Compartir a través de

Cómo administrar la sincronización de contraseñas

  • Artículo

La sincronización de contraseñas puede administrarse desde el Complemento MMC o desde la línea de comandos.

El Complemento MMC muestra una lista de adaptadores y sus propiedades. Puede hacer clic con el botón secundario en un adaptador y utilizar el menú para ejecutar los comandos siguientes:

  • Crear adaptadores

  • Establecimiento de las propiedades

  • Actualizar

  • Eliminar

  • Habilitar

  • Disable

  • Agregar aplicaciones a un adaptador

  • Eliminar aplicaciones de un adaptador

  • Restablecer una notificación

  • Agregar un adaptador a un grupo de adaptadores

  • Eliminar un adaptador de un grupo de adaptadores

    También puede utilizar la utilidad de línea de comandos SSOPS para administrar la sincronización de contraseñas. La mayoría de los comandos descritos en esta sección son para uso exclusivo del administrador.

    Para la mayoría de los comandos, la salida de comando se muestra en pantalla, organizada en dos columnas. Puesto que algunos parámetros de pantalla podrían truncar los datos, deberá cambiar el tamaño del búfer de pantalla o el tamaño de Windows a 120 caracteres.

    Los comandos SSOPS se enumeran en la lista tabla siguiente. En sucesivos apartados de este tema se incluyen los procedimientos y su correspondiente explicación.

Get-Help Función
-list Listar los adaptadores existentes
-display Ver información de adaptadores
-create Crear adaptadores nuevos
-setprops Definir las propiedades de un adaptador
-update Actualizar los adaptadores existentes
-delete Eliminar un adaptador existente
-enable Habilitar un adaptador
-disable Deshabilitar un adaptador
-addapp Agregar una aplicación a un adaptador
-deleteapp Eliminar una aplicación de un adaptador
-reset Restablecer cola de notificaciones o de cambio de contraseñas
-addtogroup Agregar un adaptador a un grupo de adaptadores
-deletefromgroup Elimina el adaptador del grupo de adaptadores.

Para enumerar los adaptadores existentes

  1. En el menú Inicio , haga clic en Ejecutar.

  2. En el cuadro de diálogo Ejecutar , escriba cmd y, a continuación, haga clic en Aceptar.

  3. En la línea de comandos, vaya al directorio de instalación de inicio de sesión único empresarial. El valor predeterminado es <drive>:\Program Files\Common Files\Enterprise Single Sign-On.

  4. Escriba ssops -list y presione Entrar.

    Aparecerá una lista con los adaptadores y sus descripciones. (E) indica que el adaptador está activado, y (D) indica que está desactivado.

Para ver información de adaptadores

  1. En el menú Inicio , haga clic en Ejecutar.

  2. En el cuadro de diálogo Ejecutar , escriba cmd y, a continuación, haga clic en Aceptar.

  3. En la línea de comandos, vaya al directorio de instalación de inicio de sesión único empresarial. El valor predeterminado es <drive>:\Program Files\Common Files\Enterprise Single Sign-On.

  4. Escriba ssops -display adapter name (Nombre> del adaptador para mostrar<) y presione Entrar.

    La pantalla presentará información detallada del adaptador que se haya especificado.

    Además del nombre, tipo, descripción, equipo y cuentas, se muestra la información siguiente:

    Indicador del adaptador Detalles
    Adaptador habilitado Indica si el adaptador está o no habilitado.

    Marca: SSO_FLAG_ENABLED

    Nombre del atributo: enableApp

    Valor predeterminado: No
    Permitir grupos locales Determina si las cuentas App Admin o App Users pueden ser cuentas locales.

    Marca: SSO_FLAG_APP_ALLOW_LOCAL

    Nombre del atributo: allowLocalAccounts

    Valor predeterminado: No
    Recibir cambios de contraseñas del adaptador Determina si el adaptador está o no autorizado para recibir cambios de contraseñas externos.

    Marca: SSO_FLAG_PARTIAL_SYNC_FROM_EXTERNAL_TO_DB

    Nombre del atributo: syncFromAdapter

    Valor predeterminado: No
    Comprobar contraseña antigua Determina si el adaptador comprobará la contraseña antigua al recibir un cambio de contraseña externo. Si este indicador está definido con un cambio de contraseña externo, el adaptador externo deberá proporcionar la contraseña antigua, así como la nueva contraseña externa. De esta forma, la contraseña antigua se contrasta con la contraseña externa existente en la base de datos de SSO correspondiente a dicha cuenta. Si las contraseñas coinciden, se aceptará el cambio de contraseña. Si las contraseñas no coinciden, se denegará el cambio de contraseña.

    Marca: SSO_FLAG_SYNC_VERIFY_EXTERNAL_CREDS

    Nombre del atributo: verifyOldPassword

    Valor predeterminado: Sí
    Cambiar la contraseña de Windows Determina si también se debe cambiar la contraseña de Windows al recibir un cambio de contraseña externo (sincronización completa). ENTSSO utiliza siempre la contraseña antigua de Windows, almacenada en la base de datos de SSO, para cambiar la contraseña de Windows por el valor nuevo (para el cambio de la contraseña de usuario, Windows solicita la contraseña antigua y la nueva). Por lo tanto, este valor deberá inicializarse para que el cambio de contraseña de Windows se efectúe correctamente. Si la sincronización de contraseñas está configurada para una asignación determinada, cuando las credenciales externas se establecen a través de herramientas administrativas (ssomanage o ssoclient -setcredentials), también se establecerá la contraseña de Windows almacenada en la base de datos de SSO. Marca: SSO_FLAG_FULL_SYNC_FROM_EXTERNAL_TO_WINDOWS

    Nombre del atributo: changeWindowsPassword

    Valor predeterminado: No
    Enviar cambios de contraseñas de Windows al adaptador Determina si los cambios de contraseña de Windows deben o no enviarse al adaptador externo.

    Marca: SSO_FLAG_FULL_SYNC_FROM_WINDOWS_TO_EXTERNAL

    Nombre del atributo: syncToAdapter

    Valor predeterminado: No
    Enviar contraseña antigua al adaptador Si se define como Sí, el valor de la contraseña antigua (procedente de la base de datos de SSO) también se enviará al adaptador externo, junto con el nuevo valor de contraseña. Algunos sistemas externos podrían solicitar ambos valores (contraseña antigua y contraseña nueva) para efectuar un cambio de contraseña.

    Marca: SSO_FLAG_SYNC_PROVIDE_OLD_EXTERNAL_CREDS

    Nombre del atributo: sendOldPassword

    Valor predeterminado: No
    Permitir conflictos de asignación Determina si el adaptador debe o no permitir los conflictos de asignación.

    Los conflictos de asignación tienen lugar cuando las asignaciones no son exclusivas. En una sola aplicación individual de SSO, las asignaciones siempre son una a una: una cuenta de Windows se asigna exactamente a una cuenta externa y viceversa.

    Sin embargo, es posible asignar más de una aplicación a un mismo adaptador. Por lo tanto, existe la posibilidad de que la asignación de una aplicación entre en conflicto con otra.

    La finalidad de este indicador consiste en evitar que esto suceda. Resulta más seguro no permitir los conflictos de asignación, a menos que exista un requisito específico y justificado para hacerlo.

    Marca: SSO_FLAG_SYNC_ALLOW_MAPPING_CONFLICTS

    Nombre del atributo: allowMappingConflicts

    Valor predeterminado: No
    Descripción del adaptador Detalles
    Recuento de reintentos de notificación El valor predeterminado es 1.
    Retraso de reintento de notificación (en minutos) El valor predeterminado es 5.
    Número máximo de notificaciones pendientes El valor predeterminado es 8.
    Almacenar notificaciones (sin conexión) True/False
    Nombre de servidor Nombre de servidor.
    Número de puerto Número de puerto.
    Aplicaciones para este adaptador Ofrece una lista de las aplicaciones actualmente asignadas al adaptador.

Para crear un adaptador nuevo

  1. En el menú Inicio , haga clic en Ejecutar.

  2. En el cuadro de diálogo Ejecutar , escriba cmd y, a continuación, haga clic en Aceptar.

  3. En la línea de comandos, vaya al directorio de instalación de inicio de sesión único empresarial. El valor predeterminado es <drive>:\Program Files\Common Files\Enterprise Single Sign-On.

  4. Escriba ssops -create <adapter file> y presione Entrar.

    La pantalla presentará información detallada del adaptador que se acaba de crear.

Para establecer las propiedades de un adaptador

  1. En el menú Inicio , haga clic en Ejecutar.

  2. En el cuadro de diálogo Ejecutar , escriba cmd y, a continuación, haga clic en Aceptar.

  3. En la línea de comandos, vaya al directorio de instalación de inicio de sesión único empresarial. El valor predeterminado es <drive>:\Program Files\Common Files\Enterprise Single Sign-On.

  4. Escriba ssops -setprops adapter name> (Nombre del adaptador de ssops-setprops<) y presione Entrar.

    La pantalla presentará las propiedades del adaptador que se haya especificado. Si es necesario, puede editarlas, aunque los valores nuevos no se validarán.

Para actualizar los adaptadores existentes

  1. En el menú Inicio , haga clic en Ejecutar.

  2. En el cuadro de diálogo Ejecutar , escriba cmd y, a continuación, haga clic en Aceptar.

  3. En la línea de comandos, vaya al directorio de instalación de inicio de sesión único empresarial. El valor predeterminado es <drive>:\Program Files\Common Files\Enterprise Single Sign-On.

  4. Escriba ssops -update <adapter file> y presione Entrar.

    Utilice este comando para actualizar los parámetros e indicadores de un adaptador concreto. No utilice este comando para la definición de propiedades. En su lugar, utilice -setprops.

Para eliminar un adaptador existente

  1. En el menú Inicio , haga clic en Ejecutar.

  2. En el cuadro de diálogo Ejecutar , escriba cmd y, a continuación, haga clic en Aceptar.

  3. En la línea de comandos, vaya al directorio de instalación de inicio de sesión único empresarial. El valor predeterminado es <drive>:\Program Files\Common Files\Enterprise Single Sign-On.

  4. Escriba ssops -delete adapter name (Nombre> del adaptador de ssops-delete<) y presione Entrar.

    El adaptador especificado se eliminará.

Para habilitar un adaptador

  1. En el menú Inicio , haga clic en Ejecutar.

  2. En el cuadro de diálogo Ejecutar , escriba cmd y, a continuación, haga clic en Aceptar.

  3. En la línea de comandos, vaya al directorio de instalación de inicio de sesión único empresarial. El valor predeterminado es <drive>:\Program Files\Common Files\Enterprise Single Sign-On.

  4. Escriba ssops -enable <adapter name (Habilitar nombre> del adaptador) y presione Entrar.

    El adaptador especificado quedará habilitado.

Para deshabilitar un adaptador

  1. En el menú Inicio , haga clic en Ejecutar.

  2. En el cuadro de diálogo Ejecutar , escriba cmd y, a continuación, haga clic en Aceptar.

  3. En la línea de comandos, vaya al directorio de instalación de inicio de sesión único empresarial. El valor predeterminado es <drive>:\Program Files\Common Files\Enterprise Single Sign-On.

  4. Escriba ssops -disable <adapter name> (Nombre del adaptador de ssops) y presione Entrar.

    El adaptador especificado quedará deshabilitado.

Para agregar una aplicación a un adaptador

  1. En el menú Inicio , haga clic en Ejecutar.

  2. En el cuadro de diálogo Ejecutar , escriba cmd y, a continuación, haga clic en Aceptar.

  3. En la línea de comandos, vaya al directorio de instalación de inicio de sesión único empresarial. El valor predeterminado es <drive>:\Program Files\Common Files\Enterprise Single Sign-On.

  4. Escriba ssops -addapp <adapter name application name>>< y presione Entrar.

    La aplicación de SSO especificada quedará asignada al adaptador especificado. Esto significa que las contraseñas de las asignaciones de dicha aplicación no se sincronizarán con este adaptador.

    Mientras que un adaptador puede tener asignadas varias aplicaciones, una aplicación puede tener asignado un solo adaptador.

Para eliminar una aplicación de un adaptador

  1. En el menú Inicio , haga clic en Ejecutar.

  2. En el cuadro de diálogo Ejecutar , escriba cmd y, a continuación, haga clic en Aceptar.

  3. En la línea de comandos, vaya al directorio de instalación de inicio de sesión único empresarial. El valor predeterminado es <drive>:\Program Files\Common Files\Enterprise Single Sign-On.

  4. Escriba ssops -deleteapp application name (Nombre> de la aplicación ssops -deleteapp<) y presione Entrar.

    La aplicación de SSO especificada quedará eliminada del adaptador especificado. Puesto que una aplicación sólo puede tener asignado un adaptador, no será necesario especificar el nombre del adaptador.

Para restablecer una notificación

  1. En el menú Inicio , haga clic en Ejecutar.

  2. En el cuadro de diálogo Ejecutar , escriba cmd y, a continuación, haga clic en Aceptar.

  3. En la línea de comandos, vaya al directorio de instalación de inicio de sesión único empresarial. El valor predeterminado es <drive>:\Program Files\Common Files\Enterprise Single Sign-On.

  4. Escriba ssops -reset <adapter name | all | damping> y presione Entrar.

    Este comando deja vacías la cola de la tabla histórica de cambios de contraseñas y la cola de notificaciones de uno adaptador o de todos, según se especifique. La tabla histórica de cambios de contraseñas almacena un historial de cambio de contraseñas cada 10 minutos. Antes de aceptar o enviar un cambio de contraseña, el sistema de SSO empresarial verifica la tabla histórica de cambios de contraseñas para comprobar si se ha efectuado dicho cambio recientemente. Si es así, la contraseña nueva queda descartada.

Para agregar un adaptador a un grupo de adaptadores

  1. En el menú Inicio , haga clic en Ejecutar.

  2. En el cuadro de diálogo Ejecutar , escriba cmd y, a continuación, haga clic en Aceptar.

  3. En la línea de comandos, vaya al directorio de instalación de inicio de sesión único empresarial. El valor predeterminado es <drive>:\Program Files\Common Files\Enterprise Single Sign-On.

  4. Escriba ssops -addtogroup <adapter name adapter><group> y presione Entrar.

    Este comando permite agregar el adaptador especificado al grupo de adaptadores especificado. Mientras que un adaptador puede pertenecer a un solo grupo de adaptadores, un grupo de adaptadores puede contener varios adaptadores.

Para eliminar un adaptador de un grupo de adaptadores

  1. En el menú Inicio , haga clic en Ejecutar.

  2. En el cuadro de diálogo Ejecutar , escriba cmd y, a continuación, haga clic en Aceptar.

  3. En la línea de comandos, vaya al directorio de instalación de inicio de sesión único empresarial. El valor predeterminado es <drive>:\Program Files\Common Files\Enterprise Single Sign-On.

  4. Escriba ssops -deletefromgroup <adapter name><adapter group> y presione Entrar.

    Este comando permite eliminar el adaptador especificado del grupo de adaptadores especificado.

Consulte también

Sincronización de contraseñas