Condividi tramite

Amministrazione della sincronizzazione delle password

  • Articolo

È possibile amministrare la sincronizzazione delle password in Enterprise Single Sign-On (SSO) tramite microsoft Management Console (MMC) Snap-In o la riga di comando. In questo argomento viene descritto come eseguire varie attività di amministrazione con adattatori.

Nello snap-in MMC viene visualizzato un elenco di adapter con le relative proprietà. È possibile fare clic con il pulsante destro del mouse su un adapter e utilizzare il menu per eseguire i seguenti comandi:

  • Crea adapter

  • Impostare le proprietà

  • Aggiornamento

  • Delete

  • Abilita

  • Disabilitazione

  • Aggiungi applicazioni ad adapter

  • Elimina applicazioni da adapter

  • Reimposta notifica

  • Aggiungi adapter a gruppo di adapter

  • Elimina adapter da gruppo di adapter

    È anche possibile usare l'utilità della riga di comando SSOPS per amministrare la sincronizzazione delle password. La maggior parte dei comandi di questa sezione è destinata all'uso solo da parte di un amministratore.

    Per molti comandi, il relativo output viene visualizzato sullo schermo in due colonne. Poiché alcune impostazioni dello schermo potrebbero causare il troncamento dei dati, per ottenere risultati ottimali è consigliabile modificare le dimensioni del buffer dello schermo o le dimensioni di Windows in 120 caratteri.

    Nella tabella seguente sono elencati i comandi SSOPS. Le procedure e le spiegazioni aggiuntive si trovano nel resto di questo argomento.

Comando Funzione
-list Elenca gli adattatori esistenti.
-display Visualizza le informazioni sull'adattatore.
-create Crea nuovi adattatori.
-setprops Imposta le proprietà per l'adapter.
-update Aggiornamenti adattatori esistenti.
-Elimina Elimina un adattatore esistente.
-abilitare Abilita l'adattatore.
-Disabilita Disabilita l'adattatore.
-addapp Aggiunge l'applicazione per l'adapter.
-deleteapp Elimina l'applicazione per l'adapter.
-reset Reimposta le code di notifica o di smorzamento.
-addtogroup Aggiunge adapter al gruppo di adattatori.
-deletefromgroup Elimina l'adattatore dal gruppo di adattatori.

Per elencare gli adapter esistenti

  1. Fare clic sul pulsante Start, scegliere Esegui, digitare cmd e quindi fare clic su OK.

  2. Al prompt dei comandi passare alla directory di installazione di Enterprise Single Sign-On.

    Il valore predefinito è <drive>:\Program Files\Common Files\Enterprise Single Sign-On.

  3. Tipo ssops -list e premere INVIO.

    Sono elencati adattatori e descrizioni. (E) indica che l'adapter è abilitato, (D) che è disabilitato.

Per visualizzare informazioni sull'adapter

  1. Fare clic sul pulsante Start, scegliere Esegui, digitare cmd e quindi fare clic su OK.

  2. Al prompt dei comandi passare alla directory di installazione di Enterprise Single Sign-On.

    Il valore predefinito è <drive>:\Program Files\Common Files\Enterprise Single Sign-On.

  3. Tipo ssops -display <adapter name> e premere INVIO.

    L'output dello schermo visualizza informazioni per l'adattatore specificato.

    Oltre a nome, tipo, descrizione, computer e account, verranno visualizzate le informazioni riportate di seguito.

    Flag adapter Dettagli
    Adapter abilitato Determinare se l'adapter è attivato.

    Flag: SSO_FLAG_ENABLED

    Nome attributo: enableApp

    Valore predefinito: No
    Autorizzazione account locali Determinare se gli account Amministratori applicazione o Utenti applicazioni possono essere locali.

    Flag: SSO_FLAG_APP_ALLOW_LOCAL

    Nome attributo: allowLocalAccounts

    Valore predefinito: No
    Ricezione modifiche della password dall'adapter Determinare se la ricezione di modifiche esterne alla password è autorizzata per l'adapter.

    Flag: SSO_FLAG_PARTIAL_SYNC_FROM_EXTERNAL_TO_DB

    Nome attributo: syncFromAdapter

    Valore predefinito: No
    Per verificare la vecchia password Determina se l'adapter verificherà la vecchia password al momento della ricezione di una modifica della password esterna. Se questo flag viene impostato, quando viene ricevuta una modifica della password esterna, l'adattatore esterno deve fornire la vecchia password esterna oltre alla nuova password esterna. La vecchia password esterna verrà quindi confrontata con la password esterna esistente nel database SSO relativo all'account esterno. Se corrispondono, la modifica della password viene accettata. In caso contrario, la modifica della password viene rifiutata.

    Flag: SSO_FLAG_SYNC_VERIFY_EXTERNAL_CREDS

    Nome attributo: verifyOldPassword

    Predefinito: Sì
    Cambio password di Windows Determina se la password di Windows verrà modificata anche quando viene ricevuta una modifica della password esterna (sincronizzazione completa). ENTSSO usa sempre la vecchia password di Windows archiviata nel database SSO per modificare la password di Windows con il nuovo valore (Windows richiede sia la password precedente che quella nuova per modificare la password di un utente). Pertanto, questa operazione deve essere inizializzata prima che la modifica della password di Windows possa avere esito positivo. Se la sincronizzazione password è configurata per un particolare mapping, quando le credenziali esterne vengono impostate tramite strumenti di amministrazione (ssomanage o ssoclient -setcredentials), viene impostata anche la password di Windows archiviata nel database SSO.

    Flag: SSO_FLAG_FULL_SYNC_FROM_EXTERNAL_TO_WINDOWS

    Nome attributo: changeWindowsPassword

    Valore predefinito: No
    Invio modifiche della password di Windows all'adapter Determina se le modifiche della password di Windows vengono inviate all'adattatore esterno.

    Flag: SSO_FLAG_FULL_SYNC_FROM_WINDOWS_TO_EXTERNAL

    Nome attributo: syncToAdapter

    Valore predefinito: No
    Invio vecchia password all'adapter Se Sì, il valore della password precedente (dal database SSO) viene inviato anche all'adattatore esterno oltre al nuovo valore della password. Per modificare la password, in alcuni sistemi esterni può essere necessario specificare sia la vecchia che la nuova password.

    Flag: SSO_FLAG_SYNC_PROVIDE_OLD_EXTERNAL_CREDS

    Nome attributo: sendOldPassword

    Valore predefinito: No
    Autorizzazione conflitti di mapping Determinare se nell'adapter sono consentiti i conflitti di mapping.

    Si verifica un conflitto di mapping quando i mapping non sono univoci. In una singola applicazione SSO di tipo Individuale i mapping sono sempre uno-a-uno: un account Windows è mappato esattamente a un account esterno e viceversa.

    È tuttavia possibile assegnare più di un'applicazione a un adapter. Di conseguenza, è possibile che un mapping di un'applicazione sia in conflitto con un mapping di un'altra applicazione.

    Lo scopo di questo flag è impedire che questo si verifichi. Per ragioni di protezione è consigliabile non consentire i conflitti di mapping a meno che non vi sia un'esigenza specifica e ben motivata.

    Flag: SSO_FLAG_SYNC_ALLOW_MAPPING_CONFLICTS

    Nome attributo: allowMappingConflicts

    Valore predefinito: No
    Descrizione adapter Dettagli
    Numero di tentativi di notifica Il valore predefinito è 1.
    Intervallo tra tentativi di notifica (in min) Il valore predefinito è 5.
    Numero massimo di notifiche in sospeso Il valore predefinito è 8.
    Archiviazione delle notifiche (se non in linea) True/False.
    Nome server Nome del server.
    Numero porta Numero porta.
    Applicazioni per l'adapter Elenco delle applicazioni attualmente assegnate all'adapter.

Per creare nuovi adapter

  1. Fare clic sul pulsante Start, scegliere Esegui, digitare cmd e quindi fare clic su OK.

  2. Al prompt dei comandi passare alla directory di installazione di Enterprise Single Sign-On.

    Il valore predefinito è <drive>:\Programmi\Common Files\Enterprise Single Sign-On.

  3. Tipo ssops -create <adapter file> e premere INVIO.

    L'output dello schermo visualizza informazioni per la scheda appena creata.

Per impostare le proprietà di un adapter

  1. Fare clic sul pulsante Start, scegliere Esegui, digitare cmd e quindi fare clic su OK.

  2. Al prompt dei comandi passare alla directory di installazione di Enterprise Single Sign-On.

    Il valore predefinito è <drive>:\Programmi\Common Files\Enterprise Single Sign-On.

  3. Tipo ssops -setprops <adapter name> e premere INVIO.

    L'output dello schermo visualizza le proprietà per l'adattatore specificato. Se necessario è possibile modificarle, ma i nuovi valori non verranno convalidati.

Per aggiornare gli adapter esistenti

  1. Fare clic sul pulsante Start, scegliere Esegui, digitare cmd e quindi fare clic su OK.

  2. Al prompt dei comandi passare alla directory di installazione di Enterprise Single Sign-On.

    Il valore predefinito è <drive>:\Programmi\Common Files\Enterprise Single Sign-On.

  3. Tipo ssops -update <adapter file> e premere INVIO.

    Utilizzare questo comando per aggiornare le impostazioni e i flag per un determinato adapter. Non usare questo comando per impostare le proprietà; usare invece il comando -setprops .

Per eliminare un adapter esistente

  1. Fare clic sul pulsante Start, scegliere Esegui, digitare cmd e quindi fare clic su OK.

  2. Al prompt dei comandi passare alla directory di installazione di Enterprise Single Sign-On.

    Il valore predefinito è <drive>:\Programmi\Common Files\Enterprise Single Sign-On.

  3. Tipo ssops -delete <adapter name> e premere INVIO.

    L'adattatore specificato viene eliminato.

Per abilitare un adapter

  1. Fare clic sul pulsante Start, scegliere Esegui, digitare cmd e quindi fare clic su OK.

  2. Al prompt dei comandi passare alla directory di installazione di Enterprise Single Sign-On.

    Il valore predefinito è <drive>:\Programmi\Common Files\Enterprise Single Sign-On.

  3. Tipo ssops -enable <adapter name> e premere INVIO.

    L'adattatore specificato è abilitato.

Per disabilitare un adapter

  1. Fare clic sul pulsante Start, scegliere Esegui, digitare cmd e quindi fare clic su OK.

  2. Al prompt dei comandi passare alla directory di installazione di Enterprise Single Sign-On.

    Il valore predefinito è <drive>:\Programmi\Common Files\Enterprise Single Sign-On.

  3. Tipo ssops -disable <adapter name> e premere INVIO.

    L'adattatore specificato è disabilitato.

Per aggiungere un'applicazione a un adapter

  1. Fare clic sul pulsante Start, scegliere Esegui, digitare cmd e quindi fare clic su OK.

  2. Dalla riga di comando passare alla directory di installazione di Enterprise Single Sign-On.

    Il valore predefinito è <drive>:\Programmi\Common Files\Enterprise Single Sign-On.

  3. Tipo ssops -addapp <adapter name> <application name> e premere INVIO.

    L'applicazione SSO specificata viene assegnata all'adapter specificato. Ciò significa che le password per i mapping in tale applicazione sono ora sincronizzate usando questa scheda.

    Anche se più applicazioni possono essere assegnate a una scheda, qualsiasi applicazione specificata può essere assegnata solo a una scheda.

Per eliminare un'applicazione da un adapter

  1. Fare clic sul pulsante Start, scegliere Esegui, digitare cmd e quindi fare clic su OK.

  2. Al prompt dei comandi passare alla directory di installazione di Enterprise Single Sign-On.

    Il valore predefinito è <drive>:\Programmi\Common Files\Enterprise Single Sign-On.

  3. Tipo ssops -deleteapp <application name> e premere INVIO.

    L'applicazione SSO specificata viene rimossa da un adapter. Poiché un'applicazione può essere assegnata solo a una scheda, non è necessario specificare il nome dell'adapter.

Per reimpostare la notifica

  1. Fare clic sul pulsante Start, scegliere Esegui, digitare cmd e quindi fare clic su OK.

  2. Al prompt dei comandi passare alla directory di installazione di Enterprise Single Sign-On.

    Il valore predefinito è <drive>:\Programmi\Common Files\Enterprise Single Sign-On.

  3. Tipo ssops -reset <adapter name | all | damping> e premere INVIO.

    Questo comando cancella il contenuto della tabella di smorzamento e/o delle code di notifica per un singolo adapter o per tutti gli adapter, a seconda di quanto specificato. Nella tabella di smorzamento viene memorizzata una cronologia di dieci minuti relativa alle modifiche delle password. Prima che il sistema Enterprise SSO accetti o invii una modifica della password, controlla la tabella di umidità per verificare se ha eseguito la stessa modifica di recente. In caso affermativo, la nuova modifica viene scartata.

Per aggiungere un adapter a un gruppo di adapter

  1. Fare clic sul pulsante Start, scegliere Esegui, digitare cmd e quindi fare clic su OK.

  2. Al prompt dei comandi passare alla directory di installazione di Enterprise Single Sign-On.

    Il valore predefinito è <drive>:\Programmi\Common Files\Enterprise Single Sign-On.

  3. Tipo ssops -addtogroup <adapter name> <adapter group> e premere INVIO.

    Questo comando aggiunge l'adapter specificato al gruppo di adapter indicato. Anche se un adattatore può appartenere a un solo gruppo di adattatori, un gruppo di adattatori può contenere più schede.

Per eliminare un adapter da un gruppo di adapter

  1. Fare clic sul pulsante Start, scegliere Esegui, digitare cmd e quindi fare clic su OK.

  2. Al prompt dei comandi passare alla directory di installazione di Enterprise Single Sign-On.

    Il valore predefinito è <drive>:\Programmi\Common Files\Enterprise Single Sign-On.

  3. Tipo ssops -deletefromgroup <adapter name> <adapter group> e premere INVIO.

    Questo comando elimina l'adapter specificato dal gruppo di adapter indicato.

Vedere anche

Sincronizzazione delle password