Partager via

Guide pratique pour administrer la synchronisation de mot de passe

  • Article

Vous pouvez administrer la synchronisation de mot de passe via le composant logiciel enfichable MMC ou la ligne de commande.

Le composant logiciel enfichable MMC affiche une liste des adaptateurs et de leurs propriétés. Vous pouvez cliquer avec le bouton droit sur un adaptateur et utiliser le menu pour exécuter les commandes suivantes :

  • Créer des adaptateurs

  • Définir des propriétés

  • Update

  • Supprimer

  • Activer

  • Disable

  • Ajouter des applications à un adaptateur

  • Supprimer des applications d'un adaptateur

  • Réinitialiser la notification

  • Ajouter un adaptateur à un groupe d'adaptateurs

  • Supprimer un adaptateur d’un groupe d’adaptateurs

    Vous pouvez également utiliser l'utilitaire de ligne de commande SSOPS pour administrer la synchronisation de votre mot de passe. La plupart des commandes de cette section sont destinées à être utilisées par un administrateur uniquement.

    Pour de nombreuses commandes, le résultat de la commande s'affiche à l'écran en deux colonnes. Comme les paramètres de certains écrans peuvent tronquer les données, pour des résultats optimaux, vous devez passer la taille de la mémoire tampon écran / taille Windows à 120 caractères.

    Les commandes SSOPS sont répertoriées dans le tableau suivant. Les procédures et des explications supplémentaires sont situées dans le reste de cette rubrique.

Commande Fonction
-list Répertorie les adaptateurs existants.
-display Affiche les informations relatives aux adaptateurs
-create Crée des adaptateurs
-setprops Définit les propriétés de l'adaptateur
-update Met à jour le ou les adaptateurs existants
-delete Supprime un adaptateur existant
-enable Active l'adaptateur
-disable Désactive l'adaptateur
-addapp Ajoute l'application à l'adaptateur
-deleteapp Supprime l'application de l'adaptateur
-reset Réinitialise la notification ou les files d'attente d'amortissement
-addtogroup Ajoute l'adaptateur au groupe d'adaptateurs
-deletefromgroup Supprime l'adaptateur du groupe d'adaptateurs

Pour répertorier les adaptateurs existants

  1. Dans le menu Démarrer , cliquez sur Exécuter.

  2. Dans la boîte de dialogue Exécuter , tapez cmd, puis cliquez sur OK.

  3. Dans la ligne de commande, accédez au répertoire d'installation de l'authentification unique de l'entreprise. La valeur par défaut est <drive> :\Program Files\Common Files\Enterprise Single Sign-On.

  4. Tapez ssops -list et appuyez sur Entrée.

    Les adaptateurs et leurs descriptions sont répertoriés. (E) indique que l'adaptateur est activé, (D) indique qu'il est désactivé.

Pour afficher les informations sur l'adaptateur

  1. Dans le menu Démarrer , cliquez sur Exécuter.

  2. Dans la boîte de dialogue Exécuter , tapez cmd, puis cliquez sur OK.

  3. Dans la ligne de commande, accédez au répertoire d'installation de l'authentification unique de l'entreprise. La valeur par défaut est <drive> :\Program Files\Common Files\Enterprise Single Sign-On.

  4. Tapez ssops -nom> de l’adaptateur d’affichage<, puis appuyez sur Entrée.

    La sortie écran affiche les informations concernant l'adaptateur spécifié.

    En plus du nom, du type, de la description, de l'ordinateur et des comptes, les informations suivantes s'affichent.

    Indicateur de l'adaptateur Détails
    Adaptateur activé Détermine si l'adaptateur est activé.

    Indicateur : SSO_FLAG_ENABLED

    Nom de l’attribut : enableApp

    Valeur par défaut : Non
    Autoriser les comptes locaux Détermine si les comptes des administrateurs et des utilisateurs d'application (App Admin et App Users) peuvent être des comptes locaux.

    Indicateur : SSO_FLAG_APP_ALLOW_LOCAL

    Nom de l’attribut : allowLocalAccounts

    Valeur par défaut : Non
    Recevoir les modifications du mot de passe de l'adaptateur Détermine si l'adaptateur est autorisé à recevoir des modifications de mot de passe externes.

    Indicateur : SSO_FLAG_PARTIAL_SYNC_FROM_EXTERNAL_TO_DB

    Nom de l’attribut : syncFromAdapter

    Valeur par défaut : Non
    Vérifier l'ancien mot de passe Détermine si l'adaptateur doit vérifier l'ancien mot de passe lorsqu'une modification de mot de passe externe est reçue. Lorsqu'un mot de passe externe est modifié et que cet indicateur est défini, l'adaptateur externe doit fournir l'ancien mot de passe externe ainsi que le nouveau. L'ancien mot de passe externe est ensuite comparé au mot de passe externe existant pour ce compte externe dans la base de données SSO. S'ils correspondent, la modification est acceptée. Sinon, la modification est rejetée.

    Indicateur : SSO_FLAG_SYNC_VERIFY_EXTERNAL_CREDS

    Nom de l’attribut : verifyOldPassword

    Valeur par défaut : Oui
    Modifier le mot de passe Windows Détermine si le mot de passe Windows doit également être modifié lorsqu'une modification de mot de passe externe est reçue (synchronisation complète). ENTSSO utilise toujours l'ancien mot de passe Windows stocké dans la base de données SSO pour remplacer le mot de passe Windows par la nouvelle valeur (Windows requiert les nouveau et ancien mots de passe pour modifier le mot de passe d'un utilisateur). Il doit donc être initialisé afin que la modification de mot de passe Windows puisse réussir. Si la synchronisation de mot de passe est configurée pour un mappage particulier, lorsque les informations d’identification externes sont définies via des outils d’administration (ssomanage ou ssoclient -setcredentials), le mot de passe Windows stocké dans la base de données sSO est également défini. Indicateur : SSO_FLAG_FULL_SYNC_FROM_EXTERNAL_TO_WINDOWS

    Nom de l’attribut : changeWindowsPassword

    Valeur par défaut : Non
    Envoyer les modifications du mot de passe Windows à l'adaptateur Détermine si la modification de mot de passe Windows doit être envoyée à l'adaptateur externe.

    Indicateur : SSO_FLAG_FULL_SYNC_FROM_WINDOWS_TO_EXTERNAL

    Nom de l’attribut : syncToAdapter

    Valeur par défaut : Non
    Envoyer l'ancien mot de passe à l'adaptateur Si Oui, la valeur entrée pour l'ancien mot de passe (dans la base de données SSO) est envoyée à l'adaptateur externe, de même que la valeur entrée pour le nouveau mot de passe. Certains systèmes externes requièrent en effet les deux mots de passe (le nouveau et l'ancien) pour réaliser la modification.

    Indicateur : SSO_FLAG_SYNC_PROVIDE_OLD_EXTERNAL_CREDS

    Nom de l’attribut : sendOldPassword

    Valeur par défaut : Non
    Autoriser les conflits de mappage Détermine si l'adaptateur autorise les conflits de mappage.

    Un conflit survient lorsque les mappages ne sont pas uniques. Dans une seule application sSO Individual, les mappages sont toujours un-à-un : un compte Windows est mappé à exactement un compte externe et vice versa.

    En revanche, il est possible d'affecter plusieurs applications à un adaptateur. Par conséquent, il se peut qu'un mappage d'une application entre en conflit avec un mappage d'une autre application.

    La fonction de cet indicateur vise à éviter que cela ne se produise. Il est conseillé de ne pas autoriser les conflits de mappage sauf si une condition particulière bien maîtrisée l'exige.

    Indicateur : SSO_FLAG_SYNC_ALLOW_MAPPING_CONFLICTS

    Nom de l’attribut : allowMappingConflicts

    Valeur par défaut : Non
    Description de l'adaptateur Détails
    Nombre de nouvelles tentatives de notification 1 constitue la valeur par défaut.
    Délai de nouvelle tentative de notification (en minutes) La valeur par défaut est 5.
    Nombre maximal de notifications en attente La valeur par défaut est 8.
    Stocker les notifications (hors connexion) True/False.
    Nom du serveur Nom du serveur.
    Numéro de port Numéro de port.
    Applications pour cet adaptateur Liste des applications actuellement affectées à l'adaptateur.

Pour créer des adaptateurs

  1. Dans le menu Démarrer , cliquez sur Exécuter.

  2. Dans la boîte de dialogue Exécuter , tapez cmd, puis cliquez sur OK.

  3. Dans la ligne de commande, accédez au répertoire d'installation de l'authentification unique de l'entreprise. La valeur par défaut est <drive> :\Program Files\Common Files\Enterprise Single Sign-On.

  4. Tapez ssops -create <adapter file> et appuyez sur Entrée.

    La sortie écran affiche les informations concernant l'adaptateur créé.

Pour définir les propriétés d'un adaptateur

  1. Dans le menu Démarrer , cliquez sur Exécuter.

  2. Dans la boîte de dialogue Exécuter , tapez cmd, puis cliquez sur OK.

  3. Dans la ligne de commande, accédez au répertoire d'installation de l'authentification unique de l'entreprise. La valeur par défaut est <drive> :\Program Files\Common Files\Enterprise Single Sign-On.

  4. Tapez ssops -setprops <adapter name> et appuyez sur Entrée.

    La sortie écran affiche les propriétés de l'adaptateur spécifié. Vous pouvez les modifier si nécessaire, mais les nouvelles valeurs ne sont pas validées.

Pour mettre à jour des adaptateurs existants

  1. Dans le menu Démarrer , cliquez sur Exécuter.

  2. Dans la boîte de dialogue Exécuter , tapez cmd, puis cliquez sur OK.

  3. Dans la ligne de commande, accédez au répertoire d'installation de l'authentification unique de l'entreprise. La valeur par défaut est <drive> :\Program Files\Common Files\Enterprise Single Sign-On.

  4. Tapez ssops -update <adapter file> et appuyez sur Entrée.

    Utilisez cette commande pour mettre à jour les paramètres et indicateurs pour un adaptateur spécifié. N'utilisez pas cette commande pour définir les propriétés. Utilisez plutôt la commande -setprops.

Pour supprimer un adaptateur existant

  1. Dans le menu Démarrer , cliquez sur Exécuter.

  2. Dans la boîte de dialogue Exécuter , tapez cmd, puis cliquez sur OK.

  3. Dans la ligne de commande, accédez au répertoire d'installation de l'authentification unique de l'entreprise. La valeur par défaut est <drive> :\Program Files\Common Files\Enterprise Single Sign-On.

  4. Tapez ssops -delete <adapter name> et appuyez sur Entrée.

    L'adaptateur spécifié est supprimé.

Pour activer un adaptateur

  1. Dans le menu Démarrer , cliquez sur Exécuter.

  2. Dans la boîte de dialogue Exécuter , tapez cmd, puis cliquez sur OK.

  3. Dans la ligne de commande, accédez au répertoire d'installation de l'authentification unique de l'entreprise. La valeur par défaut est <drive> :\Program Files\Common Files\Enterprise Single Sign-On.

  4. Tapez ssops -enable <adapter name> et appuyez sur Entrée.

    L'adaptateur spécifié est activé.

Pour désactiver un adaptateur

  1. Dans le menu Démarrer , cliquez sur Exécuter.

  2. Dans la boîte de dialogue Exécuter , tapez cmd, puis cliquez sur OK.

  3. Dans la ligne de commande, accédez au répertoire d'installation de l'authentification unique de l'entreprise. La valeur par défaut est <drive> :\Program Files\Common Files\Enterprise Single Sign-On.

  4. Tapez ssops -disable <adapter name> et appuyez sur Entrée.

    L'adaptateur spécifié est désactivé.

Pour ajouter une application à un adaptateur

  1. Dans le menu Démarrer , cliquez sur Exécuter.

  2. Dans la boîte de dialogue Exécuter , tapez cmd, puis cliquez sur OK.

  3. Dans la ligne de commande, accédez au répertoire d'installation de l'authentification unique de l'entreprise. La valeur par défaut est <drive> :\Program Files\Common Files\Enterprise Single Sign-On.

  4. Tapez ssops -addapp <adapter name><nom de> l’application et appuyez sur Entrée.

    L'application SSO spécifiée est affectée à l'adaptateur spécifié. Cela signifie que les mots de passe pour les mappages dans cette application sont désormais synchronisés à l'aide de cet adaptateur.

    Alors que plusieurs applications peuvent être affectées à un seul adaptateur, une application donnée peut uniquement être affectée à un seul adaptateur.

Pour supprimer une application d'un adaptateur

  1. Dans le menu Démarrer , cliquez sur Exécuter.

  2. Dans la boîte de dialogue Exécuter , tapez cmd, puis cliquez sur OK.

  3. Dans la ligne de commande, accédez au répertoire d'installation de l'authentification unique de l'entreprise. La valeur par défaut est <drive> :\Program Files\Common Files\Enterprise Single Sign-On.

  4. Tapez ssops -deleteapp <nom> de l’application et appuyez sur Entrée.

    L'application SSO spécifiée est supprimée d'un adaptateur. (Comme une application peut uniquement être affectée à un seul adaptateur, il n'est pas nécessaire de spécifier le nom de l'adaptateur.)

Pour réinitialiser la notification

  1. Dans le menu Démarrer , cliquez sur Exécuter.

  2. Dans la boîte de dialogue Exécuter , tapez cmd, puis cliquez sur OK.

  3. Dans la ligne de commande, accédez au répertoire d'installation de l'authentification unique de l'entreprise. La valeur par défaut est <drive> :\Program Files\Common Files\Enterprise Single Sign-On.

  4. Tapez ssops -reset <adapter name | all | amortissant> et appuyez sur Entrée.

    Cette commande efface le tableau d'amortissement et/ou les files d'attente de notification pour un seul adaptateur ou pour tous les adaptateurs, tel que spécifié. Le tableau d'amortissement stocke un historique de 10 minutes de modifications de mot de passe. Avant que le système de l'authentification unique de l'entreprise accepte ou envoie une modification de mot de passe, il vérifie le tableau d'amortissement pour voir s'il a effectué la même modification récemment. Si tel est le cas, la nouvelle modification est ignorée.

Pour ajouter un adaptateur à un groupe d'adaptateurs

  1. Dans le menu Démarrer , cliquez sur Exécuter.

  2. Dans la boîte de dialogue Exécuter , tapez cmd, puis cliquez sur OK.

  3. Dans la ligne de commande, accédez au répertoire d'installation de l'authentification unique de l'entreprise. La valeur par défaut est <drive> :\Program Files\Common Files\Enterprise Single Sign-On.

  4. Tapez ssops -addtogroup <nom><du groupe d’adaptateurs> et appuyez sur Entrée.

    Cette commande ajoute l'adaptateur spécifié au groupe d'adaptateurs spécifié. Alors qu'un adaptateur ne peut appartenir qu'à un seul groupe d'adaptateurs, un groupe d'adaptateurs peut contenir plusieurs adaptateurs.

Supprimer un adaptateur d'un groupe d'adaptateurs

  1. Dans le menu Démarrer , cliquez sur Exécuter.

  2. Dans la boîte de dialogue Exécuter , tapez cmd, puis cliquez sur OK.

  3. Dans la ligne de commande, accédez au répertoire d'installation de l'authentification unique de l'entreprise. La valeur par défaut est <drive> :\Program Files\Common Files\Enterprise Single Sign-On.

  4. Tapez ssops -deletefromgroupe <d’adaptateurs de nom><d’adaptateur et> appuyez sur Entrée.

    Cette commande supprime l'adaptateur spécifié du groupe d'adaptateurs spécifié.

Voir aussi

Synchronisation de mot de passe