Sun Identity Manager 8.1 发行说明

第 3 章 Identity Manager 8.1 功能

《Identity Manager 8.1 发行说明》在本节中提供了以下相关信息：

此发行版的新增功能

本节提供了有关 Identity Manager 8.1 中提供的新功能的附加信息，该信息分为以下几个部分：

Sun 的修补程序进程

从 Identity Manager 7.1 Update 1 发行版开始，我们便通过修补程序进程提供更新（包含客户所报告的主要和关键错误的修复），该进程替代以前的热修复程序进程。

修补程序将每隔六周进行一次开发、测试和发行。这些修补程序具有 GUI 安装程序以及手动安装选项，它们将更新 /WEB-INF/lib 中的文件。修补程序发行说明中包含有关安装修补程序的说明，该发行说明是以 PDF 格式分发的。发行说明将介绍对 Gateway 或 PasswordSync 进行的任何修复，这些修复要求通过安装修补程序进行更新。

Identity Manager 修补程序是累积更新的，因此，使用独特的修复程序可以使问题减少。在安装或升级到主要或次要发行版时，应计划更新到最新的修补程序级别。例如，如果在安装或升级到 8.1 时已发行 Patch 3，则应该在安装或升级到 8.1 后应用 Patch 3。您不需要安装 Patch 1 和 2，因为 Patch 3 包含以前修补程序中的所有功能。

修补程序进程还简化了按实际错误编号跟踪修复程序的过程。不过，新版本可能尚未提供针对旧版本所做的修复。无论当前版本的 Identity Manager 采用哪种进程，您都必须确认新的目标 Identity Manager 版本包含所需的所有错误修复程序。

在发行新的修补程序时，将向所有客户支持部门发送通知。修补程序是通过客户支持部门提供的。要获取最新的修补程序，请与 Sun 客户支持部门联系： http://www.sun.com/service/online/us。

主要功能

Identity Manager 8.1 新增了以下主要功能：

外部资源管理

借助此功能，Identity Manager 可以管理企业中未通过资源适配器直接连接到 Identity Manager 的应用程序的置备和审计。这包括非数字外部资源，如便携式计算机、移动电话以及安全徽章。通过 Identity Manager 置备外部资源后，将通过电子邮件或 Remedy Help Desk 6.3 通知一个或多个置备程序。

连接器

连接器框架提供了一种新的使用连接器将 Identity Manager 连接到目标应用程序的方法。Identity 连接器和框架是一个开源项目的一部分，该项目为使用 Identity Manager 置备资源提供了一种通用且一致的方法。连接器已从核心 Identity Manager 服务器中分离出来，从而能够独立于 Identity Manager 版本发行连接器。Identity Manager 附带以下支持的连接器（此外，您还可以从开源项目网站下载其他连接器）：

Microsoft Active Directory 2003 和 2008
SPML 2.0

有关详细信息，请参见开放源代码项目网站：https://identityconnectors.dev.java.net/。

不久后，将会添加其他连接器。

Sun Role Manager 集成

该集成侧重于 Sun Role Manager 4.1.3 和更高版本。现在，Identity Manager 表单可以直接调用对用户的通知和调用角色操作的 Web 服务。Identity Manager 数据导出器已允许 Role Manager 检索 Identity Manager 的用户和角色；现在，最新的 8.1 版数据导出器提供了以下内容：

可实现更好的用户挖掘的权能信息。
将在未来的 Sun Role Manager 版本中利用的资源模式。

Java Management Extensions (JMX)

Identity Manager 使用 JMX MBean 为列出、创建、获取、修改、删除和验证操作提供性能数据。将收集以下数据：

操作计数
每个操作的平均移动时间
每个操作的最短时间
每个操作的最长时间
收集开始时间
资源适配器类和版本

可插接式安全 (AES) 支持

Identity Manager 支持高级加密标准。AES 是一种对称密钥加密技术，可用于替代数据加密标准 (Data Encryption Standard, DES)。政府部门通常使用 AES 来保护数据。

XML 数字签名 (XML-DSig)

此功能提供了一种使用 W3C XML 签名语法和处理 (XMLDSig) 的标准不可否认机制。这种增强功能提供了以 XMLDSig 格式创建、存储和显示工作项目批准的功能。该格式还允许包含符合 RFC 3161 标准的时间戳（可选）。

SPML

增强了对 SPML2.0 的支持。Identity Manager 支持搜索功能。此外，现在还支持审计日志记录。

管理员界面和用户界面

更新了复选框、标签、单选按钮、选择、文本、文本区域和容器用户界面组件，以便正确呈现自定义 CSS 样式。以前，仅按钮元素显示自定义样式。(ID-15025)
现在，您可以在调试跟踪页上配置自定义类。(ID-15490)
如果选择了一个或多个用户并随后转至下一页，在执行多个用户操作时，不会再导致丢失这些选择内容。(ID-15529)
在 AuthnProperty name='password' XML 元素中指定 noTrim='true' 时，登录页不会删除密码输入框中的空格。您可以将 noTrim='true' 应用于任何其他 AuthnProperty。(ID-16434)
现在，可以在 customStyle.css 样式表中配置指导帮助图像的大小。(ID-17360)
通过添加新的自定义消息目录关键字 UI_VERSION，可以禁用通过悬停在“帮助”按钮上方在管理员界面中显示版本信息的行为。请在自定义消息目录中将该值设置为空字符串。(ID-17507)
最终用户面板页（主页）现在显示用户的全称，而不是 accountId。可通过自定义最终用户面板表单（而不是通过更改 JSP）来修改此设置。(ID-19006)
现在，您可以在系统配置对象的安全属性中设置一个名为 saveNoValidateAllowedFormsAndWorkflows 的 ID 列表。如果存在该列表，则 Identity Manager 仅允许将该列表中的表单和工作流作为 SaveNoValidate 操作处理。所有其他表单和工作流都将作为 Save 处理。如果不存在该列表，则行为将保持一致（即，可以将所有表单和工作流作为 SaveNoValidate 处理）。(ID-19115)

批量操作

现在，批量操作可以在一个资源上为用户置备多个帐户。(ID-13160)
添加了从已配置为“只读”的资源（禁用了允许更新帐户的所有资源功能）中取消分配帐户或解除帐户链接（使用批量操作）的功能。请注意，只能使用批量操作完成此操作。以前，如果尝试从只读资源中取消分配帐户/解除帐户链接，将会返回一个错误，指示该资源不存在。(ID–19048)

委托

添加了对批准工作项目进行分页的选项，以避免页面超时。(ID-18544) 现在，approval.jsp 页接受以下属性：

Paging。如果存在，则启用分页。
MaxRows。每页显示的行数
orderBy。排序参数

通过添加以下字段修改 WorkItemList 表单：

<Field name='PagingButtons'>
   <Display class='ButtonRow'>
      <Property name='align' value='right'/>
   </Display>
   <Disable>
      <not>
         <ref>viewOptions.Paging</ref>
      </not>
   </Disable>
   <Field name='action'>
      <Display class='Button'>
         <Property name='command' value='Recalculate'/>
         <Property name='label' value='&lt;&lt;'/>
         <Property name='value' value='first'/>
      </Display>
   </Field>
   <Field name='action'>
      <Display class='Button'>
         <Property name='command' value='Recalculate'/>
         <Property name='label' value='&lt;'/>
         <Property name='value' value='previous'/>
      </Display>
   </Field>
   <Field name='action'>
      <Display class='Button'>
         <Property name='command' value='Recalculate'/>
         <Property name='label' value='&gt;'/>
         <Property name='value' value='next'/>
      </Display>
   </Field>
   <Field name='action'>
      <Display class='Button'>
         <Property name='command' value='Recalculate'/>
         <Property name='label' value='&gt;&gt;'/>
         <Property name='value' value='last'/>
      </Display>
   </Field>
</Field>

改进了多重批准工作流进程，以支持自动将 approvers 列表转换为用于生成批准工作项目的 approverObjects 列表。(ID-19238)

文档

重新编排了 Sun Identity Manager 文档集。进行了以下主要更改：
- 已将管理一书重新编排为两本新书：业务管理员指南和系统管理员指南
- 已将调优、故障排除和错误消息一书中的内容挪到新的系统管理员指南中
- 部署工具一书中的 SPML 章节现在已放到新的 Web 服务指南中，并已将部署工具一书从文档集中删除
- 技术部署概述一书现已更名为部署指南
- 工作流、表单和视图一书现已更名为部署参考
- 文档集包含一本新书，标题为 Sun Identity Manager 概述
有关 Sun Identity Manager 图书标题的完整列表，请参见前言中的“相关图书”部分。
现在，对 Sun Identity Manager 出版物的更正和更新会发布到 Identity Manager Documentation Updates（Identity Manager 文档更新）网站上：

http://blogs.sun.com/idmdocupdates/

可以使用 RSS 订阅源读取器定期检查该网站，并在发布更新后通知您。要进行订阅，请下载订阅源读取器，并单击页面右侧“订阅源”下面的链接。从 8.0 版开始，将为每个主要发行版提供单独的订阅源。

安装和升级

数据库升级脚本添加了帐户表的 ownerId 列的索引。在升级具有很多帐户的安装时，要花很长时间处理数据库升级脚本，这是因为要针对较大的表创建新索引。(ID-19314)
解决了在升级期间出现内存不足异常的问题。以前，在升级期间，将 Java VM 最大堆大小硬编码为 256 MB。现已删除此硬编码值。(ID-19407)

现在，可以将 JAVA_OPTS 环境变量设置为自定义值。如果未提供任何值，则使用默认值 1024 MB。

要定义最大堆大小值，请使用 —Xmx HeapSize 格式设置 JAVA_OPTS 环境变量，其中 HeapSize 是一个值，如 512m。-Xmx512m 就是一个例子。

密码同步

现在，从 PasswordSync 发送的电子邮件通知将 UTF-8 编码用于电子邮件的发件人姓名、主题和正文。按照电子邮件 RFC 的要求，所有其他标题部分均使用纯 ASCII 进行编码。(ID-14120)

请注意，可能无法在所有邮件客户端或所有操作系统上正确显示使用非 ASCII 字符的电子邮件通知。
现在，可以正确加密和解密包含空格的密码。(ID-17670)

如果要从 8.0-8.0.0.2、7.1.1-7.1.1.7 或 7.1 之前的版本进行升级，您必须重新安装 Password Sync 和网关的所有实例。
PasswordSync 现在支持 Windows Server 2008（32 位和 64 位版本）。(ID-18342)
在 Windows 注册表和安装程序 GUI 中添加了两个新设置，以允许在 PasswordSync 中配置证书行为。这些设置将替代过时的注册表设置 clientSecurityFlags 和 clientConnectionFlags。(ID-19140)

securityIgnoreCertRevoke。如果设置为 1，则忽略证书撤销错误。

securityAllowInvalidCert。如果设置为 1，则允许使用安全检查失败的证书。
扩展了 PasswordSync 内部检查，以防止在密码更改过程中传入可能导致崩溃的非法值。(ID-19291)
改进了 PasswordSync 安装程序，从而可以在安装期间将配置参数记录到文件中。将来的安装可以引用该文件并重新应用这些配置设置。这允许以静默方式安装和配置后续 PasswordSync 安装。(ID-19311)

性能

访问验证高速缓存时不再发生死锁。(ID-16926)
提高了“创建用户”和“编辑用户”页中的性能。(ID-17066)

默认情况下，在确定管理员是否具有将工作项目委托给用户的权限之前，Identity Manager 不再检查组织中的所有用户。要恢复以前的默认行为，请在 account/modify.jsp 文件中添加以下语句。
```
req.setOption(DelegateWorkItemsViewer.OP_CALL_DELEGATORS_AVAILABLE_USERS,"true");
```
如果在 DelegateWorkItemsViewer 中将 OP_CALL_DELEGATORS_AVAILABLE_USERS 设置为 true，Identity Manager 将搜索用户以检查管理员是否具有查看用户的权限。
现在，对于具有动态分配规则管理员角色的用户，将在登录期间以参数形式传递用户的上下文。(ID-17964)
当分配的资源定义了显示名称属性，而不是 accountId 时，登录到 Identity Manager 用户界面期间，将会提高性能。(ID-18885)

策略

添加了“下一个”密码策略。在此策略中，如果用户的回答不正确，Identity Manager 将显示下一个问题，直至用户正确回答了验证问题并登录或者根据指定的失败尝试次数限制锁定用户为止。(ID-17307)

报告

现在，可以本地化违规摘要报告的违规状态内容。（ID-17011、17042）
现在，可以按横向和纵向（默认）生成报告。此外，还可以将页面大小指定为 Legal 和 Letter（默认）。(ID-17649)

系统信息库

现在，Identity Manager 支持将 MySQL 5.0.60SP1 Enterprise Server 作为生产系统信息库。（ID-17735、19703）
现在，您可以将 MySQL 5.1.30 Enterprise Server 用作 Identity Manager 生产系统信息库，但可能需要更改您的 my.cnf 文件。由于 MySQL 的 InnoDB 代码最近发生的更改，默认二进制日志记录格式现在为 STATEMENT。Identity Manager 使用 READ-COMMITTED 事务隔离级别，因此，STATEMENT 模式下的二进制日志记录会生成类似于以下内容的错误：(ID-20460)。
com.waveset.util.IOException: java.sql.SQLException: Binary logging not possible. Message: Transaction level 'READ-COMMITTED' in InnoDB is not safe for binlog mode 'STATEMENT'
如果启用二进制日志记录，请在 my.cnf 文件中添加以下行，以将该模式设置为 MIXED：
binlog_format=mixed
通过进行这种配置更改，您可以将 5.1.30 用作系统信息库，而不会发生二进制日志记录异常。有关更多详细信息，请参见 MySQL 错误 #40360。
更改了 Identity Manager 系统信息库以应对 MySQL 缺陷 9021。现在，系统信息库的 MysqlDataStore 将为每种属性条件生成单独的命名 JOIN。（以前，在某些情况下，MysqlDataStore 使用 SUBSELECT 和 EXISTS 谓词。）(ID-15636)
更新了 setRepo 命令的使用情况输出。现在，该使用情况将 -o 作为选项列出，并说明 -o 导致 setRepo 不在新的系统信息库位置执行初始化检查。现在，该使用情况还在直接 JDBC 连接示例中显示 -U 和 -P 标志。(ID-19475)

资源适配器

现在支持 Netegrity SiteMinder 6.0。要使适配器正常工作，必须正确配置 SiteMinder 的 PolicyServer 和 WebAgent。(ID-6478)
现在，Active Directory 资源适配器提供了“主目录权限”资源属性，该属性控制主目录的权限继承和权限级别。默认值为 0。值为 0 表示不继承权限，并且用户具有 FULL 控制权限。值为 1 表示继承权限，并且用户具有 FULL 控制权限。值为 2 表示不继承权限，并且用户具有 MODIFY 控制权限。值为 3 表示继承权限，并且用户具有 MODIFY 控制权限。MODIFY 控制包含以下权限：FILE_GENERIC_WRITE、FILE_GENERIC_READ、FILE_EXECUTE 和 DELETE。（ID-12881、19706）
现在，数据库表资源适配器可以处理映射到 accountId 属性并具有整数数据类型的数据库列。(ID-13362)
现在，LDAP 资源适配器仅在预定义的基本上下文中同步条目。(ID-15389)
在 LDAP 资源适配器中添加了“遵守资源密码策略重置后更改”资源参数。如果启用了此选项，在登录模块中指定了此资源并将资源的密码策略配置为在重置后更改，则以管理方式重置资源帐户密码的用户需要在成功验证后更改该密码。(ID-16255)

此发行版中，此行为仅适用于返回“Netscape 密码到期”（未经请求的）响应控制 (OID 2.16.840.1.113730.3.4.4) 以及成功绑定操作响应的 LDAP 服务器。成功绑定尝试与该控制的组合可以理解为，已经通过管理方式重置了用户的密码，并且必须更改该密码。实现了密码策略重置后更改功能的 LDAP 服务器仅允许重置了密码且成功验证的用户更改该密码；将拒绝任何其他操作。

此外，由于 Identity Manager 使用 LDAP 资源管理员帐户执行传递验证以外的所有 LDAP 资源操作，因此，某些 LDAP 服务器将任何用户的密码修改尝试均视为管理重置，而永远不会从用户帐户中清除该状态。此类 LDAP 服务器包括：
- 配置为将 rootDN（通常为 cn=directory manager）用作资源适配器连接帐户的 Sun Java Systems Directory Server 5.x
- 具有 passwordNonRootMayResetUserpwd:on 设置的 Sun Java Systems Directory Server 5.2。
- Sun Java Systems Directory Server 6.0 和更高版本（包括 OpenDS）
现在，Domino 资源适配器支持置备 ObjectType 的组，这些 ObjectType 实现了 ObjectFeatures 的创建、删除、列出、重命名、另存为和更新。(ID-16422)
SecurId 资源适配器支持帐户重命名。(ID-16517)
更新了 SAP 资源适配器，以便通过更强健的方式处理 CUA。通过对表单和代码进行的全新更改，Identity Manager 用户可以按 SAP 用户更改 CUA 子系统以及这些子系统的角色和配置文件。(ID-16819)

更改了 profiles 和 activityGroups 帐户属性的特征。现在，这两个属性都具有复杂数据类型。profiles 属性现在映射到 PROFILES 资源用户属性；而 activityGroups 属性现在映射到 ACTIVITYGROUPS 资源用户属性。

请加载 $WSHOME/web/sample/updateSAPforCUA.xml 文件，以便在 SAP 资源适配器上更新这些更改。新的 SAP 资源将包含这些属性，除非您通过复制尚未更新的现有资源来创建该资源。
Identity Manager 现在检测并捕获 Domino 拒绝服务错误。(ID-16911)
支持 WRQ Attachmate 用于 Sun 的 3270 主机适配器。有关设置此产品的详细信息，请参阅资源参考。(ID-17031)
Linux 资源支持使用 sudo 来管理 /usr/bin/chage 命令。(ID-17119)
增加了对 Lotus Notes/Domino 8.0 的支持。(ID-17213)
现在，脚本化网关适配器支持密码同步。(ID-17813)
现在，Oracle ERP 资源适配器允许 EMPLOYEE_NUMBER 包含字母字符和数字字符。(ID-18239)
现在，OS400 资源适配器支持密码中包含特殊字符。(ID-18412)
添加了 RACF 不区分大小写排除资源帐户和 RACF_LDAP 不区分大小写排除资源帐户示例排除规则。这些规则是在 sample/wfresource.xml 文件中定义的。
更新了 MySQL 资源适配器，以便从 JdbcResourceAdapter 中进行继承。将自动更新现有的 MySQL 资源属性。(ID-18835)
重新支持了 Windows NT 资源适配器。该适配器不再过时。(ID-19170)
LDAP 资源适配器具有一个新的“使用分页结果控制”配置参数。如果启用此参数（默认情况下处于禁用状态），Identity Manager 将对协调中的帐户迭代器使用分页结果控制而不是 VLV 控制。只要 LDAP 资源适配器支持简单分页控制，就可以使用“使用分页结果控制”配置参数提高性能。(ID-19231)
在 SAP HR 适配器中添加了“要从 SAP HR 中读取的对象类型”资源参数，以允许处理来自 SAP HR 的组织 IDOC。这是一个多值属性，当前支持 "P"、"CP"、"S"、"C" 和 "O"。(ID-19286)
现在，OracleERP 资源适配器支持一个选项，它禁止 Identity Manager 将管理员用户的模式标识符（如 APPS）添加到 Oracle EBS 管理表名称（如 FND_USER 和 FND_VIEWS 等）的前面。此选项是通过具有“不使用模式标识符”显示名称的新资源属性提供的，其默认值为 FALSE。如果将该值更改为 TRUE，则该适配器无法再将模式标识符添加到管理表名称的前面。(ID-19352)
现在，Active Directory 适配器支持 inetOrgPerson 对象类以及从用户对象类派生的其他对象类。(ID-19399)
在 LDAP 适配器中添加了“保留 LDAP 组成员资格”参数，以控制在重命名或删除用户时由 Identity Manager 还是 LDAP 资源负责保留 LDAP 组成员资格。(ID-19463)
在 Shell 脚本资源适配器中添加了 ERROR_CODE_LIMIT 资源参数。可以使用此参数来确定哪种返回码是错误。(ID-19858)
现在，SecurId 适配器支持以下功能：（ID-18665、18671、18672、18673、18676、18677、19726）
- 编辑用户的名字、姓氏和缺省 shell。
- 从 ACE 服务器中提取所有有效的 ACE 组
- 搜索 ACE 组并返回该组中的所有用户。
- 从 ACE 服务器中提取所有定义的 ACE 代理的列表。
- 显示在 ACE 代理上激活的所有组。
- 提取所有管理员及其管理级别。
现在，网关支持在与 Identity Manager 服务器通信时使用采用 128 位、192 位和 256 位密钥的 AES 加密器。(ID-19738)

角色

现在，当管理员角色控制动态组织并且通过“查找用户”页编辑用户时，Identity Manager 可识别通过管理员角色进行的用户表单分配。(ID-18028)
可以在升级期间指定 RoleUpdater 的可选 noroleconfigurationupdate 参数，以绕过修改 RoleConfiguration 对象以指示是否允许将 8.0 之前的角色直接分配给用户的过程。如果将该值设置为 "true"，则会绕过查看是否需要进行此更改的测试。(ID-18483)
现在，所有 RoleAttribute 逻辑都不区分大小写。(ID-18766)
现在，报告结果可供主体的组织和管理员角色使用。(ID-19736)

安全

IDM 8.1 支持几个新的加密选项。（ID-16979、17789）
- 对于服务器加密密钥的加密，添加了对基于使用 256 位密钥的 AES（ECB 模式）的 PBE 的支持。该新选项类似于基于 DES 机制的现有 PBE，但它将 AES 用作底层加密器。
- 对于系统信息库和网关通信中的数据，添加了对使用 128 位、192 位和 256 位密钥的 AES（ECB 模式）的支持。
- 还更改了“管理服务器加密”任务以适应该新功能。
正如管理员指南中详细介绍的那样，某些新选项需要执行额外的安装和/或配置步骤。
为基于“忘记密码”安全问题的登录添加了新的“登录恢复”验证替代方法。(ID-18052)
现在，Identity Manager 支持以 XMLDSIG 格式签名的批准。以前，以专用格式将签名的批准存储在 Identity Manager 审计日志中。此增强功能允许使用符合 XMLDSIG 标准的格式存储此类批准记录，从而提供了更好的互操作性。还支持包含从外部时间戳机构检索的、符合 RFC 3161 标准的数字时间戳的功能。(ID-19011)
在启用传递验证后，当用户的资源密码到期并且 Identity Manager 帐户 ID 与资源帐户 ID 不同时，更改密码功能仍可以正常工作。(ID-19218)
修复了多个跨站点请求伪造 (Cross-Site Request Forgery, CSRF) 漏洞。（ID-19280、19659、19660、19661、19683、20072）必须手动更新对 includes/headStartUser.jsp 和 user/userHeader.jsp 文件进行的任何自定义操作。
提高了动态组织的性能。Waveset.properties 文件现在包含几个属性，它们定义了规则驱动成员列表的缓存方式。(ID-19586)

服务提供者

您可以配置服务提供者最终用户页面，以强制服务器始终使用 HTTPS 处理页面请求。(ID-18509)

任务

现在，配置者以外的管理员可以运行 SourceAdapterTask。(ID-15299) 要指定不同的管理员，请在系统配置对象中添加以下内容：

<Attribute name='sources'>
   <Object>
      <Attribute name='hosts'/> <!-- any host is the default -->
      <Attribute name='subject' value='Configurator'/>
    </Object>
</Attribute>

此发行版中修复的错误

本节介绍了 Identity Manager 8.1 中修复的错误，该信息分为以下几个部分：

管理员界面和用户界面

在 DatePicker 类中添加了 tabindex 属性。(ID-15244)
在单击“转发修正”页上的 ... 按钮后显示的页面中，删除了多余的“搜索”按钮。(ID-17236)
在编辑或更新用户时，如果尝试分配的 idmManager 不存在或丢失，将不再返回错误。(ID-17339)
从“创建访问扫描”页中删除了重复的“表示必填字段”。(ID-17417)
在 Mac OS X JRE 中修复了多选显示组件存在的单击以获得焦点和选择的问题。(ID-17938)
对于可以登录到多个界面的用户，在使用此时正用于登录到另一个界面的相同用户凭证进行登录时，不会再登录到错误界面。（ID-18204、18506）
现在，可以成功从管理员界面中取消置备具有多个帐户的用户。(ID-18314)
现在，在“正在等待批准”页和其他包含工作项目表的页面中，如果单击某个操作按钮（如“批准”或“拒绝”）而未选择工作项目，将会显示一条错误消息。(ID-18472)
以前，当管理员使用“更改我的密码”屏幕更改其密码时，管理员界面不会强制执行质询选项。已修复了此问题。(ID-18578)
通过管理界面更改用户密码时，不会再生成多余的“密码不能为空”错误。(ID-18579)
更正了 Identity/Lighthouse 登录模块中存在的一个问题，即，当用户提供了用户 ID 时，“忘记密码”选项返回以下错误：必填字段“用户 ID”中缺少值。(ID-18939)
修复了通过“查找用户”表单查询用户角色的功能。(ID-18986)
修复了 UI 容器，以使嵌套字段正确继承必需属性和 noNewRow 属性。(ID-19040)
现在，Identity Manager 引用 ResourceUIConfig 对象中的 MaximumNumberOfChildrenPerNode 属性（默认值为 100）以显示节点级别。如果子节点数超过该值，Identity Manager 仅显示返回的前 100 个节点。(ID-19434)
更正了一个在动态组织中编辑用户时发生的无法恢复的错误。(ID-19519)
以前，当您删除用户的任务权限中的 Modify 权限时，用户将无法再选择任务，即使在该用户仍具有 Delete 权限并且需要选择要删除的任务的情况下也是如此。现在，即使在删除 Modify 权限后，也会在任务列表用户界面中显示复选框列。(ID-19718)
现在，在启用相关 URL 时，将会在用户界面中呈现图像。（ID-19771、19868）
修复了查询创建器，以使其在“查找用户”选项卡中正确处理所有逻辑 AND。(ID-19898)
通过在系统配置对象中启用 endableEndUserProcessDiagrams 标志，可以在最终用户界面的结果页中查看暂挂工作项目。(ID-19919)

审计

现在，审计日志事件报告会正确指示用于响应证明的界面。(ID-16950)
如果在 Waveset.properties 文件中将 xpress.traceFileOnly 选项设置为 true，则所有 XPRESS 语句评估都将在 xpress.traceFile 指定的文件中生成跟踪消息。如果 xpress.traceFile 具有值，则会将所有跟踪消息重定向到控制台和某个文件。(ID-19748)

权能

导入/导出管理员无法再查看他们不应查看的管理页面和选项卡。(ID-19389)
现在，禁止未经授权的用户修改系统配置对象。(ID-20224)

表单

如果在工作流调用的表单中设置了 sortColumn 值，将不再忽略该值。(ID-17781)

委托

如果管理员当前具有组织、角色或资源的组织批准、角色批准或资源批准委托，并且失去了对该对象的控制，用户 UI 中的“委托”页将不再显示错误消息。(ID-18951)

Identity Manager IDE

当 Identity Manager IDE 不了解自定义角色类型时，Identity Manager IDE 不再修改角色的 primaryobjectclass。(ID-19672)
针对自定义角色类型执行“显示模式”操作时，在调试页上，不会再返回 NullPointerException。(ID-19686)

网关

如果运行网关的计算机没有该网关的注册表，网关与 Identity Manager 服务器之间的注册表主键交换不会再失败。(ID-17137)
解决了在网关关机期间报告的虚假错误。产生的一个副作用是，开机和关机期间写入的消息现在会写入到网关跟踪日志（如果启用了跟踪）或控制台（如果未启用跟踪）。(ID-19310)

日志

现在，系统将记录客户端的 IP 地址，而不是发送请求的负载平衡器的 IP 地址。(ID-17774)
现在，在开始覆盖现有日志文件之前，Identity Manager 跟踪日志记录将填充已配置的最大数量的跟踪日志文件。(ID-19102)
现在，“活动报告”页使用“消息”字段显示有关审计事件的任何其他信息。(ID-19257)
在以前的发行版中，有时会在活动报告中将遭遇资源帐户置备失败的任务记录为成功。现在，已更正了该问题。(ID-19283)
现在，尝试对 Log 或 SysLog 对象执行删除操作时，将会显示一条错误消息，除非运行的是系统日志维护任务或审计日志维护任务。（这些任务使用一种不同的方法来删除这些类型的对象。）(ID-19356)
现在，资源帐户更改密码和资源帐户重置密码操作的审计信息将随更改密码或重置密码审计操作一同记录。此外，现在还更改了“更改资源帐户密码”工作流，以便只有在调用 changeResourceAccountPassword 工作流服务之前发生故障时才会调用“审计”活动。(ID-19359)
修复了未正确审计访问查看结果的问题。(ID-19548)
现在，将审计对服务器对象执行的操作。(ID-19606)
现在，将审计资源组修改（创建、更新、删除）。资源组对象也称为应用程序对象，将使用 ApplicationViewer 处理应用程序对象。因此，应用程序查看器就是进行审计的地方。(ID-19607)
现在，在删除用户操作失败时，将会发布具有失败状态的审计日志记录。(ID-19722)

密码同步

现在，在禁用用户电子邮件时，PasswordSync 可以正确发送管理员电子邮件。(ID 18110)
修复了 PasswordSync 中的 NULL 引用可能导致崩溃的问题。(ID-19042)
现在，使用有效证书和自签名证书的测试连接可以正常工作。(ID-19216)
更正了两个潜在的缓冲区溢出问题。在这两种情况下，固定长度的缓冲区均可能因内容长度大于该缓冲区长度而发生溢出。现在，将会动态分配这些缓冲区以确保其足够大。(ID-19358)
禁用了计算机帐户的密码同步。(ID-19366)
更改了 PasswordSync 文件的默认安装目录，以便与产品名称相匹配。(ID-20276) 默认情况下，该应用程序现在会安装在 C:\Program Files\Sun Microsystems\Sun Identity Manager PasswordSync 中。在 64 位版本的 Windows 中，默认目录为 C:\Program Files (x86)\Sun Microsystems\Sun Identity Manager PasswordSync\

策略

现在，密码策略将正确验证为“不得包含词”条件输入的任何扩展 ASCII 字符。现在，在显示策略违规消息时，该条件还会区分完整字词匹配和字符串属性匹配。(ID-19384)

置备

如果包含重试的重新置备在执行辅助操作时失败，在重试任务期间不会再发生 NullPointerException。(ID-19826)

报告

旧版本的风险分析报告生成一个包含无效 XML 的 TaskResult 对象（依照 waveset.dtd）。因此，无法将这些 TaskResult 对象重新导入到 Identity Manager 中。新的风险分析报告执行将生成可重新导入的有效 XML。(ID-14419)

可以使用以下步骤更新和导入旧 TaskResult 对象：
1. 将 TaskRef 导出到一个文件中，如 object.xml
2. 从 UNIX Shell 中运行以下命令。更正的文件版本将写入到 object-fixed.xml 中。
```
cat object.xml | sed -e s/'&#xA;'//g | sed -e s/'&#xA; '//g | sed -e
s/'&#xA;  '//g | sed -e s/'&#xA;  '//g > object-fixed.xml
```
3. 将 object-fixed.xml 文件导入到 Identity Manager 中
默认情况下，将审计记录与它所引用的对象放在同一 ObjectGroup 中。ApproverReportTask 位于 All ObjectGroup 中，因此，指示已运行报告的审计记录也放在 All ObjectGroup 中。(ID-16363)

这意味着，所有管理员都可以看到该审计记录。如果不希望这样，请将 ApproverReportTask TaskInstance 的 MemberObjectGroup 更改为更适合的 ObjectGroup，或者将以下 XML 添加到 AuditReport Task 中：
```
<Field name='excludeAll'>
   <Display class='Hidden'>
      <Property name='value' value='true'/>
   </Display>
</Field>
```
现在，“使用情况报告”类型报告的 X 轴和 Y 轴的“界面”和“属性更改”选项将映射到有效的可查询值，并且不会发生 NullPointerException。“属性更改”现在会映射到 Attribute.ACCT_ATTR_CHANGES。“界面”将映射到新创建的 Attribute.INTERFACE，它是 Attribute.CLIENT 的同义词。(ID-16769)
现在，可以为不控制 Top 组织的用户正确生成帐户索引报告。(ID-16643)
资源用户报告正确显示管理员名称。(ID-17650)
如果在生成 PDF 格式的报告时发生错误，现在会正确显示错误消息。(ID-17979)
现在，可以正确克隆报告。(ID-18187)
当用户报告包含扩展用户属性以作为其搜索选项时，Identity Manager 不再返回 NullPointerException。(ID-19567)
修复了在分配了多个 AdminRole 的用户尝试创建报告时发生的访问被拒绝错误。(ID-20067)
现在，任务报告会正确显示列名称。(ID–20131)

系统信息库

当用户在“所有遵循性违规”报告中单击审计策略链接时，不会再发生 MySQL 错误“字段列表中的列 ID 不明确”。现在，系统信息库会生成限定此列名称的 DML。(ID-19900)

资源适配器

现在，会正确显示更改资源密码任务的名称。(ID-6947)
更正了一个 Sybase 适配器问题：当资源适配器中定义的数据库不可用时，该问题导致适配器尝试协调默认 Sybase 系统数据库。(ID-15867)
现在，制表符 (\u0009) 可以用作 Flat File Active Sync 资源的字段分界符。(ID-16780)
改进了执行脚本的 JDBC 资源适配器中的跟踪功能。(ID16900)
将 Domino 服务器和 Lotus Notes 客户端安装在同一台计算机上时，网关不再覆盖 Domino 服务器的 notes.ini 文件中的 ServerKeyFileName 值。(ID-17216)
现在，通过将 force_change 标志明确设置为 false，可以针对 Solaris 资源正确创建新用户。(ID-17401)
现在，在重新启动 SecureID 时，网关服务将重新建立到 SecurID 的数据库连接。(ID-17443)
更正了以下问题：当脚本化网关是唯一的网关资源时，不会更新网关加密密钥。(ID-17556)
现在，在 Active Directory 中创建用户时出现的两种错误情况会显示正确的可读错误：帐户已存在以及帐户 ID 格式不正确。(ID-17587)
现在，SecurId ACE Server UNIX 适配器会测试入池连接是否有效。(ID-17673)
现在，Identity Manager 忽略使用的 Lotus Domino 组名称别名；如果在本地使用这些别名，不会导致无效对象错误。(ID-17739)
Domino 适配器将删除在创建操作和更新后操作期间创建的脚本文件。(ID-18136)
现在，Active Directory 资源适配器将正确处理来自删除前操作的非零退出代码。(ID-18241)
现在，Lotus Domino 资源正确将连接返回到连接池中。(ID-18417)
Exchange 2007 适配器的 Name 帐户属性是一个仅创建属性。如果修改该属性，则会产生未定义的副作用，并且可能会导致无法从 Identity Manager 中管理用户，因此不再支持该操作。(ID-18606)
网关资源适配器不再覆盖只读帐户属性。(ID-18932)
在查找尚未置备给用户的职责时，OracleERP 资源适配器不再返回“找不到数据”错误。(ID-19056)
在查找具有非唯一名称的职责时，OracleERP 资源适配器不再返回错误。(ID-19057)
在测试组成员资格时，LDAP 资源适配器不再请求 uniqueMember 属性。(ID-19134)
修复了 Domino 网关适配器中的内存泄漏。(ID-19139)
在将“获取信息”消息发送到脚本化网关资源时，网关不再发生崩溃 (ID-19249)。
当管理服务器加密任务存储带时间戳的密钥副本时，该任务不再破坏 GatewayEncryptionKey 类型的对象。(ID-19250)
更正了以下问题：SAP 资源适配器无法解锁由于登录失败次数太多而被锁定的用户。(ID-19252)
不再提供过时的 DominoActiveSyncAdapter。Domino 资源适配器现在包含此功能。(ID-19281)
在 Windows NT 资源上运行协调时，网关不再发生崩溃。(ID-19295)
在处理非用户 NDS 对象时，NDS 网关不再发送有关用户类的错误警告消息。(ID-19362)
现在，在适配器上启用 Exchange 2007 支持时，会将原有的启用了 Exchange 2000/2003 的邮件用户报告为仅限 AD 的用户（RecipientType 等于 User）。可通过 legacyExchangeDN 和其他 Exchange 2000/2003 属性来区分 Exchange 2000/2003 用户和仅限 AD 的用户。(ID-19393)
现在，如果在 Red Hat Linux 资源中将一个用户 ID 更改为与另一个用户 ID 相同的值，则会抛出“Uid 不唯一”错误。(ID-19395)
现在，Identity Manager 正确将 SAP Access Enforcer 自定义属性传递到 Access Enforcer。(ID-19427)
现在，会正确存储具有多个 objectClass 的 LDAP 组。(ID-19436)
现在，运行 NIS 的 Solaris、HPUX、AIX 和 Linux 适配器禁止执行以下操作：创建具有正在使用的 uid 的帐户，或者将 uid 更改为已存在的帐户的 uid。(ID-19465)
现在，如果 Active Directory 适配器上的 getAllObjects() 调用包含 Exchange 2007 属性请求，网关将正确返回这些属性。(ID-19492)
在使用无效用户进行更新时，AIX 适配器不再删除所有组成员。(ID-19516)
修复了在 Red Hat 和 AIX 上删除用户的主要组时出现的问题：如果资源抛出异常并且无法删除该组，管理员界面将报告成功。现在，将会正确报告该错误。(ID-19520)
现在，将用户分配给不存在的组时，Identity Manager 会正确解释从 Red Hat Enterprise Linux 5 返回的错误代码。(ID-19523)
现在，可以从 Shell 脚本适配器中通过 SSH 正确使用非超级用户权限。(ID-19583)
使用 ExcludedAccountsRule 进行操作更新时，不再生成空 accountID。(ID-19585)
使用 LDAP 保留字符（如星号 (*)）进行 LDAP 验证时，不再锁定所有 LDAP 用户。(ID-19588)
AIX 资源适配器将正确更新辅助组列表。(ID-19628)
现在，Oracle 资源适配器允许在帐户密码中使用问号 (?)和大括号 ({ }) 字符。(ID-19653)
改进了 SecurId ACE Server for Windows 适配器，从而使该适配器确认网关和后备 SecurId 环境均响应工作查询。(ID-19667)
现在，完全协调会正确更改帐户禁用状态。LDAP 资源适配器现在会在协调期间检查禁用状态。(ID-19708)
现在，在使用 NIS 资源的无效登录 Shell 创建或修改用户时，会发生错误。(ID-19755)
在运行同步时，Identity Manager 不会再丢失 Active Directory 中的更新。(ID-19905)
现在，将在“编辑用户”页中使用选项卡式用户表单正确显示已禁用用户的 SiteminderLDAP 帐户状态。(ID-19931)
Windows NT 资源适配器不再支持 groupType 资源对象。(ID-19791)
SecurId UNIX 资源适配器将正确处理以逗号分隔的组值。(ID-20152)
在 SecurId Windows 适配器中，管理员可以为用户分配多个组和客户端。(ID-20153)。
对于 Linux、AIX、Solaris、HPUX 和 ShellScript 资源适配器，用户密码中的控制字符（0x00-0x1f、0x7f）将抛出错误。(ID-20174)

角色

现在，在删除包含的角色之前，必须从分配了该角色的角色中将其删除。(ID-18981)
修复了禁止系统部署者在 Identity Manager IDE 中保存和导入角色的问题。(ID-19036)
修复了一个问题，该问题导致在 JDK 1.6 上运行的 Identity Manager 无法分配已分配给业务角色的角色。问题症状包括：在分配业务角色后，Identity Manager 将业务角色标识为 IT 角色。此问题仅限于 JDK 1.6。(ID-19086)
更正了以下问题：如果在修改角色时将 ResourceAttribute 值设置为字符串值，SPML 查看器将抛出 ClassCastException。(ID-19177)
修复了禁止通过自定义用户表单将角色分配给用户的问题。以前，在使用无法刷新的 UI 组件（如文本框）分配角色时，会出现该问题。(ID-19241)
对于具有动态管理员角色的用户，以下功能现在可以正常工作：(ID-19456)
- 取消批准
- 查看工作项目的历史记录
- 运行报告
RoleAttribute 列表值现在可以正常工作。(ID-19981)

服务提供者

更正了在将 Identity Manager Service Provider 配置为使用 organization 属性时发生的一个问题。以前，不控制 Top 的 Identity Manager 管理员无法更新服务提供者最终用户，并收到以下错误：“用户必须具有 'org' 属性值”。(ID-18329)

会话 API

现在，EmailUtil API 调用和 sendEmailToAddress() 方法会处理作为调用参数发送的空 HTTP 请求。现在，该方法在检查到来自 HTTP 请求的语言环境为空时，正确地将其默认设置为相应的语言环境，而会不发生 NullPointerException。(ID-17755)

同步

如果为具有“以故障转移方式自动启动”启动类型的资源运行 Active Sync 的服务器无法连接到 Identity Manager 系统信息库，该任务将不会轮询资源更改。如果 Active Sync 任务可以在稍后的预定轮询时间与系统信息库建立连接，并且已在群集的另一个Identity Manager 服务器上为该资源启动另一个 Active Sync 任务，第一个任务将退出。(ID-19452)

视图

如果将名为 ProvisioningDisabledUserShouldThrow 的 SystemConfiguration 属性设置为 true，则任何向资源置备已禁用用户的尝试都将被禁止并产生错误。如果未将该属性设置为 true，仍会禁止该置备操作，但不会产生错误。(ID-19433)

修复的其他错误

17055, 18242, 19019, 19065, 19244, 19288, 19651, 20352