Sun™ Identity Manager 8.0 リリースノート |
Identity Manager 8.0 の機能
『Identity Manager 8.0 リリースノート』のこの節では、次の事項についての情報を提供します。
このリリースの新機能ここでは、Identity Manager 8.0 で提供される新機能についての追加情報を示します。情報の構成は次のとおりです。
Sun の新しいパッチプロセス
Identity Manager 7.1 Update 1 のリリース以降、顧客によって報告された重要かつ重大なバグの修正を含む更新は、従来のホットフィックスプロセスに代わる「パッチプロセス」を通じて配布されるようになりました。
パッチは 6 週間の間隔で開発、テスト、およびリリースされます。これらのパッチは GUI インストーラを備えていますが、手動インストールのオプションも用意されており、/WEB-INF/lib 内のファイルを更新します。パッチのインストール手順は、PDF 形式で配布されるパッチのリリースノートに記載されています。Gateway または Password Sync への修正はリリースノートに記載され、パッチのインストールによる更新を必要とします。
Identity Manager パッチは累積的であるため、個別に修正を適用するよりも多くの問題を修正できます。メジャーリリースまたはマイナーリリースをインストールする、あるいはそれらのリリースにアップグレードするときは、最新のパッチレベルへの更新を計画に組み込むことをお勧めします。たとえば、8.0 をインストールする時点、または 8.0 にアップグレードする時点でパッチ 3 が公開されている場合は、そのインストールまたはアップグレード後にパッチ 3 を適用してください。パッチ 3 にはそれ以前のパッチのすべての機能が含まれているため、パッチ 1 および 2 をインストールする必要はありません。
パッチプロセスの導入により、実際のバグ番号によって修正をより簡単に追跡できるようになります。ただし、古いバージョンに対して行われた修正が新しいバージョンではまだ提供されていない、という場合も考えられます。現在使用している Identity Manager のバージョンでどのプロセスを採用しているかに関係なく、必要なバグ修正のすべてが、アップグレード後の新しい Identity Manager のバージョンに含まれていることを確認する必要があります。
新しいパッチがリリースされると、すべてのカスタマサポートに告知が送付されます。パッチはカスタマサポートを通じて提供されます。入手可能な最新のパッチについては、Sun カスタマサポート (http://www.sun.com/service/online/us) までお問い合わせください。
主な機能
Identity Manager 8.0 で提供される主な新機能は、次のとおりです。
ロールの強化
Identity Manager 8.0 には、ロールによるライフサイクル管理機能が追加されています。この機能によって、ロールの変更をすべての割り当て済みユーザーに適用したり、ロールの作成、編集、削除に関して変更の承認を要求したりできるようになります。加えて、ユーザーおよびロール間のライフサイクル管理が改良され、将来における、および一時的なロール割り当てのサポートが実現しました。ロールの管理に関するベストプラクティスを推進する目的で、設定可能な機能を伴ったロールタイプが提供されるようになりました。デフォルトで含まれるロールタイプには、ビジネスロール、IT ロール、アプリケーション、およびアセットがあります。たとえば、ビジネスロールには、すべての人に必要なロール、一部の人に必要な条件付きロール、および、その他の人に必要な (リクエストに応じて付与される、または承認を必要とする) オプションのロールを含めることができます。これによりビジネスロールの設計者は、単一のビジネスロールの適用範囲内でまず大まかなアクセス権限を定義しておいて、各ユーザーに割り当てられるアクセス権限の微調整をユーザーまたはユーザーの上司に委任することが可能になります。
データエクスポータによるレポートの強化
Identity Manager によって使用および生成される運用データを、ほかのプロセスおよびアプリケーションで使用できるようにするためのデータエクスポータ機能が追加されました。データエクスポータを使用すると、Identity Manager によって保持される、また Identity Manager 経由で通信されるデータを、顧客が管理するデータウェアハウスや、サードパーティーの BI (ビジネスインテリジェンス) ツールまたはレポートツールに定期的にエクスポートできます。データのエクスポートはオプションであり、有効にした場合、顧客はいつ、どのデータがエクスポートされるかを設定できます。エクスポートされたデータは、「リソース X にだれがアクセスしたか、そのアクセスをだれが承認したか」のような履歴の調査に使用できます。また、そのデータは、「リソース別のプロビジョニング操作」や「ワークフローの手動アクション応答時間」のような、Identity Manager の長期的な運用および動作に関するレポートを生成する目的にも使用できます。Identity Manager リポジトリの内部に保持される運用データと、データエクスポータによってエクスポートされる履歴データの分離によって、このデータのライフサイクルをユーザーが明示的に制御することが可能になっています。ドキュメント化された、スキーマに準拠した形式でデータを提供することにより、ユーザーは、Identity Manager の将来のリリースでも有効であり続ける分析プロセスを構築および実行できるようになります。
属性設定
拡張属性、クエリー可能属性、および概要属性を、ユーザーだけでなくロールに対して設定できるようになりました。新しい拡張属性設定は、値の構文 (STRING、INT、DATE、または BOOLEAN)、属性が保持できる値の個数 (単一または複数)、および、属性のテキストによる説明の指定をサポートします。
管理者インタフェースとユーザーインタフェース
- 「フォームおよびプロセスマッピングの設定」ページで、質問ログインおよび匿名ログインのためのカスタムフォームをユーザーが指定できるようになりました。(ID-4697)
- ロール管理インタフェースが強化され、新しいロール機能をサポートするようになりました。詳細については、『Identity Manager 管理ガイド 8.0』マニュアルの「ロールとリソース」の章を参照してください。(ID-15518)
- Identity Manager のこのリリースでは、処理ダイヤグラムはデフォルトで無効になっています。システム設定オブジェクトを変更してアプリケーションサーバーを再起動することによって、処理ダイヤグラムを有効にできます。手順については、『Identity Manager 管理ガイド 8.0』の「プロセス図の有効化」の節を参照してください。(ID-16337)
- 「調整ポリシーの編集」ページに、オプションの保護手段が追加されました。このオプションは、リソース上の見つからないアカウントの数を評価し、しきい値を超過した場合、調停サーバーがそれらをリンク解除するのを防ぎます。詳細については、『Identity Manager 管理ガイド 8.0』マニュアルの「データの読み込みと同期」の章を参照してください。(ID-16391)
- Identity Manager から削除する必要があるが、保留中の作業項目を持っているユーザーに関する Identity Manager の動作が変更されています。詳細については、『Identity Manager 管理ガイド 8.0』の「管理」の章で、「作業項目の管理」の「削除されたユーザーへの委任」の項目を参照してください。(ID-16417)
- 管理者ロールを定義するときに、「管理する組織内にあるすべての子組織とそれに含まれるオブジェクトを除外する」チェックボックスを選択することによって、すべての管理する子組織とそれに含まれるオブジェクトを除外するように制御の範囲を指定できます。このチェックボックスを選択しない場合、管理者ロールが割り当てられたユーザーは、すべての子組織とそれに含まれるオブジェクトに対して、管理者ロールで定義された機能を付与されます。(ID-16859)
- 検索結果で管理者ロールが名前として表示されるようになりました。(ID-17130)
- Identity Manager 8.0 のエンドユーザーインタフェースで、結果ページが簡素化され、状態メッセージが表示されるようになりました。デフォルトのアップグレード設定は元の処理ダイヤグラムを保持するようになっていますが、新しいインストールでは状態メッセージが表示されます。「設定」->「ユーザーインタフェース」をクリックし、「エンドユーザープロセスダイアグラムの有効化」設定を有効にすることによって、処理ダイヤグラムオプションをデフォルトに設定できます。
エンドユーザーインタフェースで処理ダイヤグラムを有効にするには、製品全体に対して処理ダイヤグラムを有効にする必要があります。製品全体での処理ダイヤグラムの有効化については、「管理者インタフェースとユーザーインタフェース」の ID-16337 を参照してください。(ID-17365)
- エンドユーザーログインフォームが簡素化および再設計され、使いやすくなりました。
JSP の user/login.jsp が変更されたため、ユーザーがこのファイルに行ったカスタマイズがあれば、アップグレード時に手動でマージする必要があります。(ID-17368)- 新しいデフォルトの「End User Password Change」フォームでは、ユーザーが自分のパスワードを変更できます。ユーザーに割り当てられたすべてのリソースに対するパスワードポリシーがこのフォームに集約および要約され、パスワードの変更はすべての割り当てられたリソースに適用されます。パスワードの変更を適用するリソースをユーザーが選択する必要がある配備では、従来の「Basic Change Password」フォームを指定する必要があります。(ID-17371)
- ログイン時にユーザーに表示され、秘密の質問に答える必要があることを示すエラーメッセージが、警告として描画されるようになりました。(ID-17549)
- 匿名登録機能が有効なときに、「アカウントのリクエスト」ボタンがエンドユーザーのユーザーインタフェースに表示されなくなりました。代わりに、「はじめてのユーザーですか ?」というテキストとその横に「アカウントのリクエスト」リンクが表示されます。リンクの下には追加情報が表示されます。このページのテキストはカスタマイズ可能です。詳細については、『Identity Manager 配備に関する技術概要』マニュアルを参照してください。(ID-17582)
- DatePicker 表示コンポーネントに disableTextInput プロパティーが追加されました。このプロパティーを使用すると、テキストフィールドからのユーザー入力を禁止し、ポップアップカレンダーから日付を選択することをユーザーに強制できます。(ID-17586)
監査
データエクスポータ
フォーム
Identity Manager ビジネスプロセスエディタ (BPE)
Identity Manager 統合開発環境 (Identity Manager IDE)
- Identity Manager Integrated Development Environment (Identity Manager IDE) アプリケーションが、https://identitymanageride.dev.java.net で提供されるようになりました。プロジェクトのインストール、設定、および移行の手順もこのサイトで提供されます。(ID-17700)
インストール
パスワード同期
レポート
- Identity Manager の使用状況レポートおよび Identity Auditor のポリシー違反レポートを PDF 形式でダウンロードしたとき、レポートにグラフが含まれるようになりました。(ID-10719)
- 「単一ユーザー用の監査ログレポート」という名前の新しいレポートが使用可能になりました。単一ユーザー用の監査ログレポートは、監査ログレポートと同様に、システム監査ログに取り込まれたイベントに基づいています。ただし、このレポートではレポート対象のユーザーの指定を求められ、そのユーザーに対して実行されたアクティビティーのリストが返されます。詳細については、『Identity Manager 管理ガイド 8.0』マニュアルの「レポート」の章を参照してください。(ID-16976)
- AuditReportTask (および、LogRecordFormatter を使用するすべてのレポート) で、レポートに表示する列を選択できるようになりました。TaskDefinition および TaskTemplate で、useCustomColumns および customColumns 属性を使用します。(ID-17712)
- レポートの実行機能しか持たない管理者がレポートの実行前にレポートパラメータを指定できるように、レポートをカスタマイズすることが可能になりました。(ID-17733) この変更により、これらの管理者はレポートを実行する前、あるいは .csv または .pdf ファイルをダウンロードする前にレポートパラメータを設定できます。Identity Manager では、このようにして生成されるレポート定義への変更は保存されません。
既存のレポートに対してこの機能を使用するには、(true に設定した) alwaysProcessForm を TaskTemplate に追加します。単一ユーザー用の監査ログレポート以外の新しいレポートにこの機能を追加するには、TaskDefinition 起動フォームに、(true に設定した) alwaysProcessForm という名前のフィールドを追加します。
alwaysProcessForm が true に設定されたレポートを実行している管理者には、目的のデータをリポジトリから取得するための適切な機能を付与しておく必要があります。たとえば、ロールに関するレポートの場合、使用可能なロールのリストを取得するための機能が管理者に付与されている必要があります。
リポジトリ
- リポジトリとして Oracle を使用する Identity Manager インストールには、監査ログテーブル内の accountAttrChanges フィールドを VARCHAR(4000) 型から CLOB 型に変換するオプションがあります。この変更はオプションであり、監査ログに切り捨てエラーが見つかった場合にのみ実行することをお勧めします。サンプルの DDL スクリプトは web/sample/convert_log_acctAttrChangesCHAR2CLOB.oracle.sql にあります。変換スクリプトを実行する前に、影響を受けるテーブルを必ずバックアップしてください。(ID-17343)
リソース
新しいリソースアダプタ
このリリースでは、次の新しいリソースバージョンが追加されています。
リソースアダプタの更新
- メインフレームアダプタは IBM Host on Demand V10 をサポートします。(ID-6419)
- Microsoft SQL Server アダプタリソースウィザードで、データベースの選択が簡略化され、スキーマ内の userName$(dbname) 属性および roles$(dbname) 属性がそれに応じて自動的に保守されるようになりました。(ID-8546)
- SAP アダプタで、国際化されたメッセージを表示できるようになりました。(ID-9077)
- com.waveset.adapter.AttrParse クラスが削除されました。代わりに com.waveset.object.AttrParse を使用してください。(D-11870)
- UNIX アダプタが SSHPubKey 接続をサポートするようになりました。ユーザーはこの新しい機能によって、信頼されたワークステーションに対するパスワードを入力しなくても、遠隔ホストに接続できます。(ID-11959)
- SAP アダプタは、BAPI_USER_CREATE1 および BAPI_USER_CHANGE によって呼び出される任意の SAP テーブル (もっとも代表的なものでは、GROUPS および PARAMETER テーブル) にプロビジョニングできます。(ID-12217)
- そのアカウントを定義するリソースで許可されている場合、アカウントの名前に「@」記号を含めることが可能になりました。(ID-12383)
- セグメント内でデフォルトではサポートされていない属性をサポートするように、RACF アダプタおよび RACF LDAP アダプタを設定できます。(ID-13351)
- SAP リソースアダプタが、使用可能なユーザータイプおよびユーザーグループのリストを返すようになりました。(ID-16123)
- NetWare アカウントのプロビジョニングおよびパススルー認証に、同じゲートウェイを使用できるようになりました。この機能の実装については、『Identity Manager リソースリファレンス』を参照してください。(ID-16584)
- 「Siebel 8.0 nextRecord() エラーを無視する」リソースパラメータを使用すると、Siebel 8.0 で発生する nextRecord() エラーを Siebel CRM アダプタで無視できます。このエラーの詳細については、Siebel Alert 1315 を参照してください。(ID-16779、18159)
- 「CUA の有効化」リソース属性が true に設定されているとき、SAP アダプタはアカウントの名前変更を試みません。SAP は CUA モード時は名前変更をサポートしません。(ID-16986)
- データベーステーブルリソースアダプタで、アカウントの名前の変更がサポートされるようになりました。(ID-16993)
- 「接続ごとに読み取るユーザーの数」リソースパラメータが SAP アダプタに追加されました。このパラメータは、メモリーが適切なタイミングで解放されることを保証します。(ID-17017)
- Solaris リソースアダプタで、次回のログイン時にパスワードを変更することをユーザーに強制できるようになりました。この機能を有効にするには、スキーママップの「アイデンティティーシステムのユーザー属性」列に expirePassword を、「リソースユーザー属性」列に force_change をそれぞれ追加します。この属性の型は string に設定する必要があります。(ID-17032)
- SAP、SAP HR、および AccessEnforcer (ベースとなる SAP 実装) アダプタが、Secure Network Communications (SNC) をサポートするようになりました。この機能の実装については、『Identity Manager リソースリファレンス』を参照してください。(ID-17059)
- JDBC 接続用の組み込みの Identity Manager プールが改良され、最大アイドルタイムアウトをサポートするようになりました。最大アイドルタイムアウトよりも長時間、プール内で未使用のままになっていた接続は閉じられ、破棄されます。(ID-17107)
- Identity Manager SAP アダプタで、アカウント属性 accountLockedNoPwd および accountLockedWrngPwd が提供されるようになりました。accountLockedNoPwd 属性は、ユーザーがパスワードを持っていないことを理由にアカウントをロックするかどうかを示します。accountLockedWrngPwd 属性は、ログイン試行が失敗したことを理由にアカウントをロックするかどうか示します。(ID-17296)
- sendKeys(EncryptedData) メソッドが HostAccess クラスに追加されました。このメソッドは、パスワードのログ記録を回避するために使用できます。(ID-17544)
- 「リソースパラメータ」ページで「ネイティブタイムスタンプ」チェックボックスを選択すると、データベーステーブルアダプタは Oracle の timestamp データ型を適切に処理します。(ID-17551)
- JMS リスナーアダプタで、新しいリソースパラメータ「受信タイムアウト」が使用可能になりました。このパラメータを使用すると、ポーリングを終了するまでにアダプタが着信メッセージを待機する時間を設定できます。このパラメータはデフォルトで 10 秒に設定されます。(ID-17935)
- JMS リスナーアダプタが、ポーリングごとに新しい接続を確立するようになりました。(ID-17941)
- JMS リスナーアダプタを Java Management Extensions (JMX) を使用して監視できるようになりました。(ID-17943)
- NDS Groupwise に対するパスワード更新で、暗号化パスワードが正しく処理されるようになりました。(ID-18020)
- 旧バージョンモードの Sun Access Manager リソース用に、リソースパラメータ「検索範囲」が追加されました。この属性は、Access Manager オブジェクトの検索の有効範囲を指定します。有効な値は oneLevel および subTree です。デフォルト値は subTree です。(ID-18079)
ロール
Identity Manager は、既存のスーパーロールから、それらを参照するサブロールへのリンクを検出および作成します。Identity Manager はアップグレードの間、ロールを修復するために使用される RoleUpdater クラスを呼び出します。
新しい RoleUpdater.xml ファイル (sample/forms/RoleUpdater.xml) をインポートすることによって、アップグレードプロセスの外部でロールを更新できます。デフォルトでは、Identity Manager はアップグレード中、またはユーザーが RoleUpdater.xml をインポートしたときにサブロールリンクを追加します。
この新しい機能を無効にするには、RoleUpdater 属性 nofixsubrolelinks を true に設定します。次に例を示します。
- Identity Manager のロール管理のしくみが大幅に変更されました。ユーザーおよびロール間のライフサイクル管理に加えて、ロールによるライフサイクル管理を行う能力を大幅に強化する新しい機能が追加されました。Identity Manager は、ビジネスロール、IT ロール、アプリケーション、およびアセットの 4 つのロールタイプをサポートするようになりました。Identity Manager の以前のバージョンからバージョン 8.0 にアップグレードすると、旧バージョンにおける組織のロールは自動的に IT ロールに変換されます。Identity Manager 8.0 でロールがどのように機能するかの詳細については、『Identity Manager 管理ガイド 8.0』の「ロールとリソース」の章を参照してください。(ID-17677)
- ロール管理インタフェースで、ロールの変更を割り当て済みユーザーに適用できるようになりました。(ID-17719)
- ユーザー概要レポートおよびロールレポートで、ロールおよびロール割り当てに関するより多くの情報が報告されるようになりました。(ID-17751)
- Identity Manager がロールの拡張属性値をサポートするようになりました。(ID-17770)
シナリオ
セキュリティー
- LDAP リソースおよび Active Directory リソースを使用するパススルー認証とともに使用したときに、質問ログインのインタフェースが正常に機能するようになりました。以前は、パスワードを忘れたとき、ユーザーはリソースアカウント ID の代わりに (ユーザーが知らなかった可能性がある) Identity Manager アカウント ID の入力を要求されました。対話型チャレンジページでは、以前はパスワードだけが必須でしたが、ユーザーはリソースアカウント ID とパスワードの両方を再入力することを要求されるようになりました。(ID-9616)
- SSH 認証で、非公開鍵と公開鍵のペアリングが許可されるようになりました。ユーザーはこの新しい機能によって、信頼されたワークステーションに対するパスワードを入力しなくても、遠隔ホストに接続できます。(ID-11959)
- ユーザーオブジェクトのパスワード履歴セクションに格納されるパスワードが、元の文字種 (大文字と小文字) のままで格納されるようになりました。パスワードポリシーの適用中に行われる比較では、引き続き大文字と小文字が区別されないため、この変更は製品の動作に影響しません。(ID-12705)
- このリリースには、クロスサイトリクエスト偽造 (CSRF) 攻撃を防ぐためのセキュリティー機能が含まれています。この機能はデフォルトでは有効ではありません。この機能を使用するには Cookie が必要です。セキュリティー上の理由で Cookie を無効にしている場合は、Identity Manager を使用する上での妨げとなるため、この機能を有効にしないでください。Cookie にはユーザーを識別するデータが格納されることはなく、Cookie がメモリー上に存在するのはユーザーのセッション期間中だけです。(ID-16703)
セキュリティー保護を有効にするには、システム設定オブジェクトを編集して、security.csrfGuardToken.enable を true に変更します。システム設定オブジェクトの編集方法については、『Identity Manager 管理ガイド 8.0』の手順説明を参照してください。
- 「Debug」という名前の新しいタスクベースの機能が Identity Manager に追加されました。これは、ユーザーが Identity Manager のデバッグページにアクセスして操作を実行する前にページから要求される機能です。以前は、特定の機能を付与されたユーザーが、適切なアクセス権を持たないまま、デバッグページにアクセスしてそのページから操作を実行できる可能性がありました。現在は、「Debug」機能を付与されていないユーザーはエラーページに転送されます。デフォルトでは、この機能は管理者ユーザーおよび configurator ユーザーに割り当てられます。また、「Waveset Administrator」機能および「Security Administrator」機能には、この新しい「Debug」機能が含まれています。(ID-16999)
- ログインの質問への回答を複数回間違えたという理由でロックされたアカウントに対して、有効期間を設定できるようになりました。この機能を実装するには、次のオプションを選択します。
- パスワードおよび質問によるログインの失敗カウンタは、自動でのアカウントロックアウト期限切れの間にクリアされません。パスワードログイン試行エラーおよび質問ログイン試行エラーの両方が、エンドユーザーインタフェースおよび管理者インタフェースに正しく表示されます。(ID-17412)
- Waveset.properties に、相対 URL を使用する設定をサポートするための ui.web.baseHrefURL プロパティーが追加されました。(ID-17763)
- Identity Manager が、PKCS#11 キーストアの設定をサポートするようになりました。キーストアを取り込むために、TransactionSigner HTML コンポーネントに対して、下位互換性のない変更を加える必要がありました。(ID-17769)
表示プロパティー supportedKeyStoreTypes はサポート対象外になりました。現在は、単一値の supportedKeyStoreType が存在します。これは JKS、PKCS12、または PKCS11 のいずれかです。デフォルト値は、システム設定プロパティー security.nonrepudiation.defaultKeystoreType によって決定されます。一般的には、システム全体プロパティー security.nonrepudiation.defaultKeystoreType を設定するだけで十分です。
TransactionSigner アプレットでは、PKCS11 署名のサポートを追加するために、JRE 1.5 でのみ提供される機能を使用する必要があります。TransactionSigner アプレットを使用するすべてのクライアントで、ブラウザ用の JRE として JRE1.5 がインストールおよび設定されている必要があります。
サーバー
- オブジェクトグループの動的メンバーであるユーザーの数が増加するにつれて、パフォーマンスが大幅に向上するようになりました。(ID-17561)
- Identity Manager 8.0 では、ユーザーオブジェクトの拡張属性、クエリー可能属性、および概要属性を管理者が指定する場所が、新しい IDM Schema Configuration オブジェクトに統合されます。(ID-17784) 以前のバージョンの Identity Manager では、管理者はユーザーオブジェクトの拡張属性を追加するには User Extended Attributes 設定オブジェクトを、ユーザーオブジェクトのクエリー可能属性または概要属性を追加指定するには UserUIConfig 設定オブジェクトを、それぞれ編集していました。これらの目的のために管理者が編集する対象は、IDM Schema Configuration オブジェクトになりました。
IDM Schema Configuration オブジェクトへの変更は、Identity Manager サーバーが次回に起動するまで、そのサーバーに対して有効になりません。IDM Schema Configuration オブジェクトの存在により、再変換が禁止されます。詳細については、リリースノートの「アップグレードの問題点」の節を参照してください。
SPML
同期
その他
- com.waveset.server.Server の public Map getResourceObjectListCache() 関数および public Map getResourceObjectGetCache() 関数は非推奨になりました。これらのキャッシュは内部データ構造です。これらの構造に依存するコードは、今後機能しなくなります。(ID-14790)
- Identity Manager に製品登録機能が追加されました。登録するには、Sun Online アカウントおよびパスワードが必要です。Sun Online アカウントを持っていない場合、次のアドレスでフォームに入力することによって、アカウントの登録手続きができます。(ID-17133)
このリリースで解決されたバグここでは、Identity Manager 8.0 で解決されたバグについて説明します。情報の構成は次のとおりです。
管理者インタフェースとユーザーインタフェース
- 「フォームおよびプロセスマッピングの設定」ページで、質問ログインおよび匿名ログインのためのカスタムフォームをユーザーが指定できるようになりました。(ID-4697)
- DatePicker フォーム UI コンポーネントが、action=true をサポートするようになりました。(ID-4930)
- NetCharts アプレットは JGraph イメージに置き換えられました。(ID-14736)
- 「サーバータスク」テーブルが、タイプに基づいて正しくソートされるようになりました。(ID-14850)
- パスワードポリシーを適用するときに、Identity Manager がパスワード履歴内の最初のユーザーパスワードを取り込んでいませんでした。代わりに、変更されたパスワード値のみが追跡されていました。つまり、過去の 3 つのパスワードを再使用できないことがポリシーで定義されていて、ユーザーが自分のパスワードを 2 回しか変更していない場合、Identity Manager では最初のパスワードを再使用できる状態になっていました。このバグはこのリリースで修正されました。(ID-15026)
- UI 内で「ユーザーの編集」機能を使用してユーザーからリソースアカウントの割り当てを解除するときに、どの場合でもアカウントインデックスのアカウントの「状況」が正しく更新されるようになりました。(ID-15310)
- エンドユーザーインタフェースで、承認作業項目を別の承認者に転送するためのメニューが、以前は正しく生成されていませんでした。この問題は修正されました。現在では、このリストは正しく生成され、エンドユーザーインタフェースにログインしているユーザーの制御の範囲内にいる承認者のリストが表示されます。(ID-15935)
- ManualAction WorkItem に対してタイムアウトが発生したときに、以前はタイムアウトエラーがユーザーに返されませんでした。ユーザーにはその代わりに、古くなったワークフロー処理ダイヤグラムが表示されていましたが、これはフォームが正しく処理されたという印象を与えるものでした。この問題は修正されました。現在では、IgnoreTimeout オプションが有効にされている場合を除き、ユーザーは workItemTimeout.jsp ページにリダイレクトされます。(ID-16467)
- 現在または以前の作業項目 (workItem) 委任を編集および保存できるようになりました。(ID-16564)
- 管理者がユーザーに代わって委任を作成するとき、管理者はそのユーザーの制御の範囲の外にいる委任先を選択できません。管理者の制御の範囲は、代理によって委任が行われているユーザーと同じになりました。以前は、ユーザーに代わって委任を作成するとき、管理者はユーザーが選択できない委任先を選択できました。(ID-16561)
- Sun Identity Manager がユーザーを認証できないときに、パスワードログインの失敗および秘密の質問によるログイン失敗の回数が UI に表示されるようになりました。(ID-17188)
- ユーザーインタフェースの「保留中の承認」テーブルで、ソートが正しく機能します。(ID-17304)
- 操作に続く結果ページに「OK」ボタンが常に含まれるようになりました。(ID-17482)
- System Configuration.forgotPasswordChangeResults.User が明示的に設定されていない新規のインストールまたはアップグレードでは、「パスワードをお忘れですか?」ボタンを使用してパスワードを設定したあとで必ず、成功または失敗を示す確認ページが表示されます。System Configuration.forgotPasswordChangeResults.User が明示的に設定された場合、動作は変わりません。(ID-17619)
- すべてのブラウザで、月の値のドロップダウンボックスに完全な月リストが表示されるようになりました。(ID-17740)
- いくつかのクロスサイトスクリプティング (XSS) 脆弱性が修正されました。(ID-17748、18054)
- SimpleTable UI 表示コンポーネントおよび gentable.jsp ファイルによって生成されるテーブルが、描画された HTML で <TH> タグを正しく閉じるようになりました。(ID-17945)
- 単一のブラウザでエンドユーザーインタフェースおよび管理者インタフェースの両方に接続したときに、フォームが適切なインタフェースのみに表示されるようになりました。(ID-18039)
- リソースリストの「Status」列では JavaScript が許可されていませんが、文字列コンテンツではセーフ HTML マークアップが許可されており、正しく表示されるようになりました。(ID-18050)
- 一括操作のエラーで、フォームが可視の HTML マークアップを伴わない InlineAlert を生成するようになりました。(ID-18338)
- UI 内でのディレクトリートラバーサルの脆弱性が修正されました。この脆弱性は、Identity Manager サーバー上に存在するファイルに、権限のないユーザーがアクセスできることの原因となっていました。(ID-18653)
- 「アカウントのリスト」ページの表示速度が向上しました。(ID-18751)
監査
- 「優先度の設定」アクションが監査ログに適切に記録されるようになりました。(ID-16924)
- 以前は、アカウントタイプを伴うリソースにポリシーが限定される監査ポリシーを作成すると、NullPointerException がユーザーインタフェースで発生していました。この問題は修正されました。(ID-16977)
- 以前は、「isTrue」を使用する監査ポリシー規則を作成すると、規則に比較値が必要であることを示すエラーが発生していました。この問題は修正されました。(ID-17041)
- アテステーションコメントテキストが不適切に消去されることがなくなりました。(ID-17418)
- 電子メール通知イベントが監査の対象になりました。(ID-17708)
- 重複したデータベースキーが監査ログから削除されるようになりました。重複キーは拡張型 (AV) および拡張アクション (PE) です。(ID-18642)
PE キーを伴ってログに記録されるアクションは、EndProcess および PreOperation です。PreOperation アクションはデータベースキー PP を使用するようになりました。AV キーを伴ってログに記録される型は、AccessReview および AccessReviewWorkflow です。AccessReviewWorkflow 型はデータベースキー AW を使用するようになりました。
PE キーの付いた既存の監査レコードは、監査ログレポートによって EndProcess アクションとして解釈されます。AV キーの付いた既存のレコードは、AccessReview として解釈されるようになりました。
データベース内の監査レコードを SQL を使用して更新すると、(レコードが改ざんされたように見えるという理由で) セキュリティー上の懸念となる可能性があるため、バージョン 8.0 よりも前に作成されたこれらのレコード (PE または AV の logDB キーを持つレコード) は無視することが推奨されます。
委任
- 委任サイクルが実行時および作成時にチェックされるようになりました。(ID-17387)
- 2 ホップ委任では、最初の委任者が是正作業項目の委任を終了したとき、すべての既存の是正作業項目が最初の委任者に戻るようになりました。(ID-18435)
- 委任を設定しているとき、委任可能なすべての作業項目タイプがドロップダウンリストに表示されるようになりました。管理者 UI の委任ドロップダウンリストで、表示される作業項目タイプがフィルタされなくなり、委任可能なすべての作業項目タイプが一覧表示されるようになりました。エンドユーザー UI では、5 つの基本的な作業項目タイプだけがドロップダウンリストに一覧表示されます。(ID-18496)
- Identity Manager 8.0 では、これらの作業項目タイプを委任する機能に加えて、ロールタイプおよびロール変更の承認 (ロールタイプ固有の変更承認を含む) が追加されました。新しいロールタイプまたはロール変更の作業項目タイプを委任するときに、特定のロールを指定する機能のサポートも追加されました。(ID-18558)
フォーム
インストール
lh コンソール
ログ
組織
- User オブジェクトおよび ObjectGroup オブジェクトが強化されました (defect 14973)。これらのオブジェクトが以前にサポートしていた 2 つのフォーム (ユーザーの表示、ユーザーの編集) を拡張し、複数のユーザー単位またはオブジェクトグループ単位のカスタムフォームをサポートするようになりました。User と ObjectGroup の両方について、これらの新しいフォームは XML の <CustomForms> 要素に格納されます。waveset.dtd で <CustomForms> は <ObjectGroup> の要素として宣言されていなかったため、カスタムフォームを伴う ObjectGroup の XML は妥当性検査を通過しませんでした。この defect では、<CustomForms> を要素として waveset.dtd に追加します。(ID-17812)
プロビジョニング
レポート
- 「レポート」ページの「レポートの同時実行を許可」チェックボックスをクリックすることによって、同じタスク名を持つ複数のレポートを同時に実行できるようになりました。(ID-14631)
- レポートの編集中に「実行」ボタンでレポートを実行しても、レポートの変更が自動的に保存されることがなくなりました。レポートの変更を保存するには、「保存」ボタンを使用します。(ID-17212)
- 一部の HTML 電子メールレポートで、null でない列見出しが取り込まれるようになりました (これらの列内の空リンクが削除された)。(ID-17369)
- 「レポートタイムライン」で日付の範囲を選択したときに、監査ログレポートはすべての関連するレコードを示します。(ID-17621)
- 名前にアンパサンド (&) が含まれるセキュリティーグループを含む Active Directory サーバーに対してグループレポートを生成しても、XMLParserException が発生せず、予期したとおりに描画されるようになりました。(ID-17942)
- リソースユーザーレポート、リソースグループレポート、およびユーザーアクセスレポート (および、com.waveset.report.IndividualUserReport または com.waveset.report.GroupMemberReport を使用するすべてのカスタムレポート) で、レポートエントリの間に「レコードが見つかりませんでした」が出力されなくなりました。(ID-18049)
- レポートを編集してから「実行」ボタンで実行するときに、レポートビューアがフォームプロパティー refType を正しく処理するようになりました。フォームの refType プロパティーは、refType プロパティーの値で指定された型の ObjectRef を作成するようにビューアに指示します。この ObjectRef は、オブジェクト名の代わりにクエリーの属性値として使用されます。(ID-18107)
- username フィールドを正しい値に設定したときに、IndividualUserReport.java を使用するレポート (リソースユーザーレポートおよびユーザー詳細レポート) がレポートを正しく取得するようになりました。(ID-18260)
- アクセスレビュー概要レポートが、アクセスレビューのリストを取得するための条件内で、parTaskInstanceName 属性の代わりに parInstanceName 属性を使用するようになりました。また、Access Review オブジェクトが選択されていないときに、レコードが見つからないことがレポートで正しく報告されるようになりました。(ID-18282)
- 単一ユーザー用の監査ログレポートにヘルプページが追加されました。(ID-18539)
- ASCII 以外の文字を含む長いタスク名のレポートが、正しいファイル名でダウンロードされるようになりました。(ID-18550)
- 最新システムメッセージレポートで、メッセージ列に多くのデータが含まれているときにレポートを読みやすくするために、メインレポートテーブルでの表示でデータが 128 文字に切り詰められるようになりました。レポートレコードの詳細には、以前と同様にすべてのデータが含まれています。この修正は、TaskDefinition で実行者として com.waveset.report.SyslogReportTask を使用するすべてのレポートにも適用されます。(ID-18657)
リポジトリ
- UserUIConfig オブジェクトで概要属性として role が設定されるとき、デフォルトでは 3 つのロールだけが概要文字列に含まれます。デフォルト値を変更するには、UserUIConfig の SummaryAttrrResourceCountLimit 属性を使用します。(ID-13291)
- Identity Manager が、有効な接続を閉じて接続プールから削除することがなくなりました。以前は、致命的でない例外が原因で、正常に機能している接続を Identity Manager が閉じる可能性がありました。(ID-13719)
- 今日/週単位のアクティビティレポートで、CLOB 型の log.acctAttrChanges に対して NullPointerException (NPE) が発生する問題が修正されました。(ID-17346)
- 監査イベントの書き込み時に、テーブルサイズの大きい監査ログが著しいパフォーマンス低下を引き起こすことがなくなりました。(ID-18053)
リソース
- com.waveset.ui.FormUtil の getResourceObjects() メソッドを XPRESS から呼び出したときに、Active Directory リソースに対して正しく複数値の属性が返されます。(ID-11965)
- Resource Extension Facility (REF) キットに含まれるスケルトンテストが、製品で配布されないクラスに依存しなくなりました。以前は、製品に含まれていない com.waveset.junit.WavesetRunner および com.waveset.junit.WavesetSuite にスケルトンテストが依存していましたが、テストが再設計されてこの依存性は除去されました。(ID-12370)
- name または mapName 属性が null のときに、Resource.getAccountAttributeType(name,mapName) メソッドが正しく機能するようになりました。(ID-13598)
- リソースに対する「同期ポリシーの編集」をキャンセルしたときに、Identity Manager がリポジトリに成果物を作成しなくなりました。また、Remedy リソースに対してエラーが発生しなくなりました。(ID-14356)
- Solaris NIS アカウントの更新時に無効なグループ名が指定された場合、Identity Manager はエラーメッセージを表示します。(ID-15841)
- 以前は、ExampleSPML2ResourceAdapter のユーザーに対し、リクエストの変更が実行されないという報告がなされていました。変更要素がデータ要素内で入れ子になっているときに、SPML v2 の変更リクエストが処理されるようになりました。(ID-16646)
- LDAP リソースアダプタのエラー処理で、以前は多数のハードコード文字列およびメッセージフォーマットが使用されていました。このリリースでは、LDAP ベースのリソースアダプタによる例外からのエラーメッセージはローカライズされています。(ID-16721)
- ゲートウェイトレースモジュールでバッファーオーバーランが発生する可能性がある問題が修正されました。(ID-17093)
- Sun Access Manager データストアで「レルム設定をコピー」オプションが設定されている場合、amAdmin ではなくサブレルムの管理ユーザーがそのサブレルムにプロビジョニングします。これは、このオプションが設定されているとき、アイデンティティーは技術的には、それらが作成されたレルムまたはサブレルム内にのみ存在しているためです。(ID-17101)
- Identity Manager NDS ゲートウェイの 8.0 バージョンにはシングルスレッドモードがないため、ExclusiveNDSContext レジストリキーは今後使用されません。これにより、以前にシングルスレッド NDS ゲートウェイ経由で GroupWise ユーザーをプロビジョニングするときに発生していたエラーが除去されます。(ID-17144)
- LDAP リソースアダプタで、調整中に IndexOutOfBoundsException が発生しなくなりました。(ID-17454)
- スクリプトゲートウェイアダプタはパスワードの変更をサポートしません。スキーママップにパスワードアカウント属性を追加する場合、これを回避しようという試みをアダプタが防ぐようになりました。(ID-17533)
- LDAPResourceAdapterBase クラスに対してトレースを有効にすると null ポインタ例外がスローされる問題が修正されました。(ID-17588)
- accounts[os400].accountId を参照しても、waveset.accountId が返されなくなりました。代わりに、OS400 アカウントの accountId の正しい値が返されます。(ID-17632)
- 接続先の SAP システムに PASSWORD_FORMAL_CHECK 関数モジュールが含まれていないときに、SAP リソースアダプタが JCO_ERROR_FUNCTION_NOT_FOUND エラーをスローしなくなりました。(ID-17665)
- SSH 経由で VMS リソースに正常に接続できるようになりました。アップグレードを行っている場合、VMS リソースウィザードに変更を適用するには、update.xml を実行するか、または resourceWizardForms.xml を再インポートする必要があります。(ID-17695)
- シェルスクリプトリソースアダプタで、無効化、有効化、および名前の変更の各操作の終了コードが認識されるようになりました。(ID-17749)
- Identity Manager Gateway が正常にシャットダウンされたときに、Domino 7.x サーバーコンソールログに「異常終了」メッセージが表示されることがなくなりました。(ID-17782)
- UNIX リソースアダプタが修正され、ユーザーによる読み取り/書き込みのパーミッションだけが設定された一時ファイルを作成するようになりました。(ID-17835)
- Netware NDS GroupWise アカウントの暗号化パスワードが正しく更新されるようになりました。(ID-18020)
ロール
セキュリティー
サーバー
- タイムスタンプのあいまいさが排除され、GMT +/- <num> のようなタイムゾーン指定を使用するようになりました。(ID-8297)
- デフォルトの LocalFiles リポジトリが GlassFish で機能するようになりました。(ID-15589)
- エンドユーザーの承認および管理者の編集処理の間に、リポジトリのデッドロックを引き起こしていた問題が解決されました。(ID-16926)
- getReader() の呼び出し後に文字エンコーディングが設定された場合に、アプリケーションサーバーが警告メッセージをログに記録しなくなりました。(ID-17900)
- 主体がそのビュー内のユーザーでない場合に、ビューを取得している主体の作業項目が、ユーザービューに含まれなくなりました。(ID-18430)
サービスプロバイダ
- Service Provider Edition インスタンスでの使用のために設定されたシングルサインオン (SSO) レルムに対してユーザー認証を行い、そのユーザーが Service Provider Edition インスタンスに存在しない場合、ユーザーには適切なエラーメッセージが表示されます。以前は、ユーザーには Service Provider Edition ホームページが表示されましたが、一覧表示されたアクションをどれも実行できませんでした。(ID-13194)
- サービスプロバイダを設定するときに、lh コンソールの export all コマンドが java.lang.UnsupportedOperationException で失敗しなくなりました。デバッグページで、「List Object」のオプションとして IDMXUser が表示されなくなりました。(ID-16141)
- 以前は、サービスプロバイダユーザーがサービスプロバイダエンドユーザーインタフェースにログオンしたとき、2 つのログイン監査イベントが送信されていました。単一の監査イベントだけが送信されるように、この動作が修正されました。(ID-16742)
- 以前のリリースでは、サービスプロバイダーユーザーに対する属性レベルの変更が監査レコードで追跡されていませんでした。Identity Manager は、サービスプロバイダ属性への変更、トランザクションが実行されたサーバーの名前、およびログインインタフェース名を監査するようになりました。(ID-16837)
Identity Manager と異なり、サービスプロバイダは属性変更の古い値を記録せず、試行された値と新しい値のみを記録することに注意してください。サービスプロバイダは、リソース割り当ての変更と認証回答の変更のどちらも記録しません。
- 以前は、イベントの追跡が有効なとき、リポジトリ内のタスクテーブルのサイズが非常に大きくなっていました。この問題は修正されました。(ID-16923)
- サービスプロバイダの Service Provisioning Markup Language (SPML) の変更リクエストが、リクエストで指定されていない拡張属性を削除しなくなりました。(ID-17145)
- メモリー内および永続的データストア内のトランザクションデータが正しく同期されるようになりました。(ID-17384)
同期
- 存在しないユーザーを削除したとき、Identity Manager はエラーをログに記録しますが、レポートのための監査イベントは作成しませんでした。現在では、Identity Manager は存在しないユーザーの delete 操作をログに記録するようになりました。6.0 SP4 以降のバージョンでは、このログはシステムログおよび監査ログレポートで利用可能です。(ID-13284)
- AD Sync Recovery Collector タスクは、グローバルカタログサーバー上で正しく機能します。(ID-17851)
- Active Directory リソースに対する Active Sync でグローバルカタログが使用されるとき、その Active Directory リソースに対する AD Sync Recovery Collector タスクでの各ホスト名は Global Catalog とみなされるようになりました。(ID-18597)
ワークフロー
- サンライズ日付が過去の時間を正しく計算するようになりました。(ID-11247)
- 調整後ワークフローにおける java.lang.NullPointerException エラーが修正されました。(ID-16893)
- サンプルの調整後ワークフロー Notify Reconcile Finish が変更され、ReconcileStatus ビューに対する getView の呼び出しから waitForCompletion オプションを削除するようになりました。(ID-17151) 加えて、すべての調整後ワークフロー内の waitForCompletion オプションを削除することも推奨されます。ワークフローを起動する前に調停サーバーは結果をフラッシュするので、このオプションはワークフローの内部からは不要になりました。調整後ワークフローで waitForCompletion=true を設定しない場合、ワークフローはハングアップします。
解決されたその他の不具合
17111、17242、17269、17414、17668、18555