CA Technologies 製品リファレンス このマニュアルでは、以下の CA 製品について説明します。 ■ CA Identity Manager ■ CA SiteMinder® Web Access Manager ■ CA Directory ■ CA Enterprise Log Manager ■ CA Role & Compliance Manager ............................................................ 21 r12.5 SP6 .................................................................................... 21 新しい認証 ............................................................................... 22 TEWS - [Related Task Description (関連タスクの説明)]フィールドの取得 ..................... 22 r12.5 SP5 .................................................................................... 23 新しい認証 ............................................................................... 23 SAP ユーザ マネジメント エンジン(UME)コネクタ ............................................ 23 デフォルトのスナップショット パラメータ XML ファイル ........................................ 24 レポートのデモンストレーションで使用できる ExportALLTemplate.xml ......................... 24 r12.5 SP4 .................................................................................... 25 ConfigXPress 環境ユーティリティ ........................................................... 26 Web サービス SDK サンプル コネクタ ....................................................... 26 パスワード管理 ........................................................................... 26 Oracle Applications コネクタのデータベース ID とアプリケーション所有者属性の設定 .......... 27 SiteMinder 統合のアクセス ロールおよびアクセス タスクのサポート ........................... 27 新しい認証 ............................................................................... 27 r12.5 SP3 .................................................................................... 28 CA DLP コネクタ サポート .................................................................. 28 ユーザ ストアとしての CA Directory r12.0 SP3 ................................................ 28 RSA 7.1 SP3 のサポート .................................................................... 28 ハードウェア トークンとソフトウェア トークンの相違に対する RSA 7.x ACE (SecurID)コネクタ のサポート ............................................................................... 29 SAPEmailWeakSyncConverter .............................................................. 29 累積プロビジョニング ロールのユーザ管理/SAP コネクタ拡張機能 ............................ 29 目次 5 r12.5 SP2 .................................................................................... 29 Google Apps コネクタ ...................................................................... 30 Microsoft ADAM と LDS DYN JNDI のサポート ................................................ 30 ユーザ ストアとしての Novell eDirectory 8.8.5................................................ 30 HTTPS を介したインバウンド リクエストの認証チェック ........................................ 30 UNIX リモート エージェント拡張機能 ........................................................ 30 DYN コネクタ アカウントへのグローバル ユーザの変更に関するパフォーマンス強化 ........... 31 r12.5 SP1 .................................................................................... 31 Policy Xpress ............................................................................. 32 エンドポイント アカウントの逆同期 .......................................................... 33 バルク タスク ............................................................................. 34 電子メール通知ポリシー .................................................................. 34 禁止アイデンティティ ポリシー ............................................................. 35 ワークフローの拡張機能 .................................................................. 36 r12.5 ........................................................................................ 42 CA Enterprise Log Manager 統合 ........................................................... 43 Identity Manager ディレクトリ設定ウィザード ................................................. 44 アカウント管理の拡張機能 ................................................................ 44 プロビジョニング マネージャを必要とするエンドポイント タイプ ................................ 45 インストールおよびアップグレードの拡張機能............................................... 45 自動化されたタスクの永続ガベージ コレクションとアーカイブ ................................ 46 タスク永続性移行ツール .................................................................. 47 Connector Xpress の拡張機能 ............................................................. 47 Bulk Loader による複数アクションの許可 .................................................... 48 ロールおよびタスクのインポートに関する拡張機能 .......................................... 48 新しいデフォルトのレポート ................................................................ 49 ワークフローの拡張機能 .................................................................. 49 レポートのデータ ソース ................................................................... 51 サブミット済みタスクの表示の拡張機能 ..................................................... 52 プロファイル画面の拡張機能 .............................................................. 53 Microsoft Visual Studio 2008 のサポート .................................................... 54 アイデンティティ ポリシーの拡張機能 ...................................................... 54 プロビジョニング ロール所有者タスク ....................................................... 54 第 2 章: 変更された機能 r12.5 SP7 55 .................................................................................... 6 リリース ノート 55 ユーザ コンソールと管理コンソール URL への変更 .......................................... 55 サポート対象外のスマート プロビジョニング ................................................. 56 IdentityMinder.ear から iam_im.ear への変更 ............................................... 56 新しいデートピッカー コントロール ......................................................... 56 プロビジョニング ロールの範囲指定検索 ................................................... 57 r12.5 SP6 .................................................................................... 57 有効な SSL 証明書のみを受諾するための GINA クライアントの設定 ........................... 58 r12.5 SP5 .................................................................................... 58 Solaris ゾーンでの UNIX リモート エージェントの動作 ........................................ 58 r12.5 SP4 .................................................................................... 59 WS-I コンプライアンス標準に基づく TEWS WSDL の生成 ..................................... 59 管理ロールによる、メンバ ポリシーと管理ポリシー内でのプロビジョニング ロール用スコープ ルールの強化 ............................................................................ 60 デフォルト レポートを展開するための BIConfig ツール ....................................... 60 レポート データベースとしてサポートされる MySQL .......................................... 60 r12.5 SP3 .................................................................................... 61 Policy Xpress の LDAP プラグインによる接続の確保のサポート ................................ 61 プロビジョニング マネージャから開始されたドメインのオープン イベントとクローズ イベントを 追跡するログ記録の有効化 ............................................................... 61 Solaris 疎ルート ゾーンへの UNIX リモート エージェントのインストールのサポート............... 63 r12.5 SP2 .................................................................................... 64 コネクタ アカウントの削除 ................................................... 64 Solaris 10 疎ルート ローカル ゾーンへの UNIX リモート エージェントのインストールのサポー ト ........................................................................................ 65 UNIX リモート エージェントのサイレント インストールのサポート ............................... 67 廃止されたコンポーネント ................................................................. 67 プロビジョニング サーバと関連パッケージの強化............................................ 67 r12.5 SP1 .................................................................................... 68 ローカライゼーション ファイルがインストール中に展開可能 .................................. 68 機能強化された作業アイテム委任 ......................................................... 68 機能強化された動的リゾルバ .............................................................. 69 新しいタスク反復モデル................................................................... 69 r12.5 ........................................................................................ 70 スナップショット データベースのパフォーマンス向上 ......................................... 70 接続の管理 .............................................................................. 70 Active Directory コネクタの Win2003 R2 UNIX 属性サポート .................................. 71 エンドポイント タイプ属性マッピング ファイルの移動 ......................................... 71 目次 7 デフォルトの CleverPath レポート テンプレートの削除 ........................................ 71 推奨されないプロビジョニング SDK およびユーティリティ ..................................... 72 iRecorder のサポートの終了 ............................................................... 74 新規環境内のすべてのタスクで Web サービスが無効になる ................................. 74 第 3 章: インストールに関する考慮事項 75 サポートされるプラットフォームおよびバージョン ................................................ 75 ユーザ ストアとしての ADAM 2008 ............................................................. 75 英語以外のシステムで ASCII 以外の文字を使用するとインストールに失敗する .................... 76 Linux へのプロビジョニング ディレクトリのインストール............................................ 76 Identity Manager EAR が WebLogic で自動展開されない......................................... 77 Windows 2008 SP2 でファイアウォールを回避する方法 .......................................... 77 管理者のアクション用 JSP ページの展開 ....................................................... 78 Linux 64 ビット上の CA Identity Manager での SiteMinder 接続エラー ............................. 79 第 4 章: アップグレード 81 サポートされているアップグレード パス ......................................................... 81 64 ビット アプリケーション サーバのサポート .................................................... 82 Exchange 2007 アカウントの[Exchange アドレス リストに表示しない]に関する問題 ................. 83 CA Identity Manager r12 CR6 以降からのクラスタのアップグレードの問題 ......................... 83 Solaris: r12 CR12 からのアップグレード後の Websphere クラスタの問題........................... 84 環境移行エラー .............................................................................. 84 Credential Provider のアップグレード エラー .................................................... 85 Vista Credential Provider の内部エラー ......................................................... 85 [検索および関連付け]タスクで検索画面が表示されない ....................................... 85 r12 からのプロビジョニング マネージャのアップグレード後の致命的ではないエラー ............... 86 第 5 章: 既知の問題 87 全般 ......................................................................................... 87 Oracle 11gR2 RAC ユーザ ストア: 検索で大文字と小文字が区別される........................ 87 大きなユーザ ストアの検索時に「メモリ不足」エラーが発生する場合がある .................... 88 EnableUserEventRoles のワークフロー参加者リゾルバが失敗する ............................ 88 [サブミット済みタスクの表示]内の重複した名前 ............................................ 89 一部の展開での新規環境作成時の "Not Found" エラー ..................................... 89 8 リリース ノート CA Identity Manager へのロール定義ファイルのインポート時に環境内に別のタブが存在す ることを知らせるエラー .................................................................... 90 Identity Manager での単一値コンパウンド属性の変更 ....................................... 90 Lotus Notes/Domino の短縮名属性への複数値の設定のサポート ............................ 91 Oracle Applications の前提条件 ............................................................ 91 トークン化されたテンプレートを使用してプロビジョニング対応環境を作成する際のエラー ...... 91 レポート ...................................................................................... 91 ExportAll.xml でのスナップショット データ取得時のエラー .................................... 92 Satisfy=All が XML ファイルで正しく機能しない .............................................. 92 全般 ......................................................................................... 92 INFO レベルよりも上位のレベルで Solaris ECS のロギングを行うとプロビジョニング サーバの パフォーマンスに影響する場合がある ...................................................... 92 JIAM で不正なオブジェクト クラス名が指定されていると SPML の更新に失敗する .............. 93 グローバル ユーザ名の特殊文字 .......................................................... 93 エンドポイント追加時に既存エンドポイントが存在するエラー ................................. 93 CA Identity Manager でアカウント テンプレートにリンクされたプロビジョニング ロールの作成 に失敗する ............................................................................... 94 グローバル ユーザ名に関する Siteminder のログイン名の制限 ............................... 94 一部の WebSphere 6.1 ノードでオブジェクトが失われる ...................................... 95 Java コネクタ サーバ(Java CS) ................................................................. 95 Windows サービスを使用した Java CS サービスの再起動が失敗する.......................... 95 JNDI アカウント管理画面 - 複数の構造オブジェクト クラスでのアカウント作成に失敗する ....... 95 エンドポイント タイプ .......................................................................... 95 全般 ..................................................................................... 96 ACF2、RACF および CA Top Secret .......................................................... 97 Active Directory........................................................................... 98 CA DLP .................................................................................. 101 拡張ポリシー サーバ用 CA SSO コネクタ ................................................... 102 DB2 および DB2 for z/OS ................................................................. 102 E2Kx .................................................................................... 103 Google Apps ............................................................................. 104 Lotus Notes/Domino ..................................................................... 107 NDS..................................................................................... 109 OpenVMS ............................................................................... 110 PeopleSoft .............................................................................. 111 PKI...................................................................................... 111 RSA ACE (SecurID) コネクタ ............................................................... 112 目次 9 RSA SecurId 7 ............................................................................ 114 .......................................................................... 117 SAP ..................................................................................... 120 Siebel ................................................................................... 123 UNIX ETC および UNIX NIS ................................................................ 123 第 6 章: 修正された問題 125 r12.5 SP7 で修正された問題.................................................................. 125 r12.5 SP6 で修正された問題.................................................................. 129 r12.5 SP5 で修正された問題.................................................................. 131 r12.5 SP4 で修正された問題.................................................................. 133 r12.5 SP3 で修正された問題.................................................................. 135 r12.5 SP2 で修正された問題.................................................................. 137 r12.5 SP1 で修正された問題.................................................................. 139 第 7 章: マニュアル 143 マニュアル選択メニュー ...................................................................... 144 オンライン ヘルプの拡張機能 ................................................................ 145 ドキュメントの変更 ........................................................................... 145 Connector Xpress オンライン ヘルプ........................................................... 146 付録 A: サードパーティ製品の使用条件 147 Apache ..................................................................................... 147 ANTLR 2.7.5H# .............................................................................. 155 ASM 3 ...................................................................................... 156 boost 1.34.1 ................................................................................. 157 DOM4J ..................................................................................... 157 HSQLDB 1.8.0 ............................................................................... 159 IBM DB2 Driver for JDBC and SQLJ ............................................................. 160 Java Architecture for XML Binding (JAXB) 2.0 ................................................... 161 JAX-RS v1.1.1 ................................................................................ 162 JDOM 1.11 .................................................................................. 170 JSON 1.0 .................................................................................... 171 jtopen 5.1.1 ................................................................................. 172 libcurl 7.20.1 ................................................................................ 172 MX4J 3.0.2 .................................................................................. 173 10 リリース ノート Oracle JDBC Driver 10g Release 2.............................................................. 175 Oracle JDBC Driver 11g Release 2.............................................................. 176 Rhino 1.7R1 ................................................................................. 177 SAAJ 1.2 .................................................................................... 189 Sun JDK 1.6.0 ................................................................................ 190 Sun JRE ..................................................................................... 199 Windows Registry API Native Interface 3.13 .................................................... 205 Xinha .96 Beta 2 ............................................................................. 206 目次 11 第 1 章: 新機能 このセクションには、以下のトピックが含まれています。 r12.5 SP7 (P. 13) r12.5 SP6 (P. 21) r12.5 SP5 (P. 23) r12.5 SP4 (P. 25) r12.5 SP3 (P. 28) r12.5 SP2 (P. 29) r12.5 SP1 (P. 31) r12.5 (P. 42) r12.5 SP7 このセクションは、以下のトピックから構成されます。 新しい認証 (P. 14) ネストされたロール (P. 15) Bulk Loader 通知 (P. 15) ユーザ インターフェース拡張機能 (P. 16) Exchange 2007 との通信の向上 (P. 21) 管理タスクの検索画面フィルタの向上 Connector Xpress の拡張機能 (P. 20) 第 1 章: 新機能 13 r12.5 SP7 新しい認証 新しいアプリケーション サーバ Identity Manager サーバを、64 ビット形式で使用可能な以下のアプリケーション サーバにインストールできるようになりました。 ■ WebSphere 7 ■ Weblogic 11 ■ JBoss 5.0 および 5.1 Identity Manager サーバのアップグレードは、以下のアプリケーション サーバ上 で実行できます。 ■ WebSphere 6.1 ■ WebLogic 10.3 注: 32 ビット形式は、WebSphere 6.1 および WebLogic 10.3 上で CA Identity Manager12.5 SP7 にアップグレードする場合にのみサポートされま す。 新しいコネクタ サポート ■ Domino サーバが RHEL 5.3 Server 上で実行されている Lotus Notes ■ Domino サーバが AIX 6.1 上で実行されている Lotus Notes ■ Microsoft Windows 上の Kerberos コネクタ サポート 新たにサポートされるエンドポイント ■ AIX 6.1 および 7.0 ■ Linux 5.4 ■ CA Access Control r12.5 SP2、SP3 および SP4 新しい Identity Manager ユーザ ストア サポート ■ ADS 2008 R2 ■ Microsoft ADAM (AD LDS) 2008 R2 追加サポート 14 リリース ノート ■ Microsoft Exchange 2010 SP1 を使用する Microsoft Exchange エージェント サポート ■ Windows 7 - Vista Credential Provider 用 r12.5 SP7 ■ Internet Explorer 9.0 - ユーザ コンソールおよび管理コンソールのブラウザと して ■ SiteMinder r12.0 SP3 CR2 - Identity Manager サーバとして ■ Windows および UNIX 上の CA Business Intelligence (BusinessObjects XI R3.2) - ビジネス オブジェクト レポート サーバとして ネストされたロール プロビジョニング ロールを別のプロビジョニング ロールに含めることができます。 含まれる側のロールを、ネストされたロールと呼びます。 たとえば、従業員プロビジョニング ロールを作成します。 従業員ロールでは、電 子メール アカウントなど、すべての従業員に必要なアカウントが提供されます。 この従業員ロールを、財務ロールや営業ロールなど部門別のプロビジョニング ロールに含めます。 部署プロビジョニング ロールでは、その部署のみに関連す るアカウントが提供されます。 このロールの組み合わせによって、各ユーザに適 切なアカウントが提供されます。 注: ネストされたロールの詳細については、「管理ガイド」を参照してください。 Bulk Loader 通知 Bulk Loader タスクの認証管理者を選択できます。 Bulk Loader タスクが完了した とき、CA Identity Manager によって、そのタスク用に設定されたすべての認証管 理者向けに Bulk Loader 通知が作成されます。 この通知は、[ホーム]タブの[Bulk Loader 通知]に表示されます。 通知をクリッ クすると、バルク ロード操作によって開始されたタスクの詳細が表示されます。 認証管理者は、通知に記載された変更点を確認できます。 注: 詳細については、「管理ガイド」を参照してください。 第 1 章: 新機能 15 r12.5 SP7 ユーザ インターフェース拡張機能 ユーザ コンソールで、以下の拡張機能を使用できます。 ■ 検索結果とリスト画面の追加タスクに対するサポート ■ ユーザ コンソールのサンプル ■ 新しいタスク設定プロパティ ■ 検索結果とリスト画面のページネーション 検索画面とリスト画面の追加タスク CA Identity Manager を設定して、検索画面およびリスト画面でユーザが実行で きるアクションを追加することができます。 たとえば、[ユーザの変更]タスクの検 索画面で、検索によって返されたユーザ リストから、ユーザの無効化などのタス クをユーザが実行できるように設定できます。 検索画面やリスト画面にタスクを追加すると、タスクを完了するのに必要なクリッ ク回数が減り、ユーザ インターフェースが簡略化されます。 検索画面およびリスト画面のタスクは、以下の方法のいずれかを使用して表示 できます。 ■ タスク リンクまたはタスク アイコン 検索結果またはリスト画面で、各タスクをリンクまたはアイコンとして表示しま す。 この方法は、少数のタスクを表示する際に使用します。 16 リリース ノート r12.5 SP7 ■ タスク メニュー 検索結果またはリスト画面で、各行に[アクション]ボタンを表示します。 管 理者は、[アクション]ボタンをクリックして、そのユーザに対して実行できるタ スクのリストを表示します。 この方法は、ユーザが 3、4 つ以上のタスクを実行できる場合に使用しま す。 第 1 章: 新機能 17 r12.5 SP7 ユーザ コンソール用の UI7 形式サンプル ユーザ コンソールを UI7 形式(CA Technologies によって開発されたアプリケーション用の新しい基準) のサンプルで使用できるようになりました。 UI7 形式のサンプルには、必要なクリック回数を減らす多くの 操作性改善機能が収録されています。 また、カテゴリ タスク リストは、デフォルトではタスクの実行中に 表示されますが、必要に応じて非表示にできます。 サンプル形式では Ext JS も使用されます。Ext JS で は、JavaScript を使用するためのオプションがより多く提供されます。 この形式を評価するには、以下のように環境 URL に ui7 追加します。 http://im_server:port/iam/im/environment/ui7 環境を UI7 形式のサンプルに変換する方法 1. 管理コンソールにアクセスします。 2. 環境を選択します。 3. [詳細設定]-[その他]を選択します。 4. [プロパティ]に「DefaultConsole」と入力します。 必ずプロパティ名の前または後に空白を入れないようにします。 5. [値]に「ui7」と入力します。 6. [追加]をクリックします。 7. [Restart Environment (環境の再起動)]をクリックします。 18 リリース ノート r12.5 SP7 タスク設定プロパティ タスク設定プロパティでは、タスクの表示プロパティおよび特定の動作を制御し ます。 このプロパティを使用して、以下を実行できます。 ■ タスク用アイコンの指定 このアイコンを使用すると、ユーザは検索画面またはリスト画面で追加タスク を開く (P. 16)ことができます。 ■ 別のブラウザ ウィンドウで外部タスクを開くためのサポート CA Identity Manager は、ユーザを別の Web サイトにリダイレクトする外部タ スク用にブラウザ ウィンドウを新しく開くことができます。 ■ タスク ナビゲーションの非表示 ユーザがタスクを選択した後、最上位のナビゲーションおよびタスク リストを 非表示にすることができます。 これによって、必要なアクションを完了するか タスクをキャンセルするまで、ユーザが現在のタスクから離れてしまうのを防 げます。 検索結果とリスト画面のページネーション CA Identity Manager に、表示されている結果の数、結果の総数、最初のページ と最終ページへのリンク、および次のページと前のページへのリンクが表示され るようになりました。 第 1 章: 新機能 19 r12.5 SP7 検索パフォーマンスの向上のためのページング サポート 旧バージョンの CA Identity Manager では、多数の結果を返す大規模な検索に よって、システムがメモリ不足に陥るケースがありました。 メモリ問題を防止でき るように、本バージョンの CA Identity Manager には、以下のオブジェクトに対す るページング サポートが含まれています。 ■ Identity Manager ディレクトリ Identity Manager ディレクトリを作成するために使用するディレクトリ設定ファ イル(directory.xml)内に DirectorySearch 要素を設定できます。 デフォルトでは、既存のディレクトリの最大行数とページ サイズの値が無制 限に設定されます。 新規ディレクトリに対しては、最大行数の値が無制限に、 ページ サイズの値が 2000 に設定されます。 ■ 管理対象オブジェクト定義 ディレクトリ全体ではなく、オブジェクトの特定のタイプに適用される最大行 数の制限とページ サイズを設定するには、Identity Manager ディレクトリの 作成に使用する directory.xml ファイル内で管理対象オブジェクト定義を設 定します。 管理対象オブジェクト タイプに制限を設定することで、自社のビジネス要件 に合わせた調整を行うことができます。 たとえば、ほとんどの会社ではグ ループ数よりユーザ数のほうが多くあります。 そのような会社では、ユーザ オブジェクト検索だけに制限を設定できます。 注: ページングを使用するには、CA Identity Manager で管理されるユーザ スト アがページングをサポートしている必要があります。 場合によっては、ユーザ ス トアがページングをサポートしていても、追加の設定が必要になることがあります。 詳細については、「Configuration Guide」を参照してください。 Connector Xpress の拡張機能 Connector Xpress では、以下の機能拡張が行われています。 20 リリース ノート ■ クラス、コンテナ、および操作バインディングのノードが最上位ノードになりま した。 ■ [Map Class and Attributes (クラスと属性のマッピング)]ダイアログ ボックス の名前が[Map Class (クラスのマッピング)]ダイアログ ボックスに変更されま した。 r12.5 SP6 ■ アカウント画面ノードがマッピング ツリーに追加されました。 アカウント画面 エディタが[Attributes Summary (属性サマリ)]ダイアログ ボックスから [Accounts screen (アカウント画面)]ダイアログ ボックスに移動されました。 ■ 属性マッピング テーブルは[Map Attributes (属性のマッピング)]ダイアロ グ ボックスに移動されました。 また、プロビジョニング属性へのネイティブ属 性のマッピングが変更されました。 本バージョンからは、ネイティブ属性をプ ロビジョニング属性にマップする代わりに、プロビジョニング属性をネイティ ブ属性にマップします。 ■ [Attributes Summary (属性サマリ)]ダイアログ ボックスの名前が[Map Attributes (属性のマッピング)]ダイアログ ボックスに変更されました。 属性 マッピングはすべて[Map Attributes (属性のマッピング)]ダイアログ ボック スで行います。 ■ 拡張されたメタデータに、以下の新しい属性が追加されました。 ■ ■ Is Interesting to Compliance (コンプライアンス関連) - CA Role and Compliance Manager にとって重要な属性をマークできます。 ■ Connector Generator (コネクタ ジェネレータ) - プロパティに割り当てら れた値を指定できるジェネレータ名 ■ Is Connector Generated (コネクタの生成) - エンドポイントでプロパティ の値を非明示的に生成するよう指定できます。 マッピング ツリーのノードに任意の色を指定することはできなくなりました。 Exchange 2007 との通信の向上 メールボックスを作成または変更する際、使用する Active Directory に関する情 報が ADS コネクタによって Exchange リモート エージェントに送信されるようにな りました。 この通信によって、ADS コネクタと Exchange Server で Active Directory のビューを同一にすることができます。 これにより、Active Directory サーバ間の すべての操作でレプリケーション遅延がバイパスされます。 r12.5 SP6 このセクションは、以下のトピックから構成されます。 新しい認証 (P. 22) TEWS - [Related Task Description (関連タスクの説明)]フィールドの取得 (P. 22) 第 1 章: 新機能 21 r12.5 SP6 新しい認証 以下の新しいプラットフォームが CA Identity Manager r12.5 SP6 で認証されま す。 ■ CA Directory r12 SP5、Identity Manager ユーザ ストアおよび Connector Xpress JNDI エンドポイント ■ AIX 6.1 - CA Identity Manager サーバ用にサポートされたプラットフォームと して ■ WAS 6.1 および JVM (64 ビット)がインストールされた AIX 6.1 (64 ビット)上 の SiteMinder - Identity Manager サーバ用にサポートされたプラットフォー ムとして TEWS - [Related Task Description (関連タスクの説明)]フィールドの取得 TEWS を使用して、[Related Task Description (関連タスクの説明)]フィールドを 取得できるようになりました。 この件は TEWS API のみに適用されます。 CA Identity Manager ユーザ コンソー ルでは、[システム]-[サブミット済みタスクの表示](VST)タスクで、サブミットされ たタスクと関連付けられたインバウンド タスクをすべて表示できます。 たとえば、 「ユーザの作成」タスクによって、エンドポイント上にアカウントが作成されること があります。 [サブミット済みタスクの表示]から[ユーザの作成]上の関連するインバウンド タ スクにアクセスすることによって、アカウント作成の詳細を表示することができま す。 以前は、関連するインバウンド タスクの情報を TEWS API から使用すること はできませんでした。 この機能拡張によって、関連するタスクの情報を TEWS で 取得できるようになりました。 22 リリース ノート r12.5 SP5 r12.5 SP5 このセクションは、以下のトピックから構成されます。 新しい認証 (P. 23) SAP ユーザ マネジメント エンジン(UME)コネクタ (P. 23) デフォルトのスナップショット パラメータ XML ファイル (P. 24) レポートのデモンストレーションで使用できる ExportALLTemplate.xml (P. 24) 新しい認証 以下の新しいプラットフォームが CA Identity Manager r12.5 SP5 で認証されま す。 ■ Oracle 11 g R2 RAC - Identity Manager ユーザ ストアとして ■ Oracle Directory v7.0 - Identity Manager ユーザ ストアとして ■ SiteMinder r6.0 SP6 および SiteMinder r12.0 SP3 CR1 SiteMinder r12.0 SP3 CR1 は、Identity Manager サーバがインストールされて いるシステムとは別のシステム上にインストールされる必要があります。 ■ CA Identity Manager のすべてのコンポーネントは、Windows 2008 R2 上で 32 ビット エミュレーション モードで実行されます。 SAP ユーザ マネジメント エンジン(UME)コネクタ ユーザ コンソールを使用して、SAP ユーザ マネジメント エンジン(UME)エンド ポイントを管理できるようになりました。 SAP UME は、SAP NetWeaver のユーザ 管理ツールです。 第 1 章: 新機能 23 r12.5 SP5 デフォルトのスナップショット パラメータ XML ファイル CA Identity Manager に、デフォルトのレポートごとのデフォルトのスナップショット パラメータ XML ファイルが含まれるようになりました。 各 Identity Manager レ ポートでは、管理対象オブジェクト固有のセットが使用されます。以前は、デフォ ルトの XML ファイルですべてのレポート使用事例が対象とされているとは限りま せんでした。 管理者は、ExportALL.xml ファイルを使用する必要がありましたが、 それがパフォーマンス問題の原因でもありました。 本バージョンでは、デフォル トのスナップショット パラメータ XML ファイルが各 Identity Manager レポートと関 連付けられ、スナップショット データのキャプチャを実行する際に選択できま す。 注: デフォルトのスナップショット パラメータ XML ファイルの詳細については、 「管理ガイド」を参照してください。 レポートのデモンストレーションで使用できる ExportALLTemplate.xml ExportALLTemplate.xml という名前の新しいスナップショット パラメータ XML ファ イルが 提供されます。 この XML ファイルは ExportAll.xml のサブセットで、ユー ザ、ロール、エンドポイント、およびアカウントのリストのみがエクスポートされます。 このファイルは、レポート機能のデモンストレーションにのみ使用します。 このデフォルト XML ファイルのインポートは、ロール定義ファイルの場合と同様、 管理コンソールを使用して実行します。 この XML ファイルは、 im_EAR¥config¥com¥netegrity¥config¥imrexport¥sample にあります。 注: 「##」で囲まれたテキストは適切な値に置き換えてください。 たとえば、 ##endpointname## は有効なエンドポイント名に置き換えます。 24 リリース ノート r12.5 SP4 r12.5 SP4 このセクションは、以下のトピックから構成されます。 ConfigXPress 環境ユーティリティ (P. 26) Web サービス SDK サンプル コネクタ (P. 26) パスワード管理 (P. 26) Oracle Applications コネクタのデータベース ID とアプリケーション所有者属性の 設定 (P. 27) SiteMinder 統合のアクセス ロールおよびアクセス タスクのサポート (P. 27) 新しい認証 (P. 27) 第 1 章: 新機能 25 r12.5 SP4 ConfigXPress 環境ユーティリティ 新しいサンプル ユーティリティ ConfigXpress を使用すると、 Identity Manager 環 境を短時間で分析し、環境の設定を理解するのに必要な時間を減らすことがで きます。 この新しいユーティリティには、環境内のオブジェクトがグラフィカルに 表示されます。 これによって、各オブジェクトの定義方法や環境内のほかのオ ブジェクトとの関係を把握できます。 たとえば、ロール内のタスク数が表示される ため、パフォーマンス問題を明確化することができます。 マウスをクリックすると、 結果が数秒で表示されます。 このツールは、テスト用システムから実稼働システムに環境を移行したり、like オ ブジェクト間の違いを比較したりする際に役立ちます。 ConfigXpress を使用して、 以下の操作を実行できます。 ■ 環境の現在の状態の表示 ■ ID 管理環境を説明する PDF ファイルの生成 ■ 環境の比較、および環境間のコンポーネントのコピー ■ 後でインポートするための外部ファイルへのコンポーネントのコピー サンプル ユーティリティは以下のディレクトリにインストールされます。 C:¥¥Program Files¥CA¥Identity Manager¥IAM Suite¥Identity Manager¥tools¥sample¥support ConfigXpress.air ファイルをダブルクリックすると、Adobe Air ランタイム プラグイン がダウンロードされます。これは、ユーザがユーティリティを使用するために必要 です。 Web サービス SDK サンプル コネクタ Web サービス SDK (SDKWS)は Java JCS SDK に含まれています。 SDKWS サンプ ル コネクタは、Web サービス エンドポイントと通信するカスタム コネクタを実装 する方法の例を提供します。 サンプル エンドポイントは SDKWS の一部として提 供されます。 パスワード管理 ロジカル アトリビュート ハンドラ(LAH)(ConfirmPasswordHandler)は古いパス ワードを正しく検証するようになりました。 古いパスワードの検証は設定可能で すが、デフォルトでは有効化されていません。 26 リリース ノート r12.5 SP4 Oracle Applications コネクタのデータベース ID とアプリケーション所有者属性の設 定 データベース ID およびアプリケーション所有者の値を設定できるようになりまし た。 新しいコネクタ レベル属性[アプリケーション データベース名]が Oracle Applications コネクタに追加されました。 また、[アプリケーション ユーザ名]属 性の値を指定できるようになりました。 SiteMinder 統合のアクセス ロールおよびアクセス タスクのサポート CA Identity Manager を CA SiteMinder と統合すると、管理者は SiteMinder に よって保護されるアプリケーション内で権限を付与するアクセス ロールを割り当 てることができます。 これらのアクセス ロールには、アクセス タスクが含まれてい ます。これは、財務アプリケーションでの発注書の生成など、ビジネス アプリ ケーションでユーザが実行できる単一のアクションを表します。 注: 詳細については、「設定ガイド」を参照してください。 アクセス ロールで環境 をアップグレードする場合は、「アップグレード ガイド」に記載されている手順に 従ってください。 新しい認証 このリリースでは、以下の新しいプラットフォームが認証されます。 ■ CA Directory r12 SP4 は Identity Manager ユーザ ストアとしてサポートされま す。 ■ CA Business Intelligence 3.2 はビジネス オブジェクト レポート サーバとして Windows 上と UNIX 上でサポートされます。 第 1 章: 新機能 27 r12.5 SP3 r12.5 SP3 このセクションは、以下のトピックから構成されます。 CA DLP コネクタのサポート (P. 28) ユーザ ストアとしての CA Directory r12.0 SP3 (P. 28) RSA 7.1 SP3 のサポート (P. 28) ハードウェア トークンとソフトウェア トークンの相違に対する RSA 7.x ACE (SecurID)コネクタのサポート (P. 29) SAPEmailWeakSyncConverter (P. 29) 累積プロビジョニング ロールのユーザ管理/SAP コネクタ拡張機能 (P. 29) CA DLP コネクタ サポート CA Identity Manager ユーザ コンソールを使用して、CA DLP 12.5 エンドポイント を管理できるようになりました。 ユーザ ストアとしての CA Directory r12.0 SP3 CA Directory r12.0 SP3 は CA Identity Manager ユーザ ストアとしてサポートされ ます。 RSA 7.1 SP3 のサポート CA Identity Manager ユーザ コンソールを使用して、RSA 7.1 SP3 エンドポイント を管理できるようになりました。 RSA Authentication Manager SecurID 7.1 コネク タは RSA 7.1 GA – SP2 と下位互換性はありません。 次のことをお勧めします。 ■ CA Identity Manager r12.5 SP3 を展開する前に RSA インストールを SP3 に アップグレードする。 ■ RSA 7.1 Authentication Manager SP3 SDK ファイルを使用して、Java CS コン ピュータにインストールされた SDK ファイルをアップグレードする。 注: RSA SecurID 7.1 コネクタのアップグレードの詳細については、「Connectors Guide」の「Upgrade the RSA SecurID Connector」を参照してください。 28 リリース ノート r12.5 SP2 ハードウェア トークンとソフトウェア トークンの相違に対する RSA 7.x ACE (SecurID)コネクタのサポート RSA 7.x RSA ACE (SecurID)コネクタが、ハードウェア トークンとソフトウェア トーク ンの相違をサポートするようになりました。 SAPEmailWeakSyncConverter SAPEmailWeakSyncConverter コンバータが SAP エンドポイント用に追加されまし た。 電子メール属性を変更して、SAP アカウント テンプレートで弱い同期を使用 する場合に、このコンバータを使用すると、SAP アカウントに電子メール エントリ が重複して追加されるのを防ぐことができます。 注: コンバータの有効化の詳細については、「電子メール属性を変更して弱い 同期を使用する際の電子メール エントリの重複 (P. 121)」を参照してください。 累積プロビジョニング ロールのユーザ管理/SAP コネクタ拡張機能 SAP コネクタにモニタのキャッシュが含まれるようになりました。 このキャッシュに よって、複数値属性が forceModificationsMode=true に設定されたときに、旧 バージョンの CA Identity Manager では発生した競合状態が回避されます。 r12.5 SP2 このセクションは、以下のトピックから構成されます。 Google Apps コネクタ (P. 30) Microsoft ADAM と LDS DYN JNDI のサポート (P. 30) ユーザ ストアとしての Novell eDirectory 8.8.5 (P. 30) HTTPS を介したインバウンド リクエストの認証チェック (P. 30) UNIX リモート エージェント拡張機能 (P. 30) DYN コネクタ アカウントへのグローバル ユーザの変更に関するパフォーマンス 強化 (P. 31) 第 1 章: 新機能 29 r12.5 SP2 Google Apps コネクタ Identity Manager ユーザ コンソールを使用して、Google Apps エンドポイントを 管理できるようになりました。 Microsoft ADAM と LDS DYN JNDI のサポート Microsoft ADAM (Active Directory Application Mode 2003)および LDS 2008 (ラ イトウェイト ディレクトリ サービス)が DYN JNDI のサポート対象ベンダーになりま した。 ユーザ ストアとしての Novell eDirectory 8.8.5 Novell eDirectory 8.8.5 は Identity Manager ユーザ ストアとしてサポートされま す。 HTTPS を介したインバウンド リクエストの認証チェック セキュリティを向上するために、CA Identity Manager が SSL を使用するよう設定 されている場合、インバウンド リクエストにさらにチェックが追加されました。 UNIX リモート エージェント拡張機能 root 以外のユーザが UNIX リモート エージェントを呼び出せるようになりました。 この拡張機能によって、root やスーパーユーザの許可がなくても、CAM サービ ス(UNIX リモート エージェント バイナリへの C++ コネクタ サーバの通信レイヤ) を実行できます。 付与された権限が少ないため、CAM サービス(常にリクエスト を待ち受けている)のセキュリティが向上します。 30 リリース ノート r12.5 SP1 DYN コネクタ アカウントへのグローバル ユーザの変更に関するパフォーマンス強 化 グローバル ユーザの変更を DYN コネクタ アカウントに伝達する際のパフォーマ ンスが強化されました。 この強化によって、ユーザが変更したアカウントに関す るパフォーマンス問題が解決されます。 ループに対しては、パーサ テーブルで定義された属性は使用されず、メタデー タで定義されたマップ済み属性が使用されます。 すなわち、マップされていな い属性は無視されます。 r12.5 SP1 このセクションは、以下のトピックから構成されます。 Policy Xpress (P. 32) エンドポイント アカウントの逆同期 (P. 33) バルク タスク (P. 34) 電子メール通知ポリシー (P. 34) 禁止アイデンティティ ポリシー (P. 35) ワークフローの拡張機能 (P. 36) 第 1 章: 新機能 31 r12.5 SP1 Policy Xpress Policy Xpress を使用すると、カスタム コードを開発しなくても、複雑なビジネス ロ ジック(ポリシー)を作成することができます。 Policy Xpress のタスクは[ポリシー] タブにあり、デフォルトで、Policy Xpress マネージャのロールおよびシステム マ ネージャ のロールに関連付けられています。 以前は、Policy Xpress は Option Pack 1 の一部でした。 このリリースでは、Policy Xpress は CA Identity Manager 製品の本体へ組み込まれており、[ポリシー]タ ブからアクセスできます。 また、本リリースでは、Policy Xpress で以下のような改善機能がご利用いただけ ます。 ■ スコーピング ルールを使用して、ポリシーを検索できます。 ■ ポリシーには [サブミットされたタスク]と[逆リスナ]があります。 ■ ポリシーの作成、変更、表示、削除は、[サブミット済みタスクの表示]でイベ ントとしてキャプチャされます。 エラーが発生した場合、これらのイベントを 再サブミットできます。 さらに、これらのイベントにワークフローを設定できま す。 ■ Policy Xpress は、評価済みポリシー、実行済みアクション、失敗など、[サブ ミット済みタスクの表示]ですべてのアクティビティを監査します。 ■ プラグインの操作性改善機能がいくつか追加されました。 ■ タスクのサブミット前に、ポリシーでデータを検証できるようになりました。 ■ ポリシーがエラーを生成した際に、より詳細な動作制御が可能になりまし た。 注: Policy Xpress の詳細については、「管理ガイド」を参照してください。 Option Pack 1 からの Policy Xpress プラグインの変更 CA Identity Managerr12.5 SP1 では、以下の Policy Xpress プラグインの変更が 行われています。 データ エレメント 32 リリース ノート ■ アカウント属性の変更 -- 削除されました。 ■ エンドポイント オブジェクト -- 削除されました。 ■ アカウント値および識別子別アカウント値 -- 「アカウント」カテゴリに移動 されました。 r12.5 SP1 ■ コンパレータ、文字列の比較 -- 大文字と小文字の区別オプションが追 加されました。 ■ コンパレータ、日付の比較 -- 日付形式パラメータが追加されました。 ■ 日付 -- 日付形式パラメータが追加されました。 ■ 時間 -- 時刻形式パラメータが追加されました。 ■ リスト フィルタ -- リスト サイズ機能が追加されました。 ■ ワークフロー -- フル ネーム、ユーザ名または電子メール アドレスを返す ことができるようになりました。 アクション ■ アカウント データの設定および識別子別アカウント データの設定 -- 「ア カウント」カテゴリに移動されました。 ■ 「アカウントの移動」アクションが追加されました。 エンドポイント アカウントの逆同期 エンドポイント システム ユーザは、エンドポイント上でアカウントを作成、削除、 変更できます。 たとえば、ユーザが外部ツールを使用して、Active Directory ド メイン内でアカウントを作成または変更する場合があります。 CA Identity Manager はこの潜在的なセキュリティ上の問題を認識している必要があります。 エンドポイント内で直接アカウントを作成または変更すると、CA Identity Manager の承認プロセスおよび監査をバイパスできます。 逆同期は、Identity Manager アカウントとエンドポイント アカウントとの間の相違 点を識別することにより、エンドポイント アカウントの制御に役立ちます。 逆同期 ポリシーを作成して、変更を処理することができます。 次に、検索および関連付 けを使用して CA Identity Manager を更新し、ポリシーの実行をトリガします。 以前は、逆同期は Option Pack 1 の一部でした。 このリリースでは、逆同期は CA Identity Manager 製品の本体へ組み込まれ、ユーザ コンソールの[エンドポ イント]タブ上でアクセスできます。 注: : 逆同期の詳細については、「管理ガイド」の「管理対象のエンドポイント ア カウント」の章をご覧ください。 第 1 章: 新機能 33 r12.5 SP1 バルク タスク バルク タスク(Option Pack 1 のスケジュール済みタスク)によって、CA Identity Manager ユーザは以下のアクションを実行できます。 ■ 部門、都市、終了日などの属性フィルタに基づいて、ユーザ オブジェクトを 変更する。 ■ 特定のオブジェクトに対して、タスクを定期的(たとえば毎週土曜日)に実行 する。 ■ ユーザの一括変更を行う(たとえば選択した部署のすべてのユーザの変更 など)。 この機能は、グループ フィルタを提供する点が CA Identity Manager のスケ ジュール済みタスク機能とは異なります。 スケジュール済みタスクとは違い、 ユーザがバルク タスクを設定する時点ではオブジェクトのどのグループがその 影響を受けるか決定できません。 また、バルク タスクは多くのオブジェクトに影 響を与えますが、スケジュール済みタスクの影響を受けるタスクは 1 つのみで す。 注: バルク タスクの詳細については、「管理ガイド」を参照してください。 電子メール通知ポリシー 電子メール通知は、CA Identity Manager ユーザに、システムのタスクとイベント に関する情報を提供します。 たとえば、イベント タスクが承認をリクエストすると CA Identity Manager が承認者に電子メールを送信します。 CA Identity Manager r12.5 SP1 には、電子メール通知を作成する 2 つの方法が 用意されています。 ■ 電子メール テンプレート(既存の機能) 管理者は、CA Identity Manager と共にインストールされているデフォルトの テンプレートを使用して、電子メール通知を作成します。 これらのテンプ レートをカスタマイズするために、管理者は Email Template API を使用しま す。 ■ 電子メール通知ポリシー(新機能) CA Identity Manager r12.5 SP1 には、ユーザ コンソール内の電子メール管 理タスクを使用して、ビジネス ユーザが電子メールを作成、表示、変更、削 除できるもう 1 つの方法が用意されています。 ユーザは、電子メール通知 の設定に関して、コーディングに関する知識は一切必要ありません。 34 リリース ノート r12.5 SP1 管理者は電子メールのコンテンツ、送信するタイミング、送信者を定義でき ます。 電子メールの内容には現在の日付やイベント情報などの動的な情報 を含めることができます。これらの情報は、電子メール送信時に、CA Identity Manager によってフィードされます。 たとえば、新しいユーザが作成されると 承認者に送信される電子メール通知を設定できます。 電子メールには、ロ グイン情報、雇用日、およびマネージャを含めることができます。 電子通知ポリシーは Policy Xpress ポリシーですが、電子メール通知ポリ シーの作成および管理には、ユーザ コンソール内の別のタスク セットを使 用します。 注: 電子メール通知ポリシーの詳細については、「管理ガイド」を参照してく ださい。 禁止アイデンティティ ポリシー 禁止アイデンティティ ポリシーは、ユーザが利害の衝突や不正の原因となりうる 権限を得ることを防止するタイプのアイデンティティ ポリシーです。 これらのポリ シーは、企業に要求される職務分掌(SOD)をサポートします。 タスクがサブミットされる前に禁止のアイデンティティ ポリシーを実行することに より、管理者は権限の割り当てやプロファイル属性の変更を行う前にポリシー違 反を確認することができます。 違反がある場合、管理者はタスクをサブミットする 前に違反をクリアできます。 たとえば企業は、ユーザ マネージャ ロールを持つユーザが同時にユーザ承認 者ロールも持つことを禁止する禁止アイデンティティ ポリシーを作成できます。 管理者が[ユーザの変更]タスクを使用してユーザ マネージャに[ユーザ承認 者]ロールを与えた場合、CA Identity Manager に違反に関するメッセージが表 示されます。 管理者はロールの割り当てを変更し、タスクをサブミットする前に 違反をクリアできます。 予防的なアイデンティティ ポリシーでは、CA Identity Manager がタスクを実行す る前に、指定された承認者の承認を必要とするワークフロー プロセスをトリガす ることもできます。 注: 予防的なアイデンティティ ポリシーの詳細については、「管理ガイド」を参照 してください。 第 1 章: 新機能 35 r12.5 SP1 ワークフローの拡張機能 このリリースのワークフローには、以下のような新しい拡張機能がいくつか追加さ れています。 36 リリース ノート ■ グローバル イベント レベルのポリシーベースのワークフロー マッピング (P. 37) ■ タスク レベルのポリシー ベースのワークフロー (P. 37) ■ エスカレーション承認テンプレート (P. 38) ■ 一致属性リゾルバ (P. 39) ■ 承認画面での変更された属性の強調表示 (P. 40) ■ 部分属性レベルの承認/拒否 (P. 40) ■ 承認ポリシーの説明 (P. 41) ■ 作業アイテムに対するバルク操作 (P. 41) r12.5 SP1 グローバル イベント レベルのポリシーベースのワークフロー マッピング 現在、イベントは管理コンソールからのワークフロー プロセスにマッピングする か、特定のタスク内でポリシーベースのワークフロー承認ポリシーと関連付ける ことができます。 新しい「グローバル ポリシーベースのイベント用ワークフローの 設定」タスクにより、管理者はポリシーベースのワークフロー マッピングを環境レ ベルで設定できます。 管理者タスクにおけるイベント用のポリシーベースのワー クフローの設定とは異なり、設定済みポリシーベースのワークフロー マッピング はイベントを生成するすべてのタスクに適用されます。 注: 「グローバル ポリシーベースのイベント用ワークフローの設定」タスクは、ワー クフローが有効化されている場合にのみ作動します。 ワークフローが無効化さ れているときにこのタスクを実行すると、エラーが発生します。 この新しいタスクは[システム]タブに追加されています。 タスクがサブミットされ ると、このタスク内の各イベントのワークフロー プロセスが次の方法で取得されま す。 管理タスクのイベント用に設定されたワークフローが優先されます。 イベントは ポリシーベースと非ポリシー ベースのワークフローどちらにも設定できます。 ポ リシーベースのワークフローが管理タスクのイベント用に設定された場合、この ワークフロー プロセスが開始されます。 ルールが一致しない場合、イベント用の ワークフローは開始されません。 同じように、非ポリシーベースのワークフローが 管理タスクのイベント用に設定された場合、このワークフロー プロセスが開始さ れます。 管理タスクのイベント用にワークフローが設定されていない場合、その イベントのグローバル ワークフロー設定が優先されます。 タスク レベルのポリシー ベースのワークフロー タスク レベルのポリシー ベースのワークフローでは、ルールの評価を基に、タス クをワークフロー プロセスと関連付けることができます。 これは、タスクが常に ワークフロー プロセスを起動するのではなく、タスクに関連付けられたルールが 真である場合のみ、ワークフロー プロセスが実行され、作業アイテムを生成する ことを意味します。 たとえば、新規グループの作成時に、[グループの作成]タスクをワークフロー制 御下に配置し、新規グループが指定された親組織の一部である場合のみ、作 業アイテムを作成するルールを定義できます。 新規グループがその組織の一 部でない場合、ワークフロー プロセスは実行されず、作業アイテムは作成されま せん。 第 1 章: 新機能 37 r12.5 SP1 タスクに複数のルールがある場合、タスク自体が承認されるためには、そのタス クに関連付けられたすべてのワークフロー プロセスが承認される必要がありま す。 同様に、タスクに関連付けられた 1 つのワークフロー プロセスが拒否される と、タスク自体も拒否されます。 ワークフロー ルールに優先度値を割り当てて、 ルール評価およびワークフロー実行の順序を決定できます。 デフォルトの CA Identity Manager ワークフロー テンプレートのみが、タスク レベ ルのポリシー ベース ワークフローのワークフロー ルールをサポートします。 また、 ワークフロー ルール用のカスタム ワークフロー プロセスを作成することも可能で す。 注: ポリシー ベースのワークフローの詳細については、「管理ガイド」の「ワーク フロー」の章を参照してください。 エスカレーション承認テンプレート 新しいプロセス テンプレートが追加されました。これには、プライマリ承認者から エスカレーション承認者へのスケジュールされた移行承認ノードが含まれていま す。 プライマリ参加者が見つからない場合に、このユーザはリクエストを承認ま たは拒否できます。 注: エスカレーション承認テンプレートの詳細については、「管理ガイド」の 「ワークフロー」の章を参照してください。 38 リリース ノート r12.5 SP1 一致属性リゾルバ このリゾルバは、タイプが「ユーザ」であるオブジェクトに対してのみ機能します。 利用可能なオブジェクトからの値は、ユーザ オブジェクトのフィールドに対して 一致します。 一致する属性ルールの制約を設定するには、以下の選択内容を 使用します。 承認者 このタスクを承認するユーザのタイプを指定します。 ユーザまたはオブジェクト 承認者が含まれているユーザまたはオブジェクトを指定します。 ■ このイベントに関連付けられるオブジェクト - ワークフロー制御下にある イベント ■ このタスクの開始ソース - 管理タスクを開始したユーザ ■ このタスクのプライマリ オブジェクト - タスクによって作成/変更されてい るタスク(タスク レベルのイベント マッピングにのみ利用できます) ■ このタスクの前回の承認者 - このタスクの前回の承認者 ユーザまたはオブジェクト属性 承認者が含まれている属性を指定します。 承認者検索属性 上記で識別された値の検索に使用される属性を指定します。 第 1 章: 新機能 39 r12.5 SP1 承認画面での変更された属性の強調表示 承認者がどの属性が変更されたかを知り、必要に応じてこれらの属性への変更 を元に戻せるようにするため、承認者のプロファイル画面に取り消しアイコンが 追加されました。これで承認者に、この属性が変更されたことを知らせます。 承認者は取り消しボタンをクリックして元の値を見ることができ、属性の値をほか の値に変更することもできます。 部分属性レベルの承認/拒否 承認者は、承認プロファイル画面で、属性変更の部分承認または拒否を選択 できます。 承認者が承認画面に 表示 されている属性の変更を拒否することに した場合、承認者は[拒否]ボタンをクリックして、拒否された属性のみが元の値 に戻ります。 前のリリースでは、承認者が[拒否]ボタンをクリックすると、イベント 全体が拒否されました。 同様に、承認者が[承認]ボタンをクリックすると、承認 画面に表示されている属性の変更のみが承認されます。 注: これは、評価タイプが「OnChange」の承認ポリシーのワークフローを基とした イベント レベル ポリシーにのみ適用できます。 この機能の詳細については、 「管理ガイド」の「ポリシー ベースのワークフロー」のセクションを参照してくださ い。 40 リリース ノート r12.5 SP1 承認ポリシーの説明 必須ではなく検索をかけられない文字列の説明属性が追加され、承認ポリシー の管理対象オブジェクトに追加され、結果である作業アイテム上に表示されま す。 デフォルト 255 文字 説明には以下の形式でバンドル/キー情報を入力できます。 $ (bundle=<完全修飾リソース バンドル名> : key=<キー>) 注: 承認ポリシーの説明が 255 文字を超えた場合、エラー メッセージが表示さ れます。 この新機能を使用するには、スクリプトを利用して、手動でオブジェクト データ ストアをアップグレードする必要があります。 作業アイテム上でのバルク操作 CA Identity Manager の本リリースでは、選択された作業アイテム上で、以下の バルク操作を実行できます。 ■ 承認 ■ 拒否 ■ 保留 ■ リリース ユーザ コンソールの[Configure Work List]タブが拡張され、新たに[バルク ワー クフロー操作をサポートします]チェック ボックスが含まれています。 このチェッ ク ボックスが有効化されている場合、ユーザは所有する作業アイテム、または [マイ ワーク リストの表示]画面の委任者からの作業アイテムをバルクで承認、 拒否、保留できます。 ただし管理者は、[ユーザの作業アイテムの管理]画面の 既存のユーザの代理としてのみ、アイテムをバルク保留または解放できます。 第 1 章: 新機能 41 r12.5 r12.5 このセクションは、以下のトピックから構成されます。 CA Enterprise Log Manager 統合 (P. 43) Identity Manager ディレクトリ設定ウィザード (P. 44) アカウント管理の拡張機能 (P. 44) プロビジョニング マネージャを必要とするエンドポイント タイプ (P. 45) インストールおよびアップグレードの拡張機能 (P. 45) 自動化されたタスクの永続ガベージ コレクションとアーカイブ (P. 46) タスク永続性移行ツール (P. 47) Connector Xpress の拡張機能 (P. 47) Bulk Loader による複数アクションの許可 (P. 48) ロールおよびタスクのインポートに関する拡張機能 (P. 48) 新しいデフォルトのレポート (P. 49) ワークフローの拡張機能 (P. 49) レポートのデータ ソース (P. 51) サブミット済みタスクの表示に関する拡張機能 (P. 52) プロファイル画面の拡張機能 (P. 53) Microsoft Visual Studio 2008 のサポート (P. 54) アイデンティティ ポリシーの拡張機能 (P. 54) プロビジョニング ロール所有者タスク (P. 54) 42 リリース ノート r12.5 CA Enterprise Log Manager 統合 CA Enterprise Log Manager は CEG (CA Common Event Grammar)を使用して 様々なシステムのイベントを標準形式にマップし、まだマップされていないイベ ントも含め、すべてのイベントを、レビューおよび分析用に格納します。 更に、 CA Enterprise Log Manager は、各種の情報およびイベントを検索するために設 定可能なデータベース クエリおよびレポートを使用して、ユーザに収集データ の管理およびレポート用の大量のソリューションを提供します。 CA Enterprise Log Manager によって、管理されていないシステム、および CA Identity Manager の版におよび制御外のシステムに対する認識が向上し、より 広く深くなります。また、アイデンティティをより詳細に調査できるようになります。 CA Identity Manager との統合により、Identity Manager のユーザ コンソールを 使用して、CA Enterprise Log Manager のアイデンティティ主体のレポートおよび 動的クエリを CA Enterprise Log Manager のユーザ コンソールに表示できます。 特定の ID に関してより詳細な調査を行う一方で、このユーザ コンソールから、 既存の CA Identity Manager/Enterprise Log Manager レポートおよびクエリの表 示および変更方法を設定できます。 CA Enterprise Log Manager レポート 以下の CA Enterprise Log Manager レポートは、デフォルトで、CA Enterprise Log Manager ロール定義で提供されます。 タスク 呼び出されるレポート システム ユーザ別全イベント CA Identity Manager - システム ユーザ ID でフィル タリングされた全イベント アカウント管理(ホスト別) アカウント管理(ホスト別) アカウント作成(アカウント別) アカウント作成(アカウント別) アカウント削除(アカウント別) アカウント削除(アカウント別) アカウントのロックアウト(アカウント別) アカウントのロックアウト(アカウント別) 認証プロセス アクティビティ(ホスト別) CA Identity Manager - プロセス アクティビティ(ホス ト別) パスワード ポリシーの変更アクティビティ CA Identity Manager - ポリシーの変更アクティビ ティ 第 1 章: 新機能 43 r12.5 Identity Manager ディレクトリ設定ウィザード このリリースでは、新しいウィザードが使用できるようになりました。管理者はこの ウィザードを使用して、LDAP ユーザ ストアまたはプロビジョニング サーバの Identity Manager ディレクトリの作成プロセスを順を追って実行し、設定エラーを 減らすことができます。 ウィザードを起動する前に、まず Identity Manager LDAP ディレクトリ設定テンプレートをアップロードする必要があります。 これらのテンプ レートは、既知の必要な属性であらかじめ設定されます。 LDAP ユーザストアま たはプロビジョニング サーバの接続の詳細の入力後、LDAP 属性の選択、既知 の属性のマッピング、属性のメタデータの入力を行うことができます。 属性の マッピングが終了したら、[完了]をクリックしてディレクトリを作成します。 アカウント管理の拡張機能 ユーザ コンソールで、ほとんどのアカウント管理タスクを実行できるようになりま した。 たとえば、以下の操作を実行できます。 ■ エンドポイントの内容を調査し、そのアカウントを相関します。または、調査 するエンドポイントのサブセットを選択します。 ■ エンドポイントを作成および変更し、アカウント テンプレートで使用できるよう にします。 ■ すべてのエンドポイントのアカウント テンプレートを作成および変更します。 ■ エンドポイント上の個々のアカウントを管理してロック解除し、新規ユーザに 割り当てるか、他のいくつかのタスクを実行します。 また、管理コンソールを使用してエンドポイント タイプを定義できるようになりまし た。 そのエンドポイント タイプの画面、タスク、およびロールを含むロール定義 ファイルをインポートします。 定義可能なエンドポイント タイプには、Connector Xpress で作成する動的エンドポイント タイプなどがあります。 従来は、このような機能はプロビジョニング マネージャでのみ使用可能でした。 44 リリース ノート r12.5 プロビジョニング マネージャを必要とするエンドポイント タイプ ユーザ コンソールを使用して、ほとんどのエンドポイント タイプを管理できるよう になりましたが、以下のエンドポイント タイプは依然としてプロビジョニング マ ネージャで管理します。 ■ Entrust PKI ■ CA SSO ■ CA EEM ■ Novell Netware ■ Ingres ■ NSK Safeguard インストールおよびアップグレードの拡張機能 CA Identity Manager r12.5 インストーラに対して、以下の点が改善されました。 ■ ■ インストール – インストール前の前提条件の確認 – すべてのコネクタがデフォルトでインストール アップグレード – 以下の機能を備えた、新しいアップグレード ウィザード ■ すでにインストールされている CA Identity Manager コンポーネント の検出 ■ インストール済みコンポーネントのバージョン情報の提供 ■ コンポーネントが最新か、アップグレードが利用可能かどうかの指定 ■ アップグレード前提条件の確認 ■ プロビジョニング コンポーネント インストーラの直接起動の提供 ■ 正常アップグレードの検証およびエラー チェック – Ingres テクノロジから DXGrid テクノロジへ移動する CA Directory の自動 化アップグレード – Identity Manager Directory および環境の自動化移行 – 自動化タスク永続性移行 第 1 章: 新機能 45 r12.5 – JDBC ドライバの自動追加 – 必要に応じて手動アップグレードを選択可能な、WorkPoint ワークフ ローの自動化アップグレード – データ ソースの自動化アップグレード – 新機能およびアカウント画面ロール定義ファイルの自動インポート 自動化されたタスクの永続ガベージ コレクションとアーカイブ このリリースでは、管理者は[サブミット済みタスクのクリーンアップ]タスクを使用 して、特定のパラメータのジョブをスケジュールまたは変更し、タスク永続性デー タベースのタスク情報とイベント情報をクリーンアップおよびアーカイブします。 また、必要に応じてこれらの反復タスクを削除します。 [システム]タブでは、[サブミット済みタスクのクリーンアップ]を選択してウィザー ドを起動できます。 このウィザードから、ジョブの設定とスケジュールができ、さら にデータをアーカイブするかどうかも設定できます。 また、[システム]タブから [反復タスクの削除]を選択して、必要に応じて反復ジョブが削除されるようにす ることもできます。 タスク データがクリーンアップおよびアーカイブされるようにタスクをスケジュー ルすると、パフォーマンスの問題とシステム停止が発生する可能性は大幅に減 少します。 このアーカイブ機能によって、実行中のデータベースからタスクを削 除する前に、これらのタスクをアーカイブ データベースにバックアップできます。 前の手順に戻り、削除されたタスクを表示する必要がある場合、[サブミット済み タスクの表示]のアーカイブの[アーカイブを検索する]チェック ボックスをオンに して、削除およびアーカイブされたすべてのタスクのリストを検索または表示で きます。 46 リリース ノート r12.5 タスク永続性移行ツール このリリースでは、タスク永続性データベースを r8.1 SP2 または r12 から r12.5 に 移行するために、新しい移行ツールが追加されました。 コマンド ライン ツール は Identity Manager 管理ツールの一部で、以下の場所にあります。 admin_Tools/tools/tpmigration admin_tools のデフォルトの場所は以下になります。 ■ Windows: C:¥Program Files¥CA¥Identity Manager¥IAM Suite¥Identity Manager/tools ■ UNIX: /opt/CA/IdentityManager/IAM_Suite/Identity_Manager/tools Connector Xpress の拡張機能 Connector Xpress では以下の操作が可能になりました。 ■ テーブルの単一のカラムからではなく、複数のカラムからの JDBC コネクタ値 を使用して、単一の属性値にフィードできます。 ■ JDBC の構造および補助クラスを使用します。 ■ 従来のシーケンシャルなウィザード プロセスに代わって、クラスおよび属性 マッピングのツリーを含む、新しい、柔軟なマッピング プロセスを使用します。 これによって、リクエストに応じて、属性の追加、編集、削除を行うことができ ます。 ■ オブジェクトの任意の 2 つのクラス間の直接の関連を指定します。 ■ オブジェクト間の間接の関連を指定します。 たとえば、2 つのオブジェクト間 の関連が双方向であり、オブジェクト間の関連リンクを保持する、テーブル などの 3 番目のエンティティに含まれている場合です。 ■ メソッドおよびスクリプトのスタイル操作バインディングの作成 ■ 操作を他のオブジェクトとクラスの組み合わせにバインドします。 ■ 2 つ以上の opbinding を同じタイミング、すなわち同じターゲット オブジェク ト クラスに対する同じ操作にバインドします。 たとえば、アカウント オブジェ クト クラス用の Before Add 操作に関して 2 以上の opbinding を持つことが できます。 第 1 章: 新機能 47 r12.5 Bulk Loader による複数アクションの許可 CA Identity Manager の Bulk Loader 機能によって、存在しないオブジェクトの代 替アクション マッピングを指定できるようになりました。 旧バージョンでも、CA Identity Manager でプライマリ オブジェクトに対して実行 するアクションを指定できました。 しかし、プライマリ オブジェクトが存在せず、 指定されたアクションが[変更]または[削除]の場合、エラーになりました。 また、 CA Identity Manager にすでに存在するプライマリ オブジェクトに対して[作成] アクションを指定すると、エラーになりました。 CA Identity Manager r12.5 では、プライマリ オブジェクトが存在しない場合でも、 実行する作成(または自動作成)代替アクションを選択できます。 ロールおよびタスクのインポートに関する拡張機能 Identity Manager 環境を作成または更新する際に、管理コンソールで、利用可 能なファイル リストからインポートする事前定義済みロール定義ファイルを 1 つ 以上選択できるようになりました。 これによって、環境セットアップの設定手順を 大幅に削減できます。 事前定義済みロール定義ファイルによって、CA Identity Manager 機能の以下 のようなロールおよびタスクが作成されます。 ■ Enterprise Log Manager 統合 ■ アカウント管理 注: ロール定義ファイルのインポートの詳細については、「Configuration Guide」 を参照してください。 48 リリース ノート r12.5 新しいデフォルトのレポート 以下のレポートが CA Identity Manager に追加されました。 レポート 説明 ソース アカウント詳細 アカウント テンプレートとそれに関連付けられ スナップショット デー たプロビジョニング ロール、エンドポイント タイ タベース プ、エンドポイント、およぼアカウントのリストを 表示します。 管理 管理者とその管理権限のリストを表示します。 スナップショット デー タベース 監査-プロビジョニング ロール の割り当て/取り消し プロビジョニング ロール イベントのリストを表 示します。 監査データベース 監査 -プロビジョニング取り消し プロビジョニングが取り消されたユーザおよび 監査データベース そのアカウントのリストを表示します。 監査の詳細 タスクおよびイベント、およびそれに関連する 監査データベース ステータスの詳細を表示します。 監査-承認待ちタスク 保留中の承認タスクのリストを表示します。 監査データベース 監査-パスワードのリセット 指定された機関の間にリセットされたユーザ パスワードのリストを表示します。 監査データベース エンドポイント詳細 すべてのエンドポイント タイプ、エンドポイント スナップショット デー およびエンドポイント属性のリストを表示しま タベース す。 ワークフローの拡張機能 CA Identity Manager r12.5 では、ワークフロー機能に関して以下のような機能拡 張が行われています。 WorkPoint 3.4.2 のサポート CA Identity Manager r12.5 は Workpoint 3.4.2 をサポートします。 従来は、CA Identity Manager r12 は WorkPoint 3.3.2 をサポートしていました。 第 1 章: 新機能 49 r12.5 ポリシーベース ワークフロー ポリシー ベースのワークフローを使用すると、ルールの評価に基づいて、イベン トをワークフロー プロセスに関連付けできます。 これにより、常にイベントにより ワークフロー プロセスが開始されるのではなく、イベントに関連付けられたルー ルが True である場合にワークフロー プロセスにより作業アイテムが実行および 生成されます。 たとえば、新規グループを作成する場合、新規グループが指定された親組織の 一部である場合のみ、CreateGroupEvent をワークフロー コントロールの下に配 置し、作業アイテムを作成するようにルールを定義できます。 新規グループが その組織の一部でない場合、ワークフロー プロセスは実行されず、作業アイテ ムは作成されません。 イベントに複数のルールがある場合、そのイベントを承認するには、イベントに 関連付けされたすべてのワークフロー プロセスを承認する必要があります。 同 様に、そのイベントに関連付けられた 1 つのワークフロー プロセスが否認される と、イベント自体も否認されます。 ワークフロー ルールに優先度値を割り当てて、 ルール評価およびワークフロー実行の順序を決定できます。 すべてのデフォルトの Identity Manager ワークフロー テンプレートおよび事前 定義済みプロセスは、ワークフロー ルールをサポートします。 また、ワークフ ロー ルール用のカスタム ワークフロー プロセスを作成することも可能です。 注: ポリシー ベースのワークフローの詳細については、「管理ガイド」を参照して ください。 50 リリース ノート r12.5 ワークフローのジョブの表示 本リリースでは、ユーザ コンソールで以下から、タスクおよびイベント レベルの ワークフローに関して、ワークポイント ジョブのランタイム ステータスを図で表示 できるようになりました。 ■ 承認タスク ■ サブミット済みタスクの表示 さらに、テンプレートおよびレガシー プロセス定義の両方を表示できます。 新規環境では、承認タスクにデフォルトで[ジョブの表示]タブが含まれています。 このリリースのみで作成された[サブミット済みタスクの表示]で、イベントまたは タスクのジョブ イメージを表示できます。 以前のリリースで作成されたイベントの ジョブ イメージを表示することはできません。 レポートのデータ ソース CA Identity Manager r12.5 では、レポート用に、スナップショット データベース以 外の別のデータ ソースを指定できます。 たとえば、監査情報にアクセスする場 合は、監査データベースの接続情報をレポートに提供すると、レポートによって データが監査データベースから取得されるようになりました。 また、(レポート用の)データ ソースの接続情報の指定が、管理コンソールから [システム]、[JDBC 接続管理]の下のユーザ コンソールに移動されました。 注: レポートの詳細については、「管理ガイド」を参照してください。 第 1 章: 新機能 51 r12.5 サブミット済みタスクの表示の拡張機能 [サブミット済みタスクの表示]タブに、Identity Manager ユーザ コンソールで開 始されたアクションの結果として、エンドポイント上で発生した変更に関する情報 が表示されるようになりました。たとえば、ユーザ コンソールで管理者がプロビ ジョニング ロールをユーザに割り当てると、[サブミット済みタスクの表示]タブに、 正常に作成されたアカウント、および発生したエラーまたは失敗に関する情報 が表示されます。 この情報は、[イベント詳細]画面の[関連タスク]セクションに表示されます。 以下の例は、「ユーザへのプロビジョニング ロールの割り当て」イベントの[イベ ント詳細]画面を表示しています。 注: [サブミット済みタスクの表示]タブの詳細については、「管理ガイド」を参照 してください。 52 リリース ノート r12.5 プロファイル画面の拡張機能 CA Identity Manager r12.5 では、プロファイル画面に新機能をサポートするいく つかの新規設定が追加されています。 以下のセクションでは、これらの新しい 設定について説明します。 確認フィールド CA Identity Manager r12.5 では、プロファイル画面の 2 つのフィールドの値が一 致することを確認するために使用できる、確認フィールドがサポートされるように なりました。 確認画面には、パスワードの確認や電子メールの確認などがありま す。 注: 詳細については、「User Console Design Guide」を参照してください。 動的なフィールド表示 CA Identity Manager では、プロファイル画面の他のフィールドの値に基づいて、 特定のフィールド表示プロパティを設定できます。 JavaScript を用いることで、 フィールドの非表示/表示、またはフィールドの有効化/無効化を実行できます。 たとえば、JavaScript を使用して、[従業員タイプ]が[Temp(テンプ)]に設定さ れている場合に、[Agency(エージェント)]フィールドを表示できます。 [従業員 タイプ]が[Full Time(フルタイム)]または[Part Time(パートタイム)]である場合 は、[Agency(エージェント)]フィールドは、非表示になります。 注: この機能の使用の詳細については、「User Console Design Guide」をご覧く ださい。 新しいオブジェクト セレクタ フィールド スタイル CA Identity Manager r12.5 には、プロファイル画面上のフィールド用の新しいオ ブジェクト セレクタ スタイル オプションがあります。 このオプションで表示される コントロールを使用して、管理者は管理オブジェクトの検索および選択を行うこ とができます。 このスタイルは、通常アカウント管理画面で使用されます。 注: この機能の使用の詳細については、「User Console Design Guide」をご覧く ださい。 第 1 章: 新機能 53 r12.5 Microsoft Visual Studio 2008 のサポート CA Identity Manager は Microsoft Visual Studio 2008 SP1 を完全にサポートしま す。 これは、Microsoft Visual Studio 2003 をサポートする CA Identity Manager の旧バージョン用に記述されたすべてのカスタム コードを Visual Studio 2008 SP1 を使用してリコンパイルする必要があることを意味します。 影響を受けるカ スタム コードには、以下のようなものがあります。 ■ C++ カスタム コネクタ ■ Java カスタム コネクタ用のプロビジョニング マネージャ プラグイン ■ 共通のプログラム EXIT ■ ユニバーサル プロビジョニング オプション(UPO)プログラム EXIT ■ Pluggable Authentication Module (PAM) DLL ■ ユニバーサル フィード オプション プログラム EXIT アイデンティティ ポリシーの拡張機能 ポリシー セットが特定のユーザのみに適用されるように、ポリシー セットのメンバ ルールを作成できます。 セットにおけるアイデンティティ ポリシーが評価される 前にルールが評価され、大幅に時間を短縮できます。 たとえば、メンバ ルール によりアイデンティティ ポリシーの評価がユーザの 10 % に制限されている場合、 そのルールは評価時間を 90 % 短縮できます。 プロビジョニング ロール所有者タスク ユーザ コンソールでは、新規タスク「プロビジョニング ロールに割り当てる所有 者ポリシーを作成」を使用できます。 複数のプロビジョニング ロールを選択して、 それらのロールを誰が変更できるかを制御する所有者ポリシーを割り当てること ができます。 このタスクは、ロール所有者のリセット タスクに代わるものです。1 回に 1 つのロールに対してのみ使用できます。 54 リリース ノート 第 2 章: 変更された機能 このセクションには、以下のトピックが含まれています。 r12.5 SP7 (P. 55) r12.5 SP6 (P. 57) r12.5 SP5 (P. 58) r12.5 SP4 (P. 59) r12.5 SP3 (P. 61) r12.5 SP2 (P. 64) r12.5 SP1 (P. 68) r12.5 (P. 70) r12.5 SP7 このセクションは、以下のトピックから構成されます。 ユーザ コンソールと管理コンソール URL への変更 (P. 55) サポート対象外のスマート プロビジョニング (P. 56) ユーザ インターフェース拡張機能 (P. 56) 新しいデートピッカー コントロール (P. 56) ユーザ コンソールと管理コンソール URL への変更 本リリースでは、以下のテーブルに示すように、ユーザ コンソールおよび管理コ ンソールのベース URL が変更されています。 コンポーネント 新規 URL 以前の URL ユーザ コンソー ル http://hostname:port/iam/im/alias http://hostname:port/idm/alias 管理コンソール http://hostname:port/iam/immanage http://hostname:port/idmmanage 第 2 章: 変更された機能 55 r12.5 SP7 サポート対象外のスマート プロビジョニング スマート プロビジョニング機能および CA RCM との統合(旧リリースのテクノロジ プレビュー)は、本リリースではサポートされません。 Identity Manager の今後の リリースで、CA RCM の改良された統合と強化されたスマート プロビジョニング機 能がサポートされる予定です。 現在、計画的検証プログラムの一環として、強化された統合とスマート プロビ ジョニング機能を検証しています。 強化された統合のリリース日の詳細につい ては、CA アカウント チームにお問い合わせください。 IdentityMinder.ear から iam_im.ear への変更 IdentityMinder.ear ファイルは本リリースで名前が変更されました。 新しい名前 は iam_im.ear です。 このファイルは本リリースのインストールまたはアップグ レードによって作成されます。 新しいデートピッカー コントロール CA Identity Manager には新しいデートピッカー コントロールが含まれています。 リスト画面とプロファイル画面に、このコントロールを追加できます。 Java の日付形式の全リストは、Oracle Web サイトで入手できる Java™ 2 Platform Std. Ed. v1.4.2 のマニュアルに記載されています (。 SimpleDateFormat を検索します。 デートピッカー コントロールでは、Java 日付形式のサブセットがサポートされま す。 SimpleDateFormat でサポートされている以下の形式は除外されます。 記号 意味 タイプ 例 -G 時代 テキスト 「GG」 -> 「AD」 D 年内の日付(1 ~ 365 ま 数値 たは 1 ~ 364) 「D」 -> 「65」 W 月内の週(1 ~ 5) 数値 「W」 -> 「3」 K 時間(0 ~ 11 AM/PM) 数値 「K」 -> 「15」 「D」 ->「065」 「KK」->「15」 56 リリース ノート r12.5 SP6 ミリ秒(0 ~ 999) S 数値 「SSS」 -> 「007」 注: デートピッカー ツールは 24 時間形式のみをサポートします。 プロビジョニング ロールの範囲指定検索 CA Identity Manager に、プロビジョニング ロールの範囲指定検索に対するサ ポートが含まれるようになりました。 プロビジョニング ロールを操作対象とするタ スク用の[検索]タブで、以下のオプションのいずれかが設定されている場合、 そのタスクが含まれる管理ロールにスコープ ルールが含まれている必要があり ます。 ■ ユーザが管理者であるすべてのプロビジョニング ロール ■ ユーザが所有者であるすべてのプロビジョニング ロール プロビジョニング ロール オブジェクトのスコープ ルールが定義されていない場 合、検索結果でロールは返されません。 r12.5 SP6 このセクションは、以下のトピックから構成されます。 有効な SSL 証明書のみを受諾するための GINA クライアントの設定 (P. 58) 第 2 章: 変更された機能 57 r12.5 SP5 有効な SSL 証明書のみを受諾するための GINA クライアントの設定 GINA および Credential Provider が強化されました。 クライアントが有効な SSL 証明書のみを受諾するように GINA および Credential Provider を設定できるよう になりました。 GINA および Credential Provider を設定して、期限切れまたは無 効の SSL 証明書がインポートされたときに、[セキュリティ警告]ダイアログ ボック スの[はい]ボタン(証明書を受諾する)を使用できるないようにすることができま す。 これによって、クライアントが期限切れ証明書や、信頼された CA Identity Manager サーバを偽装しようとするホストからの非正規の証明書を受諾するのを 防いで、man-in-the-middle 攻撃の危険性や悪意のあるコードが実行される可 能性を低減できます。 また、このオプションを使用することで、ユーザが[セキュ リティ警告]ダイアログ ボックスからローカルのファイル システムにアクセスする のを防止できます。 管理者がサイレント インストール中にこの設定を有効にするためのオプションが 追加されました。 このオプションを有効にするには、サイレント インストール オプションで REJECTINVALIDCERTS=Yes を設定します。 注: この機能はデフォルトでは有効になっていません。 r12.5 SP5 このセクションは、以下のトピックから構成されます。 Solaris ゾーンでの UNIX リモート エージェントの動作 (P. 58) Solaris ゾーンでの UNIX リモート エージェントの動作 UNIX リモート エージェントで、グローバル ゾーンから /usr ファイル システムが 継承されている Solaris ゾーンへのインストールがサポートされるようになりました。 この機能を設定する方法の詳細については、TechDoc 510246 を参照してくださ い。 58 リリース ノート r12.5 SP4 r12.5 SP4 このセクションは、以下のトピックから構成されます。 WS-I コンプライアンス標準に基づく TEWS WSDL の生成 (P. 59) プロビジョニング ロール用のスコープ ルールを備えた管理ロールの、[プロビ ジョニング ロール メンバ/管理者の変更]タスクにおけるインスタンス化 (P. 60) デフォルト レポートを展開するための BIConfig ツール (P. 60) レポート データベースとしてサポートされる MySQL (P. 60) WS-I コンプライアンス標準に基づく TEWS WSDL の生成 TEWS WSDL を、WS-I コンプライアンス標準に基づいて生成できるようになりまし た。 注: 既存のサンプルおよびカスタム コードは、WS-I 標準に準拠していないため、 正常にコンパイルされません。 WS-I コンプライアンス標準に基づいて TEWS WSDL を生成する方法 1. CA Identity Manager 管理コンソールで、[環境]-[]-[詳細設定][Web サービス]をクリックします。 [Web サービス]ページが表示されます。 2. [WS-I 形式]チェック ボックスで[WSDL の生成]を選択します。 注: サンプル Java クラス ファイル AccessUtil.WSI は samples/WebServide/Axis に追加されています。 コンパイルされないように、ファイル名が変更されていま す。 第 2 章: 変更された機能 59 r12.5 SP4 管理ロールによる、メンバ ポリシーと管理ポリシー内でのプロビジョニング ロー ル用スコープ ルールの強化 プロビジョニング ロールのスコープが、プロビジョニング ロール検索に実装され ました。 管理者は、プロビジョニング ロールを管理するタスクが含まれているロール用の プロビジョニング ロール スコープを、メンバ ポリシーと管理ポリシー内で指定す る必要があります。 たとえば、プロビジョニング ロール マネージャ ロールの場合、 ロール メンバにどのプロビジョニング ロールの管理を許可するかを定義するス コープ ルールが、メンバ ポリシーと管理ポリシーに含まれている必要がありま す。 スコープ ルールが指定されていない場合、管理者が[プロビジョニング ロール の変更]や[プロビジョニング ロール メンバシップの変更]などのタスクで検索を 実行したときに、プロビジョニング ロールが返されません。 注: 管理者がメンバ ポリシーと管理ポリシーでプロビジョニング ロール スコープ を定義する必要があるのは、プロビジョニング ロールを管理するタスクで、その タスクの[検索]タブの[すべてのプロビジョニング ロール]検索オプションが有 効に設定されている場合のみです。 検索設定の詳細については、タスクの[検 索]タブのオンライン ヘルプを参照してください。 デフォルト レポートを展開するための BIConfig ツール BIConfig は、専用の XML ファイルを使用して CA Identity Manager 内でのデフォ ルト レポートの展開を効率化する新しいユーティリティです。 注: BIConfig ユーティリティの詳細については、「インストール ガイド」の「レポー ト サーバのインストール」の章を参照してください。 レポート データベースとしてサポートされる MySQL レポート サーバのインストールを簡略化するために、CA Identity Manager では、 レポート データベースとして MySQL がサポートされるようになりました。 以前に Oracle または Microsoft SQL を使用してレポート サーバをインストールしている 場合は、引き続きそれらのデータベースを使用できます。 レポート サーバを新 規インストールする場合は、インストーラにパッケージ化された MySQL デフォル ト データベースを使用してください。 60 リリース ノート r12.5 SP3 r12.5 SP3 このセクションは、以下のトピックから構成されます。 Policy Xpress の LDAP プラグインによる接続の確保のサポート (P. 61) プロビジョニング マネージャから開始されたドメインのオープン イベントとクロー ズ イベントを追跡するログ記録の有効化 (P. 61) Solaris 疎ルート ゾーンへの UNIX リモート エージェントのインストールのサポー ト (P. 63) Policy Xpress の LDAP プラグインによる接続の確保のサポート Policy Xpress の LDAP プラグインを使用すると、[接続の確保]チェック ボックス をオンにして、SSL 対応ディレクトリ サーバと通信することができます。 プロビジョニング マネージャから開始されたドメインのオープン イベントとクロー ズ イベントを追跡するログ記録の有効化 オープン イベントとクローズ イベントは、ユーザがプロビジョニング マネージャを 使用してプロビジョニング ドメインを開くか閉じたときに発生するイベントで、 ユーザが開始するイベントです。 ドメインを開くと、プロビジョニング サーバへの 最初の LDAP 接続が確立されます。 その後、プロビジョニング マネージャは追 加の LDAP 接続を開始できます。 ドメインを閉じると、開いている LDAP 接続が すべて閉じられます。 プロビジョニング マネージャによって、ドメインのオープン イベントとクローズ イ ベントが INFO レベルでログに記録されます。 第 2 章: 変更された機能 61 r12.5 SP3 オープン イベントとクローズ イベントのロギングを有効にするには、プロビジョニ ング マネージャでロギングを設定します。 オープン イベントとクローズ イベントのロギングを有効にする方法 1. プロビジョニング マネージャで[ファイル]-[基本設定]-[ロギング]タブをク リックします。 [ロギング]タブが表示されます。 2. 必要なロギング先の横にある[有効]チェック ボックスをオンにします。 例: オープン イベントとクローズ イベントのログ記録の仕組み ドメインのオープン イベントが、etaclient*.log に以下のように記録されます。 INFO IM Provisioning Manager - Domain opened (<working_domain>:<user>@<user_domain>) ドメインのクローズ イベントが、etaclient*.log に以下のように記録されます。 INFO IM Provisioning Manager - Domain closed (<working_domain>:<user>@<user_domain>) LDAP バインド解除操作のロギングの有効化 プロビジョニング サーバが強化され、LDAP のバインド解除操作が etatrans*.log にログ記録されるようになりました。 バインド解除操作は、必ずしもドメインが閉じ られることを意味しません。最初の接続が確立された後、プロビジョニング マ ネージャは追加の LDAP 接続を開始できます。 プロビジョニング サーバ トランザクション ロギングを有効にする方法 1. プロビジョニング マネージャで、[システム]-[ドメイン設定]をクリックし、[トラ ンザクション ログ]を展開します。 2. [有効化]を「TRUE」に設定します。 バインド解除操作が以下のように記録されます。 Unbind :E133:----:S: External Unbind (eTGlobalUserName=<user>) Requested by User <user> Unbind :E133:----:P: dn: eTGlobalUserName=<user>,eTGlobalUserContainerName=Global Users,eTNamesp 62 リリース ノート Unbind :E133:----:P:+ aceName=CommonObjects,dc=<dc> Unbind :E133:----:F: SUCCESS: External Unbind (eTGlobalUserName=<user>) r12.5 SP3 Solaris 疎ルート ゾーンへの UNIX リモート エージェントのインストールのサポート UNIX リモート エージェントが強化され、グローバル ゾーンから /usr ファイル シ ステムが継承されている Solaris ゾーンへのインストールがサポートされるように なりました。 注: 旧バージョンの CA Identity Manager では、完全ルート ゾーンのみがサポー トされていました。 継承された /usr ファイル システムがあるゾーンに UNIX リモート エージェントをイ ンストールすると、グローバル ゾーンの /usr/bin ディレクトリに uxsautil という名 前のシンボリック リンクが作成されます。 このリンクは、リモート エージェントと共 にインストールされた uxsautil バイナリを指している必要があります。 グローバル ゾーンにエージェントをインストールしてから、同一のインストール パスを使用し て非グローバル ゾーンにエージェントをインストールすることをお勧めします。 また、グローバル ゾーン シンボリック リンクを手動で作成することもできます。 リ ンクが非グローバル ゾーンで使用されるインストール場所を指していることを確 認します。 たとえば、デフォルトのインストール場所を使用する場合は、以下の コマンドを実行します。 ln -s /opt/CA/IdentityManager/ProvisioningUnixAgent/bin/uxsautil /usr/bin/uxsautil 疎ルート ゾーンで UNIX リモート エージェントを使用し、root 以外のユーザとし て CAM サービスを使用して実行する場合、手動による設定が必要です。 グ ローバル ゾーンから継承される /usr/bin/uxsautil と同様、ファイル所有権の権 限も継承されます。 疎ルート ゾーン内で一致するよう各権限を手動で設定し、 その後、「cam」ユーザとグループが両方のゾーンで一致していることを確認す る必要があります。 疎ルート ゾーン内で一致するよう権限を設定する方法 1. UNIX リモート エージェントがインストールされているグローバル ゾーンで、 「cam」ユーザのユーザ ID(uid)および「cam」グループのグループ ID(gid)を 見つけます。 2. 疎ルート ゾーンで、ユーザとグループを手動で追加します。 - groupadd -g <gid> cam - useradd -u <uid> -g <gid> cam 第 2 章: 変更された機能 63 r12.5 SP2 3. 「cam」ユーザのホーム ディレクトリが有効なパスであることを確認します。 ユーザ アカウントはリモート エージェントのインストール処理中に使用されま す。 4. [CAM as a non-root user (root ユーザではない CAM)]を有効にして UNIX リモート エージェントをインストールします。 注: リモート エージェントをアンインストールし、「cam」ユーザとグループを 手動で作成した場合、「cam」ユーザとグループの削除は手動で行ってくだ さい。 リモート エージェントは、自身が追加したアカウントは削除できますが、 手動で作成されたサービス アカウントと「cam」という名前のユーザ アカウン トを区別できません。 r12.5 SP2 このセクションは、以下のトピックから構成されます。 コネクタ アカウントの削除 (P. 64) Solaris 10 疎ルート ローカル ゾーンへの UNIX リモート エージェントのインストー ルのサポート (P. 65) UNIX リモート エージェントのサイレント インストールのサポート (P. 67) 廃止されたコンポーネント (P. 67) プロビジョニング サーバと関連パッケージの強化 (P. 67) コネクタ アカウントの削除 コネクタを使用して、 ユーザを削除することはで きません。これは、 がアカウントの削除をサポートしていないため です。 CA Identity Manager 12.5 SP1 では、直接的まなた間接的に ア カウントを削除する何らかの操作が行われると、 エンドポイント上 のアカウントを一時停止し、アカウントを[DeletePending ]状態に置くように設定 されていました。 64 リリース ノート r12.5 SP2 CA Identity Manager12.5 SP2 では、アカウントの削除と一時停止の動作が変更 されました。 アカウントを直接または間接的に(そのアカウントを作成したロー ルの削除など)削除しようとする操作が実行されると、CA Identity Manager に よってアカウントの削除がシミュレートされるようになりました。 ユーザ コンソールの[エンドポイント設定]タブ上でオプション[削除時のアカウ ント オプション: アカウントをプロビジョニング ディレクトリおよび管理エンドポイ ント(Salesforce はサポートしない)の両方から削除する]が選択されると、アカウ ントが非アクティブ化され、 エンドポイント上の「CA ILM SFDC Connector Suspended」というグループに配置されます。 追加操作中、 コネクタによって、アカウントが エ ンドポイント上に存在していることが確認され、アカウントが CA ILM SFDC Connector Suspended グループ内にあるかどうかがチェックされます。 アカウントが CA ILM SFDC Connector Suspended グループ内にある場合、新規 アカウントを追加する代わりに、CA Identity Manager によって一時停止メンバ シップが削除され、アカウントに変更が加えられます。 検索および関連付けの実行中は、CA ILM SFDC Connector Suspended グループ 内のアカウントはすべて無視されます。 CA ILM SFDC Connector Suspended グループは コネクタによって 必要に応じて作成されます。 注: ユーザ アカウントの一時停止および再開の詳細については、ユーザ コン ソール オンライン ヘルプを参照してください。 Solaris 10 疎ルート ローカル ゾーンへの UNIX リモート エージェントのインストー ルのサポート UNIX リモート エージェントが強化され、グローバル ゾーンから /usr ファイル シ ステムが継承されている Solaris ゾーンへのインストールがサポートされるように なりました。 r12.0 および r12.5 のリリースでは、完全ルート ゾーンがサポートさ れていました。 第 2 章: 変更された機能 65 r12.5 SP2 継承された /usr ファイル システムがあるゾーンに UNIX リモート エージェントをイ ンストールするには、グローバル ゾーンの /usr/bin ディレクトリに「uxsautil」とい う名前のシンボリック リンクが作成される必要があります。このリンクは、リモート エージェントと共にインストールされた「uxsautil」バイナリを指している必要があ るため、グローバル ゾーンにこのエージェントをインストールしてから、同一のイ ンストール パスを使用して非グローバル ゾーンにエージェントをインストールす ることをお勧めします。 また、グローバル ゾーン シンボリック リンクを手動で作成することもできます。 リ ンクが非グローバル ゾーンで使用されるインストール場所を指していることを確 認します。 たとえば、デフォルトのインストール場所を使用する場合は、以下を 入力します。 ln -s /opt/CA/IdentityManager/ProvisioningUnixAgent/bin/uxsautil /usr/bin/uxsautil 疎ルート ゾーンで UNIX リモート エージェントを使用し、root 以外のユーザとし て CAM サービスを使用して実行する場合、手動による設定が必要です。 /usr/bin/uxsautil がグローバル ゾーンから継承されるのと同様、ファイル所有権 の権限も継承されます。 疎ルート ゾーン内でこれらの権限が一致するよう設定 する必要があります。 「cam」ユーザとグループが両方のゾーンで一致する必要 があります。 1. UNIX リモート エージェントがインストールされているグローバル ゾーンで、 「cam」ユーザのユーザ ID(uid)および「cam」グループのグループ ID(gid)を 見つけます。 2. 疎ルート ゾーンで、ユーザとグループを手動で追加します。 - groupadd -g <gid> cam - useradd -u <uid> -g <gid> cam 注: cam ユーザのホーム ディレクトリが有効なパスであることを確認してくだ さい。 ユーザ アカウントはリモート エージェントのインストール処理中に使 用されます。 3. [CAM as a non root user]を有効にして UNIX リモート エージェントをインス トールします。 注: リモート エージェントをアンインストールした場合は、「cam」ユーザとグルー プを手動で作成しているため、「cam」ユーザとグループの削除も手動で行う必 要があります。 リモート エージェントは、自身が追加したアカウントを削除するよ う設計されていますが、手動で作成されたサービス アカウントと潜在的なユーザ を区別できません。 66 リリース ノート r12.5 SP2 UNIX リモート エージェントのサイレント インストールのサポート IdentityManager.[Platform].sh スクリプトが強化され、Identity Manager r12.5 で のサイレント インストールが可能になりました。 スクリプトをインストールするには、 以下のコマンドを使用します。 sh IdentityManager.[platform].sh [-r file name] [-f file name] -r: インストール ダイアログ ボックスが実行され、入力された値を使用して応答 ファイルが作成されます。 製品はインストールされません。 -f: 製品をインストールします。 応答ファイルを追加して、無人インストールをカ スタマイズできます。 廃止されたコンポーネント 以下のコンポーネントは、CA Identity Manager r12.5 SP2 で廃止されました。 ■ Embedded Entitlement Manager (EEM)コネクタ 注: このコネクタは、CA Identity Manager r8.1 SP2 以前のリリースでは Embedded IAM (EIAM)オプションと呼ばれていました。 ■ Ingres コネクタ ■ Novell Netware コネクタ ■ UNIX コネクタの NCR MP-RAS サポート プロビジョニング サーバと関連パッケージの強化 プロビジョニング SDK および関連パッケージが強化され、CA Identity Manager ユーザ コンソールからのカスタム C++ コネクタの使用がサポートされるようになり ました。 注: 詳細については、以下の URL にある技術文書を参照してください。 archID=TEC520582 第 2 章: 変更された機能 67 r12.5 SP1 r12.5 SP1 このセクションは、以下のトピックから構成されます。 ローカライゼーション ファイルがインストール中に展開可能 (P. 68) 機能強化された作業アイテム委任 (P. 68) 機能強化された動的リゾルバ (P. 69) 新しいタスク反復モデル (P. 69) ローカライゼーション ファイルがインストール中に展開可能 CA Identity Manager の旧バージョンでは、CA Identity Manager を別の言語で 表示する場合に使用する、翻訳済みのリソース バンドルのサンプルは管理ツー ルから利用可能でした。 これらの翻訳済みのリソース バンドルは、デフォルトでインストールされるように なりました。 注: CA Identity Manager のローカライズ バージョンの作成の詳細については、 「User Console Design Guide」をご覧ください。 機能強化された作業アイテム委任 前回のリリースでは開始時刻を指定することはできましたが、委任の終了時刻 の指定はできませんでした。 新しく作成された委任は、委任の日付が true に、 デフォルトの開始時刻は now に設定されています。 変更時間において、開始および終了日を変更できます。 デフォルトの終了時 刻は、開始日から一週間です。 あるいはユーザの作成または変更時に、同じ作業を[作業アイテムの委任]タブ から行えます。 68 リリース ノート r12.5 SP1 機能強化された動的リゾルバ 動的リゾルバの機能が強化され、前の承認者をサポート対象オブジェクト リスト に追加できるようになりました。 マネージャ情報を格納している物理属性が選択 された場合、設定によって承認がマネージャにルーティングされます。 前の承認者をリゾルバのサポート対象オブジェクト リストに追加することで、エス カレーション承認プロセスで動的リゾルバが使用されるようになります。 この変更 は、エスカレーション承認プロセスでの使用のみを目的としたもので、実際に承 認を行ったユーザの選択はできません。 現在のジョブの前回の作業アイテムで 承認者として識別されている 全ユーザが、リクエストされた情報(マネージャ UID など)があるかどうか検査されます。 この検査によって特定されたすべての個人 は、現在の作業アイテム(エスカレーション)の承認者です。 新しいタスク反復モデル 新しいグローバル反復モデルが、[検索および関連付けを実行]タスクおよび [スナップショット データのキャプチャ]タスクで使用できます。 ウィザードとして の新しいモデル機能には、以下の 2 つの手順があります。 1. 反復 -- タスクのスケジューリングまたはタスクの即時実行ができます。 2. タスク -- タスクのパラメータを指定できます。 注: 新しい反復モデルの詳細については、「管理ガイド」で「[反復]タブ」を参照 してください。 第 2 章: 変更された機能 69 r12.5 r12.5 このセクションは、以下のトピックから構成されます。 スナップショット データベースのパフォーマンス向上 (P. 70) 接続の管理 (P. 70) Active Directory コネクタの Win2003 R2 UNIX 属性サポート (P. 71) エンドポイント タイプ属性マッピング ファイルの移動 (P. 71) デフォルトの CleverPath レポート テンプレートの削除 (P. 71) 推奨されないプロビジョニング API およびユーティリティ (P. 72) iRecorder のサポートの終了 (P. 74) 新規環境内のすべてのタスクで Web サービスが無効になる (P. 74) スナップショット データベースのパフォーマンス向上 スナップショット データベースにデータをエクスポートする場合のパフォーマン スが大幅に向上しました。 さらにパフォーマンスを改善するには、エンドポイント アカウント上でのレポート の生成に使用される Identity Manager オブジェクトなど、特定のニーズを満た すスナップショット パラメータ XML ファイルを使用します。 接続の管理 CA Identity Manager の接続管理は、JDBC 接続管理に置換されました。 JDBC 接続管理では、Identity Manager 内で、レポート用に代替データ ソースを 指定できます。 これによって、接続の詳細を異なるデータベースに提供でき、そ れらを接続タイプ別に分類できます。 また、各接続タイプに対してデフォルトの 接続を指定できます。 重要: パフォーマンス上の理由から、Identity Manager オブジェクト ストア デー タベースをレポート生成のデータ ソースとして使用しないことをお勧めします。 70 リリース ノート r12.5 Active Directory コネクタの Win2003 R2 UNIX 属性サポート Windows 2003 R2 UNIX 拡張が CA Access Control UNIX 認証ブローカと連携す ることで、Active Directory で UNIX コンピュータおよびアカウントを管理できます。 CA Identity Manager は、各 UNIX サーバをプロビジョニングする代わりに、 Active Directory 上にこれらの属性をロードして、UNIX アクセスを提供します。 こ れによって、UNIX 環境のプロビジョニングおよびアイデンティティ管理が大幅に 簡略化されます。 注: この機能は CA Identity Manager r12 からマージされ、プロビジョニング マ ネージャでのみ利用可能です。 エンドポイント タイプ属性マッピング ファイルの移動 CA Identity Manager r12 では、Identity Manager を JIAM 属性に含めるよう拡張 するための属性マッピング ファイルは IdentityMinder.ear¥custom¥provisioning¥im2jiammapping にありました。 CA Identity Manager r12.5 では、これらの属性マッピングファイルはそれぞれの エンドポイント タイプ jar に移動されました。 JAR ファイルは、 iam_im.ear¥user_console.war¥WEB-INF¥lib にあります。 デフォルトの CleverPath レポート テンプレートの削除 デフォルトの CleverPath レポート テンプレートは、CA Identity Manager r12.5 で はサポートされなくなりました。 CA Identity Manager は、現在 Business Objects Report Server をサポートしています。 CAIdentity Managerr12.5 にはレポート テンプレートのセットが含まれていて、 Business Objects Report Server で使用します。 詳細については、「管理ガイド」 の「レポート」の章を参照してください。 注: Crystal Reports Developer を使用して、カスタム レポート テンプレートを作 成できます。これは、Business Objects から購入できます。 第 2 章: 変更された機能 71 r12.5 推奨されないプロビジョニング SDK およびユーティリティ 以下のプロビジョニング サーバ SDK およびインターフェースは CA Identity Manager r12.5 SP1 では推奨されませんが、ドキュメントに記述されているように、 継続して機能します。 C++ コネクタ SDK および JIAM SDK を使用するには、CA Identity Manager 12.5 SP1 Legacy Components パッケージをダウンロードしてインストールします。 この パッケージに含まれている「Programming Guide for Provisioning」には、SDK に 関する記述があります。 ■ C++ コネクタ SDK この SDK によって、静的なカスタム C++ コネクタを記述できます。 既存の C++ コネクタは、CA Identity Manager r12.5 SP1 で継続して機能します。 注: 新規コネクタは、Java コネクタ SDK を使用して開発する必要があります。 この SDK に関する記述は、「Programming Guide for Java Connector Server」 にあります。 ■ Java アイデンティティおよびアクセス管理(JIAM) SDK JIAM SDK は、以前のバージョンの CA Identity Manager では以下の機能を 提供していました。 – プロビジョニング サーバへの Java インターフェース – カスタム クライアント アプリケーションを開発するプロビジョニング サー バ機能の抽象概念。 – 複数のクライアントへ、アイデンティティおよびアクセス管理機能へのア クセス権を提供する単一のインターフェース。 この API は CA Identity Manager 機能のサブセットへのアクセスを提供する のみであるため、あまり推奨されません。 72 リリース ノート r12.5 この機能は、CA Identity Manager 12.5 の以下の機能に置換されます。 – ユーザ コンソール内の管理タスク 管理タスクを使用して、Identity Manager が管理するほとんどのオブ ジェクトを操作できます。 – タスク実行 Web サービス(TEWS) CA Identity Manager タスク実行 Web サービス(TEWS)は、サードパー ティ クライアント アプリケーションがリモート タスクを CAIdentity Manager へサブミットして実行することを可能にする Web サービスインターフェー スです。 このインターフェースは、WSDL および SOAP のオープン スタン ダードを実装し、CA Identity Manager へのリモート アクセスを提供しま す。 – 管理オブジェクト インターフェース CAIdentity Manager は、管理オブジェクト用のインターフェースを提供し ます。これらのオブジェクトは、CA Identity Manager API を使用してアク セスできます。 管理タスクの詳細については、「管理ガイド」を参照してください。 TEWS お よび管理オブジェクト インターフェースの詳細については、「Programming Guide for Java」を参照してください。 ■ etautil etautil バッチ ユーティリティを使用して、プロビジョニング マネージャと同じ タスクを実行しますが、コマンド ライン インターフェースから実行します。 etautil ユーティリティは、インストール済みの r12.5 SP1 ソフトウェアの一部で す。 このユーティリティに関する説明は、「Provisioning Reference Guide」に あります。 この機能は、タスク実行 Web サービス(TEWS)によって置換されます。この サービスの詳細は、「Programming Guide for Java」に記述されています。 ■ ユニバーサル プロビジョニング コネクタ(UPC) UPC は、ユーザ プロビジョニング リクエストの受信時に、 Identity Manager がユーザ指定の外部プログラムを呼び出すメカニズムを提供します。 UPC は、非管理システム(非管理モード)に関してプログラム EXIT を使用してア ラートを送信するため、管理者は手動でリクエストを実行し、アカウント リクエ ストのステータスを更新できます。 また、EXIT を同期モード(管理モード)で 使用して、リモート エンドポイント タイプに対して直接管理インターフェース を提供します。 第 2 章: 変更された機能 73 r12.5 iRecorder のサポートの終了 iRecorder は、CA Identity Manager r12.5 ではサポートされなくなりました。 iRecorder の機能は、CA Enterprise Log Manager に置換されました。 新規環境内のすべてのタスクで Web サービスが無効になる CAIdentity Manager12.5 から開始して、環境作成中に[デフォルト ロールの選 択]オプションを使用して作成された、またはオプションのロール定義プラグイン をインポートして作成された新規タスクでは、 Web サービスがデフォルトで false に設定されています。 CA Identity Manager の従来のリリースでは、すべてのタ スクで、デフォルトで Web サービスが有効になっていました。 CAIdentity Manager12.5 にアップグレードした後に、これまで Web サービスが 有効になっていた既存環境のタスクでは、旧リリースと同様に、継続して Web サービスが有効になります。 既存環境がアップグレード ロール定義プラグイン のいずれかを適用すると、r12.5 のこれらの新規タスクの Web サービスのフラグ がデフォルトで false に設定されます。 74 リリース ノート 第 3 章: インストールに関する考慮事項 このセクションには、以下のトピックが含まれています。 サポートされるプラットフォームおよびバージョン (P. 75) ユーザ ストアとしての ADAM 2008 (P. 75) 英語以外のシステムで ASCII 以外の文字を使用するとインストールに失敗する (P. 76) Linux へのプロビジョニング ディレクトリのインストール (P. 76) Identity Manager EAR が WebLogic で自動展開されない (P. 77) Windows 2008 SP2 でファイアウォールを回避する方法 (P. 77) 管理者のアクション用 JSP ページの展開 (P. 78) Linux 64 ビット上の CA Identity Manager での SiteMinder 接続エラー (P. 79) サポートされるプラットフォームおよびバージョン CA Identity Manager r12.5 SP7 では、サポート対象のアプリケーション サーバ バージョン、ディレクトリ、およびデータベースに関して若干の変更があります。 注: サポートされているプラットフォームとバージョンの一覧は、CA サポートにあ る CA Identity Manager のサポート マトリックスを参照してください。 ユーザ ストアとしての ADAM 2008 ADAM 2008 を Identity Manager ユーザ ストアとして使用し、CA Identity Manager を SiteMinder と統合するには、SiteMinder r6.0 SP6/r6.x QMR6 が必 要です。 第 3 章: インストールに関する考慮事項 75 英語以外のシステムで ASCII 以外の文字を使用するとインストールに失敗する 英語以外のシステムで ASCII 以外の文字を使用するとインス トールに失敗する CA Identity Manager のインストール中に、インストーラによりファイルが一時ディ レクトリに抽出されます。 一部のローカライズされたシステムでは、一時ディレク トリのデフォルト パスに ASCII ではない文字が含まれます。 たとえば、スペイン 語 Windows システムの一時ディレクトリのデフォルト パスは以下のとおりです。 C:¥Documents and Settings¥Administrador¥Configuración local¥Temp ASCII 以外の文字を使用すると、インストーラで空白の[Pre-Installation Summary]ページが表示され、インストールに失敗します。 回避方法 ASCII 文字のみを含むフォルダを指すように環境変数 tmp を変更します。 Linux へのプロビジョニング ディレクトリのインストール プロビジョニング ディレクトリを Linux システムにインストールする場合、ユーザが このシステム上で IPv4 を使用しようとしても、IPv6 のアドレスが自動的に使用さ れます。 すべての DSA が実行されているように見えても、Jxplorer 経由で DSA に接続しようとした場合、またはプロビジョニング サーバをインストールしようとし た場合に、接続拒否エラーになる場合があります。 Linux 上で IPv6 を無効にする方法 1. プロビジョニング ディレクトリをインストールする前に、Red Hat ナレッジ ベー スの記事に記載されている手順に従って、「Linux 上で IPv6 を無効化」する 必要があります。 2. /etc/hosts にこのアドレスのエントリがないことを確認します。 ホスト名 76 リリース ノート Identity Manager EAR が WebLogic で自動展開されない Identity Manager EAR が WebLogic で自動展開されない 運用モードで WebLogic 9 または 10 を使用している場合は、インストールまたは アップグレード後の最初のアプリケーション サーバ起動時に、Identity Manager EAR が自動展開されないことがあります。 このような場合は、 user_projects¥applications フォルダから iam_im.ear を手動で展開してくださ い。 Windows 2008 SP2 でファイアウォールを回避する方法 Windows 2008 SP2 へのインストール中に、プロビジョニング サーバ、Java コネク タ サーバ、および C++ コネクタ サーバなどの Identity Manager コンポーネント への通信がファイアウォールによってブロックされます。 この問題を回避するには、ポート例外を追加するか、Windows ファイアウォール を無効にして、Windows 2008 SP2 展開内の分散 Identity Manager コンポーネ ントへアクセスします。 第 3 章: インストールに関する考慮事項 77 管理者のアクション用 JSP ページの展開 管理者のアクション用 JSP ページの展開 Identity Manager Server には、以下の手順を実行するためのサンプル JSP ペー ジが含まれています。 ■ アプリケーション サーバの ping ■ 展開済み BLTH の表示 ■ オブジェクト タイプおよび管理対象オブジェクト プロバイダに関する情報の 表示 ■ プラグイン情報の表示 ■ ロギング レベルの変更 JSP ページは以下の場所にインストールされます。 admin_tools¥samples¥admin このフォルダには、JSP ページを使用するための手順が記載された readme.txt ファイルがあります。 注: readme.txt ファイル内の手順に従わずにこれらの JSP ページを使用すると、 404 エラーが表示されます。 78 リリース ノート Linux 64 ビット上の CA Identity Manager での SiteMinder 接続エラー Linux 64 ビット上の CA Identity Manager での SiteMinder 接続エ ラー Linux 上の CA Identity Manager で、[SiteMinder に接続]が選択されると、イン ストーラによってエラーが報告されます。 SiteMinder の必須エージェント設定が 適切ではありません。 重要: ディレクトリ/環境を展開する前に、以下の回避策の手順を実行してくだ さい。 回避方法 1. インストール時に指定したエージェントの名前およびパスワードを思い出し ます。 また、[AgentName]プロパティの値を、以下から読み取ることができ ます。 ¥iam_im.ear¥policyserver.rar¥META-INF¥ra.xml 2. SiteMinder WAM ユーザ インターフェースを開き、「Agent」という名前の エージェントを作成します。 [4.x エージェント]チェック ボックスを選択して いることを確認します。 3. アプリケーション サーバを起動し、ポリシー サーバの接続性に関する問題 がないことを確認します。 以下のような行を、すべて確認する必要があります。 13:40:43,156 WARN [default] * Startup Step 2 : Attempting to start PolicyServerService 第 3 章: インストールに関する考慮事項 79 第 4 章: アップグレード 以下の問題は、CA Identity Manager r12.5 SP1 のアップグレードに関連するもの です。 このセクションには、以下のトピックが含まれています。 サポートされているアップグレード パス (P. 81) 64 ビット アプリケーション サーバのサポート (P. 82) Exchange 2007 アカウントの[Exchange アドレス リストに表示しない]に関する問 題 (P. 83) CA Identity Manager r12 CR6 以降からのクラスタのアップグレードの問題 (P. 83) Solaris: r12 CR12 からのアップグレード後の Websphere クラスタの問題 (P. 84) 環境移行エラー (P. 84) Credential Provider のアップグレード エラー (P. 85) Vista Credential Provider の内部エラー (P. 85) [検索および関連付け]タスクで検索画面が表示されない (P. 85) r12 からのプロビジョニング マネージャのアップグレード後の致命的ではないエ ラー (P. 86) サポートされているアップグレード パス 以下は、CA Identity Manager r12.5 SP7 へのアップグレード パスがサポートされ ている製品およびバージョンのリストです。 ■ CA Identity Manager r12 ■ CA Identity Manager r12 (オプション パック 1 適用済み) ■ 注: CA Identity Manager r12 (オプション パック 1 適用済み)を新バージョン のアプリケーション サーバに移行する予定である場合は、カスタマ サポート に連絡してください。 同じバージョンのアプリケーション サーバ上でのアッ プグレードについては、「アップグレード ガイド」に記載の手順に従ってくだ さい。 ■ CA Identity Manager r12.5 ■ CA Identity Manager r12.5 SPx 注: ACE から r12.5 SP1 へのアップグレードはサポートされていません。 また、ク ロスプラットフォーム アップグレード(UNIX と Windows 間)はサポートされていま せん。 第 4 章: アップグレード 81 64 ビット アプリケーション サーバのサポート 64 ビット アプリケーション サーバのサポート CA Identity Managerr12.5 SP7 では、以下のアプリケーション サーバの新バー ジョンをサポートします。 ■ JBoss 5.0 (オープン ソース)および JBoss 5.1 Enterprise Edition ■ Oracle WebLogic 11.0 ■ IBM WebSphere 7.0 これらのアプリケーション サーバでは 64 ビット形式のみがサポートされます。 これらのアプリケーション サーバ上で Identity Manager サーバの r12.5 SP7 バージョンを使用する場合は、新バージョンのアプリケーション サーバ上にイン ストールしてください。 その後、以前の CA Identity Manager インストールから新 しいインストールにデータを移行します。 アプリケーション サーバの 32 ビット形 式から 64 ビット形式へのアップグレードはサポートされていないため、Identity Manager インストーラではこのアップグレードが自動では実行されません。 注: CA Identity Managerr12.5 SP7 では、以下の 32 ビット アプリケーション サー バがアップグレードでのみサポートされます。 ■ Oracle WebLogic 10.3 ■ IBM WebSphere 6.1 CA Identity Manager の最新バージョンをこれらのアプリケーション サーバのい ずれかで実行する場合、インストーラを実行して r12.5 SP7 にアップグレードでき ます。 この場合、CA Identity Manager は引き続き 32 ビット アプリケーション サーバ上で実行されます。 82 リリース ノート Exchange 2007 アカウントの[Exchange アドレス リストに表示しない]に関する問題 Exchange 2007 アカウントの[Exchange アドレス リストに表示し ない]に関する問題 症状: プロビジョニング サーバが Exchange 2007 アカウントの[Exchange アドレス リスト に表示しない]プロパティを設定できません。 解決方法: CA Identity Managerr12.5 SP7 を CA Identity Manager R12 のコア コンポーネント に適用する際に、Exchange 2007 リモート エージェントを CR10 リリースにアップ グレードします。 このコア コンポーネントは、サーバ、マネージャ、リポジトリなど です。 CA Identity Manager r12 CR6 以降からのクラスタのアップグレー ドの問題 CA Identity Manager r12 CR6 以降から CA Identity Manager r12.5 SP1 にクラスタ をアップグレードする場合、クリアされるインストール ファイル内の一部のクラスタ プロパティが原因でアップグレードが失敗する場合があります。 回避方法 アップグレード前に、以下のプロパティが ファイルにロー ドされていることを確認します。 ■ WebSphere: DEFAULT_WAS_CLUSTER にクラスタ名がロードされているかどう か確認します。 ロードされていない場合は、手動で追加します。 ■ WebLogic: DEFAULT_BEA_CLUSTER にクラスタ名がロードされているかどうか 確認します。 ロードされていない場合は、手動で追加します。 注: この問題は JBoss クラスタには影響しません。 デフォルトでは、インストール ファイルは以下の場所にあります。 ■ Windows: C:¥Program Files¥CA¥CA Identity Manager¥install_config_info¥ ■ Unix: /opt/CA/CA_Identity_Manager/install_config_info/ 第 4 章: アップグレード 83 Solaris: r12 CR12 からのアップグレード後の Websphere クラスタの問題 Solaris: r12 CR12 からのアップグレード後の Websphere クラスタ の問題 症状: Solaris で実行されている WebSphere クラスタ上で CA Identity Manager r12 CR 12 からアップグレードすると、インストーラによって ims6AddWfEventsJMSQueue.jacl が展開マネージャ プロファイルにコピーされま せん。 解決方法: 1. アップグレードの完了後、CA Identity Managerr12.5 SP7 Websphere ツール ディレクトリから ims6AddWfEventsJMSQueue.jacl ファイルを、展開マネー ジャが実行されているシステム上の以下の場所にコピーします。 WAS_HOME/Application Server/profiles/dm_profile/bin CA Identity Managerr12.5 SP7 Websphere ツール ファイルは WAS_HOME/AppServer にあります。 2. プライマリ クラスタ メンバ以外のすべてのクラスタ メンバに以下のコマンドを 実行します。 wsadmin -f ims6AddWfEventsJMSQueue.jacl node server cluster 環境移行エラー 症状: CA Identity Manager r12 CR1、CR2、または CR3 からアップグレードする場合、環 境のインポート時に、以下のエラーが発生する場合があります。 属性 "accumulateroleeventsenabled" のエレメント "Provisioning" への表示は許 可されていません。 解決方法: エクスポートされた 内の envsettings.xml ファイルを開き、 accumulateroleeventsenabled を acumulateroleeventsenabled に更新します (accumulate の 2 番目の 'c' を削除)。 84 リリース ノート Credential Provider のアップグレード エラー Credential Provider のアップグレード エラー 32 ビット Windows プラットフォーム上で CA Identity Manager r12 Credential Provider をアップグレードした後、CAIMCredProvConfig アプリケーションの [Microsoft Password Credential Provider 無効]チェック ボックスはオフになりま す。 回避方法 CAIMCredProvConfig アプリケーションを開き、チェック ボックスをオンにします。 Vista Credential Provider の内部エラー 症状: 64 ビット Windows プラットフォーム上で Identity Manager Vista Credential Provider をアップグレードすると、エラー メッセージ「内部エラー 2324.2」が表示 されます。 解決方法: アップグレード処理は正常に完了しているので、アクションは必要ありません。 [検索および関連付け]タスクで検索画面が表示されない CA Identity Manager r12 からアップグレードしている場合、または、CA Identity Manager r12.5 からアップグレードし、[検索および関連付け]タスクを新規反復 モデル (P. 69)に移行している場合、[検索および関連付け]タスクの[参照]ボタ ンは正常に機能しません。 回避方法 新しい[参照]ボタンをクリックすると検索画面が表示されるように、タスクの検索 画面を設定します。 第 4 章: アップグレード 85 r12 からのプロビジョニング マネージャのアップグレード後の致命的ではないエラー r12 からのプロビジョニング マネージャのアップグレード後の致 命的ではないエラー 症状: CA Identity Manager r12 CRx からプロビジョニング マネージャをアップグレード した後、インストーラに以下のメッセージが表示されます。 The installation wizard has finished upgrading CA Identity Manager but non fatal errors or warnings occurred during the upgrade. For details please see the installation log under C:¥Program Files¥CA¥CA Identity Manager. Warning/Errors were reported related to the following components CA Identity Manager インストール ログには、以下のエントリが含まれています。 Install, com.installshield.product.actions.Files, err, ServiceException: (error code = -30016; message = "The process cannot access the file because it is being used by another process.” 解決方法: インストーラはすでに存在しているディレクトリを作成できないため、このエラー が発生します。 ただし、インストールは正常に完了し、プロビジョニング マネー ジャは完全に機能します。 86 リリース ノート 第 5 章: 既知の問題 このセクションには、以下のトピックが含まれています。 全般 (P. 87) レポート (P. 91) 全般 (P. 92) Java コネクタ サーバ(Java CS) (P. 95) エンドポイント タイプ (P. 95) 全般 以下は、CA Identity Manager r12.5 SP1 の全般的な既知の問題です。 Oracle 11gR2 RAC ユーザ ストア: 検索で大文字と小文字が区別される 症状: Oracle 11gR2 RAC がユーザ ストアの場合、ユーザ、グループ、または組織を検 索したときに、オブジェクトは存在していても、結果が返されないことがあります。 解決方法: このユーザ ストアでは、検索で大文字と小文字が区別されます。 たとえば、 ユーザがデータベース内で「Suzuki」で作成されている場合、「suzuki」を検索し ても、結果が返されません。 オブジェクトがデータベースで作成されたときに使 用されたのと同じ文字を使用してください。 第 5 章: 既知の問題 87 全般 大きなユーザ ストアの検索時に「メモリ不足」エラーが発生する場合がある 大きなユーザ ストアを対象にワイルドカード(*)検索を実行すると、 java.lang.OutOfMemoryError: Java ヒープ領域エラーでタスクが失敗する場合が あります。 この問題は、ユーザなどの多数のオブジェクトがメモリにロードされる 際に発生します。 回避方法 アプリケーション サーバの起動スクリプトのヒープ設定を増やします。 ヒープ サ イズを増やして、1000MB(最大 1400MB)を割り当てることを検討してください。 EnableUserEventRoles のワークフロー参加者リゾルバが失敗する 症状: このタスクのワークフロー設定を変更しようとすると、以下のメッセージが表示さ れることがあります。 {0} の[リゾルバの説明]セクションの複数の選択タスクに対して、[このタスクのプライマリ オブジェクト]を設定できま せん。 解決方法: ワークフロー ページに移動し、承認者を[このイベントに関連付けられるオブ ジェクト]に変更します。 88 リリース ノート 全般 [サブミット済みタスクの表示]内の重複した名前 症状: 負荷の高い高可用性環境では、同じグローバル ユーザに対する並行した変更 リクエストが処理される際に、Identity Manager サーバからプロビジョニング サー バに同時リクエストが送信され、プロビジョニング サーバ内で競合状態が発生 する場合があります。 解決方法: 以下のプロビジョニング マネージャ設定を[いいえ]に変更し、プロビジョニング サーバを再起動します。 Identity Manager Server/Allow Concurrent Modification on Same Global User 注: グローバル ユーザにアクセスしているプログラム終了がある場合は、このパ ラメータを[はい]のままにしてください。 一部の展開での新規環境作成時の "Not Found" エラー CA Identity Manager を CA SiteMinder 6.0.5 CR 31 以降と統合する場合、ユーザ が新しい環境の URL の表示を試行すると、"Error 404 - Not found" メッセージが 表示される場合があります。 この問題は、ポリシー サーバのキャッシュの問題に起因します。 回避方法 このエラーを解決するには、以下の手順に従います。 Windows の場合: 1. SiteMinder のレジストリへキーワードを以下のように追加します。 a. Navigate to ¥¥HKEY_LOCAL_MACHINE¥SOFTWARE¥Netegrity¥Siteminder¥CurrentV ersion¥ObjectStore b. "ServerCmdMsec" キーを以下の設定で追加します。 ■ タイプ: DWORD ■ 値: 1 c. ポリシー サーバを再起動します。 第 5 章: 既知の問題 89 全般 2. アプリケーション サーバを再起動します。 3. ブラウザ インスタンスをすべて閉じます。 次に、新規ブラウザ インスタンスを 使用して、環境 URL にアクセスします。 Solaris の場合: 1. <CA_HOME folder>/netegrity/siteminder/registry/sm.registry ファイルに、 以下の行を追加します。 ServerCmdMsec= 0x1 REG_DWORD 2. ポリシー サーバを再起動します。 3. アプリケーション サーバを再起動します。 4. ブラウザ インスタンスをすべて閉じます。 次に、新規ブラウザ インスタンスを 使用して、環境 URL にアクセスします。 CA Identity Manager へのロール定義ファイルのインポート時に環境内に別のタブ が存在することを知らせるエラー 症状: Connector Xpress で CA Identity Manager ユーザ コンソール アカウント画面を 生成し、ロール定義ファイルの CA Identity Manager へのインポート時に、 Identity Manager 環境内に同名の他のタブが存在することを知らせるエラー メッセージが表示されます。 解決方法: 関連付けタイプの属性が同じタブに配置されると、ロール定義生成プログラムは 同じ名前の 2 つのタブを作成しようとします。 たとえば、関連付け属性 「member」および「memberof」を同じタブに配置する場合です。 関連付けタイプ属性を Connector Xpress の別のタブに配置してから、ロール定 義ファイルをご使用の CA Identity Manager 環境にインポートすることをお勧め します。 Identity Manager での単一値コンパウンド属性の変更 動的エンドポイントに関して、CA Identity Manager で単一値コンパウンド属性を 変更する場合は、1 つの値のみを指定します。 複数の値を指定すると、既存の 値がクリアされ、属性に値が与えられません。 この問題は、プロビジョニング マ ネージャでは発生しません。 90 リリース ノート レポート Lotus Notes/Domino の短縮名属性への複数値の設定のサポート CA Identity Manager では、Lotus Notes の短縮名属性を複数値に設定できるよ うになりました。 ただし、ユーザ コンソールでは、複数値の短縮名を操作できま せん。 複数値短縮名の使用の詳細については、CA サポートにお問い合わせく ださい。 Oracle Applications の前提条件 システム環境変数として「NLS_LANG」を設定し、その値に「.UTF8」を指定する必 要があります。 注: コネクタ サーバがインストールされているシステム上で設定し、「UTF8」の前 にピリオド(.)を付加する必要があります。 トークン化されたテンプレートを使用してプロビジョニング対応環境を作成する際 のエラー この場合、CA Identity Manager では、環境作成ウィザードで定義されたインバウ ンド管理者に、プロビジョニング同期マネージャ ロールを割り当てることはできま せん。 環境テンプレートにトークンがあるか、プロビジョニング同期マネージャ ロール 名の文字列が翻訳されている場合、検索は失敗し、NoSuchObjectException が スローされます。 レポート 以下の問題は、CA Identity Manager r12.5 SP1 のレポートに関連するものです。 第 5 章: 既知の問題 91 全般 ExportAll.xml でのスナップショット データ取得時のエラー ExportAll.xml スナップショット定義を使用してスナップショット データを取得する 場合、"java.lang.OutOfMemoryError: Java heap space." というエラーで処理が 失敗します。この問題は、ユーザなどの多数のオブジェクトがメモリにロードされ る際に発生します。 回避方法 アプリケーション サーバの起動スクリプトのヒープ設定を増やします。 ヒープ サ イズを増やして、1000MB(最大 1400MB)を割り当てることを検討してください。 また、スナップショット定義の XML ファイルで、オブジェクトのフィルタ条件を複 数の条件に分割することを検討してください。 たとえば、ワイルドカード フィルタ (*)を使用して全ユーザをロードする代わりに、"user id starts with 'a'" や "user id starts with 'b'" などのように、複数のフィルタを指定します。 Satisfy=All が XML ファイルで正しく機能しない スナップショット パラメータ XML ファイルでは、satisfy=all と satisfy=any はどちら も同じく satisfy=any (OR 演算子と同様)として機能してしまいます。 全般 以下は、CA Identity Manager r12.5 SP1 の全般的なプロビジョニングの問題で す。 INFO レベルよりも上位のレベルで Solaris ECS のロギングを行うとプロビジョニン グ サーバのパフォーマンスに影響する場合がある INFO レベルよりも上位のレベルで ECS ロギングを有効にすると、応答を受け取 る前にログが書き込まれるようになります。 このため、ログが書き込まれている間、 リクエストは遅延します。 回避方法 プロビジョニング サーバのパフォーマンスが低下した場合は、ECS ロギングをオ フにします。 92 リリース ノート 全般 JIAM で不正なオブジェクト クラス名が指定されていると SPML の更新に失敗する JIAM API でプロビジョニング サーバに送信されたリクエストに不正なオブジェク ト クラス名が使用されると、プロビジョニング サーバはリクエストを拒否して「プロ ビジョニング サーバの内部一貫性」エラーが発生します。 たとえば、 「eTSBLDirectory」オブジェクトの更新を実行する際に、「eTDirectory」という不正 なオブジェクト クラスがプロビジョニング サーバに送信されます。 この問題は、 SPML サービスを再起動することで解決できます。 グローバル ユーザ名の特殊文字 プロビジョニング マネージャでは、バック スラッシュ文字(¥)などの特殊文字を 含むグローバル ユーザ名を作成できます。 ただし、Identity Manager サーバは 特殊文字を含むユーザ名をサポートしていません。 プロビジョニング マネージャで特殊文字を含むグローバル ユーザを作成すると、 Identity Manager は Identity Manager のユーザ ストアに対応するユーザを作成 しようとします。 すると、エラーが発生して、Identity Manager のユーザ ストアで [ユーザの作成]タスクが失敗します。 プロビジョニング マネージャで特殊文字を含むグローバル ユーザを削除しよう とするときにもエラーが発生します。 エンドポイント追加時に既存エンドポイントが存在するエラー エンドポイントを削除してからまったく同じ名前で再度追加すると、プロビジョニ ング サーバからその名前のエンドポイントがすでに存在しているという内容のエ ラーが報告される場合があります。 これは、そのエンドポイントを管理するコネク タ サーバを複数設定した場合に発生する可能性があります。 このエラーは、エ ンドポイント削除時に、すべてのコネクタ サーバに削除が通知されるわけではな いことが原因です。 回避方法 エンドポイントを管理するように設定されているコネクタ サーバをすべて再起動 します。 第 5 章: 既知の問題 93 全般 CA Identity Manager でアカウント テンプレートにリンクされたプロビジョニング ロー ルの作成に失敗する 症状: CA Identity Manager 12.5 より前に、Connector Xpress で作成された JNDI プロ ジェクトを CA Identity Manager に展開し、検索および関連付けを実行しました。 アカウント テンプレートを作成し、2 つの関連付け属性(たとえば、マネージャ) を追加しました。 アカウント テンプレートを基にプロビジョニング ロールを作成し、 作成したプロビジョニング ロールをユーザに割り当てた際に、関連付けられたア カウントの作成または更新が失敗したことを知らせるエラー メッセージが表示さ れる 解決方法: CA Identity Manager12.5 SP1 は、関連付けタイプ属性を使用して、CA Identity Manager 12.5 より前に、Connector Xpress で作成された JNDI プロジェクトをサ ポートしません。 プロビジョニング マネージャを使用して、アカウント テンプレートを作成すること をお勧めします。 グローバル ユーザ名に関する Siteminder のログイン名の制限 グローバル ユーザが SiteMinder のポリシー サーバにログインする必要がある 場合、以下の文字または文字列をグローバル ユーザ名の一部として使用でき ません。 & * : () 回避方法 グローバル ユーザ名でこれらの文字を使用しないようにします。 94 リリース ノート Java コネクタ サーバ(Java CS) 一部の WebSphere 6.1 ノードでオブジェクトが失われる WebSphere 6.1 クラスタで、環境への変更がクラスタ内の一部のノードで表示さ れない場合があります。 たとえば、プロビジョニング ロールを変更した後に、そ の変更が WebSphere クラスタ内の別のノードに表示されない場合があります。 回避方法 サーバ統合バスを、クラスタから専用サーバに移動します。 「サービス統合バス へのアプリケーションの接続」にある、WebSphere 6.1 のドキュメントを参照してく ださい。 Java コネクタ サーバ(Java CS) 以下の問題は、CA Identity Manager r12.5 SP1 の Java コネクタ サーバに関連 するものです。 Windows サービスを使用した Java CS サービスの再起動が失敗する Windows サービスを使用して Java CS サービスを再起動すると、Windows サー ビスが完全に停止する前に JA CS サービスが起動し、サービスが失敗します。 回避方法 Windows サービスの[コントロール パネル]で[再起動]ボタンの代わりに、[停 止]および[スタート]ボタンを使用します。 JNDI アカウント管理画面 - 複数の構造オブジェクト クラスでのアカウント作成に 失敗する 複数の構造オブジェクト クラスを持つアカウントは作成できません。 エンドポイント タイプ 以下の問題は CA Identity Manager r12.5 SP1 のエンドポイント タイプの管理に 関連するものです。 第 5 章: 既知の問題 95 エンドポイント タイプ 全般 以下のセクションでは、さまざまなコネクタの既知の問題について説明します。 再試行自動チェックのエンドポイントは、寛容再試行制限で設定する必要があります。 "N" 再試行自動ロック動作をするエンドポイントについては、Java CS を使用して エンドポイントに接続したアカウントは、寛容な(または制限のない) “N” を持ち ます。これは、接続試行が Java CS によってすぐにすべて使用されてしまうため です。 "N" を超過したためにアカウントがネイティブでロックされると、ネイティブ ツール を使用してアカウントをロック解除しないと、エンドポイントを再度取得できない 場合があります。 これは、エンドポイントの実際のネイティブ「ロックされた」動作 に依存します。 アカウント テンプレートが、ユーザ コンソールの[作成]または[メモリ]タスク上のアカウントと 同期しない 症状: ユーザ コンソールを使用した、明示的なアカウント同期はサポートされていませ ん。 解決方法: プロビジョニング マネージャを使用して、アカウントをアカウント テンプレートと同 期します。 96 リリース ノート エンドポイント タイプ エンドポイントとプロビジョニング サーバ間でのインポート時にエンドポイントを直接変更すると エラーが発生する エンドポイントが直接変更されると(プロビジョニング サーバを使用せずに)、イ ンポート時にエラーが返されます。これは、エンドポイントとプロビジョニング サーバ間でのデータの不整合によるものです。 以下に例を 2 つ示します。 ■ 誰かがネイティブ ツールを使用して、MSSQL エンドポイントからテーブルを 削除し、その結果、一部のユーザが所得したリソースがもはや存在しなく なった。 この問題を解決するには、プロビジョニング サーバを使用して、エンドポイ ントを再調査します。 ■ 誰かがエンドポイント上のいくつかのサーバ ロールを削除し、それらのサー バ ロールがまだ割り当てられているアカウント ロールが追加のロールを受け 取ったが、それらのロールはエンドポイント上にもはや存在しない。 この失敗を解決するには、アカウント テンプレートから「削除された」サーバ ロールを手動で削除します。 ACF2、RACF および CA Top Secret 以下のセクションでは、メインフレーム コネクタの既知の問題について説明しま す。 r12.0 以降の z/OS 用 CA LDAP サーバで RACF コネクタまたはエイリアスの作成/削除処理を使用 する前に適切なメンテナンスが適用されている必要がある RACF コネクタの任意の機能を使用している場合、または ACF2 または TSS コネク タでエイリアスの作成/削除処理を使用している場合、適切なメンテナンスにつ いてはサポートに問い合わせてください。 サポートに問い合わせる際に、使用 している CA Identity Manager r12.5 リリース、および使用している z/OS 用 CA LDAP Server のバージョンを必ず指定してください。 CA LDAP Server r12 と CA LDAP Server r14 では修正プログラムが異なるため、正しいモジュールの確認が 必要になります。 RACF バックエンド コードではアカウント名に入力された ASCII 以外の文字が処理されない この問題を解決するには、CA サポートに問い合わせて、更新されたメインフ レーム バイナリをリクエストしてください。 第 5 章: 既知の問題 97 エンドポイント タイプ Active Directory 以下のセクションでは、Active Directory コネクタの既知の問題について説明し ます。 Active Directory コネクタによるサブツリー検索で正しい結果が返されない 多数のオブジェクトを持つ組織単位を複数個含むサブツリーに対してサブツ リー検索を行うと、オブジェクトが返されないことがあります。 たとえば、検索サイ ズが 500 に制限されていて、各組織単位のオブジェクト数がその制限を超えて いる場合、結果は返されません。 検索フィルタで検索の制限サイズを 500 以下 に絞り込んだ場合でも、検索で結果が返されません。 回避方法 検索サイズの上限を増やします。 ADS2008 エンドポイントのエンドポイント記述が数値として表示される ユーザ コンソールを使用して ADS2008 エンドポイントを表示または変更する場 合、[ADS サーバ]タブ上の[ドメイン コントローラ]、[ドメイン]、および[フォレス ト]フィールド値は数値として表示されます。 [Office Communication Server 属性が有効]が True に設定されている場合の必須フィールド [Office Communication Server 属性が有効]が True に設定されている場合、 ADS エンドポイント使用時に、以下の 3 つのフィールドは必須で、設定する必要 があります。 98 リリース ノート ■ ホーム サーバ ■ SIP ■ URI エンドポイント タイプ Exchange メールボックスを持つアカウントの作成または変更が失敗する Windows で有効 症状: CA Identity Manager で Exchange メールボックスを持つアカウントを作成または 変更しようとすると、作成コールまたは更新コールが失敗し、 「CreateActiveDirectoryAccount の実行に失敗しました」というエラーが表示され ます。 エラーメッセージの最後には以下の文面が表示されます。 Processing data from remote server failed with the following error message: The user "NT AUTHORITY¥SYSTEM" isn't assigned to any management roles.(リモート サーバからのデー タ処理が次のエラー メッセージで失敗しました: ユーザ「NT AUTHORITY¥SYSTEM」に管理ロールが割り当てられ ていません。) 詳細については、ヘルプ トピックの「about_Remote_Troubleshooting」を参照してください。 解決方法: Exchange リモート エージェントを実行するサービス アカウントに適切な権限が 必要です。 エラー メッセージに記載されているヘルプ トピックは Exchange のヘルプ トピッ クで、CA Identity Manager には含まれていません。 Exchange 2010 環境を管理するには、リモート エージェント用のサービス アカウ ントに適切な権限を付与して、サービスを再起動します。 注: Exchange 2010 アカウントに対する権限の設定の詳細については、「CA Identity Manager Connectors Guide」の「Configuring the Exchange 20xx Remote Agent Component」を参照してください。 第 5 章: 既知の問題 99 エンドポイント タイプ Exchange メールボックス対応アカウントのメッセージ制限が無視される 症状: Exchange メールボックス アカウントに以下の制限を指定すると無視されます。 ■ [次の送信者からのメッセージのみ受信する] ■ [次の送信者からのメッセージ以外は受信する] ■ フル アクセス権限 ■ Send As 権限 たとえば、Exchange メールボックスの所有者がメッセージを受信できるユーザの リストに佐藤さんと山田さんを追加したとします。 ユーザのリストを検索すると、佐 藤さんと山田さんはどちらも Identity Manager に表示されるリスト内にあります。 ところが、Exchange メールボックス所有者がメッセージを受信できる送信元ユー ザのリストに、佐藤さんは追加されていますが、山田さんは追加されていませ ん。 解決方法: [次の送信者からのメッセージのみ受信する]、[次の送信者からのメッセージ以 外は受信する]、[フル アクセス権限]、または[Send-As 権限]のリストに追加し たいアカウントを検索すると、そのアカウントが Exchange 対応であるかどうかに かかわらず、Identity Manager にはすべてのエンドポイント ユーザのリストが表 示されます。 ただし、Exchange 対応でないユーザまたはグループを選択した場 合、Identity Manager はリクエストを無視します。 この例では、山田さんは Exchange 対応ユーザではなかったため無視されました。 また、[フル アクセス権限]リストまたは[Send-As 権限]リストには、メール対応セ キュリティ グループのみを追加できます。 100 リリース ノート エンドポイント タイプ [マスタである]属性を設定する際に「そのような属性は存在しません」エラー 症状: CA Identity Manager ユーザ コンソールで[Live Communications Server]タブの [マスタである]属性を選択すると、「そのような属性は存在しません」というエ ラーが表示されます。 解決方法: エンドポイントが Office Communication Server を使用しています。 この属性は Office Communication Server を使用するエンドポイントではサポートされません。 この属性は Live Communication Server を使用するエンドポイントでのみサポー トされます。 CA DLP 以下のセクションでは、CA DLP コネクタの既知の問題について説明します。 エラー メッセージ - The Communications Mode of the Provisioning Server and Client Do Not Match. CMS Is In Standard mode. Client Is In Advanced mode. 症状: CA DLP エンドポイントを作成すると、以下のエラー メッセージが表示されます。 The Communications Mode of the Provisioning Server and Client Do Not Match. CMS Is In Standard mode. Client Is In Advanced mode. 解決方法: Java CS が CA DLP コネクタを使用して CA DLP エンドポイントを管理するには、 Java CS と CA DLP CMS (Central Management Server)が同じ FIPS モードである 必要があります。 注: Java CS と CA DLP CMS (Central Management Server)が同じ FIPS モードに なるよう両者を設定する方法の詳細については、「Identity Manager Connectors Guide」のトピック「FIPS 140 Configuration」を参照してください。 第 5 章: 既知の問題 101 エンドポイント タイプ CA DLP ユーザが CA DLP エンドポイントのルート グループに配置される 症状: CA DLP アカウント テンプレートを作成し、グループ属性にデフォルト値 の %UCOMP%/%UCOUNTRY%/%UDEPT% を使用しました。 ユーザを作成し、テンプレートをベースとしてユーザにプロビジョニング ロール を割り当てました。 CA Identity Manager でユーザの CA DLP アカウントを表示す ると、グループ属性が空でした。 CA DLP エンドポイントでは、このアカウントが ルート グループ内にありました。 解決方法: グローバル ユーザを作成する際に、[会社]、[国]、または[部署]の値が指定さ れていません。 そのため、グループ属性が「/」に設定され、ユーザが CA DLP エ ンドポイントのルート グループに配置されました。 グループ属性が「/」に設定されたときに、この動作が予期されます。 拡張ポリシー サーバ用 CA SSO コネクタ 以下のセクションでは、拡張ポリシー サーバ用 CA SSO コネクの既知の問題に ついて説明します。 eTPLSCountry が指定されている場合、PLS アカウントの検索で存在しないアカウントが返される PLS アカウントの検索リクエストに eTPLSCountry 属性が含まれている場合、エン ドポイントまたはプロビジョニング リポジトリにそのような名前のアカウントが存在 しない場合でも、検索応答でエントリが返されます。 PLS コネクタで 2000 を超えるアカウントをアプリケーションに追加できない 2000 を超える PLS アカウントを 1 回でアプリケーションに追加できません。 追加 する PLS アカウントが 2000 を超える場合は、アカウントを複数回の操作に分割 する必要があります。 DB2 および DB2 for z/OS 以下のセクションでは、DB2 および DB2 for z/OS の既知の問題について説明し ます。 102 リリース ノート エンドポイント タイプ DB2 z/OS エンドポイントを取得すると CCS がクラッシュする DB2 UDB コネクタおよび DB2 z/OS コネクタを、同じ C++ コネクタ サーバ(CCS)に 対するルーティング リクエストにしないでください。 回避方法 2 番目の CCS を別のマシンにインストールして、DB2 UDB および DB2 z/OS の各 コネクタが専用の C++ コネクタ サーバ上でホストされるようにします。 DB2 アカウント テンプレートの権限許可属性は機能属性 プロビジョニング マネージャの DB2 アカウント テンプレートの権限許可属性は、 現在初期属性として表示されていますが、実際には機能属性です。 E2Kx 以下のセクションでは、E2Kx コネクタの既知の問題について説明します。 メールボックス権限の管理時に E2K CAFT エラーが発生する Exchange リモート エージェントを正しく設定していても、メールボックス権限の管 理中に「CAFT メッセージ : アクセスが拒否されました - またはコマンドの実行に 失敗しました」というエラー メッセージが返されることがあります。 これは、メールボックス権限のリストに同じオブジェクトに対する複数の権限があ る場合に発生し、通常は、管理 Exchange オブジェクトが親オブジェクトから権限 を継承する際に発生します。 初回作成後に E2K7 メールボックスが同期しない [強い同期の使用]を有効にした状態でアカウント テンプレートを作成し、グロー バル ユーザをアカウント テンプレートと同期した後に、グローバル ユーザを右ク リックし、[アカウント同期の確認]を選択します。 メールボックス権限が同期しま せん。 回避方法 [Exchange 詳細]、[メールボックス権限]を選択し、(SHIFT+ADD を使用して)'NT AUTHORITY¥認証ユーザ'、'読み取り権限' のみを追加します。 第 5 章: 既知の問題 103 エンドポイント タイプ 電子メール有効化グループで電子メール アドレスを設定できない グループ作成時に、[Exchange 電子メール アドレス作成]を有効にしても、グ ループに対する電子メール アドレスが設定されません。 回避方法 [電子メール アドレス]タブに移動し、グループ作成後に、新しい電子メール ア ドレスを適用します。 E27K メールボックスでアカウント変更時にエラー メッセージが表示される E27K メールボックスでアカウント変更試行時に、エラー メッセージが表示されま す。 このエラーに害はなく、無視しても構いません。 E2Kx メールボックス作成時のエラー メッセージが不十分 INI フィールド内の文字に対して、不十分なエラー メッセージが表示されます。 このエラー、[-]?[¥d]* は、必須フィールドが数である必要があることを示します。 メッセージの制限により、プロビジョニング マネージャで[からのメッセージのみ受信する]と [からのメッセージ以外は受信する]を同時に選択できない Exchange Server 2007 では、管理者は[以下のリストの送信者からのメッセージ のみ受信する]と[以下のリストの送信者からのメッセージを拒否する]の両方を 選択できます。 プロビジョニング サーバでは、1 つのみ選択できます。 これは Exchange 2003 での動作でした。 Exchange 2007 で両方がネイティブで選択さ れていても、プロビジョニング マネージャでこの機能は使用できません。 Google Apps 以下のセクションでは、Google Apps コネクタの既知の問題について説明しま す。 104 リリース ノート エンドポイント タイプ Google Apps—CAPTCHA Challenge 症状: 認証中に、CAPTCHA challenge に関して以下のエラー メッセージが表示されま した。 Authentication failed, CAPTCHA requires answering. Please use the following website to unlock JCS computer: 解決方法: 以下の手順を実行します。 1. Java CS が実行されているコンピュータにログオンします。 2. Web ブラウザを開きます。 3. エラー メッセージに記載されたリンクを参照します。このとき、 を Google Apps ドメインに置き換えます。 例: 4. CAPTCHA の問題に回答します。 Google Apps サーバによって、新しい認証トークンが発行され、コンピュータ が信頼されます。 Google Apps — プロビジョニング マネージャでアカウントおよびエンドポイントの管理がサポート されない プロビジョニング マネージャは、Google Apps オブジェクトの管理をサポートしま せん。 Google Apps コネクタ オブジェクトを管理するには、CA Identity Manager ユーザ コンソールを使用します。 Google Apps — Google Apps アカウントを作成する際のエラーメッセージ 症状: Google Apps アカウントの作成時に、「CreateGoogleAppsUser の実行に失敗しま した。Google Apps アカウントは作成されましたが、いくつかの追加操作に失敗 しました。」というエラー メッセージが表示されます。 アカウントは CA Identity Manager 内と Google Apps エンドポイント上に作成され ますが、グローバル ユーザに関連付けられないため、CA Identity Manager ユー ザ コンソールには表示されません。 第 5 章: 既知の問題 105 エンドポイント タイプ 解決方法: 同じニックネームとユーザ名を使用してアカウントを作成しようとすると、エラーが 発生します。 この問題を解決するには、Google Apps エンドポイント上で検索および関連付け を実行します。 作成したアカウントが、CA Identity Manager でグローバル ユーザに関連付けら れ、表示されるようになります。 Google Apps — 同一 Java CS 上の複数の Google Apps エンドポイント Google Apps コネクタ プロキシ設定はシステム全体のプロパティです。 同一 Java CS 上に複数の Google Apps エンドポイントを作成する場合は、同一 Java CS 上のすべての Google Apps エンドポイントに同じプロキシ サーバ、ポート、 ユーザ名、およびパスワードを使用します。 106 リリース ノート エンドポイント タイプ Google Apps -- NTLM 認証を使用する際に表示されるエラー メッセージ HTTP 403: HTTP 403: Forbidden 症状: NTLM 認証を使用しようとすると、プロキシ サーバから「HTTP 403: Forbidden」が 表示され、Google Apps ドメインが取得されません。 解決方法: Windows コンピュータでは、Java CS が Windows サービスとしてインストールさ れ、デフォルトでローカル システムとして実行されるため、このエラーが発生しま す。 Java CS が Windows コンピュータ上で実行されており、NTLM が HTTP プロキシ でサポートされる最も強力な認証方式である場合、Google Apps コネクタは HTTP プロキシでの NTLM 認証の使用を試行します。 HTTP プロキシ サーバで NTLM 認証が使用される場合は、Windows ドメイン ア カウントまたは Windows ローカル アカウントで Java CS が実行されるように設定 します。 NTLM 認証を設定する方法 以下のいずれかの操作を行います。 ■ HTTP プロキシ サーバで認証できる Windows アカウントを使用して Java CS を実行し、エンドポイントを作成する際にプロキシ認証用のユーザ名および パスワードを提供しない。 ■ HTTP プロキシ サーバで認証できない Windows アカウントを使用して Java CS を実行し、エンドポイントを作成する際プロキシで認証できる HTTP ユー ザ名およびパスワードを提供する。 注: HTTP プロキシ認証に Windows ドメイン ユーザを使用する場合は、ユーザ が所属する Windows ドメインを HTTP プロキシ ユーザ名の前に付加します。 例: DOMAIN¥ProxyUserAccountName Lotus Notes/Domino 以下のセクションでは、Lotus Notes/Domino コネクタの既知の問題について説 明します。 第 5 章: 既知の問題 107 エンドポイント タイプ LND アカウントのメール ファイルが登録中に作成されない プロビジョニング マネージャの LND アカウント作成ウィンドウの[プロファイル]タ ブ ページに、[レプリカの作成]というチェック ボックスがあります。 クラスタ化環境にある Domino エンドポイントを管理する際に、[レプリカの作成] チェックボックスがオンになっている場合は、アカウントの複製と、それに関連付 けられたメール ファイルをクラスタ環境で作成する必要があります。 複製メール ファイルの作成は、このリリースでの登録中には処理されません。 リモート システム上のデータベースを開くことができない 症状: リモート システム上のデータベースを開くには、エージェントがトラステッド サー バとして実行されているサーバが、そのシステムのリストに追加されている必要 があります。 解決方法: LND エンドポイント上で検索および関連付けを実行し、リポジトリから eTLNDHomeServer 属性を削除します。 [バックグラウンド タスクとして作成]を使用してメールボックスを作成すると LND エンドポイント で ACL プロパティを表示できない 症状: [Lotus Notes/Domino Connector Mail]タブで[バックグラウンド タスクとして作 成]オプションを使用して、LND メールボックスを作成しました。 LND エンドポイ ントでメールボックスの ACL プロパティを表示しようとすると、「You are not authorized to access that database」というエラー メッセージが表示されました。 解決方法: LND コネクタで[バックグラウンド タスクとして作成]を使用してメールボックスを 作成した場合、LND エンドポイントで ACL メールボックスのプロパティを表示する ことはできません。 メールボックスを作成する際に[今すぐメールボックスを作成]オプションを使用 すると、LND エンドポイントでメールボックスの ACL プロパティを表示できます。 108 リリース ノート エンドポイント タイプ ID ファイルを LND サーバ以外のコンピュータに保存するよう指定するとプロビジョニング マ ネージャで LND Account が失敗する 症状: LND アカウントを作成し、[ユーザ ID]タブの[ユーザ ID ファイル パス]チェック ボックスをオンにして、ユーザの ID ファイルを保存するための UNC パスを指定 しました。 指定した場所は LND サーバ以外のコンピュータ上でした。 アカウントの作成が失敗し、「Failed to create archive document for user」という エラー メッセージが表示されました。 LND エンドポイントでは、アカウントが notes.nsf 内に作成されています。 エンド ポイント上のアーカイブ DB では、[ユーザ ID ファイル パス]フィールドに入力し たパスはユーザのエントリに追加されますが、ID ファイルは添付されません。 解決方法: この問題は、CA Identity Manager ユーザ コンソールおよびプロビジョニング マ ネージャで発生します。 ID ファイルの場所として LND サーバ以外を指定する場 合、LND API に UNC ファイル パスのサポートに関する制限があります。 NDS 以下のセクションでは、NDS コネクタの既知の問題について説明します。 NDS コネクタで新しいコンテナを検索できない NDS エンドポイント取得後の最初の検索で、コンテナの検索および追加が行わ れます。 NDS ローカル ツールを使用してコンテナを追加し、エンドポイントを再 検索しても、新しく追加されたコンテナもそのサブエントリもツリーには表示され ません。 回避方法 新しいコンテナを表示するには、プロビジョニング サーバからエンドポイントを削 除し、これを再取得して検索します。 単独値フィールドの NDS Connector の説明 NDS Connector では、アカウントの説明は単独値フィールドですが、NDS エンド ポイントでは、アカウントの説明は複数値フィールドです。 第 5 章: 既知の問題 109 エンドポイント タイプ OpenVMS 以下のセクションでは、OpenVMS コネクタの既知の問題について説明します。 SPML を使用した VMS でのアカウント削除権限の変更が失敗 SPML を使用して VMS アカウントの accountRights 属性から値を削除することは できません。 SPML クライアントは成功したことを示すメッセージを返しますが、ア カウントは更新されません。 回避方法 プロビジョニング マネージャを使用して、そのような変更を行います。 OpenVMS アカウントのセカンダリ パスワードを設定できない OpenVMS リモート エージェントの「vmsautil」ユーティリティでは、ユーザ アカウ ントの OpenVMS PRIMARY/SECONDARY パスワードの 意味は認識されません。 プライマリ パスワードが設定されていないときにセカンダリ パスワードを指定しよ うとすると、「パスワードが短かすぎます」というエラー メッセージが表示され、操 作に失敗します。 回避方法 アカウントのセカンダリ パスワードを設定する際に、常にプライマリ パスワードを リセットします。 VMS 属性 eTVMSPWDLifeTime が非同期と表示される アカウント テンプレート属性[有効期限なし]が true(チェック済み)に設定され ている場合、[アカウント同期のチェック]操作後に、[パスワード有効期間] (eTVMSPWDLifeTime)属性が非同期と表示されます。 VMS パスワード フラグを設定できない リクエストにより TVMSAccessFlags の値が設定されない場合は、アカウントの追 加または変更操作で eTVMSPwdFlags 属性が正しく設定されません。 回避方法 追加または変更リクエストに、eTVMSAccessFlags 属性と eTVMSPwdFlags 属性の 値を含める必要があります。 110 リリース ノート エンドポイント タイプ VMS パスワード移行属性が非同期と表示される 「アカウント同期のチェック」操作後に、MIGRATEPW フィールドが true に設定さ れている(チェック済み)すべての VMS アカウントまたはアカウント テンプレート で、eTVMSPwdFlags が非同期と表示されます。 権限属性 コネクタの問題により、権限属性は逆同期ポリシーでは機能しません。 逆同期 ポリシーでは、この属性を使用しないでください。 PeopleSoft 以下のセクションでは、PeopleSoft コネクタの既知の問題について説明します。 プロビジョニング マネージャで検索が失敗する場合がある プロビジョニング マネージャを使用して、PeopleTools 8.49 がある PeopleSoft エ ンドポイントを検索すると、[代替ユーザ ID]、[上位のユーザ ID]、および[作業 の再割り当て先]を割り当てるための PPS ユーザの検索で、結果が返されない 場合があります。 この問題に対する回避策は 2 つあります。 ■ Identity Manager ユーザ コンソールを使用して、PeopleSoft エンドポイント を管理する(推奨)。 ■ 検索を実行せず、プロビジョニング マネージャのフィールドに値を入力する。 この値は引き続き検証の対象となるため、入力された値が PPS ユーザでな い場合は、[適用]ボタンをクリックすると割り当てが失敗します。 PKI 以下のセクションでは、PKI コネクタの既知の問題について説明します。 PKI アカウントが重複して表示される PKI コネクタは、Entrust PKI 階層エンドポイントをサポートしていないため、すべ てのアカウントを階層のないリストに保存しています。 このため、同名の一意の Entrust アカウントが、複製として PKI コネクタに表示されます。 第 5 章: 既知の問題 111 エンドポイント タイプ PKI アカウントを作成すると電子メール通知の警告が発生する プロキシ プロファイルを使用して PKI エンドポイントを取得し、電子メール通知が 有効になっている場合、[プロファイル作成]オプションを指定しないと、新規 PKI アカウントを作成できません。 回避方法 以下のいずれかの操作を実行します。 ■ プロキシ プロファイルを使用せずにエンドポイントを取得します。 ■ エンドポイントの取得時に電子メール通知を無効にし、エンドポイントに移動 して手動で参照番号を確認します。 PKI コネクタが国際化をサポートしない PKI コネクタが国際化をサポートしないため、7 ビット ASCII 文字ではないアカウ ントは、プロビジョニング マネージャに正しく表示されません。 RSA ACE (SecurID) コネクタ 以下のセクションでは、RSA ACE (SecurID) コネクタの既知の問題について説明 します。 RSA リモート エージェントのインストールまたはアップグレードが ECS 問題のために失敗する Windows および Solaris に該当 症状: RSA リモート エージェントをインストールするかアップグレードする際に、ECS 問 題のために時々失敗します。 リモート エージェントのアップグレードおよび新規インストールが、「変換適用エ ラー」というメッセージが表示されて、失敗します。 指定された変換パスが有効 かどうかを確認します。 インストールがロールバックし、エージェントはインストールされません。 112 リリース ノート エンドポイント タイプ 解決方法: 1. 以下の手順を実行します。 a. ECS をインストールする前に、マシンを再起動します。 b. 十分なディスク空き領域があることを確認します。 c. 別のセッションの別のインストール パッケージが実行されていないことを 確認します。 d. (Windows)バックグラウンドで、Windows 自動更新が実行されていない ことを確認します。 2. RSA エージェントのアップグレード前に、インストールされている ECS が破損 していた場合は、以下を実行します。 a. (Windows) cd RemoteAgent¥RSA¥windows¥ CA Enterprise Common Services.exe CA Enterprise Common Services セットアップ メンテナンス プログラムが 起動します。 [削除]を選択し、表示されるメッセージの指示に従います。 (Solaris) ECS のアンインストール cd /opt/CA/eCS/scripts ./ b. (Solaris)アンインストール スクリプトが失敗する場合は、手動で ECS を 削除します。 rm -rf /opt/CA/eCS rm -f /etc/.ecspath rm -f /opt/CA/SharedComponents/lib 第 5 章: 既知の問題 113 エンドポイント タイプ c. ECS の検索 (Windows) cd RemoteAgent¥RSA¥windows¥ (Solaris) cd RemoteAgent/RSA/solaris/ecs-installation d. ECS の実行 (Windows) CA Enterprise Common Services.exe CA Enterprise Common Services セットアップ メンテナンス プログラムが 起動します。 [修復]を選択し、表示されるメッセージの指示に従い、デフォルトのオ プションを使用します。 (Solaris) ./ /opt/CA/eCS ECS が終了します。 3. RSA エージェント インストーラを実行します。 ユーザのローカル コピーがアップグレードされます。 RSA SecurId 7 以下のセクションでは、RSA SecurId 7 コネクタの既知の問題について説明しま す。 114 リリース ノート エンドポイント タイプ プロビジョニング ロールのグローバル ユーザへの割り当てによる RSA トラステッド ユーザ アカ ウントの作成に失敗する Windows および Solaris に該当 症状: プロビジョニング ロールをグローバル ユーザに割り当てて、CA Identity Manager で RSA トラステッド ユーザを作成する際に、アカウントの作成に失敗し ます。 解決方法: アカウント テンプレートに含まれているデフォルトのルール文字列 %P%, %UL% および %XD% は RSA トラステッド ユーザには必要ないため、アカウントの作成に 失敗します。 まずテンプレートを作成し、必要ないルール文字列を削除すると、テンプレート を割り当てる際に、ルール文字列が再表示されます。 RSA トラステッド ユーザのテンプレートを作成する際に、以下を行います。 1. デフォルトのルール文字列を使用してテンプレートを作成し、[サブミット]を クリックします。 2. アカウント テンプレートを変更し、[アカウント]タブ上の[パスワード]および [開始日]フィールドから %P%, %XD% ルール文字列を削除します。 3. [ユーザ]タブ上の[開始日]フィールドからルール文字列 %UL% を削除しま す。 4. テンプレートをサブミットします。 5. プロビジョニング ロールをグローバル ユーザに再度割り当てます。 第 5 章: 既知の問題 115 エンドポイント タイプ RSA 7.1 エンドポイントの検索が失敗する 症状: RSA 7.1 エンドポイントを取得し、レベル 1 検索またはレベル 2 検索のいずれか を選択すると、検索は失敗し、以下のようなエラー メッセージが表示されます。 JCS: RSA7: Error searching RADIUS profiles in Incoming message header or abbreviation processing failed nested exception is:; local class incompatible: stream classdesc serialVersionUID = 20091214 Connector Server Search failed: code 54 (LOOP_DETECT-NoSuchMethodError): failed on search operation: eTDYNContainerName=SystemDomain,eTDYNDirectoryName=rsa71_sp4-test, eTNamespaceName=RSA SecurID 7,dc=AUTO,dc=etasa: com.rsa.authmgr.admin.tokenmgt.SearchTokensCommand.setFirstResult( I)V (ldaps:// 解決方法: RSA SecurId 7 DYN エンドポイントを管理する CA Identity Manager r12 CR7 以前 の環境をアップグレードするには、アップグレード後に元の IMPD インストーラが R12 CR8 より古い場合、IMPD インストーラを更新する必要があります。 IMPD インストーラを更新する方法 1. CA Identity Manager プロビジョニング サーバ サービスを停止します。 2. JXplorer を開始し、プロビジョニング ストアのルータ DSA を接続します。 ルータ DSA はデフォルトでは Identity Manager プロビジョニング サーバ上 で実行されます。 以下のパラメータを使用します。 ホスト IMPS コンピュータ ポート 20391 セキュリティ レベル ユーザおよびパスワード ユーザ DN eTDSAContainerName=DSAs,eTNamespaceName=CommonObjects,dc= etadb 116 リリース ノート エンドポイント タイプ 3. JXplorer で、以下のエントリに移動します。 eTConfigParamName=Managed Branches,eTConfigParamFolderName=JCS_<*>_TLS_20411,eTConfigPara mFolderName=Connector Servers,eTConfigParamContainerName=Parameters,eTConfigContainer Name=Configuration,eTNamespaceName=CommonObjects,dc=<im dc name>,dc=etadb 4. eTConfigParamValue=eTNamespaceName=RSA SecurId 7,dc=ADMR12 を eTConfigParamValue=eTNamespaceName=RSA SecurID 7,dc=ADMR12 に変 更します。 すなわち、文字列「RSA SecurId 7」の小文字「d」を大文字「D」に変更します。 具体的には、「RSA SecurId 7」の部分を「RSA SecurID 7」に変更します。 5. JXplorer で、以下のエントリに移動します。 eTNamespaceName=RSA SecurId 7,dc=<im dc name>,dc=etadb a. エントリを右クリックし、名前を以下のように変更します。 eTNamespaceName=RSA SecurIdx 7,dc=<im dc name>,dc=etadb b. 手順 a で名前を変更したエントリを再度右クリックし、名前を以下のよう に変更します。 eTNamespaceName=RSA SecurID 7,dc=<im dc name>,dc=etadb 6. CA Identity Manager プロビジョニング サーバ サービスを再起動します。 以下のセクションでは、 コネクタの既知の問題について説明し ます。 第 5 章: 既知の問題 117 エンドポイント タイプ -- 一時停止中のアカウントにプロビジョニング ロールを割り当ててもアカウント が自動的に再開されない 症状: CA Identity Manager で一時停止中のアカウントにプロビジョニング ロールを割り 当てると、プロビジョニング ロールは再割り当てされますが、自動的に再開され ません。 このエラーは、[エンドポイント設定]タブ上の[アカウントは一時停止される]オ プションを使用してアカウントを一時停止した場合に発生します。 解決方法: プロビジョニング ロールをアカウントに再割り当てする場合、CA Identity Manager は一時停止アカウントの再開をサポートしません。 ロールを コネクタの CA Identity Manager アカウントに割り当てた 後に、以下を実行します。 1. CA Identity Manager で、[ユーザのエンドポイント アカウントの変更]に移動 し、再開するエンドポイント アカウントを選択します。 2. [再開]をクリックします。 3. アカウント再開の確認メッセージが表示されたら、[はい]をクリックします。 アカウントが再開されます。 -- アカウントの作成時にエラー メッセージが表示される 症状: アカウントの作成時に、「CreateSalesforceUser の実行に失敗し ました。 ユーザは作成されましたが、いくつかの追加操作に失敗 しました。」というエラー メッセージを受け取ります。 CA Identity Manager ユーザ コンソールで作成したアカウントを参照できませ ん。 118 リリース ノート エンドポイント タイプ 解決方法: ユーザ アカウント作成時に、以下の条件でエラーが発生します。 ■ 指定したパスワードが、複雑さに関する パスワードの最小要 件を満たしませんでした。 たとえば、8 文字未満のパスワードを指定しまし た。 このエラーは、 ではパスワードを指定せずにアカウントを作 成できるために発生します。 アカウントは CA Identity Manager で作成されますが、グローバル ユーザと 関連付けられないので、表示されません。 アカウントは 組織 で表示されますが、パスワードが設定されていません。 ■ ユーザが存在しないパブリック グループのメンバであるように指定しました。 これは、以下のような場合に発生します。 – グループは エンドポイント上で削除されましたが、CA Identity Manager で検索および関連付けを実行していません。 – ユーザの作成に使用したアカウント テンプレートで、存在しないグルー プが指定されます。 CA Identity Manager は、無効なグループ メンバシップをすべて無視しま す。 以下のいずれかの操作を行います。 ■ アカウントの作成時に指定したパスワードがパスワードの複雑さの最小要件 を満たしていないというエラー メッセージが表示されたら、CA Identity Manager ユーザ コンソールで、パスワードの複雑さの最小要件を満たすパ スワードを設定します。 作成したユーザ アカウントは、CA Identity Manager でグローバル ユーザと 関連付けられ、表示されるようになりました。 ■ ユーザが存在しないパブリック グループのメンバになっているというエラー メッセージが表示されたら、ユーザを正しいグループに追加します。 第 5 章: 既知の問題 119 エンドポイント タイプ -- CA Identity Manager ユーザ コンソールでオブジェクトが Salesforce として表示さ れる 症状: CA Identity Manager ユーザ コンソールで、 オブジェクトがドロッ プダウン リストに表示されるのではなく、Salesforce オブジェクトへの参照のみが 表示されます。 解決方法: CA Identity Manager ユーザ コンソールでは、 オブジェクトは記 述子として ではなく Salesforce を使用して、表示されます。 たと えば、 エンドポイントは、Salesforce としてドロップダウン リストに 表示されます。 このエラーは表示エラーであり、 エンドポイントの管理には影響 しません。 SAP 以下のセクションでは、SAP コネクタの既知の問題について説明します。 SAP 契約上のユーザ タイプの割り当て 契約上のユーザ タイプを[ライセンス データ]タブのユーザに割り当てる場合、 変更はマスタ システムにのみ適用され、子システムには適用できません。 回避方法 子の契約ライセンス タイプを、ネイティブに変更できます。 SAP エンドポイントが SAPlogon.ini ファイルから事前ロードされない プロビジョニング マネージャが Windows 2008 上で実行されている場合、SAP の エンドポイント詳細は SAPlogon.ini ファイルから事前ロードされません。 注: この問題は Windows 2008 のみで実行されるプロビジョニング マネージャ 固有です。 回避方法 手動で、SAPlogon.ini ファイルの内容をプロビジョニング サーバに入力する必要 があります。 120 リリース ノート エンドポイント タイプ SAP 契約上のユーザ タイプ属性の必須フィールド アカウントの[License Data]タブに指定できる契約上のユーザ タイプは、 [LIC_TYPE]フィールド以外に必須フィールドを設定することはできません。 たと えば、契約上のユーザ タイプを使用するのに SAP R3 システム(SYSID)の名前を 指定する必要がある場合は、割り当てに失敗して SAP R3 システムの名前の値 が欠けているとのエラーが表示されます。 [アカウント ライセンス データ]タブの契約上のユーザ タイプ属性が一部のライセンス タイプで 機能しない ユーザ タイプが利用可能リストから選択される場合、一部のユーザ タイプのみ が機能します。 一部のライセンス タイプでは、「'BAPI' ファンクション コール エ ラー」というエラーになります。 このエラーの原因は、一部のユーザ タイプに認 識されない余分なフィールドが含まれていることにあります。 電子メール属性を変更して弱い同期を使用する際の電子メール エントリの重複 症状: 弱い同期が有効化された SAP アカウント テンプレートを持つユーザにプロビ ジョニング ロールを割り当て、電子メール属性を変更しました。 その結果、SAP アカウントに重複した電子メール エントリが追加されました。 ある値には変更が 含まれ、別の値には含まれていません。 例: 弱い同期が有効化された SAP アカウント テンプレートの電子メール属性の 変更 この例では、弱い同期が有効化された SAP アカウント テンプレートの電子メー ル属性を変更したときに発生する状況を示しています。 この例では、アカウント テンプレートに以下のルールがあります。 電子メール アドレス デフォルト 説明 true Use during business false hours (業務時間内に 使用) home 第 5 章: 既知の問題 121 エンドポイント タイプ これより、佐藤一郎さんには以下の電子メール アドレスが付与されています。,default,Used during business hours,not_home たとえば、説明機能属性を変更して、テンプレートを更新した場合,default=yes,description=Use during EST business hours,home=no 佐藤さんに、属性が変更されたものと変更されていないものの 2 つの電子メー ル アドレスが付与されます。,not_default,Used during business hours,not_home,default,Used during EST business hours,not_home 解決方法: 弱い同期では、アカウントに機能が追加されるだけで、アカウントは削除されな いため、弱い同期を使用して電子メール属性を変更すると、この動作が予期さ れます。 SAP アカウント テンプレートの電子メール属性を変更する際に弱い同 期を使用する必要がある場合、SAPEmailWeakSyncConverter の使用を検討して ください。 このコンバータを使用すると、電子メール属性を変更して弱い同期を 使用したときに、SAP アカウントに電子メール エントリが重複して追加されるのを 防ぐことができます。 デフォルトでは、SAPEmailWeakSyncConverter は無効になっています。 コン バータを有効にするには、SAP コネクタの Connector.xml ファイルを編集しま す。 注: コネクタを上書きする方法の詳細については、「Java CS Implementation Guide」の「Connector Configuration File」を参照してください。 SAPEmailWeakSyncConverter を有効化する方法 1. 以下のディレクトリに移動します。 jcs_home/conf/override/sap/ 2. SAMPLE.connector.xml ファイルを開き、converters セクションに移動しま す。 3. FLEXI_STR:SAPDate エントリの後に、以下を追加します。 <entry key="FLEXI_STR:SAPEmail"> <bean class=""></bean> </entry> 122 リリース ノート エンドポイント タイプ 4. validators セクションに移動し、SAPDate コンバータ エントリの後に、以下を 追加します。 <entry key="FLEXI_STR:SAPEmail"> <bean class=""></bean> </entry> 5. Sample.Conenctor.xml の名前を connector.xml に変更します。 6. Java CS を再起動します。 コンバータが有効化され、SAP アカウント テンプレートの電子メール属性を 変更して弱い同期を使用したときに、SAP アカウントに電子メール エントリが 重複して追加されません。 Siebel 以下のセクションでは、Siebel コネクタの既知の問題について説明します。 複数のエンドポイント上でアカウントを作成する際に SBL エラーが表示される 複数のエンドポイントをリスト表示するアカウント テンプレートでは、すべてのエ ンドポイントに存在する Siebel グループのみをリスト表示できます。 UNIX ETC および UNIX NIS 以下のセクションでは、UNIX ETC および UNIX NIS コネクタの既知の問題につい て説明します。 S390 で動作する Linux OS 上の ETC リモート エージェントが失敗する S390 ホストで動作している Linux オペレーティング システムに ETC リモート エー ジェントをインストールしようとすると、以下のエラーが表示されて失敗します。 # ./ lsm.exe: error while loading shared libraries: cannot open shared object file: No such file or directory." 回避方法 オペレーティング システムに適合する ncurses のバージョン 4 を見つけて、それ をインストールする必要があります。 第 5 章: 既知の問題 123 第 6 章: 修正された問題 このセクションには、以下のトピックが含まれています。 r12.5 SP7 で修正された問題 (P. 125) r12.5 SP6 で修正された問題 (P. 129) r12.5 SP5 で修正された問題 (P. 131) r12.5 SP4 で修正された問題 (P. 133) r12.5 SP3 で修正された問題 (P. 135) r12.5 SP2 で修正された問題 (P. 137) r12.5 SP1 で修正された問題 (P. 139) r12.5 SP7 で修正された問題 CA Identity Manager SP7 に含まれている修正を以下の表に示します。 サポート チケット 報告された問題 19774952/3 SiteMinder と統合されていない場合、CA Identity Manager でデフォルト以外 のランディング ページにログインがリダイレクトされません。 19953802/3 パラメータにスナップショット時刻がありません([ユーザ アカウント レポート]、 [マイ レポートの表示]タスク)。 19947459/2 メールボックスのプロビジョニング中、新しく作成されたメールボックスで [HiddenFromAddressListsEnabled]を設定すると、Exchange 2007 リモート エージェントによって、メールボックス ユーザがない、というエラーが断続的に 報告されます。 20066423/2 config ファイルの最後のエントリの後に NEWLINE のない ADS エンドポイントに 対してバックアップ ドメイン コントローラを指定すると、最後のサーバ名の末 尾の文字が切り捨てられます。 ほかのサーバが使用できない場合、検索が 失敗します。 19618443 Solaris 10 に SunOS リモート エージェントをインストールしようとすると、以下の エラーが表示されます。 SMX000007 スクリプトまたはコマンド「scripts/」が終了コード 41 で失敗しました。 第 6 章: 修正された問題 125 r12.5 SP7 で修正された問題 サポート チケット 報告された問題 19659198 タスクの再サブミットが正しく機能しません。 プロビジョニング ロールがユー ザに追加され、エンドポイントが使用できない場合、期待された操作が失敗し ます。 エンドポイントが再度使用可能になると、[サブミット済みタスクの表示] インターフェースから、失敗したタスクを再サブミットできます。 ただし、ロール の追加タスクが再サブミットされた場合は、アカウントがユーザに正しく追加さ れません。 19861329 ユーザが[パスワードのヒント質問と回答]をすべて削除しようとすると、変更は されず、CA Identity Manager によって「タスクがサブミットされました。」という 警告メッセージが表示されます。 変更は行なわれません。 19869065 タスクが「自己」アクションに属する場合(自己作成や自己変更など)、タスク が含まれるタブがメニュー バーに複製されます。 19871270 UPN サフィックスが追加されている Active Directory エンドポイントをプロビジョ ニング マネージャまたはユーザ コンソールのいずれかを通じて取得すると、 UPN 内のドット(「.」)の文字がすべてカンマ(「,」)になる問題が発生します。 19872463 [UNIX ETC アカウントの作成]タスク内で[アカウント テンプレート]タブの[メン バの管理]を有効にすると、[アカウント テンプレート検索]ページに ClassCastException が表示されます。 19913803 TEWS をロードすると、サーバがメモリ不足になり、再起動されるまでログイン リクエストの受け入れが拒否されます。 19947459 ナレッジ ファイル内の負荷共有によって、プロビジョニング ディレクトリ高可用 性環境でタイミングの問題が発生します。 19948858 IM R12.5 のインストール ガイドのトピック「Run the Script for Workflow」には についての説明が記載されていますが、実際にはこの ファイルは存在していません。 19965422 顧客が[忘れたパスワード]タスクのタブに OOTB アカウントを追加し、[ステー タスのロード]を有効にしました。 19965638 アカウントにメールボックスがない場合に[ユーザの同期]を実行すると、ADS コネクタは、実際には受信者アカウントに存在しないメールボックス権限属性 にアクセスしようとします。 これによって、エラーが発生します。 19974677 [Must Remain In Scope]の[ユーザの変更]タスクのチェック ボックスがオンに なっている場合に、オブジェクトを変更しようとした結果としてオブジェクトが管 理者の対象外になると、以下のメッセージが表示されます。 「オブジェクトは すでにスコープ内にありません。 タスクをサブミットできません。」 126 リリース ノート r12.5 SP7 で修正された問題 サポート チケット 報告された問題 19974816 CA Identity Manager スキンで[タイトル]フィールドがほかの属性とは異なり、 大きく表示されます。 19982376 プロビジョニング マネージャの Active Directory アカウント テンプレートから取 得される ADS グループがありません。 19993152 クラスタ化された設定で、生成済み ETACALLBACK URI (インバウンド同期用) にローカル ホスト名が使用されます。環境のベース URI 用に定義されたホス ト名が使用されないため、プロビジョニング サーバからのインバウンド同期に 問題が発生します。これは、インバウンド同期がロード バランサではなく各ア プリケーション サーバに直接行われるためです。 20005197 カスタム レポートの[論理値]フィールドで、CA Identity Manager から Crystal サーバに値が渡されません。 パラメータ値に「TRUE」または「FALSE」が設定さ れていても、レポート値は常にパラメータ値として「TRUE」をとります。 20007478 eTADSpayload 属性は先頭を 0 でパディングする必要があるように思われます が、ADS アカウントに関連付けられている場合、これは該当しません。 20009373 Policy Xpress アクションによって DisableUserEvent のトリガが規定されている 場合、画面上とログ内に「アカウントの検索中にエラーが発生しました」という メッセージが表示されます。 20009422 Identity Manager サーバは、FIPS モードで実行されている CA Directory でホ ストされたユーザ ストアには接続できません。 20013050 ユーザが承認を設定している場合、ワークフロー参加者リゾルバは EnableUserEvent に対して正常に機能せず、「{0} の[リゾルバの説明]セク ションの複数の選択タスクに対して、[このタスクのプライマリ オブジェクト]を 設定できません。」という検証エラーが表示されます。 20017466 顧客から、グローバル ユーザのテンプレート伝達を使用して RSA アカウントを 更新するときに、アカウント上のデフォルトのシェル値がアカウントの「名」に設 定されるとの報告がありました。 20017629 レポートを実行すると、レポート サーバの[履歴]タブにインスタンス実行時ス タンプに加えてステータスが表示されます。 失敗したインスタンスはステータ スとして「失敗」を、完了したインスタンスは「成功」を取得します。 ただし、レ ポートがレポート サーバから直接実行された場合は、同じデータ ソース値を 使用して、レポートが正常に完了します。 20045418 監査テーブル、特にテーブル imsAuditObjectAttributes12 内のデータに関し て、クライアント SQL Server データベースを使用すると、問題が発生します。 特殊文字が正しく表示されません。 これによって、監査レポートが失敗しま す。 第 6 章: 修正された問題 127 r12.5 SP7 で修正された問題 サポート チケット 報告された問題 20050469 ユーザが[委任の詳細の編集]ページで[不在時のアシスタント]の[終了日] を設定すると、[作業アイテムの委任]の[開始日]が過去であることを示すエ ラー メッセージがページに表示されます。 20050886 ユーザを追加し、その後何人かを削除し、さらにそれらのユーザを再作成し たときに負荷テストを実行すると、重複する名前が存在すると、顧客から報告 がありました。 20052434 ユーザのプロファイルに複数値フィールドがあり、[ユーザの変更]イベント内 の複数値フィールドで複数の値が更新されている場合、監査詳細レポートの [古い値]と[新しい値]で、それらの値の 1 つだけに、古い値と新しい値が表 示されます。 20053259 監査詳細レポートと監査 - パスワードのリセット レポートが失敗します。 20056353 CA Identity Manager による accessID およびファシリティ ID の動的要素の表示 に関する問題。 これらの要素が正しく表示されません。 20062793 企業ディレクトリとプロビジョニング ディレクトリが同じディレクトリである場合、 ポリシー ベースのワークフローが不正な動作を行い、承認ルールのベースが [イベントのプライマリ オブジェクト]になります。 20071186 パスワード変更操作を実行する際、AS400 JCS コネクタによってネイティブ プ ログラム QSYCHGPW.PGM が呼び出されます。 このプログラムは、ネイティブ システム パスワード ルール(最低限の長さ、履歴など)の対象となります。 CA Identity Manager から送信されるパスワード変更は、常に管理パスワードの変 更と見なされ、ユーザ パスワード履歴のチェックの対象になりません。 管理 者はパスワードのリセットに標準のパスワードを使用するため、常に失敗しま す。 20092989 AD が企業ストアである場合、グループ メンバシップ ルールは失敗します。 20097639 カスタマイズされた環境ロール定義ファイルを展開しようとすると、「Error: The type "UNKNOWN" is not a valid object type」というエラーが発生します。 20114826 管理ロールの変更された検索画面では、名前フィルタが無視されます。 検索 画面をスキップし、表示された特定の管理ロール名を編集しても、新しい管理 タスクが自動的に開始されません。 該当なし。 検索画面でフィルタを設定すると、問題が発生します。 たとえば、デフォルト の検索画面フィルタで、「Ad」で始まる名前を条件として管理ロールを検索し た場合、 エラーが発生し、検索画面でデフォルト フィルタが処理されず、不 正確な検索結果が返されます。 128 リリース ノート r12.5 SP6 で修正された問題 サポート チケット 報告された問題 該当なし。 CA RCM サーバが CA Identity Manager からユーザま たはロールの作成または変更リクエストを受け取る際 に、CA RCM サーバ ログに以下のエラーが表示され ます。 エラー [Call] Call オブジェクトに対してリターン タイプが指定されませ んでした。 addParameter() をコールしている場合は、 setReturnType() をコールする必要があります。 このエラーは実害はないので、無視しても構いませ ん。 変更は CA RCM で正常に実行されます。 該当なし。 大きなユーザ ストアを対象にワイルドカード(*)検索を実行すると、 java.lang.OutOfMemoryError: Java ヒープ領域エラーでタスクが失敗する場合 があります。 この問題は、ユーザなどの多数のオブジェクトがメモリにロードさ れる際に発生します。 該当なし。 Linux 上の WebSphere では、Linux システムで[LANG]が[xxxUTF-8]に設定さ れていると、ワークフローのスタートアップ中に エラーが発生する場合があります。 r12.5 SP6 で修正された問題 CA Identity Manager r12.5 SP6 に含まれている修正を以下の表に示します。 ま た、このリリースには CA Identity Manager r12 CR 1 から 15 までの修正と機能強 化が含まれています。 サポート チケット 報告された問題 19988097 現在サポートされていない 2 種類のメタデータ クラスの JNDI opbinding に対する サポートが追加されました。 例: あいまいなネーミング属性を持つクラスとあいま いなコネクタ対話クラスのマッピング 19961208 Windows GINA の CA Identity Manager 証明書の有効期限に関する脆弱性 19961208/2 CA Identity Manager GINA DNS ポイズニングの脆弱性 19934103 ユーザにロールのセットがメンバ ポリシーの一部として割り当てられていて(第 1 セット)、ほかのロール(第 2 セット)がこれらのロール メンバシップの第 1 セットに 依存している場合、ロールの第 2 セットの情報がユーザの[管理ロール]タブに 表示されません。 第 6 章: 修正された問題 129 r12.5 SP6 で修正された問題 サポート チケット 報告された問題 19908370 電子メール アドレス テンプレートの %UE% では、プライマリ電子メール アドレス を GU ロケーションに変更すると、そのアドレスが事前にプライマリでないアドレス として(smtp: type)リスト内に含まれている場合、プライマリ(SMTP: type)になりま せん。 19904391/2 [マイ エンドポイント アカウントの表示]には、編集可能なデフォルトの検索画面 はありません。 19892860 [プロビジョニング ロールの変更] -> [所有者]タブの操作中、[ロール所有者の リセット]は機能しません。 19881252 [プロビジョニング ロールの変更]などのプロビジョニング ベースの操作では、重 複した操作 ID が作成され、不正確なタスクで失敗します。 19876970/2 IMPS を 12.5SP3 にアップグレードした後、IM Web が RACF アカウント テンプレー トを取得できなくなります。 19869025 CA Identity Manager ユーザ ログオン ページで、言語の切り替えが機能しませ ん。 19865164 [サブミット済みタスクの表示]タスクから、および同タスク内で、翻訳された日本 の文字列が誤った意味になります。 19858646 eTACCEnvironment=101 (+Native NT)の場合、および NT パスワード ポリシーで パスワードのないアカウントの作成が許可されていない場合、ACC エンドポイント でのアカウントの作成が失敗します。 19817108 アカウント作成中、ユーザが AttributeLevelEncrypt のフラグが付けられた属性に 空の値を指定すると、CA Identity Manager に null 例外エラーが発生します。 19809359 属性の文字列値に拡張 ASCII 文字が含まれている場合、AD エンドポイントのカ スタム属性が失敗します。 19805521 顧客が自分の ACF2 アカウントのみを反映するよう ExportAll スナップショットを変 更すると、スナップショットは正常に完了しました。 ところが、レポートのいくつか が失敗しました。 19780840 AD アカウント UNIX 属性は管理できません。 19780840/2 アカウントへの UNIX グループ メンバシップ割り当て中、多数の OU から UNIX グ ループを検索すると、CA Identity Manager Web UI でパフォーマンスの問題が発 生します。 19774555 SDK DYN UPO スクリプトにインストールの変更が必要です。 サンプルが提供され ていますが、 サンプルにマッピングがありません。 130 リリース ノート r12.5 SP5 で修正された問題 サポート チケット 報告された問題 19741924/4 TEWS は[Related Task Description (関連タスクの説明)]フィールドを取得できま せん。 19739519 マネージャからアクセスしたとき、SDK DYN UPO スクリプト オプションが機能しま せん。 19711396 CA Identity Manager 環境を作成し、Upgrade-8.1-to-12.5SP1-RoleDefinitions XML ファイルをインポートすると、CA Identity Manager ユーザ コンソールにカテ ゴリ/タブが重複して追加されます。 127245 Package.bat では、EAR をパッケージ化する際、マニュアル選択メニューで文書 化されたプロセスから複数の変更および偏差を常に使用します。 Package.xml で、ワークフローの temp rar ファイルの誤った名前が指定され、ファイル名が workflow_ear_rar として指定されます。 これは workflow_temp_rar である必要 があります。 126929 CA Identity Manager の[プロビジョニング ロールの作成]タスクで、customfield の値が objectstore に保存されません。 r12.5 SP5 で修正された問題 CA Identity Manager r12.5 SP7 に含まれている修正を以下の表に示します。 ま た、このリリースには CA Identity Manager r12 CR 1 から 14 までの修正と機能強 化が含まれています。 サポート チケット 報告された問題 19506580 CA Identity Manager12.0 CR7 から CA Identity Manager r12.5 SP2 にアップグレード する際、workpoint ワークフローが失敗することがわかりました。 検査によると、すべ ての workpoint ワークフロー スクリプトで約 100 ~ 105 行が切り捨てられていまし た。 スクリプトは中央の行で切り捨てられていたため、正常に動作しませんでした。 18484199 演算子 NOW および ONCE が翻訳されるため、レポート機能が動作しません。 19139638 ユーザの[アクセス ロール]タブの動作が、r12 CR5 から CR10 へのアップグレード 後、遅くなります。 19450496/3 ポリシーが電子メールをワークフロー承認者のリストに送信するよう設定されると、 「PxValidationException: Plug-in is not used with the correct context」がスローされま す。 第 6 章: 修正された問題 131 r12.5 SP5 で修正された問題 サポート チケット 報告された問題 19618541 顧客が CA Identity Manager を SiteMinder にフェールオーバさせることができませ ん。 CA Identity Manager で、ビルトインの Site Minder エージェントを使用して、ポリ シー サーバに通信しています。 19756917 フェイルオーバは、CA Identity Manager r12.5 SP3 と SiteMinder 12.0 SP2 CR1 (両方 とも RedHat 5.5 上)では機能しません。 19474393 CA Identity Manager は、起動時に「* Startup Step 2 : Attempting to Start PolicyServerService」と表示してハングしたままになります。 19661928 カテゴリ[upgrade from 12.5 to 12.5SP]のロール定義をインポートしようとすると、 「unable to locate file」というエラーが表示されて失敗します。 19710656 CA Identity Manager R12.5 SP3 にアップグレードした後、顧客が RSA7 テンプレート 内で rulestrings を指定してトークン割り当てを設定することができなくなりました。 19685235 コネクタ XP: ネーミング以外の属性との直接の関連付け 19676068 CA Identity Manager で[標準ユーザの変更]タスクによって[プロビジョニング ロー ルの追加]と[プロビジョニング ロールの削除]を実行すると、[追加]は完了します が、[削除]は失敗し、「Unable to allocate Operations object」と表示されます。 19621892 ポリシーをインポートすると、パラメータが維持されないため、PXParameter に空白 が表示されます。エクスポート時に空白がある場合でも同様です。 19647218 JDBC Oracle エンドポイントに試行すると、エラー メッセージが表示されます。 19759654 [ユーザの変更]タスク > [グループ]タブ > [グループの追加]ボタンをクリックする と、予期された検索画面でグループに対する検索リクエストをフィルタできません。 19736733/2 CA Identity Manager で、プロビジョニング サーバ問題を引き起こした Op ID が再使 用されます。 この場合、[ユーザ パスワードのリセット]タスクが必要になります。 19799998 MSGina ログオンで[忘れたパスワード]のリンクを選択した場合、GINA にセキュリ ティ上の脆弱性があることが確認されています。 19592759 古い r8 C++ コネクタを r12.5 Java コネクタに変換するために作成された JCS メタ データによって、エラーが発生します。 19754393/3 [グループの変更] -> [メンバシップ]または[グループ メンバの変更]が失敗し、 「exception:java.util.NoSuchElementException: Attribute member has no value」が 表示されます。 19818241 Oracle Applications コネクタは ID APPS にハードコードされています。 19665364 Oracle 用のストアド プロシージャ GARBAGECOLLECTAUDITING12 で IMSAUDITTASKSESSION12 から行が削除されません。 132 リリース ノート r12.5 SP4 で修正された問題 サポート チケット 報告された問題 19613965/2 Oracle (以前の Sun)Directory Server Enterprise Edition 7 がユーザ ストアとして認 証されます。 115875 Solaris 10 の疎ルート ゾーンへの UNIX リモート エージェントのインストールが失敗し ます。 122039 移行ツールによってタスク セッション オブジェクトのみが移行されます。 このとき、保 留中のタスクを移行しようとすると、object12 テーブル内のイベント オブジェクト エン トリが移行されません。 このため、[サブミット済みタスクの表示]を使用してイベント オブジェクト情報を表示しようとすると、問題が発生します。 128582 リモート マシン上のデータベース(mail¥s0000011.nsf)を開くには、エージェントが 実行されているサーバがトラステッド サーバとしてリモート マシンのリストに追加され ている必要があります。 127294 各 OOTB レポートに基づいてスナップショット エクスポート定義 XML を作成する要 求 r12.5 SP4 で修正された問題 CA Identity Manager r12.5 SP7 に含まれている修正を以下の表に示します。 ま た、このリリースには CA Identity Manager r12 CR 9 から 11 までの修正と機能強 化が含まれています。 サポート チケット 報告された問題 19246058/2 [プロビジョニング ロールの表示]タスクの[ポリシー]タブの 2 ページ目が空白で す。 19380365 何らかの理由で通知が失敗すると、通知キューがブロックされます。 19393945 Xpress ポリシーの「アカウント」カテゴリおよびタイプに対する「get」関数で、選択さ れたエンドポイント タイプ アカウントではなく、すべての既存のエンドポイントのアカ ウントが返されます。 19394400 アクセス ロールの複数のカスタム属性に同じ値を入力することはできません。 これ は後述の PROD00118276 のドキュメントに関する問題です。 19506576 CA Identity ManagerR12.5 SP2 が実行されているとき、プロビジョニング マネージャ 内のエンドポイントとして RSA SecureID 7 を選択することはできません。 第 6 章: 修正された問題 133 r12.5 SP4 で修正された問題 サポート チケット 報告された問題 19515875 ブラウザの言語設定が英語からスペイン語に変更されると、[ユーザの作成]の[管 理タスクの変更]にあるオプション セレクタ コントロールに誤ったラベルが表示され ます。 19537723 CA Identity ManagerR12.5 SP2 エージェントを更新すると、SUSE 10.2+ /etc/default/passwd ファイル内の正しいトークン値が読み取られません。 19538080 管理タスクを変更または作成する際、タブ名がないために、[ユーザ認証]タスクの タブをカスタマイズできません。 タブを選択して タスクに含めようとすると、「Error: Tabs:[SendCertificationReminder] Name is required. Unable to customize tabs in User Certification task.」と表示されます。 19600576 CA Identity Manager と Siteminder の統合で、[Execute Forgotten Password Task] が実行されると、エラー BLTHGenerateTemporaryPassword が表示されます。 19610949 エラー メッセージ 3042 が正しくローカライズされません。 リソース キーに、ローカラ イズされた属性名ではないものが表示されます。 19616645 policyxpress から Web サービスが呼び出されると、失敗し、サーバ ログに以下の例 外が表示されます。 <java.rmi.RemoteException: Call invocation failed; nested exception is: Could not transmit message> 19620528/2 ユーザのエンドポイントを使用できないとき、CA Identity Manager ユーザ コンソー ルは使用できません。 19627490 プロビジョニング ロールまたはアカウント テンプレートが長い電子メール アドレスに 割り当てられているとき、CCS が予期せず終了します。 19636205 TEWS のセキュリティ上の欠陥 19657285 CA Identity Manager フィッシングの脆弱性 19602608 TEWS WSDL が WS-I コンプライアンス標準に基づいて生成されるようになりました。 19260275 [プロビジョニング ロール]のスコープ指定ルールが指定された管理ロールを[プロ ビジョニング ロール メンバ/管理者の変更]内でインスタンス化できるようになりまし た。 19666650 19586799/2 CA Identity Manager r12.5 SP3 にアップグレードした後、Weblogic が開始しませ ん。 134 リリース ノート r12.5 SP3 で修正された問題 r12.5 SP3 で修正された問題 CA Identity Manager SP3 に含まれている修正を以下の表に示します。 また、こ のリリースには CA Identity Manager r12 CR 9 から 11 までの修正と機能強化が 含まれています。 サポート チケット 報告された問題 18950014 IM Vista Credential Provider のタイル画像はカスタマイズ可能です。 19043290/2 CA Identity Manager プロビジョニング マネージャのログアウト情報はプロビジョニン グ サーバ ログ内で必須です。 19145596 アイデンティティ ポリシー評価に、差分評価 段階が欠けています。 19159246 Aux クラスを持つユーザからロールまたはポリシーの追加または削除を実行しようと すると、LDAP エラー 65 「Object Class Violation」が発生します。 19199844 Websphere カスタム 404 ページに、CA Identity Manager アプリケーション コードの フットプリントが含まれたスタック トレースが表示され、システム セキュリティが損な われる場合があります。 19241289/2 MS Exchange Server 2010 のサポートを提供し、2007 と 2010 の Exchange 混合環 境をサポートするように、ADS コネクタおよび Exchange リモート エージェントが強化 されました。 19257834 19257834/2 電子メールを送信する際(sendmail プログラム EXIT を使用する際など)、8BITMIME または 7BITMIME エンコーディングを使用して送信するよう設定できる必要がありま す。 MailConnector クラス(コア製品の一部)によって、電子メールがフォーマットさ れて送信されます。 19260912/3 Siteminder を使用して TEWS URL をディレクトリ マッピングして保護すると、エラー がスローされ、CA Identity Manager がディレクトリ内で管理者を見つけることができ なかったことが示されます。 19285874 CA Identity Manager 環境の wellknown"%GROUP_ADMIN_GROUP%" 属性を UserStore=ProvisioningStore で定義したとき、追加した管理者グループが CA Identity Manager ユーザ コンソールに表示されません。 19309023 Active Directory でグループに 1000 ユーザ以上のメンバを追加すると、「Failed to execute AddToGroupEvent」がスローされます。 エラー メッセージ: NoSuchElementException:Attribute member has no value 19312573 複数値の所有者属性がサポートされます。 19312793/2 一意の LND 短縮名がサポートされます。 第 6 章: 修正された問題 135 r12.5 SP3 で修正された問題 サポート チケット 報告された問題 19312829/2 現在、CA Identity Manager ユーザ コンソールでは、複数値属性を変更するリクエ ストのセット(1 つの値に付き 1 つのリクエスト)が生成されます。 これによって、LND コネクタの新しい機能(複数値短縮名や所有者属性など)で問題が発生します。 19312847/2 CA Identity Manager 電子メール テンプレートの追加ヘッダ属性を指定するための サポートが追加されました。 19312856/2 ユーザに割り当てる未使用のトークンを検索する現在の方法では、許容範囲を超 えたパフォーマンスが発生します。 19315466 Connector Xpress を使用して誤って展開した DYN コネクタを削除しようとすると、 「"Failed to delete Endpoint Type "Inet Portal…」というエラー メッセージが表示され ます。 19351567 CA Identity Manager ログに、以下のメッセージが定期的に表示されます。 13:31:07,720 WARN [] Session was not shut down properly. 19391958 ユーザ パスワードをリセットしようとすると、タスク永続性データベースの接続数が 急激に増加します。 しばらくすると、接続最大数が増加し、アプリケーション サーバ がクラッシュします。 19409953/2 複数の SAP R/3 ロールをユーザに割り当てると、選択したすべてのロールには適用 されません。 CA Identity Manager ユーザ コンソールを使用して既存の SAP ユーザ に 4 つのロールを追加すると、多くの場合、1 つのロールのみが適用されます。 19420859 既存の RSA 7 プロビジョニング コレクタでは、次に使用可能な(未割り当ての)トー クンの割り当てがサポートされますが、ハードウェア トークンとソフトウェア トークン は区別されません。 19442206 Policy Xpress の[データ クエリ]セクションに、SSL の使用などの安全な方法で接続 できるオプションがありません。 19466106 19455231/2 兄弟 ADS 環境で、CCS によってフェールオーバ サーバ リストが作成される際、エン タープライズ管理者の SAMID が空であるため、DsBindWithCred 関数がクラッシュし ます。 新しい CA DLP シナリオを作成してください。 該当なし RSA トークン検索で、次のエラー メッセージが表示されます: JCS: countLimit 500 exceeded error message 該当なし Microsoft Exchange コネクタおよびリモート エージェントが Exchange 2010 に対して 認証されます。 136 リリース ノート r12.5 SP2 で修正された問題 r12.5 SP2 で修正された問題 CA Identity Manager SP2 に含まれている修正を以下の表に示します。 また、こ のリリースには CA Identity Manager r12 CR 9 から 11 までの修正と機能強化が 含まれています。 サポート チ 報告された問題 ケット 18898396 ある状況下では、SiteMinder によってヘッダ ca_im_notification が ca-im-notification に 変換されます。 2 つ目のバージョンはサポートされていませんでした。 18981757 ドイツ語にローカライズされたサーバで、レポートを表示できません。 18988910 スペースが含まれる eTHomepage 値を設定すると、値がクリアされます。 これは、属性内 にスペースがあると無効な URL となるために発生します。 19030877/2 顧客が JDK 1.5 を使用していて、RDT ツールを使用してカスタム コネクタの JIAM 拡張 jar を生成しようとすると、失敗して、以下のメッセージが表示されます。 errorNoClassDefFoundException thrown for 19030877/5 pttconvert.bat を動作させるには、プロビジョニング SDK をアドレス指定する必要がありま す。 19067356 19004912 必要でなくなったレコードが最終的に監査データベースによって累積される場合があり ます。 これらのレコードを削除する方法が必要になります。 19103826 CQ 113005 の一部として含まれています。 19122949 GU に corp ID がない場合、一時停止ステータスを変更すると、以下のエラーが発生しま す。 ERROR: ETACallbackException:There is no task mapped to the provisioning event. 'POST_ADD_GLOBAL_USER' for the environment 'corp' 19125743 Aux OC がプロビジョニング ロールから更新されません。 19135793 [回答]フィールドの[タイプ]を「パスワード」に設定し、[アクセス権] を「読み取り/書き込 み必須」に設定すると、エラーが生成されます。 [回答]フィールド(セキュリティ Q&A)の文字は難読化されるべきものです。フィールド タ イプは「パスワード」です。 ところが、これに併せて、[回答]フィールドのアクセス権が[読 み取り/書き込み必須]に設定されると、エラーがスローされます。 19136165 Connector Xpress で、テンプレートの複製において eTAccountContainer が設定されませ ん。 第 6 章: 修正された問題 137 r12.5 SP2 で修正された問題 サポート チ 報告された問題 ケット 19137329 19137329 顧客が「can't」や「owner's」などの一重引用符が含まれるトークンを入力すると、この文 字が適切にエスケープされず、トークンが正確に表示されません。 19141667 ロジカル アトリビュート ハンドラのライフサイクル メソッドが呼び出されません。 このため、 LAH 用に定義されたプロパティにアクセスできません。 19154215 Siteminder によって設定された Imlanguage ヘッダ変数が無視され、ブラウザで言語が 定義されていない場合にデフォルトのロケール ファイルが使用されました。 ブラウザで言 語が定義されている場合は、smlanguage ヘッダ変数が使用されます。 19156852 LND アカウント テンプレートに Identity Manager とプロビジョニング マネージャとで異な る値が含まれます。 19158692 [Actions performed by user]タブまたは[Actions performed on user]タブのいずれかが クリックされると、例外エラーが生成されました。 19161923 顧客から、FPR タスクが開始されるときではなく、質問ページがロードされるときに、失敗 した試行カウンタを更新したいとの要望がありました。 19172631 AD PSynch エージェントを介してパスワード変更を伝達した後、ユーザは新しいパスワー ドを使用して Oracle にログインできましたが、再度パスワードを変更するよう要求されまし た。 パスワードが変更された後、[Password_date]フィールドが更新されていませんでし た。 このため、Oracle によって、ユーザが最初にシステムにログインしたときにパスワード 変更が要求されます。 19175330 物理 => 物理の関連付けなど、OID 4 方向関連付け属性がサポートされます。 19208273 顧客がプロビジョニング サーバを 8.1sp2 から r12.5 にアップグレードすると、アップグ レードが失敗しました。 顧客はパスワード プロファイルを有効にしましたが、r12.5 インス トーラで入力したグローバル ユーザ パスワードがパスワード プロファイルと一致しません でした。 19218319 CA Identity Manager によってトランザクション ID を持つ応答が送信されるときの動作が 一貫しません。ある場合にはイベントが後で失敗し、別の場合にはトランザクション ID な しでエラーが返されます。 この修正で、すべての場合にトランザクション ID が返されます。 タスクによってエラーが 生成されなかった場合、応答は応答データとトランザクション ID から構成されます。 タス クによってエラーが生成された場合、応答はトランザクション ID と IMSException メッセー ジから構成されます。 19233440 Connector Xpress で、プロビジョニング マネージャからロールの割り当ておよびアカウン ト テンプレートを通じて実行された場合、エンドポイントで OID アカウントを作成できませ ん。 138 リリース ノート r12.5 SP1 で修正された問題 サポート チ 報告された問題 ケット 19236949 レポートの開始日/停止日をサブミットすると、Reporting: Validation エラーが発生しま す。 19237112 Lotus Notes ターゲット システムを取得しようとすると、JCS によって、エラー「Insufficient access to Domino Databases」が報告され、取得が失敗します。 19315032 コネクタ -RACF で、フル ネームがリクエストされたとき、1 レベルの検索リクエストで誤った オブジェクト クラスがフィルタされます。 19380885 UPO プログラム終了内の XML ペイロードで、パスワードに空でない値を設定した場合で も、空の値が含まれます。 該当なし 顧客は RoleDefGenerator を使用してカスタム C++ コネクタのアカウント画面を生成する ことができません。 DYN コネクタおよび標準的な静的コネクタに対してのみ機能します。 該当なし 運用モードで WebLogic 9 または 10 を使用している場合は、インストールまたはアップグ レード後の最初のアプリケーション サーバ起動時に、Identity Manager EAR が自動展開 されないことがあります。 r12.5 SP1 で修正された問題 CA Identity Manager SP1 に含まれている修正を以下の表に示します。 また、こ のリリースには CA Identity Manager r12 CR 9 から 11 までの修正と機能強化が 含まれています。 サポート チケット 報告された問題 16978047 eTrust Admin 8.1 SP2 から Identity Manager r12.5 へのアップグレード後に、アップグレー ド前に取得した Microsoft SQL または Oracle のエンドポイントで、データ ソース名(DSN)で はなく JDBC URL を使用するには、プロビジョニング サーバを使用して、手動で再設定する 必要があります。 17145005 プロビジョニング サーバで PKI グループ プロパティ シートを開こうとすると、エラー メッ セージ「リクエストされたプロパティ シートを表示できません」が表示されます。 18240718 「imr_attrvalue」列の長さが 20 文字に設定されている場合、スナップショットのキャプチャ タスクは失敗します。 18624436 RoleDefGenerator を使用して、LDAP DYN エンドポイント タイプの画面、タスク、ロールの 生成時に、例外が発生します。 第 6 章: 修正された問題 139 r12.5 SP1 で修正された問題 サポート チケット 報告された問題 18664092 SiteMinder の拡張を別のサーバ上にインストールする際に、SiteMinder インストール ディ レクトリのみのプロンプトが表示されます。 18726210 SiteMinder の CA Identity Manager 拡張は、Linux では利用できません。 18726850 CA Identity Manager を WebSphere クラスタ上に展開後、JDBC パスワードは平文テキスト として格納されます。 18745183 ローカライゼーション用サンプルには Localization フォルダと location2 フォルダがあり、混 同しやすくなっています。 18758373 Connector Xpress を使用して Oracle Internet Directory 用のコネクタを作成する際、マッピ ング プロセス中にエラーが表示されます。 18751087 AD コネクタに追加された新規タブは、プロビジョニング マネージャには表示されますが、 ユーザ コンソールには表示されません。 18942182 [ユーザの有効化/無効化]タスクまたは[ユーザの変更]タスクのアカウント同期が [OnEveryEvent]に設定されていて、ユーザの[有効なステータス]が更新されている場 合、プロビジョニング サーバに送信されたリクエストに「eTSyncAccounts=1」がないため、新 しい値は関連付けられたアカウントと同期されません。 該当なし Linux システム上で[LANG]が[xxxUTF-8]に設定されている場合、ワークフローの起動中 に、 エラーが表示される場合があります。 これは Linux 上の WebSphere で発生します。 該当なし [ユーザ アクティビティの表示]タスクで[開始者 ユーザ]タブを初めてクリックすると、エ ラーが発生します。 該当なし CA Identity Manager のアップグレード中に、ディレクトリおよび環境の自動移行を行う場 合、 SiteMinder エラーが表示されます。 認証用のデフォルトの SiteMinder ポート(44442) を変更している場合、インストーラによって SiteMinder が実行されていないと誤って検知さ れ、処理ができなくなります。 該当なし 指定されたプロビジョニング サーバの 1 つを変更すると、CA Identity Manager は、新しい プロビジョニング サーバではなく、元のプロビジョニング サーバにフェールオーバ リクエス トを送信する場合があります。 該当なし CA Identity Manager をインストールする場合、完全修飾 URL を使用する必要があります。 該当なし DYN 属性のアップグレード、マッピング後、およびメタデータの DYN エンドポイント タイプ への再展開後、RoleDef Generator ツールを使用して生成されたエンドポイント画面の最 初のタブが表示されません。 140 リリース ノート r12.5 SP1 で修正された問題 サポート チケット 報告された問題 該当なし プロビジョニング マネージャで、組織および組織単位で作成され、日本語文字が含まれ るアカウントが、[次のメンバ]タブにそのグループ メンバシップが表示されません。 第 6 章: 修正された問題 141 第 7 章: マニュアル CA Identity Manager のマニュアルのファイル名は以下のとおりです。 マニュアル名 ファイル名 リリース ノート im_release_jpn.pdf Implementation Guide im_impl_enu.pdf Installation Guide for WebLogic im_install_weblogic_enu.pdf Installation Guide for WebSphere im_install_websphere_enu.pdf Installation Guide for JBoss im_install_jboss_enu.pdf Upgrade Guide im_upgrade_enu.pdf Configuration Guide im_config_enu.pdf 管理ガイド im_admin_jpn.pdf User Console Design Guide im_uc_design_enu.pdf Programming Guide for Java im_dev_enu.pdf Provisioning Reference Guide im_provisioning_reference_enu.pdf Connectors Guide im_connectors_enu.pdf Connector Xpress Guide im_connector_xpress_enu.pdf Java Connector Server Implementation Guide im_jcs_impl_enu.pdf Programming Guide for Java Connector Server im_jcsProg_Enu.pdf Glossary im_glossary.pdf マニュアル選択メニュー このセクションには、以下のトピックが含まれています。 マニュアル選択メニュー (P. 144) オンライン ヘルプの拡張機能 (P. 145) ドキュメントの変更 (P. 145) Connector Xpress オンライン ヘルプ (P. 146) 第 7 章: マニュアル 143 マニュアル選択メニュー マニュアル選択メニュー マニュアル選択メニューを使用すると、統一されたインターフェースから CA Identity Manager のすべてのドキュメントにアクセスできます。 マニュアル選択メ ニューの内容は以下のとおりです。 ■ HTML 形式の全ガイドの目次の拡張リスト ■ 検索結果がランク付けされ、検索語がコンテンツ内で強調表示される、全ガ イドの全文検索機能 ■ 上位レベルのトピックへリンクするためのブレッドクラム機能 ■ 全ガイド内のトピックへの単一 HTML インデックス ■ ガイドの印刷用 PDF 版へのリンク マニュアル選択メニューの使用方法 1. マニュアル選択メニューを CA のサポート サイトからダウンロードします。 2. マニュアル選択メニューの zip ファイルの内容を展開します。 注: 最大限有効に活用できるように、「マニュアル選択メニュー」をリモート システムにインストールする場合は、Web サーバからマニュアル選択メ ニューにアクセスできるようにしてください。 3. マニュアル選択メニューが、以下のように表示されます。 ■ マニュアル選択メニューが、ローカル システム上にあり、Internet Explorer を使用している場合は、Bookshelf.hta ファイルを開きます。 ■ マニュアル選択メニューが、リモート システム上にあるか、または Mozilla Firefox を使用している場合は、Bookshelf.html ファイルを開きま す。 注: 最大限有効に活用できるように、マニュアル選択メニューをリモート システムにインストールする場合は、Web サーバからマニュアル選択メ ニューにアクセスできるようにしてください。 マニュアル選択メニューには、Internet Explorer 7 または 8 か、Mozilla Firefox 2 または 3 が必要です。 PDF ガイドを利用するには、Adobe Reader 7 以降が必要 です。 Adobe Reader は、 からダウンロードできます。 144 リリース ノート オンライン ヘルプの拡張機能 オンライン ヘルプの拡張機能 ユーザ コンソール オンライン ヘルプおよび管理コンソール オンライン ヘルプ の両方に、以下の機能があります。 パンくずリスト ヘルプ階層のどこにいるかをわかりやすいナビゲーションで示します。 これ らの機能は、ヘルプ ページの上部にあります。 検索の強調表示 結果ページで結果のコンテンツを黄色の強調表示で識別します。 ナビゲーション ボタン ナビゲーションをスムーズにするため、前矢印ボタンおよび次矢印ボタンを 表示しています。 これらの機能は、パンくずリストの下のヘルプ ページの上 部にあります。 ドキュメントの変更 CA Identity Manager のドキュメント セットに以下の変更が加えられました。 アップグレード ガイド 新しいガイドが CA Identity Manager r12.5 SP7 に含まれています。 アプリ ケーション サーバごとに 1 つのガイドがあり、CA Identity Manager のアップ グレードに必要な情報がすべて記載されています。 Installation Guides および High Availability Guide CA Identity Manager の高可用性に関するコンテンツは、各アプリケーション サーバのインストール ガイドへマージされました。 これにより、高可用性に 関する個別のガイドはなくなりました。 第 7 章: マニュアル 145 Connector Xpress オンライン ヘルプ User Console Design Guide この新しいガイドは、インストール後に、初めて Identity Manager 環境を設 定するシステム管理者を対象にしています。 このガイドには、カスタマイズ タスク(タスク ナビゲーション、画面設計など)、 ブランディング、ローカライゼーションに関する情報が記載されています。 Programming Guide for Provisioning 推奨されないプロビジョニング API (P. 72)に関して記述されたこのガイドは、 マニュアル選択メニューから除外されました。 このガイドは、現在、API のイ ンストール パッケージで利用可能です。 Connector Xpress オンライン ヘルプ Connector Xpress オンライン ヘルプに、重複した 2 つのトピック、「Map Class and Attributes Dialog (JNDI)」および「Map Class and Attributes Dialog (JDBC)」 が含まれています。 これらのトピックは、トピック「Map Class Dialog (JNDI)」およ び「Map Class Dialog (JDBC)」に置き換えられました。 146 リリース ノート 付録 A: サードパーティ製品の使用条件 このセクションには、以下のトピックが含まれています。 Apache (P. 147) ANTLR 2.7.5H# (P. 155) ASM 3 (P. 156) boost 1.34.1 (P. 157) DOM4J (P. 157) HSQLDB 1.8.0 (P. 159) IBM DB2 Driver for JDBC and SQLJ (P. 160) Java Architecture for XML Binding (JAXB) 2.0 (P. 161) JAX-RS v1.1.1 (P. 162) JDOM 1.11 (P. 170) JSON 1.0 (P. 171) jtopen 5.1.1 (P. 172) libcurl 7.20.1 (P. 172) MX4J 3.0.2 (P. 173) Oracle JDBC Driver 10g Release 2 (P. 175) Oracle JDBC Driver 11g Release 2 (P. 176) Rhino 1.7R1 (P. 177) SAAJ 1.2 (P. 189) Sun JDK 1.6.0 (P. 190) Sun JRE (P. 199) Windows Registry API Native Interface 3.13 (P. 205) Xinha .96 Beta 2 (P. 206) Apache Portions of this product include software developed by the Apache Software Foundation. Apache Ant 1.7 Apache Axis 1.1 Apache Axis 1.2 付録 A: サードパーティ製品の使用条件 147 Apache Apache Axis 1.2.1 Apache Axis 1.4 Apache Axis2/Java 1.5 Apache Bean Scripting Framework 2.4.0 Apache Jakarta Commons BeanUtils 1.6.1 and 1.7 Apache Commons Cli 1.0 Apache Jakarta Commons Codec 1.3 Apache Jakarta Commons Collections 3.1 Apache Jakarta Commons DBCP 1.2.1 Apache Jakarta Commons Validator 1.2 Apache Commons Digester 1.7 Apache Commons Discovery 0.2 Apache Commons EL 1.0 Apache Commons File Upload 1.2 Apache Commons IO 1.3.1 Apache Commons Lang 2.1 Apache Commons Logging 1.0.4 Apache Commons Pool 1.3 Apache Commons Validator 1.2 Apache Jakarta Taglibs 1.0.6 Apache Jakarta ORO 2.0.8 148 リリース ノート Apache Apache Jakarta Slide 2.1 Apache JAX-RPC 1.1 Apache Log4j 1.2.8 Apache HttpClient 3.1 Apache MyFaces 1.1.5 Apache JSTL Taglib 1.1 Apache ORO 2.07 Apache POI 3.2 Apache Quartz 1.7.3 Apache Rampart 1.3 Apache Spring Framework 1.2.8 Apache StAX 1.2 Apache Struts 1.2.7 and 1.2.9 Apache Tomahawk 1.1.8 Apache Velocity 1.4 Apache Xalan-C 1.9.0 Apache Xalan-J 2.6.0 Apache Xerces-C 2.5.0 and 2.6.2 Apache xmltask 1.13 付録 A: サードパーティ製品の使用条件 149 Apache The Apache software is distributed in accordance with the following license agreement. Apache License Version 2.0, January 2004 TERMS AND CONDITIONS FOR USE, REPRODUCTION, AND DISTRIBUTION 1. Definitions. 'License' shall mean the terms and conditions for use, reproduction,and distribution as defined by Sections 1 through 9 of this document. 'Licensor' shall mean the copyright owner or entity authorized by the copyright owner that is granting the License. 'Legal Entity' shall mean the union of the acting entity and all other entities that control, are controlled by, or are under common control with that entity. For the purposes of this definition, 'control' means (i) the power, direct or indirect, to cause the direction or management of such entity, whether by contract or otherwise, or (ii) ownership of fifty percent (50%) or more of the outstanding shares, or (iii) beneficial ownership of such entity. 'You' (or 'Your') shall mean an individual or Legal Entity exercising permissions granted by this License. 付録 A: サードパーティ製品の使用条件

Apache

Portions of this product include software developed by the Apache Software Foundation. 