18 janvier 2008
Ce document présente les problèmes connus relatifs au module de provisioning basé sur les rôles d'Identity Manager 3.6. Reportez-vous au fichier Lisez-moi d'Identity Manager 3.5.1 pour connaître les problèmes applicables à l'application utilisateur, mais sans rapport avec le sous-système de rôles. Pour une liste des problèmes relatifs à IDM 3.5.1 résolus dans la version 3.6 du module de provisioning basé sur les rôles, reportez-vous à Section 7.0, Problèmes résolus dans IDM 3.6
Cette documentation est régulièrement mise à jour. Des corrections et des améliorations sont apportées en fonction des besoins. Reportez-vous au site Web de documentation du produit Novell Identity Manager 3.6 pour obtenir les mises à jour requises.
Les sections suivantes répertorient les problèmes liés à la documentation.
Le tableau 1-1 intitulé Configuration système requise indique que le système méta-annuaire d'IDM 3.5 fait partie des composants système pris en charge ; or, il n'en est rien. Vous devez utiliser le système méta-annuaire d'IDM 3.5.1. Vous ne pouvez pas utiliser le système méta-annuaire d'IDM 3.5.
La section 2.6, intitulée "Conditions préalables de la sécurité", répertorie la fonction de logout simultané. Or, il s'agit d'une fonction et non d'une condition préalable.
Si vous utilisez NetWare, vous devez renommer le fichier nrf-extensions.sch avant d'utiliser nwconfig. L'utilitaire nwconfig ne prend en charge que les noms de fichier version 8.3 ; il ne peut donc pas utiliser le fichier nrf-extensions.sch sous son nom par défaut. Renommez le fichier nrf-extensions.sch en utilisant un format pris en charge, du typenrfext.sch.
Le chemin spécifié pour NetWare est incorrect. Le bon chemin est le suivant :
SYS:\tomcat\5.0\webapps\nps\Dirxml.Drivers
Le chemin spécifié pour NetWare est incorrect. Le bon chemin est le suivant :
SYS:\tomcat\5.0\webapps\nps\Dirxml.Drivers
Les sections suivantes décrivent les problèmes connus relatifs à l'onglet Rôles de l'application utilisateur.
Le sélecteur d'objet utilisé pour effectuer une recherche ou la filtrer ajoute à chaque fois le caractère générique * à la fin des critères de recherche.
Dans le sélecteur d'objet, la recherche de rôles est sensible à la casse.
Or, dans les pages suivantes, la fonction de filtrage des noms de rôles N'EST PAS sensible à la casse :
Mes rôles
Assignations de rôle
Afficher l'état de la requête
Parcourir le catalogue de rôles
Gestion des relations entre les rôles
Le nom de rôle et le nom de contrainte de SoD ne peuvent contenir que les caractères suivants :
Caractères alphanumériques.
Un tiret (-) ou un caractère de soulignement (_) au milieu de la chaîne (et non au début ou à la fin).
Les caractères suivants NE PEUVENT PAS être utilisés, car ils génèreront des erreurs :
! # % & , " ' ; \ / +
À sa création, le nom d'affichage ne doit également contenir aucun de ces caractères. Après le premier enregistrement du rôle ou de la contrainte SoD, vous pouvez modifier le nom d'affichage, de façon à utiliser d'autres caractères.
Si le nom de rôle comprend des caractères non pris en charge, un message d'erreur risque de s'afficher lors de l'exécution par les utilisateurs d'une opération quelconque sur ce rôle. Le message d'erreur affiché est le suivant :
796 WARN [Parameters] Parameters: Character decoding failed. Parameter skipped.
Si vous assignez un rôle à une unité organisationnelle sans qu'aucun des utilisateurs associés à celle-ci n'ait été provisionné pour ce rôle, vous devez vérifier le journal d'erreurs du pilote de service de rôle pour être informé de l'erreur. L'interface utilisateur de l'application utilisateur n'indique pas ce type d'erreur et il semble que le rôle ait été associé à l'unité dans la page Afficher une requête.
Lors de l'affichage des assignations de rôle depuis la page Mes rôles ou Assignations de rôle (par utilisateur), les conteneurs ou groupes associés au rôle n'apparaissent pas tous. Un seul devrait s'afficher. Par exemple, si le rôle TestRole est présent dans deux conteneurs, l'interface utilisateur ne l'affichera que dans l'un des deux.
L'application utilisateur vérifie les exceptions de la contrainte SoD lorsqu'un utilisateur demande une assignation de rôle et non lorsque l'assignation est appliquée. Cela signifie que le rôle peut être assigné de manière incorrecte sans qu'aucune notification ou approbation n'ait été accordée. Prenons l'exemple de deux rôles (infirmière et pharmacien) entrant en conflit. Vous assignez alors l'ID UserA au rôle d'infirmière ; la date d'entrée en vigueur est située deux semaines plus tard. Pour les deux semaines à venir, vous associez l'ID UserA au rôle de pharmacien, l'entrée en vigueur devant s'effectuer immédiatement. Le programme ne vous signalera pas ce conflit car l'exception a été vérifiée au moment de la demande ; or, à ce moment-là, il n'existait aucun conflit de rôle.
La page Assignations de rôle n'affiche pas les assignations dont le statut est "Activation en attente". Pour faire apparaître les assignations qui seront activées ultérieurement, accédez à la page Afficher l'état de la requête.
Si la date en cours du serveur de l'application utilisateur diffère de celle du serveur eDirectory, il se peut que les pages de l'onglet Rôles affichent des dates différentes. Par exemple, partons du principe que la date en cours du serveur de l'application utilisateur est 05Déc et celle du serveur eDirectory, 26Déc. Dans ce cas, ce sera la date du serveur eDirectory qui s'affichera sur les pages Mes rôles et Assignations de rôle. Cependant, dans la page Afficher l'état de la requête, la date effective et la date de la requête feront apparaître celle du serveur de l'application utilisateur.
Si la date d'entrée en vigueur n'est pas indiquée, la page Assignations de rôle utilisera l'heure système du serveur eDirectory et la page Afficher l'état de la requête, celle du serveur de l'application utilisateur. Cette différence n'apparaîtra peut-être pas dans un environnement de production, étant donné que les techniques de synchronisation temporelle peuvent permettre de la corriger.
De plus, les données relatives aux assignations et aux requêtes d'assignation sont conservées dans des objets distincts. L'un des objets représente la date indiquée au moment de la requête effectuée par l'utilisateur et l'autre, l'état réel de l'assignation de rôle. Si l'utilisateur n'indique pas de date d'entrée en vigueur (le résultat étant l'application immédiate de l'asssignation de rôle), la date d'entrée en vigueur affichée dans la page Afficher l'état de la requête correspond à celle de la la soumission de la requête au serveur d'applications. Cette date ne correspond pas à celle qu'affiche l'écran Assignation de rôle, laquelle fait référence à la date de traitement effectif de l'assignation de rôle.
Dans la page Gérer les rôles, le gestionnaire de rôles peut afficher tous les conteneurs de rôle, mais n'a la possibilité de créer ou modifier les rôles que pour les conteneurs sur lesquels il dispose de droits de consultation.
Les sections suivantes décrivent les problèmes connus relatifs aux rapports sur les rôles.
Pour pouvoir afficher les rapports, vous devez disposer du plug-in Adobe Reader. S'il n'est pas installé, les rapports ne s'afficheront pas.
Si un rapport au format PDF contient des données en chinois, en japonais ou en russe, les paramètres régionaux favoris de l'utilisateur doivent être définis sur la langue appropriée. Si le PDF contient des données dans ces langues, les paramètres régionaux de l'utilisateur doivent être définis sur l'une d'entre elles. Dans le cas contraire, le rapport ne s'affichera pas correctement.
Lors de l'exécution simultanée de plusieurs rapports, des exceptions NullPointerExceptions sont générées. Il s'agit d'un problème connu du JDK de Sun. Si vous rencontrez des exceptions de ce type, vous devrez sans doute relancer le rapport. Pour un complément d'informations, reportez-vous aux rapports de bogue de Sun.
La génération de rapports consomme une grande quantité de mémoire. Voici quelques conseils pour garantir le maintien du meilleur niveau de performances possible lors de cette opération :
Configurez une taille de segment mémoire Java suffisante pour le serveur d'applications.
Évitez de générer un trop grand nombre de rapports en même temps.
Si vous le pouvez, générez des rapports lorsque le serveur est inactif, afin de réduire l'impact de l'opération sur les utilisateurs actifs.
Dans une grappe, dédiez un serveur d'applications à la génération de rapports, afin de réduire l'impact de l'opération sur les utilisateurs actifs.
Les sections suivantes décrivent des problèmes de localisation connus.
Le texte relatif à l'avertissement de timeout de session ne s'affiche pas en chinois simplifié. L'utilisateur est redirigé sur la page de timeout de session et peut se reloguer sans aucun problème. Cependant, la page à laquelle accède l'utilisateur affiche une erreur JavaScript lors de son chargement.
Si vous exécutez l'application utilisateur en utilisant des paramètres régionaux chinois, vous ne pouvez pas recourir au concepteur pour définir les noms ou descriptions localisés des rôles ou contraintes SoD. Le concepteur les affichera correctement, mais ils seront altérés lors de leur déploiement. Pour contourner ce problème, vous pouvez localiser les noms et descriptions dans l'onglet Rôles de l'application utilisateur.
Par défaut, les rôles système fournis avec le produit ne s'affichent pas correctement sur des systèmes chinois. Par contre, ils apparaîtront correctement en anglais. L'onglet Rôles de l'application utilisateur permet de faire apparaître les noms et descriptions dans la version traduite correcte.
Les sections suivantes répertorient les problèmes connus d'iManager.
Vous ne pouvez pas utiliser iManager pour manipuler les définitions des requêtes de provisioning basées sur les rôles. Si vous essayez d'en ouvrir une, l'erreur qui suit apparaîtra.
The ''XmlData'' attribute on the Provisioning Request cannot be read or does not contain valid XML data. This Provisioning Request cannot be configured or used to create other Provisioning Requests.
N'utilisez pas l'inspecteur de pilote d'iManager (accessible depuis le lien Identity Manager dans le panneau de gauche) : vous risquez de provoquer l'arrêt du serveur eDirectory. Si vous l'utilisez, un message de lecture des associations apparaît, suivi d'une boîte de dialogue d'erreur contenant un message du type :
The following SPI error has occurred...(-621)...
Lorsque vous le redémarrez, le serveur eDirectory affiche un message indiquant qu'eDirectory a été arrêté de manière incorrecte.
Les sections suivantes décrivent des problèmes d'intégration connus.
Les conteneurs JBoss et WebSphere gèrent les pages JSF de manière différente. Cela signifie que la stratégie FormFill d'Access Manager doit utiliser un ID plutôt qu'un nom de formulaire.
Si vous utilisez Novell Security Services 2.0.5 (qui comprend NMAS 3.2.0.2) et si vous avez défini la variable d'environnement NDSD_TRY_NMASLOGIN_FIRST=true, vous ne pourrez pas démarrer le pilote de service de rôles. Si vous tentez de le lancer, l'erreur NMAS suivante s'affichera :
locallogin -799 ERR_CANNOT_GO_REMOTE
Pour contourner ce problème, définissez NDSD_TRY_NMASLOGIN_FIRST sur false ou procurez-vous le correctif NMAS adéquat.
Sous NetWare, la variable d'environnement NDSD_TRY_NMASLOGIN_FIRST est définie sur true, par défaut. Sur les autres plate-formes, par contre, elle est définie sur false.
Cette section comprend une liste des problèmes décrits dans la version 3.5.1 du fichier Lisez-moi de l'application utilisateur IDM et résolus dans le module de provisioning basé sur les rôles d'IDM 3.6.
4.4 Sous Solaris 9 et 10, l'installation de l'interface utilisateur graphique échoue lorsque vous utilisez eDirectory 8.8.1.
4.5 Le script configupdate échoue après l'ajout de fichiers au WAR.
4.8 Logout simultané de l'application utilisateur et d'Access Manager
6.9 Réglage des paramètres de configuration SSL
6.12 Le pilote d'application utilisateur nécessite une activation
6.15 Les données sensibles d'une session utilisateur ne sont pas codées
6.18 Un workflow ne se déclenche pas à partir d'un événement eDirectory
6.23 Les fichiers de service config.xml contiennent des numéros de version périmés
6.25 Le démarrage de workflow avec le service Web SOAP entraîne parfois des erreurs
6.30 L'installation dans une grappe ne demande pas l'ID du moteur de workflow.
Dans cette documentation, le signe supérieur à (>) est utilisé pour séparer les opérations d'une même procédure ainsi que les éléments d'un chemin de renvoi.
Un symbole de marque (®, ™, etc.) indique une marque de Novell®. Un astérisque (*) indique une marque commerciale de fabricant tiers.
Novell, Inc. exclut toute garantie relative au contenu ou à l'utilisation de cette documentation. En particulier, Novell ne garantit pas que cette documentation est exhaustive ni exempte d'erreurs. Novell, Inc. se réserve en outre le droit de réviser cette publication à tout moment et sans préavis.
Par ailleurs, Novell exclut toute garantie relative à tout logiciel, notamment toute garantie, expresse ou implicite, que le logiciel présenterait des qualités spécifiques ou qu'il conviendrait à un usage particulier. Novell se réserve en outre le droit de modifier à tout moment tout ou partie des logiciels Novell, sans notification préalable de ces modifications à quiconque.
Tous les produits ou informations techniques fournis dans le cadre de ce contrat peuvent être soumis à des contrôles d'exportation aux États-Unis et à la législation commerciale d'autres pays. Vous acceptez de vous conformer à toutes les réglementations de contrôle des exportations et à vous procurer les licences requises ou la classification permettant d'exporter, de réexporter ou d'importer des biens de consommation. Vous acceptez de ne pas procéder à des exportations ou à des réexportations vers des entités figurant sur les listes d'exclusion d'exportation en vigueur aux États-Unis ou vers des pays terroristes ou soumis à un embargo par la législation américaine en matière d'exportations. Vous acceptez de ne pas utiliser les produits livrables pour le développement prohibé d'armes nucléaires, de missiles ou chimiques et biologiques. Reportez-vous à la page Web des services de commerce international de Novell pour plus d'informations sur l'exportation des logiciels Novell. Novell décline toute responsabilité dans le cas où vous n'obtiendriez pas les autorisations d'exportation nécessaires.
Copyright © 2008 Novell, Inc. Tous droits réservés. Cette publication ne peut être reproduite, photocopiée, stockée sur un système de recherche documentaire ou transmise, même en partie, sans le consentement écrit explicite préalable de l'éditeur.
Novell, Inc. est titulaire des droits de propriété intellectuelle relatifs à la technologie intégrée au produit décrit dans ce document. En particulier, et sans limitation, ces droits de propriété intellectuelle peuvent inclure un ou plusieurs brevets américains mentionnés sur le site Web de Novell relatif aux mentions légales (en anglais) et un ou plusieurs brevets supplémentaires ou en cours d'homologation aux États-Unis et dans d'autres pays.
Pour connaître les marques commerciales de Novell, reportez-vous à la liste des marques commerciales et des marques de service de Novell.
Toutes les marques commerciales de fabricants tiers appartiennent à leur propriétaire respectif.