Compartir a través de

Administración de la sincronización de contraseñas

Puede administrar la sincronización de contraseñas en Enterprise Single Sign-On (SSO) en Microsoft Management Console (MMC) Snap-In o la línea de comandos. En este tema se describe cómo realizar varias tareas de administración con adaptadores.

El Snap-In MMC muestra una lista de adaptadores y sus propiedades. Puede hacer clic con el botón derecho en un adaptador y usar el menú para realizar los siguientes comandos:

  • Creación de adaptadores

  • Configurar propiedades

  • Actualizar

  • Borrar

  • Habilitar

  • Deshabilitar

  • Adición de aplicaciones a un adaptador

  • Eliminación de aplicaciones de un adaptador

  • Notificación de restablecimiento

  • Agregar un adaptador a un grupo de adaptadores

  • Eliminar un adaptador de un grupo de adaptadores

    También puede usar la utilidad de línea de comandos SSOPS para administrar la sincronización de contraseñas. La mayoría de los comandos de esta sección están diseñados solo para su uso por parte de un administrador.

    Para muchos comandos, la salida del comando se muestra en la pantalla en dos columnas. Dado que ciertas configuraciones de pantalla podrían provocar el truncamiento de los datos, para obtener los mejores resultados, debe cambiar el tamaño del búfer de pantalla o el tamaño de Windows a 120 caracteres.

    En la tabla siguiente se enumeran los comandos SSOPS. Los procedimientos y la explicación adicional se encuentran en el resto de este tema.

Comando Función
-lista Enumera los adaptadores existentes.
-pantalla Muestra información del adaptador.
-crear Crea nuevos adaptadores.
-setprops Establece las propiedades del adaptador.
-actualizar Actualiza los adaptadores existentes.
-borrar Elimina un adaptador existente.
-habilitar Habilita el adaptador.
-inutilizar Deshabilita el adaptador.
-addapp Agrega la aplicación para el adaptador.
-deleteapp Elimina la aplicación para el adaptador.
-reinicio Restablece las colas de notificación o amortiguación.
-addtogroup Agrega adaptador al grupo de adaptadores.
-eliminar de grupo Elimina el adaptador del grupo de adaptadores.

Para enumerar los adaptadores existentes

  1. Haga clic en Inicio, en Ejecutar, escriba cmd y, a continuación, haga clic en Aceptar.

  2. En el indicador de comandos, vaya al directorio de instalación de la Enterprise Single Sign-On.

    El valor predeterminado es <drive>:\Program Files\Common Files\Enterprise Single Sign-On.

  3. Escriba ssops -list y presione ENTRAR.

    Se muestran adaptadores y descripciones. (E) indica que el adaptador está habilitado, (D) indica que está deshabilitado.

Para mostrar información del adaptador

  1. Haga clic en Inicio, en Ejecutar, escriba cmd y, a continuación, haga clic en Aceptar.

  2. En el indicador de comandos, vaya al directorio de instalación de la Enterprise Single Sign-On.

    El valor predeterminado es <drive>:\Program Files\Common Files\Enterprise Single Sign-On.

  3. Escriba ssops -display <adapter name> y presione ENTRAR.

    La salida de la pantalla muestra información del adaptador especificado.

    Además del nombre, el tipo, la descripción, el equipo y las cuentas, se muestra la siguiente información.

    Indicador de adaptador Detalles
    Adaptador habilitado Determina si el adaptador está habilitado.

    Marca: SSO_FLAG_ENABLED

    Nombre del atributo: enableApp

    Valor predeterminado: No
    Permitir cuentas locales Determina si las cuentas de administrador de aplicaciones o usuarios de la aplicación pueden ser cuentas locales.

    Marca: SSO_FLAG_APP_ALLOW_LOCAL

    Nombre del atributo: allowLocalAccounts

    Valor predeterminado: No
    Recepción de cambios de contraseña del adaptador Determina si el adaptador puede recibir cambios de contraseña externos.

    Indicador: SSO_FLAG_PARTIAL_SYNC_FROM_EXTERNAL_TO_DB

    Nombre del atributo: syncFromAdapter

    Valor predeterminado: No
    Comprobación de la contraseña antigua Determina si el adaptador comprobará la contraseña antigua cuando se reciba un cambio de contraseña externo. Si se establece esta marca, cuando se recibe un cambio de contraseña externo, el adaptador externo debe proporcionar la contraseña externa antigua además de la nueva contraseña externa. A continuación, la contraseña externa antigua se compara con la contraseña externa existente en la base de datos de SSO de esa cuenta externa. Si coinciden, se acepta el cambio de contraseña. Si no coinciden, se rechaza el cambio de contraseña.

    Marca: SSO_FLAG_SYNC_VERIFY_EXTERNAL_CREDS

    Nombre del atributo: verifyOldPassword

    Valor predeterminado: Sí
    Cambiar la contraseña de Windows Determina si la contraseña de Windows también se cambiará cuando se reciba un cambio de contraseña externo (sincronización completa). ENTSSO siempre usa la contraseña de Windows antigua almacenada en la base de datos de SSO para cambiar la contraseña de Windows al nuevo valor (Windows requiere la contraseña antigua y nueva para cambiar la contraseña de un usuario). Por lo tanto, se debe inicializar para que el cambio de contraseña de Windows se pueda realizar correctamente. Si la sincronización de contraseñas está configurada para una asignación determinada, cuando las credenciales externas se establecen a través de herramientas administrativas (ssomanage o ssoclient -setcredentials), también se establece la contraseña de Windows almacenada en la base de datos de SSO.

    Marca de sincronización completa: SSO_FLAG_FULL_SYNC_FROM_EXTERNAL_TO_WINDOWS

    Nombre del atributo: changeWindowsPassword

    Valor predeterminado: No
    Envío de cambios de contraseña de Windows al adaptador Determina si los cambios de contraseña de Windows se envían al adaptador externo.

    Marca: SSO_FLAG_FULL_SYNC_FROM_WINDOWS_TO_EXTERNAL

    Nombre del atributo: syncToAdapter

    Valor predeterminado: No
    Envío de una contraseña antigua al adaptador Si es Sí, el valor de contraseña anterior (de la base de datos de SSO) también se envía al adaptador externo además del nuevo valor de contraseña. Algunos sistemas externos pueden requerir los valores de contraseña antiguos y nuevos para cambiar la contraseña.

    Indicador: SSO_FLAG_SYNC_PROVIDE_OLD_EXTERNAL_CREDS

    Nombre del atributo: sendOldPassword

    Valor predeterminado: No
    Permitir conflictos de mapeo Determina si el adaptador permitirá conflictos de asignación.

    Se produce un conflicto de mapeo cuando los mapeos no son únicos. En una sola aplicación individual de SSO, las asignaciones siempre son uno a uno: una cuenta de Windows se asigna exactamente a una cuenta externa y viceversa.

    Sin embargo, es posible asignar más de una aplicación a un adaptador. Por lo tanto, es posible tener una asignación en una aplicación que entra en conflicto con una asignación en la otra.

    El propósito de esta marca es evitar que esto ocurra. Es más seguro no tolerar conflictos de mapeo a menos que haya un requisito específico y bien entendido para este comportamiento.

    Marca: SSO_FLAG_SYNC_ALLOW_MAPPING_CONFLICTS

    Nombre del atributo: allowMappingConflicts

    Valor predeterminado: No
    Descripción del adaptador Detalles
    Recuento de reintentos de notificaciones El valor predeterminado es 1.
    Retraso de reintento de notificación (en minutos) El valor predeterminado es 5.
    Número máximo de notificaciones pendientes El valor predeterminado es 8.
    Almacenar notificaciones (cuando están sin conexión) True o False.
    Nombre del servidor Nombre de servidor.
    Número de puerto Número de puerto.
    Aplicaciones para este adaptador Lista de aplicaciones asignadas actualmente al adaptador.

Para crear nuevos adaptadores

  1. Haga clic en Inicio, en Ejecutar, escriba cmd y, a continuación, haga clic en Aceptar.

  2. En el indicador de comandos, vaya al directorio de instalación de la Enterprise Single Sign-On.

    El valor predeterminado es <drive>:\Program Files\Common Files\Enterprise Single Sign-On.

  3. Escriba ssops -create <adapter file> y presione ENTRAR.

    La salida de la pantalla muestra información del adaptador recién creado.

Para establecer las propiedades de un adaptador

  1. Haga clic en Inicio, en Ejecutar, escriba cmd y, a continuación, haga clic en Aceptar.

  2. En el indicador de comandos, vaya al directorio de instalación de la Enterprise Single Sign-On.

    El valor predeterminado es <drive>:\Program Files\Common Files\Enterprise Single Sign-On.

  3. Escriba ssops -setprops <adapter name> y presione ENTRAR.

    La salida de la pantalla muestra las propiedades del adaptador especificado. Puede editarlos si es necesario, pero no se validan nuevos valores.

Para actualizar los adaptadores existentes

  1. Haga clic en Inicio, en Ejecutar, escriba cmd y, a continuación, haga clic en Aceptar.

  2. En el indicador de comandos, vaya al directorio de instalación de la Enterprise Single Sign-On.

    El valor predeterminado es <drive>:\Program Files\Common Files\Enterprise Single Sign-On.

  3. Escriba ssops -update <adapter file> y presione ENTRAR.

    Use este comando para actualizar la configuración y las marcas de un adaptador especificado. No use este comando para establecer propiedades; Use el comando -setprops en su lugar.

Para eliminar un adaptador existente

  1. Haga clic en Inicio, en Ejecutar, escriba cmd y, a continuación, haga clic en Aceptar.

  2. En el indicador de comandos, vaya al directorio de instalación de la Enterprise Single Sign-On.

    El valor predeterminado es <drive>:\Program Files\Common Files\Enterprise Single Sign-On.

  3. Escriba ssops -delete <adapter name> y presione ENTRAR.

    Se elimina el adaptador especificado.

Para habilitar un adaptador

  1. Haga clic en Inicio, en Ejecutar, escriba cmd y, a continuación, haga clic en Aceptar.

  2. En el indicador de comandos, vaya al directorio de instalación de la Enterprise Single Sign-On.

    El valor predeterminado es <drive>:\Program Files\Common Files\Enterprise Single Sign-On.

  3. Escriba ssops -enable <adapter name> y presione ENTRAR.

    El adaptador especificado está habilitado.

Para deshabilitar un adaptador

  1. Haga clic en Inicio, en Ejecutar, escriba cmd y, a continuación, haga clic en Aceptar.

  2. En el indicador de comandos, vaya al directorio de instalación de la Enterprise Single Sign-On.

    El valor predeterminado es <drive>:\Program Files\Common Files\Enterprise Single Sign-On.

  3. Escriba ssops -disable <adapter name> y presione ENTRAR.

    El adaptador especificado está deshabilitado.

Para agregar una aplicación a un adaptador

  1. Haga clic en Inicio, en Ejecutar, escriba cmd y, a continuación, haga clic en Aceptar.

  2. En la línea de comandos, vaya al directorio de instalación enterprise Single Sign-On.

    El valor predeterminado es <drive>:\Program Files\Common Files\Enterprise Single Sign-On.

  3. Escriba ssops -addapp <adapter name> <application name> y presione ENTRAR.

    La aplicación de SSO especificada se asigna al adaptador especificado. Esto significa que las contraseñas de las asignaciones de esa aplicación ahora están sincronizadas con este adaptador.

    Aunque se pueden asignar varias aplicaciones a un adaptador, cualquier aplicación determinada solo se puede asignar a un adaptador.

Para eliminar una aplicación de un adaptador

  1. Haga clic en Inicio, en Ejecutar, escriba cmd y, a continuación, haga clic en Aceptar.

  2. En el indicador de comandos, vaya al directorio de instalación de la Enterprise Single Sign-On.

    El valor predeterminado es <drive>:\Program Files\Common Files\Enterprise Single Sign-On.

  3. Escriba ssops -deleteapp <application name> y presione ENTRAR.

    La aplicación SSO especificada se elimina de un adaptador. (Dado que una aplicación solo se puede asignar a un adaptador, no tiene que especificar el nombre del adaptador).

Para restablecer la notificación

  1. Haga clic en Inicio, en Ejecutar, escriba cmd y, a continuación, haga clic en Aceptar.

  2. En el indicador de comandos, vaya al directorio de instalación de la Enterprise Single Sign-On.

    El valor predeterminado es <drive>:\Program Files\Common Files\Enterprise Single Sign-On.

  3. Escriba ssops -reset <adapter name | all | damping> y presione ENTRAR.

    Este comando borra la tabla de amortiguación o las colas de notificaciones para un único adaptador o todos los adaptadores, según se especifique. La tabla de amortiguación almacena un historial de 10 minutos de cambios de contraseña. Antes de que el sistema enterprise SSO acepte o envíe un cambio de contraseña, comprueba la tabla de amortiguación para ver si ha realizado el mismo cambio recientemente. Si lo tiene, se descarta el nuevo cambio.

Para agregar un adaptador a un grupo de adaptadores

  1. Haga clic en Inicio, en Ejecutar, escriba cmd y, a continuación, haga clic en Aceptar.

  2. En el indicador de comandos, vaya al directorio de instalación de la Enterprise Single Sign-On.

    El valor predeterminado es <drive>:\Program Files\Common Files\Enterprise Single Sign-On.

  3. Escriba ssops -addtogroup <adapter name> <adapter group> y presione ENTRAR.

    Este comando agrega el adaptador especificado al grupo de adaptadores especificado. Aunque un adaptador solo puede pertenecer a un grupo de adaptadores, un grupo de adaptadores puede contener varios adaptadores.

Para eliminar un adaptador de un grupo de adaptadores

  1. Haga clic en Inicio, en Ejecutar, escriba cmd y, a continuación, haga clic en Aceptar.

  2. En el indicador de comandos, vaya al directorio de instalación de la Enterprise Single Sign-On.

    El valor predeterminado es <drive>:\Program Files\Common Files\Enterprise Single Sign-On.

  3. Escriba ssops -deletefromgroup <adapter name> <adapter group> y presione ENTRAR.

    Este comando elimina el adaptador especificado del grupo de adaptadores especificado.

Véase también

Sincronización de contraseñas