Chat now with support
Chat with Support

Identity Manager 9.3 - Versionshinweise

One Identity Manager

One Identity Manager

Versionshinweise

Version 9.3

07. Januar 2025, 08:05 Uhr

Diese Versionshinweise stellen Informationen über den One Identity Manager Release Version 9.3 zur Verfügung. Es werden alle Änderungen seit One Identity Manager Version 9.2.1 aufgeführt.

Die aktuellsten Versionen der Produktdokumentation finden Sie unter Dokumentation.

One Identity Manager 9.3 ist ein Minor Release mit neuen Funktionen und verbessertem Verhalten. Siehe Neue Funktionen und Verbesserungen.

Wenn Sie eine One Identity Manager Version aktualisieren, die älter als One Identity Manager 9.2.1 ist, lesen Sie auch die Versionshinweise der vorangegangenen Versionen. Die Versionshinweise sowie Versionshinweise zu zusätzlichen Modulen, die auf der One Identity Manager-Technologie basieren, finden Sie unter One Identity Manager Support.

Die One Identity Manager Dokumentation liegt sowohl in englischer als auch deutscher Sprache vor. Für die nachfolgend einzeln aufgeführten Dokumente gibt es nur eine englische Fassung:

  • One Identity Manager Password Capture Agent Administration Guide

  • One Identity Manager LDAP Connector for CA Top Secret Reference Guide

  • One Identity Manager LDAP Connector for IBM RACF Reference Guide

  • One Identity Manager LDAP Connector for IBM AS/400 Reference Guide

  • One Identity Manager LDAP Connector for CA ACF2 Reference Guide

  • One Identity Manager REST API Reference Guide

  • One Identity Manager Object Layer Documentation

  • One Identity Manager Composition API Object Model Documentation

  • One Identity Manager Secure Password Extension Administration Guide

Über One Identity Manager

Über One Identity Manager

One Identity Manager vereinfacht konzernweit den Prozess der Verwaltung von Benutzeridentitäten, Zugriffsberechtigungen und Sicherheitsrichtlinien. Sie ermöglichen den Unternehmen die Kontrolle über Identitätsverwaltung und Zugriffsentscheidungen, während sich die IT-Teams auf ihre Kernkompetenzen fokussieren können.

Mit dem One Identity Manager können Sie Access-Governance-Anforderungen in Ihrem gesamten Konzern plattformübergreifend verwirklichen. One Identity Manager basiert auf einer prozessoptimierten Architektur und realisiert, im Gegensatz zu "traditionellen" Lösungen, die wesentlichen Identity- und Access-Management-Herausforderungen mit einem Bruchteil an Komplexität, Zeitaufkommen und Kosten.

One Identity Starling

Starten Sie Ihr Abonnement in Ihrem One Identity On-Prem-Produkt und verbinden Sie Ihre On-Prem-Lösungen mit unserer Cloud-Plattform One Identity Starling. Ermöglichen Sie Ihrem Unternehmen den sofortigen Zugriff auf eine Reihe von in der Cloud bereitgestellten Microservices, die die Funktionen Ihrer On-Prem-Lösungen von One Identity erweitern. Wir werden One Identity Starling ständig neue Produkte und Funktionen zur Verfügung stellen.

Eine kostenlose Testversion unserer One Identity Starling-Angebote sowie die neuesten Produktfeatures erhalten Sie unter https://www.cloud.oneidentity.com/.

Neue Funktionen

Neue Funktionen in One Identity Manager 9.3.

Allgemein

  • One Identity Manager basiert nun auf .NET 8.

    • Skripte und alle benutzerdefinierten Erweiterungen müssen mit .NET 8 kompatibel sein.

    • NuGet-Pakete werden als Abhängigkeit in Skripten unterstützt.

    • Die Konfigurationseinstellungen für die Protokollierung von Meldungen mittels NLog werden nun in der Konfigurationsdatei nlog.config vorgenommen.

    • Allgemeine Konfigurationseinstellungen der One Identity Manager-Werkzeuge können in einer Konfigurationsdatei appsettings.json vorgegeben werden.

    Aufgrund signifikanter Neuerungen ist die automatische Softwareaktualisierung für Jobserver und Webanwendungen nicht möglich. Jobserver und Webanwendungen müssen daher manuell aktualisiert werden. Weitere Informationen finden Sie unter Upgrade und Installationsanweisungen.

    Einige Funktionen werden nicht mehr unterstützt. Weitere Informationen finden Sie unter Abgekündigte Funktionen.

    Kundenspezifische Skripte für Synchronisationsprojekte, die kundenspezifische DLL-Dateien verwenden, müssen angepasst und neu kompiliert werden. Weitere Informationen finden Sie unter Bekannte Probleme.

  • Automatisierte Protokollierung von Objektänderungen.

    Nachdem Objekte in One Identity Manager geändert wurden, werden für eine definierte Teilmenge von Änderungen automatisch Protokollnachrichten im CEF-Format (Common Event Format) erzeugt und an einen bestimmten Syslog-Server gesendet. Die Arten der zu protokollierenden Änderungen können in der neuen Tabelle QBMCEFDefinitions definiert werden, zusammen mit Nachrichtenvorlagen und bis zu fünf Ersatzparametern in ObjectWalker-Notation, die sich auf das geänderte Objekt beziehen. Die Verbindung zum Syslog-Server wird über neue Konfigurationsparameter unterhalb von QBM | CEF konfiguriert.

  • Der Database Agent Service wurde grundlegend überarbeitet. Die komplette Ablaufsteuerung wird jetzt in der .NET-Komponente des Database Agent Service durchgeführt. Die alte Steuerungsprozedur QBM_PWorkDBQueueMain, welche auf dem Datenbankserver lief, entfällt.

    HINWEIS: Folgende Tabellen sind nur noch Read-only-Views und sollten nicht mehr als Basis für Kundenanpassungen verwendet werden:

    • QBMDBQueueOverview_fix

    • QBMDBQueueOverview

    • QBMDBQueueSlot

    • QBMDBQueueSlot_fix

    • QBMDBQueueTaskPerf

    • QBMDBQueueTaskPerf_fix

  • Die Konfiguration der Verarbeitung der DBQueue Prozessor-Aufträge wurde überarbeitet. Neue Konfigurationsparameter:

    • QBM | DBQueue | ChangeLimitDefault

    • QBM | DBQueue | MaxBulkFactor

    • QBM | DBQueue | MaxSlotsPerTask

    • QBM | DBQueue | OverloadLimit

    Mit dieser Änderung wurden Konfigurationsparameter entfernt. Weitere Informationen finden Sie unter Abgekündigte Funktionen.

  • Unterstützung mehrerer Ergebnislisten zu einem Menüeintrag.

    Der Manager unterstützt die Anzeige von mehreren Ergebnislisten zu einem Menüeintrag. Somit kann einfach zwischen mehreren Ergebnislisten gewechselt werden. Es kann festgelegt werden, welche Spalten in einer Ergebnisliste angezeigt werden und die Reihenfolge der Spalten kann geändert werden. Die Bearbeitung von Listen im Designer wurde angepasst. Es wird ein Editor zur Bearbeitung von Ergebnislisten bereitgestellt.

    HINWEIS: Kundenspezifische Menüeinträge werden bei der Migration angepasst. Prüfen Sie diese Einträge nach der Migration und passen Sie diese bei Bedarf weiter an.

  • Im Job Queue Info werden in der neuen Prozessarchiv-Ansicht die verarbeiteten Prozesse angezeigt einschließlich der Prozesse, die bereits in einer History Database archiviert wurden. Es können Filter angewendet werden. Die Ansicht wird nur angezeigt, wenn eine History Database im TimeTrace konfiguriert ist.

  • Wenn Berichte für unterschiedliche Sprachgebiete angezeigt werden müssen, können darin unter Umständen einige Zeichen nicht für alle Sprachen korrekt dargestellt werden. Über den Konfigurationsparameter Common | UI | ReportAlternateFontname kann eine Schriftart angegeben werden, welche auf allen Webservern und Clients verfügbar ist. Diese Schriftart wird dann zum Anzeigen der Berichte verwendet.

  • E-Mail-Benachrichtigungen können über Microsoft 365 versendet werden. Dazu muss eine Anwendung in Microsoft Entra ID registriert werden und über den neuen Konfigurationsparameter Common | MailNotification | O365ClientId im One Identity Manager bekanntgegeben werden.

  • Für E-Mail-Benachrichtungen können zusätzliche Einstellungen für die Datensicherheit bei Zugriff über LDAP konfiguriert werden. Neue Konfigurationsparameter sind Common | MailNotification | Encrypt | AuthenticationType, Common | MailNotification | Encrypt | Port und Common | MailNotification | Encrypt | UseSSL.

  • Die Indizierung von Tabellen für die Volltextsuche kann konfiguriert werden. Der neue Konfigurationsparameter Common | Indexing | PriorityTables bestimmt die Reihenfolge, in welcher der Suchindex die Tabellen der Datenbank verarbeitet. Der neue Konfigurationsparameter Common | Indexing | ExcludeTables bestimmt, welche Tabellen temporär von der Indizierung ausgeschlossen werden.

  • Das Abrufen von Konfigurationsoptionen für Geheimnisse (Secrets) aus Azure Key Vault wird unterstützt.

  • Die Manager-Webanwendung unterstützt die Anmeldung über OAuth.

  • Im Database Transporter kann bei der Erstellung eines Transportpakets mit SQL-Anweisungen der Einzelbenutzermodus für den Transport aktiviert oder deaktiviert werden.

  • Um Transportpakete zu importieren, die Systemdateien mit älteren Dateiversionen enthalten, benötigen die Benutzer nun die Programmfunktion Common_FileRevisionDowngrade.

  • Neue Parameter im Kommandozeilenprogramm DBConsCheckCmd.exe, um die Konsistenzprüfungen gruppiert nach Kategorien aufzulisten und auszuführen.

  • Neuer Parameter im Kommandozeilenprogramm Quantum.MigratorCmd.exe zum Erzwingen der vollständigen Prüfung und Reparatur der Standarddaten während der Schemaaktualisierung.

  • Die Installation einer History Database ist nun auch ohne speicheroptimierte Dateigruppe möglich.

  • Windows Server 2025 wird unterstützt.

API-Konfiguration

  • Der API Server unterstützt nun eine generische API für den Zugriff auf Tabellen, die für den Zugriff über den API Server freigegeben wurden.

  • Der API Server ermöglicht nun eine Integration mit Microsoft Application Insights. Damit kann die Performance eines API Servers überwacht und analysiert werden. Die Integration kann mit einem Plugin installiert werden.

  • Sie können nun in API-Methoden eigene Fehlermeldungen definieren, die auf Ihren jeweiligen Anwendungsfall zugeschnitten sind.

  • Für das Web Portal kann man nun festlegen, ob bei jeder Bestellung einer Systemberechtigung überprüft werden soll, ob der Empfänger über ein Benutzerkonto für das Zielsystem verfügt, und ob gegebenenfalls ein Benutzerkonto zur Bestellung mit angeboten werden soll. Dies kann mithilfe des Konfigurationsschlüssels RequestMissingAccounts im Administrationsportal konfiguriert werden.

  • Im Administrationsportal ist es nun möglich mithilfe der Konfigurationsschlüssel AttestationConfig/FilterIdentityApproverInsteadOf und ServerConfig/ITShopConfig/FilterIdentityApproverInsteadOf, festzulegen, an welche Identitäten Entscheidungen über Bestellungen oder Attestierungen delegiert werden können.

  • Im Administrationsportal kann man nun mithilfe des Konfigurationsschlüssels EnablePasswordProfileLogin die Anmeldung über Kennwortfragen konfigurieren.

  • Im Administrationsportal ist es nun mithilfe des Konfigurationsschlüssels ApiConnectionUrl möglich, die URL zu einer bestimmten API zu konfigurieren, unter der Clients die Verbindung aufbauen sollen.

  • Im Administrationsportal kann man nun mithilfe der Konfigurationsschlüssel CorsOrigins und CorsMaxPreflightAgeSeconds Cross-Origin Resource Sharing (CORS) konfigurieren.

  • Im Administrationsportal kann man nun verschiedene Funktionen des Web Portals über neue Konfigurationsschlüssel konfigurieren.

    • EnableWebauthnKeyManagement: Legt fest, ob Benutzer ihre WebAuthn-Sicherheitsschlüssel verwalten können.

    • EnableNewPerson: Legt fest, ob Benutzer Identitäten erstellen können.

    • ProductSelectionByPeerGroup: Legt fest, ob beim Zusammenstellen einer neuen Bestellung Produkte empfohlen werden sollen, indem die Peer-Gruppe des Empfängers analysiert wird.

    • EnableNewDepartment: Legt fest, ob Benutzer Abteilungen erstellen können.

    • EnableNewLocality: Legt fest, ob Benutzer Standorte erstellen können.

    • EnableNewProfitcenter: Legt fest, ob Benutzer Kostenstellen erstellen können.

    • EnableNewAeRole: Legt fest, ob Benutzer Anwendungsrollen erstellen können, für die sie verantwortlich sind.

    • EnableNewOrg: Legt fest, ob Benutzer Geschäftsrollen erstellen können.

    • EnableNewESet: Legt fest, ob Benutzer Systemrollen erstellen können.

    • EnableNewTeamRole: Legt fest, ob Benutzer Teamrollen erstellen können.

    • EnableNewDelegationSubstitute: Legt fest, ob Benutzer Pakete von Verantwortlichkeiten delegieren können (globale Delegierungen).

    • EnableNewDelegationIndividual: Legt fest, ob Benutzer bestimmte einzelne Verantwortlichkeiten delegieren können (individuelle Delegierungen).

HTML5-Webentwicklung

  • Das Verfahren zum Laden von Bibliotheken in HTML-Anwendungen wurde geändert. Bei der Kompilierung einer HTML-Anwendung muss darauf geachtet werden, dass zuvor alle benötigten Bibliotheken kompiliert vorliegen. Dies gilt unabhängig davon, in welchen Bibliotheken Code geändert wurde.

  • Der Angular-Workspace integriert das Werkzeug Nx zur einfacheren Verwaltung von Abhängigkeiten und verbesserter Kompilierungsgeschwindigkeit.

  • Im Web Portal gibt es nun eine Editor-Komponente für Eigenschaften des Typs Bitmaske.

HTML5-Webanwendungen

  • Im Web Portal kann man nun ein Produkt mit anderen Benutzern teilen, damit diese das Produkt ebenfalls bestellen können.

  • Im Web Portal ist es nun möglich, Anwendungsrollen anzuzeigen und zu verwalten.

  • Man kann nun im Web Portal die Verantwortlichkeiten der Identitäten, für die man verantwortlich ist, anderen Identitäten zuweisen.

  • Als Administrator von Identitäten kann man nun Rollenmitgliedschaften und Verantwortlichkeiten von allen Identitäten an andere Identitäten delegieren.

  • Einige Aktionen, die Sie bei der Nutzung des Web Portals durchführen (beispielsweise Bestellungen genehmigen oder ablehnen), werden im Hintergrund als sogenannte Hintergrundprozesse verarbeitet, sodass Sie das Web Portal ohne Unterbrechung weiter nutzen können. Sie können diese Hintergrundprozesse nun anzeigen und verwalten.

  • Im Web Portal für Betriebsunterstützung werden auf der Startseite nun Hinweise angezeigt, falls empfohlene Schwellwerte aus dem Systembericht überschritten werden.

Zielsystemanbindung

  • Azure Active Directory wurde in Microsoft Entra ID umbenannt.

  • Die Synchronisation von benutzerdefinierten Microsoft Entra ID Sicherheitsattributen wird unterstützt.

    Es wird ein Patch für Synchronisationsprojekte mit der Patch ID ADO#446363 bereitgestellt.

  • Die Synchronisation von Microsoft Entra ID Benutzerkonten Sponsoren wird unterstützt.

    Es wird ein Patch für Synchronisationsprojekte mit der Patch ID ADO#438166 bereitgestellt.

  • Die Synchronisation von Microsoft Entra ID befristeten Zugriffspässen wird in Microsoft Entra ID Mandanten unterstützt. Einstellungen für befristete Zugangspässe können über die Konfigurationsparameter unter TargetSystem | AzureAD | Accounts | TemporaryAccessPass konfiguriert werden.

    Es wird ein Patch für Synchronisationsprojekte mit der Patch ID ADO#446183 bereitgestellt.

    HINWEIS: Für diese Funktion sind UserAuthenticationMethod.ReadWrite.All-Berechtigungen für die One Identity Manager-Anwendung im Microsoft Entra ID erforderlich.

  • Office 365 wurde in Microsoft 365 umbenannt.

  • Sendeberechtigungen werden nun auch für Exchange Online Raumpostfächer unterstützt.

  • Der Exchange Online Konnektor verwendet im Aufruf Connect-ExchangeOnline nun den Parameter SkipLoadingCmdletHelp, falls vorhanden. Dadurch werden mögliche verwaiste Verzeichnisse im temporären Ordner reduziert und beseitigt.

  • Das Anlegen und Bearbeiten von Microsoft 365 Gruppen (O3EUnifiedGroup) über eine Nur-App-Authentifizierung wird unterstützt. Abonnenten können nicht bearbeitet werden.

    HINWEIS: Mit dieser Änderung sind zusätzliche Berechtigungen Group.Create, Group.ReadWrite.All und GroupMember.ReadWrite.All für die registrierte Anwendung im Microsoft Entra ID erforderlich.

  • Microsoft Teams Kanäle und Teams haben nun Links zu den entsprechenden SharePoint Websites.

  • Das Laden von Microsoft Teams Kanälen und Teams wurde auf den Endpunkt /teams umgestellt.

    HINWEIS: Mit dieser Änderung sind TeamSettings.ReadWrite.All-Berechtigungen für die One Identity Manager-Anwendung im Microsoft Entra ID erforderlich.

  • Active Directory, welches mit Windows Server 2025 geliefert wird, wird im bisherigen Umfang unterstützt.

  • Um Benutzerkonten beim Deaktivieren in einen speziellen Active Directory Container zu verschieben, kann in den IT Betriebsdaten ein Container für deaktivierte Benutzerkonten (ADSAccount.UID_ADSContainerDisabled) eintragen werden.

  • Nach dem Verschieben eines Postfachs vom lokalen Microsoft Exchange nach Exchange Online wird nun das ausstehende Postfach automatisch gelöscht.

  • Oracle Database 23ai wird unterstützt.

  • One Identity Safeguard Version 8.0 wird im bisherigen Umfang unterstützt.

  • Die PowerShell Module für die One Identity Safeguard Versionen 7.0 und 7.5 unterstützen .NET 8.

    HINWEIS: Die PowerShell Module müssen neu installiert werden. Kopieren Sie das Verzeichnis mit dem PowerShell Modul der entsprechenden Version aus dem Verzeichnis Modules\PAG\dvd\AddOn\safeguard-ps des One Identity Manager-Installationsmediums in das Verzeichnis %ProgramFiles%\WindowsPowerShell\Modules\safeguard-ps auf dem Server.

  • Unterstützung von Verzeichnissen als Mitglieder von PAM Assetgruppen.

    Es wird ein Patch für Synchronisationsprojekte mit der Patch ID ADO#433775 bereitgestellt.

  • Das SDK-Beispiel und die Code-Snippets für Abrufen von Synchronisierungskennwörtern aus One Identity Safeguard for Privileged Passwords wurden aktualisiert und vereinfacht. Weitere Informationen finden Sie unter Modules\PAG\dvd\AddOn\SDK.

  • SAP .Net Connector 3.1 for x64 mit der Version 3.1.5 für Microsoft .NET 8.0.x wird unterstützt.

  • Das Business Application Programming Interface des One Identity Manager ist zertifiziert mit SAP S/4HANA Cloud Private Edition, Release 2023.

  • Eine ausführliche Anleitung zum PowerShell-Konnektor mit umfangreichen Beispielen finden Sie nun im One Identity GitHub unter PowerShell Connector Guide.

Identity Management und Access Governance

  • Über den neuen Konfigurationsparameter QER | Person | User | DeleteOptions | ReapplyTemplatesOnRestore kann festgelegt werden, ob beim erneuten Aktivieren eines zum Löschen markierten Benutzerkontos, welches über Kontendefinitionen verwaltet wird, die Bildungsregeln erneut angewendet werden.

  • Folgende abonnierbare Berichte wurden hinzugefügt.

    • Verwaiste Benutzerkonten

    • Benutzerkonten mit überdurchschnittlich vielen Berechtigungen

    • Identitäten mit mehreren Benutzerkonten pro Zielsystem

    • Nicht verwendete Benutzerkonten

  • Das neue Entscheidungsverfahren PX -Identität in einem beliebigen Parameter der Bestelleigenschaften ermöglicht die manuelle Auswahl eines Entscheiders bei einer Bestellung. Dazu kann auf einem Bestellparameter ein Kriterium zur Auswahl von Identitäten hinterlegt werden, aus welchen der Besteller eine Identität auswählt. Die gewählte Identität entscheidet die Bestellung final. Das Entscheidungsverfahren kann beispielsweise genutzt werden, wenn Manager einen Stellvertreter suchen. Die gewählte Identität übernimmt die Stellvertretung, wenn sie die Bestellung genehmigt.

  • Die Definition und Berechnung von SAP Funktionen wurde umgebaut. Über Funktionsargumente kann festgelegt werden, wie die Berechtigungsobjekte logisch verknüpft werden. Die logische Operation wird als Bedingung an jeder SAP Funktion gespeichert.

    • Der neue Konfigurationsparameter TargetSystem | SAPR3 | SAPRights | AbilityNamePattern enthält die Namenskonvention für die Funktionsargumente.

    • Der Konfigurationsparameter TargetSystem | SAPR3 | SAPRights | TestWithoutTCD wird nicht mehr benötigt und für zukünftige Versionen des One Identity Manager abgekündigt. In Version 9.3 kann die Einstellung des Konfigurationsparameters nicht mehr geändert werden.

    • Bei der Aktualisierung der One Identity Manager-Datenbank auf die Version 9.3 werden bestehende SAP Funktionen auf das neue Verfahren umgestellt.

    • Beim Import von Funktionsdefinitionen aus älteren Versionen des One Identity Manager werden diese ebenfalls auf das neue Verfahren umgestellt.

    • Im Berechtigungseditor gibt es die neue Aufgabe Hinzufügen durch Berechtigungsobjekt.

    • Es besteht jetzt die Möglichkeit zwei verschiedene Varianten des gleichen Berechtigungsobjekts in einer Berechtigungsdefinition zu erfassen.

    • Im Berechtigungseditor können beliebige Felder manuell hinzugefügt werden.

    WICHTIG:

    • Prüfen Sie vor der Aktualisierung der One Identity Manager-Datenbank auf die Version 9.3 die Einstellung des Konfigurationsparameters.

    • Prüfen Sie nach der Aktualisierung der Datenbank und nach dem Import von Funktionsdefinitionen die Berechtigungsdefinitionen und die Bedingungen der umgestellten Funktionsdefinitionen, bevor Sie die SAP Funktionen aktivieren und anwenden.

  • Wenn die Mitgliedschaft in einer Systemberechtigung bestellt oder abbestellt wird, wird der Provisionierungsstatus der Mitgliedschaft an der Bestellung gespeichert und aktualisiert.

  • Genehmigungsverfahren für Attestierungsvorgänge können in Phasen eingeteilt werden.

    1. (Optional) Bereitstellen

      Die Eigentümer der jeweiligen Attestierungsrichtlinie können die Details eines Attestierungslaufs prüfen. Wenn dabei Fehler festgestellt werden, können die betroffenen Attestierungsvorgänge abgebrochen, die Fehler behoben und die Attestierung neu gestartet werden.

    2. Attestieren

      Die Attestierung wird entsprechend dem definierten Entscheidungsworkflow durchgeführt.

    3. (Optional) Anfechten

      Wenn eine Attestierung endgültig abgelehnt wird, können die betroffenen Identitäten diese Ablehnung anfechten. So kann beispielsweise verhindert werden, dass eine kurzfristig benötigte Berechtigung durch eine zeitgesteuerte Attestierung entzogen wird und anschließend wieder zugewiesen werden muss.

    4. (Optional) Berechtigungen automatisch entziehen

      Wenn eine Attestierung endgültig abgelehnt wird, kann die abgelehnte Berechtigung sofort automatisch entzogen werden.

  • Für die Attestierung per E-Mail wird nun Microsoft 365 genutzt. Die benötigten Informationen für den Versand der E-Mail-Benachrichtigungen konfigurieren Sie über die Konfigurationsparameter unter QER | Attestation | MailApproval | Mailsystem.

    Für die Entscheidung von Bestellungen per E-Mail wird nun Microsoft 365 genutzt. Die benötigten Informationen für den Versand der E-Mail-Benachrichtigungen konfigurieren Sie über die Konfigurationsparameter unter QER | ITShop | MailApproval | Mailsystem.

Verwandte Themen

Verbesserungen

Nachfolgend finden Sie eine Liste von Verbesserungen, die in One Identity Manager 9.3 implementiert wurden.

Tabelle 1: Allgemein

Verbesserung

Fehler ID

Verbesserte Dokumentation zum Kommandozeilenprogramm DatabaseAgentServiceCmd.exe.

427953

Verbesserte Anzeige von Warnungen und Fehlermeldungen im Configuration Wizard bei der Verarbeitung von DBQueue Prozessor-Aufträgen.

430668, 36632

Verbesserte Dokumentation zur Erstellung von Datenbankbenutzern im Designer.

430676, 36685

Neue Konsistenzprüfung Duplicate Keys in ProxyTable, um zu ermitteln, ob es mehrere Einträge in einer Proxy-Tabelle gibt, die die gleiche UID haben, obwohl diese eindeutig sein sollte.

431167, 36911

Verbesserte Konsistenzprüfung Template uses too long columns.

432559, 37161

Verbesserte Anzeige der Zeitangaben im Systemprotokoll in den One Identity Manager-Werkzeugen.

436043

Die Statusseite des Anwendungsservers zeigt nun die verbundenen History Database-Datenbanken an.

439822

Verbessertes Verhalten der Kontextmenüs im Job Queue Info.

441115

Verbessertes Verhalten beim Verschlüsseln der Verbindungsdaten beim Wiederherstellen einer Datenbank im Configuration Wizard.

441175

Das Kommandozeilenprogramm InstallManager.Cli.exe kann jetzt auch ohne administrative Berechtigungen ausgeführt werden.

442673

Verbesserte Sicherheit in Docker-Images. Der Port, der Container freigibt, wurde für Linux-Container und Windows-Container auf Port 8080 geändert. Für Linux-Container wird der neue app Benutzer ohne root-Berechtigungen verwendet.

443610

Die Programmeinstellungen von Manager und Designer wurden überarbeitet.

453450

Die Konsistenzprüfung SQL-Formatter usage test for UID columns gibt jetzt genauere Informationen über die Fehlerposition aus.

453821

Password Manager Secure Password Extension wurde auf Version 5.14.2 aktualisiert.

454264

Verbesserung der Prozessverarbeitung zur Vermeidung von Sperren in der Datenbank bei vielen parallelen Änderungen.

455268

Der Name des Benutzers in der Umgebung wird nun in das Systemprotokoll eingetragen, wenn die Anmeldeprüfung aktiviert ist.

456106

Verbesserung der Designer-internen Volltextsuche.

456285

Der Transport von Schemaerweiterungen mit dem Database Transporter wurde optimiert.

456443, 456397

Die Initialisierung der internen Datenbank des Designers wurde optimiert. Das Ladeverhalten für Spalten im Designer kann festgelegt werden.

456450

Für DBQueue Prozessor-Aufträge sind die Werte für die Eigenschaften Begrenzung und Min. Zeitdifferenz [Sekunden] nun kundenspezifisch anpassbar.

459207

Verbesserte und einheitlichere Anzeigetexte für die Prozessverfolgung.

460026

Bei Aktivierung des Konfigurationsparameters Common | ProcessState | PropertyLog | AllDefaultPropertiesForModel werden nun auch die Wirksamkeit (XIsInEffect) und die Herkunft von Zuweisungen bei Änderungsaktionen mit aufgezeichnet.

460990

Beim Erstellen von Tabellen in Schema Extension werden nun die Primärschlüsselindizes mit Zeilensperre erzeugt.

461386

Verbesserte Performance bei der Ausführung von verzögerten Operationen.

462200

Im Schema Extension ist es nun erlaubt, kundenspezifische Schemaerweiterungen für m:n- und m:all-Tabellen wieder zu entfernen.

462919

Verbesserte Performance für den Abfragefilterdialog bei großen Ergebnismengen.

463059

Verbesserte Performance bei der Verarbeitung von DBQueue Prozessor-Aufträgen mit dem Wert 1 für die maximale Anzahl an Instanzen.

463394

Im Database Compiler können mit Strg + C die Meldungen zur Verarbeitung der Datenbank in die Zwischenablage kopiert werden.

467500

Beim Laden von Berichten über einen Anwendungsserver werden unter Umständen die Berechtigungen nicht korrekt beachtet.

468072

Verbesserte Performance beim Auswerten des Prozessarchivs im Job Queue Info.

468290

Für das automatisierte Erzeugen von Indexen werden nur noch Tabellen einbezogen, die im Schema dbo existieren.

469029

Fehlende HTTP Response Codes wurden im One Identity Manager REST API Reference Guide ergänzt.

431330

Tabelle 2: API-Konfiguration

Verbesserung

Fehler ID

Da der API Server auf ASP.NET Core basiert, wurden Abhängigkeiten von Owin entfernt.

319906

Aus Sicherheitsgründen wurden einige APIs verschoben.

  • Der API-Endpoint imx/metadata wurde entfernt. Stattdessen müssen nun projektspezifische Endpoints (portal/metadata und opsupport/metadata) aufgerufen werden.

  • Der API-Endpoint imx/systeminfo/thirdparty wurde entfernt. Stattdessen müssen nun projektspezifische Endpoints (portal/systeminfo/thirdparty, opsupport/systeminfo/thirdparty und passwordreset/systeminfo/thirdparty) aufgerufen werden.

405504

Der API Server hinterlegt das Authentifizierungstoken nicht mehr als Cookie im Browser. Alle Sitzungsdaten werden in der Tabelle QBMSessionStore gespeichert. Zusätzlich werden keine persistent gespeicherten Authentifizierungs-Cookies mehr unterstützt. Alle Cookies werden nur noch als Sitzungs-Cookies generiert.

409895

Der Schutz vor automatischen Kontosperrungsangriffen wurde verbessert.

Wenn Sie ein eigenes API-Projekt einsetzen, müssen Sie die Konfiguration der Klasse ProjectLevelConfig mit aufnehmen.

var captchaValidator = builder.Resolver.Resolve<ICaptchaValidator>();
var services = builder.Resolver.Resolve<IServices>();
var configService = builder.Resolver.Resolve<IConfigService>();
 
var projectLevelConfig = new ProjectLevelConfig(captchaValidator);
services.Register(projectLevelConfig);
configService.RegisterConfigurableObject(projectLevelConfig);

416537

Die verwendete Anwendung für die Einstellung der Authentifizierung am Kennwortrücksetzungsportal wurde auf PasswordReset geändert. Dieses ermöglicht eine Konfiguration der Authentifizierungsmodule, die nur für das Kennwortrücksetzungsportal gilt.

420909

Im Administrationsportal ist es nun möglich mithilfe des Konfigurationsschlüssels RecommendationExclude, festzulegen, welche Berechtigungen nicht für die Zuweisung zu Objekten empfohlen werden sollen.

421447

Im Administrationsportal ist es nun möglich mithilfe des Konfigurationsschlüssels EnablePasscodeLogin, die Anmeldung am Kennwortrücksetzungsportal mit Zugangscode zu aktivieren oder zu deaktivieren.

421481

Es ist nun möglich mithilfe von API-Plugins, generische Kriterien für die Filterung von Daten zu definieren. Hierfür wurde ein entsprechendes API-Beispiel bereitgestellt.

440838

Es ist nun möglich, mithilfe eines Composition-API-Plugins eine benutzerdefinierte Prüfung des Einkaufswagens im Web Portal hinzuzufügen.

442121

Es ist nun möglich, API-Methoden zu erstellen, die doppelte Parameterwerte unterstützen.

453412

Die Performance der Bestellhistorie und der Attestierungshistorie im Web Portal wurde verbessert.

Durch diese Änderung wird die Eigenschaft WorkflowSteps in der Antwort des API Servers nicht mehr für jede Bestellung/jeden Attestierungsvorgang einzeln gesetzt.

Das bisherige Verhalten der API lässt sich wiederherstellen, indem Sie das Kompatibilitätslevel mit einem API-Plugin folgendermaßen einstellen.

public void Build(IApiBuilder builder) { 
 
                var settings = builder.Resolver.Resolve<IMethodSetSettings>();
                settings.CompatibilityLevel = ApiCompatibilityLevel.Api92; 
}

453959

Der API Server verwendet nun die integrierte System.Text.Json-Bibliothek anstelle der Newtonsoft.Json-Bibliothek.

Grober Überblick :

  • Namen von Eigenschaften müssen nun in doppelten Anführungszeichen angegeben werden.

  • Um die Sicherheit zu erhöhen, werden nun Sonderzeichen im vom API Server generierten JSON-Code automatisch maskiert.

Die vollständige Liste der Änderungen finden Sie unter Migrate from Newtonsoft.Json to System.Text.Json.

HINWEIS: Um diese Änderungen zu integrieren, müssen Sie möglicherweise benutzerdefinierten API-Code aktualisieren.

456940

Das Software Development Kit (SDK) mit kommentierten Code-Beispielen für die API-Entwicklung finden Sie nun im One Identity GitHub unter Identity Manager API plugin development.

460908

Tabelle 3: HTML5-Webentwicklung

Verbesserung

Fehler ID

Der Quelltext der Webanwendungen wurde für eine automatische Code-Formatierung mit ESLint konfiguriert.

406450

Elemental UI wurde auf die Angular-Version 17/18 aktualisiert.

458500

Der Standardwert der Content-Security-Policy für Webanwendungen wurde auf content-security-policy: object-src 'none'; img-src 'self' data:; default-src: self; geändert.

460429

Angular wurde auf die Version 18.2.2 aktualisiert.

465211

Tabelle 4: HTML5-Webanwendungen

Verbesserung

Fehler ID

Die Anzeige der API-Dokumentation im Administrationsportal wurde verbessert.

205843

Fehlermeldungen werden nun im Web Portal in einem Dialogfenster statt in einem Banner dargestellt.

268292

Wenn in einer Webanwendung die Sitzung abläuft, wird nun in einer entsprechenden Meldung darauf hingewiesen und anschließend die Anmeldeseite geladen.

272514

Das Web Portal unterstützt nun die Anmeldung mit ReCAPTCHA.

284359

Die Attestierung der Eigentümer von Systemberechtigungen wurde verbessert.

290501

Im Web Portal kann man nun mithilfe einer benutzerdefinierten Filterbedingung nach Produkten suchen, die Zugriff auf eine bestimmte Berechtigung gewähren.

312490, 35892

Im Web Portal für Betriebsunterstützung wurde die Seite Prozesshistorie um den Filter Queue ergänzt.

324018

Im Web Portal wurden mehrere Seiten um Filter ergänzt:

  • Attestierungshistorie, meine Attestierungen, offene Attestierungen: Richtlinienverbunde (als Standardfilter)

  • Attestierungsrichtlinien, Complianceregeln und Unternehmensrichtlinien: Framework (als benutzerdefinierter Filter)

324018

Beim Erstellen neuer Delayed-Logic-Entities über den API Server wird nun als HTTP-Statuscode 201 (statt 200) verwendet, um das erfolgreiche Erstellen auszudrücken.

406394

In Webanwendungen kann man nun in Tabellen mit einem Klick auf den Spaltentitel sortieren.

407866

In Tabellen in Webanwendungen kann man nun einfach zur ersten oder zur letzten Seite springen.

417331

Im Web Portal wurde für Richtlinienverletzungen eine Möglichkeit hinzugefügt, mithilfe eines benutzerdefinierten Filters nur Richtlinienverletzungen eines bestimmten Objekts anzuzeigen.

426972

Im Web Portal können nun Elemente in Hyperviews auf- und zugeklappt werden.

427822

Verbesserte Performance beim Laden großer Datenmengen im API Server.

431094

Im Web Portal ist es nun möglich, Aktionen auch für mehrere Bestellungen und Attestierungsvorgänge auszuführen.

432018

Es ist nun möglich im Web Portal, eine leere Teamrolle zu erstellen.

432021

Die Bestellhistorie im Web Portal unterstützt nun einen Filter Meine Delegierungen, der globale und Einzeldelegierungen filtert.

432832

Im Web Portal wird nun für Spalten auch deren technischer Name angezeigt, damit besser zwischen diesen Spalten unterschieden werden kann, falls deren Anzeigename gleich ist.

433146

Die Sicherheit beim Generieren von Berichten wurde erhöht.

433758

Im Web Portal wurde die Anzeige von Daten verbessert.

435257

Im Web Portal müssen nun die hinterlegten Kennwortfragen und -antworten eindeutig sein.

435886

Im exportierten SCIM Schema und in Fehlermeldungen, die sich auf konkrete Tabellen und Spalten beziehen, werden die konfigurierten Anzeigenamen der Tabellen und Spalten verwendet.

436088

Die Anzeige der Historie eines Objekts im Web Portal wurde verbessert.

437366

Im Web Portal werden nun lange Anzeigenamen von Systemberechtigungen verwendet.

441186

Es ist nun möglich im Web Portal, in Hyperviews ausgehend von Eigenschaften eines Objekts weiterzunavigieren.

442024

Im Web Portal wird nun in der Kopfleiste ein Symbol angezeigt, das die Anzahl der im Einkaufswagen befindlichen Produkte anzeigt und zum Einkaufswagen führt.

442136

Im Web Portal können Sie nun Übersichten von Objekten, die an offenen Attestierungsvorgängen beteiligt sind, als Hyperviews anzeigen.

446465

Im Web Portal wird nun ein Hinweis angezeigt, wenn das Bestellen einer Berechtigung für eine Rolle zu einer Regelverletzung führt.

449174

Die Performance der Startseite des Web Portals wurde verbessert.

450077

Der Konfigurationsschlüssel DisableHyperViewNavigation wurde umbenannt in EnableHyperViewNavigation.

453647

Im Web Portal wurde die Performance bei der Anzeige von Benutzerkonten im Daten-Explorer verbessert.

454162

Im Web Portal werden Umbrüche nun korrekt als solche erkannt und Texte richtig dargestellt.

454683

Der RSTS wurde auf die Version 2024-02-04.1 aktualisiert.

Änderungen:

  • Es können nur noch Bilddateien auf der Anmeldeseite des RSTS konfiguriert werden.

  • OAuth2 PKCE und DeviceCode Flow werden unterstützt.

Der RSTS muss für die Aktualisierung deinstalliert und neu installiert werden.

455387

Die Installation des API Servers wurde verbessert.

456127

Beim Erstellen von Attestierungsrichtlinien im Web Portal wird nun ein Hinweis angezeigt, wenn man eine Bedingung festgelegt hat, die sich auf eine Stichprobe bezieht, aber keine Stichprobe ausgewählt hat.

457254

Im Web Portal wurden Statistiken für Zielsysteme und Namespaces hinzugefügt und eine Möglichkeit geschaffen, KPIs in einer hierarchischen Struktur zu definieren. Zusätzlich wurden die Interfaces IHeatmapService und IKpiChartService entfernt. Verwenden Sie nur noch das Interface IChartService.

457542

Im Web Portal wurde die Performance bei der Entscheidung über Attestierungsvorgänge verbessert.

458137

Der Bestellvorgang für Microsoft Entra ID Rollenzuweisungen und Berechtigungen wurde verbessert.

459668

Im Web Portal wird nun beim Anzeigen von Attestierungsvorgängen für Eigenschaften, die nicht gesetzt wurden, auch ein entsprechender Hinweis angezeigt.

460548

Der Web Installer normalisiert die angegebene Basis-URL und fügt einen abschließenden Schrägstrich hinzu, falls dieser nicht angegeben ist. Die Basis-URL einer Webanwendung muss nun eindeutig sein.

460949, 460947

Die Bedienbarkeit der Anmeldeseiten der Webanwendungen wurde verbessert.

464184

Der Suchindex verarbeitet keine Aktualisierungen von referenzierten Objekten mehr. Um Änderungen an referenzierten Objekten zu verarbeiten, starten Sie eine komplette Indizierung.

464396

Im Administrationsportal ist es nun möglich, mithilfe des Konfigurationsschlüssels HTTP-Header die HTTP-Header, die zu allen Antworten hinzugefügt werden, zu konfigurieren.

464628

Im Web Portal werden nun für Mitgliedschaften von Systemberechtigungen unwirksame Zuweisungen entsprechend gekennzeichnet.

464973

Die Unterstützung des API Servers bei Abfragen mit einer großen Zahl von Ergebnissen aus dem Suchindex wurde verbessert.

465551

Bei der Protokollierung fehlgeschlagener Anmeldeversuche wird nun der verwendete Benutzername eingekürzt.

466311

Im Web Portal wurde die Performance bei der Anzeige der Verantwortlichkeiten von Identitäten verbessert.

466408

Im Web Portal berücksichtigt die Ermittlung optionaler Leistungspositionen nun auch Bestellvorgänge für mehrere Identitäten.

467368

Tabelle 5: Zielsystemanbindung

Verbesserung

Fehler ID

Verbesserte Abbildung von externen Benutzerkennungen für SAP Benutzerkonten.

Es wird ein Patch für Synchronisationsprojekte mit der Patch ID ADO#326713bereitgestellt.

326713

Verbesserte Dokumentation für die Konfiguration der Synchronisation von Exchange Online Postfachberechtigungen.

430716, 36919

Verbesserte Dokumentation der Berechtigungen für die Synchronisation mit SharePoint Online.

430723, 37026

Im Synchronization Editor wird nun ein Hinweis angezeigt, dass zur Anlage neuer Basisobjekte der Assistent genutzt werden soll, wenn es möglich ist.

430727, 37053

Der generische Datenbankkonnektor für den generischen ADO.NET Provider unterstützt jetzt das Lesen von Datenbanksystemen die keine Transaktionen unterstützen.

430918, 36210

Das vom Active Directory Konnektor exportierte Schema berücksichtigt die System-Only-Kennzeichnung an den Attributen im Active Directory und exportiert diese als nur lesbare Schemaeigenschaften.

Es wird ein Patch für Synchronisationsprojekte mit der Patch ID ADO#440672 bereitgestellt.

440672

PAM Zugriffsanforderung von Dateien für Konten in einem PAM System werden unterstützt.

Es wird ein Patch für Synchronisationsprojekte mit der Patch ID ADO#450685bereitgestellt.

450685

Die Eindeutigkeit der definierten Namen von Systemberechtigungen in kundendefinierten Zielsystemen wurde neu definiert.

452898

Verbesserte Performance bei der Ausführung von UID-Vergleichen in Skripten, Bildungsregeln und Prozessen.

453649

Die Einschränkung der zulässigen Werte für Gruppenansprüche von Microsoft Entra ID App-Registrierungen wurden entfernt.

456597

Verbesserte Dokumentation der Berechtigungen zur Registrierung einer Anwendung in Microsoft Entra ID.

457262

Die Fehlermeldungen des SCIM-Plugins wurden für direkte Datenbankverbindungen und Verbindungen über einen Anwendungsserver weitgehend vereinheitlicht.

458772

Die maximalen Längen der Spalten AADGroup.MailNickname und AADGroup.DisplayName wurden entsprechend der Längen im Microsoft Entra ID begrenzt.

463821

Die automatische Erstellung von Property-Mapping-Regeln mit dem Mapping-Assistenten im Synchronization Editor, die auf dem Vergleich ähnlicher Eigenschaftennamen basiert, wurde verbessert.

438936

Das Synchronization Editor Command Line Interface bietet zusätzliche Optionen an, um nach der Aktualisierung eines Synchronisationsprojekts das Schema zu komprimieren und das Synchronisationsprojekt zu aktivieren.

447064

Synchronisationsprojekte können nun auch über eine Remoteverbindung automatisiert erstellt oder aktualisiert werden. Die Konfigurationsdatei wurde um Definitionen für die Herstellung der Remoteverbindung erweitert.

430576

Verbesserte Performance bei der Verarbeitung des DBQueue Prozessor-Auftrags Zuordnung Benutzerkonten zu SAP Parametern (SAP-K-UserHasParameter).

466206

Einige Microsoft Entra ID Schematypen unterstützen nun Systemfilter.

439618

Korrektur der Parameterübergabe an Funktionen, die in einer SAP-Schemaerweiterungsdatei definiert sind und zum Löschen eines SAP-Objektes verwendet werden.

464030

Die Bildung des zentralen SAP Benutzerkontos für Identitäten wurde optimiert. Es wird ein eindeutiger Name unter Berücksichtigung aller SAP Benutzerkonten der Identität gebildet. Über den Konfigurationsparameter TargetSystem | SAPR3 | Accounts| CentralSAPAccountGlobalUnique legen Sie fest, wie das zentrale SAP Benutzerkonto gebildet wird.

441119

Tabelle 6: Identity Management und Access Governance

Verbesserung

Fehler ID

Einige Statistiken wurden überarbeitet.

421696

Verbesserung der Performance beim Löschen von Einträgen der Tabelle Basetree.

427842

Verbesserte Unterstützung von Zusatzeigenschaften.

  • Zusatzeigenschaften und deren Eigenschaftengruppen werden nun mehrsprachig unterstützt.

  • Zusatzeigenschaften sind jetzt für jeden angemeldeten Benutzer sichtbar.

  • Zusatzeigenschaften können nun in den Basisdaten der einzelnen Zielsysteme bearbeitet werden. Die Berechtigungen für Zielsystemadministratoren wurden überarbeitet.

452775, 452774, 430259, 24441

Die Peer-Gruppen-Analyse wurde verbessert. Es werden auch mehrfach bestellbare Ressourcen berücksichtigt.

453951, 433858

Das Basisobjekt des zeitgesteuerten Prozesses VI_Person_Deactive_ExitDate_Expired wurde auf Identities geändert.

464512

Der reduzierte Risikoindex für die Arbeitskopien von Complianceregeln, Unternehmensrichtlinien und SAP Funktionen wird nicht berechnet und im Manager nicht mehr angezeigt. Der Risikoindex von Complianceregeln, Unternehmensrichtlinien und SAP Funktionen wird nur bei produktiven Versionen durch die Zuweisung von risikomindernde Maßnahmen reduziert.

469180, 468325

Das Entscheidungsverfahren AM - Manager der verbundenen Identität kann nun für die Attestierung von Benutzerkonten in allen Zielsystemen ausgewählt werden.

459633

Verbesserte Performance, wenn Benachrichtigungen über die Entscheidung von Bestellungen oder Attestierungsvorgängen versendet werden.

436383

Bei Attestierungen können jetzt Nutzungsbedingungen als PDF-Datei versendet werden. Die Nutzungsbedingungen können in verschiedenen Sprachen hinterlegt werden und werden in der jeweiligen Sprache des Anwenders angezeigt.

430379

Im Rahmen der Stichprobenattestierung können nun auch Zufallsstichproben erzeugt werden.

430504

Attestierer von Leistungspositionen sehen nun das komplette Überblicksformular der jeweiligen Leistungsposition.

430582

Für Entscheidungsverfahren kann nun eine ausführliche Beschreibung erfasste werden. Die Beschreibung der Standard-Entscheidungsverfahren enthält Informationen darüber, welche Entscheider oder Attestierer ermittelt werden und für welche Bestellungen oder Basisobjekte der Attestierung das Entscheidungsverfahren genutzt werden kann.

455400

Die Option Zuweisung an Systemrolle an Zuweisungsressourcen ist nun im One Identity Manager Administrationshandbuch für IT Shop beschrieben.

458623

Adaptive Karten für die Entscheidung von Bestellungen oder für Attestierungen enthalten nun auch Entscheidungsempfehlungen, wenn diese Funktion konfiguriert ist.

460602

Der Name und die E-Mail-Adresse eines Empfängers von adaptiven Karten werden in Starling Cloud Assistant aktualisiert, wenn die Standard-E-Mail-Adresse oder der interne Name für diese Identität im One Identity Manager geändert wird.

456047

Performanceverbesserung bei der Berechnung von Risikoindizes.

HINWEIS: Die Risikoindizes werden nur noch zeitgesteuert berechnet. Eine sofortige Neuberechung bei Datenänderungen findet nicht mehr statt.

438165, 444303

Verwandte Themen
Self Service Tools
Knowledge Base
Notifications & Alerts
Product Support
Software Downloads
Technical Documentation
User Forums
Video Tutorials
RSS Feed
Contact Us
Licensing Assistance
Technical Support
View All
Related Documents

The document was helpful.

Select Rating

I easily found the information I needed.

Select Rating