第 4 章 已知問題

「版本說明」的本部分列出 Identity Manager 8.1 的已知問題與解決方法。

此資訊分為以下小節：

• 一般

• 稽核

• 資料匯出程式

• Identity Manager 服務提供者

• 本土化

• 登入配置

• 組織

• PasswordSync

• 策略與權能

• 調解與匯入使用者

• 報告

• 資源

• 角色

• SPML

• Sun Identity Manager 閘道

• 作業

• 工作流程、表單、規則與 XPRESS

一般

• 系統不會檢查組織名稱、管理員名稱、帳號名稱、使用者屬性名稱 (模式對映左側)，或無效字元的作業名稱 (ID-1145、1206、1679、1734、1767、2413、3331)。在這些物件類型的名稱中不可使用美元符號 ($)、逗號 (,)、點號 (.)、所有格符號 (’)、& 符號 (&)、左括號 ([)、右括號 (]) 或冒號 (:)。

• 如果瀏覽器使用大字型，則無法看到完整的行事曆物件。(ID-2120)

• 若取消選取清單中的某個項目，並不會取消選取 [尋找結果] 頁面和 [列出作業] 頁面的 [全選] 核取方塊 (ID-5090)。如果清單的成員未全部選取其核取方塊，則在執行結果動作時會忽略 [全選] 核取方塊。

• 如果您對自訂的訊息目錄進行變更，則需要重新啟動伺服器，才能看到變更。(ID-6792)

• 用來偵測失敗伺服器的最新機制假設在 Identity Manager 叢集中，所有系統都會在時間方面保持同步。(ID-7064) 預設的失敗間隔是 5 分鐘，如果一台伺服器有 5 分鐘未與另一台伺服器同步化，則前方的伺服器將宣告後方的伺服器無效，進而造成不可測的結果。

  解決方法：加強時間同步化，或增加容錯移轉間隔。

• 在 Windows 中，如果您以包含全形字元的使用者名稱登入，而電腦的預設編碼只支援半形字元時，您必須將 USER_JPI_PROFILE 環境變數設定到其名稱只包含半形字元的現有目錄中。(ID-8540)

• 若您使用 [XML 檔案格式] 選項將資源擷取至 XML 檔案，然後再從下拉式清單中選取 [CSV 檔案格式]，將會顯示下列訊息對話方塊：(ID-10847)

  The form has already been submitted.

  解決方法：若要避免顯示此訊息，請按一下 [帳號] -> [擷取至檔案] -> [選擇資源] -> [選擇 CSV 檔案格式]。按一下 [下載]，以下載 .csv 檔案格式的資源帳號詳細資訊。

• 若展開之節點所含的資料不滿一頁，而您在頁面的第一個記錄之前插入該節點的新子項 (例如當您在組織中建立使用者時)，則 &Product_ DMgr; 會在後續進行重新整理時，在目前的頁面之前插入含有一個項目的頁面。(ID-12151)

  解決方法：若要重新對齊頁面，請按一下 [首頁] 按鈕。

• 若您修改 [角色] 表單而將 showSuperAndSubRoles 變數從 0 變更為 1，然後從 [配置] 標籤匯入包含現有子角色的超級角色物件定義檔，則不會修改這些子角色以納入 <超級角色> 區段。但若您使用 Identity Manager 圖形使用者介面建立超級角色，則超級角色所參照的子角色將會更新。(ID-15053)

  在 Identity Manager 外部建立角色時，如果該角色參照了系統中現有的角色 (無論是子角色或超級角色)，可能會發生此問題。

  在匯入這些角色時，不會更新系統中已存在的角色，因此不會反映新的關係；例如，參照完整性將無法維持。若以此方式匯入角色，請使用 RoleUpdater 檢查及更正參照完整性。

  解決方法：您可以匯入位於 sample/forms/RoleUpdater.xml 中的新 RoleUpdater.xml 檔案，從而在升級程序外更新角色。依預設，Identity Manager 會在升級期間或您匯入 RoleUpdater.xml 時，增加子角色連結。

  若要停用此新功能，請將 RoleUpdater 屬性 nofixsubrolelinks 設為 true。例如，

  <MapEntry key='nofixsubrolelinks' value='true' />

• 如果您修改現有變更記錄檔上的設定 (例如增加其他欄屬性)，可能無法在之前的變更記錄檔 CSV 檔案中顯示這些修改內容。(ID-15973)

• 儲存庫配置物件具有屬性 maxAttrValLength。系統會忽略此屬性的值，並一律視其值為 255。(ID-16261)

• 在本土化的 Identity Manager 階段作業中，進程圖 applet 可能會出現部分本土化的情形 (英文與選定語言混用)。(ID-16139)

• 直接模式密碼同步化需要在 web.xml 檔案中配置 SimpleRpcHandler。預設不會提供此處理程式做為 rpcrouter2 servlet 的處理程式。(ID-16469) 若要使用直接模式密碼同步化，請以下列方式設定處理程式的初始化參數：

  <init-param>
     <param-name>handlers</param-name>
     <param-value>com.waveset.rpc.SimpleRpcHandler,
         com.waveset.rpc.PasswordSyncHandler</param-value>
  </init-param>

  請注意，SimpleRpcHandler 已知會干擾部分 RemoteSession 呼叫。如果您打算同時使用 RemoteSession 與直接模式密碼同步化，請配置獨立的 servlet 以處理 RemoteSession 呼叫。

• [帳號] > [擷取至檔案] 會將 XML 與 CSV 檔案格式以 .dat 副檔名儲存，而非預期的 .xml 與 .csv 副檔名。(ID-17521)

  解決方法：可手動以適當的檔案副檔名重新命名已儲存的檔案。

• [字串品質策略] 頁面以垂直行方式顯示文字。(ID-18551)

• 角色類型委派會覆寫指定給特定角色的角色核准委派。(ID-18559)

  例如，若將一個或多個特定角色的未來角色工作項目類型委託給使用者一，再將所有未來商務角色工作項目委託給使用者二，則第一個委託的特定角色將會委託給使用者二，而不是使用者一。

  以下是方案委派摘要：

  • 委託商務角色 1 的角色核准給使用者一

  • 委託商務角色核准給使用者二

  在所有指定使用者商務角色核准的請求中，商務角色皆會委託給使用者二。

• 啟用角色不會提供選項讓使用者更新指定的角色。(ID-18647)

  解決方法：手動更新指定的使用者，或從 [列出角色]/[尋找角色] 頁面中更新指定的使用者。

• 指定某些角色後，現在可將這些角色 (父角色) 所包含的角色有條件地指定給使用者。編輯父角色時，可對父角色與所包含之角色間的關聯指定條件。您可以建立條件，或讓條件參照規則。若是指定規則，必須透過規則引數，指定評估規則時所需之各項使用者檢視屬性。(ID-18734)

• 從 Identity Manager 7.x 升級至 Identity Manager 8.0 時，如果儲存庫是 MySQL 且 7.x 安裝已配置角色物件，則升級會失敗。upgradeto80from71.mysql 程序檔執行時，即會發生此問題。此程序檔執行時，舊物件表格中包含 7.x 角色的欄與新角色表格中的欄會使用不同的順序。(ID-18874)

• 會根據伺服器的位置載入資料倉儲訊息目錄 WICMessages.properties，而不是根據使用者的位置。例如，應用程式伺服器若是以日文語言環境執行，即使使用者的介面一般為英文，查詢屬性仍會以日文顯示。(ID-18898)

  解決方法：在對應於瀏覽器語言設定的 UTF-8 變體語言環境中重新啟動應用程式伺服器。

• Identity Manager 8.0 新增了一項可供查詢的屬性 assignedRoles，可參照所有指定給使用者的直接與間接角色。(ID-18921) 先前版本所包含的可查詢屬性 role (目前仍可用) 只包含直接指定給使用者的角色。升級程序只會自動重新整理具有間接角色的使用者，以便能夠寫入 assignedRoles。在重新整理所有使用者之前，指定角色的使用者報告不會傳回已升級環境中指定了角色的所有使用者。

  解決方法：

  • 重新整理所有使用者。

  • 針對具有直接指定角色的使用者建立報告。

• [已排程的作業] 表格上無法使用 [依重複排序] 選項。(ID-20377)

稽核

• 在掃描過程中，不支援重試無法從資源或發生其他失敗的位置擷取的使用者帳號。掃描完成時會報告這些失敗，但是不會自動重新掃描這些帳號。(ID-9112)

• Identity Auditor 會在每次編輯使用者時強制執行策略，藉此確保使用者在策略掃描的間隔期間也能遵循策略。若是編輯指定有稽核策略，但未遵守該策略的使用者，將無法儲存對該使用者的變更，即是將使用者移至其他組織一類的簡單動作亦是如此。(ID-9504)

  解決方法：採取使用者 applet 上的按一下滑鼠右鍵移動 (或尋找然後移動) 功能，或暫時停用稽核策略檢查。

  若要停用 Auditor 策略檢查，請編輯系統配置並移除 userViewValidators 特性。包含字串清單值的這個特性是在匯入 init.xml 或 upgrade.xml 時加入。

• 在 [稽核策略違規歷程記錄]、[資源違規歷程記錄] 和 [組織違規歷程記錄] 報告中，執行 STACK 圖表類型的對數排列可能會造成異常的顯示運作方式。(ID-9522)

• 目前 Auditor 存取掃描報告管理員無法排程稽核策略掃描。發生錯誤，並會顯示 Error message: Create access denied to Subject auditadmin on type TaskSchedule (錯誤訊息：建立 TaskSchedule 類型上 Subject 稽核管理的存取權遭拒)。若要排程作業，管理員必須具有 TaskSchedule authType 的 create 權限。(ID-14713)

  解決方法：編輯管理員以指定 TaskSchedule 的 create 權限，或指定至少具有 Auditor 管理員或 Waveset 管理員權能的使用者。

• 若 [稽核掃描] 在執行時產生多項違規，Auditor 可建立修正工作流程以管理違規的處理程序。max_allowed_packet 的預設 MySQL 設定 (1M) 太小，不足以處理含有數十個違規的工作流程。若達此限制，Auditor 即不會啟動修正工作流程。(ID-15830)

  解決方法：如需大量使用 Auditor，此值即應大幅提高。若要解決此問題，請將 max_allowed_packet = 32M 加入 MySQL 配置檔案 (my.cnf) 中，並重新啟動資料庫伺服器。

• 變更「規範遵循違規」修正項目的嚴重性與優先權值可能會造成誤導。表單中的初始值不是「規範遵循違規」目前的值。這些是變更時最後設定的值。由於無法在可變更值的頁面上判斷目前的值，因此檢視清單檢視時確定所需的嚴重性/優先權值頗為重要。(ID-16040)

• 稽核策略名稱不得包含以下字元：' (所有格符號)、.(點號)、| (垂直線)、[ (左括號)、] (右括號)、, (逗號)、: (冒號)、$ (美元符號)、" (雙引號)、= (等號)。(ID-16078)

資料匯出程式

• 資料匯出程式可配置成以任何具有適當權能的 Identity Manager 管理員身份執行。匯出作業會以常駐程式方式執行，並由 Identity Manager 排程程式進行啟動及監視。資料匯出程式所建立的稽核記錄會顯示 Identity Manager 排程程式的主體 (Scheduler:IDMServer)，而不會顯示作業配置應使用的主體。(ID-18055)

• 辯證式查詢無法對角色類型執行編輯/修改動作。(ID-18769)

• 資料匯出程式的使用者必須注意下列效能問題：覆寫倉儲模型配置之後，資料匯出程式將不會重新檢查倉儲介面程式碼。如果您修改倉儲介面程式碼以增加延伸使用者屬性，這些新屬性不會出現在[配置] -> [倉儲] -> [倉儲模型配置] ([模型] -> [屬性] 標籤) 中，因此不會在 [鑑識查詢] 介面內顯示以供使用。(ID-18975)

  當您配置倉儲後嘗試增加匯出的自訂屬性時，即會看到此問題。初始倉儲配置會查看 WIC 程式碼，並編寫 [配置] -> [資料倉儲配置] 物件。之後，資料匯出程式不會重新檢查 WIC 程式碼。

  新版本 Identity Manager 的後續倉儲更新也會遭遇此問題。

Identity Manager 服務提供者

• Identity Manager 服務提供者 與 Sun Java^TM System Portal Server 可能不相容；此問題與加密程式庫有關。(ID-10744)

  可透過設定 Portal Server /etc/opt/SUNWam/config/AMConfig.properties 檔案中的以下值，然後重新啟動 Web 容器來校正此問題︰

  com.iplanet.security.encryptor=com.iplanet.services.util.JCEEncryption
  com.iplanet.security.SSLSocketFactoryImpl=netscape.ldap.factory.
     JSSESocketFactory
  com.iplanet.security.SecureRandomFactoryImpl=com.iplanet.am.util.
     SecureRandomFactoryImpl

• 在 Identity Manager 管理員介面中顯示的某些配置選項無法與 Identity Manager 服務提供者 配合使用。(ID-10843)。

  這些配置選項為︰

  • 資源選項：排除帳號規則、核准人及該資源所指定到的組織。

  • 角色屬性

• 預設服務提供者登入模組群組希望將服務提供者資源命名為「SPE 一般使用者目錄」。如果資源的名稱不同，則 [服務提供者一般使用者登入] 頁面將無法正常顯示。此頁面將不會顯示與登入相關的欄位。(ID-14891)

  解決方法：更新 UI_LOGIN_MOD_GRP_DEFAULT_SPE_PWD LoginModGroup 物件中的資源名稱，以參照正確的資源名稱。

本土化

• 對於作為批次處理動作結果產生的 CSV 檔案，Identity Manager 不提供可自訂此檔案編碼的機制。當您使用 Excel 開啟 UTF-8 編碼的 CSV 檔案時，由於 Excel 預期 CSV 檔案為原生編碼，因此內容會顯示為亂碼。(例如，日文的 iShift_JIS)。(ID-19901)

  解決方法：使用支援 UTF-8 編碼的編輯器。

• 在 PasswordSync 通知電子郵件中，$cn 欄位中的多位元組字元無法正確顯示。(ID-19934)

• 在 Tomcat Web 容器中，欄名稱的多位元組字元在簡潔顯示模式的 SOD 報告中會顯示為「???」。(ID-20040)

• 若是 Solaris 資源，Identity Manager 會在 [角色] 欄位中以亂碼顯示訊息。如果使用 OpenSolaris 作為資源，則不會產生此問題。(ID-20046)

  解決方法：在 /etc/default/init 檔案中，設定 LANG=C 並重新啟動 Solaris。然後將 Solaris 資源指定給使用者。[角色] 欄位為空白，此為預期行為。

• Identity Manager 在下列瀏覽器配置的 MultiSelect Java Applet 中會將所有格符號與多位元組字元顯示為亂碼：Windows XP Professional 上的 Internet Explorer 7 搭配 Java 1.6.0_07 與 1.6.0_11 (設定 UTF-8 編碼時) 及 Firefox 3 搭配 Java 1.6.0_07。(ID-20106)

• 部分德文線上說明檔案中會顯示字串「Check Alignment of PHs」及錯位的 html 標記。(ID-20345)

登入配置

• 若管理員登入並選取 [變更我的密碼]，然後選取其他標籤，則會鎖定其帳號，直至鎖定過期。(ID-3705)

  若有其他管理員嘗試編輯該鎖定的管理員，則會顯示下列訊息：

  com.waveset.util.WavesetException: 
  Unable to access account #ID#Configurator at this time
  Please try again later.

  若該管理員按一下 [確定]，則會顯示上一個動作的工作流程進程圖。

組織

• 若在佈建請求擱置的情況下重新命名組織，但有使用者隸屬於該組織，則會導致佈建請求失敗 (ID-564)。

  解決方法：先確定沒有未完成的請求，再重新命名組織。

• 建立新組織時，若在指定組織名稱前選取 [使用者成員規則] 選項，則在更新頁面後，[組織名稱] 欄位就會出現組織 ID (ID-6302)。您仍可在儲存新組織前設定名稱。

PasswordSync

• PasswordSync 安裝與配置應用程式可讀取 XML 檔案，以填入 DLL 所使用的登入機碼。所使用的 XML 檔案，應一律根據由來自有效 PasswordSync 安裝之配置應用程式的「-writexml」選項所產生的檔案。(ID-20375)

  解決方法：只要記住下列限制，即可變更檔案：機碼名稱區分大小寫；Identity Manager 不會檢查值；Identity Manager 無法辨識的機碼將不會產生錯誤或警告，且會忽略這些機碼而不發出任何訊息。

策略與權能

• Identity Manager 帳號策略屬性 [重設通知選項] 之「管理員」選項值沒有作用 (ID-944)。可執行的選項僅為「立即」和「使用者」。

• 您可以將使用者必須回答的問題數下限值，設成大於定義的問題數 (ID-1834)。若發生這種情況，使用者將無法使用 [我忘了密碼] 選項登入。

• 您無法藉由編輯策略，變更名稱，再選擇建立新物件來複製 [預設 Lighthouse 帳號策略](ID-5147)。

  解決方法：建立新的帳號策略。

• 稽核掃描在 [作業啟動] 表單中提供有選項，可以將附有違規報告的電子郵件，傳送至指定的電子郵件地址。若找不到違規，即不會傳送此電子郵件。(ID-18773)

調解與匯入使用者

• 取消完整式調解時會顯示錯誤訊息：(ID-14554)

  Canceled the incremental reconciliation of [resource] running on [server]

  正確的訊息應為：

  Canceled the full reconciliation of [resource] running on [server]

• 執行載入表單資源時，並且此資源支援 ACCOUNT_CASE_INSENSITIVE_IDS，如果使用者的帳號 ID 的大小寫不同於 Identity Manager 之 ResourceInfo 使用者物件中儲存的帳號 ID，則會在使用者物件中加入第二個 ResourceInfo，其大小寫與資源所報告的帳號 ID 相同。(ID-17377)

  解決方法：請確保使用者物件中，Identity Manager ResourceInfo 物件裡的帳號 ID 大小寫與資源所報告的相同。

• 若停用了 MultiSelect 顯示元件 Applet (並改用 HTML 版本)，並針對特定資源實例編輯其調解策略，則當您取消核取 [繼承資源類型策略] 核取方塊時，將會收到錯誤。(ID-18964)

  解決方法：重新啟用 MultiSelect Applet。

報告

• 違規摘要報告的 [優先權] 與 [嚴重性] 欄中顯示數字，而非文字描述。(ID-16932)

• 違規摘要報告不包含已修正的違規，而只包含目前使用中 (新的或重複發生的) 或已緩解的違規。(ID-16933)

• 產生使用情況報告時如有指定數項條件，則 [報告結果] 頁面會正確地顯示圖形，但固定行高將會截斷條件文字。(ID-17224)

• 所有非使用中的帳號掃描報告都不會在 [檢視風險分析] 頁面上顯示其結果。若要檢視這些報告的結果，請移至 [伺服器作業] 頁面。(ID-17255)

• 若未配置問題策略，則使用者問題報告將不會顯示報告標題。(ID-17415)

• 資源使用者報告會將「重設管理員」列為使用者，但「重設管理員」為隱藏使用者而不應顯示。(ID-17650)

• Identity Manager 不會在風險分析報告結果表格中顯示 [上次登入的日期] 標籤。(ID-20269)

• 選取 [電子郵件報告] 核取方塊時，下載 CSV 報告會傳送電子郵件通知。只有在按一下 [執行] 按鈕來執行報告時，才會產生此電子郵件通知。(ID-20346)

資源

• 資源測試按鈕不會測試所有欄位。(ID-51)

• PeopleSoft 資源上不正確的資源帳號密碼或使用者名稱所引發的錯誤訊息不明確 (ID-2235)。此錯誤訊息說明：

  bea.jolt.ApplicationException: TPESVCFAIL - application level service failure

• 使用結束狀態 %DISPLAY_INFO_CODE% 的 Windows Active Directory 資源動作，會導致動作發生錯誤並失敗 (ID-2827)。

• 建立使用者時，無法在 Active Directory 上設定使用者的主群組 ID (ID-3221)。

  解決方法：建立使用者而不要設定主群組 ID，然後編輯使用者和設定值。主群組 ID 也是由數字設定，而非由群組的辨別名稱 (DN) 設定。

• 將主機名稱解析為 IP 位址後，即可在 JVM 中快取資源 IP 位址。若變更了資源 IP 位址，則必須重新啟動應用程式伺服器，Identity Manager 才可偵測到此變更 (ID-3635)。這是 Sun JDK (1.3 和更高版本) 的設定，而且可使用 sun.net.inetaddr.ttl 特性控制，該特性通常設定於 jre/lib/security/java.security 中。

• 您無法在 Oracle 資源上為單一使用者建立多個帳號 (ID-3832)。

• 使用者從 Active Directory 組織內的子容器移出或移入時，Active Sync 配接卡會偵測到此變更，但在編輯頁面上檢視使用者 (或變更及檢視確認頁面) 時，該使用者的帳號 ID 仍會顯示為原始的 DN (辨別名稱) (ID-4950)。由於我們使用 GUID 來修改使用者，因此這不會產生任何作業上的問題。針對資源執行調解可修正這個問題。

• 如果使用者是從「組織 (OU)」移到子組織，LDAP ChangeLog 配接卡將無法識別變更，並且會假設已刪除使用者。接下來會在 Identity Manager 中鎖定使用者物件 (若是目前的設定)，且不會針對移動的帳號建立新帳號 (ID-4953)。

• 如果在執行指令或程序檔時發生錯誤，UNIX 資源適配器所使用的池儲存的連線就可能保持在未定狀態 (ID-5406)。

• 在 NDS 上，若您在初始佈建上編輯欄位 (如 [特許登入限制])，但沒有設定布林欄位的值，系統就會將所有布林欄位設為 false (ID-6770)。這會使得您在要求某些核取方塊值必須為 true 的限制標籤上，無法設定其他欄位。若要避免這種情況，請確定所有要設成 true 的布林欄位都已設成 true，以便在編輯其他欄位時適當填入這些欄位。

• 從 Identity Manager 組織選取更新以更新使用者時，若使用 Sun One ID Server 帳號的使用者是在本機建立，並已載入到 Identity Manager，則這些使用者將會收到錯誤 (ID-7094)。解決方法是單獨更新這些使用者。

• Identity Manager 仍包含下列已停用的類別：

  • com.waveset.object.IAPI

  • com.waveset.object.IAPIProcess

  • com.waveset.object.IAPIUser

    自訂配接卡類別不應再參照這些類別，而應參照套裝軟體 com.waveset.adapter.iapi 中的相應類別。(ID-8246)

• 如果未按一下 [儲存] 或 [取消] 按鈕便離開新增資源物件精靈，放棄的表單可能不會遭到銷毀，且可能會影響後續建立新資源物件的作業。(ID-11033) 這會產生錯誤訊息顯示：

  No resource form id found in options or view.

  解決方法：一律使用 [取消] 按鈕放棄執行新增資源物件精靈。

• 編輯使用者時，如果是以不同的管理員身份執行 Active Sync，則會發生 Active Sync 異常。由於使用者遭到其他管理員鎖定，Active Sync 無法重試此程序。(ID-11255)

  解決方法：若要啟用資源的 Active Sync 重試，請使用下列格式更新資源 XML，以包含這兩個額外的資源屬性：

  <ResourceAttribute name='syncRetryCountLimit' type='string' multi='false'facets='activesync' value='180'/>

  <ResourceAttribute name='syncRetryInterval' type='string' multi='false' facets='activesync' value='10000'/>

  其中：

  • syncRetryCountLimit 是重試更新的次數。

  • syncRetryInterval 是每兩次重試之間等候的毫秒數。

  之後當您配置 Active Sync 時，這些值會顯示為自訂資源設定。建議您指定顯示名稱；如果需要本土化，請使用自訂目錄金鑰。

• 如果屬於 CUA 部署之所有系統上的使用者密碼不同步，則在不同步的子系統上變更密碼會失敗。僅當管理員設定有效的、非過期的使用者密碼時，或使用者自行變更密碼時，才會發生這個情況。在其他所有情況下，即使系統不同步，密碼變更還是會成功。(ID-13396)

  解決方法：首先設定過期的密碼，然後透過第二次變更為使用者設定有效的密碼。

• Remedy 整合範本編輯器已知有兩個問題。(ID-14729)

  • 預設 Remedy 模式的值「HPD:HelpDesk」在更新版本的 BMC Remedy 中不適用。更新版本確實有「HPE:Help Desk」模式。

  • 但部分欄位無法顯示 [選擇] 欄。這並不影響 Remedy 範本的使用。

• 當迴歸搭配 Sun Java SystemDirectory Server Enterprise Edition 6.0、6.1 與 6.2 使用時，會導致 Identity Manager 密碼同步化失敗。Directory Server 6.3 版本中將更正此失敗。如果 6.0、6.1 或 6.2 版本需要搭配 Identity Manager，請向支援部門索取 Directory Server Hotfix，並說明是目錄伺服器錯誤 6604342。(ID-14895)

• 當您在 [資源] 標籤中展開 Sun Java System Access Manager 7.0 資源的資源物件時，可能會看到下列錯誤：(ID-15525)

  Error listing objects. ==> com.waveset.util.WavesetException: Error trying to get attribute value for attribute 'guid'. ==> java.lang.IllegalAccessError: tried to access method com.sun.identity.idm.AMIdentity.getUniversalId()Ljava/lang/String; from class com.waveset.adapter.SunAccessManagerRealmResourceAdapter

  此錯誤會發生在未套用任何修補程式的 Access Manager 7.0 資源上。若要修正此問題，必須至少套用 Access Manager 的 Patch 1，然後重建並重新部署 Access Manager 用戶端 SDK。

• 由具有 [存取] 與 [帳號 ID] 欄位之 Identity Manager 所建立的 NDS/Groupwise 使用者，在接受 NDS 主控台 1 應用程式內的某些檢視器檢查時 (例如，選取使用者的特性，再選取 Groupwise 標籤)，似乎未儲存其對應值。(ID-16330)

  但是，如果改用使用者 [Groupwise 診斷] -> [顯示物件] 的「檢視器」，則會顯示此欄位。Identity Manager 對上述欄位的更新似乎不會受到此「檢視器」錯誤的影響。

• 但 WRQ 會查看 classpath，以找出屬於自己的項目。WRQ 會從此項目計算儲存 JAR 所在的目錄，然後使用此目錄讀取 .JAW (授權檔案)。但是，BEA 與 WebSphere 皆使用非標準的協定名稱 (BEA 使用 zip，而 WebSphere 使用 wsjar)，而非 WRQ 程式碼假設存在的標準協定 JAR。(ID-16709、17319)

  解決方法：

  • 若為 BEA，請將下列選項加入 startWeblogic.sh檔案的 java 指令中：

    -Dcom.wrq.profile.dir="DirectoryContainingLibraries"

  • 若為 WebSphere，請將 com.wrq.profile.dir=DirectoryContainingLibraries 特性加入 WebSphere/AppServer/configuration/config.ini 檔案中。

• 建立新資源之前，請務必要啟用已配置類型清單中的資源類型。否則，新建立的資源物件可能不會有所有必要欄位。(ID-17324)

• 不同 UNIX 作業系統資源配接卡之 Make Directory 資源屬性的預設值不一致。若是 AIX，使用者的建立結果一律會建立主目錄，因此不存在此值。若是 Linux 配接卡，此值預設會設為「true」。若是 Solaris 與 HP-UX 配接卡，預設值會設為「false」。(ID-18301)

• 若有外部資源指定的佈建處於擱置狀態，且您重新命名上報該工作項目的使用者，則佈建作業將完成，但不上報給重新命名的使用者。(ID-19897)

• 在 Identity Manager 與 OpenSSO 伺服器 (Sun Access Manager 範圍資源配接卡) 之間配置傳遞認證時，若在密碼中使用「%」字元，認證會失敗。如需有關此問題的更多資訊，請參閱 https://opensso.dev.java.net/issues/show_bug.cgi?id=4122。(ID-20011)

• Domino 閘道資源物件建立與更新表單無法辨識非預設的群組類別值 (亦即「管理」與「無」以外的值)。若編輯使用非預設類別值的群組，Domino 閘道資源物件更新表單會顯示錯誤。(ID-20212)

• 如果瀏覽器語言設為不帶 cntry 的值 (如 ja)，Active Directory 連接器將不會顯示本土化的訊息。(ID-20255)

  解決方法：在瀏覽器上選取帶有 cntry 值的語言 (如 ja-JP)，或指定 cntry=JP 作為登入 Identity Manager 時的 URL 參數。例如，

  http://host:port/idm/login.jsp?lang&cntry=ja=JP

• 如果將 Active Directory 配接卡資源遷移至 Active Directory 連接器資源，則必須編輯所有相關的資源動作，以包含 execMode 屬性。此屬性的有效值為 connector 與 resource，但若是 Active Directory，如果使用 SHELL 動作類型，則 resource 是唯一的有效值。(ID-20534)

  例如，資源動作的先前實作包含此行：<

  <ResTypeAction restype='Windows Active Directory' actionType='SHELL'>

  如果使用 Active Directory 連接器，則必須增加下行：

  <ResTypeAction restype='Windows Active Directory' actionType='SHELL' execMode='resource'>

角色

• [角色清單] 頁面上的角色狀態不會立即更新。(ID-20259)

  解決方法：重新載入頁面或按一下 [清除]。

SPML

• 如果搜尋請求使用「子字串」篩選器項目，SPML2 搜尋包含迭代器的回應可能會包含不一致的結果項目。(ID-20328)

Sun Identity Manager 閘道

• 使用 net stop “Sun Identity Manager 閘道“ 時，閘道偶爾不會停止 (ID-2337)。

• 在某些情況下，從 Windows (任何支援的 Windows 版本) 上的服務主控台停止閘道時，閘道無法正常停止。Identity Manager 會回應並顯示對話方塊，其中包含一則訊息指出閘道未及時回應。如果關閉對話方塊，Identity Manager 會指出閘道已停止。如果使用同等的指令行 net stop <伺服器名稱>，Identity Manager 會指出已發生異常。請注意，在這兩種情況下，閘道皆已停止。(ID-20296)

  解決方法：使用指令行 gateway -k 停止閘道服務。

作業

• [尋找作業] 頁面未顯示符合搜尋條件的作業的數量 (ID-5152)。

• 未控制「頂層」的委託管理員可排程作業並檢視作業結果，但無法檢視已建立的作業 (ID-6659)。排程的作業將放入「頂層」中，且委託的管理員沒有檢視物件的權限。

工作流程、表單、規則與 XPRESS

• 無法使用 XPRESS <eq> 函數對布林值與字串 TRUE 或 FALSE 進行比較，或與整數 1 或 2 進行比較 (ID-3904)。

  解決方法：使用下列程序

  <cond>
     <isTrue><ref>Boolean_variable</ref></isTrue>
     <s>True action</s>
     <s>False action</s>
  </cond>

• 透過 dolist 來重複通用物件清單時，路徑表示式沒有作用 (ID-4920)。

  <dolist name=’genericObj’>
     <ref>listOfGenericObjects</ref>
     <ref>genericObj.name</ref>
  </dolist>

  解決方法：使用 <get> / <set>，如下所示：

  <dolist name=’genericObj’>
     <ref>listOfGenericObjects</ref>
     <get><ref>genericObject</ref><s>name</s>
  </dolist>

• 若在使用者表單的欄位中使用 global.attrname 變數，且有多項資源共用屬性，則亦應定義「衍生」規則 (ID-5074)。否則，若屬性在其中一個資源上的本質已改變，則此屬性可能 (也許不能) 被挑選或傳播到其他資源。

• 您無法在表單的 HTML 元件中使用以「&」開頭的特殊字串。例如，&nbsp; 將不會再當作空格顯示。此問題起因於變更「選取」清單所支援的特殊字元 (&<>’)。(ID-5548)

• <Comment> 標記所包含的表單、工作流程和規則註釋具有代表換行字元的 &#xA; 字串 (ID-6243)。只有在您檢視這些物件的 XML 時，才可看到這些字元；Identity Manager 伺服器會適當地處理這些字元。

• 若編輯使用者的資源時使用「資源表格使用者表單」編輯使用者，則表單第一次出現時不會擷取資源屬性。

  解決方法：按一下 [更新] 按鈕，以擷取屬性資料。(ID-10551)

• 若 Identity Manager 受到 Sun Java System Access Manager Policy Agent 的保護，即可能無法完整顯示工作流程進程圖。(ID-18304)