767、2413、3331)。これらのタイプのオブジェクトの名前には、ドル記号 ($)、コンマ (,)、ピリオド (.)、アポストロフィー (’)、アンパサンド (&)、左角括弧 ([)、右角括弧 (])、およびコロン (:) を使用できません。

• ブラウザで大きいフォントを使用している場合、カレンダオブジェクトの全体が表示されません。(ID-2120)

• リスト内の項目のうち 1 つを選択解除した場合に、検索結果ページおよびタスクの一覧表示ページ上の「すべてを選択」チェックボックスが選択解除された状態になりません (ID-5090)。リスト内のすべての項目のチェックボックスが選択されていない場合、検索結果に対するアクションを実行した時に「すべてを選択」チェックボックスは無視されます。 (個別に選択されているものだけがアクションの対象となります。)

• カスタムメッセージカタログに変更を加える場合、変更内容を確認するにはサーバーを再起動する必要があります。(ID-6792)

• サーバーの障害を検出するための現在のメカニズムは、Identity Manager クラスタ内のすべてのシステム間で時間の同期が取れていることを前提としています。(ID-7064) デフォルトの障害検出間隔 (5 分) を使用しており、2 つのサーバー間で時間のずれが 5 分を超えている場合、時間的に先行しているサーバーは遅れているほうのサーバーを無応答として宣言し、予測不能な結果を引き起こします。

  回避方法: 時間の同期を高い精度で維持するか、またはフェイルオーバー間隔を長くします。

• Windows 上で、名前に 2 バイト文字が含まれるユーザーとしてログインしており、マシンのデフォルトのエンコーディングが 1 バイト文字しかサポートしていない場合、USER_JPI_PROFILE 環境変数には、名前が 1 バイト文字のみで構成される既存のディレクトリを設定する必要があります。(ID-8540)

• XML ファイル形式オプションを使用してリソースを XML ファイルに抽出したあとで、ドロップダウンリストから CSV ファイル形式を選択すると、次のメッセージダイアログが表示されます。(ID-10847)

  The form has already been submitted.

  回避方法: このメッセージを回避するには、「アカウント」>「ファイルへ抽出」を再度クリックし、「リソース」を選択して CSV ファイル形式を選択します。「ダウンロード」をクリックして、リソースアカウントの詳細を .csv ファイル形式でダウンロードします。

• 展開されたノードに含まれるデータが 1 ページに満たない場合に、(組織にユーザーを作成する場合などで) ページの先頭レコードよりも前にそのノードの新しい子を挿入すると、Identity Manager はそのあとの更新で、1 つの項目からなるページを現在のページの前に挿入します。(ID-12151)

  回避方法: ページを再編成するには、「最初のページ」ボタンをクリックします。

• Role フォームを修正して showSuperAndSubRoles 変数を 0 から 1 に変更したあとで、既存のサブロールを含むスーパーロールオブジェクト定義ファイルを「設定」タブからインポートした場合、それらのサブロールは <SuperRoles> セクションを含むように修正されません。ただし、Identity Manager のグラフィカルユーザーインタフェースを使用してスーパーロールを作成する場合は、そのスーパーロールによって参照されるサブロールが更新されます。(ID-15053)

  この問題は、Identity Manager の外部で作成され、システム内の既存のロール (サブロールまたはスーパーロール) への参照を持つロールに関して発生する可能性があります。

  これらのロールをインポートするとき、システムにすでに存在するロールについて、新しい関係を反映するための更新は行われません。 たとえば、参照整合性は維持されません。このような方法でロールをインポートする場合に参照整合性をチェックして修正するには、RoleUpdater を使用します。

  回避方法: 新しい RoleUpdater.xml ファイル (sample/forms/RoleUpdater.xml) をインポートすることによって、アップグレードプロセスの外部でロールを更新できます。デフォルトでは、Identity Manager はアップグレード中、またはユーザーが RoleUpdater.xml をインポートしたときにサブロールリンクを追加します。

  この新しい機能を無効にするには、RoleUpdater 属性 nofixsubrolelinks を true に設定します。次に例を示します。

  <MapEntry key='nofixsubrolelinks' value='true' />

• 既存の更新履歴ログに対して (列属性を追加するなどの) 設定変更を行う場合に、その変更が、以前から存在していた更新履歴ログの CSV ファイルに反映されない場合があります。(ID-15973)

• Repository Configuration オブジェクトには maxAttrValLength という名前の属性があります。この属性の値は無視され、常に 255 です。(ID-16261)

• ローカライズされた Identity Manager セッションでの作業中に、「処理ダイアグラム」アプレットで、英語とローカライズされた言語が混在した不完全なローカライズ文字列がユーザーに表示される場合があります。(ID-16139)

• 直接モードのパスワード同期を使用するには、web.xml ファイルで SimpleRpcHandler を設定する必要があります。デフォルトでは、このハンドラは rpcrouter2 サーブレット用のハンドラとして提供されません。(ID-16469) 直接モードのパスワード同期を使用するには、次のようにしてハンドラ初期化パラメータを設定します。

  <init-param>
     <param-name>handlers</param-name>
     <param-value>com.waveset.rpc.SimpleRpcHandler,
         com.waveset.rpc.PasswordSyncHandler</param-value>
  </init-param>

  注意点として、SimpleRpcHandler は 特定の RemoteSession 呼び出しに干渉することが判明しています。直接モードのパスワード同期とともに RemoteSession を使用する場合は、RemoteSession 呼び出しを処理するための別個のサーブレットを設定します。

• 「アカウント」>「ファイルへ抽出」で、XML および CSV ファイル形式が、想定される .xml および .csv 拡張子ではなく .dat 拡張子で保存されます。(ID-17521)

  回避方法: 保存されたファイルの名前を手動で変更し、適切なファイル拡張子を付けることができます。

• 「文字列の品質ポリシー」ページで、テキストが縦方向に表示されます。(ID-18551)

• ロールタイプの委任は、特定のロールに対して行われるロール承認委任よりも優先的に適用されます。(ID-18559)

  たとえば、1 つ以上の特定のロールに対する今後のロール作業項目タイプがユーザー 1 に委任される一方で、すべての今後のビジネスロール作業項目がユーザー 2 に委任される場合、最初の特定のロールに対する委任はユーザー1 ではなくユーザー2 に委任されます。

  委任のシナリオを要約すると、次のようになります。

  • ビジネスロール 1 のロール承認をユーザー 1 に委任する

  • ビジネスロール承認をユーザー 2 に委任する

  ユーザーに割り当てられたすべてのビジネスロールの承認リクエストはユーザー 2 に委任されます。

• ロールを有効にしても、割り当てられたロールを更新するオプションがユーザーに与えられません。(ID-18647)

  回避方法: 割り当てられたユーザーを手動で更新するか、または割り当てられたユーザーを「ロールのリスト」または「ロールの検索」ページから更新します。

• ほかのロールに含まれるロールを、その親ロールが割り当てられるときに、条件付きでユーザーに割り当てることができるようになりました。親ロールを編集するときに、親ロールと含まれるロールの間の関連についての条件を指定できます。条件は作成することも、規則を参照することもできます。規則を指定する場合、規則の評価のために必要なすべてのユーザービュー属性を、規則の引数を使用して指定する必要があります。(ID-18734)

• リポジトリが MySQL で、7.x のインストールにロールオブジェクトが設定されている場合、Identity Manager 7.x から Identity Manager 8.0 へのアップグレードは失敗します。問題は、upgradeto80from71.mysql スクリプトが実行されるときに発生します。このスクリプトの実行時に、7.x のロールを含む古いオブジェクトテーブルの列と、新しいロールテーブルの列の順序が異なります。(ID-18874)

• データウェアハウスメッセージカタログ (WICMessages.properties) は、クライアントのロケールではなくサーバーのロケールに基づいてロードされます。たとえば、アプリケーションサーバーを日本語のロケールで実行している場合、ユーザーインタフェースが英語であっても、クエリー属性は日本語で表示されます。(ID-18898)

  回避方法: ブラウザの言語設定に対応した、UTF-8 表現を持つロケールでアプリケーションサーバーを再起動します。

• ユーザーに割り当てられたすべての直接および間接ロールを参照する、新しいクエリー可能属性 (assignedRoles) が Identity Manager 8.0 に追加されました。(ID-18921) 以前のリリースには、ユーザーに直接割り当てられたロールのみを含む、現在でも使用可能なクエリー可能属性 (role) が含まれています。アップグレードプロセスでは、assignedRoles の生成を有効にするためのユーザーの自動更新処理は、間接ロールを持つユーザーに対してのみ行われます。アップグレード後の環境において、あるロールを割り当てられたユーザーに関するレポートを作成する場合に、すべてのユーザーの更新が完了していないと、そのロールを割り当てられたすべてのユーザーが返されません。

  回避方法:

  • すべてのユーザーを更新します。

  • 直接割り当てられたロールを持つユーザーに関するレポートを作成します。

• 「スケジュールされたタスク」テーブルで、「繰り返し」で並べ替えるオプションが機能しません。(ID-20377)

監査

• スキャン中にリソースから取得できなかった、またはその他の問題が発生したユーザーアカウントを再試行する機能はありません。これらの問題はスキャンの完了時に報告されますが、アカウントを自動で再スキャンする手段はありません。(ID-9112)

• Identity Auditor は、ユーザーが編集されるたびにポリシーを適用することによって、ポリシースキャンの間にユーザーをポリシー順守状態に維持しようとします。監査ポリシーが割り当てられていて、かつポリシー違反の状態にあるユーザーを編集する場合、ユーザーを別の組織に移動するなどの単純な変更であっても、そのユーザーへの変更を保存することはできません。(ID-9504)

  回避方法: ユーザーアプレット上で右クリック移動 (または、検索してから移動) 機能を使用するか、監査ポリシーチェックを一時的に無効にします。

  Auditor のポリシーチェックを無効にするには、システム設定を編集して userViewValidators プロパティーを削除します。このプロパティーは文字列のリストの値を持ち、init.xml または upgrade.xml のインポートの間に追加されます。

• 違反履歴 (監査ポリシー別)、違反履歴 (リソース別)、および違反履歴 (組織別) レポートで、STACK のグラフに対数目盛を実装すると、表示が異常になる場合があります。(ID-9522)

• 現在、Auditor Access Scan administrator は、監査ポリシースキャンのスケジュールを設定できません。「Error message: Create access denied to Subject auditadmin on type TaskSchedule」というエラーが表示されます。タスクのスケジュールを設定するには、管理者が TaskSchedule authType に対して create 権限を持っている必要があります。(ID-14713)

  回避方法: 管理者を編集して TaskSchedule に対する create 権限を割り当てるか、最低限 Auditor Administrator または Wave set Adminsistrator 機能を持つユーザーを指定します。

• 複数の違反を生成する監査スキャンを実行すると、違反の処理を管理するための是正ワークフローが Auditor によって作成される場合があります。MySQL での max_allowed_packet のデフォルト設定 (1M) は、多数の違反を伴うワークフローに対して小さすぎます。この制限に達した場合、Auditor は是正ワークフローを開始しません。(ID-15830)

  回避方法: Auditor を頻繁に使用する場合は、この値を十分に大きく設定してください。この問題に対処するには、MySQL 設定ファイル (my.cnf) に max_allowed_packet = 32M の設定を追加して、データベースサーバーを再起動します。

• コンプライアンス違反是正の重要度および優先度の値の変更に関して、誤解が生じる可能性があります。優先度設定ページで表示されている値が、そのコンプライアンス違反に対して現在設定されている重要度および優先度の値と異なる場合があります。優先度設定ページでは、任意の是正項目に対して最後に重要度および優先度を設定したときの値をそのまま表示しています。優先度設定ページでは、現在設定されている値を正しく特定できないため、是正の一覧ページにおいて、実際に設定されている重要度および優先度を確認するようにしてください。(ID-16040)

• 監査ポリシー名には、次の文字を使用できません。 (アポストロフィ)、. (ピリオド)、| (縦棒)、[ (左角括弧)、] (右角括弧)、, (コンマ)、: (コロン)、$ (ドル記号)、" (二重引用符)、= (等号)(ID-16078)

データエクスポータ

• データエクスポータは、適切な機能を持つ任意の Identity Manager 管理者として実行するように設定できます。エクスポートタスクはデーモンとして動作し、Identity Manager スケジューラによって開始および監視されます。データエクスポータによって作成される監査レコードは、タスクで使用するように設定された主体ではなく、Identity Manager スケジューラの主体 (Scheduler:IDMServer) を示します。(ID-18055)

• フォレンジッククエリーは、ロールタイプに対する編集/修正アクションをサポートしません。(ID-18769)

• データエクスポータのユーザーは、ウェアハウスモデル設定が書き込まれたあと、データエクスポータがウェアハウスインタフェースコードを再検査しないことに注意する必要があります。ウェアハウスインタフェースコードを変更して拡張ユーザー属性を追加する場合、これらの新しい属性は「設定」>「ウェアハウス」>「ウェアハウスのモデル設定」 (「モデル」>「属性」タブ) に表示されません。したがって、Forensic Query インタフェース内での使用でも表示されません。(ID-18975)

  この問題は、ウェアハウスを設定して、そのあとエクスポート用のカスタム属性を追加しようとしたときに発生します。初期のウェアハウス設定は WIC コードを確認して、「設定」から Data Warehouse Configuration オブジェクトを書き込みます。このあと、データエクスポータは WIC コードを再検査しません。

  これ以降、新しいバージョンの Identity Manager でウェアハウスをアップグレードするときも、この問題が発生します。

Identity Manager サービスプロバイダ

• Identity Manager サービスプロバイダ と Sun Java^TM System Portal Server に互換性がない場合があります。暗号化されたライブラリに関連する問題が存在します。(ID-10744)

  Portal Server の /etc/opt/SUNWam/config/AMConfig.properties ファイルで次の値を設定してから Web コンテナを再起動することによって、この問題が修正される場合があります。

  com.iplanet.security.encryptor=com.iplanet.services.util.JCEEncryption
  com.iplanet.security.SSLSocketFactoryImpl=netscape.ldap.factory.
     JSSESocketFactory
  com.iplanet.security.SecureRandomFactoryImpl=com.iplanet.am.util.
     SecureRandomFactoryImpl

• Identity Manager 管理者インタフェースに表示される一部の設定オプションは、Identity Manager サービスプロバイダ で使用されません。(ID-10843)

  該当するオプションは次のとおりです。

  • リソースオプション: アカウント除外規則、承認者、リソース割り当て先組織

  • ロール属性

• デフォルトの Service Provider ログインモジュールグループは、Service Provider リソースの名前が「Service Provider End-User Directory」であることを想定しています。リソースの名前が異なっている場合、Service Provider エンドユーザーログインページは適切に機能しません。ページにログイン関連のフィールドが表示されません。(ID-14891)

  回避方法: UI_LOGIN_MOD_GRP_DEFAULT_SPE_PWD LoginModGroup オブジェクトで、正しいリソース名を参照するようにリソース名を更新します。

ローカリゼーション

• Identity Manager には、一括アクションによって生成された CSV ファイルのエンコーディングをカスタマイズする手段がありません。Excel を使用して UTF-8 エンコードされた CSV ファイルを開く場合、Excel は CSV ファイルをネイティブのエンコーディングとして処理するため、内容が正しく表示されません (たとえば、日本語の場合は Shift_JIS で処理しようとします。)(ID-19901)

  回避方法: UTF-8 エンコーディングをサポートするエディタを使用します。

• PasswordSync の通知電子メールで、$cn フィールドの複数バイト文字が正しく表示されません。(ID-19934)

• Tomcat Web コンテナで、列名に使用されている複数バイト文字が、SOD レポートのコンパクト表示モードで「???」と表示されます。(ID-20040)

• Identity Manager の「ユーザーの編集」ページの属性タブで、 Solaris リソースの「Roles」フィールドに文字化けしたメッセージが表示されます。リソースに OpenSolaris を使用している場合は、問題はありません。(ID-20046)

  回避方法: /etc/default/init ファイルで LANG=C を設定して、Solaris を再起動します。続いて、Solaris リソースをユーザーに割り当てます。「Roles」フィールドが空になります (これが正しい動作です)。

• Internet Explorer 7 で Java 1.6.0_07 および 1.6.0_11 (UTF-8 エンコーディングが設定されている場合) を使用する場合、および Firefox 3 で Java 1.6.0_07 を (Windows XP Professional で) 使用する場合、Identity Manager は MultiSelect Java アプレットでアポストロフィーと複数バイト文字を正しく表示しません。(ID-20106)

• ドイツ語のオンラインヘルプファイルの一部で、「Check Alignment of PHs」の文字列と誤ったタグが表示されます。(ID-20345)

ログイン設定

• 管理者がログインして「自分のパスワードの変更」を選択し、続けて別のタブを選択すると、ロックが期限切れになるまでその管理者のアカウントがロックされます。(ID-3705)

  ロックされたその管理者を別の管理者が編集しようとすると、次のメッセージが表示されます。

  com.waveset.util.WavesetException: 
  Unable to access account #ID#Configurator at this time
  Please try again later.

  その管理者が「OK」をクリックすると、最後のアクションからのワークフロー処理ダイアグラムが表示されます。

組織

• 保留状態のプロビジョニングリクエストがあり、そのリクエストに含まれるユーザーが組織に属しているときに、その組織の名前を変更するとプロビジョニングリクエストが失敗します (ID-564)。

  回避方法: 組織の名前を変更する前に、処理待ちのリクエストがないことを確認します。

• 新しい組織を作成するとき、組織名を指定する前に「ユーザーメンバー規則」オプションを選択すると、ページを更新したときに「名前」フィールドに組織 ID が表示されます。新しい組織を保存する前に、引き続き名前を設定できます。

PasswordSync

• PasswordSync のインストールおよび設定アプリケーションは、XML ファイルを読み取って DLL で使用されるレジストリキーを設定できます。使用する XML ファイルは常に、動作中の PasswordSync インストールから取得した、設定アプリケーションの -writexml オプションで生成したファイルをベースにしてください。(ID-20375)

  回避方法: 次の制限に注意すれば、ファイルは変更可能です。キー名は大文字と小文字を区別します。Identity Manager は値をチェックしません。Identity Manager が認識しないキーは、エラーまたは警告を生成せずに、自動的に無視されます。

ポリシーと機能

• Identity Manager のアカウントポリシー属性「リセット通知オプション」には「管理者」というオプションがありますが、これは無効です (ID-944)。有効なオプションは、「即時」と「ユーザー」です。

• ユーザーが回答しなければならない最小の質問数を、定義された質問の数より大きい値に設定できてしまいます (ID-1834)。この状況が発生すると、ユーザーは「パスワードをお忘れですか」オプションを使用してログインすることができなくなります。

• ポリシーを編集して名前を変更し、新しいオブジェクトの作成を選択する方法によって、デフォルトの Lighthouse アカウントポリシーを複製することができません (ID-5147)。

  回避方法: 新しいアカウントポリシーを作成します。

• 監査スキャンの「タスクの起動」フォームには、違反レポートを添付した電子メールを、指定された電子メールアドレスに送信するオプションがあります。違反が見つからない場合、この電子メールは送信されません。(ID-18773)

ユーザーの調整とインポート

• 完全調整がキャンセルされると、次のエラーメッセージが表示されます。(ID-14554)

  Canceled the incremental reconciliation of [resource] running on [server]

  正しいメッセージは次のとおりです。

  Canceled the full reconciliation of [resource] running on [server]

• リソースから読み込みを実行中で、リソースが ACCOUNT_CASE_INSENSITIVE_IDS をサポートしている場合、ユーザーの accountId が Identity Manager の ResourceInfo ユーザーオブジェクトに格納されている accountId と異なる場合、リソースによって報告されたのと同じ大小文字の accountId で 2 番目の ResourceInfo がユーザーオブジェクトに追加されます。(ID-17377)

  回避方法: ユーザーオブジェクト内の Identity Manager ResourceInfo オブジェクトの accountId が、リソースによって報告されたのと同じ大小文字になるようにします。

• MultiSelect 表示コンポーネントアプレットを無効にして HTML バージョンを代わりに使用している状態で、特定のリソースインスタンスの調整ポリシーを編集する場合、「リソースタイプポリシーを継承」チェックボックスをオフにするとエラーが発生する可能性があります。(ID-18964)

  回避方法: MultiSelect アプレットをふたたび有効にします。

レポート

• 違反の概要レポートの「優先度」と「重要度」列に、テキストによる説明ではなく数値が表示されます。(ID-16932)

• 違反概要レポートで違反の状態に関するフィルタを指定した場合に、修正された違反を表示できません。レポートにはその時点でアクティ ブな (新規または再発の) 違反、または受け入れられた違反のみが含まれます。(ID-16933)

• 複数の条件を指定して使用状況レポートを生成するとき、「レポート結果」ページでグラフは正しく表示されますが、条件テキストは固定の行幅によって切り捨てられます。(ID-17224)

• すべての非アクティブアカウントスキャンレポートで、「リスク分析の表示」ページに結果が表示されません。これらのレポートからの結果を表示するには、「サーバータスク」ページに移動します。(ID-17255)

• アカウントポリシーで秘密の質問が設定されていない場合、またはレポートの対象となる全てのユーザーが必要な秘密の質問に回答済みの場合、ユーザー質問レポートは何のデータも返しません。(ID-17415)

• リソースユーザーレポートでリセット管理者がユーザーとして一覧表示されますが、リセット管理者は隠しユーザーであり、表示されるのは不適切です。(ID-17650)

• Identity Manager は、リスク分析レポートの結果テーブルに、「最終ログイン日」のラベルを表示しません。(ID-20269)

• 電子メールレポートのチェックボックスを選択している状態で、CSV 形式でレポートをダウンロードすると電子メール通知が送信されてしまいます。電子メール通知は、レポートを (「実行」ボタンをクリックして) 実行したときにのみ送信されるべきです。(ID-20346)

リソース

• リソースの「設定のテスト」ボタンですべてのフィールドがテストされません。(ID-51)

• PeopleSoft リソース上で、リソースアカウントのパスワードまたはユーザー名が正しくないときのエラーメッセージが不明瞭です。(ID-2235)エラーメッセージは次のとおりです。

  bea.jolt.ApplicationException: TPESVCFAIL - application level service failure

• %DISPLAY_INFO_CODE% 終了状態を使用する Windows Active Directory リソースアクションは、エラーを生成して失敗します。(ID-2827)

• ユーザーを作成するとき、Active Directory 上のユーザーの一次グループ ID の設定を実行できません。(ID-3221)

  回避方法: 一次グループ ID を設定せずにユーザーを作成したあと、ユーザーを編集して値を設定します。一次グループ ID も、グループの識別名 (DN) によってではなく数値によって設定されます。

• ホスト名が IP アドレスに解決されたあとで、リソースの IP アドレスは JVM のキャッシュに書き込まれます。リソースの IP アドレスが変更された場合、Identity Manager で変更を検出するにはアプリケーションサーバーを再起動する必要があります。(ID-3635)これは Sun JDK (バージョン 1.3 以上) での設定であり、sun.net.inetaddr.ttl プロパティーで制御できます。このプロパティーは通常、jre/lib/security/java.security 内で設定されます。

• Oracle リソース上の単一ユーザーに対して複数のアカウントを作成できません。(ID-3832)

• ユーザーが Active Directory 組織内のサブコンテナから、またはそのサブコンテナに移動されると、Active Sync アダプタはその変更を検出しますが、そのユーザーを編集ページ上で表示する (または、変更を加えて確認ページを表示する) と、ユーザーの accountId として元の DN (識別名) が引き続き表示されます。(ID-4950)ユーザーの変更には GUID を使用するため、これによって運用上の問題が生じることはありません。リソースに対して調整を実行すると、問題が修正されます。

• ユーザーが組織 (OU) からサブ組織に移動された場合に、LDAP ChangeLog アダプタが変更を認識せず、ユーザーが削除されたと想定します。そのあと、ユーザーオブジェクトは Identity Manager でロックされ (それが現在の設定である場合)、移動されたアカウントに対して新しいアカウントは作成されません。

• コマンドまたはスクリプトの実行中にエラーが発生した場合、UNIX リソースアダプタによって使用されるプール接続が不確定な状態のままになる可能性があります。(ID-5406)

• NDS 上で、最初のプロビジョニングで (Grace Login Limit などの) フィールドを編集し、ブール型のフィールドに対して値を指定しない場合、すべてのブール型フィールドが false に設定されます。(ID-6770)これにより、特定のチェックボックスの値が true であることを要求する、制限タブ上のほかのフィールドを設定できなくなります。これを回避するには、すべてのブール型フィールドについて、フィールドが true であると想定されるときに実際にフィールドが true であることを常に確認して、ほかのフィールドを編集するときにフィールドが適切にプッシュされるようにします。

• Identity Manager 組織からの更新を選択することによってユーザーを更新するとき、ネイティブに作成された、Sun One ID Server アカウントを持つユーザーが Identity Manager にロードされると、そのユーザーに対してエラーが発生します。(ID-7094)回避方法は、そのようなユーザーを個別に更新することです。

• Identity Manager に、次の非推奨クラスがまだ含まれています。

  • com.waveset.object.IAPI

  • com.waveset.object.IAPIProcess

  • com.waveset.object.IAPIUser

    これらのクラスを参照するカスタムアダプタクラスがある場合、パッケージ com.waveset.adapter.iapi 内の対応するクラスを参照するように変更する必要があります。(ID-8246)

• 「保存」または「キャンセル」ボタンをクリックせずに「新しいリソースオブジェクト」ウィザードを終了した場合、操作中であったフォームが破棄されずに、後続の新しいリソースオブジェクトの作成に干渉する場合があります。(ID-11033) これは、次のようなエラーの原因になります。

  No resource form id found in options or view.

  回避方法: 「新しいリソースオブジェクト」ウィザードを終了するときは必ず「キャンセル」ボタンを使用してください。

• Active Sync を別の管理者として実行しているときに、ユーザーを編集すると、Active Sync 例外が発生します。別の管理者によってユーザーがロックされて、Active Sync が処理を再試行できないためです。(ID-11255)

  回避方法: Active Sync がリソースに対して処理を再試行できるようにするには、リソース XML を更新して次の 2 つの追加リソース属性を組み込みます。形式を次に示します。

  <ResourceAttribute name='syncRetryCountLimit' type='string' multi='false'facets='activesync' value='180'/>

  <ResourceAttribute name='syncRetryInterval' type='string' multi='false' facets='activesync' value='10000'/>

  各表記の意味は次のとおりです。

  • syncRetryCountLimit は更新を再試行する回数です。

  • syncRetryInterval は次の再試行を待機するミリ秒数です。

  以後、Active Sync 設定時にこれらの値がカスタムリソース設定として表示されます。ローカリゼーションが必要な場合は、カスタムカタログキーを使用して displayName を指定することができます。

• CUA ランドスケープの一部であるすべてのシステムでユーザーのパスワードが同期されていない場合、パスワードを変更すると、同期していない子システムで問題が発生する可能性があります。この問題は、管理者がユーザーに期限切れでない本稼働パスワードを設定するか、ユーザーが自分でパスワードを変更する場合にのみ発生します。その他の状況では、システムが同期されていなくても、パスワードの変更は成功します。(ID-13396)

  回避方法: 最初に期限切れのパスワードを設定し、2 回目の変更で、ユーザーの本稼働パスワードを設定します。

• 「Remedy との統合」テンプレートエディタに関する、2 つの既知の問題があります。(ID-14729)

  • 「Remedy スキーマ」のデフォルト値「HPD:HelpDesk」は、新しいバージョンの BMC Remedy に対して適切ではありません。新しいバージョンにはスキーマ「HPE:Help Desk」が含まれています。

  • 一部のフィールドで「選択」列が表示されません。これは、Remedy テンプレートを使用する能力には影響しません。

• Sun Java System Directory Server Enterprise Edition 6.0、6.1、および 6.2 と連携して使用する場合、回帰により Identity Manager のパスワード同期が失敗します。この問題は、Directory Server 6.3 release で修正されます。バージョン 6.0、6.1、または 6.2 を Identity Manager と連動させる必要がある場合は、Directory Server バグ情報 6604342 を参照して、サポートに Directory Server ホットフィックスを要求してください。(ID-14895)

• Sun Java System Access Manager 7.0 リソースのリソースオブジェクトを「リソース」タブから展開すると、次のエラーが表示される場合があります。(ID-15525)

  Error listing objects. ==> com.waveset.util.WavesetException: Error trying to get attribute value for attribute 'guid'. ==> java.lang.IllegalAccessError: tried to access method com.sun.identity.idm.AMIdentity.getUniversalId()Ljava/lang/String; from class com.waveset.adapter.SunAccessManagerRealmResourceAdapter

  このエラーは、どのパッチも適用していない Access Manager 7.0 リソースで起こります。この問題を修正するには、Access Manager の少なくともパッチ 1 を適用してから、Access Manager クライアント SDK を再構築および再配備する必要があります。

• Identity Manager によって作成され、Access および AccountID フィールドを持つ NDS/Groupwise ユーザーは、(ユーザーのプロパティーを選択してから「Groupwise」タブを選択するなどして) NDS Console 1 アプリケーションの内部で特定のビューアによって参照されたときに、それらの対応する値が保存されていないように見える可能性があります。(ID-16330)

  ただし、代わりにユーザーの「Groupwise Diagnostic」>「Display Object "viewer"」を使用すると、フィールドは正しく表示されます。Identity Manager によってこれらのフィールドに行われる更新は、この「viewer」のバグによる影響を受けません。

• WRQ は classpath を探索してそれ自身のエントリを発見します。そのエントリから、WRQ は JAR が格納されているディレクトリを算定し、そのディレクトリを使用して .JAW (ライセンスファイル) を読み取ります。ただし、BEA と WebSphere はともに WRQ コードが想定する標準の JAR ではなく、標準ではないプロトコル名を使用します (BEA は zip、WebSphere は wsjar を使用)。(ID-16709、17319)

  回避方法:

  • BEA については、startWeblogic.sh ファイルの java コマンドに次のオプションを追加します。

    -Dcom.wrq.profile.dir="DirectoryContainingLibraries"

  • WebSphere については、WebSphere/AppServer/configuration/config.ini ファイルに com.wrq.profile.dir=DirectoryContainingLibraries プロパティーを追加します。

• 新規リソースを作成する前に、リソースのタイプが「管理するリソースの設定」ページで有効になっていることを確認してください。有効にしないと、新たに作成されたリソースオブジェクトがすべての必須フィールドを持たない可能性があります。(ID-17324)

• Make Directory リソース属性のデフォルト値が、UNIX OS リソースアダプタの間で矛盾しています。AIX の場合、ユーザーを作成すると、常にホームディレクトリが作成され、この値は設定されません。Linux アダプタでは、この値はデフォルトで true に設定されます。Solaris および HP-UX アダプタでは、デフォルト値は false です。(ID-18301)

• 外部リソースの割り当てがプロビジョニングを保留中で、作業項目がエスカレートされたユーザーの名前を変更した場合、プロビジョニングタスクは名前を変更したユーザーのエスカレートを行わずに終了します。(ID-19897)

• Identity Manager と OpenSSO サーバー (Sun Access Manager レルムリソースアダプタ) 間でパススルー認証が設定されている場合、パスワードに「%」文字を使用すると認証が失敗します。この問題の詳細は、https://opensso.dev.java.net/issues/show_bug.cgi?id=4122 を参照してください。(ID-20011)

• Domino ゲートウェイリソースオブジェクトの作成および更新フォームは、デフォルト以外のグループカテゴリの値 (つまり、 “Administration” と “なし” 以外の値) を認識しません。Domino ゲートウェイリソースオブジェクト更新フォームは、デフォルト以外のカテゴリ値を使用するグループを編集すると、エラーを表示します。(ID-20212)

• Active Directory コネクタは、ブラウザの言語が cntry を含まない値 (ja など) に設定されている場合、ローカライズされたメッセージを表示しません。(ID-20255)

  回避方法: ブラウザで ja-JP などの cntry を含む値を選択するか、Identity Manager にログインするときに URL パラメータとして cntry=JP を指定します。次に例を示します。

  http://host:port/idm/login.jsp?lang&cntry=ja_JP

• Active Directory アダプタベースのリソースを Active Directory コネクタベースのリソースに移行している場合は、関連するリソースアクションを編集して execMode 属性を含める必要があります。この属性の有効な値は、connector と resource ですが、Active Directory で SHELL アクションタイプを使用している場合は、resource のみが有効です。(ID-20534)

  たとえば、以前のリソースアクションの実装に次の行が含まれる場合を考えます。

  <ResTypeAction restype='Windows Active Directory' actionType='SHELL'>

  Active Directory コネクタを使用している場合は、次の行を追加する必要があります。

  <ResTypeAction restype='Windows Active Directory' actionType='SHELL' execMode='resource'>

ロール

• ロールの状態が、ロールの一覧ページでただちに更新されません。(ID-20259)

  回避方法: ページを再読み込みするか、「クリア」をクリックします。

SPML

• 検索要求が Substrings フィルタ項目を使用する場合、反復子を含む SPML2 の検索応答に矛盾する結果が含まれる場合があります。(ID-20328)

Sun Identity Manager Gateway

• net stop “Sun Identity Manager Gateway“ を使用するときに、ゲートウェイが停止しない場合があります。(ID-2337)

• 特定の状況では、Windows (サポートされるすべてのバージョン) のサービスコンソールで停止した場合、ゲートウェイは適切に停止しません。これに対して、Identity Manager はダイアログボックスに、ゲートウェイが適切に応答しないことを示すメッセージを表示します。ダイアログボックスを閉じると、Identity Manager はゲートウェイが停止したことを示します。コマンド行で net stop <service name> を使用して同じ操作を行った場合、Identity Manager は例外が発生したことを示します。どちらの場合も、ゲートウェイは停止しています。(ID-20296)

  回避方法: コマンド行で gateway -k を使用して、ゲートウェイサービスを停止します。

タスク

• 「タスクの検索」ページに、検索条件に一致したタスクの数が表示されません (ID-5152)。

• Top を制御しない委任管理者はタスクをスケジュールでき、タスク結果を表示できますが、タスクが作成されたあとでそのタスクを表示できません (ID-6659)。スケジュールされたタスクは Top に配置されたため、委任管理者にはオブジェクトを表示するための権限がありません。

ワークフロー、フォーム、規則、および XPRESS

• XPRESS の <eq> 関数を使用して、ブール値を TRUE または FALSE の文字列や、整数の 1 または 2 と比較することができません。(ID-3904)

  回避方法: 次の記述を使用します。

  <cond>
     <isTrue><ref>Boolean_variable</ref></isTrue>
     <s>True action</s>
     <s>False action</s>
  </cond>

• dolist を使用して汎用オブジェクトのリストを反復処理するとき、パス表現が機能しません。(ID-4920)

  <dolist name=’genericObj’>
     <ref>listOfGenericObjects</ref>
     <ref>genericObj.name</ref>
  </dolist>

  回避方法: 次に示すように <get> / <set> を使用します。

  <dolist name=’genericObj’>
     <ref>listOfGenericObjects</ref>
     <get><ref>genericObject</ref><s>name</s>
  </dolist>

• ユーザーフォーム内のフィールドに対して global.attrname 変数を使用し、属性が複数のリソース間で共有される場合は、取得規則も定義する必要があります。(ID-5074)定義しない場合、いずれかのリソース上で属性がネイティブに変更された場合に、属性が選択されてほかのリソースに伝播される場合とされない場合があります。

• フォームの HTML コンポーネントで、「&」で始まる特殊文字を使用できません。たとえば、&nbsp; がスペースとして表示されません。この問題の原因は、選択リストで特殊文字 (&<>') をサポートするための変更です。(ID-5548)

• <Comment> タグに含まれるフォーム、ワークフロー、および規則のコメントには、コメント内で改行文字を表す &#xA; 文字列が含まれます。(ID-6243)これらの文字は、これらのオブジェクトの XML を表示したときにのみ表示されます。Identity Manager サーバーは、これらの文字を適切に処理します。

• ユーザーの編集にリソーステーブルユーザーフォームを使用する場合、ユーザーのリソースを編集するときに、最初に表示されるフォームでリソース属性が取得されません。

  回避方法: 「更新」ボタンをクリックします。これにより、属性データが取得されます。(ID-10551)

• Identity Manager が Sun Java System Access Manager Policy Agent によって保護される場合、ワークフロー処理ダイアグラムの描画が不完全になる場合があります。(ID-18304)