Compartir a través de

Administración de la sincronización de contraseña

  • Artículo

Puede administrar la sincronización de contraseñas en enterprise Single Sign-On (SSO) mediante el Snap-In de Microsoft Management Console (MMC) o la línea de comandos. En este tema se describe cómo realizar varias tareas de administración con adaptadores.

El Complemento MMC muestra una lista de adaptadores y sus propiedades. Puede hacer clic con el botón secundario en un adaptador y utilizar el menú para ejecutar los comandos siguientes:

  • Crear adaptadores

  • Establecimiento de las propiedades

  • Actualizar

  • Eliminar

  • Habilitar

  • Disable

  • Agregar aplicaciones a un adaptador

  • Eliminar aplicaciones de un adaptador

  • Restablecer una notificación

  • Agregar un adaptador a un grupo de adaptadores

  • Eliminar un adaptador de un grupo de adaptadores

    También puede usar la utilidad de línea de comandos SSOPS para administrar la sincronización de contraseñas. La mayoría de los comandos de esta sección están diseñados solo para su uso por parte de un administrador.

    Para la mayoría de los comandos, la salida de comando se muestra en pantalla, organizada en dos columnas. Dado que cierta configuración de pantalla podría provocar el truncamiento de los datos, para obtener los mejores resultados, debe cambiar el tamaño del búfer de pantalla o el tamaño de Windows a 120 caracteres.

    En la tabla siguiente se enumeran los comandos SSOPS. Los procedimientos y la explicación adicional se encuentran en el resto de este tema.

Get-Help Función
-list Enumera los adaptadores existentes.
-display Muestra información del adaptador.
-create Crea nuevos adaptadores.
-setprops Establece las propiedades del adaptador.
-update Novedades adaptadores existentes.
-delete Elimina un adaptador existente.
-enable Habilita el adaptador.
-disable Deshabilita el adaptador.
-addapp Agrega la aplicación para el adaptador.
-deleteapp Elimina la aplicación para el adaptador.
-reset Restablece las colas de notificación o amortiguación.
-addtogroup Agrega adaptador al grupo de adaptadores.
-deletefromgroup Elimina el adaptador del grupo de adaptadores.

Para enumerar los adaptadores existentes

  1. Haga clic en Inicio, en Ejecutar, escriba cmd y, a continuación, haga clic en Aceptar.

  2. En el símbolo del sistema, vaya al directorio de instalación enterprise Single Sign-On.

    El valor predeterminado es <drive>:\Program Files\Common Files\Enterprise Single Sign-On.

  3. Escriba ssops -list y presione ENTRAR.

    Se muestran adaptadores y descripciones. (E) indica que el adaptador está activado, y (D) indica que está desactivado.

Para ver información de adaptadores

  1. Haga clic en Inicio, en Ejecutar, escriba cmd y, a continuación, haga clic en Aceptar.

  2. En el símbolo del sistema, vaya al directorio de instalación enterprise Single Sign-On.

    El valor predeterminado es <drive>:\Program Files\Common Files\Enterprise Single Sign-On.

  3. Escriba ssops -display <adapter name> y presione ENTRAR.

    La salida de la pantalla muestra información para el adaptador especificado.

    Además del nombre, tipo, descripción, equipo y cuentas, se muestra la información siguiente:

    Indicador del adaptador Detalles
    Adaptador habilitado Indicar si el adaptador está habilitado.

    Marca: SSO_FLAG_ENABLED

    Nombre del atributo: enableApp

    Valor predeterminado: No
    Permitir grupos locales Determina si las cuentas de administrador de aplicación y usuarios de aplicación pueden ser cuentas locales.

    Marca: SSO_FLAG_APP_ALLOW_LOCAL

    Nombre del atributo: allowLocalAccounts

    Valor predeterminado: No
    Recibir cambios de contraseñas del adaptador Determinar si el adaptador está autorizado a recibir cambios de contraseñas externos.

    Marca: SSO_FLAG_PARTIAL_SYNC_FROM_EXTERNAL_TO_DB

    Nombre del atributo: syncFromAdapter

    Valor predeterminado: No
    Comprobar contraseña antigua Determina si el adaptador comprobará la contraseña antigua al recibir un cambio de contraseña externo. Si se establece esta marca, cuando se recibe un cambio de contraseña externo, el adaptador externo debe proporcionar la contraseña externa antigua además de la nueva contraseña externa. De esta forma, la contraseña antigua se contrasta con la contraseña externa existente en la base de datos de SSO correspondiente a dicha cuenta. Si las contraseñas coinciden, se aceptará el cambio de contraseña. Si las contraseñas no coinciden, se denegará el cambio de contraseña.

    Marca: SSO_FLAG_SYNC_VERIFY_EXTERNAL_CREDS

    Nombre del atributo: verifyOldPassword

    Valor predeterminado: Sí
    Cambiar la contraseña de Windows Determina si la contraseña de Windows también se cambiará cuando se reciba un cambio de contraseña externo (sincronización completa). ENTSSO siempre usa la contraseña antigua de Windows almacenada en la base de datos de SSO para cambiar la contraseña de Windows al nuevo valor (Windows requiere la contraseña antigua y la nueva para cambiar la contraseña de un usuario). Por lo tanto, se debe inicializar para que el cambio de contraseña de Windows se pueda realizar correctamente. Si la sincronización de contraseñas está configurada para una asignación determinada, cuando las credenciales externas se establecen a través de herramientas administrativas (ssomanage o ssoclient -setcredentials), también se establece la contraseña de Windows almacenada en la base de datos de SSO.

    Marca: SSO_FLAG_FULL_SYNC_FROM_EXTERNAL_TO_WINDOWS

    Nombre del atributo: changeWindowsPassword

    Valor predeterminado: No
    Enviar cambios de contraseñas de Windows al adaptador Determina si los cambios de contraseña de Windows se envían al adaptador externo.

    Marca: SSO_FLAG_FULL_SYNC_FROM_WINDOWS_TO_EXTERNAL

    Nombre del atributo: syncToAdapter

    Valor predeterminado: No
    Enviar contraseña antigua al adaptador Si es Sí, el valor de contraseña anterior (de la base de datos de SSO) también se envía al adaptador externo además del nuevo valor de contraseña. Algunos sistemas externos podrían solicitar ambos valores (contraseña antigua y contraseña nueva) para efectuar un cambio de contraseña.

    Marca: SSO_FLAG_SYNC_PROVIDE_OLD_EXTERNAL_CREDS

    Nombre del atributo: sendOldPassword

    Valor predeterminado: No
    Permitir conflictos de asignación Determinar si el adaptador debe permitir los conflictos de asignación.

    Los conflictos de asignación tienen lugar cuando las asignaciones no son exclusivas. En una sola aplicación individual de SSO, las asignaciones siempre son una a una: una cuenta de Windows se asigna exactamente a una cuenta externa y viceversa.

    Sin embargo, es posible asignar más de una aplicación a un mismo adaptador. Por lo tanto, existe la posibilidad de que la asignación de una aplicación entre en conflicto con otra.

    El propósito de esta marca es evitar que esto ocurra. Resulta más seguro no permitir los conflictos de asignación, a menos que exista un requisito específico y justificado para hacerlo.

    Marca: SSO_FLAG_SYNC_ALLOW_MAPPING_CONFLICTS

    Nombre del atributo: allowMappingConflicts

    Valor predeterminado: No
    Descripción del adaptador Detalles
    Recuento de reintentos de notificación El valor predeterminado es 1.
    Retraso de reintento de notificación (en minutos) El valor predeterminado es 5.
    Número máximo de notificaciones pendientes El valor predeterminado es 8.
    Almacenar notificaciones (sin conexión) True/False
    Nombre de servidor Nombre de servidor.
    Número de puerto Número de puerto.
    Aplicaciones para este adaptador Ofrece una lista de las aplicaciones actualmente asignadas al adaptador.

Para crear un adaptador nuevo

  1. Haga clic en Inicio, en Ejecutar, escriba cmd y, a continuación, haga clic en Aceptar.

  2. En el símbolo del sistema, vaya al directorio de instalación enterprise Single Sign-On.

    El valor predeterminado es <drive>:\Program Files\Common Files\Enterprise Single Sign-On.

  3. Escriba ssops -create <adapter file> y presione ENTRAR.

    La salida de pantalla muestra información para el adaptador recién creado.

Para establecer las propiedades de un adaptador

  1. Haga clic en Inicio, en Ejecutar, escriba cmd y, a continuación, haga clic en Aceptar.

  2. En el símbolo del sistema, vaya al directorio de instalación enterprise Single Sign-On.

    El valor predeterminado es <drive>:\Program Files\Common Files\Enterprise Single Sign-On.

  3. Escriba ssops -setprops <adapter name> y presione ENTRAR.

    La salida de pantalla muestra las propiedades del adaptador especificado. Si es necesario, puede editarlas, aunque los valores nuevos no se validarán.

Para actualizar los adaptadores existentes

  1. Haga clic en Inicio, en Ejecutar, escriba cmd y, a continuación, haga clic en Aceptar.

  2. En el símbolo del sistema, vaya al directorio de instalación enterprise Single Sign-On.

    El valor predeterminado es <drive>:\Program Files\Common Files\Enterprise Single Sign-On.

  3. Escriba ssops -update <adapter file> y presione ENTRAR.

    Utilice este comando para actualizar los parámetros e indicadores de un adaptador concreto. No utilice este comando para establecer propiedades; Use el comando -setprops en su lugar.

Para eliminar un adaptador existente

  1. Haga clic en Inicio, en Ejecutar, escriba cmd y, a continuación, haga clic en Aceptar.

  2. En el símbolo del sistema, vaya al directorio de instalación enterprise Single Sign-On.

    El valor predeterminado es <drive>:\Program Files\Common Files\Enterprise Single Sign-On.

  3. Escriba ssops -delete <adapter name> y presione ENTRAR.

    Se elimina el adaptador especificado.

Para habilitar un adaptador

  1. Haga clic en Inicio, en Ejecutar, escriba cmd y, a continuación, haga clic en Aceptar.

  2. En el símbolo del sistema, vaya al directorio de instalación enterprise Single Sign-On.

    El valor predeterminado es <drive>:\Program Files\Common Files\Enterprise Single Sign-On.

  3. Escriba ssops -enable <adapter name> y presione ENTRAR.

    El adaptador especificado está habilitado.

Para deshabilitar un adaptador

  1. Haga clic en Inicio, en Ejecutar, escriba cmd y, a continuación, haga clic en Aceptar.

  2. En el símbolo del sistema, vaya al directorio de instalación enterprise Single Sign-On.

    El valor predeterminado es <drive>:\Program Files\Common Files\Enterprise Single Sign-On.

  3. Escriba ssops -disable <adapter name> y presione ENTRAR.

    El adaptador especificado está deshabilitado.

Para agregar una aplicación a un adaptador

  1. Haga clic en Inicio, en Ejecutar, escriba cmd y, a continuación, haga clic en Aceptar.

  2. En la línea de comandos, vaya al directorio de instalación de inicio de sesión único empresarial.

    El valor predeterminado es <drive>:\Program Files\Common Files\Enterprise Single Sign-On.

  3. Escriba ssops -addapp <adapter name> <application name> y presione ENTRAR.

    La aplicación SSO especificada se asigna al adaptador especificado. Esto significa que las contraseñas de las asignaciones de esa aplicación ahora se sincronizan con este adaptador.

    Aunque se pueden asignar varias aplicaciones a un adaptador, cualquier aplicación determinada solo se puede asignar a un adaptador.

Para eliminar una aplicación de un adaptador

  1. Haga clic en Inicio, en Ejecutar, escriba cmd y, a continuación, haga clic en Aceptar.

  2. En el símbolo del sistema, vaya al directorio de instalación enterprise Single Sign-On.

    El valor predeterminado es <drive>:\Program Files\Common Files\Enterprise Single Sign-On.

  3. Escriba ssops -deleteapp <application name> y presione ENTRAR.

    La aplicación de inicio de sesión único especificada se quita de un adaptador. (Dado que una aplicación solo se puede asignar a un adaptador, no es necesario especificar el nombre del adaptador).

Para restablecer una notificación

  1. Haga clic en Inicio, en Ejecutar, escriba cmd y, a continuación, haga clic en Aceptar.

  2. En el símbolo del sistema, vaya al directorio de instalación enterprise Single Sign-On.

    El valor predeterminado es <drive>:\Program Files\Common Files\Enterprise Single Sign-On.

  3. Escriba ssops -reset <adapter name | all | damping> y presione ENTRAR.

    Este comando deja vacías la cola de la tabla histórica de cambios de contraseñas y la cola de notificaciones de uno adaptador o de todos, según se especifique. La tabla histórica de cambios de contraseñas almacena un historial de cambio de contraseñas cada 10 minutos. Antes de que el sistema enterprise SSO acepte o envíe un cambio de contraseña, comprueba la tabla de amortiguación para ver si ha realizado el mismo cambio recientemente. Si es así, la contraseña nueva queda descartada.

Para agregar un adaptador a un grupo de adaptadores

  1. Haga clic en Inicio, en Ejecutar, escriba cmd y, a continuación, haga clic en Aceptar.

  2. En el símbolo del sistema, vaya al directorio de instalación de Enterprise Single Sign-On.

    El valor predeterminado es <drive>:\Program Files\Common Files\Enterprise Single Sign-On.

  3. Escriba ssops -addtogroup <adapter name> <adapter group> y presione ENTRAR.

    Este comando permite agregar el adaptador especificado al grupo de adaptadores especificado. Aunque un adaptador solo puede pertenecer a un grupo de adaptadores, un grupo de adaptadores puede contener varios adaptadores.

Para eliminar un adaptador de un grupo de adaptadores

  1. Haga clic en Inicio, en Ejecutar, escriba cmd y, a continuación, haga clic en Aceptar.

  2. En el símbolo del sistema, vaya al directorio de instalación de Enterprise Single Sign-On.

    El valor predeterminado es <drive>:\Program Files\Common Files\Enterprise Single Sign-On.

  3. Escriba ssops -deletefromgroup <adapter name> <adapter group> y presione ENTRAR.

    Este comando permite eliminar el adaptador especificado del grupo de adaptadores especificado.

Consulte también

Sincronización de contraseñas