パスワード同期を管理する方法
パスワード同期は、MMC スナップインまたはコマンド ラインを使用して管理できます。
MMC スナップインでは、アダプタとそのプロパティの一覧が表示されます。 アダプタを右クリックしてメニューを使用すると、次のようなコマンドを実行できます。
アダプタの作成
プロパティの設定
更新
削除
有効にする
Disable
アダプタへのアプリケーションの追加
アダプタからのアプリケーションの削除
通知の再設定
アダプタ グループへのアダプタの追加
アダプタ グループからのアダプタの削除
また、パスワード同期の管理に SSOPS コマンド ライン ユーティリティを使用することもできます。 このセクションで説明する大半のコマンドは、管理者だけが使用できます。
多くのコマンドでは、コマンド出力が画面上に 2 列で表示されます。 画面設定によってはデータが切り捨てられるため、画面バッファのサイズまたはウィンドウのサイズを 120 文字に変更することをお勧めします。
SSOPS コマンドを次の表に示します。 手順と詳細については、このトピックの後半で説明します。
コマンド | 機能 |
---|---|
-list | 既存のアダプタを一覧表示します。 |
-display | アダプタの情報を表示します。 |
-create | 新しいアダプタを作成します。 |
-setprops | アダプタのプロパティを設定します。 |
-update | 既存のアダプタを更新します。 |
-削除 | 既存のアダプタを削除します。 |
-を有効にします。 | アダプタを有効にします。 |
-を無効にします。 | アダプタを無効にします。 |
-addapp | アダプタのアプリケーションを追加します。 |
-deleteapp | アダプタのアプリケーションを削除します。 |
-reset | 通知キューまたは抑制キューを再設定します。 |
-addtogroup | アダプタ グループにアダプタを追加します。 |
-deletefromgroup | アダプタ グループからアダプタを削除します。 |
既存のアダプタを一覧表示するには
[スタート] メニューの [ファイル名を指定して実行] をクリックします。
[ ファイル名を指定して実行 ] ダイアログ ボックスに「 cmd」と入力し、[OK] をクリック します。
コマンド ラインで、エンタープライズ シングル サインオンのインストール ディレクトリに移動します。 既定値は <drive>:\Program Files\Common Files\Enterprise シングル サインオンです。
「ssops -list」と入力し、Enter キーを押します。
アダプターと説明が一覧表示されます。 (E) はアダプタが有効であることを表し、(D) はアダプタが無効であることを表します。
アダプタの情報を表示するには
[スタート] メニューの [ファイル名を指定して実行] をクリックします。
[ ファイル名を指定して実行 ] ダイアログ ボックスに「 cmd」と入力し、[OK] をクリック します。
コマンド ラインで、エンタープライズ シングル サインオンのインストール ディレクトリに移動します。 既定値は <drive>:\Program Files\Common Files\Enterprise シングル サインオンです。
「ssops -display <adapter name>」と入力し、Enter キーを押します。
画面出力により、指定したアダプタの情報が表示されます。
名前、種類、説明、コンピュータ、およびアカウントに加え、次の情報が表示されます。
アダプタ フラグ 詳細 [アダプタは有効] アダプタが有効かどうかを示します。
フラグ: SSO_FLAG_ENABLED
属性名: enableApp
既定値: いいえ[ローカル アカウントを許可] アプリケーション管理アカウントまたはアプリケーション ユーザー アカウントにローカル アカウントを指定できるかどうかを決定します。
フラグ: SSO_FLAG_APP_ALLOW_LOCAL
属性名: allowLocalAccounts
既定値: いいえ[アダプタからパスワードの変更を受信] アダプタで外部パスワード変更を受け取ることを許可するかどうかを指定します。
フラグ: SSO_FLAG_PARTIAL_SYNC_FROM_EXTERNAL_TO_DB
属性名: syncFromAdapter
既定値: いいえ[以前のパスワードを確認] アダプタで外部パスワード変更を受け取ったときに、以前のパスワードを確認するかどうかを指定します。 このフラグが設定されている場合、外部パスワード変更時に外部アダプタでは、新しい外部パスワードだけでなく以前の外部パスワードも指定する必要があります。 以前の外部パスワードは、外部アカウントの SSO データベース内の既存の外部パスワードと比較されます。 両方のパスワードが一致する場合はパスワードの変更が認められ、 一致しない場合は拒否されます。
フラグ: SSO_FLAG_SYNC_VERIFY_EXTERNAL_CREDS
属性名: verifyOldPassword
既定値ははい[Windows パスワードの変更] 外部パスワード変更を受け取ったときに、Windows パスワードも変更するかどうかを指定します (完全同期)。 ENTSSO は、常に、SSO データベースに格納されている以前の Windows パスワードを使用して、Windows パスワードを新しい値に変更します (Windows では、ユーザーのパスワードを変更する際に、以前のパスワードと新しいパスワードの両方が必要です)。そのため、Windows パスワードの変更を正常に完了するには、以前のパスワードを初期化する必要があります。 パスワード同期が特定のマッピング用に構成されている場合、外部資格情報が管理ツール (ssomanage または ssoclient -setcredentials) を使用して設定されている場合、SSO データベースに格納されている Windows パスワードも設定されます。フラグ: SSO_FLAG_FULL_SYNC_FROM_EXTERNAL_TO_WINDOWS
属性名: changeWindowsPassword
既定値: いいえ[Windows パスワードの変更をアダプタに送信] Windows パスワード変更を外部アダプタに送信するかどうかを指定します。
フラグ: SSO_FLAG_FULL_SYNC_FROM_WINDOWS_TO_EXTERNAL
属性名: syncToAdapter
既定値: いいえ[以前のパスワードをアダプタに送信] [はい] を指定すると、新しいパスワードの値と共に、SSO データベースに格納されている以前のパスワードの値も外部アダプタに送信されます。 いくつかの外部システムでは、パスワード変更に、以前のパスワードの値と新しいパスワードの値の両方が必要な場合があります。
フラグ: SSO_FLAG_SYNC_PROVIDE_OLD_EXTERNAL_CREDS
属性名: sendOldPassword
既定値: いいえ[マッピングの競合を許可] アダプタでマッピングの競合を許可するかどうかを指定します。
マッピングの競合は、マッピングが一意でないときに発生します。 1 つの SSO 個別アプリケーションでは、マッピングは常に 1 対 1 です。1 つの Windows アカウントが 1 つの外部アカウントにマップされ、その逆も同様です。
ただし、複数のアプリケーションを 1 つのアダプタに割り当てることは可能です。 したがって、あるアプリケーション内のマッピングが別のアプリケーション内のマッピングと競合する可能性があります。
このフラグの目的は、マッピングの競合の発生を防ぐことです。 具体的で十分な理由がない限り、マッピングの競合を許可しないようにする方がより安全です。
フラグ: SSO_FLAG_SYNC_ALLOW_MAPPING_CONFLICTS
属性名: allowMappingConflicts
既定値: いいえアダプタの説明 詳細 通知の再試行回数 既定値は 1 です。 通知の再試行間隔 (分) 既定値は 5 です。 通知の最大保留数 既定値は 8 です。 通知の格納 (オフライン時) True または False です。 サーバー名 サーバー名。 ポート番号 ポート番号。 このアダプタのアプリケーション 現在アダプタに割り当てられているアプリケーションの一覧です。
新しいアダプタを作成するには
[スタート] メニューの [ファイル名を指定して実行] をクリックします。
[ ファイル名を指定して実行 ] ダイアログ ボックスに「 cmd」と入力し、[OK] をクリック します。
コマンド ラインで、エンタープライズ シングル サインオンのインストール ディレクトリに移動します。 既定値は <drive>:\Program Files\Common Files\Enterprise シングル サインオンです。
「ssops -create <adapter file>」と入力し、Enter キーを押します。
画面出力により、新しく作成されたアダプタの情報が表示されます。
アダプタのプロパティを設定するには
[スタート] メニューの [ファイル名を指定して実行] をクリックします。
[ ファイル名を指定して実行 ] ダイアログ ボックスに「 cmd」と入力し、[OK] をクリック します。
コマンド ラインで、エンタープライズ シングル サインオンのインストール ディレクトリに移動します。 既定値は <drive>:\Program Files\Common Files\Enterprise シングル サインオンです。
「ssops -setprops <アダプター名>」と入力し、Enter キーを押します。
画面出力により、指定したアダプタのプロパティが表示されます。 これらのプロパティは必要に応じて編集できますが、新しい値は検証されません。
既存のアダプタを更新するには
[スタート] メニューの [ファイル名を指定して実行] をクリックします。
[ ファイル名を指定して実行 ] ダイアログ ボックスに「 cmd」と入力し、[OK] をクリック します。
コマンド ラインで、エンタープライズ シングル サインオンのインストール ディレクトリに移動します。 既定値は <drive>:\Program Files\Common Files\Enterprise シングル サインオンです。
「ssops -update <adapter file>」と入力し、Enter キーを押します。
このコマンドを使用して、指定したアダプタの設定およびフラグを更新します。 プロパティを設定する場合には、このコマンドは使用せず、代わりに -setprops コマンドを使用してください。
既存のアダプタを削除するには
[スタート] メニューの [ファイル名を指定して実行] をクリックします。
[ ファイル名を指定して実行 ] ダイアログ ボックスに「 cmd」と入力し、[OK] をクリック します。
コマンド ラインで、エンタープライズ シングル サインオンのインストール ディレクトリに移動します。 既定値は <drive>:\Program Files\Common Files\Enterprise シングル サインオンです。
「ssops -delete <adapter name>」と入力し、Enter キーを押します。
指定したアダプタが削除されます。
アダプタを有効にするには
[スタート] メニューの [ファイル名を指定して実行] をクリックします。
[ ファイル名を指定して実行 ] ダイアログ ボックスに「 cmd」と入力し、[OK] をクリック します。
コマンド ラインで、エンタープライズ シングル サインオンのインストール ディレクトリに移動します。 既定値は <drive>:\Program Files\Common Files\Enterprise シングル サインオンです。
「ssops -enable adapter name>」<と入力し、Enter キーを押します。
指定したアダプタが有効になります。
アダプタを無効にするには
[スタート] メニューの [ファイル名を指定して実行] をクリックします。
[ ファイル名を指定して実行 ] ダイアログ ボックスに「 cmd」と入力し、[OK] をクリック します。
コマンド ラインで、エンタープライズ シングル サインオンのインストール ディレクトリに移動します。 既定値は <drive>:\Program Files\Common Files\Enterprise シングル サインオンです。
「ssops -disable <adapter name>」と入力し、Enter キーを押します。
指定したアダプタが無効になります。
アダプタにアプリケーションを追加するには
[スタート] メニューの [ファイル名を指定して実行] をクリックします。
[ ファイル名を指定して実行 ] ダイアログ ボックスに「 cmd」と入力し、[OK] をクリック します。
コマンド ラインで、エンタープライズ シングル サインオンのインストール ディレクトリに移動します。 既定値は <drive>:\Program Files\Common Files\Enterprise シングル サインオンです。
「ssops -addapp <adapter name application name>><」と入力し、Enter キーを押します。
指定した SSO アプリケーションが、指定したアダプタに割り当てられます。 つまり、そのアプリケーションでのマッピング用のパスワードは、このアダプタを使用して同期されます。
複数のアプリケーションを 1 つのアダプタに割り当てることができますが、特定のアプリケーションは 1 つのアダプタにしか割り当てることができません。
アダプタからアプリケーションを削除するには
[スタート] メニューの [ファイル名を指定して実行] をクリックします。
[ ファイル名を指定して実行 ] ダイアログ ボックスに「 cmd」と入力し、[OK] をクリック します。
コマンド ラインで、エンタープライズ シングル サインオンのインストール ディレクトリに移動します。 既定値は <drive>:\Program Files\Common Files\Enterprise シングル サインオンです。
「ssops -deleteapp <application name>」と入力し、Enter キーを押します。
指定した SSO アプリケーションはアダプターから削除されます (アプリケーションは 1 つのアダプタにしか割り当てることができないので、アダプタ名を指定する必要はありません)。
通知を再設定するには
[スタート] メニューの [ファイル名を指定して実行] をクリックします。
[ 実行 ] ダイアログ ボックスに「 cmd」と入力し、[OK] をクリック します。
コマンド ラインで、エンタープライズ シングル サインオンのインストール ディレクトリに移動します。 既定値は <drive>:\Program Files\Common Files\Enterprise シングル サインオンです。
「ssops -reset <adapter name | all | damping」と入力し、Enter キーを>押します。
このコマンドにより、1 つのアダプタまたはすべてのアダプタの抑制テーブルや通知キューが指定したとおりにクリアされます。 抑制テーブルには、パスワード変更の履歴が 10 分間格納されます。 エンタープライズ SSO システムは、パスワード変更の受信または送信を行う前に、抑制テーブルを確認して、同じ変更が最近行われたかどうかを検証します。 同じ変更が行われていた場合は、新しい変更が破棄されます。
アダプタ グループにアダプタを追加するには
[スタート] メニューの [ファイル名を指定して実行] をクリックします。
[ 実行 ] ダイアログ ボックスに「 cmd」と入力し、[OK] をクリック します。
コマンド ラインで、エンタープライズ シングル サインオンのインストール ディレクトリに移動します。 既定値は <drive>:\Program Files\Common Files\Enterprise シングル サインオンです。
「ssops -addtogroup <アダプター名><アダプター グループ>」と入力し、Enter キーを押します。
このコマンドにより、指定したアダプタが、指定したアダプタ グループに追加されます。 アダプタは 1 つのアダプタ グループにしか属すことができませんが、アダプタ グループには、複数のアダプタを含めることができます。
アダプタ グループからアダプタを削除するには
[スタート] メニューの [ファイル名を指定して実行] をクリックします。
[ 実行 ] ダイアログ ボックスに「 cmd」と入力し、[OK] をクリック します。
コマンド ラインで、エンタープライズ シングル サインオンのインストール ディレクトリに移動します。 既定値は <drive>:\Program Files\Common Files\Enterprise シングル サインオンです。
「ssops -deletefromgroup <アダプター名><アダプター グループ>」と入力し、Enter キーを押します。
このコマンドにより、指定したアダプタが、指定したアダプタ グループから削除されます。
参照
フィードバック
https://aka.ms/ContentUserFeedback」を参照してください。
以下は間もなく提供いたします。2024 年を通じて、コンテンツのフィードバック メカニズムとして GitHub の issue を段階的に廃止し、新しいフィードバック システムに置き換えます。 詳細については、「フィードバックの送信と表示