第 4 章 已知问题

发行说明中的本节列出了 Identity Manager 8.1 的已知问题和解决方法。

该信息分为以下几个部分：

• 常规

• 审计

• 数据导出器

• Identity Manager 服务提供者

• 本地化

• 登录配置

• 组织

• PasswordSync

• 策略和权能

• 协调和导入用户

• 报告

• 资源

• 角色

• SPML

• Sun Identity Manager Gateway

• 任务

• 工作流、表单、规则和 XPRESS

常规

• 不对组织名称、管理员名称、帐户名称、用户属性名称（模式映射的左侧）或任务名称进行字符有效性检查（ID-1145、1206、1679、1734、1767、2413、3331）。在这些类型的对象名称中，不能使用美元符号 ($)、逗号 (,)、句点 (.)、撇号 (')、“和”符号 (&)、左方括号 ([)、右方括号 (]) 或冒号 (:)。

• 如果浏览器使用的是大字体，将无法看到完整的日历对象(ID-2120)。

• 即使未选择列表中的项目之一，“查找结果”页和“列出任务”页中的“全选”复选框也不会被取消选中 (ID-5090)。如果列表中所有成员的“全选”复选框未被全部选中，则在为获得结果而进行操作的过程中将忽略此“全选”复选框。

• 如果对自定义消息目录进行了更改，则必须重新启动服务器才能看到所做的更改。(ID-6792)

• 当前的故障服务器检测机制假定 Identity Manager 群集中的所有系统在时间上都是同步的。(ID-7064) 在默认故障间隔时间为 5 分钟的情况下，如果一台服务器在 5 分钟内未能与另一台服务器同步，则前面的服务器会声明其后面的服务器发生故障，从而导致不可预测的结果。

  解决方法：保持更好的时间同步，或延长故障转移时间间隔。

• 对于 Windows，如果登录时使用的用户名包括双字节字符，而机器的默认编码仅支持单字节字符，则必须将环境变量 USER_JPI_PROFILE 设置为其名称仅包含单字节字符的现有目录。(ID-8540)

• 如果使用“将文件格式设置为 XML”选项将资源提取到 XML 文件，并随后从下拉列表中选择“CSV 文件格式”，则会显示以下消息对话框：(ID-10847)

  The form has already been submitted.

  解决方法：要避免显示此消息，请单击“帐户”->“提取到文件”->“选择一种资源”->“选择 CSV 文件格式”。单击“下载”以下载 .csv 文件格式的资源帐户详细信息。

• 如果扩展的节点包含的数据少于一页，并在该页上的第一条记录之前插入该节点的新子节点（例如，如果在组织中创建用户），以后进行刷新时，Identity Manager 将在当前页之前插入包含一个项目的页。(ID-12151)

  解决方法：要重新排列这些页，请单击“首页”按钮。

• 如果修改角色表单以将 showSuperAndSubRoles 变量由 0 更改为 1，然后从“配置”选项卡中导入包含现有子角色的超级角色对象定义文件，则不会修改这些子角色以包含 <SuperRoles> 部分。但是，如果使用 Identity Manager 图形用户界面来创建超级角色，将更新该超级角色所引用的子角色。(ID-15053)

  如果在 Identity Manager 外部创建的角色引用系统中已存在的现有角色（子角色或超级角色），则可能会出现这种问题。

  导入这些角色时，不会更新系统中已存在的角色以反映新的关系；例如，不保持引用完整性。如果按这种方式导入角色，请使用 RoleUpdater 检查并纠正引用完整性。

  解决方法：通过导入位于 sample/forms/RoleUpdater.xml 中的新 RoleUpdater.xml 文件，可以在升级过程以外更新角色。默认情况下，Identity Manager 在升级过程中或导入 RoleUpdater.xml 时添加子角色链接。

  要禁用此新功能，请将 RoleUpdater 属性 nofixsubrolelinks 设置为 true。例如，

  <MapEntry key='nofixsubrolelinks' value='true' />

• 如果修改现有 changelog 上的设置（如添加其他列属性），则这些修改可能不会显示在已存在的 changelog CSV 文件中。(ID-15973)

• 系统信息库配置对象具有一个名为 maxAttrValLength 的属性。将忽略此属性的值，并始终将其设置为 255。(ID-16261)

• 在本地化的 Identity Manager 会话中，用户可能会在流程图 applet 中遇到部分本地化的内容（混用英语和选定的语言）。(ID-16139)

• 直接模式密码同步需要在 web.xml 文件中配置 SimpleRpcHandler。默认情况下，此处理程序不会作为 rpcrouter2 servlet 的处理程序提供。(ID-16469) 要使用直接模式密码同步，请使用以下方法设置处理程序初始化参数：

  <init-param>
     <param-name>handlers</param-name>
     <param-value>com.waveset.rpc.SimpleRpcHandler,
         com.waveset.rpc.PasswordSyncHandler</param-value>
  </init-param>

  请注意，已知 SimpleRpcHandler 会影响某些 RemoteSession 调用。如果您要使用 RemoteSession 和直接模式密码同步，请配置一个单独的 servlet 以处理 RemoteSession 调用。

• “帐户”>“提取到文件”将 XML 和 CSV 文件格式另存为 .dat 扩展名，而不是预期的 .xml 和 .csv 扩展名。(ID-17521)

  解决方法：可以将保存的文件手动重命名为相应的文件扩展名。

• “字符串质量策略”页面在垂直行中显示文本。(ID-18551)

• 角色类型委托将覆盖针对特定角色的角色批准委托。(ID-18559)

  例如，如果将一个或多个特定角色的将来角色工作项目类型委托给用户 1，而将所有将来业务角色工作项目委托给用户 2，则第一个委托中的特定角色将委托给用户 2，而不是委托给用户 1。

  下面给出了方案委托摘要：

  • 将业务角色 1 的角色批准委托给用户 1

  • 将业务角色批准委托给用户 2

  在为用户分配业务角色批准的所有请求中，将业务角色委托给用户 2。

• 启用角色并不会为用户提供更新分配的角色的选项。(ID-18647)

  解决方法：手动更新分配的用户，或者在“列出/查找角色”页面中更新分配的用户。

• 现在，在分配其他角色时，可以将这些角色（父角色）中包含的角色有条件地分配给用户。在编辑父角色时，可以指定一个条件，以便在父角色和包含的角色之间建立关联。可以创建一个条件，也可以引用一个规则。如果指定了一个规则，则必须通过规则参数指定规则评估所需的所有用户视图属性。(ID-18734)

• 如果系统信息库为 MySQL 并且 7.x 安装已配置了角色对象，则从 Identity Manager 7.x 升级到 Identity Manager 8.0 的操作将会失败。在执行 upgradeto80from71.mysql 脚本时，会出现此问题。在执行此脚本时，旧对象表（包含 7.x 角色）与新角色表的列顺序有所不同。(ID-18874)

• 数据仓库消息目录 WICMessages.properties 是基于服务器位置加载的，而不是基于用户位置。例如，如果在日语语言环境中运行应用服务器，则会以日语显示查询属性，即使用户界面通常以英语显示也是如此。(ID-18898)

  解决方法：在具有与浏览器语言设置对应的 UTF-8 变体的语言环境中重新启动应用服务器。

• Identity Manager 8.0 添加了一个新的可查询属性 assignedRoles，用于引用分配给用户的所有直接角色和间接角色。(ID-18921) 以前的发行版中包含可查询属性 role（现在仍然可以使用），其中仅包含直接分配给用户的角色。升级过程仅自动刷新具有间接角色的用户，以便进行 assignedRoles 填充。已分配角色的用户的报告并不返回在升级环境中分配给某个角色的所有用户，直至刷新了所有用户时为止。

  解决方法：

  • 刷新所有用户。

  • 为具有直接分配的角色的用户创建一个报告。

• “按重复排序”选项不适用于预定任务表。(ID-20377)

审计

• 扫描过程中，不支持重新扫描无法从资源获取或发生其他错误的用户帐户。扫描完成后将报告这些错误，但没有重新扫描帐户的自动方法。(ID-9112)

• 只要用户被编辑，Identity Auditor 就会试图通过强制执行策略保持用户在策略扫描间的遵从性。如果编辑分配了审计策略并且违反了某个策略的帐户，则不能保存对用户的更改，即便此更改如同将用户移至另一组织这样简单。(ID-9504)

  解决方法：使用用户 applet 的右键单击移动（或查找然后移动）功能，或临时禁用审计策略检查。

  要禁用审计者策略检查，请编辑系统配置并删除 userViewValidators 属性。在导入 init.xml 或 upgrade.xml 的过程中添加了这个包含字符串列表值的属性。

• 在“审计策略违规历史”、“资源违规历史”和“组织违规历史”报告中，对 STACK 图表类型实行对数换算可能导致异常显示。(ID-9522)

• 当前，审计者访问扫描报告管理员无法安排审计策略扫描。将显示错误“错误消息：创建对类型为 TaskSchedule 的主题 auditadmin 的访问被拒绝”。要安排任何任务，管理员必须具有 TaskSchedule authType 的 create 权限。(ID-14713)

  解决方法：编辑管理员以便为其分配 TaskSchedule 的 create 权限，或者指定至少具有 Auditor Administrator 或 Waveset Adminsistrator 权能的用户。

• 如果运行的审计扫描产生多个违规，审计者可能会创建一个修正工作流以管理违规处理。对于包含很多违规的工作流，max_allowed_packet (1M) 的默认 MySQL 设置太小。如果达到此限制，审计者将不会启动修正工作流。(ID-15830)

  解决方法：对于频繁使用审计者的情况，应大幅增大该值。要解决此问题，请将 max_allowed_packet = 32M 添加到 MySQL 配置文件 (my.cnf) 中，然后重新启动数据库服务器。

• 更改遵循性违规修正的严重程度和优先级值可能会产生误导。表单中的初始值不是遵循性违规的当前值。它们是进行更改时最后设置的值。在查看列表视图的同时了解您所需要的严重程度/优先级值非常重要，因为您无法在允许更改这些值的页面上确定当前值。(ID-16040)

• 审计策略名称不能包含以下字符：'（撇号）、.（句点）、|（竖线）、[（左方括号）、]（右方括号）、,（逗号）、:（冒号）、$（美元符号）、"（双引号）、=（等号）。(ID-16078)

数据导出器

• 可以将数据导出器配置为以任何具有相应权能的 Identity Manager 管理员身份运行。导出任务将作为守护进程运行，并由 Identity Manager 调度程序进行启动和监视。数据导出器创建的审计记录将显示 Identity Manager 调度程序主题 (Scheduler:IDMServer)，而不是将任务配置为使用的主题。(ID-18055)

• 取证查询不支持针对角色类型的编辑/修改操作。(ID-18769)

• 数据导出器用户必须注意以下性能问题：在写入仓库模型配置后，数据导出器不会重新检查仓库接口代码。如果修改仓库接口代码以添加扩展用户属性，这些新属性并不会显示在“配置”->“仓库”->“仓库模型配置”（“模型”->“属性”选项卡）中，因此，无法在“取证查询”界面中使用它们。(ID-18975)

  在配置仓库并随后尝试添加要导出的自定义属性时，将会遇到此问题。初始仓库配置将查看 WIC 代码并写入“配置”->“数据仓库配置”对象。此后，数据导出器不会重新检查 WIC 代码。

  以后使用新版本的 Identity Manager 升级仓库时，也会遇到此问题。

Identity Manager 服务提供者

• Identity Manager 服务提供者 和 Sun Java^TM System Portal Server 可能不兼容，存在与加密库相关的问题。(ID-10744)

  通过在 Portal Server 的 /etc/opt/SUNWam/config/AMConfig.properties 文件中设置以下值，然后重新启动 Web 容器，可以更正此问题：

  com.iplanet.security.encryptor=com.iplanet.services.util.JCEEncryption
  com.iplanet.security.SSLSocketFactoryImpl=netscape.ldap.factory.
     JSSESocketFactory
  com.iplanet.security.SecureRandomFactoryImpl=com.iplanet.am.util.
     SecureRandomFactoryImpl

• Identity Manager 管理员界面上显示的某些配置选项不能与 Identity Manager 服务提供者 一起使用。(ID-10843)。

  其中包括：

  • 资源选项：排除帐户规则、批准者和分配资源的组织。

  • 角色属性

• 默认服务提供者登录模块组希望将服务提供者资源命名为“SPE 最终用户目录”。如果资源的名称不同，则 Service Provider 最终用户登录页面将不能正常工作。该页面将不会显示与登录相关的字段。(ID-14891)

  解决方法：更新 UI_LOGIN_MOD_GRP_DEFAULT_SPE_PWD LoginModGroup 对象中的资源名称以引用正确的资源名称。

本地化

• 对于批量操作生成的 CSV 文件，Identity Manager 未提供自定义其编码的机制。在使用 Excel 打开 UTF-8 编码的 CSV 文件时，由于 Excel 要求在 CSV 文件中使用本地编码，因而内容将显示为乱码。（例如，日语为 iShift_JIS）(ID-19901)

  解决方法：使用支持 UTF-8 编码的编辑器。

• 在 PasswordSync 通知电子邮件中，无法正确显示 $cn 字段中的多字节字符。(ID-19934)

• 在 Tomcat Web 容器中，对于采用压缩显示模式的 SOD 报告，其列名中的多字节字符将显示为 "???"。(ID-20040)

• 对于 Solaris 资源，Identity Manager 将在“角色”字段中显示乱码消息。如果将 OpenSolaris 用作资源，则不会出现该问题。(ID-20046)

  解决方法：在 /etc/default/init 文件中设置 LANG=C，并重新引导 Solaris。然后为用户分配 Solaris 资源。“角色”字段为空，这是预期行为。

• 对于以下浏览器配置，Identity Manager 将多重选择 Java applet 上的撇号和多字节字符显示为乱码：Windows XP Professional 上带有 Java 1.6.0_07 和 1.6.0_11 的 Internet Explorer 7（如果设置了 UTF-8 编码）；带有 Java 1.6.0_07 的 Firefox 3 (ID-20106)

• 在某些德语联机帮助文件中，将显示 "Check Alignment of PHs" 字符串和位置错误的 html 标记。(ID-20345)

登录配置

• 如果管理员登录，选择“更改我的密码”，然后选择另一个选项卡，则会锁定其帐户直至该锁定到期。(ID-3705)

  如果其他管理员尝试编辑该锁定的管理员，将显示以下消息：

  com.waveset.util.WavesetException: 
  Unable to access account #ID#Configurator at this time
  Please try again later.

  如果该管理员单击“确定”，则会显示从最后一次操作开始的工作流程图。

组织

• 当存在暂挂置备请求，且其中含有属于某个组织的用户时，如果重命名该组织，将导致该置备请求失败 (ID-564)。

  解决方法：在重命名组织之前，确保没有未完成的请求。

• 当创建新组织时，如果在指定组织名称之前选择了“用户成员规则”选项，则当刷新该页时，在“组织”名称字段中将出现一个组织 ID (ID-6302)。在保存新组织之前仍然可以设置该名称。

PasswordSync

• PasswordSync 安装和配置应用程序可以读取 XML 文件，以填充 DLL 使用的注册表主键。使用的 XML 文件应始终基于配置应用程序（取自正常工作的 PasswordSync 安装）的 "-writexml" 选项生成的文件。(ID-20375)

  解决方法：您可以更改该文件，但需牢记以下限制：主键名区分大小写；Identity Manager 不会检查这些值；如果 Identity Manager 无法识别主键，并不会生成错误或警告，而是以静默方式忽略这些主键。

策略和权能

• Identity Manager 帐户策略属性“重设通知选项”有一个不起任何作用的“管理员”值选项 (ID-944)。只有“即时”和“用户”选项有效。

• 用户必须回答的问题的最小数量可以设置为大于定义的问题的数量 (ID-1834)。如果出现这种情况，用户将不能使用“忘记密码”选项登录。

• “默认 Lighthouse 帐户策略”不能通过编辑该策略、更改其名称和选择创建新对象进行克隆 (ID-5147)。

  解决方法：创建新的帐户策略。

• 审计扫描在任务启动表单中包含一个选项，用于将违规报告通过电子邮件发送到指定的电子邮件地址。如果未找到违规，则不会发送此电子邮件。(ID-18773)

协调和导入用户

• 如果取消了完全协调，则会显示以下错误消息：(ID-14554)

  Canceled the incremental reconciliation of [resource] running on [server]

  此消息应如下所示：

  Canceled the full reconciliation of [resource] running on [server]

• 执行从资源加载并且该资源支持 ACCOUNT_CASE_INSENSITIVE_IDS 时，如果用户的 accountId 与 Identity Manager 的 ResourceInfo 用户对象中存储的 accountId 只是大小写不同，则会向用户对象添加另一个 ResourceInfo（其 accountId 与该资源报告的 accountId 大小写一致）。(ID-17377)

  解决方法：请确保用户对象中 Identity Manager ResourceInfo 对象中的 accountId 与该资源报告的 accountId 大小写完全一致。

• 如果禁用多重选择显示组件 applet（而改用 HTML 版本）并编辑特定资源实例的协调策略，在取消选中“继承资源类型策略”复选框时可能会出现错误。(ID-18964)

  解决方法：重新启用多重选择 applet。

报告

• 违规摘要报告的“优先级”和“严重程度”列中显示的是数字，而不是文本描述。(ID-16932)

• 违规摘要报告不包含修复的违规。该报告仅包含当前处于活动状态的违规（新违规或循环违规）或已缓解的违规。(ID-16933)

• 如果指定多个条件以生成使用情况报告，则可以在“报告结果”页面上正确显示图形，但固定行宽会将条件文本截断。(ID-17224)

• 并非所有非活动帐户扫描报告都会在“查看风险分析”页上显示其结果。要查看这些报告的结果，请转到“服务器任务”页。(ID-17255)

• 如果未配置问题策略，用户问题报告将不显示报告标题。(ID-17415)

• 资源用户报告将重设管理员作为用户列出，但重设管理员是一个隐藏用户，不应显示出来。(ID-17650)

• Identity Manager 不会在风险分析报告结果表上显示“上次登录日期”标签。(ID-20269)

• 在选中“电子邮件报告”复选框时，下载 CSV 报告将发送电子邮件通知。应仅在运行该报告（通过单击“运行”按钮）时发送此电子邮件通知。(ID-20346)

资源

• 资源测试按钮不测试所有字段。(ID-51)

• 当资源帐户密码或用户名在 PeopleSoft 资源上不正确时，错误消息不明确 (ID-2235)。该错误消息为：

  bea.jolt.ApplicationException: TPESVCFAIL - application level service failure

• 使用 %DISPLAY_INFO_CODE% 退出状态的 Windows Active Directory 资源操作导致该操作因出错而失败 (ID-2827)。

• 创建用户时无法在 Active Directory 上设置用户的主要组 ID (ID-3221)。

  解决方法：创建用户而不设置主要组 ID，然后编辑该用户并设置该值。主要组 ID 也是通过编号而非标识名 (DN) 进行设置。

• 在主机名解析为 IP 地址后，资源 IP 地址将保存在 JVM 的高速缓存中。如果更改了资源 IP 地址，则必须重新启动应用服务器，以使 Identity Manager 能够检测所做的更改 (ID-3635)。这是 Sun JDK（1.3 和更高版本）中的设置，可以使用 sun.net.inetaddr.ttl 属性（通常在 jre/lib/security/java.security 中设置）对其进行控制。

• 不能在 Oracle 资源上为单个用户创建多个帐户 (ID-3832)。

• 如果用户被移出或移入 Active Directory 组织内的子容器，则活动同步适配器会检测到该变化，但是当在编辑页上查看该用户（或在进行修改后查看确认页）时，该用户的帐户 ID 仍然显示为原来的 DN（distinguished name，标识名）(ID-4950)。由于我们使用 GUID 修改用户，因此它不会造成任何操作性问题。对该资源运行协调可以修复此问题。

• 如果用户从一个“组织”(OU) 移动到一个子组织，则 LDAP ChangeLog 适配器不会识别出此变化，并会认为该用户已被删除。随后，将在 Identity Manager 中锁定该用户对象（如果这是当前设置），而且不会为移动的帐户创建新帐户 (ID-4953)。

• 如果在执行命令或脚本时出错，则 UNIX 资源适配器使用的存储连接可能被置于未确定状态 (ID-5406)。

• 在 NDS 上，如果在初始置备时编辑一个字段（如“宽限登录限制”）并且不为布尔字段提供值，则所有布尔字段都设置为 False (ID-6770)。这会阻止您对限制选项卡上的其他一些字段进行设置（这些字段要求特定复选框值为 true）。为避免这种情况，在需要所有布尔字段值为 true 的时候，请确保它们始终为 true，以便在编辑其他字段时，能将其正确推入。

• 通过从 Identity Manager 组织中选择更新来对用户进行更新时，如果具有 Sun One ID Server 帐户的用户是在本机创建，然后加载到 Identity Manager，则会为这些用户返回一个错误 (ID-7094)。解决方法是单独更新这些用户。

• Identity Manager 仍包含以下已过时的类：

  • com.waveset.object.IAPI

  • com.waveset.object.IAPIProcess

  • com.waveset.object.IAPIUser

    自定义适配器类不应再引用这些类，而应引用包 com.waveset.adapter.iapi 中的相应类。(ID-8246)

• 如果您退出“新建资源对象”向导时未单击保存或取消按钮，则可能不会损坏已放弃的表单，并可能会影响后续新资源对象的创建。(ID-11033) 这将导致出现错误消息：

  No resource form id found in options or view.

  解决方法：始终使用“取消”按钮放弃“新建资源对象”向导。

• 如果您在编辑某个用户的同时正在以另一个管理员身份运行活动同步，则会发生活动同步异常。因为该用户被其他管理员锁定，所以活动同步无法重试该进程。(ID-11255)

  解决方法：要针对某个资源启用活动同步重试，请更新资源 XML，使其包括下列两个附加的资源属性，格式如下：

  <ResourceAttribute name='syncRetryCountLimit' type='string' multi='false'facets='activesync' value='180'/>

  <ResourceAttribute name='syncRetryInterval' type='string' multi='false' facets='activesync' value='10000'/>

  其中：

  • syncRetryCountLimit 是重试更新的次数。

  • syncRetryInterval 是两次重试之间等待的毫秒数。

  随后，在您配置活动同步时，这些值将作为自定义资源设置显示出来。建议您指定 displayName；如果需要进行本地化，应使用自定义的目录关键字。

• 如果属于 CUA 环境的所有系统上的某个用户密码未保持同步，则可能无法在不同步的子系统上更改该密码。只有在管理员为用户设置了不过期的高效密码或用户自己更改密码时，才会出现这种情况。在其他任何情况下，即使系统不同步，也会成功更改密码。(ID-13396)

  解决方法：首先设置一个到期的密码，然后通过第二次更改为用户设置高效密码。

• Remedy 集成模板编辑器有两个已知问题。(ID-14729)

  • 默认的 Remedy 模式值 "HPD:HelpDesk" 不适用于较高版本的 BMC Remedy。较高版本不包含模式 "HPE:Help Desk"。

  • 某些字段不显示“选择”列。这不会影响 Remedy 模板的使用。

• 当与 Sun Java SystemDirectory Server Enterprise Edition 6.0、6.1 和 6.2 一起使用时，回归会导致 Identity Manager 密码同步失败。此故障将在 Directory Server 6.3 发行版中得到解决。如果需要将版本 6.0、6.1 或 6.2 与 Identity Manager 一起使用，请从“支持”中请求获取 Directory Server 热修复程序（参考 Directory Server 错误 6604342）。(ID-14895)

• 当从“资源”选项卡展开 Sun Java System Access Manager 7.0 资源的资源对象时，您可能会看到以下错误：(ID-15525)

  Error listing objects. ==> com.waveset.util.WavesetException: Error trying to get attribute value for attribute 'guid'. ==> java.lang.IllegalAccessError: tried to access method com.sun.identity.idm.AMIdentity.getUniversalId()Ljava/lang/String; from class com.waveset.adapter.SunAccessManagerRealmResourceAdapter

  此错误会在未应用任何修补程序的 Access Manager 7.0 资源上发生。要修复此问题，您必须至少应用 Access Manager 的 Patch 1，然后重新生成并重新部署 Access Manager 客户端 SDK。

• 由 Identity Manager 创建的具有“访问”和“帐户 ID”字段的 NDS/Groupwise 用户在接受 NDS 控制台 1 应用程序内某些查看器的检查时（例如，选择用户的属性，然后选择 "Groupwise" 选项卡），可能显示未保存其相应的值。(ID-16330)

  但是，如果改用用户的“Groupwise 诊断”->“显示对象”查看器，则会显示此字段。Identity Manager 对上述字段所做的更新似乎不受此“查看器”错误的影响。

• WRQ 浏览 classpath 以发现其自身的条目。通过该条目，WRQ 将计算出存储 JAR 的目录，然后使用此目录来读取 .JAW（许可文件）。但是，BEA 和 WebSphere 都使用非标准的协议名称（BEA 使用 zip，WebSphere 使用 wsjar），而不使用标准的 JAR（WRQ 代码认为存在的协议）。（ID-16709、17319）

  解决方法：

  • 对于 BEA，将以下选项添加到 startWeblogic.sh 文件的 java 命令中：

    -Dcom.wrq.profile.dir="DirectoryContainingLibraries"

  • 对于 WebSphere，请将 com.wrq.profile.dir=DirectoryContainingLibraries 属性添加到 WebSphere/AppServer/configuration/config.ini 文件中。

• 在创建新资源之前，请确保启用已配置类型列表中的资源类型。否则，新创建的资源对象可能不具备所有必需的字段。(ID-17324)

• 在不同的 UNIX OS 资源适配器中，创建目录资源属性的默认值不一致。对于 AIX，用户创建始终导致创建主目录，因此，该值不存在。对于 Linux 适配器，该值默认设置为 "true"。对于 Solaris 和 HP-UX 适配器，该值默认设置为 "false"。(ID-18301)

• 如果暂挂对外部资源分配进行的置备，并重命名将工作项目提升到的用户，则在完成置备任务时不会提升到重命名的用户。(ID-19897)

• 如果在 Identity Manager 和 OpenSSO 服务器（Sun Access Manager 领域资源适配器）之间配置了传递验证，并且在密码中使用 '%' 字符，则该验证可能会失败。有关此问题的详细信息，请参见 https://opensso.dev.java.net/issues/show_bug.cgi?id=4122。(ID-20011)

• Domino 网关资源对象创建和更新表单无法识别非默认组类别值（即“管理”和“无”以外的值）。在编辑使用非默认类别值的组时，Domino 网关资源对象更新表单将显示错误。(ID-20212)

• 如果将浏览器语言设置为不含 cntry 的值（如 ja），Active Directory 连接器将不会显示本地化的消息。(ID-20255)

  解决方法：在浏览器中选择包含 cntry 值的语言（如 ja-JP），或在登录到 Identity Manager 时将 cntry=JP 指定为 URL 参数。例如，

  http://host:port/idm/login.jsp?lang&cntry=ja=JP

• 如果要将基于 Active Directory 适配器的资源迁移到基于 Active Directory 连接器的资源，您必须编辑任何关联的资源操作以包括 execMode 属性。该属性的有效值为 connector 和 resource，但对于 Active Directory，如果使用的是 SHELL 操作类型，则 resource 是唯一有效的值。(ID-20534)

  例如，如果以前的资源操作实现具有以下行：<

  <ResTypeAction restype='Windows Active Directory' actionType='SHELL'>

  则必须添加以下行（如果使用的是 Active Directory 连接器）：

  <ResTypeAction restype='Windows Active Directory' actionType='SHELL' execMode='resource'>

角色

• 无法在“角色列表”页上立即更新角色状态。(ID-20259)

  解决方法：重新加载该页或单击“清除”。

SPML

• 如果搜索请求使用子串过滤器项目，则包含迭代器的 SPML2 搜索响应可能包含不一致的结果项目。(ID-20328)

Sun Identity Manager Gateway

• 使用 net stop "Sun Identity Manager Gateway" 时，网关有时不会停止 (ID-2337)。

• 在某些情况下，从 Windows（任何支持的 Windows 版本）上的服务控制台中停止网关时，网关并不会完全停止。作为响应，Identity Manager 显示一个对话框，其中包含的消息指示网关没有及时响应。如果关闭该对话框，Identity Manager 将指示网关已停止。如果使用等效的命令行 net stop <service name>，Identity Manager 将指示发生了异常。请注意，在这两种情况下，网关均已停止。(ID-20296)

  解决方法：使用命令行 gateway -k 停止网关服务。

任务

• “查找任务”页不显示与搜索条件匹配的任务数量 (ID-5152)。

• 不控制 Top 的委托管理员可以预定任务和查看任务结果，但不能在任务创建后查看该任务 (ID-6659)。预定任务被置于 Top，因此委托管理员没有查看该对象的权限。

工作流、表单、规则和 XPRESS

• 不能使用 XPRESS <eq> 函数将布尔值与 TRUE 或 FALSE 字符串或者整数 1 或 2 进行比较 (ID-3904)。

  解决方法：使用以下语句：

  <cond>
     <isTrue><ref>Boolean_variable</ref></isTrue>
     <s>True action</s>
     <s>False action</s>
  </cond>

• 在通过 dolist 迭代一个通用对象列表时，路径表达式无效 (ID-4920)。

  <dolist name=’genericObj’>
     <ref>listOfGenericObjects</ref>
     <ref>genericObj.name</ref>
  </dolist>

  解决方法：使用 <get> / <set>，如下所示：

  <dolist name=’genericObj’>
     <ref>listOfGenericObjects</ref>
     <get><ref>genericObject</ref><s>name</s>
  </dolist>

• 如果对用户表单中的字段使用 global.attrname 变量，而且该属性由多个资源共享，则还应定义一个“派生”规则 (ID-5074)。否则，如果该属性在其中一个资源上进行了本机更改，则该属性不一定会被提取出来并传播至其他资源。

• 无法在表单的 HTML 组件中使用以 & 开头的特殊字符串。例如，&nbsp; 将不再显示为空格。出现此问题的原因是“选择”列表中对特殊字符 (&<>’) 的支持有变化。(ID-5548)

• <Comment> 标记中包含的表单、工作流和规则注释包括表示换行符的 &#xA; 字符串 (ID-6243)。只有在查看这些对象的 XML 时，才会看到这些字符；Identity Manager 服务器将会正确处理这些字符。

• 如果使用“资源表用户”表单编辑用户，在编辑用户的资源之后，首次显示表单时不能提取该资源属性。

  解决方法：单击“刷新”按钮，这将提取属性数据。(ID-10551)

• 如果使用 Sun Java System Access Manager Policy Agent 对 Identity Manager 进行保护，则可能无法完全呈现工作流程图。(ID-18304)