通过

管理密码同步

  • 项目

可以通过 Microsoft 管理控制台 (MMC) Snap-In 或命令行管理企业单 Sign-On (SSO) 中的密码同步。 本主题介绍如何使用适配器执行各种管理任务。

MMC 管理单元可显示适配器及其属性的列表。 使用右键单击适配器后显示的菜单可执行以下命令:

  • 创建适配器

  • 设置属性

  • 更新

  • 删除

  • 启用

  • 禁用

  • 向适配器添加应用程序

  • 从适配器删除应用程序

  • 重置通知

  • 将适配器添加到适配器组

  • 从适配器组删除适配器

    还可以使用 SSOPS 命令行实用工具来管理密码同步。 本节中的大多数命令仅供管理员使用。

    对于多数命令,将在屏幕上按两列显示命令输出。 由于某些屏幕设置可能会导致数据截断,因此为了获得最佳结果,应将屏幕缓冲区大小/Windows 大小更改为 120 个字符。

    下表列出了 SSOPS 命令。 过程和其他说明位于本主题的其余部分。

命令 函数
-list 列出现有适配器。
-display 显示适配器信息。
-create 创建新的适配器。
-setprops 设置适配器的属性。
-update 汇报现有适配器。
-delete 删除现有适配器。
-enable 启用适配器。
-disable 禁用适配器。
-addapp 为适配器添加应用程序。
-deleteapp 删除适配器的应用程序。
-reset 重置通知或阻尼队列。
-addtogroup 将适配器添加到适配器组。
-deletefromgroup 从适配器组中删除适配器。

列出现有适配器

  1. 依次单击“开始”、“运行”,键入 cmd,然后单击“确定”。

  2. 在命令提示符下,转到企业单一 Sign-On 安装目录。

    默认值为 <drive>:\Program Files\Common Files\Enterprise 单一登录。

  3. 键入 ssops -list,然后按 ENTER。

    其中列出了适配器和说明。 (E) 表示适配器已启用,(D) 表示适配器已禁用。

显示适配器信息

  1. 依次单击“开始”、“运行”,键入 cmd,然后单击“确定”。

  2. 在命令提示符下,转到企业单一 Sign-On 安装目录。

    默认值为 <drive>:\Program Files\Common Files\Enterprise 单一登录。

  3. 键入 ssops -display <adapter name>,然后按 ENTER。

    屏幕输出显示指定适配器的信息。

    除了名称、类型、说明、计算机和帐户以外,还会显示以下信息:

    适配器标志 详细信息
    适配器已启用 确定是否已经启用该适配器。

    标志:SSO_FLAG_ENABLED

    属性名称:enableApp

    默认值:否
    允许本地帐户 确定 App Admin 帐户或 App Users 帐户是否可为本地帐户。

    标志:SSO_FLAG_APP_ALLOW_LOCAL

    属性名称:allowLocalAccounts

    默认值:否
    从适配器接收密码更改 确定是否允许该适配器接收外部密码更改。

    标志:SSO_FLAG_PARTIAL_SYNC_FROM_EXTERNAL_TO_DB

    属性名称:syncFromAdapter

    默认值:否
    验证旧密码 确定适配器在接收外部密码更改时是否验证旧密码。 如果设置了此标志,则收到外部密码更改时,外部适配器必须提供旧外部密码以及新的外部密码。 然后,旧的外部密码会与该外部帐户在 SSO 数据库中的现有外部密码进行比较。 如果匹配,则接受密码更改。 如果不匹配,则拒绝密码更改。

    标志:SSO_FLAG_SYNC_VERIFY_EXTERNAL_CREDS

    属性名称:verifyOldPassword

    默认值:是
    更改 Windows 密码 确定在收到外部密码更改 (完全同步) 时,是否也会更改 Windows 密码。 ENTSSO 始终使用存储在 SSO 数据库中的旧 Windows 密码将 Windows 密码更改为新值, (Windows 需要新旧密码才能更改用户的密码) 。 因此,必须先初始化此操作,然后 Windows 密码更改才能成功。 如果为特定映射配置了密码同步,则当通过管理工具 (ssomanage 或 ssoclient -setcredentials) 设置外部凭据时,还会设置存储在 SSO 数据库中的 Windows 密码。

    标志:SSO_FLAG_FULL_SYNC_FROM_EXTERNAL_TO_WINDOWS

    属性名称:changeWindowsPassword

    默认值:否
    将 Windows 密码更改发送到适配器 确定是否将 Windows 密码更改发送到外部适配器。

    标志:SSO_FLAG_FULL_SYNC_FROM_WINDOWS_TO_EXTERNAL

    属性名称:syncToAdapter

    默认值:否
    将旧密码发送到适配器 如果是,除了新密码值之外,从 SSO 数据库) (旧密码值也会发送到外部适配器。 某些外部系统可能需要同时使用旧密码值和新密码值才能更改密码。

    标志:SSO_FLAG_SYNC_PROVIDE_OLD_EXTERNAL_CREDS

    属性名称:sendOldPassword

    默认值:否
    允许映射冲突 确定适配器是否允许出现映射冲突。

    当映射不唯一时,就会发生映射冲突。 在单个 SSO 个人应用程序中,映射始终是一对一的:一个 Windows 帐户只映射到一个外部帐户,反之亦然。

    但是,可以将多个应用程序分配给一个适配器。 因此,可能导致某个应用程序中的映射与其他应用程序中的映射产生冲突。

    此标志的用途是防止这种情况发生。 除非有明确要求,否则请不要允许映射冲突。

    标志:SSO_FLAG_SYNC_ALLOW_MAPPING_CONFLICTS

    属性名称:allowMappingConflicts

    默认值:否
    适配器说明 详细信息
    通知重试计数 默认值为 1。
    通知重试延迟时间(分钟) 默认值为 5。
    最大挂起通知数 默认值为 8。
    脱机) 时存储通知 ( True/False。
    服务器名称 服务器名称。
    端口号 端口号。
    此适配器的应用程序 列出当前分配给适配器的应用程序。

创建新的适配器

  1. 依次单击“开始”、“运行”,键入 cmd,然后单击“确定”。

  2. 在命令提示符下,转到企业单一 Sign-On 安装目录。

    默认值为 <drive>:\Program Files\Common Files\Enterprise Single Sign-On。

  3. 键入 ssops -create <adapter file>,然后按 ENTER。

    屏幕输出显示新创建的适配器的信息。

设置适配器的属性

  1. 依次单击“开始”、“运行”,键入 cmd,然后单击“确定”。

  2. 在命令提示符下,转到企业单一 Sign-On 安装目录。

    默认值为 <drive>:\Program Files\Common Files\Enterprise Single Sign-On。

  3. 键入 ssops -setprops <adapter name>,然后按 ENTER。

    屏幕输出显示指定适配器的属性。 如果需要,可以对其进行编辑,但将不会对新值进行验证。

更新现有适配器

  1. 依次单击“开始”、“运行”,键入 cmd,然后单击“确定”。

  2. 在命令提示符下,转到企业单一 Sign-On 安装目录。

    默认值为 <drive>:\Program Files\Common Files\Enterprise Single Sign-On。

  3. 键入 ssops -update <adapter file>,然后按 ENTER。

    使用此命令可更新指定的适配器的设置和标志。 请勿使用此命令来设置属性;请改用 -setprops 命令。

删除现有适配器

  1. 依次单击“开始”、“运行”,键入 cmd,然后单击“确定”。

  2. 在命令提示符下,转到企业单一 Sign-On 安装目录。

    默认值为 <drive>:\Program Files\Common Files\Enterprise Single Sign-On。

  3. 键入 ssops -delete <adapter name>,然后按 ENTER。

    指定的适配器被删除。

启用适配器

  1. 依次单击“开始”、“运行”,键入 cmd,然后单击“确定”。

  2. 在命令提示符下,转到企业单一 Sign-On 安装目录。

    默认值为 <drive>:\Program Files\Common Files\Enterprise Single Sign-On。

  3. 键入 ssops -enable <adapter name>,然后按 ENTER。

    指定的适配器已启用。

禁用适配器

  1. 依次单击“开始”、“运行”,键入 cmd,然后单击“确定”。

  2. 在命令提示符下,转到企业单一 Sign-On 安装目录。

    默认值为 <drive>:\Program Files\Common Files\Enterprise Single Sign-On。

  3. 键入 ssops -disable <adapter name>,然后按 ENTER。

    指定的适配器处于禁用状态。

将应用程序添加到适配器

  1. 依次单击“开始”、“运行”,键入 cmd,然后单击“确定”。

  2. 在命令行上,转至企业单一登录安装目录。

    默认值为 <drive>:\Program Files\Common Files\Enterprise Single Sign-On。

  3. 键入 ssops -addapp <adapter name> <application name>,然后按 ENTER。

    指定的 SSO 应用程序将分配给指定的适配器。 这意味着,该应用程序中映射的密码现在使用此适配器进行同步。

    尽管可以将多个应用程序分配给一个适配器,但任何给定的应用程序只能分配给一个适配器。

从适配器中删除应用程序

  1. 依次单击“开始”、“运行”,键入 cmd,然后单击“确定”。

  2. 在命令提示符下,转到企业单一 Sign-On 安装目录。

    默认值为 <drive>:\Program Files\Common Files\Enterprise Single Sign-On。

  3. 键入 ssops -deleteapp <application name>,然后按 ENTER。

    指定的 SSO 应用程序将从适配器中删除。 (由于应用程序只能分配给一个适配器,因此不必指定适配器名称。)

重置通知

  1. 依次单击“开始”、“运行”,键入 cmd,然后单击“确定”。

  2. 在命令提示符下,转到企业单一 Sign-On 安装目录。

    默认值为 <drive>:\Program Files\Common Files\Enterprise Single Sign-On。

  3. 键入 ssops -reset <adapter name | all | damping>,然后按 ENTER。

    此命令将根据指定清除单个适配器或所有适配器的阻止表和/或通知队列。 阻止表可存储 10 分钟的密码更改历史记录。 在企业 SSO 系统接受或发送密码更改之前,它会检查阻尼表,以查看它最近是否执行了相同的更改。 如果已执行过,则会放弃新的更改。

将适配器添加到适配器组

  1. 依次单击“开始”、“运行”,键入 cmd,然后单击“确定”。

  2. 在命令提示符下,转到企业单一 Sign-On 安装目录。

    默认值为 <drive>:\Program Files\Common Files\Enterprise 单一登录。

  3. 键入 ssops -addtogroup <adapter name> <adapter group>,然后按 ENTER。

    此命令将向所指定的适配器组添加指定的适配器。 尽管一个适配器只能属于一个适配器组,但一个适配器组可以包含多个适配器。

从适配器组中删除适配器

  1. 依次单击“开始”、“运行”,键入 cmd,然后单击“确定”。

  2. 在命令提示符下,转到企业单一 Sign-On 安装目录。

    默认值为 <drive>:\Program Files\Common Files\Enterprise 单一登录。

  3. 键入 ssops -deletefromgroup <adapter name> <adapter group>,然后按 ENTER。

    此命令将从所指定的适配器组中删除指定的适配器。

另请参阅

密码同步