共用方式為

如何管理密碼同步處理

  • 發行項

您可以透過 MMC 嵌入式管理單元或命令列來管理「密碼同步」。

MMC 嵌入式管理單元會顯示配接器清單及其屬性。 您可使用滑鼠右鍵按一下配接器,再使用功能表來執行下列命令:

  • 建立配接器

  • 設定屬性

  • 更新

  • 刪除

  • 啟用

  • 停用

  • 新增應用程式至配接器

  • 從配接器刪除應用程式

  • 重設通知

  • 新增配接器至配接器群組

  • 從配接器群組刪除配接器

    您也可以使用 SSOPS 命令列公用程式來管理您的密碼同步。 本節中的大部分命令僅供系統管理員使用。

    對大部分命令而言,命令輸出會在畫面上顯示為兩欄。 因為特定畫面設定可能導致資料被截斷,為求最佳效果,您應將畫面緩衝區大小/Windows 大小變更為 120 個字元。

    SSOPS 命令列示在下表中。 程序和進一步的說明位於本主題其他部分。

命令 函式
-list 列出現有的配接器
-display 顯示配接器資訊
-create 建立新的配接器
-setprops 設定配接器屬性
-update 更新現有的配接器
-delete 刪除現有的配接器
-enable 啟用配接器
-disable 停用配接器
-addapp 新增配接器的應用程式
-deleteapp 刪除配接器的應用程式
-reset 重設通知或禁止的佇列
-addtogroup 新增配接器至配接器群組
-deletefromgroup 從配接器群組刪除配接器

列出現有的配接器

  1. [開始] 功能表上,按一下 [執行]

  2. 在 [ 執行 ] 對話方塊中,輸入 cmd,然後按一下 [ 確定]。

  3. 在命令列,移至「企業單一登入」安裝目錄。 預設值為 < drive > :\Program Files\Common Files\Enterprise 單一登入。

  4. 輸入 ssops -list ,然後按 Enter。

    會列出配接器和描述。 (E) 代表配接器已啟用,(D) 代表配接器已停用。

顯示配接器資訊

  1. [開始] 功能表上,按一下 [執行]

  2. 在 [ 執行 ] 對話方塊中,輸入 cmd,然後按一下 [ 確定]。

  3. 在命令列,移至「企業單一登入」安裝目錄。 預設值為 < drive > :\Program Files\Common Files\Enterprise 單一登入。

  4. 輸入ssops -display < 配接器名稱 >,然後按 Enter。

    畫面輸出會顯示特定配接器的資訊。

    除了名稱、類型、描述、電腦和帳戶之外,會顯示下列資訊。

    配接器旗標 詳細資料
    啟用的配接器 決定配接器是否已啟用。

    旗標:SSO_FLAG_ENABLED

    屬性名稱:enableApp

    預設:否
    允許本機帳戶 決定「應用程式系統管理員」或「應用程式使用者」帳戶是否可為本機帳戶。

    旗標:SSO_FLAG_APP_ALLOW_LOCAL

    屬性名稱:allowLocalAccounts

    預設:否
    接收來自配接器的密碼變更 決定配接器是否可接收外部密碼變更。

    旗標:SSO_FLAG_PARTIAL_SYNC_FROM_EXTERNAL_TO_DB

    屬性名稱:syncFromAdapter

    預設:否
    驗證舊密碼 決定配接器是否將在收到外部密碼變更時驗證舊密碼。 若設定此旗標而之後有外部密碼變更,外部配接器就必須提供舊的外部密碼以及新的外部密碼。 然後比較該外部帳戶在 SSO 資料庫中的現有外部密碼與舊外部密碼。 若兩者相符,便會接受變更密碼。 若兩者不相符,便會拒絕變更密碼。

    旗標:SSO_FLAG_SYNC_VERIFY_EXTERNAL_CREDS

    屬性名稱:verifyOldPassword

    預設值:是
    變更 Windows 密碼 決定收到外部密碼變更 (完全同步) 時,是否也要一併變更 Windows 密碼。 ENTSSO 永遠使用儲存在 SSO 資料庫中的舊 Windows 密碼來將 Windows 密碼變更為新值 (Windows 同時需要新舊密碼才能變更使用者密碼),因此必須初始化才能使 Windows 密碼變更成功。 如果密碼同步設定為特定對應,則當外部認證透過系統管理工具 (設定時,也會設定 ssomanage 或 ssoclient -setcredentials) SSO 資料庫中儲存的 Windows 密碼。旗標:SSO_FLAG_FULL_SYNC_FROM_EXTERNAL_TO_WINDOWS

    屬性名稱:changeWindowsPassword

    預設:否
    傳送 Windows 密碼變更至配接器 決定 Windows 密碼變更是否會傳送至外部配接器。

    旗標:SSO_FLAG_FULL_SYNC_FROM_WINDOWS_TO_EXTERNAL

    屬性名稱:syncToAdapter

    預設:否
    傳送舊密碼至配接器 若為 [是],舊的密碼值 (來自 SSO 資料庫) 將會連同新的密碼值一起傳送至外部配接器。 某些外部系統可能會同時需要新舊密碼值才能變更密碼。

    旗標:SSO_FLAG_SYNC_PROVIDE_OLD_EXTERNAL_CREDS

    屬性名稱:sendOldPassword

    預設:否
    允許對應衝突 決定配接器是否將允許對應衝突。

    當對應不是唯一時就會發生對應衝突。 在單一的 SSO 個別應用程式中,對應永遠都是一對一:一個 Windows 帳戶只會對應至一個外部帳戶,反之亦然。

    但是有可能會將一個以上的應用程式指派給配接器。 因此,某個應用程式中的對應可能會與另一個應用程式中的對應衝突。

    此旗標的用途在避免發生此情況。 除非能明確、充分瞭解此行為的需求,否則不允許發生對應衝突會較為安全。

    旗標:SSO_FLAG_SYNC_ALLOW_MAPPING_CONFLICTS

    屬性名稱:allowMappingConflicts

    預設:否
    配接器描述 詳細資料
    通知重試計數 預設值為 1。
    通知重試延遲 (分鐘) 預設值為 5。
    擱置通知的上限 預設值為 8。
    存放區通知 (離線時) True/False。
    伺服器名稱 伺服器名稱。
    連接埠號碼 連接埠號碼。
    此配接器的應用程式 目前指派給配接器的應用程式清單。

建立新的配接器

  1. [開始] 功能表上,按一下 [執行]

  2. 在 [ 執行 ] 對話方塊中,輸入 cmd,然後按一下 [ 確定]。

  3. 在命令列,移至「企業單一登入」安裝目錄。 預設值為 < drive > :\Program Files\Common Files\Enterprise 單一登入。

  4. 輸入ssops -create < 配接器檔案 >,然後按 Enter。

    畫面輸出會顯示最新建立配接器的資訊。

設定配接器的屬性

  1. [開始] 功能表上,按一下 [執行]

  2. 在 [ 執行 ] 對話方塊中,輸入 cmd,然後按一下 [ 確定]。

  3. 在命令列,移至「企業單一登入」安裝目錄。 預設值為 < drive > :\Program Files\Common Files\Enterprise 單一登入。

  4. 輸入ssops -setprops < 配接器名稱 >,然後按 Enter。

    畫面輸出會顯示特定配接器的屬性。 如有需要,您可以編輯它們,但是不會驗證新值。

更新現有的配接器

  1. [開始] 功能表上,按一下 [執行]

  2. 在 [ 執行 ] 對話方塊中,輸入 cmd,然後按一下 [ 確定]。

  3. 在命令列,移至「企業單一登入」安裝目錄。 預設值為 < drive > :\Program Files\Common Files\Enterprise 單一登入。

  4. 輸入ssops -update < 配接器檔案 >,然後按 Enter。

    使用此命令可更新特定配接器的設定和旗標。 請勿使用此命令來設定屬性;請使用 -setprops 命令替代。

刪除現有的配接器

  1. [開始] 功能表上,按一下 [執行]

  2. 在 [ 執行 ] 對話方塊中,輸入 cmd,然後按一下 [ 確定]。

  3. 在命令列,移至「企業單一登入」安裝目錄。 預設值為 < drive > :\Program Files\Common Files\Enterprise 單一登入。

  4. 輸入ssops -delete < 配接器名稱 >,然後按 Enter。

    將刪除指定的配接器。

啟用配接器

  1. [開始] 功能表上,按一下 [執行]

  2. 在 [ 執行 ] 對話方塊中,輸入 cmd,然後按一下 [ 確定]。

  3. 在命令列,移至「企業單一登入」安裝目錄。 預設值為 < drive > :\Program Files\Common Files\Enterprise 單一登入。

  4. 輸入ssops -enable < 配接器名稱 >,然後按 Enter 鍵。

    將啟用指定的配接器。

停用配接器

  1. [開始] 功能表上,按一下 [執行]

  2. 在 [ 執行 ] 對話方塊中,輸入 cmd,然後按一下 [ 確定]。

  3. 在命令列,移至「企業單一登入」安裝目錄。 預設值為 < drive > :\Program Files\Common Files\Enterprise 單一登入。

  4. 輸入ssops -disable < 配接器名稱 >,然後按 Enter。

    將停用指定的配接器。

新增應用程式至配接器

  1. [開始] 功能表上,按一下 [執行]

  2. 在 [ 執行 ] 對話方塊中,輸入 cmd,然後按一下 [ 確定]。

  3. 在命令列,移至「企業單一登入」安裝目錄。 預設值為 < drive > :\Program Files\Common Files\Enterprise 單一登入。

  4. 輸入ssops -addapp 配接 < 器名稱應用程式名稱 ><>,然後按 Enter。

    會將特定 SSO 應用程式指派給特定配接器。 這表示,該應用程式中對應的密碼現在將使用此配接器來同步。

    多個應用程式可指派給一個配接器,但任何指定的應用程式僅能指派給一個配接器。

從配接器刪除應用程式

  1. [開始] 功能表上,按一下 [執行]

  2. 在 [ 執行 ] 對話方塊中,輸入 cmd,然後按一下 [ 確定]。

  3. 在命令列,移至「企業單一登入」安裝目錄。 預設值為 < drive > :\Program Files\Common Files\Enterprise 單一登入。

  4. 輸入ssops -deleteapp < 應用程式名稱 >,然後按 Enter。

    會將特定 SSO 應用程式從配接器移除。 (因為應用程式僅可指定給一個配接器,所以不需要指定配接器名稱。)

重設通知

  1. [開始] 功能表上,按一下 [執行]

  2. 在 [ 執行 ] 對話方塊中,輸入 cmd,然後按一下 [ 確定]。

  3. 在命令列,移至「企業單一登入」安裝目錄。 預設值為 < drive > :\Program Files\Common Files\Enterprise 單一登入。

  4. 輸入ssops -reset < 配接器名稱 | all | 壓低 >並按 Enter 鍵。

    此命令會依指定清除單一配接器或所有配接器禁止的資料表和 (或) 通知佇列。 禁止的資料表會儲存 10 分鐘的密碼變更歷程記錄。 在「企業單一登入」系統接受或傳送密碼變更之前,會檢查禁止的資料表,以查看最近是否執行過相同變更。 若有,則會捨棄變更。

新增配接器至配接器群組

  1. [開始] 功能表上,按一下 [執行]

  2. 在 [ 執行 ] 對話方塊中,輸入 cmd,然後按一下 [ 確定]。

  3. 在命令列,移至「企業單一登入」安裝目錄。 預設值為 < drive > :\Program Files\Common Files\Enterprise 單一登入。

  4. 輸入ssops -addtogroup < 配接器名稱 >< 配接器群組 >,然後按 Enter。

    此命令會將特定配接器新增至特定配接器群組。 配接器僅可屬於一個配接器群組,但配接器群組可包含多個配接器。

從配接器群組刪除配接器

  1. [開始] 功能表上,按一下 [執行]

  2. 在 [ 執行 ] 對話方塊中,輸入 cmd,然後按一下 [ 確定]。

  3. 在命令列,移至「企業單一登入」安裝目錄。 預設值為 < drive > :\Program Files\Common Files\Enterprise 單一登入。

  4. 輸入ssops -deletefromgroup < 配接器名稱 >< 配接器群組 >,然後按 Enter。

    此命令會刪除特定配接器群組的特定配接器。

另請參閱

密碼同步