One Identity Manager 9.0
Versionshinweise
08. August 2022, 15:59 Uhr
Diese Versionshinweise stellen Informationen über den One Identity Manager Release Version 9.0 zur Verfügung. Es werden alle Änderungen seit One Identity Manager Version 8.2.1 aufgeführt.
One Identity Manager 9.0 ist ein LTS Release mit neuen Funktionen und verbessertem Verhalten. Siehe Neue Funktionen und Verbesserungen.
|
VORSICHT: Bevor Sie eine bestehende One Identity Manager Installation auf die Version 9.0 aktualisieren, beachten Sie folgende Hinweise:
-
One Identity Manager 9.0 ist eine Weiterentwicklung der Version 8.2.1. Alle offiziellen Releases der Versionen 8.2.1, 8.1.5 oder älter sind geeignet für die Aktualisierung auf Version 9.0. Die Aktualisierung neuerer Versionen kann zu einem Downgrade führen.
-
Für One Identity Manager 9.0 werden nur ausgewählte, von One Identity definierte Patches zur Verfügung gestellt. Ein Hotfix außerhalb dieser Definition, welcher für eine andere Version zur Verfügung gestellt wurde, wird somit nicht für das Release 9.0 zur Verfügung stehen. |
Wenn Sie eine Version aktualisieren, die älter als 8.2.1 ist, lesen Sie auch die Versionshinweise der vorangegangenen Versionen. Die Versionshinweise sowie Versionshinweise zu zusätzlichen Modulen, die auf der -Technologie basieren, finden Sie unter One Identity Manager Support.
Die One Identity Manager Dokumentation liegt sowohl in englischer als auch deutscher Sprache vor. Für die nachfolgend einzeln aufgeführten Dokumente gibt es nur eine englische Fassung:
-
One Identity Manager Password Capture Agent Administration Guide
-
One Identity Manager LDAP Connector for CA Top Secret Reference Guide
-
One Identity Manager LDAP Connector for IBM RACF Reference Guide
-
One Identity Manager LDAP Connector for IBM AS/400 Reference Guide
-
One Identity Manager LDAP Connector for CA ACF2 Reference Guide
-
One Identity Manager REST API Reference Guide
-
One Identity Manager Web Runtime Documentation
-
One Identity Manager Object Layer Documentation
-
One Identity Manager Composition API Object Model Documentation
-
One Identity Manager Secure Password Extension Administration Guide
Die aktuellsten Versionen der Produktdokumentation finden Sie unter One Identity Manager Dokumentation.
Inhalt:
Über One Identity Manager 9.0
One Identity Manager vereinfacht konzernweit den Prozess der Verwaltung von Benutzeridentitäten, Zugriffsberechtigungen und Sicherheitsrichtlinien. Sie ermöglichen den Unternehmen die Kontrolle über Identitätsverwaltung und Zugriffsentscheidungen, während sich die IT-Teams auf ihre Kernkompetenzen fokussieren können.
Mit diesen Produkten können Sie:
-
Gruppenverwaltung mittels Selbstbedienung und Attestierung für Active Directory mit der One Identity ManagerActive Directory Edition umsetzen,
-
Access Governance Anforderungen in Ihrem gesamten Konzern plattformübergreifend mit dem One Identity Manager verwirklichen.
Jedes dieser Szenarien-spezifischen Produkte basiert auf der selben prozessoptimierten Architektur und realisiert, im Gegensatz zu "traditionellen" Lösungen, die wesentlichen Identity- und Access Management Herausforderungen mit einem Bruchteil an Komplexität, Zeitaufkommen und Kosten.
One Identity Starling
Starten Sie Ihr Abonnement in Ihrem One Identity On-Prem-Produkt und verbinden Sie Ihre On-Prem-Lösungen mit unserer Cloud-Plattform One Identity Starling. Ermöglichen Sie Ihrem Unternehmen den sofortigen Zugriff auf eine Reihe von in der Cloud bereitgestellten Microservices, die die Funktionen Ihrer On-Prem-Lösungen von One Identity erweitern. Wir werden One Identity Starling ständig neue Produkte und Funktionen zur Verfügung stellen. Eine kostenlose Testversion unserer One Identity Starling-Angebote sowie die neuesten Produktfeatures erhalten Sie unter cloud.oneidentity.com.
Neue Funktionen in One Identity Manager 9.0.
Allgemein
-
Azure SQL-Datenbank wird unterstützt.
HINWEIS: Für die Schemainstallation muss eine Azure SQL-Datenbank bereitgestellt werden. Das Erstellen einer neuen Azure SQL-Datenbank im Configuration Wizard wird nicht unterstützt.
-
Die Verarbeitung der internen DBQueue Prozessor Aufträge erfolgt durch einen Dienst, den Database Agent Service. Der Database Agent Service wird über ein Plugin des One Identity Manager Service bereitgestellt. Das DatabaseAgentPlugin sollte auf dem Jobserver konfiguriert sein, der die Funktion des Aktualisierungsservers übernimmt. Für die Datenbankverbindung im Jobprovider muss ein administrativer Benutzer verwendet werden. Alternativ kann der Database Agent Service über das Kommandozeilenprogramm DatabaseAgentServiceCmd.exe ausgeführt werden.
-
Der Configuration Wizard unterstützt Sie beim Löschen einer One Identity Manager-Datenbank. Beim Löschen einer Datenbank werden ebenfalls die Datenbankbenutzer, die Datenbankrollen und Serverrollen sowie die SQL Server Anmeldungen entfernt.
-
Der Configuration Wizard unterstützt Sie beim Aktivieren einer wiederhergestellten Datenbank. Es werden die benötigten Datenbankbenutzer, Datenbankrollen und Serverrollen erzeugt sowie die Datenbank kompiliert.
-
Aus Sicherheitsgründen können von den Frontends und Webanwendungen keine direkten Datenbankanfragen ausgeführt werden. Definierte SQL-Operatoren werden mit einem Risiko bewertet, so dass diese nicht über die One Identity Manager-Komponenten verwendet werden können. Dazu gehören beispielsweise LIKE, NOT LIKE, <, <=, > oder >=.
Um bestimmte Funktionen in den One Identity Manager-Komponenten weiterhin nutzen zu können, benötigen die Benutzer die Programmfunktion Common_AllowRiskyWhereClauses.
Benutzer, die diese Programmfunktion nicht besitzen, können nur Datenbankabfragen ausführen, die als vertrauenswürdig eingestuft sind oder kein Risiko darstellen. Einige der Funktionen in den One Identity Manager-Komponenten, wie beispielsweise das Testen von dynamischen Rollen oder die Ausführung von Filterabfragen, sind ohne die Programmfunktion nicht möglich. Ausführliche Informationen finden Sie im One Identity Manager Handbuch zur Autorisierung und Authentifizierung.
-
Mit dem Plugin SessionHttpAuthentication für den One Identity Manager Service wird die Anmeldung mit den Authentifizierungsmodulen an der Webseite des Dienstes unterstützt. Die Benutzer benötigen weiterhin die Programmfunktion JobServer_Status.
-
Die Deaktivierung von WHERE-Klauseln für die REST-API des Anwendungsservers wird unterstützt.
-
Diverse Kennwortspalten wurden verlängert.
-
Für Kennwortrichtlinien kann für Kennwortanforderungen, die im Testskript geprüft werden, zusätzlich eine Beschreibung erfasst werden. Diese wird in der Beschreibung einer Kennwortrichtlinie im Kennwortrücksetzungsportal angezeigt.
-
Systembenutzer können für die direkte Anmeldung an den One Identity Manager-Werkzeugen gesperrt werden.
-
Es wird ein neues Authentifizierungsmodul Benutzerkonto (manuelle Eingabe/rollenbasiert) bereitgestellt. Zur Anmeldung wird die Person verwendet, deren eingetragene Anmeldung mit den Anmeldeinformationen des angemeldeten Benutzers übereinstimmt.
-
Die Authentifizierungsmodule für das Kennwortrücksetzungsportal können eine Liste von Spalten derselben Tabelle nutzen, um nach einem Benutzer zu suchen.
-
Im Database Transporter können jetzt mehrere Transportpakete zu einem kumulativen Transportpaket zusammengefasst werden.
-
Um im Job Queue Info Prozessschritte mit dem Status Frozen zu reaktivieren, benötigen die Benutzer die Programmfunktion JobQueue_Frozen.
-
Die Optimierung des Suchindex kann manuell auf dem Anwendungsserver gestartet werden.
-
Im Standardverbindungsdialog für die One Identity Manager-Werkzeuge kann ein Verbindungs-Timeout festgelegt werden.
-
Neuer optionaler Parameter im Kommandozeilenprogramm DBCompilerCMD.exe, um nur geänderte Teile des Systems zu kompilieren.
-
Neue Prozessfunktion Execute SQL Single für die Prozesskomponente SQLComponent zur Ausführung von SQL -Anweisungen in einer einzelnen Instanz. Die Prozessfunktion kann verwendet werden, wenn ein spezieller Prozeduraufruf oder eine spezielle Datenänderung explizit nur in einer Instanz laufen darf.
-
An Parametern kann ein Skript für Wertänderungen hinterlegt werden (DialogParameter.OnPropertyChangedScript), welches dynamisch ermittelt, ob ein Parameter beispielsweise nur lesbar oder ein Pflichtparameter ist.
-
Integration der Ereignisse in die Typed-Wrapper-Klassen.
-
Unterstützung von NLog 5.0.
-
Unterstützung von Microsoft .NET Framework Version 4.8.
-
Die One Identity Manager History Database wurde wesentlich vereinfacht, um einerseits den Aufwand für das Einrichten und Betreiben der Datenbank zu verringern und andererseits den Betrieb auch auf Azure SQL-Datenbanken zu ermöglichen. Die History Database stellt nur noch eine einfache Datenablage dar. Die History Database beinhaltet weder die One Identity Manager Module noch Daten zur Systemkonfiguration. Es gibt keine aktiven Komponenten mehr.
Für die Datenübernahme geben Sie die One Identity Manager History Database in der One Identity Manager-Datenbank im TimeTrace bekannt.
WICHTIG:
-
Es wird empfohlen, eine neue History Database zu installieren!
-
Bestehende Datenbanken werden weiterhin für die Abfrage archivierter Daten im TimeTrace und in Berichten unterstützt. Diese Datenbanken müssen nicht migriert werden.
-
Sollten Sie dennoch eine bestehende History Database migrieren wollen, beachten Sie, dass bei der Migration einer bestehenden History Database alle Funktionen, Prozeduren, Tabellen und Views gelöscht werden, die nicht in folgender Liste sind:
HistoryChain, HistoryJob, ProcessChain, ProcessGroup, ProcessInfo, ProcessStep, ProcessSubstitute, RawJobHistory, RawProcess, RawProcessChain, RawProcessGroup, RawProcessStep, RawProcessSubstitute, RawWatchOperation, RawWatchProperty, SourceColumn, SourceDatabase, SourceTable, WatchOperation, WatchProperty
Sichern Sie vor der Migration eventuelle kundenspezifische Erweiterungen.
Web Portal (API Server)
-
Für die Multifaktor-Authentifizierung bei der Entscheidung von Bestellungen oder bei Attestierungen wird OneLogin genutzt. Voraussetzungen dafür sind:
-
Die Synchronisation mit einer OneLogin Domäne ist eingerichtet und die Umgebung wurde initial synchronisiert.
-
Der Wert des Konfigurationsschlüssels ServerConfig/ITShopConfig/StepUpAuthenticationProvider ist OneLogin MFA.
-
In der Konfigurationsdatei des API Servers (web.config) muss folgender Eintrag in den Connection String eingefügt werden:
<add name="OneLogin" connectionString="Domain=<domain>;ClientId=<clientid>;ClientSecret=<clientSecret>" />
Die entsprechenden Werte sind der Konfiguration von OneLogin zu entnehmen.
-
Der Empfänger einer Bestellung muss den Nutzungsbedingungen zustimmen, falls er für die Bestellung auch als Entscheider ermittelt wird.
-
Der Besteller wird aufgefordert, den Nutzungsbedingungen für eine Leistungsposition zuzustimmen.
-
Ein Besteller kann im Web Portal optionale Leistungspositionen bestellen.
-
Im Web Portal können an der Übersicht einer Rolle die historischen Änderungsdaten für die Rolle angezeigt werden.
-
Im Web Portal können nun gelöschte Rollen wiederhergestellt werden.
-
Im Web Portal können zwei Rollen zu einer Rolle zusammengefasst werden. Diese Funktion wird für Abteilungen, Standorte, Kostenstellen und Geschäftsrollen angeboten.
-
Es ist im Web Portal möglich, Bestellvorlagen im IT Shop zu pflegen und zur Erstellung neuer Bestellungen zu verwenden.
-
Ausnahmegenehmiger können im Web Portal Richtlinienverletzungen genehmigen und ablehnen.
-
Im Administrationsportal können Filter für Spalten und Tabellen zur Objektauswahl definiert werden.
-
Administratoren und Eigentümer von Anwendungen im Application Governance Modul können Systemberechtigungen, die eine bestimmte Bedingung erfüllen, automatisch an Anwendungen zuweisen lassen. Eigentümer und Administratoren können benachrichtigt werden, wenn ihren Anwendungen automatisch neue Systemberechtigungen zugewiesen wurden.
-
Im Web Portal können Attestierern und Entscheidern von Bestellungen Entscheidungsempfehlungen gegeben werden. Die Empfehlungen zur Genehmigung oder Ablehnung von Attestierungsvorgängen oder Bestellungen werden anhand verschiedener Kriterien berechnet. Die Kriterien werden an den Konfigurationsparametern unterhalb von QER | Attestation | Recommendation und QER | ITShop | Recommendation spezifiziert.
Zielsystemanbindung
-
Mit dem Offline-Modus kann die Verarbeitung zielsystemspezifischer Prozesse durch den One Identity Manager Service pausiert werden, wenn ein Zielsystem zeitweilig nicht erreicht werden kann. Damit wird verhindert, dass zielsystemspezifische Prozesse in der Jobqueue eingefroren werden und später manuell reaktiviert werden müssen.
-
Für alle Spalten im One Identity Manager Schema können Einschränkungen für die Synchronisation dieser Spalten definiert werden. Dafür wird im Designer die Spalteneigenschaft Synchronisationsinformationen angezeigt.
-
Synchronisations- und Provisionierungsprozesse werden zurückgestellt, solange die Synchronisationsprojekte aktualisiert werden.
Die Wartezeit für Wiederholversuche wird im Konfigurationsparameter Common | Jobservice | RedoDelayMinutes eingestellt.
-
Die Remoteunterstützung für Zielsystemverbindungen wird mit .net Core Mitteln umgesetzt.
Es wird ein Patch für Synchronisationsprojekte mit der Patch ID VPR#34646_SAP bereitgestellt.
-
Unterstützung von OneLogin als Zielsystem.
Der One Identity Manager konzentriert sich auf die Einrichtung und Bearbeitung von Benutzerkonten und die Versorgung mit den benötigten Berechtigungen für den Zugriff auf Anwendungen und für die Authentifizierung und Autorisierung. Im One Identity Manager werden die OneLogin Benutzerkonten, Rollen und Anwendungen abgebildet. Die Synchronisation mit OneLogin übernimmt der OneLogin Konnektor. Der Zugriff auf die OneLogin Daten erfolgt über die OneLogin API. Mit der Installation des OneLogin Moduls wird eine Synchronisationsvorlage bereitgestellt. Ausführliche Informationen finden Sie im One Identity Manager Administrationshandbuch für die Anbindung von OneLogin Domänen.
-
Die Zuweisung von Azure Active Directory Gruppen an Administratorrollen wird im One Identity Manager abgebildet.
Es wird ein Patch für Synchronisationsprojekte mit der Patch ID VPR#33400 bereitgestellt.
-
Regeln für Mitgliedschaften in dynamischen Azure Active Directory Gruppen werden in den One Identity Manager eingelesen.
Es wird ein Patch für Synchronisationsprojekte mit der Patch ID VPR#34744 bereitgestellt.
-
Die E-Mail-Adresse von Azure Active Directory Benutzerkonten kann jetzt im One Identity Manager bearbeitet und in das Zielsystem geschrieben werden.
Es wird ein Patch für Synchronisationsprojekte mit der Patch ID VPR#35286 bereitgestellt.
-
Der Erstellungstyp von Azure Active Directory Benutzerkonten wird in den One Identity Manager eingelesen.
Es wird ein Patch für Synchronisationsprojekte mit der Patch ID VPR#35290 bereitgestellt.
-
Azure Active Directory Verwaltungseinheiten werden unterstützt.
Es wird ein Patch für Synchronisationsprojekte mit der Patch ID VPR#35289 bereitgestellt.
-
B2C Mandanten werden unterstützt.
Es wird ein Patch für Synchronisationsprojekte mit der Patch ID VPR#35033 bereitgestellt.
-
Die Klassifizierung von Exchange Online Office 365 Gruppen wird unterstützt.
Es werden Patches für Synchronisationsprojekte mit der Patch ID VPR#35303_AAD und VPR#35303_O3E bereitgestellt.
-
TECH PREVIEW ONLY: Der Exchange Online Konnektor unterstützt zertifikatsbasierte Authentifizierung.
Es wird ein Patch für Synchronisationsprojekte mit der Patch ID VPR#34766 bereitgestellt.
WICHTIG: Diese Funktion kann in Testumgebungen getestet werden. Nutzen Sie die Funktion auf keinen Fall in einer produktiven Umgebung.
-
Die Verschiebung von Active Directory Objekten über Domänengrenzen hinweg wird unterstützt.
Es wird ein Patch für Synchronisationsprojekte mit der Patch ID VPR#33793 bereitgestellt.
-
Microsoft Exchange E-Mail aktivierte Verteilergruppen vom Typ Raumliste werden unterstützt.
Es wird ein Patch für Synchronisationsprojekte mit der Patch ID VPR#31374 bereitgestellt.
-
Unterstützung von 7.5.2, 7.5.3 und 7.6.
-
Der Google Workspace Konnektor unterstützt die Synchronisation externer E-Mail-Adressen. Sie können als Mitglieder, Eigentümer oder Manager an Google Workspace Gruppen zugewiesen werden, für die externe Mitglieder zugelassen sind.
Es wird ein Patch für Synchronisationsprojekte mit der Patch ID VPR#34885 bereitgestellt.
-
Oracle E-Business Suite Version 12.2.10 wird unterstützt.
-
One Identity Safeguard Version 7.0 wird unterstützt.
Es wird ein Patch für Synchronisationsprojekte mit der Patch ID VPR#35621 bereitgestellt.
-
Es wird ein neuer Bericht mit einer Übersicht über die privilegierten Zugriffe der Mitarbeiter bereitgestellt.
-
SharePoint Server Subscription Edition wird unterstützt.
-
SAP Parameter können auch über Systemrollen an SAP Benutzerkonten vererbt werden.
Identity Management und Access Governance
-
Verbesserte Unterstützung für die Vererbung von zielsystemspezifischen Gruppen. Es kann jetzt für einzelne Gruppen festgelegt werden, ob die Vererbungseinstellungen des Automatisierungsgrades für die Gruppe gelten oder ob die Einstellungen des Automatisierungsgrades für die Gruppe überschrieben werden. Damit kann beispielsweise definiert werden, dass eine Gruppe niemals automatisch von Benutzerkonten entfernt werden soll.
-
Es werden neue Entscheidungsrichtlinien für die Bestellung und Attestierung von Azure Active Directory und Exchange Online Systemberechtigungen bereitgestellt.
-
Der Objektschlüssel des effektiv zugewiesenen Produkts wird am Bestellvorgang gespeichert, wenn im Verlauf des Genehmigungsverfahrens das bestellte Produkt geändert wird.
-
An Leistungspositionen, Servicekategorien und Entscheidungsschritten kann festgelegt werden, ob bei der Bestellung oder Entscheidung eine Begründung verpflichtend angegeben werden muss oder optional angegeben werden kann.
-
Bestellungen können mit dynamischen Parametern versehen werden, deren Werte der Besteller erst direkt bei der Bestellung festlegt. Aus diesen Parametern und deren Werten wird nach der Genehmigung, eine Systemberechtigung (UNSGroupB) erzeugt und dem Bestellempfänger zugewiesen.
-
Es werden weitere Standardobjekte für die Attestierung von Personen bereitgestellt. Diese Attestierungen können über einen Richtlinienverbund gemeinsam gestartet werden.
-
Identität selbst
-
Primäre oder sekundäre Abteilungen
-
Mitgliedschaften in Geschäfts- oder Systemrollen
-
Verbundene Benutzerkonten
-
Zugewiesene Systemberechtigungen
An Entscheidungsrichtlinien kann konfiguriert werden, ob diese beim Erstellen von Attestierungsrichtlinien im Web Portal ausgewählt werden können.
Zusätzliche Entscheidungsverfahren:
-
CN - Anfechtung der Entscheidung
-
PW - Eigentümer der Attestierungsrichtlinie
-
XM - Manager der Person für alle Attestierungen
-
Attestierungsrichtlinien, die zusammen ausgeführt werden sollen, können zu Richtlinienverbunden zusammengefasst werden. Über eine Stichprobe kann die Menge der zu attestierenden Objekte für alle Attestierungsrichtlinien im Verbund eingeschränkt werden.
-
Wenn am Attestierungsverfahren kein Bericht angegeben ist, werden Snapshots erzeugt, welche die notwendigen Informationen über die zu attestierenden Objekte enthalten. Der Inhalt dieser Snapshots kann konfiguriert werden.
HINWEIS: Der Snapshot wird durch das Skript ATT_GetAttestationObject erzeugt. Damit wird das Skript VI_GetAttestationObject ersetzt.
-
An Anwendungen (Application Governance Modul) kann das Datum der nächsten Attestierung festgelegt werden. Es werden verschiedenen Standard-Attestierungsrichtlinien bereitgestellt, die dieses Datum nutzen.
Siehe auch:
Nachfolgend finden Sie eine Liste von Verbesserungen, die im One Identity Manager 9.0 implementiert wurden.
Tabelle 1: Allgemein
Für DBQueue Prozessor Aufträge kann eine minimalen Zeit bis zur Reaktivierung konfiguriert werden. |
32015 |
Der Anwendungsserver unterstützt Session-Zertifikate, die mit der CNG-API erstellt wurden. |
32138 |
Verbesserte Performance bei der Verarbeitung von DBQueue Prozessor Aufträgen. |
34049 |
Verbesserte Fehlermeldung, wenn beim Signieren von E-Mails ein Fehler auftritt und verbesserte Dokumentation. |
35226 |
Geänderte Werte können in der tabellarischer Anzeige mit einem Symbol gekennzeichnet werden. Die Konfiguration erfolgt über die den Dialog für die Darstellungseigenschaften. |
35247 |
Verbesserte Anzeige der Statusseite des One Identity Manager Service. |
35285, 33313 |
Verbesserte Anzeige der Statusseite des Anwendungsservers. |
33314 |
Performance-Optimierung bei der Auswertung von Bedingungen. |
35407 |
Über das Attribut UnitOfWork kann in den Skripten jetzt auf die aktuell geöffnete Unit of Work zugegriffen werden. |
35417 |
Das Markieren von Where-Klauseln als vertrauenwürdig wurde verbessert. |
35418 |
Die Eigenschaften Proxyview und Erweiterungen zur Proxyview werden im Schemaeditor jetzt auf dem Tabreiter Weitere angezeigt. |
35613 |
Die Authentifizierung über LDAP über eine SSL-Verbindung zum LDAP Server wird unterstützt. Die Konfiguration erfolgt über die Konfigurationsparameter unterhalb von TargetSystem | LDAP | AuthenticationV2. |
34453 |
Verbesserte Performance für die Generierung von Prozessen. |
35134, 35152 |
Im Designer können jetzt in der Kategorie Erste Schritte administrative Systembenutzer erstellt werden. |
35263 |
Verbesserte Zuweisung von Dateien an Maschinenrollen. |
33271 |
Verbessertes Verhalten der Kommandozeilenwerkzeuge. Es werden Basistests zur Parameterübergabe ausgeführt. Version, Fehlermeldungen und Hilfetexte werden ausgegeben. |
35427, 34825 |
Verbesserte Performance bei der Ermittlung von Anzeigeberechtigungen. |
35612 |
Verbesserte Performance bei der Anzeige der Prozesse im Job Queue Info. |
35641 |
Zusätzlich zur Prozedur QBM_ZDBQueueVoidTask wird neu die Prozedur QBM_ZDBQueueVoidTaskBulk geliefert. Damit können jetzt auch DBQueue Prozessor Aufträge deaktiviert werden, die für die Bulkverarbeitung gekennzeichnet sind, indem man diese Prozedur in die Spalte QBMDBQueueTask.ProcedureName einträgt. |
34864 |
Es wird ermöglicht, an der DB-Session in der VI.DB ein eigenes Query-Timeout zu setzen, was dann für alle Queries verwendet wird. |
34917 |
Die Drittanbieterkomponente Microsoft.Graph wurde aktualisiert. |
35025 |
Tabelle 2: Allgemein Webanwendungen
Im Web Portal werden dem Entscheider die Details zu den bestellten Leistungspositionen angezeigt. Falls eine Rollenmitgliedschaft bestellt wird, werden Informationen zu den Berechtigungen der Rolle angezeigt. |
297243 |
Leistungspositionen werden zur Verbesserung der Performance im Web Portal nicht mehr sortiert ausgegeben. Dies betrifft unter anderem den Servicekatalog und die Auswahl bestellbarer Produkte. |
309523 |
Die Regelverletzungen für eine bestimmte Regel können jetzt aus einem E-Mail-Link angezeigt werden. |
253881 |
Verbesserte Generierung von Berichten über den API Server. |
291080 |
Es soll über die API-Konfiguration einstellbar sein, ob bei der Bestellung über einen Referenzbenutzer nur bestellte Berechtigungen und Zuweisungen angeboten werden oder alle Zuweisungen, die der Referenzbenutzer besitzt. In der Standardeinstellung werden nur bestellte Objekte angezeigt. Falls genau ein Bestellempfänger gewählt ist, ist dieser Bestellempfänger nicht als Referenzbenutzer auswählbar. |
33551, 295703 |
Die Verwendung des ImxClient-Kommandozeilenprogramms unterstützt nun ein Software Update. Das ImxClient-Kommando start-update kann verwendet werden, um ein Software Update zu starten. |
310595 |
Die Erkennung von sicheren Verbindungen unterstützt nun die Verwendung von HTTPS-to-HTTP Reverse Proxies. |
313545 |
Die Konfiguration des Cookie-Pfads für das Anti-XSRF-Cookie kann angepasst werden. |
35620, 310602 |
Für jede entity-basierte API-Methode kann eine einschränkende Filterbedingung in der Konfiguration angegeben werden. |
311030 |
Das TypeScript-Interface IEntity wurde um eine Methode MarkForDeletion() erweitert. |
288697 |
Die folgenden ImxClient-Kommandos werden geändert:
get-filestate
fetch-files
push-files
Für diese Kommandos ist /targets jetzt ein Pflichtparameter. |
310837 |
Angular wurde auf Version 13 aktualisiert. Daraus kann sich für angepassten HTML5-Code die Notwendigkeit zu manuellen Korrekturen ergeben. |
310627 |
Der API Server prüft die definierten API-Routen beim Start auf Eindeutigkeit. Für nicht-eindeutige Routen wird eine Warnmeldung ausgegeben. Bei kundenspezifisch definierten Routen kann es sein, dass nun Warnmeldungen ausgegeben werden. |
279209 |
Verbesserte Performance beim Auflisten der bestellbaren Servicekategorien im Web Portal. |
35577 |
Für die Anzeige von Beziehungen auf Formularen kann optional das lange Anzeigemuster (DialogTable.DisplayPatternLong) für die hierarchische Darstellung verwendet wird. |
35482 |
Der Trusted Source Key, mit dem für ein Web-Frontend festgelegt werden kann, dass Where-Klauseln aus dem Frontend als vertrauenswürdig eingestuft sind, kann jetzt als Option ConnectionBehaviour/TrustedSourceKey in der Konfigurationsdatei angegeben werden. |
35239 |
Tabelle 3: Zielsystemanbindung
Ungenutzte virtuelle Schemaeigenschaften wurden aus dem Mapping site in Active Directory Synchronisationsprojekten entfernt.
Es wird ein Patch für Synchronisationsprojekte mit der Patch ID VPR#35533 bereitgestellt. |
35533 |
Ein Fehler im Patch VPR#35343_EX0 wurde korrigiert.
Es wird ein Patch für Synchronisationsprojekte mit der Patch ID VPR#35506 bereitgestellt. |
35506 |
Der LDAP Konnektor ignoriert die Groß- und Kleinschreibung beim Wertevergleich in den Schemaeigenschaften ObjectClass und StructuralObjectClass.
Es wird ein Patch für Synchronisationsprojekte mit der Patch ID VPR#35702 bereitgestellt. |
35702 |
In Synchronisationsprojekten für Exchange Online- und SharePoint Online-Umgebungen wird verhindert, dass mehr als ein Basisobjekt angelegt werden.
Es werden Patches für Synchronisationsprojekte mit der Patch ID VPR#30841 bereitgestellt. |
30841 |
Quota-Einstellungen von Exchange Online Postfächern werden synchronisiert.
Es wird ein Patch für Synchronisationsprojekte mit der Patch ID VPR#34568 bereitgestellt. |
34568 |
Die Postfachberechtigungen Vollzugriff und Senden als von Exchange Online Postfächern werden synchronisiert.
Es wird ein Patch für Synchronisationsprojekte mit der Patch ID VPR#34265 bereitgestellt. |
34265 |
Verbesserte Darstellung von App-Registrierungen und Unternehmensanwendungen für Azure Active Directory im Manager. |
35212 |
Verbesserter Unterstützung der automatischen Personenzuordnung für Azure Active Directory Benutzerkonten für Gastbenutzer. |
35584 |
Für die Synchronisation von SAP HCM Personalplanungsdaten werden weitere Revisionsfilter genutzt.
Es wird ein Patch für Synchronisationsprojekte mit der Patch ID VPR#32154 bereitgestellt. |
32154 |
Performanceverbesserungen im SCIM Konnektor.
Es wird ein Patch für Synchronisationsprojekte mit der Patch ID VPR#34952 bereitgestellt. |
34952, 34953, 34954 |
Bei der Einrichtung der Systemverbindung zu einer Cloud-Anwendung kann der Request Timeout für Anfragen an den SCIM Provider konfiguriert werden.
Es wird ein Patch für Synchronisationsprojekte mit der Patch ID VPR#35571 bereitgestellt. |
35571 |
In Skriptvariablen können Code-Ausschnitte verwendet werden. Im Synchronization Editor werden Beispiele für häufig verwendet Skriptvariablen bereitgestellt. |
35011 |
Verbesserungen der Synchronization Engine.
-
Fehlerbehandlung
-
Erkennung von Objekten, die für die Synchronisation gesperrt sind
-
Automatische Erkennung von irregulär abgebrochenen Synchronisationen |
35196, 35480, 35617 |
Verbesserte Darstellung der zusätzlichen Informationen über das angebundene Zielsystem im Synchronization Editor. |
35242 |
In der Kopfzeile von Provisionierungsprotokollen wird das geänderte Objekt angezeigt. |
35493 |
Verbesserte Darstellung der Systemberechtigungen-erbbar-Optionen auf dem Stammdatenformular für Benutzerkonten. |
35524 |
Verbesserungen des One Identity Manager Business Application Programing Interface. |
35556 |
Verbesserte Darstellung von ausstehenden Objekten aus Zuordnungstabellen im Zielsystemabgleich. |
34930 |
Verbesserte Darstellung zugewiesener SAP Gruppen, Rollen, Profile auf dem Überblicksformular für SAP Benutzerkonten. |
34780 |
Verbesserte Aufzeichnung von Löschoperationen für dynamische Rollen. |
35544 |
Performanceverbesserung bei der Synchronisation, wenn ein lokaler Cache genutzt wird. |
34955 |
In die Dokumentation zur Anbindung einer SAP R/3-Umgebung mit BI Analyseberechtigungen wurde folgender Hinweis aufgenommen:
HINWEIS: BI Analyseberechtigungen, die in der SAP R/3-Umgebung indirekt über SAP Rollen oder SAP Profile an SAP Benutzerkonten zugewiesen sind, werden im One Identity Manager nicht abgebildet. Mit entsprechend formulierten SAP Funktionen für das Berechtigungsobjekt S_RS_AUTH kann im Identity Audit dennoch geprüft werden, ob diese Zuweisungen von BI Analyseberechtigungen zulässig sind. |
35295 |
Verbesserte Darstellung erbbarer Gruppen und Systemberechtigungen auf den Überblicksformularen für Cloud Benutzerkonten und Benutzerkonten in kundendefinierten Zielsystemen. |
35508 |
Der AS/400 LDAP Konnektor wurde umbenannt in IBM i LDAP Konnektor. |
35275 |
Im Funktionsbaustein /VIAENET/READTABLE wird die Ausführung von LIKE-Abfragen verhindert.
|
35741 |
Tabelle 4: Identity Management und Access Governance
Auf dem Überblicksformular für Personen wird auch der Mandant der verbundenen SAP Benutzerkonten angezeigt. |
34929 |
Verbesserte Darstellung der Stammdaten von Attestierungsverfahren im Manager. |
35576 |
An Leistungspositionen kann eingestellt werden, ob sie im Servicekatalog ausgeblendet werden sollen, auch wenn sie grundsätzlich bestellbar bleiben. |
35031 |
Abgeschlossene Stellvertretungen können aus der Datenbank gelöscht oder archiviert werden. |
35096 |
Die Ablaufzeit für adaptive Karten wurde auf 24 Stunden erhöht. Der Wert des Konfigurationsparameters QER | Person | Starling | UseApprovalAnywhere | SecondsToExpire ist nun standardmäßig 86400. |
35727 |
Abgeschlossene Stellvertretungen werden durch den DBQueue Prozessor gelöscht, sobald die Aufbewahrungszeit der Stellvertretungen überschritten ist. |
35096 |
Siehe auch:
Nachfolgend finden Sie eine Liste von in dieser Version behobenen Problemen.
Tabelle 5: Allgemein
Beim Definieren von Prozeduren kommt es sporadisch an unterschiedlichen Stellen zum Abbruch.
Fehlermeldung: error 2021: The referenced entity 'xxx' was modified during DDL execution. Please retry the operation. |
33544 |
Fehler bei Ausführung der Prozedur QBM_PJobUpdateState_Bulk: There is insufficient system memory. |
34590 |
Neu ausgestellte Zertifikate werden unter Umständen nicht akzeptiert. |
34900 |
Unter Umständen werden während der Prozessverarbeitung einander ausschließende Prozesse ausgeliefert. |
34973 |
Zeitpläne werden im Designer nicht korrekt sortiert. |
35522 |
Änderung der Konfiguration des One Identity Manager Service per werden nicht immer in die Datenbank übertragen. |
35538 |
Anzeigefehler auf dem Tabreiter Berechtigungen in den Objekteigenschaften im Manager. |
35558 |
Wiederherstellen der Anmeldung bei abgelaufenen Sitzungen im Anwendungsserver funktioniert nicht. |
35594 |
Fehler beim Verbinden mehrerer Designer-Instanzen über einen Anwendungsserver. |
35668 |
Im Manager werden Methodendefinitionen angezeigt, obwohl die Sichtbarkeitsberechtigung über ein Skript entfernt wurde. |
35507 |
Die Authentifizierung am Tokenendpunkt über die Methode client_secret_post muss die Client ID mitbringen. |
35691 |
Prozessschritte der Prozesskomponente DelayComponent mit der Prozessfunktion Delay schlagen mit SQL-Syntaxfehler fehl. |
35744 |
Die Installation eines Anwendungsservers schlägt fehl, wenn die Authentifizierung über einen Systembenutzer nicht erlaubt ist. |
34875 |
Tabelle 6: Allgemein Webanwendungen
Wenn im Einkaufswagen des Web Portals viele Produkte liegen, für die Parameter angegeben werden müssen, kommt es zu Fehlern. |
34417 |
Im Web Portal wird beim automatischen Abbestellen von Produkten durch eine abgelehnte Attestierung eine falsche Begründung hinterlegt. |
34528 |
Bei der Installation der Manager Webanwendung wird unnötigerweise WebView2 installiert. |
35662 |
In der Vorschau im Web Designer tritt beim Öffnen einer Servicekategorie beim Bestellvorgang ein Fehler auf. |
35404 |
Die OAuth Anmeldung am API Server schlägt fehl, weil der Parameter State nicht entschlüsselt werden kann. |
35611 |
Die Anzeigenamen von Bestellpositionen werden nicht lokalisiert. |
34865 |
Wenn keine passende Zeitzone ermittelt werden kann, kommt es im Web Designer Web Portal zu einer Fehlermeldung: Sequence contains no matching element. |
35191 |
Wird im Web Designer Web Portal in einem Datumsfeld Enter gedrückt, dann wird zur Startseite navigiert. |
35559 |
Kennwortfragen im Web Portal noch unter Profil angezeigt, obwohl der dazugehörende Parameter den Wert false hat. |
35647 |
Im Web Portal wird für die Beschreibung eines Produktes nicht der gesamte Text als Tooltip angezeigt, sondern die technische Bezeichnung. |
35659 |
In der Knotenbearbeitung im Web Designer werden bei einigen Eigenschaften die Daten nicht angezeigt, sondern nur Scrollbalken. |
35586 |
Im Kennwortrücksetzungsportal werden, nach einem fehlerhaften Anmeldeversuch, die Authentifizierungsmodule zur Anmeldung doppelt angezeigt. |
35546 |
Die Suche im Administration-Portal liefert unter Umständen keine Ergebnisse. |
307328 |
Bei einer Neuanmeldung der Datenbanksitzung innerhalb derselben API Server-Sitzung wird der zuvor verwendete Benutzer nicht abgemeldet. |
306163 |
Der Suchindex aktualisiert die Stichwörter zu Objekten nicht. |
303391 |
Der Suchindex findet Zeichenfolgen, die einen Bindestrich oder einen Backslash enthalten, nicht in jedem Fall. |
35634 |
Bei der Anzeige von Attestierungsvorgängen im Web Portal werden die Überschriften der Spalten Grouping und Property nicht korrekt dargestellt. |
35171 |
Bei Klick auf das angepasste Firmenlogo im Web Portal wird die Startseite nicht geöffnet. |
35658 |
Tabelle 7: Zielsystemanbindung
Das Skript DPR_NeedExecuteWorkflow und die genutzte View DPR_VWorkflowHandlesProperty beachten die Mappingrichtung der gemappten Schemaeigenschaften nicht. |
34982 |
Bei der Synchronisation einer Domäne tritt ein Konvertierungsfehler auf.
Es wird ein Patch für Synchronisationsprojekte mit der Patch ID VPR#35122 bereitgestellt. |
35122 |
Bei der Synchronisation von Cloud-Anwendungen mit dem Universal Cloud Interface Konnektor werden die UserInGroup* und UserHasGroup* Tabellen nicht beachtet.
Es wird ein Patch für Synchronisationsprojekte mit der Patch ID VPR#35451 bereitgestellt. |
35451 |
Fehler beim Öffnen eines AdminP-Auftrags im Objektbrowser des Synchronization Editor, wenn keine Datenbankdatei angegeben ist.
Es wird ein Patch für Synchronisationsprojekte mit der Patch ID VPR#35500 bereitgestellt. |
35500 |
Beim Aktualisieren von Synchronisationsprojekten für eine Domino-Umgebung wird die Variable MailFileAccessType nicht korrekt angelegt.
Es wird ein Patch für Synchronisationsprojekte mit der Patch ID VPR#35745 bereitgestellt. |
35745 |
Customizer verhindern das Speichern von Objekten, wenn die Spalte XOrigin den Wert 0 hat. |
34854 |
Fehlerhafte Konvertierung von Werten in Custom Extensions. |
35060 |
Der Anzeigename von Azure Active Directory Benutzerkonten für Gastbenutzer wird nicht in das Zielsystem übertragen. |
35598 |
Der Merge-Modus für die Tabellen AADApplicationOwner und AADServicePrincipalOwner ist nicht aktiviert. |
35183 |
Die Azure Active Directory Synchronisation bricht ab, wenn ein Eigentümer eines Dienstprinzipals selbst ein Dienstprinzipal ist.
Es wird ein Patch für Synchronisationsprojekte mit der Patch ID VPR#35768 bereitgestellt. |
35768 |
Microsoft Teams Teams und Microsoft Teams Kanäle sind keinem Scope zugeordnet.
Es wird ein Patch für Synchronisationsprojekte mit der Patch ID VPR#35410 bereitgestellt. |
35410 |
Der Erstellen von Microsoft Teams Kanälen scheitert. |
35428 |
Gruppenmitgliedschaften von Active Directory Gruppen, die zum Löschen markiert sind, werden nicht entfernt. |
35293 |
Rogue Correction von Active Directory Gruppenmitgliedschaften funktioniert nicht. |
35492 |
Read-Prozesse für Active Directory nutzen den Parameter OverrideVariables nicht. |
35555 |
Bei der automatischen Personenzuordnung wird unter Umständen ein unnötiges Remotepostfach erzeugt. |
35146 |
Der Prozess PAG_PAGAccessOrder_CheckExistingAccessRequest schlägt fehl. |
35593 |
Fehler beim Erstellen einen Unix Benutzerkontos, wenn der Nachname der verbundenen Person einen Doppelpunkt (:) enthält |
26374 |
Das Nachladen von Objekten im Bulk-Modus scheitert, wenn ein Element nicht geladen werden kann. |
34420 |
Konvertierungsfehler bei der Synchronisation einer Active Directory Domäne über One Identity Active Roles. |
35122 |
Wenn in einem Synchronisationsschritt mindestens drei Verarbeitungsmethoden definiert sind, wird die Reihenfolge der Verarbeitungsmethoden beim Speichern des Synchronisationsprojekts vertauscht. |
35499 |
Die Dokumentation zur Einrichtung einer Systemverbindung mit einer Oracle Database ist nicht aktuell. |
35505 |
Beim Einrichten der Systemverbindung mit einer SalesForce-Anwendung werden keine Schematypen erkannt. |
35679 |
Fehler beim Verschlüsseln einer Datenbank, wen DPRSystemConnection.ConnectionParameter als verschlüsselt gekennzeichnet ist. |
35695 |
Für Azure Active Directory Benutzerkonten funktioniert die Einzelobjektsynchronisation nicht mehr. |
35728 |
Die Update-Migration einer sehr großen Datenbank wird nach 12 Stunden im Schritt SAP 2019.0004.0017.0000 (31561) abgebrochen. |
35464 |
Wenn für Direktzuweisungen von SAP Rollen an SAP Benutzerkonten Bestellungen generiert werden, werden die Direktzuweisungen gelöscht und mit einem anderen Gültigkeitszeitraum neu erstellt. |
35648 |
Fehler beim Anwenden des Patches VPR#34563. |
35696 |
Auf dem Überblicksformular für Cloud-Anwendungen werden die zugeordneten Systemberechtigungen 1, 2 und 3 nicht angezeigt. |
35512 |
Automatisch erstellte Benutzerkonten in kundendefinierten Zielsystemen oder Benutzerkonten (Tabelle UNSAccountB) oder Cloud Benutzerkonten (Tabelle CMSUser) erben keine Gruppen.
Weitere Informationen finden Sie auch im Knowledge Artikel unter https://support.oneidentity.com/kb/339327. |
35214 |
Tabelle 8: Identity Management und Access Governance
Die Berechtigungen der Gruppe vi_4_ITSHOPADMIN_OWNER für Tabelle AADGroup sind fehlerhaft. |
35519 |
Übersetzungen des Namens einer Anwendung werden nicht für die Servicekategorie übernommen. |
35041 |
Die DBQueue Prozessor Aufträge QER-K-ShoppingRackPWOHelperPWO-Del und ATT-K-AttestationHelper-Del verursachen unter Umständen Blockaden. |
35157 |
Fehler beim Transportieren einer mehrfach bestellbaren Ressource. |
35470 |
Fehlende Abhängigkeiten zwischen DBQueue Prozessor Aufträgen für die Zuweisung von Unternehmensressourcen zu Personen. |
35294 |
Performanceprobleme bei der Ermittlung von Attestierungsobjekten (DBQueue Prozessor Auftrag ATT-K-HelperAttestationPolicy). |
34201 |
Performanceprobleme bei der Neuberechnung der Attestierer. |
35455 |
Wenn eine Entscheidungsebene mit mehreren Entscheidungsschritten aufgrund eines Timeouts abgelehnt wird, wird mitunter die nachfolgende Entscheidungsebene (bei Ablehnung) nicht ausgeführt. |
35473, 35474 |
Obwohl ein Attestierungsvorgang im Hold-Status ist, erhalten Attestierer, die währenddessen für diesen Entscheidungsschritt neu ermittelt werden, eine Aufforderung zur Attestierung als E-Mail-Benachrichtigung. Im Manager und im Web Portal wird für diese Attestierer korrekterweise nichts zum Attestieren angezeigt. |
35583 |
Die Complianceprüfung von Bestellungen im Warenkorb und im Genehmigungsverfahren erkennt keine Regelverletzung, wenn diese durch unterschiedliche Identitäten einer Person zustande kommt. Erst die zyklische Complianceprüfung erkennt die Regelverletzung. |
35170 |
Performanceprobleme bei der Berechnung der von Complianceregeln betroffenen Personengruppen. |
35261 |
Beim automatischen Entzug von Berechtigungen nach einer negativen Attestierung werden Bestellungen mit den Status Verlängerung und Abbestellung nicht berücksichtigt. |
34725 |
Eine sofortige Abbestellung einer Bestellung ist nicht möglich, wenn diese Bestellung zuvor bereits mit einem Gültigkeitsdatum abbestellt wurde. |
35431 |
Wenn der DBQueue Prozessor Auftrag QER-K-ShoppingRackPWOHelperPWO in mehreren Slots verarbeitet wird, wird dieser Auftrag unter Umständen immer wieder zurückgestellt. Andere Aufträge werden dadurch nicht verarbeitet. |
35466 |
Beim Versenden von E-Mail-Benachrichtigungen in Genehmigungsverfahren von Bestellungen werden falsche Mailvorlagen verwendet. |
35496 |
Die Mailvorlage IT Shop Bestellung – Verlängerung gibt unter Bestellt durch den Erstbesteller der Bestellung an, anstelle der Person, welche die Verlängerung bestellt. |
35529 |
Bestellungen von Produkten, für die ein Gültigkeitszeitraum festgelegt ist, lassen sich unbegrenzt verlängern. |
35651 |
Siehe auch: