「Identity Manager 8.1 版本說明」的本部分提供下列相關資訊:
本節包含 Identity Manager 8.1 所提供之新功能的其他相關資訊,分為以下小節:
自 Identity Manager 7.1 Update 1 發行版本開始,我們均透過修補程式程序提供更新 (其中包含對客戶回報的主要及重大錯誤的修正),此程序替代了舊有的 hot-fix 方式。
所開發及測試的修補程式每六週發行一次。這些修補程式均有 GUI 安裝程式及手動安裝選項,會更新 /WEB-INF/lib 中的檔案。修補程式版本說明中附有修補程式的安裝說明,以 PDF 格式發行。所有對閘道或 Password Sync 的修正均說明於版本說明中,並須安裝修補程式予以更新。
Identity Manager 修補程式具有累積性,因此利用其獨特的修正,不會出現太多問題。安裝或升級至重大或次要發行版本時,應規劃要更新為最新的修補程式層級。例如,若在安裝或升級至 8.1 時可取得修補程式 3,您應於安裝或升級至 8.1 後,套用修補程式 3。因為修補程式 3 包含先前修補程式的所有功能,所以不必安裝修補程式 1 及 2。
修補程序讓您利用修正的實際錯誤編號,使追蹤修正更為容易。但新版仍有可能不提供針對舊版所製作的修正。無論現有的 Identity Manager 版本遵循何種程序,您都必須確認新的 Identity Manager 目標版本包含所需之全部錯誤修正。
發行新的修補程式時,所有的客戶支援皆會接獲通告。透過客戶支援即可取得修補程式。請連絡位於 http://www.sun.com/service/online/us 的 Sun 客戶支援,以取得可用的最新修補程式。
Identity Manager 8.1 提供的主要新功能如下:
針對在企業中未透過資源配接卡直接連線至 Identity Manager 的應用程式,Identity Manager 可利用此功能管理這些應用程式的佈建與稽核作業。這包含非數位的外部資源,例如筆記型電腦、行動電話及安全性標記。透過 Identity Manager 佈建外部資源後,系統會經由電子郵件或 Remedy Help Desk 6.3 通知,通知一個或多個佈建程式。
連接器架構提供一種新的方法,以透過使用連接器將 Identity Manager 連線至目標應用程式。Identity 連接器與架構是一種開放原始碼技術的一部分,可提供一致的通用方法來使用 Identity Manager 佈建資源。連接器已從核心 Identity Manager 伺服器分離出來,現可與 Identity Manager 建置分別發行。除了開放原始碼專案網站上有其他連接器可供下載之外,Identity Manager 還隨附下列支援的連接器:
Microsoft Active Directory 2003 與 2008
SPML 2.0
如需更多資訊,請造訪開放原始碼專案網站 https://identityconnectors.dev.java.net/。
近期將增加更多連接器。
此整合專注在 Sun Role Manager 4.1.3 版及較新版本。Identity Manager 表單現在可直接呼叫 Role Manager Web 服務,以通知並呼叫對使用者執行的角色作業。Identity Manager 資料匯出程式已允許 Role Manager 擷取 Identity Manager 的使用者與角色;而最新的 8.1 資料匯出程式現在還提供:
可改善使用者勘察的權能資訊。
將在未來 Sun Role Manager 版本中使用的資源模式。
Identity Manager 使用 JMX MBean 提供 List、Create、Get、Modify、Delete 與 Authenticate 作業的效能資料。收集到的資料如下:
作業數
每項作業的平均移動時間
每項作業的最短時間
每項作業的最長時間
開始收集的時間
資源配接卡類別與版本
Identity Manager 支援進階加密標準。AES 是可用於替代資料加密標準 (DES) 的對稱式金鑰加密技術。政府機構一般運用 AES 來保護資料。
此功能提供一種使用 W3C XML 簽名語法及處理 (XMLDSig) 的標準不可否認性機制。此增強功能可使用 XMLDSig 格式建立、儲存及顯示工作項目核准。此格式也可允許包含 RFC 3161 相容的時間戳記 (此為選擇性功能)。
已增強對 SPML2.0 的支援。Identity Manager 支援搜尋權能。此外,現已支援稽核記錄。
已更新 Checkbox、Label、Radio、Select、Text、TextArea 與 Container 使用者介面元件,以正確顯示自訂 CSS 樣式。以前只有 Button 元素可顯示自訂樣式。(ID-15025)
現在,您可在除錯追蹤頁面上配置自訂類別。(ID-15490)
在執行針對多個使用者的動作時,先選取一個以上使用者然後再前往下一頁,將不再導致您失去這些已選取的使用者。(ID-15529)
當您在 AuthnProperty name='password' XML 元素中指定 noTrim='true' 時,[登入] 頁面不會從密碼輸入方塊中移除空格。您可以對其他任何 AuthnProperty 套用 noTrim='true'。(ID-16434)
現在可在 customStyle.css 樣式表中配置指導說明影像的大小。(ID-17360)
透過新增自訂訊息目錄鍵值 UI_VERSION,可以停用將滑鼠停留在 [說明] 按鈕上方以在管理員介面中顯示版本資訊的功能。請在自訂訊息目錄中將此值設為空字串。(ID-17507)
一般使用者面板頁面 (首頁) 現在會顯示使用者的全名,而不是帳號 ID。您可透過自訂一般使用者面板表單而不是變更 JSP 來修改此設定。(ID-19006)
您現在可在系統配置物件的安全性屬性中,設定稱為 saveNoValidateAllowedFormsAndWorkflows 的 ID 清單。如果有此清單,Identity Manager 只會允許將此清單中的表單與工作流程當作 SaveNoValidate 動作來處理。而系統會將其他所有表單與工作流程當作 Save 來處理。如果沒有此清單,運作方式將會保持一致 (亦即將所有表單與工作流程當作 SaveNoValidate 來處理)。(ID-19115)
批次處理作業現在可在一個資源上為多個帳號的使用者進行佈建。(ID-13160)
針對配置為「唯讀」(停用所有允許帳號更新的資源功能) 的資源,已增加從此類資源 (使用批次處理作業) 取消指定或解除連結帳號的功能。請注意,必須使用批次處理作業才可實現此功能。以前當嘗試從唯讀資源取消指定/解除連結帳號時,會傳回錯誤指出該資源不存在。(ID–19048)
頁面核准工作項目中已增加避免頁面逾時的選項。(ID-18544) approval.jsp 頁面現在接受下列特性:
Paging。若有的話,則會啟用分頁。
MaxRows。每頁上顯示的列數
orderBy。排序參數
可增加下列欄位來修改 WorkItemList 表單:
<Field name='PagingButtons'> <Display class='ButtonRow'> <Property name='align' value='right'/> </Display> <Disable> <not> <ref>viewOptions.Paging</ref> </not> </Disable> <Field name='action'> <Display class='Button'> <Property name='command' value='Recalculate'/> <Property name='label' value='<<'/> <Property name='value' value='first'/> </Display> </Field> <Field name='action'> <Display class='Button'> <Property name='command' value='Recalculate'/> <Property name='label' value='<'/> <Property name='value' value='previous'/> </Display> </Field> <Field name='action'> <Display class='Button'> <Property name='command' value='Recalculate'/> <Property name='label' value='>'/> <Property name='value' value='next'/> </Display> </Field> <Field name='action'> <Display class='Button'> <Property name='command' value='Recalculate'/> <Property name='label' value='>>'/> <Property name='value' value='last'/> </Display> </Field> </Field>
已增強多重核准工作流程程序,可支援將 approvers 清單自動轉換為用於產生核准工作項目的 approverObjects 清單。(ID-19238)
Sun Identity Manager 文件集已經過重新編排。所做的重大變更如下:
「管理」一書已重新編排為兩本新書:「Business Administrator's Guide」與「System Administrator's Guide」
「調校、疑難排解和錯誤訊息」一書的內容已移至新的「System Administrator's Guide」
「部署工具」一書的 SPML 章節現在位於新的「Web Services Guide」,而「部署工具」一書已從文件集中捨棄。
「Technical Deployment Overview」一書現在更名為「Deployment Guide」
「Workflows, Forms, and Views」一書現在更名為「Deployment Reference」
文件集包含了新標題:「Sun Identity Manager Overview」
如需完整的 Sun Identity Manager 標題清單,請參閱「前言」的「相關叢書」一節。
Sun Identity Manager 出版物的校正與更新目前公佈於 Identity Manager Documentation Updates 網站:
http://blogs.sun.com/idmdocupdates/
您可使用 RSS 摘要讀取程式定期檢查此網站,並在有更新可用時通知您。若要訂閱,請下載摘要讀取程式,然後按一下頁面右側 [Feeds] 下的連結。自 8.0 版開始,針對每個重大發行版本均會單獨提供摘要。
資料庫升級程序檔會將索引增加至帳號表格的 ownerId 欄。具有許多帳號的安裝升級作業需要大量的時間來處理資料庫升級程序檔,這是由於在大型表格上建立新索引所致。(ID-19314)
已修正升級期間出現記憶體不足異常的問題。以前在升級期間,Java VM 最大堆疊大小是以硬式編碼的方式設為 256 MB。現已移除此硬式編碼的值。(ID-19407)
現在可將 JAVA_OPTS 環境變數設為自訂值。如果未提供任何值,則會使用預設值 1024 MB。
若要定義堆疊大小的最大值,請使用 —Xmx HeapSize 格式設定 JAVA_OPTS 環境變數,其中 HeapSize 是一個值,例如 512m。-Xmx512m 即為一例。
從 PasswordSync 傳送的電子郵件通知現在使用 UTF-8 編碼的電子郵件寄件者名稱、主旨及內文。其他所有標頭部分則會依電子郵件 RFC 的規定使用 ASCII 純文字編碼。(ID-14120)
請注意,可能無法在所有郵件用戶端或所有作業系統上正確顯示使用非 ASCII 字元的電子郵件通知。
現在可正確加密及解密包含空格的密碼。(ID-17670)
如果您從 8.0 至 8.0.0.2、7.1.1 至 7.1.1.7 或 7.1 之前的版本升級,則必須重新安裝 Password Sync 與閘道的所有實例。
PasswordSync 現在支援 Windows Server 2008 (32 位元與 64 位元版本)。(ID-18342)
Windows 登錄與安裝程式 GUI 中已增加兩項新設定,可配置 PasswordSync 中憑證的運作方式。這些設定替代已停用的登錄設定 clientSecurityFlags 與 clientConnectionFlags。(ID-19140)
securityIgnoreCertRevoke。如設為 1,則忽略憑證撤銷錯誤。
securityAllowInvalidCert。如設為 1,則允許安全性檢查失敗的憑證。
已延伸 PasswordSync 的內部檢查,可避免在變更密碼時傳入非法的值而導致當機。(ID-19291)
PasswordSync 安裝程式已增強為允許在安裝期間將配置參數記錄至檔案。未來的安裝作業可參照該檔案,並再次套用這些配置設定。這樣就能無訊息地安裝及配置所有後續的 PasswordSync 安裝。(ID-19311)
在存取認證快取期間,不再發生死結。(ID-16926)
已改善 [建立與編輯使用者] 頁面上的效能。(ID-17066)
預設情況下,Identity Manager 在決定管理員是否有權委託工作項目給使用者之前,不再檢查組織中的所有使用者。若要復原為先前預設的運作方式,請將下列陳述式增加至 account/modify.jsp 檔案。
req.setOption(DelegateWorkItemsViewer.OP_CALL_DELEGATORS_AVAILABLE_USERS,"true");
如果 DelegateWorkItemsViewer 中的 OP_CALL_DELEGATORS_AVAILABLE_USERS 設為 true,則 Identity Manager 會搜尋所有使用者,以檢查管理員是否有權查看使用者。
如果使用者具有的管理員角色是透過規則以動態方式指定,則現在會將該使用者的環境當作引數在登入時傳遞。(ID-17964)
當指定的資源除了已定義的帳號 ID 之外還具有顯示名稱屬性時,登入 Identity Manager 使用者介面期間的效能已得到改善。(ID-18885)
已增加「下一個」密碼策略。在此策略中,如果使用者的答案不正確,Identity Manager 會顯示下一則問題,直到使用者正確回答認證問題並登入,或者因達到指定的失敗嘗試次數限制而遭到鎖定為止。(ID-17307)
現在可本土化違規摘要報告的違規狀態內容。(ID-17011、17042)
現在除了預設的直向方向之外,還能以橫向方向產生報告。此外,除了預設的 Letter,還可將頁面大小指定為 Legal。(ID-17649)
Identity Manager 現在支援將 MySQL 5.0.60 SP1 Enterprise Server 作為生產儲存庫。(ID-17735、ID-19703)
現在您可使用 MySQL 5.1.30 Enterprise Server 作為 Identity Manager 生產儲存庫,但可能需要變更您的 my.cnf 檔案。由於 MySQL 的 InnoDB 程式碼最近有所變更,所以現在預設二進位記錄格式為 STATEMENT。Identity Manager 使用 READ-COMMITTED 作業事件隔離層級,因此使用 STATEMENT 模式的二進位記錄會產生類似如下的錯誤:(ID-20460)。
com.waveset.util.IOException: java.sql.SQLException: Binary logging not possible. Message: Transaction level 'READ-COMMITTED' in InnoDB is not safe for binlog mode 'STATEMENT' |
如果您啟用二進位記錄,請將下行增加至您的 my.cnf 檔案,以將模式設為 MIXED。
binlog_format=mixed |
透過此配置變更,即可使用 5.1.30 作為儲存庫,而不會發生二進位記錄異常。如需詳細資訊,請參閱 MySQL 錯誤 #40360。
為解決 MySQL 缺陷 9021,Identity Manager 儲存庫有所變更。現在儲存庫的 MysqlDataStore 會為每個屬性條件單獨產生具名的 JOIN。(以前在某些情況下,MysqlDataStore 會使用 SUBSELECT 與 EXISTS 述語。)(ID-15636)
已更新 setRepo 指令的使用情況輸出。現在使用情況會列出 -o 選項,並說明 -o 導致 setRepo 無法對新的儲存庫位置執行初始化檢查。使用情況現在也會在直接 JDBC 連線範例中顯示 -U 與 -P 旗標。(ID-19475)
現在支援 Netegrity SiteMinder 6.0。配接卡若要正常運作,則必須為 SiteMinder 適當配置 PolicyServer 與 WebAgent。(ID-6478)
現在 Active Directory 資源配接卡提供 [主目錄權限] 資源屬性,可控制主目錄的權限繼承性與權限等級。預設值為 0。值為 0 表示將不會繼承,且使用者的權限為 FULL 控制。值為 1 表示將會繼承權限,且使用者的權限為 FULL 控制。值為 2 表示將不會繼承權限,且使用者的權限為 MODIFY 控制。值為 3 表示將會繼承權限,且使用者的權限為 MODIFY 控制。MODIFY 控制包含下列權限:FILE_GENERIC_WRITE、FILE_GENERIC_READ、FILE_EXECUTE 及 DELETE。(ID-12881、19706)
資料庫表格資源配接卡現在可處理對映至帳號 ID 屬性且資料類型為整數的資料庫欄。(ID-13362)
LDAP 資源配接卡現在僅在預先定義的基底環境下同步化項目。(ID-15389)
LDAP 資源配接卡中已增加「遵守資源密碼策略 change-after-reset」資源參數。啟用此選項時,若在登入模組中指定此資源且將資源的密碼策略配置為 change-after-reset,則如果使用者的資源帳號密碼已由管理員重設,該使用者必須在成功認證之後變更此密碼。(ID-16255)
本發行版本中,只有未經要求便在回應成功連結作業時傳回「Netscape 密碼過期」回應控制項 (OID 2.16.840.1.113730.3.4.4) 的 LDAP 伺服器,才適用此運作方式。成功的連結嘗試與該控制項同時發生則表示使用者的密碼已由管理員重設,因此必須予以變更。實作密碼策略 change-after-reset 功能的 LDAP 伺服器,會讓成功認證且密碼遭到重設的使用者僅可變更該密碼,其他任何作業都將遭到拒絕。
此外,由於 Identity Manager 會使用 LDAP 資源管理員帳號執行包括傳遞認證在內的所有 LDAP 資源作業,因此部分 LDAP 伺服器會將任何使用者的密碼修改嘗試視為管理員重設,且一律不從使用者帳號清除該狀態。這類 LDAP 伺服器包括:
配置為使用 rootDN (通常 cn=directory manager) 作為資源配接卡連線帳號的 Sun Java Systems Directory Server 5.x
設為 passwordNonRootMayResetUserpwd:on 的 Sun Java Systems Directory Server 5.2
Sun Java Systems Directory Server 6.0 及較新版本 (包含 OpenDS)
Domino 資源配接卡現在支援群組佈建物件類型,實作建立、刪除、清單、重新命名、儲存及更新等物件功能。(ID-16422)
SecurId 資源配接卡支援重新命名帳號。(ID-16517)
SAP 資源配接卡已更新為以更牢固的方式來處理 CUA。透過新的表單與程式碼變更,Identity Manager 使用者即可根據每位 SAP 使用者來變更 CUA 子系統及這些子系統的角色與設定檔。(ID-16819)
profiles 與 activityGroups 帳號屬性的特性已變更。現在這兩個屬性都有複合資料類型。profiles 屬性現在對映至 PROFILES 資源使用者屬性,而 activityGroups 屬性現在對映至 ACTIVITYGROUPS 資源使用者屬性。
載入 $WSHOME/web/sample/updateSAPforCUA.xml 檔案以對您的 SAP 資源配接卡更新這些變更。除非您透過複製尚未更新的現有資源來建立資源,否則新的 SAP 資源會包含這些屬性。
Identity Manager 現在可偵測及捕捉 Domino 拒絕服務錯誤。(ID-16911)
支援適用於 Sun 的 WRQ Attachmate 3270 主機配接卡。如需設定此產品的詳細資訊,請參閱「資源參考」。(ID-17031)
Linux 資源支援使用模擬來管理 /usr/bin/chage 指令。(ID-17119)
已增加對 Lotus Notes/Domino 8.0 的支援。(ID-17213)
Scripted Gateway 配接卡現在支援密碼同步化。(ID-17813)
Oracle ERP 資源配接卡現在允許 EMPLOYEE_NUMBER 同時包含字母與數字字元。(ID-18239)
OS400 資源配接卡現在支援在密碼中使用特殊字元。(ID-18412)
已增加「RACF 大小寫不須相符排除的資源帳號」及「RACF_LDAP 大小寫不須相符排除的資源帳號」排除規則範例。在 sample/wfresource.xml 檔案中定義這些範例。
MySQL 資源配接卡已更新為繼承 JdbcResourceAdapter。現有的 MySQL 資源屬性將會自動更新。(ID-18835)
再次支援 Windows NT 資源配接卡,此配接卡已不再停用。(ID-19170)
LDAP 資源配接卡包含新的 [使用分頁結果控制項] 配置參數。當您啟用此參數時 (預設為停用),Identity Manager 會在調解中為帳號迭代器使用分頁結果控制項,而不是 VLV 控制項。只要您的 LDAP 資源配接卡支援簡單分頁控制項,即可使用 [使用分頁結果控制項] 配置參數改善效能。(ID-19231)
SAP HR 配接卡中已增加 [從 SAP HR 讀取的物件類型] 資源參數,以處理來自 SAP HR 的組織 IDOC。這個屬性可具有多個值,目前支援「P」、「CP」、「S」、「C」及「O」等值。(ID-19286)
OracleERP 資源配接卡現在支援一個可停用 Identity Manager 如下功能的選項:在 Oracle EBS 管理表格名稱 (如 FND_USER、FND_VIEWS 等) 之前,加上管理員使用者的模式識別碼 (如 APPS)。此選項透過具有 [不使用模式識別碼] 顯示名稱的新資源屬性提供,預設值為 FALSE。如果將此值變更為 TRUE,則配接卡將無法再於管理表格名稱之前加上模式識別碼。(ID-19352)
Active Directory 配接卡現在支援 inetOrgPerson 物件類別,以及源自此使用者物件類別的其他物件類別。(ID-19399)
LDAP 配接卡中已增加 [維護 LDAP 群組成員身份] 參數,可控制在重新命名或刪除使用者時,負責維護 LDAP 群組成員身份的是 Identity Manager 還是 LDAP 資源。(ID-19463)
Shell 程序檔資源配接卡中已增加資源參數 ERROR_CODE_LIMIT。此參數可讓您判定哪個回覆碼代表錯誤。(ID-19858)
SecurId 配接卡現在支援下列功能:(ID-18665、18671、18672、18673、18676、18677、19726)
編輯使用者的名字、姓氏及預設 shell。
從 ACE 伺服器擷取所有有效的 ACE 群組
在 ACE 群組上進行搜尋,並傳回該群組中的所有使用者。
從 ACE 伺服器擷取所有已定義的 ACE 代理程式清單。
顯示 ACE 代理程式上已啟用的所有群組。
擷取所有管理員及其管理層級。
針對與 Identity Manager 伺服器之間的通訊,閘道現在支援使用具有 128 位元、192 位元及 256 位元金鑰的 AES 密碼。(ID-19738)
當管理員角色控制動態組織且透過 [尋找使用者] 頁面編輯使用者時,Identity Manager 現在可辨識透過管理員角色進行的使用者表單指定。(ID-18028)
在升級期間可指定 RoleUpdater 的選擇性引數 noroleconfigurationupdate,以略過修改 RoleConfiguration 物件,此物件指示是否可以將 8.0 之前的角色直接指定給使用者。將此值設為 [true] 即可略過此測試,不再查看此變更是否必要。(ID-18483)
現在所有 RoleAttribute 邏輯區分大小寫。(ID-18766)
現在主體的組織及管理員角色可使用報告結果。(ID-19736)
IDM 8.1 支援數項新的加密選項。(ID-16979、17789)
針對伺服器加密金鑰的加密,已增加對 PBE 搭配使用 256 位元金鑰之 AES (ECB 模式) 的支援。此新的選項類似現有的 PBE 搭配 DES 機制,但使用 AES 作為基礎密碼。
針對儲存庫中的資料及閘道通訊,已增加對具有 128、192 及 256 位元金鑰之 AES (ECB 模式) 的支援。
為提供此項新功能,「管理伺服器加密」作業也有所變更。
其中一些新的選項需要額外的安裝及 (或) 配置步驟,如「管理員指南」中詳述。
已新增「登入回復」認證,此方式可作為「忘記密碼」安全性提問式登入的替代方案。(ID-18052)
Identity Manager 現在支援 XMLDSIG 格式簽署的核准。以前是以專用格式在 Identity Manager 稽核記錄中儲存簽署的核准。此增強功能可讓這類核准記錄以符合 XMLDSIG 標準的格式儲存,因而提供更佳的互通性。同時支援的功能還有:可以包含從外部時間戳記授權單位擷取之符合 RFC 3161 規範的數位時間戳記。(ID-19011)
啟用傳遞認證時,如果使用者的資源密碼已過期,並且 Identity Manager 帳號 ID 與資源帳號 ID 不同,變更密碼功能仍可正常運作。(ID-19218)
已修正多項跨網站冒名請求 (Cross-site Request Forgery, CSRF) 弱點。(ID-19280、19659、19660、19661、19683、20072) 必須手動更新任何對 includes/headStartUser.jsp 與 user/userHeader.jsp 檔案的自訂項目。
已改善動態組織的效能。Waveset.properties 檔案現在包含數個特性,可定義 [規則導向成員] 清單的快取方式。(ID-19586)
您可以對服務提供者的一般使用者頁面進行配置,以便強制您的伺服器一律使用 HTTPS 處理頁面請求。(ID-18509)
現在 Configurator 以外的管理員也可執行 SourceAdapterTask。(ID-15299) 若要指定不同的管理員,請將下行增加至系統配置物件:
<Attribute name='sources'> <Object> <Attribute name='hosts'/> <!-- any host is the default --> <Attribute name='subject' value='Configurator'/> </Object> </Attribute>
本節說明已在 Identity Manager 8.1 中修正的錯誤,相關資訊編排如下:
DatePicker 類別中已增加 tabindex 特性。(ID-15244)
按一下 [轉寄修正] 頁面上的 [...] 按鈕時,已不會在頁面上顯示無關的 [搜尋] 按鈕。(ID-17236)
編輯或更新使用者時,如果您嘗試指定尚未存在或缺少的 idmManager,不會再傳回錯誤。(ID-17339)
已移除 [建立存取掃描] 頁面上重複的「表示必填欄位」。(ID-17417)
與 MultiSelect 顯示元件相關的「按一下以集中」問題以及選取問題,已在 Mac OS X JRE 中修正。(ID-17938)
可登入多個介面的使用者使用相同的使用者憑證同時登入其他介面時,不會再登入錯誤的介面。(ID-18204、18506)
現在可順利完成從管理員介面取消佈建具有多個帳號的使用者。(ID-18314)
在 [等待核准] 頁面及其他包含工作項目表格的頁面上,如果在不選取工作項目的情況下按一下某個動作按鈕 (如 [核准] 或 [拒絕]),現在會顯示錯誤訊息。(ID-18472)
以前當管理員使用 [變更我的密碼] 面板變更其密碼時,管理員介面不會強制執行詰問選項。現已修正此問題。(ID-18578)
透過管理介面變更使用者密碼不會再產生不必要的「密碼不得為空」錯誤。(ID-18579)
以前當使用者提供使用者 ID 時,Identity/Lighthouse 登入模組中的 [忘記密碼] 選項會傳回下列錯誤:「缺少必填欄位「使用者 ID」的值」。現已在該模組中更正此問題。(ID-18939)
已修正透過 [尋找使用者] 表單查詢使用者角色的功能。(ID-18986)
已修正 UI 容器,現在巢式欄位可正確繼承必要特性與 noNewRow 特性。(ID-19040)
Identity Manager 現在會參照 ResourceUIConfig 物件中的 MaximumNumberOfChildrenPerNode (預設值為 100) 屬性以顯示節點層級。如果子節點的數目超過此值,則 Identity Manager 僅顯示前 100 個傳回的節點。(ID-19434)
已更正在動態組織中編輯使用者時所發生的無法回復錯誤。(ID-19519)
以前,當您移除使用者對作業權限的「修改」權限時,使用者再也無法選取作業,即使該使用者仍有「刪除」權限且需要選取作業以進行刪除亦然。現在即使移除了「修改」權限,作業清單使用者介面中還是會顯示核取方塊欄。(ID-19718)
現在當您啟用相對 URL 時,即可在使用者介面中顯示影像。(ID-19771、19868)
已修正查詢建立者,現在可在 [尋找使用者] 標籤中正確處理所有邏輯 AND。(ID-19898)
啟用系統配置物件中的 endableEndUserProcessDiagrams 旗標,即可在一般使用者介面上的結果頁面中檢視擱置的工作項目。(ID-19919)
現在稽核記錄事件報告會正確指出回應驗證時所使用的介面。(ID-16950)
當您在 Waveset.properties 檔案中將 xpress.traceFileOnly 選項設為 true 時,所有 XPRESS 陳述式評估都將在 xpress.traceFile 指定的檔案中產生追蹤訊息。xpress.traceFile 若具有值,則所有追蹤訊息都將同時重新導向至主控台及某個檔案。(ID-19748)
匯入/匯出管理員不再能查看原本就不該查看的管理頁面與標籤。(ID-19389)
未經授權的使用者現在無法修改系統配置物件。(ID-20224)
如果您在由工作流程呼叫的表單中設定了 sortColumn 值,將不再忽略該值。(ID-17781)
如果管理員目前有組織、角色或資源的「組織核准」、「角色核准」或「資源核准」委託,但失去對該物件的控制權,使用者 UI 中的 [委託] 頁面不會再顯示錯誤訊息。(ID-18951)
當 Identity Manager IDE 不知道自訂角色類型時,Identity Manager IDE 不會再修改角色的 primaryobjectclass。(ID-19672)
執行自訂角色類型的「顯示模式」作業時,不再於除錯頁面上傳回 NullPointerException。(ID-19686)
閘道與 Identity Manager 伺服器之間的登錄機碼交換,不會再因為執行閘道的電腦沒有該閘道的機碼而失敗。(ID-17137)
以前在閘道關機期間會報告一則實際並不存在的錯誤,這一問題現已解決。但也因此,現在系統會將啟動與關機期間編寫的訊息,在開啟追蹤時寫入閘道追蹤記錄,或在關閉追蹤時寫入主控台。(ID-19310)
系統現在可記錄用戶端的 IP 位址,而不是傳送請求之負載平衡器的 IP 位址。(ID-17774)
Identity Manager 追蹤記錄現在會先填滿已配置的追蹤記錄檔數目上限,再開始覆寫現有的記錄檔。(ID-19102)
[活動報告] 頁面現在使用 [訊息] 欄位,顯示任何有關稽核事件的其他資訊。(ID-19257)
在舊版中,發生資源帳號佈建失敗的作業有時在活動報告中會記錄為成功。現已更正此問題。(ID-19283)
現在當嘗試刪除記錄物件或 SysLog 物件時會顯示錯誤訊息,除非是在執行「系統記錄檔維護作業」或「稽核記錄維護作業」。(這些作業使用不同的方法來刪除這些類型的物件。)(ID-19356)
現在可透過 [變更密碼] 或 [重設密碼] 稽核動作來稽核記錄「資源帳號變更密碼」與「資源帳號重設密碼」作業。此外,「變更資源帳號密碼」工作流程有所變更,現在只有在呼叫 changeResourceAccountPassword 工作流程服務之前發生失敗時,才會呼叫「稽核」作業。(ID-19359)
已修正無法正確稽核存取檢視結果的問題。(ID-19548)
現在會稽核伺服器物件上的作業。(ID-19606)
現在會稽核資源群組修改 (建立、更新、刪除)。資源群組物件也稱為應用程式物件,會使用應用程式檢視器執行應用程式物件上的作業。因此,應用程式檢視器即為進行稽核的位置。(ID-19607)
現在當刪除使用者作業失敗時,會發佈內含失敗狀態的稽核記錄檔記錄。(ID-19722)
PasswordSync 現在可於停用使用者電子郵件之後,正確傳送管理員電子郵件。(ID 18110)
已修正 PasswordSync 中 NULL 參照可能導致當機的問題。(ID-19042)
使用有效憑證與自行簽署憑證的測試連線現在可正常運作。(ID-19216)
已更正兩個可能的緩衝區超限。在這兩種情況下,固定大小的緩衝區可能會在內容大於緩衝區時超限。現在可動態配置這些緩衝區以確保其有足夠的大小。(ID-19358)
已停用電腦帳號的密碼同步化。(ID-19366)
Password Sync 檔案的預設安裝目錄已變更為與產品名稱相符。(ID-20276) 依預設,應用程式現在會安裝於 C:\Program Files\Sun Microsystems\Sun Identity Manager PasswordSync。64 位元版本 Windows 的預設目錄為 C:\Program Files (x86)\Sun Microsystems\Sun Identity Manager PasswordSync\
密碼策略現在可正確驗證為「不得包含文字」條件而輸入的所有擴充 ASCII 字元。現在此條件也可在顯示策略違規訊息時,區分完整的詞相符項和字串屬性相符項。(ID-19384)
在輔助作業上重試重新佈建失敗時,不再於重試作業期間發生 NullPointerException。(ID-19826)
舊版風險分析報告產生的作業結果物件包含與 waveset.dtd 不符的無效 XML。因此無法將這些作業結果物件重新匯入 Identity Manager。新的風險分析報告執行作業會產生可重新匯入的有效 XML。(ID-14419)
使用下列程序更新並匯入舊的作業結果物件:
依預設,系統會將稽核記錄與該記錄參照的物件置於相同的 ObjectGroup 中。ApproverReportTask 位於 All ObjectGroup 中,因此指出已執行報告的稽核記錄也會位於 All ObjectGroup 中。(ID-16363)
這表示所有管理員皆可檢視該稽核記錄。如果不想出現此情況,請將 ApproverReportTask TaskInstance 的 MemberObjectGroup 變更為更適當的 ObjectGroup,或將下列 XML 增加至 AuditReport 作業:
<Field name='excludeAll'> <Display class='Hidden'> <Property name='value' value='true'/> </Display> </Field>
對於「使用情況報告」類型的報告,其 X 軸與 Y 軸的 [介面] 與 [屬性變更] 選項現在可對映至可查詢的有效值,而不再發生 NullPointerException。[屬性變更] 現在對映至 Attribute.ACCT_ATTR_CHANGES。[介面] 則對映至新建立的 Attribute.INTERFACE,亦等同於 Attribute.CLIENT。(ID-16769)
現在可以為不控制頂層組織的使用者正確產生帳號索引報告。(ID-16643)
資源使用者報告會正確顯示管理員名稱。(ID-17650)
如果以 PDF 格式產生報告時發生錯誤,現在會正確顯示錯誤訊息。(ID-17979)
複製報告現在會正常運作。(ID-18187)
當使用者報告包含 [延伸的使用者屬性] 作為其搜尋選項時,Identity Manager 不會再傳回 NullPointerException。(ID-19567)
如果已將多個 AdminRole 指定給一個使用者,該使用者嘗試建立報告時發生的「存取遭拒」錯誤現已修正。(ID-20067)
作業報告現在會正確顯示欄名稱。(ID–20131)
當使用者按一下 [所有規範遵循的違規] 報告中的稽核策略連結時,不再發生 MySQL 錯誤「Column 'id' in field list is ambiguous」(欄位清單中的欄 [id] 含糊不清)。儲存庫現在可產生 DML 以限定此欄名稱。(ID-19900)
現在會正確顯示「變更資源密碼」作業的名稱。(ID-6947)
以前當資源配接卡中定義的資料庫無法使用時,Sybase 配接卡會發生問題,導致配接卡嘗試調解預設的 Sybase 系統資料庫。現已更正此問題。(ID-15867)
現在可使用定位點 (\u0009) 作為 Flat File Active Sync 資源的欄位分隔符。(ID-16780)
已增強 Scripted JDBC 資源配接卡中的追蹤權能。(ID16900)
當 Domino 伺服器與 Lotus Notes 用戶端安裝在相同電腦上時,閘道不再覆寫 Domino 伺服器 notes.ini 檔案中的 ServerKeyFileName 值。(ID-17216)
Solaris 資源現在可正確建立 force_change 旗標明確設為 false 的新使用者。(ID-17401)
現在閘道服務可於重新啟動 SecureID 時,重新建立其資料庫與該 SecurID 的連線。(ID-17443)
以前當 ScriptedGateway 是唯一的閘道資源時,無法更新閘道加密金鑰。現已更正此問題。(ID-17556)
現在,建立 Active Directory 中的使用者時所發生的兩個錯誤情況會顯示正確的可閱讀錯誤:the account already exist and the account ID has an improper format (帳號已存在,且帳號 ID 的格式不正確)。(ID-17587)
SecurId ACE Server UNIX 配接卡現在會測試池儲存的連線是否可執行。(ID-17673)
Identity Manager 現在可忽略使用 Lotus Domino 群組名稱別名,以避免在本機使用這些別名時發生物件無效的錯誤。(ID-17739)
Domino 配接卡會刪除在執行建立動作與更新後動作期間所建立的程序檔檔案。(ID-18136)
Active Directory 資源配接卡現在可正確處理來自刪除動作前的非零結束碼。(ID-18241)
Lotus Domino 資源現在可正確將連線傳回連線池。(ID-18417)
只能對 Exchange 2007 配接卡的 Name 帳號屬性執行建立操作。對此屬性進行修改會導致未知的副作用,並且可能無法透過 Identity Manager 管理使用者,因此不再支援修改此屬性。(ID-18606)
閘道資源配接卡不再覆寫唯讀帳號屬性。(ID-18932)
OracleERP 資源配接卡查找尚未佈建至使用者的責任時,不再傳回找不到資料錯誤。(ID-19056)
OracleERP 查找不具有唯一名稱的責任時,不再傳回錯誤。(ID-19057)
LDAP 資源配接卡測試群組成員身份時,不再請求 uniqueMember 屬性。(ID-19134)
已修正 Domino 閘道配接卡中發生的記憶體錯誤。(ID-19139)
當「get info」(取得資訊) 訊息傳送至 Scripted Gateway 資源時,閘道不再當機 (ID-19249)。
當「管理伺服器加密」作業儲存具有時間戳記的金鑰副本時,不再損毀 GatewayEncryptionKey 類型的物件。(ID-19250)
以前 SAP 資源配接卡無法解除鎖定因太多次錯誤登入而遭鎖定的使用者。現已更正此問題。(ID-19252)
不再提供已停用的 DominoActiveSyncAdapter。現在,Domino 資源配接卡已包含此功能。(ID-19281)
閘道在 Windows NT 資源上執行調解時,不再當機。(ID-19295)
NDS 閘道在處理非使用者 NDS 物件時,不再傳送有關使用者類別的錯誤警告訊息。(ID-19362)
若在配接卡上啟動 Exchange 2007 支援,現在系統會將啟用舊版 Exchange 2000/2003 的郵件使用者報告為僅限 AD 的使用者 (RecipientType 等於 User)。透過 legacyExchangeDN 及其他 Exchange 2000/2003 屬性,即可區分 Exchange 2000/2003 使用者與僅限 AD 的使用者。(ID-19393)
在 Red Hat Linux 資源中將使用者 ID 變更為與其他使用者 ID 相同的值時,現在會丟出 Uid is not unique (不是唯一的 uid) 錯誤。(ID-19395)
現在 Identity Manager 可正確將 SAP Access Enforcer 自訂屬性傳遞至 Access Enforcer。(ID-19427)
現在可正確儲存具有多個物件類別的 LDAP 群組。(ID-19436)
執行 NIS 的 Solaris、HPUX、AIX 及 Linux 配接卡現在可防止您執行下列操作:建立具有使用中 uid 的帳號,或將 uid 變更為已存在的帳號 uid。(ID-19465)
如果在 Active Directory 配接卡上呼叫 getAllObjects() 時請求 Exchange 2007 屬性,現在閘道會正確傳回這些屬性。(ID-19492)
如果將無效的使用者更新到群組中,AIX 配接卡不會再將該群組中的所有成員都刪除。(ID-19516)
以前在 Red Hat 與 AIX 上刪除使用者的主要群組時會發生問題。現已修正此問題:如果資源丟出異常且無法刪除群組,以前管理員介面會報告此操作成功。現在則會正確報告此錯誤。(ID-19520)
Identity Manager 現在可正確解譯將使用者指定給不存在的群組時,由 Red Hat Enterprise Linux 5 傳回的錯誤碼。(ID-19523)
現在透過 SSH 從 shell 程序檔配接卡使用非根存取可正常運作。(ID-19583)
使用 ExcludedAccountsRule 更新作業不再產生空的帳號 ID。(ID-19585)
使用 LDAP 保留字元 (如星號 (*)) 進行 LDAP 認證不再封鎖所有 LDAP 使用者。(ID-19588)
AIX 資源配接卡可正確更新次要群組清單。(ID-19628)
Oracle 資源配接卡現在可讓您在帳號密碼中使用問號 (?) 及大括號 ({ }) 字元。(ID-19653)
已增強 SecurId ACE Server for Windows 配接卡,現在該配接卡可確認閘道與背景 SecurId 環境兩者皆回應對工作的查詢。(ID-19667)
完整式調解現在可正確變更帳號已停用的狀態。LDAP 資源配接卡現在可於調解期間檢查已停用的狀態。(ID-19708)
現在,當您為 NIS 資源建立或修改具有無效登入 shell 的使用者時,會發生錯誤。(ID-19755)
執行同步化時,Identity Manager 不會再失去 Active Directory 中的更新。(ID-19905)
現在可於 [編輯使用者] 頁面上透過「標籤式使用者表單」正確顯示已停用之使用者的 SiteminderLDAP 帳號狀態。(ID-19931)
Windows NT 資源配接卡不再支援 groupType 資源物件。(ID-19791)
SecurId UNIX 資源配接卡可正確處理以逗號分隔的群組值。(ID-20152)
管理員可在 SecurId Windows 配接卡中將多個群組與用戶端指定給一個使用者。(ID-20153)
如果使用者密碼中包含控制字元 (0x00-0x1f、0x7f),則 Linux、AIX、Solaris、HPUX 及 ShellScript 資源配接卡會丟出錯誤。(ID-20174)
現在必須先將內含角色從指定了該角色的角色中移除,然後才可刪除此內含角色。(ID-18981)
已修正導致系統部署者無法在 Identity Manager IDE 中儲存及匯入角色的問題。(ID-19036)
以前在 JDK 1.6 上執行的 Identity Manager 無法指定已指定給商務角色的角色。現已修正此問題。此問題的症狀之一是:如果已指定商務角色,則 Identity Manager 會將該商務角色識別為 IT 角色。此問題僅限於 JDK 1.6。(ID-19086)
以前如果在修改角色期間將資源屬性值設為字串值,SPML 檢視器會丟出 ClassCastException。現已更正此問題。(ID-19177)
已修正導致無法透過自訂使用者表單將角色指定給使用者的問題。以前使用無法重新整理的 UI 元件 (如文字方塊) 指定角色時,即會發生此問題。(ID-19241)
具有動態管理員角色的使用者現在可正常使用下列功能:(ID-19456)
取消核准
檢視工作項目的歷程記錄
執行報告
RoleAttribute 清單值現在可正常執行。(ID-19981)
以前將 Identity Manager 服務提供者配置為使用 organization 屬性時會發生問題。現已更正此問題。不控制頂層的 Identity Manager 管理員之前無法更新服務提供者的一般使用者,且會收到下列錯誤:「User must have a value for the 'org' attribute」(使用者必須有「org」屬性值)。(ID-18329)
EmailUtil API 呼叫與 sendEmailToAddress() 方法現在可處理空的 HTTP 請求 (該請求作為引數傳送到此呼叫)。此方法現在可於確定 HTTP 請求中的語言環境時檢查有無空值,並可正確設定預設語言環境,而不會丟出 NullPointerException。(ID-17755)
如果資源具有「以容錯移轉方式自動啟動」啟動類型,並且為該資源執行 Active Sync 的伺服器無法連線至 Identity Manager 儲存庫時,此作業將無法輪詢資源有無變更。如果 Active Sync 作業可在稍後排程的輪詢時間建立與儲存庫之間的連線,但該資源已在叢集中其他 Identity Manager 伺服器上啟動另一個 Active Sync 作業,則之前的 Active Sync 作業會結束。(ID-19452)
當名為 ProvisioningDisabledUserShouldThrow 的屬性 SystemConfiguration 設為 true 時,即會禁止嘗試將已停用的使用者佈建至資源,並會產生錯誤。若屬性未設為 true,則仍會禁止佈建,但不會產生錯誤。(ID-19433)
17055、18242、19019、19065、19244、19288、19651、20352