共用方式為

管理密碼同步處理

  • 發行項

您可以透過 Microsoft Management Console (MMC) Snap-In 或命令列,在 Enterprise Single Sign-On (SSO) 中管理密碼同步處理。 本主題描述如何使用配接器執行各種管理工作。

MMC 嵌入式管理單元會顯示配接器清單及其屬性。 您可使用滑鼠右鍵按一下配接器,再使用功能表來執行下列命令:

  • 建立配接器

  • 設定屬性

  • 更新

  • 刪除

  • 啟用

  • 停用

  • 新增應用程式至配接器

  • 從配接器刪除應用程式

  • 重設通知

  • 新增配接器至配接器群組

  • 從配接器群組刪除配接器

    您也可以使用 SSOPS 命令列公用程式來管理密碼同步處理。 本節中大部分的命令僅供系統管理員使用。

    對大部分命令而言,命令輸出會在畫面上顯示為兩欄。 由於某些螢幕設定可能會導致資料截斷,因此為了獲得最佳結果,您應該將螢幕緩衝區大小/Windows 大小變更為 120 個字元。

    下表列出 SSOPS 命令。 本主題的其餘部分都有程式和其他說明。

命令 函式
-list 列出現有的配接器。
-display 顯示配接器資訊。
-create 建立新的配接器。
-setprops 設定配接器的屬性。
-update 匯報現有的配接器。
-delete 刪除現有的配接器。
-enable 啟用配接器。
-disable 停用配接器。
-addapp 新增配接器的應用程式。
-deleteapp 刪除配接器的應用程式。
-reset 重設通知或阻礙佇列。
-addtogroup 將配接器新增至配接器群組。
-deletefromgroup 從配接器群組中刪除配接器。

列出現有的配接器

  1. 按一下 [開始],按一下 [ 執行],輸入 cmd ,然後按一下 [ 確定]。

  2. 在命令提示字元中,移至企業單一 Sign-On 安裝目錄。

    預設值為 < drive > :\Program Files\Common Files\Enterprise 單一登入。

  3. 輸入 ssops -list 並按 ENTER。

    列出配接器和描述。 (E) 代表配接器已啟用,(D) 代表配接器已停用。

顯示配接器資訊

  1. 按一下 [開始],按一下 [ 執行],輸入 cmd ,然後按一下 [ 確定]。

  2. 在命令提示字元中,移至企業單一 Sign-On 安裝目錄。

    預設值為 < drive > :\Program Files\Common Files\Enterprise 單一登入。

  3. 輸入 ssops -display <adapter name> 並按 ENTER。

    畫面輸出會顯示指定配接器的資訊。

    除了名稱、類型、描述、電腦和帳戶之外,會顯示下列資訊。

    配接器旗標 詳細資料
    啟用的配接器 決定是否啟用配接器。

    旗標:SSO_FLAG_ENABLED

    屬性名稱:enableApp

    預設:否
    允許本機帳戶 決定「應用程式系統管理員」或「應用程式使用者」帳戶是否可為本機帳戶。

    旗標:SSO_FLAG_APP_ALLOW_LOCAL

    屬性名稱:allowLocalAccounts

    預設:否
    接收來自配接器的密碼變更 決定配接器是否可接收外部的密碼變更。

    旗標:SSO_FLAG_PARTIAL_SYNC_FROM_EXTERNAL_TO_DB

    屬性名稱:syncFromAdapter

    預設:否
    驗證舊密碼 決定配接器是否將在收到外部密碼變更時驗證舊密碼。 如果設定此旗標,當收到外部密碼變更時,外部配接器除了新的外部密碼之外,還必須提供舊的外部密碼。 然後比較該外部帳戶在 SSO 資料庫中的現有外部密碼與舊外部密碼。 若兩者相符,便會接受變更密碼。 若兩者不相符,便會拒絕變更密碼。

    旗標:SSO_FLAG_SYNC_VERIFY_EXTERNAL_CREDS

    屬性名稱:verifyOldPassword

    預設值:是
    變更 Windows 密碼 判斷收到外部密碼變更時,是否也會變更 Windows 密碼, (完整同步處理) 。 ENTSSO 一律使用儲存在 SSO 資料庫中的舊 Windows 密碼,將 Windows 密碼變更為新的值, (Windows 需要舊密碼和新密碼才能變更使用者的密碼) 。 因此,這必須先初始化,Windows 密碼變更才能成功。 如果已針對特定對應設定密碼同步處理,則當外部認證是透過系統管理工具設定時, (ssomanage 或 ssoclient -setcredentials) ,也會設定儲存在 SSO 資料庫中的 Windows 密碼。

    旗標:SSO_FLAG_FULL_SYNC_FROM_EXTERNAL_TO_WINDOWS

    屬性名稱:changeWindowsPassword

    預設:否
    傳送 Windows 密碼變更至配接器 判斷 Windows 密碼變更是否傳送至外部配接器。

    旗標:SSO_FLAG_FULL_SYNC_FROM_WINDOWS_TO_EXTERNAL

    屬性名稱:syncToAdapter

    預設:否
    傳送舊密碼至配接器 如果是,除了新的密碼值之外,從 SSO 資料庫 () 的舊密碼值也會傳送至外部配接器。 某些外部系統可能會同時需要新舊密碼值才能變更密碼。

    旗標:SSO_FLAG_SYNC_PROVIDE_OLD_EXTERNAL_CREDS

    屬性名稱:sendOldPassword

    預設:否
    允許對應衝突 決定配接器是否將允許對應衝突。

    當對應不是唯一時就會發生對應衝突。 在單一的 SSO 個別應用程式中,對應永遠都是一對一:一個 Windows 帳戶只會對應至一個外部帳戶,反之亦然。

    但是有可能會將一個以上的應用程式指派給配接器。 因此,某個應用程式中的對應可能會與另一個應用程式中的對應衝突。

    此旗標的目的是防止發生此狀況。 除非能明確、充分瞭解此行為的需求,否則不允許發生對應衝突會較為安全。

    旗標:SSO_FLAG_SYNC_ALLOW_MAPPING_CONFLICTS

    屬性名稱:allowMappingConflicts

    預設:否
    配接器描述 詳細資料
    通知重試計數 預設值為 1。
    通知重試延遲 (分鐘) 預設值為 5。
    擱置通知的上限 預設值為 8。
    存放區通知 (離線時) True/False。
    伺服器名稱 伺服器名稱。
    連接埠號碼 連接埠號碼。
    此配接器的應用程式 目前指派給配接器的應用程式清單。

建立新的配接器

  1. 按一下 [開始],按一下 [ 執行],輸入 cmd ,然後按一下 [ 確定]。

  2. 在命令提示字元中,移至企業單一 Sign-On 安裝目錄。

    預設值為 < drive > :\Program Files\Common Files\Enterprise 單一登入。

  3. 輸入 ssops -create <adapter file> 並按 ENTER。

    畫面輸出會顯示新建立配接器的資訊。

設定配接器的屬性

  1. 按一下 [開始],按一下 [ 執行],輸入 cmd ,然後按一下 [ 確定]。

  2. 在命令提示字元中,移至企業單一 Sign-On 安裝目錄。

    預設值為 < drive > :\Program Files\Common Files\Enterprise 單一登入。

  3. 輸入 ssops -setprops <adapter name> 並按 ENTER。

    畫面輸出會顯示指定配接器的屬性。 如有需要,您可以編輯它們,但是不會驗證新值。

更新現有的配接器

  1. 按一下 [開始],按一下 [ 執行],輸入 cmd ,然後按一下 [ 確定]。

  2. 在命令提示字元中,移至企業單一 Sign-On 安裝目錄。

    預設值為 < drive > :\Program Files\Common Files\Enterprise 單一登入。

  3. 輸入 ssops -update <adapter file> 並按 ENTER。

    使用此命令可更新特定配接器的設定和旗標。 請勿使用此命令來設定屬性;請改用 -setprops 命令。

刪除現有的配接器

  1. 按一下 [開始],按一下 [ 執行],輸入 cmd ,然後按一下 [ 確定]。

  2. 在命令提示字元中,移至企業單一 Sign-On 安裝目錄。

    預設值為 < drive > :\Program Files\Common Files\Enterprise 單一登入。

  3. 輸入 ssops -delete <adapter name> 並按 ENTER。

    指定的配接器已刪除。

啟用配接器

  1. 按一下 [開始],按一下 [ 執行],輸入 cmd ,然後按一下 [ 確定]。

  2. 在命令提示字元中,移至企業單一 Sign-On 安裝目錄。

    預設值為 < drive > :\Program Files\Common Files\Enterprise 單一登入。

  3. 輸入 ssops -enable <adapter name> 並按 ENTER。

    指定的配接器已啟用。

停用配接器

  1. 按一下 [開始],按一下 [ 執行],輸入 cmd ,然後按一下 [ 確定]。

  2. 在命令提示字元中,移至企業單一 Sign-On 安裝目錄。

    預設值為 < drive > :\Program Files\Common Files\Enterprise 單一登入。

  3. 輸入 ssops -disable <adapter name> 並按 ENTER。

    指定的配接器已停用。

新增應用程式至配接器

  1. 按一下 [開始],按一下 [ 執行],輸入 cmd ,然後按一下 [ 確定]。

  2. 在命令列,移至「企業單一登入」安裝目錄。

    預設值為 < drive > :\Program Files\Common Files\Enterprise 單一登入。

  3. 輸入 ssops -addapp <adapter name> <application name> 並按 ENTER。

    指定的 SSO 應用程式會指派給指定的配接器。 這表示該應用程式中對應的密碼現在會使用此配接器進行同步處理。

    雖然可以將多個應用程式指派給一個介面卡,但任何指定的應用程式只能指派給一個介面卡。

從配接器刪除應用程式

  1. 按一下 [開始],按一下 [ 執行],輸入 cmd ,然後按一下 [ 確定]。

  2. 在命令提示字元中,移至企業單一 Sign-On 安裝目錄。

    預設值為 < drive > :\Program Files\Common Files\Enterprise 單一登入。

  3. 輸入 ssops -deleteapp <application name> 並按 ENTER。

    指定的 SSO 應用程式會從配接器中移除。 (因為應用程式只能指派給一個介面卡,所以您不需要指定配接器名稱。)

重設通知

  1. 按一下 [開始],按一下 [ 執行],輸入 cmd ,然後按一下 [ 確定]。

  2. 在命令提示字元中,移至企業單一 Sign-On 安裝目錄。

    預設值為 < drive > :\Program Files\Common Files\Enterprise 單一登入。

  3. 輸入 ssops -reset <adapter name | all | damping> 並按 ENTER。

    此命令會依指定清除單一配接器或所有配接器禁止的資料表和 (或) 通知佇列。 禁止的資料表會儲存 10 分鐘的密碼變更歷程記錄。 在 Enterprise SSO 系統接受或傳送密碼變更之前,它會檢查其是否最近執行相同的變更。 若有,則會捨棄變更。

新增配接器至配接器群組

  1. 按一下 [開始],按一下 [ 執行],輸入 cmd ,然後按一下 [ 確定]。

  2. 在命令提示字元中,移至企業單一 Sign-On 安裝目錄。

    預設值為 < drive > :\Program Files\Common Files\Enterprise 單一登入。

  3. 輸入 ssops -addtogroup <adapter name> <adapter group> 並按 ENTER。

    此命令會將特定配接器新增至特定配接器群組。 雖然介面卡只能屬於一個介面卡群組,但介面卡群組可以包含多個介面卡。

從配接器群組刪除配接器

  1. 按一下 [開始],按一下 [ 執行],輸入 cmd ,然後按一下 [ 確定]。

  2. 在命令提示字元中,移至企業單一 Sign-On 安裝目錄。

    預設值為 < drive > :\Program Files\Common Files\Enterprise 單一登入。

  3. 輸入 ssops -deletefromgroup <adapter name> <adapter group> 並按 ENTER。

    此命令會刪除特定配接器群組的特定配接器。

另請參閱

密碼同步