Partager via

Comment administrer la synchronisation de mot de passe

Vous pouvez administrer la synchronisation de mot de passe via le Snap-In MMC ou la ligne de commande.

La console MMC Snap-In affiche une liste d’adaptateurs et de leurs propriétés. Vous pouvez cliquer avec le bouton droit sur un adaptateur et utiliser le menu pour exécuter les commandes suivantes :

  • Créer des adaptateurs

  • Définir des propriétés

  • Mise à jour

  • Supprimer

  • Activer

  • Désactiver

  • Ajouter des applications à un adaptateur

  • Supprimer des applications d’un adaptateur

  • Notification de réinitialisation

  • Ajouter un adaptateur à un groupe d’adaptateurs

  • Supprimer un adaptateur d’un groupe d’adaptateurs

    Vous pouvez également utiliser l’utilitaire de ligne de commande SSOPS pour administrer votre synchronisation de mot de passe. La plupart des commandes de cette section sont destinées uniquement à être utilisées par un administrateur.

    Pour de nombreuses commandes, la sortie de commande s’affiche à l’écran dans deux colonnes. Comme certains paramètres d’écran peuvent entraîner la troncation des données, pour de meilleurs résultats, vous devez modifier la taille de la mémoire tampon de l’écran/la taille de Windows sur 120 caractères.

    Les commandes SSOPS sont répertoriées dans le tableau suivant. Les procédures et explications supplémentaires se trouvent dans le reste de cette rubrique.

Commande Fonction
-liste Répertorie les adaptateurs existants
-montrer Affiche les informations de l’adaptateur
-créer Crée un ou plusieurs adaptateurs
-setprops Définit les propriétés de l’adaptateur
-mettre à jour Met à jour les adaptateurs existants
-supprimer Supprime un adaptateur existant
-Activer Active l’adaptateur
-désactiver Désactive l’adaptateur
-addapp Ajoute une application pour l’adaptateur
-supprimerapplication Supprime l’application pour l’adaptateur
-réinitialisation Réinitialise les files d’attente de notification ou d’atténuation
-addtogroup Ajoute l’adaptateur au groupe d’adaptateurs
-supprimerdugroupe Supprime l’adaptateur du groupe d’adaptateurs

Pour répertorier les adaptateurs existants

  1. Dans le menu Démarrer , cliquez sur Exécuter.

  2. Dans la boîte de dialogue Exécuter , tapez cmd, puis cliquez sur OK.

  3. Sur la ligne de commande, accédez au répertoire d’installation enterprise Single Sign-On. La valeur par défaut est <drive> :\Program Files\Common Files\Enterprise Single Sign-On.

  4. Tapez ssops -list et appuyez sur Entrée.

    Les adaptateurs et descriptions seront répertoriés. (E) indique que l’adaptateur est activé, (D) indique qu’il est désactivé.

Pour afficher des informations sur l’adaptateur

  1. Dans le menu Démarrer , cliquez sur Exécuter.

  2. Dans la boîte de dialogue Exécuter , tapez cmd, puis cliquez sur OK.

  3. Sur la ligne de commande, accédez au répertoire d’installation enterprise Single Sign-On. La valeur par défaut est <drive> :\Program Files\Common Files\Enterprise Single Sign-On.

  4. Tapez ssops -display <nom de l’adaptateur>, puis appuyez sur Entrée.

    La sortie de l’écran affiche des informations pour l’adaptateur spécifié.

    Outre le nom, le type, la description, l’ordinateur et les comptes, les informations suivantes s’affichent.

    Indicateur d’adaptateur Détails
    Adaptateur activé Détermine si l’adaptateur est activé ou non.

    Indicateur : SSO_FLAG_ENABLED

    Nom de l’attribut : enableApp

    Valeur par défaut : Non
    Autoriser les comptes locaux Détermine si les comptes d’administrateur d’application ou d’utilisateurs d’application peuvent être des comptes locaux.

    Indicateur : SSO_FLAG_APP_ALLOW_LOCAL

    Nom de l’attribut : allowLocalAccounts

    Valeur par défaut : Non
    Recevoir les modifications de mot de passe de l’adaptateur Détermine si l’adaptateur est autorisé ou non à recevoir des modifications de mot de passe externes.

    Indicateur : SSO_FLAG_PARTIAL_SYNC_FROM_EXTERNAL_TO_DB

    Nom de l’attribut : syncFromAdapter

    Valeur par défaut : Non
    Vérifier l’ancien mot de passe Détermine si l’adaptateur vérifie l’ancien mot de passe lorsqu’une modification de mot de passe externe est reçue. Si cet indicateur est défini, alors lors d’un changement de mot de passe externe, l’adaptateur externe doit fournir l’ancien mot de passe ainsi que le nouveau. L’ancien mot de passe externe est ensuite comparé au mot de passe externe existant dans la base de données sSO pour ce compte externe. S’ils correspondent, la modification du mot de passe est acceptée. S’ils ne correspondent pas, la modification du mot de passe est rejetée.

    Indicateur : SSO_FLAG_SYNC_VERIFY_EXTERNAL_CREDS

    Nom de l’attribut : verifyOldPassword

    Valeur par défaut : Oui
    Modifier le mot de passe Windows Détermine si le mot de passe Windows sera également modifié lorsqu’une modification de mot de passe externe est reçue (synchronisation complète). L’ENTSSO utilise toujours l’ancien mot de passe Windows stocké dans la base de données SSO pour remplacer le mot de passe Windows par la nouvelle valeur (Windows nécessite à la fois l’ancien mot de passe et le nouveau mot de passe pour modifier un mot de passe d’utilisateur), de sorte qu’il doit être initialisé avant que la modification du mot de passe Windows puisse réussir. Si la synchronisation de mot de passe est configurée pour un mappage particulier, lorsque les informations d’identification externes sont définies via des outils d’administration (ssomanage ou ssoclient -setcredentials) le mot de passe Windows stocké dans la base de données sSO est également défini. Indicateur : SSO_FLAG_FULL_SYNC_FROM_EXTERNAL_TO_WINDOWS

    Nom de l’attribut : changeWindowsPassword

    Valeur par défaut : Non
    Envoyer des modifications de mot de passe Windows à l’adaptateur Détermine si les modifications de mot de passe Windows seront envoyées à l’adaptateur externe ou non.

    Indicateur : SSO_FLAG_FULL_SYNC_FROM_WINDOWS_TO_EXTERNAL

    Nom de l’attribut : syncToAdapter

    Valeur par défaut : Non
    Envoyer un ancien mot de passe à l’adaptateur Si c’est le cas, l’ancienne valeur de mot de passe (à partir de la base de données SSO) est également envoyée à l’adaptateur externe, ainsi que la nouvelle valeur de mot de passe. Certains systèmes externes peuvent nécessiter à la fois les anciennes et nouvelles valeurs de mot de passe pour modifier le mot de passe.

    Indicateur : SSO_FLAG_SYNC_PROVIDE_OLD_EXTERNAL_CREDS

    Nom de l’attribut : sendOldPassword

    Valeur par défaut : Non
    Autoriser les conflits de mappage Détermine si l’adaptateur autorise ou non les conflits de mappage.

    Un conflit de mappage se produit lorsque les mappages ne sont pas uniques. Dans une seule application individuelle d’authentification unique, les mappages sont toujours un-à-un : un compte Windows est mappé à exactement un compte externe et inversement.

    Toutefois, il est possible d’affecter plusieurs applications à un adaptateur. Par conséquent, il est possible d’avoir un mappage dans une application qui est en conflit avec un mappage dans l’autre.

    Cet indicateur a pour but d’empêcher cela de se produire. Il est plus sûr de ne pas autoriser les conflits de mappage, sauf s’il existe une exigence spécifique et bien comprise pour ce comportement.

    Indicateur : SSO_FLAG_SYNC_ALLOW_MAPPING_CONFLICTS

    Nom de l’attribut : allowMappingConflicts

    Valeur par défaut : Non
    Description de l’adaptateur Détails
    Nombre de nouvelles tentatives de notification 1 constitue la valeur par défaut.
    Délai de nouvelle tentative de notification (en minutes) La valeur par défaut est 5.
    Nombre maximal de notifications en attente La valeur par défaut est 8.
    Notifications du Windows Store (en mode hors connexion) Vrai/Faux.
    Nom du serveur Nom du serveur.
    Numéro de port Numéro de port.
    Applications pour cet adaptateur Liste des applications actuellement affectées à l’adaptateur.

Pour créer de nouveaux adaptateurs

  1. Dans le menu Démarrer , cliquez sur Exécuter.

  2. Dans la boîte de dialogue Exécuter , tapez cmd, puis cliquez sur OK.

  3. Sur la ligne de commande, accédez au répertoire d’installation enterprise Single Sign-On. La valeur par défaut est <drive> :\Program Files\Common Files\Enterprise Single Sign-On.

  4. Tapez ssops -create fichier adaptateur<>, puis appuyez sur Entrée.

    La sortie de l’écran affiche des informations pour l’adaptateur nouvellement créé.

Pour définir les propriétés d’un adaptateur

  1. Dans le menu Démarrer , cliquez sur Exécuter.

  2. Dans la boîte de dialogue Exécuter , tapez cmd, puis cliquez sur OK.

  3. Sur la ligne de commande, accédez au répertoire d’installation enterprise Single Sign-On. La valeur par défaut est <drive> :\Program Files\Common Files\Enterprise Single Sign-On.

  4. Tapez ssops -setprops <nom de l’adaptateur>, puis appuyez sur Entrée.

    La sortie de l’écran affiche les propriétés de l’adaptateur spécifié. Vous pouvez les modifier si nécessaire, mais les nouvelles valeurs ne sont pas validées.

Pour mettre à jour des adaptateurs existants

  1. Dans le menu Démarrer , cliquez sur Exécuter.

  2. Dans la boîte de dialogue Exécuter , tapez cmd, puis cliquez sur OK.

  3. Sur la ligne de commande, accédez au répertoire d’installation enterprise Single Sign-On. La valeur par défaut est <drive> :\Program Files\Common Files\Enterprise Single Sign-On.

  4. Tapez ssops -update fichier d’adaptateur<>, puis appuyez sur Entrée.

    Utilisez cette commande pour mettre à jour les paramètres et les indicateurs d’un adaptateur spécifié. N’utilisez pas cette commande pour définir les propriétés ; utilisez plutôt la commande -setprops.

Pour supprimer un adaptateur existant

  1. Dans le menu Démarrer , cliquez sur Exécuter.

  2. Dans la boîte de dialogue Exécuter , tapez cmd, puis cliquez sur OK.

  3. Sur la ligne de commande, accédez au répertoire d’installation enterprise Single Sign-On. La valeur par défaut est <drive> :\Program Files\Common Files\Enterprise Single Sign-On.

  4. Tapez ssops -delete <nom de l’adaptateur>, puis appuyez sur Entrée.

    L’adaptateur spécifié est supprimé.

Pour activer un adaptateur

  1. Dans le menu Démarrer , cliquez sur Exécuter.

  2. Dans la boîte de dialogue Exécuter , tapez cmd, puis cliquez sur OK.

  3. Sur la ligne de commande, accédez au répertoire d’installation enterprise Single Sign-On. La valeur par défaut est <drive> :\Program Files\Common Files\Enterprise Single Sign-On.

  4. Tapez ssops -enable <nom de l’adaptateur>, puis appuyez sur Entrée.

    L’adaptateur spécifié est activé.

Pour désactiver un adaptateur

  1. Dans le menu Démarrer , cliquez sur Exécuter.

  2. Dans la boîte de dialogue Exécuter , tapez cmd, puis cliquez sur OK.

  3. Sur la ligne de commande, accédez au répertoire d’installation enterprise Single Sign-On. La valeur par défaut est <drive> :\Program Files\Common Files\Enterprise Single Sign-On.

  4. Tapez ssops -disable <nom de l’adaptateur>, puis appuyez sur Entrée.

    L’adaptateur spécifié est désactivé.

Pour ajouter une application à un adaptateur

  1. Dans le menu Démarrer , cliquez sur Exécuter.

  2. Dans la boîte de dialogue Exécuter , tapez cmd, puis cliquez sur OK.

  3. Sur la ligne de commande, accédez au répertoire d’installation enterprise Single Sign-On. La valeur par défaut est <drive> :\Program Files\Common Files\Enterprise Single Sign-On.

  4. Tapez ssops -addapp <nom de l’adaptateur><nom de l'application>, puis appuyez sur Entrée.

    L’application d’authentification unique spécifiée est affectée à l’adaptateur spécifié. Cela signifie que les mots de passe des mappages dans cette application seront désormais synchronisés à l’aide de cet adaptateur.

    Bien que plusieurs applications puissent être affectées à un seul adaptateur, toute application donnée ne peut être affectée qu’à un seul adaptateur.

Pour supprimer une application d’un adaptateur

  1. Dans le menu Démarrer , cliquez sur Exécuter.

  2. Dans la boîte de dialogue Exécuter , tapez cmd, puis cliquez sur OK.

  3. Sur la ligne de commande, accédez au répertoire d’installation enterprise Single Sign-On. La valeur par défaut est <drive> :\Program Files\Common Files\Enterprise Single Sign-On.

  4. Tapez ssops -deleteapp <nom de l’application>, puis appuyez sur Entrée.

    L’application d’authentification unique spécifiée est supprimée d’un adaptateur. (Étant donné qu’une application ne peut être affectée qu’à un seul adaptateur, il n’est pas nécessaire de spécifier le nom de l’adaptateur.)

Pour réinitialiser la notification

  1. Dans le menu Démarrer , cliquez sur Exécuter.

  2. Dans la boîte de dialogue Exécuter , tapez cmd, puis cliquez sur OK.

  3. Sur la ligne de commande, accédez au répertoire d’installation enterprise Single Sign-On. La valeur par défaut est <drive> :\Program Files\Common Files\Enterprise Single Sign-On.

  4. Tapez ssops -reset nom de l’adaptateur <| all | amortisseur> et appuyez sur Entrée.

    Cette commande efface la table d’amortissement et/ou les files d’attente de notification pour un seul adaptateur ou tous les adaptateurs, comme spécifié. La table de temporisation stocke un historique des modifications de mot de passe sur 10 minutes. Avant que le système SSO Entreprise accepte ou envoie une modification de mot de passe, il vérifie la table de temporisation pour voir s’il a effectué la même modification récemment. Si c’est le cas, la nouvelle modification est ignorée.

Pour ajouter un adaptateur à un groupe d’adaptateurs

  1. Dans le menu Démarrer , cliquez sur Exécuter.

  2. Dans la boîte de dialogue Exécuter , tapez cmd, puis cliquez sur OK.

  3. Sur la ligne de commande, accédez au répertoire d’installation enterprise Single Sign-On. La valeur par défaut est <drive> :\Program Files\Common Files\Enterprise Single Sign-On.

  4. Tapez ssops -addtogroup <nom de l'adaptateur><groupe d'adaptateurs> et appuyez sur Entrée.

    Cette commande ajoute l’adaptateur spécifié au groupe d’adaptateurs spécifié. Bien qu’un adaptateur ne puisse appartenir qu’à un seul groupe d’adaptateurs, un groupe d’adaptateurs peut contenir plusieurs adaptateurs.

Pour supprimer un adaptateur d’un groupe d’adaptateurs

  1. Dans le menu Démarrer , cliquez sur Exécuter.

  2. Dans la boîte de dialogue Exécuter , tapez cmd, puis cliquez sur OK.

  3. Sur la ligne de commande, accédez au répertoire d’installation enterprise Single Sign-On. La valeur par défaut est <drive> :\Program Files\Common Files\Enterprise Single Sign-On.

  4. Tapez ssops -deletefromgroup <nom de l'adaptateur><groupe d'adaptateurs> et appuyez sur Entrée.

    Cette commande supprime l’adaptateur spécifié du groupe d’adaptateurs spécifié.

Voir aussi

Synchronisation de mot de passe