Chat now with support
Chat mit Support

Identity Manager 9.0 LTS - Versionshinweise

Versionshinweise

One Identity Manager 9.0

Versionshinweise

08. August 2022, 15:59 Uhr

Diese Versionshinweise stellen Informationen über den One Identity Manager Release Version 9.0 zur Verfügung. Es werden alle Änderungen seit One Identity Manager Version 8.2.1 aufgeführt.

One Identity Manager 9.0 ist ein LTS Release mit neuen Funktionen und verbessertem Verhalten. Siehe Neue Funktionen und Verbesserungen.

VORSICHT: Bevor Sie eine bestehende One Identity Manager Installation auf die Version 9.0 aktualisieren, beachten Sie folgende Hinweise:

  • One Identity Manager 9.0 ist eine Weiterentwicklung der Version 8.2.1. Alle offiziellen Releases der Versionen 8.2.1, 8.1.5 oder älter sind geeignet für die Aktualisierung auf Version 9.0. Die Aktualisierung neuerer Versionen kann zu einem Downgrade führen.

  • Für One Identity Manager 9.0 werden nur ausgewählte, von One Identity definierte Patches zur Verfügung gestellt. Ein Hotfix außerhalb dieser Definition, welcher für eine andere Version zur Verfügung gestellt wurde, wird somit nicht für das Release 9.0 zur Verfügung stehen.

Wenn Sie eine One Identity Manager Version aktualisieren, die älter als One Identity Manager 8.2.1 ist, lesen Sie auch die Versionshinweise der vorangegangenen Versionen. Die Versionshinweise sowie Versionshinweise zu zusätzlichen Modulen, die auf der One Identity Manager-Technologie basieren, finden Sie unter One Identity Manager Support.

Die One Identity Manager Dokumentation liegt sowohl in englischer als auch deutscher Sprache vor. Für die nachfolgend einzeln aufgeführten Dokumente gibt es nur eine englische Fassung:

  • One Identity Manager Password Capture Agent Administration Guide

  • One Identity Manager LDAP Connector for CA Top Secret Reference Guide

  • One Identity Manager LDAP Connector for IBM RACF Reference Guide

  • One Identity Manager LDAP Connector for IBM AS/400 Reference Guide

  • One Identity Manager LDAP Connector for CA ACF2 Reference Guide

  • One Identity Manager REST API Reference Guide

  • One Identity Manager Web Runtime Documentation

  • One Identity Manager Object Layer Documentation

  • One Identity Manager Composition API Object Model Documentation

  • One Identity Manager Secure Password Extension Administration Guide

Die aktuellsten Versionen der Produktdokumentation finden Sie unter One Identity Manager Dokumentation.

Inhalt:

Über One Identity Manager 9.0

One Identity Manager vereinfacht konzernweit den Prozess der Verwaltung von Benutzeridentitäten, Zugriffsberechtigungen und Sicherheitsrichtlinien. Sie ermöglichen den Unternehmen die Kontrolle über Identitätsverwaltung und Zugriffsentscheidungen, während sich die IT-Teams auf ihre Kernkompetenzen fokussieren können.

Mit diesen Produkten können Sie:

  • Gruppenverwaltung mittels Selbstbedienung und Attestierung für Active Directory mit der One Identity ManagerActive Directory Edition umsetzen,

  • Access Governance Anforderungen in Ihrem gesamten Konzern plattformübergreifend mit dem One Identity Manager verwirklichen.

Jedes dieser Szenarien-spezifischen Produkte basiert auf der selben prozessoptimierten Architektur und realisiert, im Gegensatz zu "traditionellen" Lösungen, die wesentlichen Identity- und Access Management Herausforderungen mit einem Bruchteil an Komplexität, Zeitaufkommen und Kosten.

One Identity Starling

Starten Sie Ihr Abonnement in Ihrem One Identity On-Prem-Produkt und verbinden Sie Ihre On-Prem-Lösungen mit unserer Cloud-Plattform One Identity Starling. Ermöglichen Sie Ihrem Unternehmen den sofortigen Zugriff auf eine Reihe von in der Cloud bereitgestellten Microservices, die die Funktionen Ihrer On-Prem-Lösungen von One Identity erweitern. Wir werden One Identity Starling ständig neue Produkte und Funktionen zur Verfügung stellen. Eine kostenlose Testversion unserer One Identity Starling-Angebote sowie die neuesten Produktfeatures erhalten Sie unter cloud.oneidentity.com.

Neue Funktionen

Neue Funktionen in One Identity Manager 9.0.

Allgemein
  • Azure SQL-Datenbank wird unterstützt.

    HINWEIS: Für die Schemainstallation muss eine Azure SQL-Datenbank bereitgestellt werden. Das Erstellen einer neuen Azure SQL-Datenbank im Configuration Wizard wird nicht unterstützt.

  • Die Verarbeitung der internen DBQueue Prozessor Aufträge erfolgt durch einen Dienst, den Database Agent Service. Der Database Agent Service wird über ein Plugin des One Identity Manager Service bereitgestellt. Das DatabaseAgentPlugin sollte auf dem Jobserver konfiguriert sein, der die Funktion des Aktualisierungsservers übernimmt. Für die Datenbankverbindung im Jobprovider muss ein administrativer Benutzer verwendet werden. Alternativ kann der Database Agent Service über das Kommandozeilenprogramm DatabaseAgentServiceCmd.exe ausgeführt werden.

  • Der Configuration Wizard unterstützt Sie beim Löschen einer One Identity Manager-Datenbank. Beim Löschen einer Datenbank werden ebenfalls die Datenbankbenutzer, die Datenbankrollen und Serverrollen sowie die SQL Server Anmeldungen entfernt.

  • Der Configuration Wizard unterstützt Sie beim Aktivieren einer wiederhergestellten Datenbank. Es werden die benötigten Datenbankbenutzer, Datenbankrollen und Serverrollen erzeugt sowie die Datenbank kompiliert.

  • Aus Sicherheitsgründen können von den Frontends und Webanwendungen keine direkten Datenbankanfragen ausgeführt werden. Definierte SQL-Operatoren werden mit einem Risiko bewertet, so dass diese nicht über die One Identity Manager-Komponenten verwendet werden können. Dazu gehören beispielsweise LIKE, NOT LIKE, <, <=, > oder >=.

    Um bestimmte Funktionen in den One Identity Manager-Komponenten weiterhin nutzen zu können, benötigen die Benutzer die Programmfunktion Common_AllowRiskyWhereClauses.

    Benutzer, die diese Programmfunktion nicht besitzen, können nur Datenbankabfragen ausführen, die als vertrauenswürdig eingestuft sind oder kein Risiko darstellen. Einige der Funktionen in den One Identity Manager-Komponenten, wie beispielsweise das Testen von dynamischen Rollen oder die Ausführung von Filterabfragen, sind ohne die Programmfunktion nicht möglich. Ausführliche Informationen finden Sie im One Identity Manager Handbuch zur Autorisierung und Authentifizierung.

  • Mit dem Plugin SessionHttpAuthentication für den One Identity Manager Service wird die Anmeldung mit den Authentifizierungsmodulen an der Webseite des Dienstes unterstützt. Die Benutzer benötigen weiterhin die Programmfunktion JobServer_Status.

  • Die Deaktivierung von WHERE-Klauseln für die REST-API des Anwendungsservers wird unterstützt.

  • Diverse Kennwortspalten wurden verlängert.

  • Für Kennwortrichtlinien kann für Kennwortanforderungen, die im Testskript geprüft werden, zusätzlich eine Beschreibung erfasst werden. Diese wird in der Beschreibung einer Kennwortrichtlinie im Kennwortrücksetzungsportal angezeigt.

  • Systembenutzer können für die direkte Anmeldung an den One Identity Manager-Werkzeugen gesperrt werden.

  • Es wird ein neues Authentifizierungsmodul Benutzerkonto (manuelle Eingabe/rollenbasiert) bereitgestellt. Zur Anmeldung wird die Person verwendet, deren eingetragene Anmeldung mit den Anmeldeinformationen des angemeldeten Benutzers übereinstimmt.

  • Die Authentifizierungsmodule für das Kennwortrücksetzungsportal können eine Liste von Spalten derselben Tabelle nutzen, um nach einem Benutzer zu suchen.

  • Im Database Transporter können jetzt mehrere Transportpakete zu einem kumulativen Transportpaket zusammengefasst werden.

  • Um im Job Queue Info Prozessschritte mit dem Status Frozen zu reaktivieren, benötigen die Benutzer die Programmfunktion JobQueue_Frozen.

  • Die Optimierung des Suchindex kann manuell auf dem Anwendungsserver gestartet werden.

  • Im Standardverbindungsdialog für die One Identity Manager-Werkzeuge kann ein Verbindungs-Timeout festgelegt werden.

  • Neuer optionaler Parameter im Kommandozeilenprogramm DBCompilerCMD.exe, um nur geänderte Teile des Systems zu kompilieren.

  • Neue Prozessfunktion Execute SQL Single für die Prozesskomponente SQLComponent zur Ausführung von SQL -Anweisungen in einer einzelnen Instanz. Die Prozessfunktion kann verwendet werden, wenn ein spezieller Prozeduraufruf oder eine spezielle Datenänderung explizit nur in einer Instanz laufen darf.

  • An Parametern kann ein Skript für Wertänderungen hinterlegt werden (DialogParameter.OnPropertyChangedScript), welches dynamisch ermittelt, ob ein Parameter beispielsweise nur lesbar oder ein Pflichtparameter ist.

  • Integration der Ereignisse in die Typed-Wrapper-Klassen.

  • Unterstützung von NLog 5.0.

  • Unterstützung von Microsoft .NET Framework Version 4.8.

  • Die One Identity Manager History Database wurde wesentlich vereinfacht, um einerseits den Aufwand für das Einrichten und Betreiben der Datenbank zu verringern und andererseits den Betrieb auch auf Azure SQL-Datenbanken zu ermöglichen. Die History Database stellt nur noch eine einfache Datenablage dar. Die History Database beinhaltet weder die One Identity Manager Module noch Daten zur Systemkonfiguration. Es gibt keine aktiven Komponenten mehr.

    Für die Datenübernahme geben Sie die One Identity Manager History Database in der One Identity Manager-Datenbank im TimeTrace bekannt.

    WICHTIG:

    • Es wird empfohlen, eine neue History Database zu installieren!

    • Bestehende Datenbanken werden weiterhin für die Abfrage archivierter Daten im TimeTrace und in Berichten unterstützt. Diese Datenbanken müssen nicht migriert werden.

    • Sollten Sie dennoch eine bestehende History Database migrieren wollen, beachten Sie, dass bei der Migration einer bestehenden History Database alle Funktionen, Prozeduren, Tabellen und Views gelöscht werden, die nicht in folgender Liste sind:

      HistoryChain, HistoryJob, ProcessChain, ProcessGroup, ProcessInfo, ProcessStep, ProcessSubstitute, RawJobHistory, RawProcess, RawProcessChain, RawProcessGroup, RawProcessStep, RawProcessSubstitute, RawWatchOperation, RawWatchProperty, SourceColumn, SourceDatabase, SourceTable, WatchOperation, WatchProperty

      Sichern Sie vor der Migration eventuelle kundenspezifische Erweiterungen.

Web Portal (API Server)
  • Für die Multifaktor-Authentifizierung bei der Entscheidung von Bestellungen oder bei Attestierungen wird OneLogin genutzt. Voraussetzungen dafür sind:

    • Die Synchronisation mit einer OneLogin Domäne ist eingerichtet und die Umgebung wurde initial synchronisiert.

    • Der Wert des Konfigurationsschlüssels ServerConfig/ITShopConfig/StepUpAuthenticationProvider ist OneLogin MFA.

    • In der Konfigurationsdatei des API Servers (web.config) muss folgender Eintrag in den Connection String eingefügt werden:

      <add name="OneLogin" connectionString="Domain=<domain>;ClientId=<clientid>;ClientSecret=<clientSecret>" />

      Die entsprechenden Werte sind der Konfiguration von OneLogin zu entnehmen.

  • Der Empfänger einer Bestellung muss den Nutzungsbedingungen zustimmen, falls er für die Bestellung auch als Entscheider ermittelt wird.

  • Der Besteller wird aufgefordert, den Nutzungsbedingungen für eine Leistungsposition zuzustimmen.

  • Ein Besteller kann im Web Portal optionale Leistungspositionen bestellen.

  • Im Web Portal können an der Übersicht einer Rolle die historischen Änderungsdaten für die Rolle angezeigt werden.

  • Im Web Portal können nun gelöschte Rollen wiederhergestellt werden.

  • Im Web Portal können zwei Rollen zu einer Rolle zusammengefasst werden. Diese Funktion wird für Abteilungen, Standorte, Kostenstellen und Geschäftsrollen angeboten.

  • Es ist im Web Portal möglich, Bestellvorlagen im IT Shop zu pflegen und zur Erstellung neuer Bestellungen zu verwenden.

  • Ausnahmegenehmiger können im Web Portal Richtlinienverletzungen genehmigen und ablehnen.

  • Im Administrationsportal können Filter für Spalten und Tabellen zur Objektauswahl definiert werden.

  • Administratoren und Eigentümer von Anwendungen im Application Governance Modul können Systemberechtigungen, die eine bestimmte Bedingung erfüllen, automatisch an Anwendungen zuweisen lassen. Eigentümer und Administratoren können benachrichtigt werden, wenn ihren Anwendungen automatisch neue Systemberechtigungen zugewiesen wurden.

    • Im Konfigurationsparameter QER | ITShop | MailTemplateIdents | InformAboutApplicationEntitlements kann die Mailvorlage konfiguriert werden, die für E-Mail-Benachrichtigungen an die Administratoren und Eigentümer von Anwendungen genutzt werden soll.

  • Im Web Portal können Attestierern und Entscheidern von Bestellungen Entscheidungsempfehlungen gegeben werden. Die Empfehlungen zur Genehmigung oder Ablehnung von Attestierungsvorgängen oder Bestellungen werden anhand verschiedener Kriterien berechnet. Die Kriterien werden an den Konfigurationsparametern unterhalb von QER | Attestation | Recommendation und QER | ITShop | Recommendation spezifiziert.

Zielsystemanbindung
  • Mit dem Offline-Modus kann die Verarbeitung zielsystemspezifischer Prozesse durch den One Identity Manager Service pausiert werden, wenn ein Zielsystem zeitweilig nicht erreicht werden kann. Damit wird verhindert, dass zielsystemspezifische Prozesse in der Jobqueue eingefroren werden und später manuell reaktiviert werden müssen.

  • Für alle Spalten im One Identity Manager Schema können Einschränkungen für die Synchronisation dieser Spalten definiert werden. Dafür wird im Designer die Spalteneigenschaft Synchronisationsinformationen angezeigt.

  • Synchronisations- und Provisionierungsprozesse werden zurückgestellt, solange die Synchronisationsprojekte aktualisiert werden.

    Die Wartezeit für Wiederholversuche wird im Konfigurationsparameter Common | Jobservice | RedoDelayMinutes eingestellt.

  • Die Remoteunterstützung für Zielsystemverbindungen wird mit .net Core Mitteln umgesetzt.

    Es wird ein Patch für Synchronisationsprojekte mit der Patch ID VPR#34646_SAP bereitgestellt.

  • Unterstützung von OneLogin als Zielsystem.

    Der One Identity Manager konzentriert sich auf die Einrichtung und Bearbeitung von Benutzerkonten und die Versorgung mit den benötigten Berechtigungen für den Zugriff auf Anwendungen und für die Authentifizierung und Autorisierung. Im One Identity Manager werden die OneLogin Benutzerkonten, Rollen und Anwendungen abgebildet. Die Synchronisation mit OneLogin übernimmt der OneLogin Konnektor. Der Zugriff auf die OneLogin Daten erfolgt über die OneLogin API. Mit der Installation des OneLogin Moduls wird eine Synchronisationsvorlage bereitgestellt. Ausführliche Informationen finden Sie im One Identity Manager Administrationshandbuch für die Anbindung von OneLogin Domänen.

  • Die Zuweisung von Azure Active Directory Gruppen an Administratorrollen wird im One Identity Manager abgebildet.

    Es wird ein Patch für Synchronisationsprojekte mit der Patch ID VPR#33400 bereitgestellt.

  • Regeln für Mitgliedschaften in dynamischen Azure Active Directory Gruppen werden in den One Identity Manager eingelesen.

    Es wird ein Patch für Synchronisationsprojekte mit der Patch ID VPR#34744 bereitgestellt.

  • Die E-Mail-Adresse von Azure Active Directory Benutzerkonten kann jetzt im One Identity Manager bearbeitet und in das Zielsystem geschrieben werden.

    Es wird ein Patch für Synchronisationsprojekte mit der Patch ID VPR#35286 bereitgestellt.

  • Der Erstellungstyp von Azure Active Directory Benutzerkonten wird in den One Identity Manager eingelesen.

    Es wird ein Patch für Synchronisationsprojekte mit der Patch ID VPR#35290 bereitgestellt.

  • Azure Active Directory Verwaltungseinheiten werden unterstützt.

    Es wird ein Patch für Synchronisationsprojekte mit der Patch ID VPR#35289 bereitgestellt.

  • B2C Mandanten werden unterstützt.

    Es wird ein Patch für Synchronisationsprojekte mit der Patch ID VPR#35033 bereitgestellt.

  • Die Klassifizierung von Exchange Online Office 365 Gruppen wird unterstützt.

    Es werden Patches für Synchronisationsprojekte mit der Patch ID VPR#35303_AAD und VPR#35303_O3E bereitgestellt.

  • TECH PREVIEW ONLY: Der Exchange Online Konnektor unterstützt zertifikatsbasierte Authentifizierung.

    Es wird ein Patch für Synchronisationsprojekte mit der Patch ID VPR#34766 bereitgestellt.

    WICHTIG: Diese Funktion kann in Testumgebungen getestet werden. Nutzen Sie die Funktion auf keinen Fall in einer produktiven Umgebung.

  • Die Verschiebung von Active Directory Objekten über Domänengrenzen hinweg wird unterstützt.

    Es wird ein Patch für Synchronisationsprojekte mit der Patch ID VPR#33793 bereitgestellt.

  • Microsoft Exchange E-Mail aktivierte Verteilergruppen vom Typ Raumliste werden unterstützt.

    Es wird ein Patch für Synchronisationsprojekte mit der Patch ID VPR#31374 bereitgestellt.

  • Unterstützung von Active Roles 7.5.2, Active Roles 7.5.3 und Active Roles 7.6.

  • Der Google Workspace Konnektor unterstützt die Synchronisation externer E-Mail-Adressen. Sie können als Mitglieder, Eigentümer oder Manager an Google Workspace Gruppen zugewiesen werden, für die externe Mitglieder zugelassen sind.

    Es wird ein Patch für Synchronisationsprojekte mit der Patch ID VPR#34885 bereitgestellt.

  • Oracle E-Business Suite Version 12.2.10 wird unterstützt.

  • One Identity Safeguard Version 7.0 wird unterstützt.

    Es wird ein Patch für Synchronisationsprojekte mit der Patch ID VPR#35621 bereitgestellt.

  • Es wird ein neuer Bericht mit einer Übersicht über die privilegierten Zugriffe der Mitarbeiter bereitgestellt.

  • SharePoint Server Subscription Edition wird unterstützt.

  • SAP Parameter können auch über Systemrollen an SAP Benutzerkonten vererbt werden.

Identity Management und Access Governance
  • Verbesserte Unterstützung für die Vererbung von zielsystemspezifischen Gruppen. Es kann jetzt für einzelne Gruppen festgelegt werden, ob die Vererbungseinstellungen des Automatisierungsgrades für die Gruppe gelten oder ob die Einstellungen des Automatisierungsgrades für die Gruppe überschrieben werden. Damit kann beispielsweise definiert werden, dass eine Gruppe niemals automatisch von Benutzerkonten entfernt werden soll.

  • Es werden neue Entscheidungsrichtlinien für die Bestellung und Attestierung von Azure Active Directory und Exchange Online Systemberechtigungen bereitgestellt.

  • Der Objektschlüssel des effektiv zugewiesenen Produkts wird am Bestellvorgang gespeichert, wenn im Verlauf des Genehmigungsverfahrens das bestellte Produkt geändert wird.

  • An Leistungspositionen, Servicekategorien und Entscheidungsschritten kann festgelegt werden, ob bei der Bestellung oder Entscheidung eine Begründung verpflichtend angegeben werden muss oder optional angegeben werden kann.

  • Bestellungen können mit dynamischen Parametern versehen werden, deren Werte der Besteller erst direkt bei der Bestellung festlegt. Aus diesen Parametern und deren Werten wird nach der Genehmigung, eine Systemberechtigung (UNSGroupB) erzeugt und dem Bestellempfänger zugewiesen.

  • Es werden weitere Standardobjekte für die Attestierung von Personen bereitgestellt. Diese Attestierungen können über einen Richtlinienverbund gemeinsam gestartet werden.

    • Identität selbst

    • Primäre oder sekundäre Abteilungen

    • Mitgliedschaften in Geschäfts- oder Systemrollen

    • Verbundene Benutzerkonten

    • Zugewiesene Systemberechtigungen

    An Entscheidungsrichtlinien kann konfiguriert werden, ob diese beim Erstellen von Attestierungsrichtlinien im Web Portal ausgewählt werden können.

    Zusätzliche Entscheidungsverfahren:

    • CN - Anfechtung der Entscheidung

    • PW - Eigentümer der Attestierungsrichtlinie

    • XM - Manager der Person für alle Attestierungen

  • Attestierungsrichtlinien, die zusammen ausgeführt werden sollen, können zu Richtlinienverbunden zusammengefasst werden. Über eine Stichprobe kann die Menge der zu attestierenden Objekte für alle Attestierungsrichtlinien im Verbund eingeschränkt werden.

  • Wenn am Attestierungsverfahren kein Bericht angegeben ist, werden Snapshots erzeugt, welche die notwendigen Informationen über die zu attestierenden Objekte enthalten. Der Inhalt dieser Snapshots kann konfiguriert werden.

    HINWEIS: Der Snapshot wird durch das Skript ATT_GetAttestationObject erzeugt. Damit wird das Skript VI_GetAttestationObject ersetzt.

  • An Anwendungen (Application Governance Modul) kann das Datum der nächsten Attestierung festgelegt werden. Es werden verschiedenen Standard-Attestierungsrichtlinien bereitgestellt, die dieses Datum nutzen.

Siehe auch:

Verbesserungen

Nachfolgend finden Sie eine Liste von Verbesserungen, die im One Identity Manager 9.0 implementiert wurden.

Tabelle 1: Allgemein

Verbesserung

Fehler ID

Für DBQueue Prozessor Aufträge kann eine minimalen Zeit bis zur Reaktivierung konfiguriert werden.

32015

Der Anwendungsserver unterstützt Session-Zertifikate, die mit der CNG-API erstellt wurden.

32138

Verbesserte Performance bei der Verarbeitung von DBQueue Prozessor Aufträgen.

34049

Verbesserte Fehlermeldung, wenn beim Signieren von E-Mails ein Fehler auftritt und verbesserte Dokumentation.

35226

Geänderte Werte können in der tabellarischer Anzeige mit einem Symbol gekennzeichnet werden. Die Konfiguration erfolgt über die den Dialog für die Darstellungseigenschaften.

35247

Verbesserte Anzeige der Statusseite des One Identity Manager Service.

35285, 33313

Verbesserte Anzeige der Statusseite des Anwendungsservers.

33314

Performance-Optimierung bei der Auswertung von Bedingungen.

35407

Über das Attribut UnitOfWork kann in den Skripten jetzt auf die aktuell geöffnete Unit of Work zugegriffen werden.

35417

Das Markieren von Where-Klauseln als vertrauenwürdig wurde verbessert. 35418

Die Eigenschaften Proxyview und Erweiterungen zur Proxyview werden im Schemaeditor jetzt auf dem Tabreiter Weitere angezeigt.

35613

Die Authentifizierung über LDAP über eine SSL-Verbindung zum LDAP Server wird unterstützt. Die Konfiguration erfolgt über die Konfigurationsparameter unterhalb von TargetSystem | LDAP | AuthenticationV2.

34453

Verbesserte Performance für die Generierung von Prozessen.

35134, 35152

Im Designer können jetzt in der Kategorie Erste Schritte administrative Systembenutzer erstellt werden.

35263

Verbesserte Zuweisung von Dateien an Maschinenrollen.

33271

Verbessertes Verhalten der Kommandozeilenwerkzeuge. Es werden Basistests zur Parameterübergabe ausgeführt. Version, Fehlermeldungen und Hilfetexte werden ausgegeben.

35427, 34825

Verbesserte Performance bei der Ermittlung von Anzeigeberechtigungen.

35612

Verbesserte Performance bei der Anzeige der Prozesse im Job Queue Info.

35641

Zusätzlich zur Prozedur QBM_ZDBQueueVoidTask wird neu die Prozedur QBM_ZDBQueueVoidTaskBulk geliefert. Damit können jetzt auch DBQueue Prozessor Aufträge deaktiviert werden, die für die Bulkverarbeitung gekennzeichnet sind, indem man diese Prozedur in die Spalte QBMDBQueueTask.ProcedureName einträgt.

34864

Es wird ermöglicht, an der DB-Session in der VI.DB ein eigenes Query-Timeout zu setzen, was dann für alle Queries verwendet wird.

34917

Die Drittanbieterkomponente Microsoft.Graph wurde aktualisiert.

35025

Tabelle 2: Allgemein Webanwendungen

Verbesserung

Fehler ID

Im Web Portal werden dem Entscheider die Details zu den bestellten Leistungspositionen angezeigt. Falls eine Rollenmitgliedschaft bestellt wird, werden Informationen zu den Berechtigungen der Rolle angezeigt.

297243

Leistungspositionen werden zur Verbesserung der Performance im Web Portal nicht mehr sortiert ausgegeben. Dies betrifft unter anderem den Servicekatalog und die Auswahl bestellbarer Produkte.

309523

Die Regelverletzungen für eine bestimmte Regel können jetzt aus einem E-Mail-Link angezeigt werden.

253881

Verbesserte Generierung von Berichten über den API Server.

291080

Es soll über die API-Konfiguration einstellbar sein, ob bei der Bestellung über einen Referenzbenutzer nur bestellte Berechtigungen und Zuweisungen angeboten werden oder alle Zuweisungen, die der Referenzbenutzer besitzt. In der Standardeinstellung werden nur bestellte Objekte angezeigt. Falls genau ein Bestellempfänger gewählt ist, ist dieser Bestellempfänger nicht als Referenzbenutzer auswählbar.

33551, 295703

Die Verwendung des ImxClient-Kommandozeilenprogramms unterstützt nun ein Software Update. Das ImxClient-Kommando start-update kann verwendet werden, um ein Software Update zu starten.

310595

Die Erkennung von sicheren Verbindungen unterstützt nun die Verwendung von HTTPS-to-HTTP Reverse Proxies.

313545

Die Konfiguration des Cookie-Pfads für das Anti-XSRF-Cookie kann angepasst werden.

35620, 310602

Für jede entity-basierte API-Methode kann eine einschränkende Filterbedingung in der Konfiguration angegeben werden.

311030

Das TypeScript-Interface IEntity wurde um eine Methode MarkForDeletion() erweitert.

288697

Die folgenden ImxClient-Kommandos werden geändert:

get-filestate

fetch-files

push-files

Für diese Kommandos ist /targets jetzt ein Pflichtparameter.

310837

Angular wurde auf Version 13 aktualisiert. Daraus kann sich für angepassten HTML5-Code die Notwendigkeit zu manuellen Korrekturen ergeben.

310627

Der API Server prüft die definierten API-Routen beim Start auf Eindeutigkeit. Für nicht-eindeutige Routen wird eine Warnmeldung ausgegeben. Bei kundenspezifisch definierten Routen kann es sein, dass nun Warnmeldungen ausgegeben werden.

279209

Verbesserte Performance beim Auflisten der bestellbaren Servicekategorien im Web Portal.

35577

Für die Anzeige von Beziehungen auf Formularen kann optional das lange Anzeigemuster (DialogTable.DisplayPatternLong) für die hierarchische Darstellung verwendet wird.

35482

Der Trusted Source Key, mit dem für ein Web-Frontend festgelegt werden kann, dass Where-Klauseln aus dem Frontend als vertrauenswürdig eingestuft sind, kann jetzt als Option ConnectionBehaviour/TrustedSourceKey in der Konfigurationsdatei angegeben werden.

35239

Tabelle 3: Zielsystemanbindung

Verbesserung

Fehler ID

Ungenutzte virtuelle Schemaeigenschaften wurden aus dem Mapping site in Active Directory Synchronisationsprojekten entfernt.

Es wird ein Patch für Synchronisationsprojekte mit der Patch ID VPR#35533 bereitgestellt.

35533

Ein Fehler im Patch VPR#35343_EX0 wurde korrigiert.

Es wird ein Patch für Synchronisationsprojekte mit der Patch ID VPR#35506 bereitgestellt.

35506

Der LDAP Konnektor ignoriert die Groß- und Kleinschreibung beim Wertevergleich in den Schemaeigenschaften ObjectClass und StructuralObjectClass.

Es wird ein Patch für Synchronisationsprojekte mit der Patch ID VPR#35702 bereitgestellt.

35702

In Synchronisationsprojekten für Exchange Online- und SharePoint Online-Umgebungen wird verhindert, dass mehr als ein Basisobjekt angelegt werden.

Es werden Patches für Synchronisationsprojekte mit der Patch ID VPR#30841 bereitgestellt.

30841

Quota-Einstellungen von Exchange Online Postfächern werden synchronisiert.

Es wird ein Patch für Synchronisationsprojekte mit der Patch ID VPR#34568 bereitgestellt.

34568

Die Postfachberechtigungen Vollzugriff und Senden als von Exchange Online Postfächern werden synchronisiert.

Es wird ein Patch für Synchronisationsprojekte mit der Patch ID VPR#34265 bereitgestellt.

34265

Verbesserte Darstellung von App-Registrierungen und Unternehmensanwendungen für Azure Active Directory im Manager.

35212

Verbesserter Unterstützung der automatischen Personenzuordnung für Azure Active Directory Benutzerkonten für Gastbenutzer.

35584

Für die Synchronisation von SAP HCM Personalplanungsdaten werden weitere Revisionsfilter genutzt.

Es wird ein Patch für Synchronisationsprojekte mit der Patch ID VPR#32154 bereitgestellt.

32154

Performanceverbesserungen im SCIM Konnektor.

Es wird ein Patch für Synchronisationsprojekte mit der Patch ID VPR#34952 bereitgestellt.

34952, 34953, 34954

Bei der Einrichtung der Systemverbindung zu einer Cloud-Anwendung kann der Request Timeout für Anfragen an den SCIM Provider konfiguriert werden.

Es wird ein Patch für Synchronisationsprojekte mit der Patch ID VPR#35571 bereitgestellt.

35571

In Skriptvariablen können Code-Ausschnitte verwendet werden. Im Synchronization Editor werden Beispiele für häufig verwendet Skriptvariablen bereitgestellt.

35011

Verbesserungen der Synchronization Engine.

  • Fehlerbehandlung

  • Erkennung von Objekten, die für die Synchronisation gesperrt sind

  • Automatische Erkennung von irregulär abgebrochenen Synchronisationen

35196, 35480, 35617

Verbesserte Darstellung der zusätzlichen Informationen über das angebundene Zielsystem im Synchronization Editor.

35242

In der Kopfzeile von Provisionierungsprotokollen wird das geänderte Objekt angezeigt.

35493

Verbesserte Darstellung der Systemberechtigungen-erbbar-Optionen auf dem Stammdatenformular für Benutzerkonten.

35524

Verbesserungen des One Identity Manager Business Application Programing Interface.

35556

Verbesserte Darstellung von ausstehenden Objekten aus Zuordnungstabellen im Zielsystemabgleich.

34930

Verbesserte Darstellung zugewiesener SAP Gruppen, Rollen, Profile auf dem Überblicksformular für SAP Benutzerkonten.

34780

Verbesserte Aufzeichnung von Löschoperationen für dynamische Rollen.

35544

Performanceverbesserung bei der Synchronisation, wenn ein lokaler Cache genutzt wird.

34955

In die Dokumentation zur Anbindung einer SAP R/3-Umgebung mit BI Analyseberechtigungen wurde folgender Hinweis aufgenommen:

HINWEIS: BI Analyseberechtigungen, die in der SAP R/3-Umgebung indirekt über SAP Rollen oder SAP Profile an SAP Benutzerkonten zugewiesen sind, werden im One Identity Manager nicht abgebildet. Mit entsprechend formulierten SAP Funktionen für das Berechtigungsobjekt S_RS_AUTH kann im Identity Audit dennoch geprüft werden, ob diese Zuweisungen von BI Analyseberechtigungen zulässig sind.

35295

Verbesserte Darstellung erbbarer Gruppen und Systemberechtigungen auf den Überblicksformularen für Cloud Benutzerkonten und Benutzerkonten in kundendefinierten Zielsystemen.

35508

Der AS/400 LDAP Konnektor wurde umbenannt in IBM i LDAP Konnektor.

35275

Im Funktionsbaustein /VIAENET/READTABLE wird die Ausführung von LIKE-Abfragen verhindert.

  • Um die Änderung anzuwenden, spielen Sie den BAPI-Transport SAPTRANSPORT_70.ZIP in das SAP R/3-System ein.

35741

Tabelle 4: Identity Management und Access Governance

Verbesserung

Fehler ID

Auf dem Überblicksformular für Personen wird auch der Mandant der verbundenen SAP Benutzerkonten angezeigt. 34929
Verbesserte Darstellung der Stammdaten von Attestierungsverfahren im Manager. 35576
An Leistungspositionen kann eingestellt werden, ob sie im Servicekatalog ausgeblendet werden sollen, auch wenn sie grundsätzlich bestellbar bleiben. 35031
Abgeschlossene Stellvertretungen können aus der Datenbank gelöscht oder archiviert werden. 35096
Die Ablaufzeit für adaptive Karten wurde auf 24 Stunden erhöht. Der Wert des Konfigurationsparameters QER | Person | Starling | UseApprovalAnywhere | SecondsToExpire ist nun standardmäßig 86400. 35727
Abgeschlossene Stellvertretungen werden durch den DBQueue Prozessor gelöscht, sobald die Aufbewahrungszeit der Stellvertretungen überschritten ist. 35096

Siehe auch:

Gelöste Probleme

Nachfolgend finden Sie eine Liste von in dieser Version behobenen Problemen.

Tabelle 5: Allgemein

Gelöstes Problem

Fehler ID

Beim Definieren von Prozeduren kommt es sporadisch an unterschiedlichen Stellen zum Abbruch.

Fehlermeldung: error 2021: The referenced entity 'xxx' was modified during DDL execution. Please retry the operation.

33544

Fehler bei Ausführung der Prozedur QBM_PJobUpdateState_Bulk: There is insufficient system memory. 34590
Neu ausgestellte Zertifikate werden unter Umständen nicht akzeptiert. 34900
Unter Umständen werden während der Prozessverarbeitung einander ausschließende Prozesse ausgeliefert. 34973
Zeitpläne werden im Designer nicht korrekt sortiert. 35522
Änderung der Konfiguration des One Identity Manager Service per Job Service Configuration werden nicht immer in die Datenbank übertragen. 35538
Anzeigefehler auf dem Tabreiter Berechtigungen in den Objekteigenschaften im Manager. 35558
Wiederherstellen der Anmeldung bei abgelaufenen Sitzungen im Anwendungsserver funktioniert nicht. 35594
Fehler beim Verbinden mehrerer Designer-Instanzen über einen Anwendungsserver. 35668
Im Manager werden Methodendefinitionen angezeigt, obwohl die Sichtbarkeitsberechtigung über ein Skript entfernt wurde. 35507
Die Authentifizierung am Tokenendpunkt über die Methode client_secret_post muss die Client ID mitbringen. 35691

Prozessschritte der Prozesskomponente DelayComponent mit der Prozessfunktion Delay schlagen mit SQL-Syntaxfehler fehl.

35744

Die Installation eines Anwendungsservers schlägt fehl, wenn die Authentifizierung über einen Systembenutzer nicht erlaubt ist.

34875

Tabelle 6: Allgemein Webanwendungen

Gelöstes Problem

Fehler ID

Wenn im Einkaufswagen des Web Portals viele Produkte liegen, für die Parameter angegeben werden müssen, kommt es zu Fehlern.

34417

Im Web Portal wird beim automatischen Abbestellen von Produkten durch eine abgelehnte Attestierung eine falsche Begründung hinterlegt.

34528

Bei der Installation der Manager Webanwendung wird unnötigerweise WebView2 installiert.

35662

In der Vorschau im Web Designer tritt beim Öffnen einer Servicekategorie beim Bestellvorgang ein Fehler auf.

35404

Die OAuth Anmeldung am API Server schlägt fehl, weil der Parameter State nicht entschlüsselt werden kann.

35611

Die Anzeigenamen von Bestellpositionen werden nicht lokalisiert.

34865

Wenn keine passende Zeitzone ermittelt werden kann, kommt es im Web Designer Web Portal zu einer Fehlermeldung: Sequence contains no matching element.

35191

Wird im Web Designer Web Portal in einem Datumsfeld Enter gedrückt, dann wird zur Startseite navigiert.

35559

Kennwortfragen im Web Portal noch unter Profil angezeigt, obwohl der dazugehörende Parameter den Wert false hat.

35647

Im Web Portal wird für die Beschreibung eines Produktes nicht der gesamte Text als Tooltip angezeigt, sondern die technische Bezeichnung.

35659

In der Knotenbearbeitung im Web Designer werden bei einigen Eigenschaften die Daten nicht angezeigt, sondern nur Scrollbalken.

35586

Im Kennwortrücksetzungsportal werden, nach einem fehlerhaften Anmeldeversuch, die Authentifizierungsmodule zur Anmeldung doppelt angezeigt.

35546

Die Suche im Administration-Portal liefert unter Umständen keine Ergebnisse.

307328

Bei einer Neuanmeldung der Datenbanksitzung innerhalb derselben API Server-Sitzung wird der zuvor verwendete Benutzer nicht abgemeldet.

306163

Der Suchindex aktualisiert die Stichwörter zu Objekten nicht.

303391

Der Suchindex findet Zeichenfolgen, die einen Bindestrich oder einen Backslash enthalten, nicht in jedem Fall.

35634

Bei der Anzeige von Attestierungsvorgängen im Web Portal werden die Überschriften der Spalten Grouping und Property nicht korrekt dargestellt.

35171

Bei Klick auf das angepasste Firmenlogo im Web Portal wird die Startseite nicht geöffnet.

35658

Tabelle 7: Zielsystemanbindung

Gelöstes Problem

Fehler ID

Das Skript DPR_NeedExecuteWorkflow und die genutzte View DPR_VWorkflowHandlesProperty beachten die Mappingrichtung der gemappten Schemaeigenschaften nicht.

34982

Bei der Synchronisation einer Active Roles Domäne tritt ein Konvertierungsfehler auf.

Es wird ein Patch für Synchronisationsprojekte mit der Patch ID VPR#35122 bereitgestellt.

35122

Bei der Synchronisation von Cloud-Anwendungen mit dem Universal Cloud Interface Konnektor werden die UserInGroup* und UserHasGroup* Tabellen nicht beachtet.

Es wird ein Patch für Synchronisationsprojekte mit der Patch ID VPR#35451 bereitgestellt.

35451

Fehler beim Öffnen eines AdminP-Auftrags im Objektbrowser des Synchronization Editor, wenn keine Datenbankdatei angegeben ist.

Es wird ein Patch für Synchronisationsprojekte mit der Patch ID VPR#35500 bereitgestellt.

35500

Beim Aktualisieren von Synchronisationsprojekten für eine Domino-Umgebung wird die Variable MailFileAccessType nicht korrekt angelegt.

Es wird ein Patch für Synchronisationsprojekte mit der Patch ID VPR#35745 bereitgestellt.

35745

Customizer verhindern das Speichern von Objekten, wenn die Spalte XOrigin den Wert 0 hat.

34854

Fehlerhafte Konvertierung von Werten in Custom Extensions.

35060

Der Anzeigename von Azure Active Directory Benutzerkonten für Gastbenutzer wird nicht in das Zielsystem übertragen.

35598

Der Merge-Modus für die Tabellen AADApplicationOwner und AADServicePrincipalOwner ist nicht aktiviert.

35183

Die Azure Active Directory Synchronisation bricht ab, wenn ein Eigentümer eines Dienstprinzipals selbst ein Dienstprinzipal ist.

Es wird ein Patch für Synchronisationsprojekte mit der Patch ID VPR#35768 bereitgestellt.

35768

Microsoft Teams Teams und Microsoft Teams Kanäle sind keinem Scope zugeordnet.

Es wird ein Patch für Synchronisationsprojekte mit der Patch ID VPR#35410 bereitgestellt.

35410

Der Erstellen von Microsoft Teams Kanälen scheitert.

35428

Gruppenmitgliedschaften von Active Directory Gruppen, die zum Löschen markiert sind, werden nicht entfernt.

35293

Rogue Correction von Active Directory Gruppenmitgliedschaften funktioniert nicht.

35492

Read-Prozesse für Active Directory nutzen den Parameter OverrideVariables nicht.

35555

Bei der automatischen Personenzuordnung wird unter Umständen ein unnötiges Remotepostfach erzeugt.

35146

Der Prozess PAG_PAGAccessOrder_CheckExistingAccessRequest schlägt fehl.

35593

Fehler beim Erstellen einen Unix Benutzerkontos, wenn der Nachname der verbundenen Person einen Doppelpunkt (:) enthält

26374

Das Nachladen von Objekten im Bulk-Modus scheitert, wenn ein Element nicht geladen werden kann.

34420

Konvertierungsfehler bei der Synchronisation einer Active Directory Domäne über One Identity Active Roles.

35122

Wenn in einem Synchronisationsschritt mindestens drei Verarbeitungsmethoden definiert sind, wird die Reihenfolge der Verarbeitungsmethoden beim Speichern des Synchronisationsprojekts vertauscht.

35499

Die Dokumentation zur Einrichtung einer Systemverbindung mit einer Oracle Database ist nicht aktuell.

35505

Beim Einrichten der Systemverbindung mit einer SalesForce-Anwendung werden keine Schematypen erkannt.

35679

Fehler beim Verschlüsseln einer Datenbank, wen DPRSystemConnection.ConnectionParameter als verschlüsselt gekennzeichnet ist.

35695

Für Azure Active Directory Benutzerkonten funktioniert die Einzelobjektsynchronisation nicht mehr.

35728

Die Update-Migration einer sehr großen Datenbank wird nach 12 Stunden im Schritt SAP 2019.0004.0017.0000 (31561) abgebrochen.

35464

Wenn für Direktzuweisungen von SAP Rollen an SAP Benutzerkonten Bestellungen generiert werden, werden die Direktzuweisungen gelöscht und mit einem anderen Gültigkeitszeitraum neu erstellt.

35648

Fehler beim Anwenden des Patches VPR#34563.

35696

Auf dem Überblicksformular für Cloud-Anwendungen werden die zugeordneten Systemberechtigungen 1, 2 und 3 nicht angezeigt.

35512

Automatisch erstellte Benutzerkonten in kundendefinierten Zielsystemen oder Benutzerkonten (Tabelle UNSAccountB) oder Cloud Benutzerkonten (Tabelle CMSUser) erben keine Gruppen.

Weitere Informationen finden Sie auch im Knowledge Artikel unter https://support.oneidentity.com/kb/339327.

35214

Tabelle 8: Identity Management und Access Governance

Gelöstes Problem

Fehler ID

Die Berechtigungen der Gruppe vi_4_ITSHOPADMIN_OWNER für Tabelle AADGroup sind fehlerhaft.

35519

Übersetzungen des Namens einer Anwendung werden nicht für die Servicekategorie übernommen. 35041
Die DBQueue Prozessor Aufträge QER-K-ShoppingRackPWOHelperPWO-Del und ATT-K-AttestationHelper-Del verursachen unter Umständen Blockaden. 35157
Fehler beim Transportieren einer mehrfach bestellbaren Ressource. 35470
Fehlende Abhängigkeiten zwischen DBQueue Prozessor Aufträgen für die Zuweisung von Unternehmensressourcen zu Personen. 35294

Performanceprobleme bei der Ermittlung von Attestierungsobjekten (DBQueue Prozessor Auftrag ATT-K-HelperAttestationPolicy).

34201

Performanceprobleme bei der Neuberechnung der Attestierer.

35455

Wenn eine Entscheidungsebene mit mehreren Entscheidungsschritten aufgrund eines Timeouts abgelehnt wird, wird mitunter die nachfolgende Entscheidungsebene (bei Ablehnung) nicht ausgeführt.

35473, 35474

Obwohl ein Attestierungsvorgang im Hold-Status ist, erhalten Attestierer, die währenddessen für diesen Entscheidungsschritt neu ermittelt werden, eine Aufforderung zur Attestierung als E-Mail-Benachrichtigung. Im Manager und im Web Portal wird für diese Attestierer korrekterweise nichts zum Attestieren angezeigt.

35583

Die Complianceprüfung von Bestellungen im Warenkorb und im Genehmigungsverfahren erkennt keine Regelverletzung, wenn diese durch unterschiedliche Identitäten einer Person zustande kommt. Erst die zyklische Complianceprüfung erkennt die Regelverletzung.

35170

Performanceprobleme bei der Berechnung der von Complianceregeln betroffenen Personengruppen.

35261

Beim automatischen Entzug von Berechtigungen nach einer negativen Attestierung werden Bestellungen mit den Status Verlängerung und Abbestellung nicht berücksichtigt.

34725

Eine sofortige Abbestellung einer Bestellung ist nicht möglich, wenn diese Bestellung zuvor bereits mit einem Gültigkeitsdatum abbestellt wurde.

35431

Wenn der DBQueue Prozessor Auftrag QER-K-ShoppingRackPWOHelperPWO in mehreren Slots verarbeitet wird, wird dieser Auftrag unter Umständen immer wieder zurückgestellt. Andere Aufträge werden dadurch nicht verarbeitet.

35466

Beim Versenden von E-Mail-Benachrichtigungen in Genehmigungsverfahren von Bestellungen werden falsche Mailvorlagen verwendet.

35496

Die Mailvorlage IT Shop Bestellung – Verlängerung gibt unter Bestellt durch den Erstbesteller der Bestellung an, anstelle der Person, welche die Verlängerung bestellt.

35529

Bestellungen von Produkten, für die ein Gültigkeitszeitraum festgelegt ist, lassen sich unbegrenzt verlängern.

35651

Siehe auch:

Self-Service-Tools
Knowledge Base
Benachrichtigungen und Warnmeldungen
Produkt-Support
Software-Downloads
Technische Dokumentationen
Benutzerforen
Videoanleitungen
RSS Feed
Kontakt
Unterstützung bei der Lizenzierung
Technische Support
Alle anzeigen
Verwandte Dokumente

The document was helpful.

Bewertung auswählen

I easily found the information I needed.

Bewertung auswählen