本节包含 《Sun Identity Manager Deployment Guide》的新信息和文档更正内容。
《Sun Identity Manager Deployment Guide》中的“Adding Localization Support for the WIC”介绍了如何使用其他语言在“数据导出器类型配置”页中显示导出模式字符串。不过,这些说明应指出只有不使用正式支持语言的客户必须执行这些步骤。正式支持的语言包括:简体中文、繁体中文、韩语、日语、德语、西班牙语、法语、意大利语和巴西葡萄牙语。(ID-19264)
本地化 jar 文件(包含本地化的 WICMessages.properties 文件)与 Identity Manager 8.1 位于同一软件包中。如果使用本地化的 Identity Manager 系统,则可以查看本地化的 WICMessages.properties 消息。例如,您可以在具有 lang=ja 设置的浏览器中访问 Identity Manager 管理员界面 URL。
此外,本节中使用的示例也不太合适。由于德语是支持的语言,因此,德语客户不需要执行本节中的步骤。
本指南缺少有关登录错误代码的以下说明:(ID-5657)
Identity Manager 提供了以下错误代码,自定义代码可以检查这些代码以确定登录状态。实际字符串值是括号中的数值(如 101 或 102)。Constants.java 文件包含以下错误代码:
LIGHTHOUSE_USER_NOT_FOUND = 101; LIGHTHOUSE_AUTHN_FAILED = 102; RESOURCE_AUTHN_SUCCESSFUL = 104; RESOURCE_AUTHN_FAILED = 108; X509_CERT_NOT_FOUND = 110; END_USER_ATTEMPTED_LOGIN_TO_ADMIN_APP = 120; LIGHTHOUSE_USER_DISABLED = 140; LIGHTHOUSE_USER_LOCKED = 180;
系统配置对象说明应包含有关下列属性的以下信息:
ProvisioningDisabledUserShouldThrow – 如果设置为 true,则任何向资源置备已禁用用户的尝试都将被禁止并产生错误。如果未将该属性设置为 true,仍会禁止该置备操作,但不会产生错误。(ID-20064)
security.delegation.historyLength – 控制记录的先前委托数。(ID-13331)
runPasswordLoginOnSuccess – 如果设置为 true,在用户通过回答验证问题成功登录时,Identity Manager 将运行密码登录工作流。该属性的默认值为 false。(ID-10030)
PasswordSyncThreshold - 如果为某个资源启用了密码同步,并且 Identity Manager 还可以为该资源启动密码更改,则可以使用此设置来帮助阻止环回密码更改。(ID-7887) 在从 Identity Manager 中启动密码更改时,它将在资源上设置密码,并且 PasswordSync 库会向 Identity Manager 通知更改情况。然后,Identity Manager 将用户对象上的 lastPasswordDate 与当前时间进行比较。如果该差值小于 PasswordSyncThreshold,Identity Manager 将忽略密码更改。这样,便可适当忽略多余或不必要的密码更改。
PasswordSyncResourceExcludeList - 列出应始终从同步中排除的资源名称。(ID-3275)
process.handleNativeChangeToAccountAttributes – 如果设置为 true,则启用属性值审计。默认情况下,此属性处于禁用状态。(注意:这会为协调进程和置备程序启用属性值审计。)(ID-3275)
sources.subject – 为被指定为源适配器任务所有者的管理员指定登录名。(ID-19694)
sources.host – 指定运行源适配器任务的服务器。
security.saveNoValidateAllowedFormsAndWorkflows – 列出将作为 SaveNoValidate 操作处理的表单和工作流的 ID。所有其他表单和工作流都将作为 Save 处理。如果不存在该列表,则对于所有表单和工作流,行为将保持一致(将所有表单和工作流作为 SaveNoValidate 处理)。(ID-19474)
数据导出器提供了一种方法,可定期将 Identity Manager 管理或已处理的数据导出到一组 DBMS 表中,以进一步进行处理。导出过程允许进行自定义,某些自定义可能需要手动干预才能正常运行。适当保留和更新了与数据导出器有关的 Identity Manager 配置对象。不过,某些导出器自定义是在 Web 应用程序的文件中完成的,这些自定义需要进行特殊处理。
在升级过程中,Identity Manager 将覆盖 $WSHOME 和 $WSHOME/exporter 目录中所有未修改的数据导出器文件。如果更改了任何数据导出器文件,则升级过程将在原地保留修改的版本,并在 $WSHOME/patches/Identity_Manager_8_1_0_0_ Date/filesNotInstalled 中安装新版本的文件。如果要将新功能与自定义合并在一起,您必须手动执行此操作。
请注意,通常会自定义 $WSHOME 中的以下文件:
model-export.dtd model-export.xml model-export.xsl exporter/exporter.jar exporter/create_warehouse.* exporter/drop_warehouse.* exporter/hbm/*.hbm.xml
根据您是否在 8.0 中自定义了数据导出器以及您对于 8.1 中数据导出器的规划,必须执行的升级步骤会有所不同
如果为 8.0 自定义了数据导出器并且要实现 8.1 功能:
删除仓库模式。
升级 Identity Manager。
在 $WSHOME/exporter 目录中使用新的 DDL 重新创建模式。
任何模式升级脚本均不允许使用原有数据修改模式。因此,如果您需要保留数据,则必须导出该数据,然后再将其导入。8.1 仓库模式是与以前版本兼容的表格和字段,但 8.1 添加了新表格并在现有表格中添加了新字段。此外,还更改了字段顺序。因此,您的导出必须是仅限数据的导出,而不是 DDL 和数据导出。
将自定义与新的 8.1 导出器文件合并在一起。如果自定义了 model-export.xml,请重新生成 exporter.jar 文件。
加载新的仓库模式。
如果为 8.0 自定义了数据导出器并且不想实现 8.1 功能:
您可以升级到 8.1,而不执行任何其他步骤。不过,如果升级到 8.1 导出器,但未升级仓库 DDL,“仓库配置”页将显示一条错误消息,指出 EXT_ADMINGROUP 表丢失。这表明部署了新的 8.1 对象,但仍加载了旧 8.0 仓库 DDL。
如果没有为 8.0 自定义数据导出器并且不打算实现 8.1 功能:
删除仓库模式。
升级 Identity Manager。
加载新的仓库模式。
仓库中的数据将保留不变。如果自定义了 model-export.xml,则不需要更改 DDL。如果未自定义 model-export.xml,则必须加载新的 DDL。
在安装 8.1 后,如果部署了 8.1 版的 model-export.xml,可通过查看以下位置中的模式文件来查看新的数据类型和属性:http://server: port/idm/model-export.xml。新的类型和属性将带有 8.1 版本号标记。