如何管理密码同步

  • 项目

您可以通过 MMC 管理单元或命令行管理密码同步。

MMC 管理单元可显示适配器及其属性的列表。 使用右键单击适配器后显示的菜单可执行以下命令:

  • 创建适配器

  • 设置属性

  • 更新

  • 删除

  • 启用

  • 禁用

  • 向适配器添加应用程序

  • 从适配器删除应用程序

  • 重置通知

  • 将适配器添加到适配器组

  • 从适配器组删除适配器

    您还可以使用 SSOPS 命令行实用工具管理密码同步。 此部分的大多数命令仅供管理员使用。

    对于多数命令,将在屏幕上按两列显示命令输出。 由于某些屏幕设置可能会引起数据显示不完整,因此应将屏幕缓冲区大小/Windows 大小更改为 120 个字符以获得最佳效果。

    下表列出了各种 SSOPS 命令。 本主题的其余部分介绍了相应的执行步骤并做了进一步说明。

命令 函数
-list 列出现有适配器
-display 显示适配器信息
-create 创建新的适配器
-setprops 设置适配器的属性
-update 更新现有适配器
-delete 删除现有适配器
-enable 启用适配器
-disable 禁用适配器
-addapp 为适配器添加应用程序
-deleteapp 为适配器删除应用程序
-reset 重置通知或阻止队列
-addtogroup 向适配器组添加适配器
-deletefromgroup 从适配器组中删除适配器

列出现有适配器

  1. “开始” 菜单上,单击 “运行”

  2. 在“ 运行 ”对话框中,键入 cmd,然后单击“ 确定”。

  3. 在命令行上,转至企业单一登录安装目录。 默认值为 <drive>:\Program Files\Common Files\Enterprise Single Sign-On。

  4. 键入 ssops -list ,然后按 Enter。

    此时,将列出各适配器及其说明。 (E) 表示适配器已启用,(D) 表示适配器已禁用。

显示适配器信息

  1. “开始” 菜单上,单击 “运行”

  2. 在“ 运行 ”对话框中,键入 cmd,然后单击“ 确定”。

  3. 在命令行上,转至企业单一登录安装目录。 默认值为 <drive>:\Program Files\Common Files\Enterprise Single Sign-On。

  4. 键入 ssops -display <适配器名称> ,然后按 Enter。

    屏幕输出将显示指定的适配器的信息。

    除了名称、类型、说明、计算机和帐户以外,还会显示以下信息:

    适配器标志 详细信息
    适配器已启用 确定适配器是否已启用。

    标志:SSO_FLAG_ENABLED

    属性名称:enableApp

    默认值:否
    允许本地帐户 确定 App Admin 或 App Users 帐户是否可用作本地帐户。

    标志:SSO_FLAG_APP_ALLOW_LOCAL

    属性名称:allowLocalAccounts

    默认值:否
    从适配器接收密码更改 确定是否允许适配器接收外部密码更改。

    标志:SSO_FLAG_PARTIAL_SYNC_FROM_EXTERNAL_TO_DB

    属性名称:syncFromAdapter

    默认值:否
    验证旧密码 确定适配器在接收外部密码更改时是否验证旧密码。 如果设置此标志,则在外部密码发生更改时,外部适配器必须提供旧的外部密码以及新的外部密码。 然后,旧的外部密码会与该外部帐户在 SSO 数据库中的现有外部密码进行比较。 如果匹配,则接受密码更改。 如果不匹配,则拒绝密码更改。

    标志:SSO_FLAG_SYNC_VERIFY_EXTERNAL_CREDS

    属性名称:verifyOldPassword

    默认值:是
    更改 Windows 密码 确定在收到外部密码更改时是否同时更改 Windows 密码(完全同步)。 ENTSSO 始终需要使用 SSO 数据库中存储的旧 Windows 密码才能将 Windows 密码更改为新值(Windows 需要同时使用旧密码和新密码才能更改用户密码),因此,必须进行初始化才能成功地更改 Windows 密码。 如果为特定映射配置了密码同步,则通过管理工具设置外部凭据时, (ssomanage 或 ssoclient -setcredentials) 还将设置存储在 SSO 数据库中的 Windows 密码。标志:SSO_FLAG_FULL_SYNC_FROM_EXTERNAL_TO_WINDOWS

    属性名称:changeWindowsPassword

    默认值:否
    将 Windows 密码更改发送到适配器 确定是否将 Windows 密码更改发送到外部适配器。

    标志:SSO_FLAG_FULL_SYNC_FROM_WINDOWS_TO_EXTERNAL

    属性名称:syncToAdapter

    默认值:否
    将旧密码发送到适配器 如果设置为“是”,则旧密码值(位于 SSO 数据库中)将同新密码值一起发送到外部适配器。 某些外部系统可能需要同时使用旧密码值和新密码值才能更改密码。

    标志:SSO_FLAG_SYNC_PROVIDE_OLD_EXTERNAL_CREDS

    属性名称:sendOldPassword

    默认值:否
    允许映射冲突 确定适配器是否允许映射冲突。

    当映射不唯一时,就会发生映射冲突。 在单个 SSO 个人应用程序中,映射始终是一对一的:一个 Windows 帐户只映射到一个外部帐户,反之亦然。

    但是,可以将多个应用程序分配给一个适配器。 因此,可能导致某个应用程序中的映射与其他应用程序中的映射产生冲突。

    此标志的目的就是防止这种情况发生。 除非有明确要求,否则请不要允许映射冲突。

    标志:SSO_FLAG_SYNC_ALLOW_MAPPING_CONFLICTS

    属性名称:allowMappingConflicts

    默认值:否
    适配器说明 详细信息
    通知重试计数 默认值为 1。
    通知重试延迟时间(分钟) 默认值为 5。
    最大挂起通知数 默认值为 8。
    脱机) 时存储通知 ( True/False。
    服务器名称 服务器名称。
    端口号 端口号。
    此适配器的应用程序 列出当前分配给适配器的应用程序。

创建新的适配器

  1. “开始” 菜单上,单击 “运行”

  2. 在“ 运行 ”对话框中,键入 cmd,然后单击“ 确定”。

  3. 在命令行上,转至企业单一登录安装目录。 默认值为 <drive>:\Program Files\Common Files\Enterprise Single Sign-On。

  4. 键入 ssops -create <适配器文件> ,然后按 Enter。

    屏幕输出将显示新创建的适配器的信息。

设置适配器的属性

  1. “开始” 菜单上,单击 “运行”

  2. 在“ 运行 ”对话框中,键入 cmd,然后单击“ 确定”。

  3. 在命令行上,转至企业单一登录安装目录。 默认值为 <drive>:\Program Files\Common Files\Enterprise Single Sign-On。

  4. 键入 ssops -setprops <适配器名称> ,然后按 Enter。

    屏幕输出将显示指定的适配器的属性。 如果需要,可以对其进行编辑,但将不会对新值进行验证。

更新现有适配器

  1. “开始” 菜单上,单击 “运行”

  2. 在“ 运行 ”对话框中,键入 cmd,然后单击“ 确定”。

  3. 在命令行上,转至企业单一登录安装目录。 默认值为 <drive>:\Program Files\Common Files\Enterprise Single Sign-On。

  4. 键入 ssops -update <适配器文件> ,然后按 Enter。

    使用此命令可更新指定的适配器的设置和标志。 请不要使用此命令设置属性,而应使用 -setprops 命令来进行设置。

删除现有适配器

  1. “开始” 菜单上,单击 “运行”

  2. 在“ 运行 ”对话框中,键入 cmd,然后单击“ 确定”。

  3. 在命令行上,转至企业单一登录安装目录。 默认值为 <drive>:\Program Files\Common Files\Enterprise Single Sign-On。

  4. 键入 ssops -delete <适配器名称> ,然后按 Enter。

    此时,将删除指定的适配器。

启用适配器

  1. “开始” 菜单上,单击 “运行”

  2. 在“ 运行 ”对话框中,键入 cmd,然后单击“ 确定”。

  3. 在命令行上,转至企业单一登录安装目录。 默认值为 <drive>:\Program Files\Common Files\Enterprise Single Sign-On。

  4. 键入 ssops -enable <适配器名称> ,然后按 Enter。

    此时,将启用指定的适配器。

禁用适配器

  1. “开始” 菜单上,单击 “运行”

  2. 在“ 运行 ”对话框中,键入 cmd,然后单击“ 确定”。

  3. 在命令行上,转至企业单一登录安装目录。 默认值为 <drive>:\Program Files\Common Files\Enterprise Single Sign-On。

  4. 键入 ssops -disable <adapter name> ,然后按 Enter。

    此时,将禁用指定的适配器。

将应用程序添加到适配器

  1. “开始” 菜单上,单击 “运行”

  2. 在“ 运行 ”对话框中,键入 cmd,然后单击“ 确定”。

  3. 在命令行上,转至企业单一登录安装目录。 默认值为 <drive>:\Program Files\Common Files\Enterprise Single Sign-On。

  4. 键入 ssops -addapp <适配器名称><应用程序名称> ,然后按 Enter。

    指定的 SSO 应用程序将分配给所指定的适配器。 这意味着该应用程序中各映射的密码将使用此适配器进行同步。

    虽然可以向一个适配器分配多个应用程序,但任何给定的应用程序都只能分配给一个适配器。

从适配器中删除应用程序

  1. “开始” 菜单上,单击 “运行”

  2. 在“ 运行 ”对话框中,键入 cmd,然后单击“ 确定”。

  3. 在命令行上,转至企业单一登录安装目录。 默认值为 <drive>:\Program Files\Common Files\Enterprise Single Sign-On。

  4. 键入 ssops -deleteapp <应用程序名称> ,然后按 Enter。

    指定的 SSO 应用程序将从适配器中删除。 (由于一个应用程序只能分配给一个适配器,因此无需指定适配器名称。)

重置通知

  1. “开始” 菜单上,单击 “运行”

  2. 在“ 运行 ”对话框中,键入 cmd,然后单击“ 确定”。

  3. 在命令行上,转至企业单一登录安装目录。 默认值为 <drive>:\Program Files\Common Files\Enterprise 单一登录。

  4. 键入 ssops -reset <适配器名称 | all | 阻尼> ,然后按 Enter。

    此命令将根据指定清除单个适配器或所有适配器的阻止表和/或通知队列。 阻止表可存储 10 分钟的密码更改历史记录。 在接受或发送密码更改之前,企业 SSO 系统会检查阻止表以查看最近是否执行了同样的更改。 如果已执行过,则会放弃新的更改。

将适配器添加到适配器组

  1. “开始” 菜单上,单击 “运行”

  2. 在“ 运行 ”对话框中,键入 cmd,然后单击“ 确定”。

  3. 在命令行上,转至企业单一登录安装目录。 默认值为 <drive>:\Program Files\Common Files\Enterprise 单一登录。

  4. 键入 ssops -addtogroup <适配器名称><适配器组> ,然后按 Enter。

    此命令将向所指定的适配器组添加指定的适配器。 虽然一个适配器只能属于一个适配器组,但一个适配器组可包含多个适配器。

从适配器组中删除适配器

  1. “开始” 菜单上,单击 “运行”

  2. 在“ 运行 ”对话框中,键入 cmd,然后单击“ 确定”。

  3. 在命令行上,转至企业单一登录安装目录。 默认值为 <drive>:\Program Files\Common Files\Enterprise 单一登录。

  4. 键入 ssops -deletefromgroup <适配器名称><适配器组> ,然后按 Enter。

    此命令将从所指定的适配器组中删除指定的适配器。

另请参阅

密码同步