本節包含 Identity Manager 8.1 所提供之新功能的其他相關資訊,分為以下小節:
自 Identity Manager 7.1 Update 1 發行版本開始,我們均透過修補程式程序提供更新 (其中包含對客戶回報的主要及重大錯誤的修正),此程序替代了舊有的 hot-fix 方式。
所開發及測試的修補程式每六週發行一次。這些修補程式均有 GUI 安裝程式及手動安裝選項,會更新 /WEB-INF/lib 中的檔案。修補程式版本說明中附有修補程式的安裝說明,以 PDF 格式發行。所有對閘道或 Password Sync 的修正均說明於版本說明中,並須安裝修補程式予以更新。
Identity Manager 修補程式具有累積性,因此利用其獨特的修正,不會出現太多問題。安裝或升級至重大或次要發行版本時,應規劃要更新為最新的修補程式層級。例如,若在安裝或升級至 8.1 時可取得修補程式 3,您應於安裝或升級至 8.1 後,套用修補程式 3。因為修補程式 3 包含先前修補程式的所有功能,所以不必安裝修補程式 1 及 2。
修補程序讓您利用修正的實際錯誤編號,使追蹤修正更為容易。但新版仍有可能不提供針對舊版所製作的修正。無論現有的 Identity Manager 版本遵循何種程序,您都必須確認新的 Identity Manager 目標版本包含所需之全部錯誤修正。
發行新的修補程式時,所有的客戶支援皆會接獲通告。透過客戶支援即可取得修補程式。請連絡位於 http://www.sun.com/service/online/us 的 Sun 客戶支援,以取得可用的最新修補程式。
Identity Manager 8.1 提供的主要新功能如下:
針對在企業中未透過資源配接卡直接連線至 Identity Manager 的應用程式,Identity Manager 可利用此功能管理這些應用程式的佈建與稽核作業。這包含非數位的外部資源,例如筆記型電腦、行動電話及安全性標記。透過 Identity Manager 佈建外部資源後,系統會經由電子郵件或 Remedy Help Desk 6.3 通知,通知一個或多個佈建程式。
連接器架構提供一種新的方法,以透過使用連接器將 Identity Manager 連線至目標應用程式。Identity 連接器與架構是一種開放原始碼技術的一部分,可提供一致的通用方法來使用 Identity Manager 佈建資源。連接器已從核心 Identity Manager 伺服器分離出來,現可與 Identity Manager 建置分別發行。除了開放原始碼專案網站上有其他連接器可供下載之外,Identity Manager 還隨附下列支援的連接器:
Microsoft Active Directory 2003 與 2008
SPML 2.0
如需更多資訊,請造訪開放原始碼專案網站 https://identityconnectors.dev.java.net/。
近期將增加更多連接器。
此整合專注在 Sun Role Manager 4.1.3 版及較新版本。Identity Manager 表單現在可直接呼叫 Role Manager Web 服務,以通知並呼叫對使用者執行的角色作業。Identity Manager 資料匯出程式已允許 Role Manager 擷取 Identity Manager 的使用者與角色;而最新的 8.1 資料匯出程式現在還提供:
可改善使用者勘察的權能資訊。
將在未來 Sun Role Manager 版本中使用的資源模式。
Identity Manager 使用 JMX MBean 提供 List、Create、Get、Modify、Delete 與 Authenticate 作業的效能資料。收集到的資料如下:
作業數
每項作業的平均移動時間
每項作業的最短時間
每項作業的最長時間
開始收集的時間
資源配接卡類別與版本
Identity Manager 支援進階加密標準。AES 是可用於替代資料加密標準 (DES) 的對稱式金鑰加密技術。政府機構一般運用 AES 來保護資料。
此功能提供一種使用 W3C XML 簽名語法及處理 (XMLDSig) 的標準不可否認性機制。此增強功能可使用 XMLDSig 格式建立、儲存及顯示工作項目核准。此格式也可允許包含 RFC 3161 相容的時間戳記 (此為選擇性功能)。
已增強對 SPML2.0 的支援。Identity Manager 支援搜尋權能。此外,現已支援稽核記錄。
已更新 Checkbox、Label、Radio、Select、Text、TextArea 與 Container 使用者介面元件,以正確顯示自訂 CSS 樣式。以前只有 Button 元素可顯示自訂樣式。(ID-15025)
現在,您可在除錯追蹤頁面上配置自訂類別。(ID-15490)
在執行針對多個使用者的動作時,先選取一個以上使用者然後再前往下一頁,將不再導致您失去這些已選取的使用者。(ID-15529)
當您在 AuthnProperty name='password' XML 元素中指定 noTrim='true' 時,[登入] 頁面不會從密碼輸入方塊中移除空格。您可以對其他任何 AuthnProperty 套用 noTrim='true'。(ID-16434)
現在可在 customStyle.css 樣式表中配置指導說明影像的大小。(ID-17360)
透過新增自訂訊息目錄鍵值 UI_VERSION,可以停用將滑鼠停留在 [說明] 按鈕上方以在管理員介面中顯示版本資訊的功能。請在自訂訊息目錄中將此值設為空字串。(ID-17507)
一般使用者面板頁面 (首頁) 現在會顯示使用者的全名,而不是帳號 ID。您可透過自訂一般使用者面板表單而不是變更 JSP 來修改此設定。(ID-19006)
您現在可在系統配置物件的安全性屬性中,設定稱為 saveNoValidateAllowedFormsAndWorkflows 的 ID 清單。如果有此清單,Identity Manager 只會允許將此清單中的表單與工作流程當作 SaveNoValidate 動作來處理。而系統會將其他所有表單與工作流程當作 Save 來處理。如果沒有此清單,運作方式將會保持一致 (亦即將所有表單與工作流程當作 SaveNoValidate 來處理)。(ID-19115)
批次處理作業現在可在一個資源上為多個帳號的使用者進行佈建。(ID-13160)
針對配置為「唯讀」(停用所有允許帳號更新的資源功能) 的資源,已增加從此類資源 (使用批次處理作業) 取消指定或解除連結帳號的功能。請注意,必須使用批次處理作業才可實現此功能。以前當嘗試從唯讀資源取消指定/解除連結帳號時,會傳回錯誤指出該資源不存在。(ID–19048)
頁面核准工作項目中已增加避免頁面逾時的選項。(ID-18544) approval.jsp 頁面現在接受下列特性:
Paging。若有的話,則會啟用分頁。
MaxRows。每頁上顯示的列數
orderBy。排序參數
可增加下列欄位來修改 WorkItemList 表單:
<Field name='PagingButtons'> <Display class='ButtonRow'> <Property name='align' value='right'/> </Display> <Disable> <not> <ref>viewOptions.Paging</ref> </not> </Disable> <Field name='action'> <Display class='Button'> <Property name='command' value='Recalculate'/> <Property name='label' value='<<'/> <Property name='value' value='first'/> </Display> </Field> <Field name='action'> <Display class='Button'> <Property name='command' value='Recalculate'/> <Property name='label' value='<'/> <Property name='value' value='previous'/> </Display> </Field> <Field name='action'> <Display class='Button'> <Property name='command' value='Recalculate'/> <Property name='label' value='>'/> <Property name='value' value='next'/> </Display> </Field> <Field name='action'> <Display class='Button'> <Property name='command' value='Recalculate'/> <Property name='label' value='>>'/> <Property name='value' value='last'/> </Display> </Field> </Field>
已增強多重核准工作流程程序,可支援將 approvers 清單自動轉換為用於產生核准工作項目的 approverObjects 清單。(ID-19238)
Sun Identity Manager 文件集已經過重新編排。所做的重大變更如下:
「管理」一書已重新編排為兩本新書:「Business Administrator's Guide」與「System Administrator's Guide」
「調校、疑難排解和錯誤訊息」一書的內容已移至新的「System Administrator's Guide」
「部署工具」一書的 SPML 章節現在位於新的「Web Services Guide」,而「部署工具」一書已從文件集中捨棄。
「Technical Deployment Overview」一書現在更名為「Deployment Guide」
「Workflows, Forms, and Views」一書現在更名為「Deployment Reference」
文件集包含了新標題:「Sun Identity Manager Overview」
如需完整的 Sun Identity Manager 標題清單,請參閱「前言」的「相關叢書」一節。
Sun Identity Manager 出版物的校正與更新目前公佈於 Identity Manager Documentation Updates 網站:
http://blogs.sun.com/idmdocupdates/
您可使用 RSS 摘要讀取程式定期檢查此網站,並在有更新可用時通知您。若要訂閱,請下載摘要讀取程式,然後按一下頁面右側 [Feeds] 下的連結。自 8.0 版開始,針對每個重大發行版本均會單獨提供摘要。
資料庫升級程序檔會將索引增加至帳號表格的 ownerId 欄。具有許多帳號的安裝升級作業需要大量的時間來處理資料庫升級程序檔,這是由於在大型表格上建立新索引所致。(ID-19314)
已修正升級期間出現記憶體不足異常的問題。以前在升級期間,Java VM 最大堆疊大小是以硬式編碼的方式設為 256 MB。現已移除此硬式編碼的值。(ID-19407)
現在可將 JAVA_OPTS 環境變數設為自訂值。如果未提供任何值,則會使用預設值 1024 MB。
若要定義堆疊大小的最大值,請使用 —Xmx HeapSize 格式設定 JAVA_OPTS 環境變數,其中 HeapSize 是一個值,例如 512m。-Xmx512m 即為一例。
從 PasswordSync 傳送的電子郵件通知現在使用 UTF-8 編碼的電子郵件寄件者名稱、主旨及內文。其他所有標頭部分則會依電子郵件 RFC 的規定使用 ASCII 純文字編碼。(ID-14120)
請注意,可能無法在所有郵件用戶端或所有作業系統上正確顯示使用非 ASCII 字元的電子郵件通知。
現在可正確加密及解密包含空格的密碼。(ID-17670)
如果您從 8.0 至 8.0.0.2、7.1.1 至 7.1.1.7 或 7.1 之前的版本升級,則必須重新安裝 Password Sync 與閘道的所有實例。
PasswordSync 現在支援 Windows Server 2008 (32 位元與 64 位元版本)。(ID-18342)
Windows 登錄與安裝程式 GUI 中已增加兩項新設定,可配置 PasswordSync 中憑證的運作方式。這些設定替代已停用的登錄設定 clientSecurityFlags 與 clientConnectionFlags。(ID-19140)
securityIgnoreCertRevoke。如設為 1,則忽略憑證撤銷錯誤。
securityAllowInvalidCert。如設為 1,則允許安全性檢查失敗的憑證。
已延伸 PasswordSync 的內部檢查,可避免在變更密碼時傳入非法的值而導致當機。(ID-19291)
PasswordSync 安裝程式已增強為允許在安裝期間將配置參數記錄至檔案。未來的安裝作業可參照該檔案,並再次套用這些配置設定。這樣就能無訊息地安裝及配置所有後續的 PasswordSync 安裝。(ID-19311)
在存取認證快取期間,不再發生死結。(ID-16926)
已改善 [建立與編輯使用者] 頁面上的效能。(ID-17066)
預設情況下,Identity Manager 在決定管理員是否有權委託工作項目給使用者之前,不再檢查組織中的所有使用者。若要復原為先前預設的運作方式,請將下列陳述式增加至 account/modify.jsp 檔案。
req.setOption(DelegateWorkItemsViewer.OP_CALL_DELEGATORS_AVAILABLE_USERS,"true");
如果 DelegateWorkItemsViewer 中的 OP_CALL_DELEGATORS_AVAILABLE_USERS 設為 true,則 Identity Manager 會搜尋所有使用者,以檢查管理員是否有權查看使用者。
如果使用者具有的管理員角色是透過規則以動態方式指定,則現在會將該使用者的環境當作引數在登入時傳遞。(ID-17964)
當指定的資源除了已定義的帳號 ID 之外還具有顯示名稱屬性時,登入 Identity Manager 使用者介面期間的效能已得到改善。(ID-18885)
已增加「下一個」密碼策略。在此策略中,如果使用者的答案不正確,Identity Manager 會顯示下一則問題,直到使用者正確回答認證問題並登入,或者因達到指定的失敗嘗試次數限制而遭到鎖定為止。(ID-17307)
現在可本土化違規摘要報告的違規狀態內容。(ID-17011、17042)
現在除了預設的直向方向之外,還能以橫向方向產生報告。此外,除了預設的 Letter,還可將頁面大小指定為 Legal。(ID-17649)
Identity Manager 現在支援將 MySQL 5.0.60 SP1 Enterprise Server 作為生產儲存庫。(ID-17735、ID-19703)
現在您可使用 MySQL 5.1.30 Enterprise Server 作為 Identity Manager 生產儲存庫,但可能需要變更您的 my.cnf 檔案。由於 MySQL 的 InnoDB 程式碼最近有所變更,所以現在預設二進位記錄格式為 STATEMENT。Identity Manager 使用 READ-COMMITTED 作業事件隔離層級,因此使用 STATEMENT 模式的二進位記錄會產生類似如下的錯誤:(ID-20460)。
com.waveset.util.IOException: java.sql.SQLException: Binary logging not possible. Message: Transaction level 'READ-COMMITTED' in InnoDB is not safe for binlog mode 'STATEMENT' |
如果您啟用二進位記錄,請將下行增加至您的 my.cnf 檔案,以將模式設為 MIXED。
binlog_format=mixed |
透過此配置變更,即可使用 5.1.30 作為儲存庫,而不會發生二進位記錄異常。如需詳細資訊,請參閱 MySQL 錯誤 #40360。
為解決 MySQL 缺陷 9021,Identity Manager 儲存庫有所變更。現在儲存庫的 MysqlDataStore 會為每個屬性條件單獨產生具名的 JOIN。(以前在某些情況下,MysqlDataStore 會使用 SUBSELECT 與 EXISTS 述語。)(ID-15636)
已更新 setRepo 指令的使用情況輸出。現在使用情況會列出 -o 選項,並說明 -o 導致 setRepo 無法對新的儲存庫位置執行初始化檢查。使用情況現在也會在直接 JDBC 連線範例中顯示 -U 與 -P 旗標。(ID-19475)
現在支援 Netegrity SiteMinder 6.0。配接卡若要正常運作,則必須為 SiteMinder 適當配置 PolicyServer 與 WebAgent。(ID-6478)
現在 Active Directory 資源配接卡提供 [主目錄權限] 資源屬性,可控制主目錄的權限繼承性與權限等級。預設值為 0。值為 0 表示將不會繼承,且使用者的權限為 FULL 控制。值為 1 表示將會繼承權限,且使用者的權限為 FULL 控制。值為 2 表示將不會繼承權限,且使用者的權限為 MODIFY 控制。值為 3 表示將會繼承權限,且使用者的權限為 MODIFY 控制。MODIFY 控制包含下列權限:FILE_GENERIC_WRITE、FILE_GENERIC_READ、FILE_EXECUTE 及 DELETE。(ID-12881、19706)
資料庫表格資源配接卡現在可處理對映至帳號 ID 屬性且資料類型為整數的資料庫欄。(ID-13362)
LDAP 資源配接卡現在僅在預先定義的基底環境下同步化項目。(ID-15389)
LDAP 資源配接卡中已增加「遵守資源密碼策略 change-after-reset」資源參數。啟用此選項時,若在登入模組中指定此資源且將資源的密碼策略配置為 change-after-reset,則如果使用者的資源帳號密碼已由管理員重設,該使用者必須在成功認證之後變更此密碼。(ID-16255)
本發行版本中,只有未經要求便在回應成功連結作業時傳回「Netscape 密碼過期」回應控制項 (OID 2.16.840.1.113730.3.4.4) 的 LDAP 伺服器,才適用此運作方式。成功的連結嘗試與該控制項同時發生則表示使用者的密碼已由管理員重設,因此必須予以變更。實作密碼策略 change-after-reset 功能的 LDAP 伺服器,會讓成功認證且密碼遭到重設的使用者僅可變更該密碼,其他任何作業都將遭到拒絕。
此外,由於 Identity Manager 會使用 LDAP 資源管理員帳號執行包括傳遞認證在內的所有 LDAP 資源作業,因此部分 LDAP 伺服器會將任何使用者的密碼修改嘗試視為管理員重設,且一律不從使用者帳號清除該狀態。這類 LDAP 伺服器包括:
配置為使用 rootDN (通常 cn=directory manager) 作為資源配接卡連線帳號的 Sun Java Systems Directory Server 5.x
設為 passwordNonRootMayResetUserpwd:on 的 Sun Java Systems Directory Server 5.2
Sun Java Systems Directory Server 6.0 及較新版本 (包含 OpenDS)
Domino 資源配接卡現在支援群組佈建物件類型,實作建立、刪除、清單、重新命名、儲存及更新等物件功能。(ID-16422)
SecurId 資源配接卡支援重新命名帳號。(ID-16517)
SAP 資源配接卡已更新為以更牢固的方式來處理 CUA。透過新的表單與程式碼變更,Identity Manager 使用者即可根據每位 SAP 使用者來變更 CUA 子系統及這些子系統的角色與設定檔。(ID-16819)
profiles 與 activityGroups 帳號屬性的特性已變更。現在這兩個屬性都有複合資料類型。profiles 屬性現在對映至 PROFILES 資源使用者屬性,而 activityGroups 屬性現在對映至 ACTIVITYGROUPS 資源使用者屬性。
載入 $WSHOME/web/sample/updateSAPforCUA.xml 檔案以對您的 SAP 資源配接卡更新這些變更。除非您透過複製尚未更新的現有資源來建立資源,否則新的 SAP 資源會包含這些屬性。
Identity Manager 現在可偵測及捕捉 Domino 拒絕服務錯誤。(ID-16911)
支援適用於 Sun 的 WRQ Attachmate 3270 主機配接卡。如需設定此產品的詳細資訊,請參閱「資源參考」。(ID-17031)
Linux 資源支援使用模擬來管理 /usr/bin/chage 指令。(ID-17119)
已增加對 Lotus Notes/Domino 8.0 的支援。(ID-17213)
Scripted Gateway 配接卡現在支援密碼同步化。(ID-17813)
Oracle ERP 資源配接卡現在允許 EMPLOYEE_NUMBER 同時包含字母與數字字元。(ID-18239)
OS400 資源配接卡現在支援在密碼中使用特殊字元。(ID-18412)
已增加「RACF 大小寫不須相符排除的資源帳號」及「RACF_LDAP 大小寫不須相符排除的資源帳號」排除規則範例。在 sample/wfresource.xml 檔案中定義這些範例。
MySQL 資源配接卡已更新為繼承 JdbcResourceAdapter。現有的 MySQL 資源屬性將會自動更新。(ID-18835)
再次支援 Windows NT 資源配接卡,此配接卡已不再停用。(ID-19170)
LDAP 資源配接卡包含新的 [使用分頁結果控制項] 配置參數。當您啟用此參數時 (預設為停用),Identity Manager 會在調解中為帳號迭代器使用分頁結果控制項,而不是 VLV 控制項。只要您的 LDAP 資源配接卡支援簡單分頁控制項,即可使用 [使用分頁結果控制項] 配置參數改善效能。(ID-19231)
SAP HR 配接卡中已增加 [從 SAP HR 讀取的物件類型] 資源參數,以處理來自 SAP HR 的組織 IDOC。這個屬性可具有多個值,目前支援「P」、「CP」、「S」、「C」及「O」等值。(ID-19286)
OracleERP 資源配接卡現在支援一個可停用 Identity Manager 如下功能的選項:在 Oracle EBS 管理表格名稱 (如 FND_USER、FND_VIEWS 等) 之前,加上管理員使用者的模式識別碼 (如 APPS)。此選項透過具有 [不使用模式識別碼] 顯示名稱的新資源屬性提供,預設值為 FALSE。如果將此值變更為 TRUE,則配接卡將無法再於管理表格名稱之前加上模式識別碼。(ID-19352)
Active Directory 配接卡現在支援 inetOrgPerson 物件類別,以及源自此使用者物件類別的其他物件類別。(ID-19399)
LDAP 配接卡中已增加 [維護 LDAP 群組成員身份] 參數,可控制在重新命名或刪除使用者時,負責維護 LDAP 群組成員身份的是 Identity Manager 還是 LDAP 資源。(ID-19463)
Shell 程序檔資源配接卡中已增加資源參數 ERROR_CODE_LIMIT。此參數可讓您判定哪個回覆碼代表錯誤。(ID-19858)
SecurId 配接卡現在支援下列功能:(ID-18665、18671、18672、18673、18676、18677、19726)
編輯使用者的名字、姓氏及預設 shell。
從 ACE 伺服器擷取所有有效的 ACE 群組
在 ACE 群組上進行搜尋,並傳回該群組中的所有使用者。
從 ACE 伺服器擷取所有已定義的 ACE 代理程式清單。
顯示 ACE 代理程式上已啟用的所有群組。
擷取所有管理員及其管理層級。
針對與 Identity Manager 伺服器之間的通訊,閘道現在支援使用具有 128 位元、192 位元及 256 位元金鑰的 AES 密碼。(ID-19738)
當管理員角色控制動態組織且透過 [尋找使用者] 頁面編輯使用者時,Identity Manager 現在可辨識透過管理員角色進行的使用者表單指定。(ID-18028)
在升級期間可指定 RoleUpdater 的選擇性引數 noroleconfigurationupdate,以略過修改 RoleConfiguration 物件,此物件指示是否可以將 8.0 之前的角色直接指定給使用者。將此值設為 [true] 即可略過此測試,不再查看此變更是否必要。(ID-18483)
現在所有 RoleAttribute 邏輯區分大小寫。(ID-18766)
現在主體的組織及管理員角色可使用報告結果。(ID-19736)
IDM 8.1 支援數項新的加密選項。(ID-16979、17789)
針對伺服器加密金鑰的加密,已增加對 PBE 搭配使用 256 位元金鑰之 AES (ECB 模式) 的支援。此新的選項類似現有的 PBE 搭配 DES 機制,但使用 AES 作為基礎密碼。
針對儲存庫中的資料及閘道通訊,已增加對具有 128、192 及 256 位元金鑰之 AES (ECB 模式) 的支援。
為提供此項新功能,「管理伺服器加密」作業也有所變更。
其中一些新的選項需要額外的安裝及 (或) 配置步驟,如「管理員指南」中詳述。
已新增「登入回復」認證,此方式可作為「忘記密碼」安全性提問式登入的替代方案。(ID-18052)
Identity Manager 現在支援 XMLDSIG 格式簽署的核准。以前是以專用格式在 Identity Manager 稽核記錄中儲存簽署的核准。此增強功能可讓這類核准記錄以符合 XMLDSIG 標準的格式儲存,因而提供更佳的互通性。同時支援的功能還有:可以包含從外部時間戳記授權單位擷取之符合 RFC 3161 規範的數位時間戳記。(ID-19011)
啟用傳遞認證時,如果使用者的資源密碼已過期,並且 Identity Manager 帳號 ID 與資源帳號 ID 不同,變更密碼功能仍可正常運作。(ID-19218)
已修正多項跨網站冒名請求 (Cross-site Request Forgery, CSRF) 弱點。(ID-19280、19659、19660、19661、19683、20072) 必須手動更新任何對 includes/headStartUser.jsp 與 user/userHeader.jsp 檔案的自訂項目。
已改善動態組織的效能。Waveset.properties 檔案現在包含數個特性,可定義 [規則導向成員] 清單的快取方式。(ID-19586)
您可以對服務提供者的一般使用者頁面進行配置,以便強制您的伺服器一律使用 HTTPS 處理頁面請求。(ID-18509)