可以通过 MMC Snap-In 或命令行管理密码同步。
MMC Snap-In 显示适配器及其属性的列表。 可以右键单击适配器并使用菜单执行以下命令:
创建适配器
设置属性
更新
删除
启用
禁用
将应用程序添加到适配器
从适配器中删除应用程序
重置通知
将适配器添加到适配器组
从适配器组中删除适配器
还可以使用 SSOPS 命令行实用工具来管理密码同步。 本节中的大多数命令仅供管理员使用。
对于许多命令,命令输出将显示在屏幕上的两列中。 由于某些屏幕设置可能会导致数据截断,因此最好将屏幕缓冲区大小/Windows 大小更改为 120 个字符。
下表中列出了 SSOPS 命令。 本主题的其余部分提供了过程和进一步说明。
| 指令 | 功能 |
|---|---|
| -列表 | 列出现有适配器 |
| -显示 | 显示适配器信息 |
| -创造 | 创建新的适配器 |
| -setprops (保持不变,如果需要,用“-设置属性”来辅助解释这个命令的作用。) | 设置适配器的属性 |
| -更新 | 更新现有的适配器 |
| -删除 | 删除现有适配器 |
| -使 | 启用适配器 |
| -禁用 | 禁用适配器 |
| -addapp | 为适配器添加应用程序 |
| -deleteapp | 删除适配器使用的应用程序 |
| -重置 | 重置通知或抑制队列 |
| -addtogroup | 将适配器添加到适配器组 |
| 从组中删除 | 从适配器组中删除适配器 |
列出已有的适配器
在 “开始” 菜单上,单击 “运行” 。
在 “运行 ”对话框中,键入 cmd,然后单击“ 确定”。
在命令提示符中,转到 Enterprise Single Sign-On 安装目录。 默认值为 <drive>:\Program Files\Common Files\Enterprise 单一登录。
键入 ssops -list ,然后按 Enter。
将列出适配器和说明。 (E) 表示适配器已启用,(D)表示它已禁用。
显示适配器信息
在 “开始” 菜单上,单击 “运行” 。
在 “运行 ”对话框中,键入 cmd,然后单击“ 确定”。
在命令提示符中,转到 Enterprise Single Sign-On 安装目录。 默认值为 <drive>:\Program Files\Common Files\Enterprise 单一登录。
键入 ssops -display <适配器名称> ,然后按 Enter。
屏幕输出将显示指定适配器的信息。
除了名称、类型、说明、计算机和帐户之外,还会显示以下信息。
适配器标志 详细信息 已启用适配器 确定是否启用适配器。
标志:SSO_FLAG_ENABLED
属性名称:enableApp
默认值:否允许本地帐户 确定应用管理员或应用用户帐户是否可以是本地帐户。
标志:SSO_FLAG_APP_ALLOW_LOCAL
属性名称:allowLocalAccounts
默认值:否从适配器接收密码更改 确定是否允许适配器接收外部密码更改。
标志:SSO_FLAG_PARTIAL_SYNC_FROM_EXTERNAL_TO_DB
属性名称:syncFromAdapter
默认值:否验证旧密码 确定适配器在收到外部密码更改时是否会验证旧密码。 如果设置了此标志,则在更改外部密码时,外部适配器必须提供旧的和新的外部密码。 然后,旧外部密码与该外部帐户的 SSO 数据库中的现有外部密码进行比较。 如果匹配,则接受密码更改。 如果不匹配,将拒绝密码更改。
标志:SSO_FLAG_SYNC_VERIFY_EXTERNAL_CREDS
属性名称:verifyOldPassword
默认值:是更改 Windows 密码 确定收到外部密码更改时是否还会更改 Windows 密码(完全同步)。 ENTSSO 始终使用 SSO 数据库中存储的旧 Windows 密码将 Windows 密码更改为新值(Windows 需要旧密码和新密码才能更改用户密码),因此必须在 Windows 密码更改成功之前进行初始化。 如果为特定映射配置了密码同步,那么当通过管理工具(ssomanage 或 ssoclient -setcredentials)设置外部凭据时,存储在 SSO 数据库中的 Windows 密码也会被设置。标志:SSO_FLAG_FULL_SYNC_FROM_EXTERNAL_TO_WINDOWS
属性名称:changeWindowsPassword
默认值:否将 Windows 密码更改发送到适配器 确定是否将 Windows 密码更改发送到外部适配器。
标志:SSO_FLAG_FULL_SYNC_FROM_WINDOWS_TO_EXTERNAL(从Windows到外部的完全同步标记)
属性名称:syncToAdapter
默认值:否将旧密码发送到适配器 如果是,旧密码值(来自 SSO 数据库)也将发送到外部适配器和新密码值。 某些外部系统可能需要旧密码值和新密码值才能更改密码。
标志:SSO_FLAG_SYNC_PROVIDE_OLD_EXTERNAL_CREDS
属性名称:sendOldPassword
默认值:否允许映射冲突 确定适配器是否允许映射冲突。
映射不唯一时发生映射冲突。 在一个 SSO 独立应用程序中,映射始终是一对一:一个 Windows 帐户映射到一个外部帐户,反之亦可。
但是,可以将多个应用程序分配给适配器。 因此,一个应用程序中的映射可能与另一个应用程序中的映射发生冲突。
此标志的此用途是防止这种情况发生。 除非存在明确且被充分理解的需求,否则不允许映射冲突会更安全。
标志:SSO_FLAG_SYNC_ALLOW_MAPPING_CONFLICTS
属性名称:allowMappingConflicts
默认值:否适配器说明 详细信息 通知重试计数 默认值为 1。 通知重试延迟(以分钟为单位) 默认值为 5。 最大挂起通知数 默认值为 8。 存储通知(脱机时) True/False。 服务器名称 服务器名称。 端口号 端口号。 此适配器的应用程序 当前分配给适配器的应用程序的列表。
创建新适配器
在 “开始” 菜单上,单击 “运行” 。
在 “运行 ”对话框中,键入 cmd,然后单击“ 确定”。
在命令提示符中,转到 Enterprise Single Sign-On 安装目录。 默认值为 <drive>:\Program Files\Common Files\Enterprise 单一登录。
键入 ssops -create <适配器文件> ,然后按 Enter。
屏幕输出将显示新创建的适配器的信息。
设置适配器的属性
在 “开始” 菜单上,单击 “运行” 。
在 “运行 ”对话框中,键入 cmd,然后单击“ 确定”。
在命令提示符中,转到 Enterprise Single Sign-On 安装目录。 默认值为 <drive>:\Program Files\Common Files\Enterprise 单一登录。
键入 ssops -setprops <适配器名称> ,然后按 Enter。
屏幕输出将显示指定适配器的属性。 如有必要,可以编辑它们,但未验证新值。
更新现有适配器
在 “开始” 菜单上,单击 “运行” 。
在 “运行 ”对话框中,键入 cmd,然后单击“ 确定”。
在命令提示符中,转到 Enterprise Single Sign-On 安装目录。 默认值为 <drive>:\Program Files\Common Files\Enterprise 单一登录。
键入 ssops -update <适配器文件> ,然后按 Enter。
使用此命令更新指定适配器的设置和标志。 请勿使用此命令设置属性;请改用 -setprops 命令。
删除现有适配器
在 “开始” 菜单上,单击 “运行” 。
在 “运行 ”对话框中,键入 cmd,然后单击“ 确定”。
在命令提示符中,转到 Enterprise Single Sign-On 安装目录。 默认值为 <drive>:\Program Files\Common Files\Enterprise 单一登录。
键入 ssops -delete <适配器名称> ,然后按 Enter。
将删除指定的适配器。
启用适配器
在 “开始” 菜单上,单击 “运行” 。
在 “运行 ”对话框中,键入 cmd,然后单击“ 确定”。
在命令提示符中,转到 Enterprise Single Sign-On 安装目录。 默认值为 <drive>:\Program Files\Common Files\Enterprise 单一登录。
键入 ssops -enable <适配器名称> ,然后按 Enter。
将启用指定的适配器。
禁用适配器
在 “开始” 菜单上,单击 “运行” 。
在 “运行 ”对话框中,键入 cmd,然后单击“ 确定”。
在命令提示符中,转到 Enterprise Single Sign-On 安装目录。 默认值为 <drive>:\Program Files\Common Files\Enterprise 单一登录。
键入 ssops -disable <适配器名称> ,然后按 Enter。
将禁用指定的适配器。
将应用程序添加到适配器
在 “开始” 菜单上,单击 “运行” 。
在 “运行 ”对话框中,键入 cmd,然后单击“ 确定”。
在命令提示符中,转到 Enterprise Single Sign-On 安装目录。 默认值为 <drive>:\Program Files\Common Files\Enterprise 单一登录。
键入 ssops -addapp <适配器名称应用程序名称><>,然后按 Enter。
指定的 SSO 应用程序将分配给指定的适配器。 这意味着,该应用程序中的映射的密码现在将使用此适配器进行同步。
虽然可以将多个应用程序分配给一个适配器,但任何给定的应用程序只能分配给一个适配器。
从适配器中删除应用程序
在 “开始” 菜单上,单击 “运行” 。
在 “运行 ”对话框中,键入 cmd,然后单击“ 确定”。
在命令提示符中,转到 Enterprise Single Sign-On 安装目录。 默认值为 <drive>:\Program Files\Common Files\Enterprise 单一登录。
键入 ssops -deleteapp <应用程序名称> ,然后按 Enter。
指定的 SSO 应用程序将从适配器中删除。 (由于应用程序只能分配给一个适配器,因此不需要指定适配器名称。
重置通知
在 “开始” 菜单上,单击 “运行” 。
在 “运行 ”对话框中,键入 cmd,然后单击“ 确定”。
在命令提示符中,转到 Enterprise Single Sign-On 安装目录。 默认值为 <drive>:\Program Files\Common Files\Enterprise 单一登录。
键入 ssops -reset <适配器名称 | 全部 | 阻滞> 并按回车键。
此命令根据指定,清除单个适配器或所有适配器的阻尼表和/或通知队列。 阻尼表存储密码更改的 10 分钟历史记录。 在企业 SSO 系统接受或发送密码更改之前,它会检查抑制表,以查看它最近是否执行了相同的更改。 如果已有更改,则会放弃新更改。
将适配器添加到适配器组
在 “开始” 菜单上,单击 “运行” 。
在 “运行 ”对话框中,键入 cmd,然后单击“ 确定”。
在命令提示符中,转到 Enterprise Single Sign-On 安装目录。 默认值为 <drive>:\Program Files\Common Files\Enterprise 单一登录。
键入 ssops -addtogroup <适配器名称><适配器组> ,然后按 Enter。
此命令将指定的适配器添加到指定的适配器组。 虽然适配器只能属于一个适配器组,但适配器组可以包含多个适配器。
从适配器组中删除适配器
在 “开始” 菜单上,单击 “运行” 。
在 “运行 ”对话框中,键入 cmd,然后单击“ 确定”。
在命令提示符中,转到 Enterprise Single Sign-On 安装目录。 默认值为 <drive>:\Program Files\Common Files\Enterprise 单一登录。
键入 ssops -deletefromgroup <适配器名称><适配器组> ,然后按 Enter。
此命令从指定的适配器组中删除指定的适配器。