次の方法で共有

パスワード同期の管理

  • [アーティクル]

Microsoft 管理コンソール (MMC) Snap-In またはコマンド ラインを使用して、エンタープライズ シングル Sign-On (SSO) でパスワード同期を管理できます。 このトピックでは、アダプターを使用してさまざまな管理タスクを実行する方法について説明します。

MMC スナップインでは、アダプタとそのプロパティの一覧が表示されます。 アダプタを右クリックしてメニューを使用すると、次のようなコマンドを実行できます。

  • アダプタの作成

  • プロパティの設定

  • 更新

  • 削除

  • 有効にする

  • Disable

  • アダプタへのアプリケーションの追加

  • アダプタからのアプリケーションの削除

  • 通知の再設定

  • アダプタ グループへのアダプタの追加

  • アダプタ グループからのアダプタの削除

    SSOPS コマンド ライン ユーティリティを使用して、パスワード同期を管理することもできます。 このセクションのほとんどのコマンドは、管理者のみが使用することを目的としています。

    多くのコマンドでは、コマンド出力が画面上に 2 列で表示されます。 特定の画面設定によってデータが切り捨てられる可能性があるため、最良の結果を得るには、画面バッファー サイズ/Windows サイズを 120 文字に変更する必要があります。

    次の表に、SSOPS コマンドの一覧を示します。 手順と追加の説明については、このトピックの残りの部分で説明します。

コマンド 機能
-list 既存のアダプターを一覧表示します。
-display アダプター情報を表示します。
-create 新しいアダプターを作成します。
-setprops アダプターのプロパティを設定します。
-update 既存のアダプターを更新します。
-削除 既存のアダプターを削除します。
-を有効にします。 アダプターを有効にします。
-を無効にします。 アダプターを無効にします。
-addapp アダプター用のアプリケーションを追加します。
-deleteapp アダプターのアプリケーションを削除します。
-reset 通知キューまたはダンピング キューをリセットします。
-addtogroup アダプター グループにアダプターを追加します。
-deletefromgroup アダプター グループからアダプターを削除します。

既存のアダプタを一覧表示するには

  1. [スタート] ボタン、[ファイル名を指定して実行] の順にクリックし、「cmd」と入力して、[OK] をクリックします。

  2. コマンド プロンプトで、Enterprise Single Sign-On インストール ディレクトリに移動します。

    既定値は <drive>:\Program Files\Common Files\Enterprise シングル サインオンです。

  3. ssops -list を入力し、ENTER を押します。

    アダプターと説明が一覧表示されます。 (E) はアダプタが有効であることを表し、(D) はアダプタが無効であることを表します。

アダプタの情報を表示するには

  1. [スタート] ボタン、[ファイル名を指定して実行] の順にクリックし、「cmd」と入力して、[OK] をクリックします。

  2. コマンド プロンプトで、Enterprise Single Sign-On インストール ディレクトリに移動します。

    既定値は <drive>:\Program Files\Common Files\Enterprise シングル サインオンです。

  3. ssops -display <adapter name> を入力し、ENTER を押します。

    画面出力には、指定されたアダプターの情報が表示されます。

    名前、種類、説明、コンピュータ、およびアカウントに加え、次の情報が表示されます。

    アダプタ フラグ 詳細
    [アダプタは有効] アダプターが有効かどうかを示します。

    フラグ: SSO_FLAG_ENABLED

    属性名: enableApp

    既定値: いいえ
    [ローカル アカウントを許可] アプリケーション管理アカウントまたはアプリケーション ユーザー アカウントをローカル アカウントとして使用できるかどうかを決定します。

    フラグ: SSO_FLAG_APP_ALLOW_LOCAL

    属性名: allowLocalAccounts

    既定値: いいえ
    [アダプタからパスワードの変更を受信] アダプターで外部パスワード変更を受け取ることが許可されているかどうかを示します。

    フラグ: SSO_FLAG_PARTIAL_SYNC_FROM_EXTERNAL_TO_DB

    属性名: syncFromAdapter

    既定値: いいえ
    [以前のパスワードを確認] アダプタで外部パスワード変更を受け取ったときに、以前のパスワードを確認するかどうかを指定します。 このフラグが設定されている場合、外部パスワードの変更を受信すると、外部アダプターは、新しい外部パスワードに加えて、古い外部パスワードを指定する必要があります。 以前の外部パスワードは、外部アカウントの SSO データベース内の既存の外部パスワードと比較されます。 両方のパスワードが一致する場合はパスワードの変更が認められ、 一致しない場合は拒否されます。

    フラグ: SSO_FLAG_SYNC_VERIFY_EXTERNAL_CREDS

    属性名: verifyOldPassword

    既定値ははい
    [Windows パスワードの変更] 外部パスワードの変更を受信したときに Windows パスワードも変更される (完全同期) かどうかを決定します。 ENTSSO では、SSO データベースに格納されている古い Windows パスワードを常に使用して、Windows パスワードを新しい値に変更します (Windows では、ユーザーのパスワードを変更するには、古いパスワードと新しいパスワードの両方が必要です)。 そのため、Windows パスワードの変更が成功する前に初期化する必要があります。 パスワード同期が特定のマッピング用に構成されている場合、外部資格情報が管理ツール (ssomanage または ssoclient -setcredentials) を使用して設定されている場合、SSO データベースに格納されている Windows パスワードも設定されます。

    フラグ: SSO_FLAG_FULL_SYNC_FROM_EXTERNAL_TO_WINDOWS

    属性名: changeWindowsPassword

    既定値: いいえ
    [Windows パスワードの変更をアダプタに送信] Windows パスワードの変更を外部アダプターに送信するかどうかを決定します。

    フラグ: SSO_FLAG_FULL_SYNC_FROM_WINDOWS_TO_EXTERNAL

    属性名: syncToAdapter

    既定値: いいえ
    [以前のパスワードをアダプタに送信] [はい] の場合、(SSO データベースから) 古いパスワード値も、新しいパスワード値に加えて外部アダプターに送信されます。 いくつかの外部システムでは、パスワード変更に、以前のパスワードの値と新しいパスワードの値の両方が必要な場合があります。

    フラグ: SSO_FLAG_SYNC_PROVIDE_OLD_EXTERNAL_CREDS

    属性名: sendOldPassword

    既定値: いいえ
    [マッピングの競合を許可] アダプターでマッピングの競合を許可するかどうかを示します。

    マッピングの競合は、マッピングが一意でないときに発生します。 1 つの SSO 個別アプリケーションでは、マッピングは常に 1 対 1 です。1 つの Windows アカウントが 1 つの外部アカウントにマップされ、その逆も同様です。

    ただし、複数のアプリケーションを 1 つのアダプタに割り当てることは可能です。 したがって、あるアプリケーション内のマッピングが別のアプリケーション内のマッピングと競合する可能性があります。

    このフラグの目的は、これが発生しないようにすることです。 具体的で十分な理由がない限り、マッピングの競合を許可しないようにする方がより安全です。

    フラグ: SSO_FLAG_SYNC_ALLOW_MAPPING_CONFLICTS

    属性名: allowMappingConflicts

    既定値: いいえ
    アダプタの説明 詳細
    通知の再試行回数 既定値は 1 です。
    通知の再試行間隔 (分) 既定値は 5 です。
    通知の最大保留数 既定値は 8 です。
    通知の格納 (オフライン時) True または False です。
    サーバー名 サーバー名。
    ポート番号 ポート番号。
    このアダプタのアプリケーション 現在アダプタに割り当てられているアプリケーションの一覧です。

新しいアダプタを作成するには

  1. [スタート] ボタン、[ファイル名を指定して実行] の順にクリックし、「cmd」と入力して、[OK] をクリックします。

  2. コマンド プロンプトで、Enterprise Single Sign-On インストール ディレクトリに移動します。

    既定値は <drive>:\Program Files\Common Files\Enterprise シングル サインオンです。

  3. ssops -create <adapter file> を入力し、ENTER を押します。

    画面出力には、新しく作成されたアダプターの情報が表示されます。

アダプタのプロパティを設定するには

  1. [スタート] ボタン、[ファイル名を指定して実行] の順にクリックし、「cmd」と入力して、[OK] をクリックします。

  2. コマンド プロンプトで、Enterprise Single Sign-On インストール ディレクトリに移動します。

    既定値は <drive>:\Program Files\Common Files\Enterprise シングル サインオンです。

  3. ssops -setprops <adapter name> を入力し、ENTER を押します。

    画面出力には、指定したアダプターのプロパティが表示されます。 これらのプロパティは必要に応じて編集できますが、新しい値は検証されません。

既存のアダプタを更新するには

  1. [スタート] ボタン、[ファイル名を指定して実行] の順にクリックし、「cmd」と入力して、[OK] をクリックします。

  2. コマンド プロンプトで、Enterprise Single Sign-On インストール ディレクトリに移動します。

    既定値は <drive>:\Program Files\Common Files\Enterprise シングル サインオンです。

  3. ssops -update <adapter file> を入力し、ENTER を押します。

    このコマンドを使用して、指定したアダプタの設定およびフラグを更新します。 このコマンドを使用してプロパティを設定しないでください。代わりに -setprops コマンドを 使用してください。

既存のアダプタを削除するには

  1. [スタート] ボタン、[ファイル名を指定して実行] の順にクリックし、「cmd」と入力して、[OK] をクリックします。

  2. コマンド プロンプトで、Enterprise Single Sign-On インストール ディレクトリに移動します。

    既定値は <drive>:\Program Files\Common Files\Enterprise シングル サインオンです。

  3. ssops -delete <adapter name> を入力し、ENTER を押します。

    指定したアダプターが削除されます。

アダプタを有効にするには

  1. [スタート] ボタン、[ファイル名を指定して実行] の順にクリックし、「cmd」と入力して、[OK] をクリックします。

  2. コマンド プロンプトで、Enterprise Single Sign-On インストール ディレクトリに移動します。

    既定値は <drive>:\Program Files\Common Files\Enterprise シングル サインオンです。

  3. ssops -enable <adapter name> を入力し、ENTER を押します。

    指定したアダプターが有効になっています。

アダプタを無効にするには

  1. [スタート] ボタン、[ファイル名を指定して実行] の順にクリックし、「cmd」と入力して、[OK] をクリックします。

  2. コマンド プロンプトで、Enterprise Single Sign-On インストール ディレクトリに移動します。

    既定値は <drive>:\Program Files\Common Files\Enterprise シングル サインオンです。

  3. ssops -disable <adapter name> を入力し、ENTER を押します。

    指定したアダプターが無効になっています。

アダプタにアプリケーションを追加するには

  1. [スタート] ボタン、[ファイル名を指定して実行] の順にクリックし、「cmd」と入力して、[OK] をクリックします。

  2. コマンド ラインで、エンタープライズ シングル サインオンのインストール ディレクトリに移動します。

    既定値は <drive>:\Program Files\Common Files\Enterprise シングル サインオンです。

  3. ssops -addapp <adapter name> <application name> を入力し、ENTER を押します。

    指定した SSO アプリケーションが、指定したアダプターに割り当てられます。 つまり、そのアプリケーション内のマッピングのパスワードは、このアダプターを使用して同期されます。

    複数のアプリケーションを 1 つのアダプターに割り当てることができますが、特定のアプリケーションは 1 つのアダプターにのみ割り当てることができます。

アダプタからアプリケーションを削除するには

  1. [スタート] ボタン、[ファイル名を指定して実行] の順にクリックし、「cmd」と入力して、[OK] をクリックします。

  2. コマンド プロンプトで、Enterprise Single Sign-On インストール ディレクトリに移動します。

    既定値は <drive>:\Program Files\Common Files\Enterprise シングル サインオンです。

  3. ssops -deleteapp <application name> を入力し、ENTER を押します。

    指定した SSO アプリケーションがアダプターから削除されます。 (アプリケーションは 1 つのアダプターにのみ割り当てられるため、アダプター名を指定する必要はありません)。

通知を再設定するには

  1. [スタート] ボタン、[ファイル名を指定して実行] の順にクリックし、「cmd」と入力して、[OK] をクリックします。

  2. コマンド プロンプトで、Enterprise Single Sign-On インストール ディレクトリに移動します。

    既定値は <drive>:\Program Files\Common Files\Enterprise シングル サインオンです。

  3. ssops -reset <adapter name | all | damping> を入力し、ENTER を押します。

    このコマンドにより、1 つのアダプタまたはすべてのアダプタの抑制テーブルや通知キューが指定したとおりにクリアされます。 抑制テーブルには、パスワード変更の履歴が 10 分間格納されます。 Enterprise SSO システムは、パスワードの変更を受け入れるか送信する前に、ダンピング テーブルをチェックして、同じ変更が最近実行されたかどうかを確認します。 同じ変更が行われていた場合は、新しい変更が破棄されます。

アダプタ グループにアダプタを追加するには

  1. [スタート] ボタン、[ファイル名を指定して実行] の順にクリックし、「cmd」と入力して、[OK] をクリックします。

  2. コマンド プロンプトで、Enterprise Single Sign-On インストール ディレクトリに移動します。

    既定値は <drive>:\Program Files\Common Files\Enterprise シングル サインオンです。

  3. ssops -addtogroup <adapter name> <adapter group> を入力し、ENTER を押します。

    このコマンドにより、指定したアダプタが、指定したアダプタ グループに追加されます。 アダプターは 1 つのアダプター グループにのみ属できますが、アダプター グループには複数のアダプターを含めることができます。

アダプタ グループからアダプタを削除するには

  1. [スタート] ボタン、[ファイル名を指定して実行] の順にクリックし、「cmd」と入力して、[OK] をクリックします。

  2. コマンド プロンプトで、Enterprise Single Sign-On インストール ディレクトリに移動します。

    既定値は <drive>:\Program Files\Common Files\Enterprise シングル サインオンです。

  3. ssops -deletefromgroup <adapter name> <adapter group> を入力し、ENTER を押します。

    このコマンドにより、指定したアダプタが、指定したアダプタ グループから削除されます。

参照

パスワード同期