本节提供了有关 Identity Manager 8.1 中提供的新功能的附加信息,该信息分为以下几个部分:
从 Identity Manager 7.1 Update 1 发行版开始,我们便通过修补程序进程提供更新(包含客户所报告的主要和关键错误的修复),该进程替代以前的热修复程序进程。
修补程序将每隔六周进行一次开发、测试和发行。这些修补程序具有 GUI 安装程序以及手动安装选项,它们将更新 /WEB-INF/lib 中的文件。修补程序发行说明中包含有关安装修补程序的说明,该发行说明是以 PDF 格式分发的。发行说明将介绍对 Gateway 或 PasswordSync 进行的任何修复,这些修复要求通过安装修补程序进行更新。
Identity Manager 修补程序是累积更新的,因此,使用独特的修复程序可以使问题减少。在安装或升级到主要或次要发行版时,应计划更新到最新的修补程序级别。例如,如果在安装或升级到 8.1 时已发行 Patch 3,则应该在安装或升级到 8.1 后应用 Patch 3。您不需要安装 Patch 1 和 2,因为 Patch 3 包含以前修补程序中的所有功能。
修补程序进程还简化了按实际错误编号跟踪修复程序的过程。不过,新版本可能尚未提供针对旧版本所做的修复。无论当前版本的 Identity Manager 采用哪种进程,您都必须确认新的目标 Identity Manager 版本包含所需的所有错误修复程序。
在发行新的修补程序时,将向所有客户支持部门发送通知。修补程序是通过客户支持部门提供的。要获取最新的修补程序,请与 Sun 客户支持部门联系: http://www.sun.com/service/online/us。
Identity Manager 8.1 新增了以下主要功能:
借助此功能,Identity Manager 可以管理企业中未通过资源适配器直接连接到 Identity Manager 的应用程序的置备和审计。这包括非数字外部资源,如便携式计算机、移动电话以及安全徽章。通过 Identity Manager 置备外部资源后,将通过电子邮件或 Remedy Help Desk 6.3 通知一个或多个置备程序。
连接器框架提供了一种新的使用连接器将 Identity Manager 连接到目标应用程序的方法。Identity 连接器和框架是一个开源项目的一部分,该项目为使用 Identity Manager 置备资源提供了一种通用且一致的方法。连接器已从核心 Identity Manager 服务器中分离出来,从而能够独立于 Identity Manager 版本发行连接器。Identity Manager 附带以下支持的连接器(此外,您还可以从开源项目网站下载其他连接器):
Microsoft Active Directory 2003 和 2008
SPML 2.0
有关详细信息,请参见开放源代码项目网站:https://identityconnectors.dev.java.net/。
不久后,将会添加其他连接器。
该集成侧重于 Sun Role Manager 4.1.3 和更高版本。现在,Identity Manager 表单可以直接调用对用户的通知和调用角色操作的 Web 服务。Identity Manager 数据导出器已允许 Role Manager 检索 Identity Manager 的用户和角色;现在,最新的 8.1 版数据导出器提供了以下内容:
可实现更好的用户挖掘的权能信息。
将在未来的 Sun Role Manager 版本中利用的资源模式。
Identity Manager 使用 JMX MBean 为列出、创建、获取、修改、删除和验证操作提供性能数据。将收集以下数据:
操作计数
每个操作的平均移动时间
每个操作的最短时间
每个操作的最长时间
收集开始时间
资源适配器类和版本
Identity Manager 支持高级加密标准。AES 是一种对称密钥加密技术,可用于替代数据加密标准 (Data Encryption Standard, DES)。政府部门通常使用 AES 来保护数据。
此功能提供了一种使用 W3C XML 签名语法和处理 (XMLDSig) 的标准不可否认机制。这种增强功能提供了以 XMLDSig 格式创建、存储和显示工作项目批准的功能。该格式还允许包含符合 RFC 3161 标准的时间戳(可选)。
增强了对 SPML2.0 的支持。Identity Manager 支持搜索功能。此外,现在还支持审计日志记录。
更新了复选框、标签、单选按钮、选择、文本、文本区域和容器用户界面组件,以便正确呈现自定义 CSS 样式。以前,仅按钮元素显示自定义样式。(ID-15025)
现在,您可以在调试跟踪页上配置自定义类。(ID-15490)
如果选择了一个或多个用户并随后转至下一页,在执行多个用户操作时,不会再导致丢失这些选择内容。(ID-15529)
在 AuthnProperty name='password' XML 元素中指定 noTrim='true' 时,登录页不会删除密码输入框中的空格。您可以将 noTrim='true' 应用于任何其他 AuthnProperty。(ID-16434)
现在,可以在 customStyle.css 样式表中配置指导帮助图像的大小。(ID-17360)
通过添加新的自定义消息目录关键字 UI_VERSION,可以禁用通过悬停在“帮助”按钮上方在管理员界面中显示版本信息的行为。请在自定义消息目录中将该值设置为空字符串。(ID-17507)
最终用户面板页(主页)现在显示用户的全称,而不是 accountId。可通过自定义最终用户面板表单(而不是通过更改 JSP)来修改此设置。(ID-19006)
现在,您可以在系统配置对象的安全属性中设置一个名为 saveNoValidateAllowedFormsAndWorkflows 的 ID 列表。如果存在该列表,则 Identity Manager 仅允许将该列表中的表单和工作流作为 SaveNoValidate 操作处理。所有其他表单和工作流都将作为 Save 处理。如果不存在该列表,则行为将保持一致(即,可以将所有表单和工作流作为 SaveNoValidate 处理)。(ID-19115)
现在,批量操作可以在一个资源上为用户置备多个帐户。(ID-13160)
添加了从已配置为“只读”的资源(禁用了允许更新帐户的所有资源功能)中取消分配帐户或解除帐户链接(使用批量操作)的功能。请注意,只能使用批量操作完成此操作。以前,如果尝试从只读资源中取消分配帐户/解除帐户链接,将会返回一个错误,指示该资源不存在。(ID–19048)
添加了对批准工作项目进行分页的选项,以避免页面超时。(ID-18544) 现在,approval.jsp 页接受以下属性:
Paging。如果存在,则启用分页。
MaxRows。每页显示的行数
orderBy。排序参数
通过添加以下字段修改 WorkItemList 表单:
<Field name='PagingButtons'> <Display class='ButtonRow'> <Property name='align' value='right'/> </Display> <Disable> <not> <ref>viewOptions.Paging</ref> </not> </Disable> <Field name='action'> <Display class='Button'> <Property name='command' value='Recalculate'/> <Property name='label' value='<<'/> <Property name='value' value='first'/> </Display> </Field> <Field name='action'> <Display class='Button'> <Property name='command' value='Recalculate'/> <Property name='label' value='<'/> <Property name='value' value='previous'/> </Display> </Field> <Field name='action'> <Display class='Button'> <Property name='command' value='Recalculate'/> <Property name='label' value='>'/> <Property name='value' value='next'/> </Display> </Field> <Field name='action'> <Display class='Button'> <Property name='command' value='Recalculate'/> <Property name='label' value='>>'/> <Property name='value' value='last'/> </Display> </Field> </Field>
改进了多重批准工作流进程,以支持自动将 approvers 列表转换为用于生成批准工作项目的 approverObjects 列表。(ID-19238)
重新编排了 Sun Identity Manager 文档集。进行了以下主要更改:
已将管理一书重新编排为两本新书:业务管理员指南和系统管理员指南
已将调优、故障排除和错误消息一书中的内容挪到新的系统管理员指南中
部署工具一书中的 SPML 章节现在已放到新的 Web 服务指南中,并已将部署工具一书从文档集中删除
技术部署概述一书现已更名为部署指南
工作流、表单和视图一书现已更名为部署参考
文档集包含一本新书,标题为 Sun Identity Manager 概述
有关 Sun Identity Manager 图书标题的完整列表,请参见前言中的“相关图书”部分。
现在,对 Sun Identity Manager 出版物的更正和更新会发布到 Identity Manager Documentation Updates(Identity Manager 文档更新)网站上:
http://blogs.sun.com/idmdocupdates/
可以使用 RSS 订阅源读取器定期检查该网站,并在发布更新后通知您。要进行订阅,请下载订阅源读取器,并单击页面右侧“订阅源”下面的链接。从 8.0 版开始,将为每个主要发行版提供单独的订阅源。
数据库升级脚本添加了帐户表的 ownerId 列的索引。在升级具有很多帐户的安装时,要花很长时间处理数据库升级脚本,这是因为要针对较大的表创建新索引。(ID-19314)
解决了在升级期间出现内存不足异常的问题。以前,在升级期间,将 Java VM 最大堆大小硬编码为 256 MB。现已删除此硬编码值。(ID-19407)
现在,可以将 JAVA_OPTS 环境变量设置为自定义值。如果未提供任何值,则使用默认值 1024 MB。
要定义最大堆大小值,请使用 —Xmx HeapSize 格式设置 JAVA_OPTS 环境变量,其中 HeapSize 是一个值,如 512m。-Xmx512m 就是一个例子。
现在,从 PasswordSync 发送的电子邮件通知将 UTF-8 编码用于电子邮件的发件人姓名、主题和正文。按照电子邮件 RFC 的要求,所有其他标题部分均使用纯 ASCII 进行编码。(ID-14120)
请注意,可能无法在所有邮件客户端或所有操作系统上正确显示使用非 ASCII 字符的电子邮件通知。
现在,可以正确加密和解密包含空格的密码。(ID-17670)
如果要从 8.0-8.0.0.2、7.1.1-7.1.1.7 或 7.1 之前的版本进行升级,您必须重新安装 Password Sync 和网关的所有实例。
PasswordSync 现在支持 Windows Server 2008(32 位和 64 位版本)。(ID-18342)
在 Windows 注册表和安装程序 GUI 中添加了两个新设置,以允许在 PasswordSync 中配置证书行为。这些设置将替代过时的注册表设置 clientSecurityFlags 和 clientConnectionFlags。(ID-19140)
securityIgnoreCertRevoke。如果设置为 1,则忽略证书撤销错误。
securityAllowInvalidCert。如果设置为 1,则允许使用安全检查失败的证书。
扩展了 PasswordSync 内部检查,以防止在密码更改过程中传入可能导致崩溃的非法值。(ID-19291)
改进了 PasswordSync 安装程序,从而可以在安装期间将配置参数记录到文件中。将来的安装可以引用该文件并重新应用这些配置设置。这允许以静默方式安装和配置后续 PasswordSync 安装。(ID-19311)
访问验证高速缓存时不再发生死锁。(ID-16926)
提高了“创建用户”和“编辑用户”页中的性能。(ID-17066)
默认情况下,在确定管理员是否具有将工作项目委托给用户的权限之前,Identity Manager 不再检查组织中的所有用户。要恢复以前的默认行为,请在 account/modify.jsp 文件中添加以下语句。
req.setOption(DelegateWorkItemsViewer.OP_CALL_DELEGATORS_AVAILABLE_USERS,"true");
如果在 DelegateWorkItemsViewer 中将 OP_CALL_DELEGATORS_AVAILABLE_USERS 设置为 true,Identity Manager 将搜索用户以检查管理员是否具有查看用户的权限。
现在,对于具有动态分配规则管理员角色的用户,将在登录期间以参数形式传递用户的上下文。(ID-17964)
当分配的资源定义了显示名称属性,而不是 accountId 时,登录到 Identity Manager 用户界面期间,将会提高性能。(ID-18885)
添加了“下一个”密码策略。在此策略中,如果用户的回答不正确,Identity Manager 将显示下一个问题,直至用户正确回答了验证问题并登录或者根据指定的失败尝试次数限制锁定用户为止。(ID-17307)
现在,可以本地化违规摘要报告的违规状态内容。(ID-17011、17042)
现在,可以按横向和纵向(默认)生成报告。此外,还可以将页面大小指定为 Legal 和 Letter(默认)。(ID-17649)
现在,Identity Manager 支持将 MySQL 5.0.60SP1 Enterprise Server 作为生产系统信息库。(ID-17735、19703)
现在,您可以将 MySQL 5.1.30 Enterprise Server 用作 Identity Manager 生产系统信息库,但可能需要更改您的 my.cnf 文件。由于 MySQL 的 InnoDB 代码最近发生的更改,默认二进制日志记录格式现在为 STATEMENT。Identity Manager 使用 READ-COMMITTED 事务隔离级别,因此,STATEMENT 模式下的二进制日志记录会生成类似于以下内容的错误:(ID-20460)。
com.waveset.util.IOException: java.sql.SQLException: Binary logging not possible. Message: Transaction level 'READ-COMMITTED' in InnoDB is not safe for binlog mode 'STATEMENT' |
如果启用二进制日志记录,请在 my.cnf 文件中添加以下行,以将该模式设置为 MIXED:
binlog_format=mixed |
通过进行这种配置更改,您可以将 5.1.30 用作系统信息库,而不会发生二进制日志记录异常。有关更多详细信息,请参见 MySQL 错误 #40360。
更改了 Identity Manager 系统信息库以应对 MySQL 缺陷 9021。现在,系统信息库的 MysqlDataStore 将为每种属性条件生成单独的命名 JOIN。(以前,在某些情况下,MysqlDataStore 使用 SUBSELECT 和 EXISTS 谓词。)(ID-15636)
更新了 setRepo 命令的使用情况输出。现在,该使用情况将 -o 作为选项列出,并说明 -o 导致 setRepo 不在新的系统信息库位置执行初始化检查。现在,该使用情况还在直接 JDBC 连接示例中显示 -U 和 -P 标志。(ID-19475)
现在支持 Netegrity SiteMinder 6.0。要使适配器正常工作,必须正确配置 SiteMinder 的 PolicyServer 和 WebAgent。(ID-6478)
现在,Active Directory 资源适配器提供了“主目录权限”资源属性,该属性控制主目录的权限继承和权限级别。默认值为 0。值为 0 表示不继承权限,并且用户具有 FULL 控制权限。值为 1 表示继承权限,并且用户具有 FULL 控制权限。值为 2 表示不继承权限,并且用户具有 MODIFY 控制权限。值为 3 表示继承权限,并且用户具有 MODIFY 控制权限。MODIFY 控制包含以下权限:FILE_GENERIC_WRITE、FILE_GENERIC_READ、FILE_EXECUTE 和 DELETE。(ID-12881、19706)
现在,数据库表资源适配器可以处理映射到 accountId 属性并具有整数数据类型的数据库列。(ID-13362)
现在,LDAP 资源适配器仅在预定义的基本上下文中同步条目。(ID-15389)
在 LDAP 资源适配器中添加了“遵守资源密码策略重置后更改”资源参数。如果启用了此选项,在登录模块中指定了此资源并将资源的密码策略配置为在重置后更改,则以管理方式重置资源帐户密码的用户需要在成功验证后更改该密码。(ID-16255)
此发行版中,此行为仅适用于返回“Netscape 密码到期”(未经请求的)响应控制 (OID 2.16.840.1.113730.3.4.4) 以及成功绑定操作响应的 LDAP 服务器。成功绑定尝试与该控制的组合可以理解为,已经通过管理方式重置了用户的密码,并且必须更改该密码。实现了密码策略重置后更改功能的 LDAP 服务器仅允许重置了密码且成功验证的用户更改该密码;将拒绝任何其他操作。
此外,由于 Identity Manager 使用 LDAP 资源管理员帐户执行传递验证以外的所有 LDAP 资源操作,因此,某些 LDAP 服务器将任何用户的密码修改尝试均视为管理重置,而永远不会从用户帐户中清除该状态。此类 LDAP 服务器包括:
配置为将 rootDN(通常为 cn=directory manager)用作资源适配器连接帐户的 Sun Java Systems Directory Server 5.x
具有 passwordNonRootMayResetUserpwd:on 设置的 Sun Java Systems Directory Server 5.2。
Sun Java Systems Directory Server 6.0 和更高版本(包括 OpenDS)
现在,Domino 资源适配器支持置备 ObjectType 的组,这些 ObjectType 实现了 ObjectFeatures 的创建、删除、列出、重命名、另存为和更新。(ID-16422)
SecurId 资源适配器支持帐户重命名。(ID-16517)
更新了 SAP 资源适配器,以便通过更强健的方式处理 CUA。通过对表单和代码进行的全新更改,Identity Manager 用户可以按 SAP 用户更改 CUA 子系统以及这些子系统的角色和配置文件。(ID-16819)
更改了 profiles 和 activityGroups 帐户属性的特征。现在,这两个属性都具有复杂数据类型。profiles 属性现在映射到 PROFILES 资源用户属性;而 activityGroups 属性现在映射到 ACTIVITYGROUPS 资源用户属性。
请加载 $WSHOME/web/sample/updateSAPforCUA.xml 文件,以便在 SAP 资源适配器上更新这些更改。新的 SAP 资源将包含这些属性,除非您通过复制尚未更新的现有资源来创建该资源。
Identity Manager 现在检测并捕获 Domino 拒绝服务错误。(ID-16911)
支持 WRQ Attachmate 用于 Sun 的 3270 主机适配器。有关设置此产品的详细信息,请参阅资源参考。(ID-17031)
Linux 资源支持使用 sudo 来管理 /usr/bin/chage 命令。(ID-17119)
增加了对 Lotus Notes/Domino 8.0 的支持。(ID-17213)
现在,脚本化网关适配器支持密码同步。(ID-17813)
现在,Oracle ERP 资源适配器允许 EMPLOYEE_NUMBER 包含字母字符和数字字符。(ID-18239)
现在,OS400 资源适配器支持密码中包含特殊字符。(ID-18412)
添加了 RACF 不区分大小写排除资源帐户和 RACF_LDAP 不区分大小写排除资源帐户示例排除规则。这些规则是在 sample/wfresource.xml 文件中定义的。
更新了 MySQL 资源适配器,以便从 JdbcResourceAdapter 中进行继承。将自动更新现有的 MySQL 资源属性。(ID-18835)
重新支持了 Windows NT 资源适配器。该适配器不再过时。(ID-19170)
LDAP 资源适配器具有一个新的“使用分页结果控制”配置参数。如果启用此参数(默认情况下处于禁用状态),Identity Manager 将对协调中的帐户迭代器使用分页结果控制而不是 VLV 控制。只要 LDAP 资源适配器支持简单分页控制,就可以使用“使用分页结果控制”配置参数提高性能。(ID-19231)
在 SAP HR 适配器中添加了“要从 SAP HR 中读取的对象类型”资源参数,以允许处理来自 SAP HR 的组织 IDOC。这是一个多值属性,当前支持 "P"、"CP"、"S"、"C" 和 "O"。(ID-19286)
现在,OracleERP 资源适配器支持一个选项,它禁止 Identity Manager 将管理员用户的模式标识符(如 APPS)添加到 Oracle EBS 管理表名称(如 FND_USER 和 FND_VIEWS 等)的前面。此选项是通过具有“不使用模式标识符”显示名称的新资源属性提供的,其默认值为 FALSE。如果将该值更改为 TRUE,则该适配器无法再将模式标识符添加到管理表名称的前面。(ID-19352)
现在,Active Directory 适配器支持 inetOrgPerson 对象类以及从用户对象类派生的其他对象类。(ID-19399)
在 LDAP 适配器中添加了“保留 LDAP 组成员资格”参数,以控制在重命名或删除用户时由 Identity Manager 还是 LDAP 资源负责保留 LDAP 组成员资格。(ID-19463)
在 Shell 脚本资源适配器中添加了 ERROR_CODE_LIMIT 资源参数。可以使用此参数来确定哪种返回码是错误。(ID-19858)
现在,SecurId 适配器支持以下功能:(ID-18665、18671、18672、18673、18676、18677、19726)
编辑用户的名字、姓氏和缺省 shell。
从 ACE 服务器中提取所有有效的 ACE 组
搜索 ACE 组并返回该组中的所有用户。
从 ACE 服务器中提取所有定义的 ACE 代理的列表。
显示在 ACE 代理上激活的所有组。
提取所有管理员及其管理级别。
现在,网关支持在与 Identity Manager 服务器通信时使用采用 128 位、192 位和 256 位密钥的 AES 加密器。(ID-19738)
现在,当管理员角色控制动态组织并且通过“查找用户”页编辑用户时,Identity Manager 可识别通过管理员角色进行的用户表单分配。(ID-18028)
可以在升级期间指定 RoleUpdater 的可选 noroleconfigurationupdate 参数,以绕过修改 RoleConfiguration 对象以指示是否允许将 8.0 之前的角色直接分配给用户的过程。如果将该值设置为 "true",则会绕过查看是否需要进行此更改的测试。(ID-18483)
现在,所有 RoleAttribute 逻辑都不区分大小写。(ID-18766)
现在,报告结果可供主体的组织和管理员角色使用。(ID-19736)
IDM 8.1 支持几个新的加密选项。(ID-16979、17789)
对于服务器加密密钥的加密,添加了对基于使用 256 位密钥的 AES(ECB 模式)的 PBE 的支持。该新选项类似于基于 DES 机制的现有 PBE,但它将 AES 用作底层加密器。
对于系统信息库和网关通信中的数据,添加了对使用 128 位、192 位和 256 位密钥的 AES(ECB 模式)的支持。
还更改了“管理服务器加密”任务以适应该新功能。
正如管理员指南中详细介绍的那样,某些新选项需要执行额外的安装和/或配置步骤。
为基于“忘记密码”安全问题的登录添加了新的“登录恢复”验证替代方法。(ID-18052)
现在,Identity Manager 支持以 XMLDSIG 格式签名的批准。以前,以专用格式将签名的批准存储在 Identity Manager 审计日志中。此增强功能允许使用符合 XMLDSIG 标准的格式存储此类批准记录,从而提供了更好的互操作性。还支持包含从外部时间戳机构检索的、符合 RFC 3161 标准的数字时间戳的功能。(ID-19011)
在启用传递验证后,当用户的资源密码到期并且 Identity Manager 帐户 ID 与资源帐户 ID 不同时,更改密码功能仍可以正常工作。(ID-19218)
修复了多个跨站点请求伪造 (Cross-Site Request Forgery, CSRF) 漏洞。(ID-19280、19659、19660、19661、19683、20072)必须手动更新对 includes/headStartUser.jsp 和 user/userHeader.jsp 文件进行的任何自定义操作。
提高了动态组织的性能。Waveset.properties 文件现在包含几个属性,它们定义了规则驱动成员列表的缓存方式。(ID-19586)
您可以配置服务提供者最终用户页面,以强制服务器始终使用 HTTPS 处理页面请求。(ID-18509)