2008 年 3 月
本文档概述了对
4.21 是 4.20(于 2007 年 9 月发布)的平台更新。它提供了用于全新安装的完整安装包以及用于从 4.20 进行升级的迁移选项。有关如何从 4.20 之前的版本进行升级的信息,请参阅产品文档。
|
Select Identity 4.21.000 版支持以下 WebSphere 6.1.0.13 平台组合: ·
Oracle 10g,Red Hat Linux 4.0 版 x86-64(64 位操作系统) ·
Oracle 10g, ·
Oracle 10g, ·
Oracle 10g,Win2003 Standard、 ·
MS-SQL 2005,Win2003 Standard、Enterprise、Datacenter x86-64(64 位操作系统) ·
Oracle 10g,Win2003 Standard、Enterprise、Datacenter x86-64(32 位操作系统) ·
MS-SQL 2005,Win2003 Standard、Enterprise、Datacenter x86-64(32 位操作系统) Select Identity 4.21.000 版支持以下 WebLogic 9.2 MP1 平台组合: ·
Oracle 10g,Red Hat Linux 4.0 版 x86-64(64 位操作系统) ·
Oracle 10g, ·
Oracle 10g, ·
Oracle 10g,Win2003 Standard、 ·
MS-SQL 2005,Win2003 Standard、Enterprise、Datacenter x86-64(64 位操作系统) ·
Oracle 10g,Win2003 Standard、Enterprise、Datacenter x86-64(32 位操作系统) ·
MS-SQL 2005,Win2003 Standard、Enterprise、Datacenter x86-64(32 位操作系统) ·
Oracle 10g,Red Hat Linux AS3.0(32 位操作系统) Select Identity 4.21.000 版支持以下 JBoss AS 4.0.5.GA(在 http://labs.jboss.com/jbossas/downloads 提供)平台组合: ·
Oracle 10g,Red Hat Linux 4.0 版 x86-64(64 位操作系统) ·
MS-SQL 2005,Win2003 Standard、Enterprise、Datacenter x86-64(64 位操作系统) ·
MS-SQL 2005,Win2003 Standard、Enterprise、Datacenter x86-64(32 位操作系统) 本地化版本的语言 CD 基于 Select Identity 4.21。 平台更新和其它迁移脚本可能会在其它时间发布。请向您的 本版本是对 HP Select Identity 软件的升级,其中包括增强功能和新增功能,并修复了上一版本中的一些问题。此版本的 Select Identity 在安全性方面进行了改进,强烈建议所有客户部署与其版本相应的修补程序或升级到 4.21。 |
|
有关 |
|
新功能 |
·
为附属帐户添加服务 主帐户和附属帐户均可订阅服务,而与其帐户关系无关。联机帮助中对此进行了说明。 ·
安全提问的本地化支持 可让管理员使用支持的语言输入安全提问,并设置按照用户的首选语言为用户显示问题。联机帮助中对此进行了说明。 ·
文档 现在,Select Identity 文档在 http://h20230.www2.hp.com/selfsolve/manuals 上在线提供 ·
Web 服务 o 对 SPML 2.0 进行了改进,可以: o 使用服务架构中的标准 XML 批注标识情景和可搜索属性。 o 支持服务级别和属性级别的约束搜索。 《Web Services Guide》中对此进行了说明。 ·
ServiceCenter 集成增强功能 SI-SC 集成已进行了增强,可以: o
在 Select Identity 请求中显示 ServiceCenter“更改 ID”。 o
添加对 SI-SC 和 SC-SI 通信的 SSL 支持。 o
在 ServiceCenter 中显示指向 Select Identity 请求 URL 的链接。 o
支持所有委派的用户和所有密码操作(重置、更改、遗忘)。 o
提供 ServiceCenter 配置脚本。 o
移除对 SOAP API SDK 通信的 ServiceCenter“授权使用”(LTU) 要求。 《安装指南》中对此进行了说明。 |
|
软件修复 |
· HPSBMA02309 o 修复了删除服务操作当中的问题。 o 修复了在激活以及取消激活休假委派中的问题。 o 修复了从数据库中检索请求当中的问题。 o 修复了终止请求中的问题。 o 修复了请求批准过程中的问题。
o
修复了与 Service Desk
集成中关于遗忘、更改和重置密码方法当中存在的问题。
o
修复了与 o 解决了报告安排当中的一个问题。 o 解决了工作流修改操作当中的一个问题。 o 解决了修改与删除服务操作中存在的问题。 o 解决了更改密码当中的问题。 o 解决了密码提示设置当中的问题。
·
HPSBMA02317 o 解决了转移帐户当中的问题。 o 解决了拆分帐户当中的问题。 o 解决了服务角色有关可选属性的问题。 o 解决了在多个目标上更改密码的问题。 ·
如果在安装过程中遇到错误后使用“上一步”按钮,Select Identity 部署不再失败。 ·
安装 WebLogic 时不再需要 qname.jar 文件,并且已从服务器启动 classpath 中移除该文件。 ·
现在,在安装过程中,会从 <SI_Install_Dir>/lib 目录中自动移除以下文件:commons-collections.jar、commons-httpclient-3.0.jar、commons-pool-1.2.jar 和 ecs.jar。 ·
在 Win2003 上进行群集安装后,不再需要手动修改 WebLogic 服务器 classpath。 ·
情景搜索正确返回显示值而不是内部值。 ·
定义为配置文件属性的文档属性在用户“配置文件属性”面板上正确显示属性名称。 ·
使用 nCipher 硬件安全模块 (HSM) 进行的对象迁移“仅加密”现在有效。 ·
即使多页审批表单包含在该表单中不可见的属性,审批也不再失败。 ·
管理特定情景的管理员使用包含通配符情景的服务执行移动操作时,操作不再失败。 ·
终止主用户帐户时,不再需要指定协调删除策略工作流。Select Identity 现在会移除关联的附属用户帐户,而与工作流无关。 ·
Select Identity 现在可识别对服务角色服务事件的修改并会生成一个审批请求。 ·
现在,将服务事件添加到服务情景中后,审批显示是正确的。 ·
将具有权限组的用户添加到包含 UCA Domino 和 UCA Unix 资源的服务不再失败。 ·
UCA CRL 检查现在有效。 ·
将密钥从服务器类型更改为客户端类型不再需要重新启动 Select Identity。 ·
现在支持更改 UCA Unix 连接器的 UserName。 ·
如果连接器证书不在 Select Identity 中,则会阻止用户创建 UCA Unix 资源。 ·
nCipher 硬件安全模块 (HSM) 现在可以用于连接器的双向验证(包括 UCA 连接器)。 ·
在用户终止后发布的证书现在可供其他用户使用。 · 经过更新的《Web Service Guide》中包含有关查询公钥和重新激活工作流的信息。 · 对于 4.13 版本之前的数据库,提供了数据库迁移所需的清理脚本。当在修改迁移的服务过程中出现错误时,使用此脚本可以从数据库中移除重复的情景值。此脚本位于: database\Upgrade\MSSQL\mssql_migrate_data_413_413002.sql database\Upgrade\ORACLE\oracle_migrate_data_413_413001.sql ·
已经在 SPML2.0 WSDL 上更正了以下问题: o
单击 workflowActivation.wsdl 后不再显示一个空白页。 o
keyInfoQuery.wsdl 模板现在使用 soapPort 令牌,因此转换后的 WSDL 会显示正确的 soap 端口。 o
已经对现有的 Axis 服务处理程序(wfActivation、keyInfoQuery SPML 2.0)进行重构,以使用 SOAP 服务 (axis2/services) 路径而不是 REST (axis2/rest)。 o
SPML 响应“Content-Type”已经更改,以适应 SOAP 1.1。“Content-Type”现在设置为 text/xml 而不是 application/xml。 |
|
安装 |
· 在安装过程中,如果安装目录的路径过长,将不会正确显示某些浏览按钮。如果出现这种情况,请手动输入信息。 · 安装 Select Identity 后,无法更改 keystore 属性文件。如果进行更改,则会损坏数据库并阻止 SI 运行。 · 在卸载 Select Identity 前应该取消部署所有连接器。 · 在运行卸载可执行文件之前,应停止应用程序“OVSIApplication”。 · 如果在安装过程中未完全安装所有组件,则在卸载时会显示“卸载时出错”错误。这只是说明,卸载程序未能找到全部要卸载的组件。 ·
在某些情况下,使用 resume (-r) 或 step (-j) 迁移实用程序操作会导致无法预测的结果,因此不建议使用。在解决迁移问题后,请从备份中重新加载数据库,然后从头开始重新启动迁移。 |
|
工作流 |
· 在服务角色中映射“查看服务成员资格”事件时,必须选择一个工作流。虽然此工作流会被忽略,但却是在服务中查看用户时所必需的。 · 在工作流审批块中,“创建工作流审批人”任务必须在“通知审批人”任务之前执行。 · 导入已更改的“工作流应用程序定义”文件时,群集中的其他成员只有在执行重新启动之后才能看到修改。 ·
对工作流修改进行审批时,并不总会显示工作流图像。如果出现这种情况,请单击“x”图像,这样工作流就会显示在新的弹出窗口中。 |
|
Web 服务 |
· 使用 Web 服务对用户进行修改时,不使用与“修改”事件相关联的表单,而是使用“添加用户”表单。 · 即使 Web 服务请求中的日期格式不正确,也会对其进行解析;这有时会产生错误的日期。不会验证 Web 服务读取的日期格式是否与属性文件中设置的日期格式相匹配。如果请求中的日期或日期/时间符合属性文件中指定的正确格式,则会正确读取该日期或日期/时间并存储到其末位有效数字,但在“审批”页中只可以显示/编辑日期/时间值的日期部分。 · Web 服务搜索过滤器区分大小写,并且必须使用小写的值才能返回结果。 |
|
情景和约束 |
· 如果在服务中为情景属性输入了大量的值,则可能会影响 Select Identity 搜索功能的响应时间。 ·
搜索情景时,无约束的情景属性在某些情况下不会返回值: o
使用服务的通配符 (*) 情景移动用户。 o
创建具有特定情景的特定管理员。 注意:为确保得到正确的结果,请用属性约束来限制通配符范围。 · 必须在属性级别而非服务级别约束配置文件属性,否则从“用户配置文件”修改属性时不会实施约束的值。 · 只可以将服务添加到您管理的用户。因此,特定服务的管理员无法将由其管理的服务添加给现有用户。 · 不具备“所有服务/所有情景”权限的管理员无法查看请求状态列表中被终止的用户。 |
|
用户界面 |
· 修改管理员用户时,没有用于输入情景值的“添加”按钮。请根据“鼠标悬停”指示,按 Enter 键添加值。 · 当运行协调、服务指定和批量作业时,将无法再手动输入时间。请改为在创建作业时选择时间(以半小时为增量)。如果选择的是默认时间,即当前日期的 12:00 AM,则会立即运行作业。 · 用户结果搜索中显示的最大用户数建议选择 400 个。超过此限制(属性 com.hp.si.search.result.max)可能会影响性能。 · 属性信息在应用于用户时被高速缓存。因此在用户重新登录之前,对配置文件、管理员设置等内容做出的更改将不会生效。 ·
每次状态发生变化时,新的协调任务状态列“状态更新时间”都会随之更新。 · 在按住 Ctrl 键的同时单击鼠标,可以从服务中选定多个项目(如资源)并将其移除。 · 在旧版本的 Select Identity 中,单击“应用”会将更改保存到数据库。“应用”的作用只是暂时的,只有单击“确定”之后才会保留更改。 · 安全对象迁移配置不受配置审批控制。 · 即使标签只引用“用户请求”,但服务器管理仍包含配置请求。 · 如果服务不包含通配符情景,则通过 URL 对服务进行自注册时,URL 中需要包含情景名称和值。 · Select Identity 支持使用“订阅服务”从“我的身份”选项卡中组合服务,但不支持使用自注册 URL 执行“订阅服务”。 · 只有在提交请求并且该请求显示在“我的请求”页上之后,才会显示对配置文件属性所做的无效自助服务更改。 ·
存在以下多用户 ID 限制: o 不支持从附属用户帐户到主用户帐户的自动传播。 o
不支持链接主用户和附属用户帐户或者解除主用户和附属用户帐户的链接。 |
|
服务协调 |
· 如果在添加或移除资源或固定权限组后未进行服务协调,用户将无法正确显示当前的资源和权限组信息。 · 如果某个服务缺少“服务协调事件”,但运行了服务协调,Select Identity 将返回非特定的错误消息:“请求调用失败”。 ·
如果将资源“删除用户”标志设置为“是”,则在对不可用的资源执行服务协调时将显示从资源删除用户成功。 · 为了添加其它固定情景而修改包含通配符情景的服务时,运行服务协调不会将更改应用于现有用户。现有用户将仍然存在于通配符情景中。 · 在进行服务更改后但在运行服务协调之前,请勿更改资源“删除用户”策略。更新后的资源设置不会应用于服务协调。正确的顺序是: o 修改资源“删除用户”策略。 o 修改服务。 o
运行服务协调。 |
|
报告 |
· 生成“用户配置详细信息报告”时,必须选择一个情景属性值。 ·
“用户配置详细信息报告”不可以使用 CSV 报告格式。 |
|
密码和敏感属性 |
·
如果 Select Identity 正在进行其自身的验证,则只应使用标准的密码属性。只要 Select Identity 没有对用户进行验证,就可以使用双向密码属性。 · Select Identity 不再支持导入包含未加密的敏感字段(资源访问信息、外部调用 - 调用参数、属性函数 CallArg)的配置数据。包含敏感字段的任何导入文件都需要使用 encode.sh 实用程序生成正确的编码字符串,以替换导入文件中的编码字符串。 · 通过协调操作更改用户密码时,服务中必须存在密码属性。 ·
存在以下敏感属性限制: o 此版本中不包括 UserIDAndDomainName 和 PrimaryAcctValue 敏感度。如果上述字段的值未进行映射且未标记为敏感,则不会对其进行加密。 o 在处理之前,会将批量添加请求分成多个子批处理组。如果批量添加子批处理中的 SPML 请求因无法加密而失败,则不会执行相应的子批处理。 o 如果在 Select Identity 中找不到批量添加请求中的某个属性,则不会执行整个批处理任务。 o
当加密的 XML 值包含转义符(例如“<”和“>”)时,除非该值包含在一个 CDATA 区段中,否则 XML 解析器会抛出异常。 |
|
其它 |
· 如果没有为关联的用户成功创建权限组,则将用户添加到资源后,Select Identity 中的“创建用户”将不会回滚。 · 通过协调操作在多个资源上终止某个用户时,如果其中一个资源出现故障,则会回滚所有资源更改,而且请求会以“已完成 - 错误”结束。 ·
发生严重故障(系统或数据库崩溃)之后,Select Identity 不会自动恢复所有进行中的任务: o
重新启动或数据库损坏后,某些请求可能无法恢复并完成处理过程。 《管理指南》中对手动恢复过程进行了说明。 · 创建用户名时不应包含双引号 (“)。 ·
· 请勿使用 WebLogic 中嵌入的 LDAP 与 Select Audit 进行集成。嵌入的 LDAP 不是受支持的连接器。 · 之前,Select Identity 提供了细化的审计操作,例如添加/删除服务角色、添加/删除情景等等。由于服务更改是作为一个请求来提交的(是配置审批所要求的),因此不再捕获这些细化的审计数据,并会将更改作为一般服务更改予以审计。 · 发行 CD 不再包含 LDAP 连接器源代码或 LDAP 更改检测实用程序。 · 在 WebSphere 上执行用户导入操作要求用户文件的大小不超过 5MB。 · 请勿复制包含挂起审批的配置,因为挂起的审批也会被复制。新配置将不包含支持更改信息,因此无法管理对复制对象的审批。 · 连接器已在 4.20.000 中重新打包。若要从旧版本升级,则必须使用重新打包的连接器。 · 规则名称不再支持前导空格或后缀空格。在 4.20 中,这些空格将被删掉,因此如果您修改带有前导/后缀空格的现有规则,Select Identity 将不会认为这些更改适用于现有规则,而会创建不带这些空格的新规则。 · 外部调用示例仅作示例之用,不应该用于生产环境中。另外,打包的外部调用(例如 UserEnableDisableWFExtCall)不支持双向验证框架。 · 即使资源设置为“仅服务器”,UCA Domino 连接器仍会使用默认许可证进行双向客户端验证。 · 不支持重试以下请求: o 已终止或已拒绝的禁用服务成员资格请求, o 已终止或已拒绝的启用服务成员资格请求, o 已终止或已拒绝的删除服务成员资格请求, o 已终止的工作流修改请求,或 o 已拒绝的修改附属用户请求。 应改为重新创建原请求。 · 启用对工作流导入的配置审批后,Select Identity 无法检测是否已经进行更改。将不会拒绝未进行更改的已导入工作流,并且会生成一个更改请求。 · 协调使用在资源用户协调策略页上配置的工作流,而不是在协调事件的服务角色上标识的工作流。但是,Select Identity 要求在服务角色上配置协调事件,以定义在协调过程中用于指定服务的视图。 |
·
Select Identity 使用旧版本的
· WebSphere 不支持 JMS 到期消息重定向功能。当系统繁忙时,可能无法立即获取某些优先级较低的消息。
·
·
IBM WebSphere 不支持 64 位应用程序客户端,因此审计客户端不会在
· 有时
WebLogic 需要很长时间才能正常关闭
|
安装 |
· JBoss 安装程序不提示输入 java 的位置,而是依靠对 JAVA_HOME 进行设置以及在用户的 PATH 变量中标识正确的 java 版本。如果运行安装程序时尚未设置这些变量,则可能需要对其进行手动更新。 · 要在运行 Red Hat Linux AS3.0 操作系统的服务器上使用 SI 安装程序,必须按照以下步骤操作: · 使用选项“LAX_VM <java home>/bin/java”启动 SI 安装程序。 · 当安装程序进行到“选择安装类型”面板时,不要单击“下一步”。 · 将 <java home>/jre 目录下的内容复制到 <SI Install Home>/jre。 · 单击“下一步”并完成安装。 · 启动 JBoss 时,JAVA_HOME 环境变量应指向正确的 java 版本并且应在 PATH 变量中标识该版本。如果启动 JBoss 的用户未正确设置这些变量,则可以通过修改 SIStart 和 SIShutdown 脚本来包含该信息。 · JBoss 卸载程序无法还原 common-logging.jar,因此无法重新启动 JBoss。请在重新启动 JBoss 前从 JBoss 安装中还原此文件。 · 安装指南中与 truaccess.repository.oracle.driver.bea 的 TruAccess.properties 设置相关的信息存在冲突。.此外,安装程序错误地将此属性设置为“yes”。如果使用安装程序安装 Select Identity,请手动将该设置更正为“no”。 · 用于在完成安装后更改 JBoss 数据源密码的 Linux/HP-UX 脚本必须经过修改才可以使用。在脚本 changedbpassword.sh 中,请使用 SI 安装目录替换文本字符串 #USER_INSTALL_DIR#。只有在完成安装后数据源的用户名和/或密码发生更改时,才会使用此脚本。对于 JBoss 群集,必须在每台服务器上运行此脚本,或者也可以将修改后的 login-config.xml 复制到群集中的其它服务器。 ·
为了防止记录敏感信息,请将 httpclient 的记录级别设置为 WARNING。确保 logging.properties 文件内包含以下行:httpclient.wire.level = WARNING org.apache.level = WARNING |
|
情景和约束 |
· 管理单个情景的管理员可以将该情景(在服务上处于静态)上的用户移出该情景。该用户未订阅其它服务,但会从其自己的当前服务中被移除。 |
|
用户界面 |
· 某些页(例如“服务角色”)包含多个垂直滚动条。 · 并非所有下拉列表都经过排序。 · 如果某个用户位于同一资源上的多个服务中,而且每个服务具有不同的权限组,则会在单个移动确认页上组合所有服务的权限组。资源上的用户会正确更新,但 Select Identity 用户显示不正确。 · 当存在大量资源和属性(分别大于 310 和 220)时,如果对显示在所有资源上的属性(UserName、Email 等)进行修改时,WebSphere 将显示内存不足错误,并且不允许进行修改。 ·
在使用 Internet Explorer 7.0 版时,将鼠标移向工作流工具栏按钮或从工作流工具栏按钮移开会导致重新加载工作流图像 |
|
服务协调 |
·
服务协调作业不会显示在协调作业列表中。 |
|
对象迁移 |
·
使用对象迁移无法将从 4.13 导出的加密内容导入 4.20 或 4.21。请使用已签名的文件向 4.20 或 4.21 导入。 |
|
用户操作和供应 |
· 如果在用户导入中添加了空属性值,则“忘记密码”功能无法使用。避免在导入过程中发送空属性值。 · 如果在 AD.properties 文件中定义了默认值,则在向 eLDAP AD 连接器供应时,必须为 UserSuffix 输入一个值。否则,Select Identity 将无法为用户存储值。 ·
当快速更改 Select Identity 群集配置中的某个用户时,请求依赖关系的执行可能会不一致。 ·
在移除用户的到期日期后,到期日期仍显示在“管理用户到期”选项卡上。用户配置文件页的显示是正确的。 |
|
配置审批 |
· 启用配置审批后,不会识别对服务角色描述或服务情景描述的更改。 · 导入的已修改工作流由修改操作而非导入操作控制。 |
|
审批 |
· 在对向现有用户添加新用户或添加服务进行审批的过程中,如果文档类型属性没有值并且已对该用户进行其它更改,则无法批准该请求。 · 在审批过程中,无法移除受约束多值属性的所有值。 · 在审批过程中不会显示可选属性值。如果在审批过程中更改了可选值列表,则会从用户移除未显示的值。 · 在审批过程中,在属性级别约束并且其显示名称不同于值的单值情景属性将错误地显示值而不是名称。 |
|
双向验证 |
· 属性映射实用程序不支持双向验证。 |
|
属性映射实用程序 |
· 可以创建从一个资源属性到不同 Select Identity 字段之间的多个映射,但只有一个映射将有效。 · 连接到资源时应该对连接参数进行验证,因为该实用程序不会检查是否输入了正确的参数。如果存在错误,则在创建实体或添加属性映射时,会收到错误“没有可用架构”。 · 该实用程序不会检查是否存在重复的实体名称。如果使用了一个现有名称,则会覆盖其内容。 · 已经从该实用程序中移除了重新加载功能。 · 不支持供应和取消供应实体操作。 · 管理员数据库连接器不支持添加、编辑和删除实体。 ·
加载属性映射实用程序可能需要数分钟。 |
|
其它 |
· 为了避免死锁,请勿同时运行密钥轮换和数据库清理等大量占用数据库的任务。如果发生死锁,这些作业可能失败并且必须重新运行它们。 ·
Select Identity 允许从父服务角色中移除通知事件,即使子服务角色上正在使用该事件。这会损坏服务。请务必按照正确顺序删除通知事件,即:先从子角色中删除,再从父角色中删除。 ·
如果在处理批量添加作业的前 10 条记录后检测到管理员情景冲突(无法管理服务,服务无效),则会创建该请求但不会指定任何工作流。请终止该请求,然后更正并重新运行文件。 ·
从 ·
·
Select Identity 已经过增强,可以在超过最大搜索结果数时显示一条消息。但是,重置搜索参数后,将不会重新显示该消息。 ·
在本地化版本的以下位置中,会显示硬编码的字符串: o
“查看请求状态”。 o
对象迁移“管理导出目标”。 o
在输入重复的自动化作业名称时执行“安排协调作业” o
在已选择“出站通信(SI 至代理程序)需要服务器和客户端许可证”但没有许可证的情况下,将资源配置为进行双向验证。 o 保存新工作流但未输入工作流名称。 o “添加审计报告”页面对区域设置的支持不是很好。当第一位用户按照其 IE 浏览器中的区域设置访问了该页面,以后的用户即使以不同的区域设置访问该页面,该页面仍以第一位用户的 IE 区域设置显示。重新启动 Web 服务器可以改变这一情况。 |
请访问
该网站提供了
· 搜索感兴趣的知识文档
· 提交并追踪支持事项的进展
· 管理支持合同
·
搜索
· 查阅可用服务的信息
· 与其他软件客户开展讨论
· 搜索并注册软件培训
要查阅
http://managementsoftware.hp.com/products/slctid/index.html
注意:大多数支持内容均需要您注册为
http://support.openview.hp.com/access_level.jsp
要注册
https://passport.hp.com/hpp2/newuser.do
注意:要查看 PDF 格式 (*.pdf) 的文件,您的系统中必须安装有 Adobe Acrobat Reader。要下载 Adobe Acrobat Reader,请访问以下 URL:
©Copyright 2008 Hewlett-Packard Development Company, L.P.