2006年8月3日
Novell® Identity Managerに関する情報は、次のマニュアルに記載されています。
このマニュアルには、『Identity Managerユーザアプリケーション管理ガイド』の内容に対する更新情報が記載されています。
この文書では、手順に含まれる複数の操作および相互参照パス内の項目を分けるために、ハイフン(-)を使用しています。
商標記号(®、™など)はNovellの商標、アスタリスク(*)は他社の商標をそれぞれ示します。
Identity Manager 3.0.1で解決された問題については、TID 3351724を参照してください。
Identity Manager 3.0.1に必要なコンポーネントは次のとおりです。
表1 Identity Manager 3.0.1のシステム要件
eDirectory 8.7.3 SP8以降、NMAS™のセキュリティアップデートがeDirectoryのパッチ内に含まれなくなりました。NMASのセキュリティアップデートは、Novellのダウンロード用Webサイトから別途ダウンロードする必要があります。
現在eDirectory 8.7.3 SP8以降を使っていて、Identity Manager 3.0.1にアップグレードする場合、チャレンジ/レスポンスなどのパスワード機能を使用するには、NMASの最新のセキュリティアップデートを適用する必要があります。
eDirectory 8.7.3 SP8以降を使用すると共に、ご使用のeDirectoryシステムを次のように変更すると、ログイン処理の応答速度の低下を回避できます。応答速度が低下するのは、処理負荷の高い状態が長時間続いた場合です。
Identity Manager 3.0ユーザアプリケーションをIdentity Manager 3.0.1ユーザアプリケーションにアップグレードするには、次の手順を実行します。
インストールする前に次の作業を行います。
Identity Manager 3.0.1ユーザアプリケーションをインストールします。その際、カスタムインストールモードを使用し、[IDMユーザアプリケーション]チェックボックスと[JBoss]チェックボックスをオンにします。
JBossサーバを起動する前に、jboss/server/<ApplicationName>/workディレクトリを空にしておきます。アップグレード時に発生する、インプロセスリソース要求に関連する問題の詳細については、8.5項を参照してください。
Identity Manager 3.0.1をSLES 10にインストールするとき、次のようなエラーが発生することがあります。
awk: error while loading shared libraries: libdl.so.2: cannot open shared object file: No such file or directory (awk: 共有ライブラリをロードする処理で、エラーが発生しました: libdl.so.2: 共有オブジェクトファイルを開くことができません: このようなファイルまたはディレクトリはありません)
grep: error while loading shared libraries: libc.so.6: cannot open shared object file: No such file or directory (grep: 共有ライブラリをロードする処理で、エラーが発生しました: libc.so.6: 共有オブジェクトファイルを開くことができません: このようなファイルまたはディレクトリはありません)
この問題を回避するスクリプトがNovellから提供されています。 このスクリプトはSLES10-install.shという名前であり、IdmUserApp.binファイルと同じレベルにインストールされます。このスクリプトの引数は、インストーラのバイナリファイルの名前です。
sh SLES10-install.sh installer binary
たとえば、ISO形式のディストリビューションを/tmp/IDM301ディレクトリにアンパックした場合、コマンドラインで次のとおりに入力します。
$ cd /tmp/IDM301
$ sh SLES10-install.sh IdmUserApp.bin
このスクリプトを実行すると、IdmUserApp.binファイル内の環境変数の設定がコメントアウトされます。この環境変数の設定は、SLES 10にインストールするときに発生する共有ライブラリロードエラーの原因となるおそれがあります。環境変数の設定がコメントアウトされた後、インストーラが通常どおりに開始されます。
Identity Managerユーザアプリケーションの[識別セルフサービス]タブで、グループを削除する作業と追加する作業は、続けて行わず、別々の作業として行うべきです。グループを削除する作業と追加する作業を続けて行った場合、[+](追加)ボタンをクリックしたときに、削除したグループ名が引き続き表示されます。
BookmarkPortletポートレット内の[サポート]リンクは機能しません。Novellのサポート用WebサイトのURLは、http://www.novell.com/supportです。
Identity Managerユーザアプリケーションの[チームリソースのリクエスト]ページで、[戻る]ボタンまたは[キャンセル]ボタンをクリックした場合、[受信者]フィールドに直前の値が引き続き表示されます。最新の値を表示するには、ページの左側にあるアクションメニューの[チームリソースのリクエスト]をクリックします。
ユーザアプリケーションで、Mozilla系ブラウザ(Firefox、Netscape、またはMozilla)を使ってユーザAとしてログインし、続いて、同じブラウザのウィンドウをもう一つ開いてユーザBとしてログインした場合、1つ目のウィンドウに戻るとユーザBの情報が表示されます。これは、両方のウィンドウでCookieを共用しており、2つ目のウィンドウを開いたときにCookieの内容が上書きされるからです。この問題はMozilla系ブラウザでのみ発生します。Internet Explorerでは発生しません。
Firefoxを使用している場合、[組織図]ページでHTMLエディタを使っている時に、切り取り操作、コピー操作、または貼り付け操作を行うと、例外が発生する可能性があります。Mozillaではセキュリティ上の理由により、スクリプトからクリップボードを使用することができません。したがってFirefoxでは、[切り取り]、[コピー]、[貼り付け]の各ボタンは無効になっています。
[切り取り]、[コピー]、[貼り付け]の各ボタンを有効にするには、次の手順を実行します。
Firefoxで、[ツール]メニューの[拡張機能]をクリックし、拡張機能ダウンロード用Webサイトを開きます。このサイトで、AllowClipboard Helperという拡張機能をダウンロードします。
ダウンロードすると、Firefoxの[ツール]メニューに[AllowClipboard Helper]というコマンドが表示されます。
このコマンドをクリックして[AllowClipboard Helper]ウィンドウを開き、クリップボードの使用権限を付与したいサーバのアドレスを入力し、[Allow]をクリックします。
サーバは、必要なだけ追加できます。Firefoxのすべてのウィンドウをいったん閉じてから、Firefoxを再起動します。これで、Firefoxで切り取り/コピー/貼り付けの各操作を実行できるようになります。
Identity Managerユーザアプリケーションにログインしたとき、左側のアクションメニューに、ユーザを作成するためのリンクがあります。ユーザを作成するには、ディレクトリにエントリを追加するためのeDirectory権利を持っている必要があります。Identity Managerユーザアプリケーションには既存のeDirectoryユーザが登録されているので、それらのユーザはすでに必要な権利を持っています。
新規ユーザにeDirectory権利を付与するには
iManagerで、[オブジェクトの表示]をクリックします。
ユーザコンテナが含まれているオブジェクト(例: MySample.novell)を探して選択し、[トラスティの変更]をクリックします。
トラスティ(例: MySample.novell)を追加し、割り当てられている権利を変更します。
[Entry Rights (エントリ権)]の下の[作成]を選択します。その他のフィールドはデフォルト値のままにし、[保存]をクリックします。
これで、users.MySample.novellコンテナ内の全ユーザが、そのMySampleエンティティ内にユーザまたはグループを作成できるようになりました。
ユーザアプリケーションでは現在のところ、ユーザのリストに対してリソースを要求することはできません。[チームリソースのリクエスト]ページには、ユーザのリストに対してリソースを要求できる、という内容のテキストが表示されます。このテキストとは、「リソースをリクエストしているユーザ(選択したリソースに[複数の受信者を許可]とマークされている場合は複数のユーザを選択可能)を選択します」です。この機能は、今回のリリースではまだサポートされていません。
Internet Explorer 6.xを使用している場合、GroupWiseWebAccessポートレットを使ってGroupWise® 7.0サーバにアクセスし、[カレンダ]タブをクリックすると、エラーメッセージが表示されます。Firefoxを使用している場合は、エラーは発生しません。この問題は、GroupWise 7.0.1で解決されました。
テーマに対して指定した背景イメージが、指定直後に画面から消えます。この問題は、[参照]をクリックして背景イメージ場所を探して選択した場合でも、直接入力した場合でも、発生します。
この現象を再現するには、次の手順を実行します。
[管理]タブの[テーマ]サブタブを開き、[ブランディングのカスタマイズ]リンクをクリックします。クリックする[ブランディングのカスタマイズ]リンクは、どのテーマに対するものでもかまいません。
[背景イメージの場所]ボックスで、[参照]をクリックしてJPGファイルを探して選択するか、またはJPGファイル名を直接入力します。
JPGファイルを選択します。
選択した背景イメージが徐々に画面から消えます。修正後のテーマは保存されますが、[背景イメージ]フィールドには何も表示されません。
Novell Linux Desktop (NLD)では、[組織図]ページを初めて開いたときに、表示上の軽微な問題が発生する可能性があります。ユーザ検索を初めて実行したとき、左向きのルートノードアイコンが、ページ中央部の、ユーザとずれた位置に表示されることがあります。2回目以降は、このアイコンは正しい位置に表示されます。
ユーザアプリケーションを使用する場合、ブラウザの設定でCookieを有効にする必要があります。
ユーザアプリケーションでサポートされている文字は、iManagerと同じです。特殊文字のエスケープについては、iManagerのオンラインマニュアルの「Special Characters」を参照してください。
あるユーザがユーザアプリケーションにログインした後、ブックマークまたは履歴を使ってIDM Loginポートレットまたはログインページをロードし、再度ログインしようとした場合、その2回目のログインでは、新しいポータルセッションが正しく確立されません。そのため、2回目のログインが失敗する可能性があります。
管理者は、新規ユーザに対する初期パスワードを期限切れに設定できるようになりました。期限切れに設定するには、『Identity Managerユーザアプリケーション管理ガイド』の説明に従ってCreatePortletポートレットの設定情報を指定します。
[初回ログイン時にパスワードを有効期限切れにしますか?]で値を選択します。
完成したワークフロー情報の保持期間のデフォルト値は120日です。ただし、ワークフローエンジンに対するSOAPインタフェースを使用すれば、この設定値を変更できます。ワークフローエンジンに対するSOAPインタフェースを使用するには、ブラウザで次のURLを入力します。
http://server:host/IDMProv/provisioning/service?test
呼び出し可能なワークフローエンジンメソッドが一覧表示されるページが開くので、setCompletedProcessTimeoutメソッドを選択します。このメソッドに渡すパラメータ値によって、保持期間が変わります。パラメータ値の単位はミリ秒です。
『Identity Manager 3.0インストールガイド』の5.4「ユーザアプリケーションのインストール」にある[ICS Logout Page]フィールドの説明を次のとおりに訂正します。
誤: 「iChain®ログアウトページへのURLです。」 正: 「iChainログアウトページへのURLです。ここでURLはiChainに必要なホスト名です。」
また、Identity ManagerユーザアプリケーションでICSログアウトを有効にするには、次の手順を実行し、iChainのCookie転送オプションを有効にする必要があります。
iChain Web管理コンソールで、当該アクセラレータに対する[Modify]をクリックします。
[iChain Web Server Accelerator Wizard]ウィンドウで、[Enable Authentication]チェックボックスをオンにして、[Authentication Options]ボタンをクリックします。[Add Authentication Profiles]ダイアログボックスが開きます。
[Forward iChain Cookie to web server]チェックボックスをオンにして、[OK]をクリックします。ヘッダ内にそのCookieがある場合、Identity Managerに対して、configupdate.sh内で指定されているURLにリダイレクトすることが通知されます。
ワークフローの共通名の中で単一引用符が使われている場合、そのワークフローはeDirectoryイベントからトリガされません。ワークフローの共通名の中で、単一引用符を使わないでください。
Identity Manager 3.0.0からIdentity Manager 3.0.1にアップグレードした後、未完了タスクが表示されないことがあります。この問題を回避するには、Identity Manager 3.0.1をインストールする前に次の手順を実行します。
JBossアプリケーションサーバを停止し、 jboss/server/IDMProv/workディレクトリを削除します。
Identity Manager 3.0.1をすでにインストールしている場合は、JBossアプリケーションサーバを停止し、jboss/server/IDMProv/workディレクトリを削除します。
JBossアプリケーションサーバを稼動させたまま、 jboss/server/IDMProv/workディレクトリを削除してはいけません。
『Identity Managerユーザアプリケーション管理ガイド』には、Identity ManagerユーザアプリケーションのパスワードをiManagerのパスワードポリシーに合わせることに関する情報が欠落しています。
19.3.1項および19.7.1項に、ユニバーサルパスワード要件に関する説明を追加する必要があります。追加する文章は、「ユニバーサルパスワードが有効になっている場合、iManagerを開いて[パスワード]-[パスワードポリシー]-[ユニバーサルパスワード]-[環境設定オプション]の順に選択し、[既存のパスワードがパスワードポリシーに従っているかどうかを検証する(検証はログイン時に実行)]を選択します。」です。
16.2.1項に、Container for Createプロパティに関する説明を追加する必要があります。追加する文章は、「CreatePortletポートレットを使って作成したユーザを特定のiManagerパスワードポリシーに割り当てたい場合、指定コンテナも同じiManagerパスワードポリシーに割り当てます。これにより、ユーザアプリケーションで作成されたユーザは、デフォルトのiManagerパスワードポリシーに自動的に割り当てられるようになります。」です。
Identity Managerのインストール時に使用するアカウント対するパスワードの中で特殊文字が使われている場合、スキーマを拡張できないことがあります。別のアカウントを使用するか、パスワードを変更する必要があります。
ユーザアプリケーションサーバ(JBossサーバ)上でユーザアプリケーションのログインページを開いているときに、[パスワードを忘れましたか?]リンクをクリックして[IDMパスワードを忘れた場合]ページを開き、ユーザ名を入力した場合、JBossコンソールに次のようなエラーメッセージが表示され、リダイレクトされないことがあります。
08:59:17,962 ERROR [EboPortletProxyHelper] The portlet entity does not exist com.novell.afw.portal.aggregation.EboPortletInfoBean: id [portal-general] iid [-1] timeout [-1] multithread [false]
このエラーが発生するのは、ForgotPasswordPortletポートレットのldap-sslport設定において、ご使用のLDAPサーバのセキュリティ保護された接続用のポート番号ではなく、デフォルトのTLS (ldaps) ポート番号である「636」を指定しているためです。 おそらくeDirectory管理者が、eDirectoryインスタンスのセキュリティ保護されたLDAPポート番号を、デフォルト値以外のポート番号に変更しています。eDirectory管理者がLDAPポート番号を変更するケースとしては、eDirectoryを他のLDAP対応システム(例: Active Directory*)と同じコンピュータ上で実行している場合が考えられます。
セキュリティ保護されたLDAP (TLS)に対して「636」以外のポート番号が設定されている場合、ForgotPasswordPortletポートレットのldap-sslport設定の値を、セキュリティ保護されたLDAP用のポート番号に変更します。変更手順は次のとおりです。
ユーザアプリケーションを開きます。
[管理]タブの[ポートレット管理]サブタブを開き、左のツリーで[ForgotPasswordPortlet]-[<ForgotPasswordPortletのインスタンス>]-[初期設定]の順に選択します。
ldap-sslportの値をデフォルトの「636」から、ご使用のLDAPサーバのセキュリティ保護された接続用のポート番号に変更します。
並行処理を使用しているプロビジョニングワークフローでは、ある承認アクティビティに対する宛先が、そのワークフロー内の別の承認アクティビティに対する宛先を指さないようにする必要があります。なぜかというと、アクティビティが並行処理されているため、"どのステップが先に実行されるか" がワークフローエンジン側で認識されないからです。また、iManagerのプロビジョニング要求環境設定プラグインでは、任意の時点でどの宛先を許可すべきかを判断できません。指定可能な宛先を限定するには、このプラグインがワークフローを解析し、完了済み上流アクティビティのリストを取得する必要があります。このプラグインでは、この機能はまだサポートされていません。
デフォルト設定で、JBossディレクトリをブラウズできます。したがって、「http://server:8080/IDMProv/resources/」というURLを入力した場合、このURLにあるリソースが一覧表示されます。
ディレクトリのブラウズを無効にしたい場合は、 jboss-4.0.2\server\IDM-Application Context\deploy\jbossweb-tomcat55.sar\confフォルダにあるweb.xmlファイルを開き、listingsエントリの記述を修正します。
<servlet>
<servlet-name>default</servlet-name>
<servlet-class>org.apache.catalina.servlets.DefaultServlet</servlet-class>
<init-param>
<param-name>debug</param-name>
<param-value>0</param-value>
</init-param>
<init-param>
<param-name>listings</param-name>
<param-value>true</param-value>
</init-param>
<load-on-startup>1</load-on-startup>
</servlet>
リソースを表示しないようにするには、listingsエントリの値をtrueからfalseに変更します。
ユーザアプリケーション内の各種サブシステムにおけるサービスに対するconfi.xmlファイル内に、期限切れのバージョン番号が記述されていることがあります。これらの期限切れバージョン番号を修正する必要はありません。
たとえば、IDMfw.jarファイル内にはFrameworkService-conf\config.xmlというファイルがあり、このファイルにはバージョン番号に関する次のエントリが記述されています。
<property>
<key>FrameworkService.version</key>
<value>040712, Version 5.2.1</value>
</property>
iManagerに対するプロビジョニング要求環境設定プラグインでは、あるワークフローアクティビティを元の宛先のマネージャに転送するための、昇格ポリシーを定義できます。
元の宛先が、マネージャが複数設定されているタスクグループである場合、昇格は失敗します。プロビジョニング要求環境設定プラグインでは、仕様上このような種類の昇格でも定義できてしまうので、ユーザは、このような昇格を定義しないように注意する必要があります。
Linuxのデフォルトの最大ファイルオープン数のままでは、SOAP Webサービス経由で大量の要求が入ってきたときにさばききれません。Webサービスのエンドポイントを使って、ディレクトリイベントの発生に応じてワークフローをトリガする場合、ユーザアプリケーション用ドライバがこの最大ファイルオープン数に達する可能性があります。
Linuxでのデフォルトの最大ファイルオープン数は、プロセスあたり1,024です。デフォルト設定でJBossサーバを起動した場合、SOAP Webサービスインタフェース経由で40~45個以上の要求が連続的に入ってきたときに、エラーが発生する可能性があります。最大ファイルオープン数に達すると、数分間にわたって新しい要求が受け付けられなくなる可能性があります。場合によっては、JBossサーバを再起動する必要があります。
この問題を回避するには、最大ファイルオープン数を1,024から4,096に増やします。
バッシュを使っている場合は、次のコマンドを実行して、最大ファイルオープン数を増やします。
su - root ulimit -n 4096 su - <user> start-jboss.sh
Cシェルを使っている場合は、次のコマンドを実行して、最大ファイルオープン数を増やします。
su - root limit descriptors 4096 su - user start-jboss.sh
ユーザアプリケーション用ドライバには、アプリケーション固有のさまざまな情報(例: ワークフロー環境設定情報、クラスタ情報)が保持されています。したがって、ユーザアプリケーション用ドライバの1つのインスタンスを複数のアプリケーション間で共有すべきではありません。
ユーザアプリケーションには、アプリケーション環境を制御および設定するためのアプリケーション固有データが保持されます。たとえば、JBossアプリケーションサーバのクラスタ情報や、ワークフローエンジン環境設定情報などが保持されます。1つのJBossクラスタは、ユーザアプリケーション用ドライバの1つのインスタンスを共有するユーザアプリケーションだけで構成されるべきです。同じJBossクラスタ上にないユーザアプリケーション間で、ユーザアプリケーション用ドライバの1つのインスタンスを共有すべきではありません。共有した場合、そのユーザアプリケーション内で実行される1つ以上のコンポーネントに対して、あいまいさや環境設定上の不具合が発生するおそれがあります。
Identity Managerユーザアプリケーションのインストールプログラムで、アプリケーションに対するルートコンテナ識別名、ユーザコンテナ識別名、およびグループコンテナ識別名を指定できます。このリリースでは、eDirectory内のツリーのルートをルートコンテナとして指定することはできません。また、特定のオブジェクトタイプ(コンテナ、ユーザ、またはグループ)に対する検索ルートを複数個指定することもできません。検索スコープは1つだけ指定してください。
なお、組織(o)を国(c)または地域(l)の中に含めることができます。次に例を示します。
c=US o=novell-provo o=novell-waltham
この種の環境設定は正しく機能します。
ユーザアプリケーション用ドライバの2つのインスタンスが同じユーザコンテナを指している場合、ユーザアプリケーションの[編集可用性]ページに表示される作業不能条件の設定値は、両方のアプリケーションの作業不能条件エントリを示します。
例を示します。サーバ1があるドライバを使用するように設定されており(例: driver1,o=novell)、サーバ2が別のドライバを使用するように設定されています(例: driver2,o=novell)。また、両方のサーバが、同じユーザコンテナ、グループコンテナ、およびルートコンテナを使用するように設定されています(例: ou=users,o=novell)。サーバ1上のユーザが、あるユーザ(以降、「ユーザA」とする)に対する委任定義、およびプロビジョニング要求定義を作成します。その後ユーザAが、そのプロビジョニング要求定義に対して作業不能とマークされます。サーバ2では、ユーザAは作業不能として表示されますが、プロビジョニング要求定義に対するフレンドリ名は解決されません。サーバ2上でのユーザAの委任定義を確認したとき、サーバ1上での委任定義は表示されません。
このような現象が発生するのは、(ユーザが自分自身を作業可能または作業不能としてマークしたときに作成される)委任情報がユーザレコードに保持されるからです。この委任情報の内容は、委任先/委任元情報、プロビジョニング要求定義、および委任開始/終了日時です。委任情報の派生元である委任定義は、プロビジョニング要求定義とともに、ドライバに保持されます。
ユーザアプリケーション用ドライバの2つのインスタンスが同じユーザコンテナを指さないように、設定すべきです。
あるクラスタ内のユーザアプリケーションサーバに対するログ記録設定情報を変更した場合、その変更内容はそのクラスタ内の他のサーバに反映されません。たとえば、あるクラスタ内のあるサーバ上で、[管理]タブの[ログ]サブタブでcom.novell.afw.portal.aggregationに対するログ記録レベルとして[トレース]を選択した場合、この設定情報はそのクラスタ内の他のサーバに反映されません。この問題を回避するには、クラスタ内の各サーバで、ログ記録レベルを個別に設定する必要があります。
ユーザアプリケーション用ドライバでワークフロー属性リストが参照されるのは、起動時です。プロビジョニング要求定義を新規に作成した後すぐにスキーママッピングポリシーを作成しようとした場合、アプリケーションスキーマのリフレッシュ後、その新しいプロビジョニング要求定義に対する属性は、アプリケーション属性リストに表示されません。これは、ユーザアプリケーション用ドライバを再起動してからでないと、新しいプロビジョニング要求定義が有効にならないからです。プロビジョニング要求定義を新規に作成した後、そのプロビジョニング要求定義をポリシーの中で使用するには、ユーザアプリケーション用ドライバをいったん停止してから再起動してください。あるいは、スキーママッピングポリシーエディタで、アプリケーションスキーマを2回リフレッシュしてください。
クラスタ内でワークフローを実行する際、各サーバのワークフローエンジンに一意のIDを設定する必要があります。このワークフローエンジンIDは、-Dcom.novell.afw.wf.engine-idをJava VMに渡すことによって識別されます。Linuxの場合、ユーザはjboss/bin/run.confファイル内の「JAVA_OPTS」の行で、この値を渡す必要があります。次に例を示します。
if [ "x$JAVA_OPTS" = "x" ]; then JAVA_OPTS="-server -Xms800m -Xmx800m -Dcom.novell.afw.wf.engine-id=echo"
インストールプログラムでは、ワークフローエンジンIDの入力を求められません。 したがって、上述のようにJAVA_OPTSプロパティを渡すことによって、エンジンを識別する必要があります。
MySQLにおけるデフォルトの最大接続数は100です。この値は、クラスタ内のワークフロー要求をさばくには小さすぎる場合があります。この値が小さすぎる場合、次の例外が発生することがあります。
(java.sql.SQLException: Data source rejected establishment of connection, message from server: "Too many connections.")
最大接続数を増やすには、my.cnfファイル内でmax_connections変数の値を設定します。
DetailPortletポートレットのヘッダに画像を表示する方法を変更するために、$IMG:タグを指定した場合、変更内容を有効にするには、CompiledLayouキャッシュをフラッシュする必要があります。キャッシュをフラッシュするには、次の手順を実行します。
ユーザアプリケーションの[管理]タブを開きます。
[キャッシング]サブタブを開きます。
[キャッシュをフラッシュ]ボックスの一覧で[CompiledLayout]を選択します。
[キャッシュをフラッシュ]ボタンをクリックします。
[識別セルフサービス]タブの[ユーザの編集]パネルを使用できるユーザは、組織階層に変更を加えることができます。たとえば、あるマネージャを所属組織内の特定の人の部下にするように、組織階層を変更することができます。
[管理]タブの[ツール]サブタブを開いて[ポータルデータインポート]リンクをクリックし、ポータルデータインポートユーティリティを開いて実行すると、ポータルデータエクスポートユーティリティで作成されたZIPファイル内のshared-pages.xmlファイルとcontainer-pages.xmlファイルに基づいて、コンテナページ、共有ページ、およびポートレットが生成されます。なお、<description/> 要素が空の場合は、ページをインポートできません。
この問題を回避するには、<description/> 要素に対するテキストを入力し、インポート処理を再実行します。
『Identity Managerユーザアプリケーション管理ガイド』には、JBossの環境設定について簡単に説明しています。JBossのセットアップに関する詳細情報については、次の情報源を参照してください。
iManagerのプロビジョニング要求環境設定プラグインを使用するには、プロビジョニング要求オブジェクトの属性に対する読み込み権と書き込み権が必要です。
デフォルトでは、ユーザアプリケーションの文字エンコードフィルタは、ユーザアプリケーションのweb.xmlファイル内で有効になるように設定されています。このデフォルト設定では通常、特別な環境設定を行う必要はありません。ただし、URIエンコードを行うようにTomcatを環境設定している場合は、環境設定を修正する必要があります。Tomcatのhttp/httpsコネクタに対する環境設定情報の中で、文字セットのエンコード設定とフィルタ設定に影響を及ぼす属性は、URIEncodingおよびuseBodyEncodingForURIの2つです。
このエントリは、URLをデコードする%xxに続く、URIバイトのデコードに使われる文字エンコード方式を示します。この属性の値を指定しなかった場合、ISO-8859-1が使われます。httpコネクタとhttpsコネクタの環境設定情報は、同じでなければなりません。また、filterエントリ内のinit-paramエントリにuri-encodingパラメータを追加すべきです。また、このパラメータの値は、Tomcatのコネクタ設定におけるURIEncoding属性の値と同じにすべきです。
<filter>
<filter-name>AggregationServletEncFilter</filter-name>
<display-name>AggregationServletEncFilter</display-name>
<filter-class>com.novell.afw.portal.l18n.CharacterEncodingFilter</filter-class>
<init-param>
<param-name>uri-encoding</param-name>
<param-value>UTF-8</param-value>
</init-param>
</filter>
このエントリは、「URIEncodingを使う代わりに、contentTypeで指定されたエンコード方式をURIクエリパラメータに対して使うべきかどうか」を示します。このエントリは、Tomcat 4.1.xとの互換性を確保する目的で用意されているものであり、エンコード方式は、contentTypeで指定するか、または、URLのパラメータに対するRequest.setCharacterEncodingメソッドを使って明示的に指定します。デフォルト値は「false」です。
useBodyEncodingForURIがtrueに設定されている場合、filterエントリ内のinit-paramエントリにuse-body-encodingパラメータを追加すべきです。次に例を示します。
<filter>
<filter-name>AggregationServletEncFilter</filter-name>
<display-name>AggregationServletEncFilter</display-name>
<filter-class>com.novell.afw.portal.l18n.CharacterEncodingFilter</filter-class>
<init-param>
<param-name>use-body-encoding</param-name>
<param-value>true</param-value>
</init-param>
</filter>
詳細については、Tomcatのコネクタの環境設定情報に関するWebサイトを参照してください。
DNDisplayフォームコントロールを使って、プロビジョニング要求内のApproval Formに対するPre-Activity Mapにデータを配置した場合、次のエラーが発生します。
エラーメッセージ: Index:0, Size:0
この問題が解決しない場合は、このエラーメッセージとエラーログをコピーし、システム管理者に送信してください。 [エラーログ]リンクをクリックすると、発生したIndexOutOfBoundsExceptionの詳細情報が表示されます。
この問題を回避するには、DNDisplayフォームコントロールではなくDNLookupフォームコントロールを使用します。DNLookupに関する次のプロパティを[False]に設定してください。
この2つのフォームコントロールは、外観は異なりますが機能は同じです。
DirXML-EntitlementResultという複数値属性の処理方法が変更されました。今までは、エンタイトルメント結果はパージされませんでした。今回のリリースのデフォルト設定では、処理後にエンタイトルメント結果がパージされるように変更されました。
このデフォルトの処理を変更することもできます。つまり、エンタイトルメント結果をパージするかどうか、および、パージ方法を指定できます。
iManagerで、ご使用のユーザアプリケーション用ドライバに対する[Identity Managerドライバの概要]ページを開きます。
[イベント変換ポリシー]をクリックします。
ご使用のユーザアプリケーション用ドライバに対する[Manage Modify]ポリシーをクリックし、[編集]をクリックします。
[Set Entitlement Purge Type]をクリックします。
[Do append XML text]アクションの[文字列を入力]フィールドで、次のいずれかを指定します。
[currnet]: ユーザアプリケーション用ドライバに通知した後、イベントを発生させたエンタイトルメント結果を削除します。これはデフォルトの処理です。この処理は、エンタイトルメントのパージタイプが設定されていない場合、および、設定されたエンタイトルメントパージタイプが無効である場合にも使われます。
[none]: エンタイトルメント結果をパージしません。
[previous]: イベントを発生させたエンタイトルメント結果は削除せず、以前のエンタイトルメント結果があればそれを削除します。
[notnewer]: イベントを発生させたエンタイトルメント結果、および以前のエンタイトルメント結果を削除します。これにより、イベントを発生させたエンタイトルメント結果の後に作成されたエンタイトルメント結果が保持されます。
補助クラスを含むディレクトリ抽象化レイヤエンティティを定義する際、「そのエンティティがユーザアプリケーションによって作成または更新されたときに、そのエンティティ定義内で指定されているすべての補助クラス関連付けがオブジェクトインスタンスに追加される」という点に留意してください。エンティティ定義内の補助クラスに必須属性が設定されている場合、スキーマ違反が発生する可能性があります。このスキーマ違反は、ユーザアプリケーション内では汎用NDS例外(「NDSエラー: 必須属性がありません(-609)」)として表示されます。
ユーザアプリケーションにこのエラーメッセージが表示されないようにするには、その必須属性の[Require (必須)]プロパティを選択します。このプロパティを設定するには、ディレクトリ抽出化レイヤエディタでその属性を編集します。
デフォルトでは、サーバのセッションタイムアウト値は20分です。このセッションタイムアウト値は、アプリケーションが実行されるサーバと使用環境に合わせて調整すべきです。一般にセッションタイムアウト値は、実用上問題のない範囲でできるだけ小さくすべきです。セッションタイムアウト値を5分に設定しても業務上支障がない場合、サーバでは、デフォルト値をそのまま使った場合よりも早く未使用リソースを解放できます。この結果、サーバでの処理時間が短縮され、また、サーバの拡張性が高まります。
ただし、次の点に留意してください。
セッションタイムアウト値は、web.xmlファイル内で設定します。
ユーザの操作に対するtimeout属性を指定する場合、属性値として、数値(単位は指定可能)を直接指定することも、数値を求める式(単位はミリ秒)を指定することもできます。式で指定する場合、その式はjava.lang.Numberのインスタンスを返す必要があります。
例:
プロビジョニング要求定義内で電子メール通知を有効にしたが、どの電子メールサーバに対しても必要な環境設定をしていない場合、大量の電子メール通知が、送信されないままサーバに蓄積され続けます。この結果、最終的にそのサーバのメモリが使い尽くされます。
電子メール通知を有効にする場合は、電子メールメッセージが実際に送信されるように、電子メールサーバを環境設定する必要があります。電子メールサーバを環境設定するには、iManagerで[ワークフロー管理]リンクの下の[電子メールサーバオプション]リンクをクリックします。
デフォルトでは、JBoss配備スキャナは5秒間隔で実行されます。運用環境では、一般にJBoss配備スキャナは不要であり、パフォーマンスに悪影響を及ぼすおそれがあります。したがって、JBoss配備スキャナを無効にすることを検討すべきです。
運用環境での調整に関する詳細については、JBossのWebサイトを参照してください。
電子メールクライアントソフトウェアとしてWindows版GroupWise MailまたはOutlook* Clientを使用している場合における、HTMLのmailto:コマンドで指定されている件名を表示する処理に、既知のバグがあります。このバグが表面化するのは、ブラウザで中国語、日本語、韓国語などの2バイト文字セット言語を使っている場合です。
この場合、[DETAIL]ページで識別情報を送信する際、[件名]ボックスに無効な文字が表示されます。なぜかというと、これらの電子メールクライアントソフトウェアでは、2バイト文字が正しくエスケープ解除されないからです。
このバグにより、「ローカライズ先言語で表示されるUIと英語で表示されるUIが混在する」などの不具合が生じる可能性があります。
この問題を回避するには、ブラウザの言語とIdentity Managerの優先ロケールを一致させます。Firefoxの場合は、最優先言語を設定します。Internet Explorerの場合は、最高優先度言語を設定します。次に、iManager、またはIdentity Managerユーザアプリケーションの[ユーザの編集]パネルで、優先言語を変更します。
入力文字セットまたは出力文字セットのエンコード方式を、入力元アプリケーションまたは出力先アプリケーションで使われるエンコード方式と一致させるべきです。選択された出力先で表示できない文字は、疑問符(?)に置換されます。
ローカライズ版オペレーティングシステム環境で(LDAPの設定を行うために)ユーザアプリケーション環境設定ツールを実行した場合、テキスト入力ボックス内の文字は正しく表示されます。たとえば、eDirectory内に中国語文字の識別名がある場合や、中国語文字を入力した場合、それらの文字は、中国語版オペレーティングシステム環境で正しく表示されます。一方、英語版オペレーティングシステム環境では、入力した中国語文字やeDirectoryから返された中国語文字は、文字化けします(多くの場合、四角形の記号で表示される)。これは、ロケールが正しく設定されていないからです。
英語版オペレーティングシステム環境でローカライズ先言語文字を表示するには、次の手順を実行します。
Windows 2000環境: コントロールパネルを開いて[地域のオプション]アイコンをクリックします。[全般]タブの[ロケール(国または地域)]ボックスの一覧で、自国の言語(例: [中国語(中国)])を選択します。
Windows 2003環境: コントロールパネルを開いて[地域のオプション]アイコンをクリックします。[地域のオプション]タブで自国の言語(例: [中国語(中国)])を選択し、変更内容を適用します。
SUSE Linux環境: 環境変数LANGを設定します(例: export LANG=zh_CN)。
上記の手順は、どの言語にも当てはまります。
MessagePortlet、HTML、RSS News Feed、Shortcutの各アクセサリポートレットは、ローカライズされていません。また、HTMLEditorPortletポートレットのヘルプセクションもローカライズされていません。
[管理]タブの[ポートレット管理]サブタブにある[カテゴリ]タブに表示されるポートレットカテゴリ説明の中で、エスケープ文字が使われています(大なり記号および小なり記号を囲むバックスラッシュ)。
[管理]タブの[ページ管理]サブタブの[コンテンツ初期設定]ダイアログボックスでは、「Changes have been made to your Selected Content. Click OK to save your changes or cancel to continue without saving.」という文章が常に英語で表示されます。
2バイト文字(例: 中国語、日本語)が含まれている電子メールメッセージをIdentity Managerから送信した場合、電子メールクライアントソフトウェア側でそれらの文字が正しく表示されないことがあります。この問題が発生した場合は、Novellテクニカルサポートに問い合わせてください。
iManagerでローカライズ版電子メールテンプレートを追加するには、次の手順を実行します。
iManagerにログインします。
[役割およびタスク]の下の、[パスワード]または[ワークフロー管理]を展開表示します。
[パスワード]を展開表示した場合は[電子メールテンプレートの編集]リンクをクリックします。[ワークフロー管理]を展開表示した場合は[電子メールテンプレート]リンクをクリックします。
コピーしたい電子メールテンプレート(テンプレート名の中にロケールが含まれていないもの)を探します。テンプレート名をメモしておきます(ステップ5で使用するため)。そのテンプレートをクリックして開き、[件名]ボックス、[メッセージ本文]ボックス、および[置換タグ]ボックスの内容を確認します。作成したいテンプレートの中で使いたい、件名、メッセージ本文、および置換タグをコピーします(件名とメッセージ本文は、作成時に翻訳する)。[キャンセル]をクリックします。
[作成]ボタンをクリックし、ロケール拡張部の付いたテンプレート名を指定します。たとえば、ドイツ語版のForgot Hintテンプレートを作成するには、「Forgot Hint_de」と入力します。末尾の「_de」はドイツ語を意味します。[OK]をクリックします。
2文字の言語コードと2文字の国コードを使用した場合、このテンプレートは予期したとおりに動作します。バリアント付きロケール(例: en_US_TX)を使おうとした場合、バリアントと言語だけが指定されていると見なされます。このリリースでは、電子メールテンプレートの名前を付ける際に、ロケールバリアントを使用しないでください。
テンプレート一覧で、新規に作成したテンプレート(例: Forgot Hint_de)をクリックし、件名とメッセージ本文をローカライズ先言語(例: ドイツ語)で入力します。メッセージ本文内の、ドル記号($)で囲まれた置換タグは、そのまま維持してください。
[追加]をクリックして置換タグを入力するか、または置換タグを貼り付け、[OK]をクリックします。
[適用]をクリックし、続いて[OK]をクリックします。
電子メール送信先ユーザに対して優先ロケールが設定されている場合、そのロケールに合わせて適切にローカライズされているコンテンツだけが送信されます。
iManagerで編集作業を実行し、Designer for Identity Managerで展開された特定のプロビジョニング要求にその編集内容を保存しようとすると、NullPointerReference例外が発生する可能性があります。
この問題が発生するワークフローに対して、Designer for Identity Managerを使ってすべての環境設定を行ってください。
この問題を解決するには、NMAS 2.3.9にアップグレードしてください。
NDS to NDS間ドライバ証明書ウィザードを使いたい場合、iManagerのCertificate Serverプラグインをダウンロードしてインストールする必要があります。
区切りテキストドライバで設定する入力文字セットまたは出力文字セットのエンコード方式を、入力元アプリケーションまたは出力先アプリケーションで使われるエンコード方式と一致させてください。一致していない場合、アイデンティティボールトまたはアプリケーションで、エラーが発生したりデータが破損したりする可能性があります。選択された出力先で表示できない文字は、疑問符(?)に置換されます。
MySQLデータベースに対してUnicode以外の文字コードを設定した場合、次の両方の条件を満たすと、パーサでエラーが発生します。
JDBC*ドライバでは、MySQLサーバ環境設定ファイルの内容に基づいて、ユーザアプリケーション/MySQLサーバとの間でデータを転送する際に使う文字セットが決まります。Identity Managerユーザアプリケーション用のMySQLデータベースでは、エンコード方式としてUTF-8を使う必要があります。また、MySQLサーバ環境設定でもUTF-8を指定すべきです。
ただし、MySQLサーバの環境設定においてUTF-8以外のエンコード方式のままにしておく必要がある場合は、正しいエンコード方式を使うようにJDBCドライバを設定する必要があります。このように設定するには、ユーザアプリケーションとともに展開されるmysqlds.xmlファイル内のJDBC接続定義に、接続パラメータを追加します。
ユーザアプリケーション用のデータベースを作成します。デフォルトのエンコード方式である「UTF8」、およびデフォルトのMySQL接続照会順序である「utf8_bin」を使用します。
create database [database-name] character set utf8 collate utf8_bin;
構文の詳細については、http://dev.mysql.com/doc/refman/5.0/en/createdatabase.htmlを参照してください。
DMProv.warファイルまたはIDM.warファイルと一緒に展開されるmysql-ds.xmlファイル内の、<connection-url>要素の内容を修正します(このファイルの場所の例: jboss-4.0.3.SP1/server/idm/deploy/mysql-ds.xml)。
修正前:
<connection-url>jdbc:mysql://[host]:3306/database-name]</connection-url>
修正後:
<connection-url>jdbc:mysql://[host]:3306/database-name]?useUnicode=true&characterEncoding=utf8&connectionCollation=utf8_bin</connection-url>
[host]は使用するデータベースサーバホスト、[database-name]は使用するデータベースの名前です。
MySQL接続パラメータについては、http://dev.mysql.com/doc/refman/5.0/en/cj-configuration-properties.htmlを参照してください。
複数のプロビジョニング要求定義を同時に編集すると、一方で入力した内容がもう一方に表示されることがあります。この問題が発生するのは、DataItem MappingビューまたはEmail Notificationビューを使用している場合です。この問題を回避するには、プロビジョニング要求定義を同時に複数個編集しないようにします。
Designerに関するその他の問題については、『Designer 1.2 Readme』を参照してください。このReadmeは、Designer製品に付属しています。また、Novell Designer for Identity ManagerのWebサイトでも入手できます。
米国Novell, Inc.およびノベル株式会社は、本書の内容または本書に起因する結果に関して、いかなる表示も行いません。また、本書の商品性、および特定用途への適合性について、いかなる黙示の保証も行いません。米国Novell, Inc.およびノベル株式会社は、本書の内容を改訂または変更する権利を常に留保します。米国Novell, Inc.およびノベル株式会社は、このような改訂または変更を個人または事業体に通知する義務を負いません。
米国Novell, Inc.およびノベル株式会社は、ノベル製ソフトウェアの使用に起因する結果に関して、いかなる表示も行いません。また、商品性、および特定目的への適合性について、いかなる黙示の保証も行いません。米国Novell, Inc.およびノベル株式会社は、ノベル製ソフトウェアの内容を変更する権利を常に留保します。米国Novell, Inc.およびノベル株式会社は、このような変更を個人または事業体に通知する義務を負いません。
本契約の締結に基づいて提供されるすべての製品または技術情報には、米国の輸出管理規定およびその他の国の貿易関連法規が適用されます。お客様は、取引対象製品の輸出、再輸出または輸入に関し、国内外の輸出管理規定に従うこと、および必要な許可、または分類に従うものとします。お客様は、現在の米国の輸出除外リストに掲載されている企業、および米国の輸出管理規定で指定された輸出禁止国またはテロリスト国に本製品を輸出または再輸出しないものとします。お客様は、取引対象製品を、禁止されている核兵器、ミサイル、または生物化学兵器を最終目的として使用しないものとします。本ソフトウェアの輸出については、www.novell.co.jp/info/exports/expmtx.htmlまたはwww.novell.com/ja-jp/company/exports/もあわせてご参照ください。弊社は、お客様が必要な輸出承認を取得しなかったことに対し如何なる責任も負わないものとします。
Copyright © 2006 Novell, Inc. All rights reserved.本書の一部または全体を無断で複製、写真複写、検索システムへの登録、転載することは、その形態を問わず禁止します。
米国Novell, Inc.は、本ドキュメントで説明されている製品に組み込まれた技術に関する知的財産権を有します。これらの知的所有権は、http://www.novell.com/company/legal/patents/に記載されている1つ以上の米国特許、および米国ならびにその他の国における1つ以上の特許または出願中の特許を含む場合があります。
Novellの商標については、商標とサービスマークの一覧を参照してください。