Freigeben über

Verwalten der Kennwortsynchronisierung

Sie können die Kennwortsynchronisierung in Enterprise Single Sign-On (SSO) entweder über die Microsoft Management Console (MMC)-Snap-In oder die Befehlszeile verwalten. In diesem Thema wird beschrieben, wie Verschiedene Verwaltungsaufgaben mit Adaptern ausgeführt werden.

Die MMC-Snap-In zeigt eine Liste der Adapter und deren Eigenschaften an. Sie können mit der rechten Maustaste auf einen Adapter klicken und das Menü verwenden, um die folgenden Befehle auszuführen:

  • Erstellen von Adaptern

  • Eigenschaften festlegen

  • Aktualisierung

  • Löschen

  • Aktivieren

  • Deaktivieren

  • Hinzufügen von Anwendungen zu einem Adapter

  • Löschen von Anwendungen aus einem Adapter

  • Zurücksetzen der Benachrichtigung

  • Hinzufügen eines Adapters zu einer Adaptergruppe

  • Löschen eines Adapters aus einer Adaptergruppe

    Sie können auch das Befehlszeilenprogramm SSOPS verwenden, um Ihre Kennwortsynchronisierung zu verwalten. Die meisten Befehle in diesem Abschnitt sind nur für die Verwendung durch einen Administrator vorgesehen.

    Bei vielen Befehlen wird die Befehlsausgabe auf dem Bildschirm in zwei Spalten angezeigt. Da bestimmte Bildschirmeinstellungen zu einem Abschneiden von Daten führen können, sollten Sie für optimale Ergebnisse die Größe des Bildschirmpuffers/die Windows-Größe auf 120 Zeichen ändern.

    In der folgenden Tabelle sind die SSOPS-Befehle aufgeführt. Verfahren und zusätzliche Erläuterungen finden Sie im rest dieses Themas.

Befehl Funktion
-Liste Listet vorhandene Adapter auf.
-Anzeige Zeigt Adapterinformationen an.
-schaffen Erstellt neue Adapter.
-setprops Legt Die Eigenschaften für den Adapter fest.
-aktualisieren Aktualisiert vorhandene Adapter.
-löschen Löscht einen vorhandenen Adapter.
-ermöglichen Aktiviert den Adapter.
-abschalten Deaktiviert den Adapter.
-addapp Fügt eine Anwendung für den Adapter hinzu.
-app löschen Löscht die Anwendung für den Adapter.
-zurücksetzen Setzt Benachrichtigungs- oder Dämpfungswarteschlangen zurück.
-addtogroup Fügt Adapter zur Adaptergruppe hinzu.
-"ausGruppeLöschen" Löscht den Adapter aus der Adaptergruppe.

So listen Sie vorhandene Adapter auf

  1. Klicken Sie auf "Start", klicken Sie auf "Ausführen", geben Sie cmd ein, und klicken Sie dann auf "OK".

  2. Gehen Sie in der Befehlszeile zum Installationsverzeichnis von Enterprise Single Sign-On.

    Der Standardwert ist <laufwerk>:\Programme\Common Files\Enterprise Single Sign-On.

  3. Geben Sie ssops -list ein, und drücken Sie die Eingabetaste.

    Adapter und Beschreibungen werden aufgelistet. (E) zeigt an, dass der Adapter aktiviert ist, (D) zeigt an, dass er deaktiviert ist.

So zeigen Sie Adapterinformationen an

  1. Klicken Sie auf "Start", klicken Sie auf "Ausführen", geben Sie cmd ein, und klicken Sie dann auf "OK".

  2. Gehen Sie in der Befehlszeile zum Installationsverzeichnis von Enterprise Single Sign-On.

    Der Standardwert ist <laufwerk>:\Programme\Common Files\Enterprise Single Sign-On.

  3. Geben Sie ssops -display <adapter name> ein, und drücken Sie die Eingabetaste.

    Die Bildschirmausgabe zeigt Informationen für den angegebenen Adapter an.

    Zusätzlich zu Name, Typ, Beschreibung, Computer und Konten werden die folgenden Informationen angezeigt.

    Adapter-Flag Einzelheiten
    Adapter aktiviert Bestimmt, ob der Adapter aktiviert ist.

    Kennzeichnung: SSO_FLAG_ENABLED

    Attributname: enableApp

    Standard: Nein
    Lokale Konten zulassen Bestimmt, ob die Konten des App-Administrators oder der App-Benutzer lokale Konten sein können.

    Kennzeichen: SSO_FLAG_APP_ALLOW_LOCAL

    Attribut Name: allowLocalAccounts

    Standard: Nein
    Empfangen von Kennwortänderungen vom Adapter Bestimmt, ob der Adapter externe Kennwortänderungen empfangen darf.

    Kennzeichnung: SSO_FLAG_PARTIAL_SYNC_FROM_EXTERNAL_TO_DB

    Attributname: syncFromAdapter

    Standard: Nein
    Überprüfen des alten Kennworts Bestimmt, ob der Adapter das alte Kennwort überprüft, wenn eine änderung des externen Kennworts empfangen wird. Wenn dieses Kennzeichen festgelegt ist, muss der externe Adapter das alte externe Kennwort zusätzlich zum neuen externen Kennwort angeben, wenn eine externe Kennwortänderung empfangen wird. Das alte externe Kennwort wird dann mit dem vorhandenen externen Kennwort in der SSO-Datenbank für dieses externe Konto verglichen. Wenn sie übereinstimmen, wird die Kennwortänderung akzeptiert. Wenn sie nicht übereinstimmen, wird die Kennwortänderung abgelehnt.

    Kennzeichnung: SSO_FLAG_SYNC_VERIFY_EXTERNAL_CREDS

    Attributname: verifyOldPassword

    Standard: Ja
    Ändern des Windows-Kennworts Bestimmt, ob das Windows-Kennwort auch geändert wird, wenn eine externe Kennwortänderung empfangen wird (vollständige Synchronisierung). ENTSSO verwendet immer das alte Windows-Kennwort, das in der SSO-Datenbank gespeichert ist, um das Windows-Kennwort in den neuen Wert zu ändern (Windows erfordert sowohl das alte als auch das neue Kennwort, um das Kennwort eines Benutzers zu ändern). Daher muss dies initialisiert werden, bevor die Windows-Kennwortänderung erfolgreich sein kann. Wenn die Kennwortsynchronisierung für eine bestimmte Zuordnung konfiguriert ist, wenn die externen Anmeldeinformationen über Verwaltungstools (ssomanage oder ssoclient -setcredentials) festgelegt werden, wird auch das Windows-Kennwort festgelegt, das in der SSO-Datenbank gespeichert ist.

    Kennzeichnung: SSO_FLAG_FULL_SYNC_FROM_EXTERNAL_TO_WINDOWS

    Attributname: changeWindowsPassword

    Standard: Nein
    Senden von Windows-Kennwortänderungen an den Adapter Bestimmt, ob Windows-Kennwortänderungen an den externen Adapter gesendet werden.

    Kennzeichnung: SSO_FLAG_FULL_SYNC_FROM_WINDOWS_TO_EXTERNAL

    Attribut-Name: syncToAdapter

    Standard: Nein
    Senden des alten Kennworts an den Adapter Wenn ja, wird der alte Kennwortwert (aus der SSO-Datenbank) zusätzlich zum neuen Kennwortwert an den externen Adapter gesendet. Einige externe Systeme erfordern möglicherweise sowohl die alten als auch die neuen Kennwortwerte, um das Kennwort zu ändern.

    Kennzeichnung: SSO_FLAG_SYNC_PROVIDE_OLD_EXTERNAL_CREDS

    Attributname: sendOldPassword

    Standard: Nein
    Zuordnungskonflikte zulassen Bestimmt, ob der Adapter Zuordnungskonflikte zulässt.

    Ein Zuordnungskonflikt tritt auf, wenn Zuordnungen nicht eindeutig sind. In einer einzelnen SSO-Einzelanwendung sind Zuordnungen immer 1:1: Ein Windows-Konto wird genau einem externen Konto zugeordnet und umgekehrt.

    Es ist jedoch möglich, einem Adapter mehrere Anwendungen zuzuweisen. Daher ist es möglich, eine Zuordnung in einer Anwendung zu haben, die mit einer Zuordnung in der anderen in Konflikt steht.

    Der Zweck dieser Kennzeichnung besteht darin, dies zu verhindern. Es ist sicherer, Zuordnungskonflikte nicht zuzulassen, es sei denn, es gibt eine bestimmte, gut verstandene Anforderung für dieses Verhalten.

    Kennzeichnung: SSO_FLAG_SYNC_ALLOW_MAPPING_CONFLICTS

    Attribut-Name: allowMappingConflicts

    Standard: Nein
    Adapterbeschreibung Einzelheiten
    Anzahl der Benachrichtigungs-Wiederholungen Der Standardwert ist 1.
    Benachrichtigungs-Wiederholungsverzögerung (in Minuten) Der Standardwert ist 5.
    Maximale ausstehende Benachrichtigungen Der Standardwert ist 8.
    Store-Benachrichtigungen (wenn offline) Wahr/Falsch.
    Servername Servername.
    Portnummer Portnummer
    Anwendungen für diesen Adapter Liste der Anwendungen, die dem Adapter derzeit zugewiesen sind.

So erstellen Sie neue Adapter

  1. Klicken Sie auf "Start", klicken Sie auf "Ausführen", geben Sie cmd ein, und klicken Sie dann auf "OK".

  2. Gehen Sie in der Befehlszeile zum Installationsverzeichnis von Enterprise Single Sign-On.

    Der Standardwert ist <laufwerk>:\Programme\Common Files\Enterprise Single Sign-On.

  3. Geben Sie ssops -create <adapter file> ein, und drücken Sie die Eingabetaste.

    Die Bildschirmausgabe zeigt Informationen für den neu erstellten Adapter an.

So legen Sie Eigenschaften für einen Adapter fest

  1. Klicken Sie auf "Start", klicken Sie auf "Ausführen", geben Sie cmd ein, und klicken Sie dann auf "OK".

  2. Gehen Sie in der Befehlszeile zum Installationsverzeichnis von Enterprise Single Sign-On.

    Der Standardwert ist <laufwerk>:\Programme\Common Files\Enterprise Single Sign-On.

  3. Geben Sie ssops -setprops <adapter name> ein, und drücken Sie die Eingabetaste.

    Die Bildschirmausgabe zeigt die Eigenschaften für den angegebenen Adapter an. Sie können sie bei Bedarf bearbeiten, aber neue Werte werden nicht überprüft.

So aktualisieren Sie vorhandene Adapter

  1. Klicken Sie auf "Start", klicken Sie auf "Ausführen", geben Sie cmd ein, und klicken Sie dann auf "OK".

  2. Gehen Sie in der Befehlszeile zum Installationsverzeichnis von Enterprise Single Sign-On.

    Der Standardwert ist <laufwerk>:\Programme\Common Files\Enterprise Single Sign-On.

  3. Geben Sie ssops -update <adapter file> ein, und drücken Sie die Eingabetaste.

    Verwenden Sie diesen Befehl, um die Einstellungen und Flags für einen angegebenen Adapter zu aktualisieren. Verwenden Sie diesen Befehl nicht, um Eigenschaften festzulegen; verwenden Sie stattdessen den Befehl "-setprops ".

So löschen Sie einen vorhandenen Adapter

  1. Klicken Sie auf "Start", klicken Sie auf "Ausführen", geben Sie cmd ein, und klicken Sie dann auf "OK".

  2. Gehen Sie in der Befehlszeile zum Installationsverzeichnis von Enterprise Single Sign-On.

    Der Standardwert ist <laufwerk>:\Programme\Common Files\Enterprise Single Sign-On.

  3. Geben Sie ssops -delete <adapter name> ein, und drücken Sie die Eingabetaste.

    Der angegebene Adapter wird gelöscht.

So aktivieren Sie einen Adapter

  1. Klicken Sie auf "Start", klicken Sie auf "Ausführen", geben Sie cmd ein, und klicken Sie dann auf "OK".

  2. Gehen Sie in der Befehlszeile zum Installationsverzeichnis von Enterprise Single Sign-On.

    Der Standardwert ist <laufwerk>:\Programme\Common Files\Enterprise Single Sign-On.

  3. Geben Sie ssops -enable <adapter name> ein, und drücken Sie die Eingabetaste.

    Der angegebene Adapter ist aktiviert.

So deaktivieren Sie einen Adapter

  1. Klicken Sie auf "Start", klicken Sie auf "Ausführen", geben Sie cmd ein, und klicken Sie dann auf "OK".

  2. Gehen Sie in der Befehlszeile zum Installationsverzeichnis von Enterprise Single Sign-On.

    Der Standardwert ist <laufwerk>:\Programme\Common Files\Enterprise Single Sign-On.

  3. Geben Sie ssops -disable <adapter name> ein, und drücken Sie die Eingabetaste.

    Der angegebene Adapter ist deaktiviert.

So fügen Sie einem Adapter eine Anwendung hinzu

  1. Klicken Sie auf "Start", klicken Sie auf "Ausführen", geben Sie cmd ein, und klicken Sie dann auf "OK".

  2. Wechseln Sie in der Befehlszeile zum Installationsverzeichnis "Enterprise Single Sign-On".

    Der Standardwert ist <laufwerk>:\Programme\Common Files\Enterprise Single Sign-On.

  3. Geben Sie ssops -addapp <adapter name> <application name> ein, und drücken Sie die Eingabetaste.

    Die angegebene SSO-Anwendung wird dem angegebenen Adapter zugewiesen. Dies bedeutet, dass die Kennwörter für die Zuordnungen in dieser Anwendung jetzt mit diesem Adapter synchronisiert werden.

    Obwohl mehreren Anwendungen ein Adapter zugewiesen werden kann, kann jede anwendung nur einem Adapter zugewiesen werden.

So löschen Sie eine Anwendung aus einem Adapter

  1. Klicken Sie auf "Start", klicken Sie auf "Ausführen", geben Sie cmd ein, und klicken Sie dann auf "OK".

  2. Gehen Sie in der Befehlszeile zum Installationsverzeichnis von Enterprise Single Sign-On.

    Der Standardwert ist <laufwerk>:\Programme\Common Files\Enterprise Single Sign-On.

  3. Geben Sie ssops -deleteapp <application name> ein, und drücken Sie die Eingabetaste.

    Die angegebene SSO-Anwendung wird von einem Adapter entfernt. (Da einer Anwendung nur ein Adapter zugewiesen werden kann, müssen Sie den Adapternamen nicht angeben.)

So setzen Sie die Benachrichtigung zurück

  1. Klicken Sie auf "Start", klicken Sie auf "Ausführen", geben Sie cmd ein, und klicken Sie dann auf "OK".

  2. Gehen Sie in der Befehlszeile zum Installationsverzeichnis von Enterprise Single Sign-On.

    Der Standardwert ist <laufwerk>:\Programme\Common Files\Enterprise Single Sign-On.

  3. Geben Sie ssops -reset <adapter name | all | damping> ein, und drücken Sie die Eingabetaste.

    Mit diesem Befehl werden, wie angegeben, die Dämpfungstabellen und/oder Benachrichtigungswarteschlangen für einen einzelnen Adapter oder alle Adapter gelöscht. Die Dämpfungstabelle speichert einen 10-minütigen Verlauf der Kennwortänderungen. Bevor das Enterprise-SSO-System eine Kennwortänderung akzeptiert oder sendet, überprüft es die Dämpfungstabelle, um festzustellen, ob die gleiche Änderung kürzlich durchgeführt wurde. Wenn das der Fall ist, wird die neue Änderung verworfen.

So fügen Sie einer Adaptergruppe einen Adapter hinzu

  1. Klicken Sie auf "Start", klicken Sie auf "Ausführen", geben Sie cmd ein, und klicken Sie dann auf "OK".

  2. Gehen Sie in der Befehlszeile zum Installationsverzeichnis von Enterprise Single Sign-On.

    Der Standardwert ist <laufwerk>:\Programme\Common Files\Enterprise Single Sign-On.

  3. Geben Sie ssops -addtogroup <adapter name> <adapter group> ein, und drücken Sie die Eingabetaste.

    Mit diesem Befehl wird der angegebene Adapter der angegebenen Adaptergruppe hinzugefügt. Obwohl ein Adapter nur zu einer Adaptergruppe gehören kann, kann eine Adaptergruppe mehrere Adapter enthalten.

So löschen Sie einen Adapter aus einer Adaptergruppe

  1. Klicken Sie auf "Start", klicken Sie auf "Ausführen", geben Sie cmd ein, und klicken Sie dann auf "OK".

  2. Gehen Sie in der Befehlszeile zum Installationsverzeichnis von Enterprise Single Sign-On.

    Der Standardwert ist <laufwerk>:\Programme\Common Files\Enterprise Single Sign-On.

  3. Geben Sie ssops -deletefromgroup <adapter name> <adapter group> ein, und drücken Sie die Eingabetaste.

    Mit diesem Befehl wird der angegebene Adapter aus der angegebenen Adaptergruppe gelöscht.

Siehe auch

Kennwortsynchronisierung

  • Last updated on