Administration de la synchronisation de mot de passe

  • Article

Vous pouvez administrer la synchronisation de mot de passe dans enterprise single Sign-On (SSO) via le Snap-In MMC (Microsoft Management Console) ou la ligne de commande. Cette rubrique explique comment effectuer diverses tâches d’administration avec des adaptateurs.

Le composant logiciel enfichable MMC affiche une liste des adaptateurs et de leurs propriétés. Vous pouvez cliquer avec le bouton droit sur un adaptateur et utiliser le menu pour exécuter les commandes suivantes :

  • Créer des adaptateurs

  • Définir des propriétés

  • Update

  • Supprimer

  • Activer

  • Disable

  • Ajouter des applications à un adaptateur

  • Supprimer des applications d'un adaptateur

  • Réinitialiser la notification

  • Ajouter un adaptateur à un groupe d'adaptateurs

  • Supprimer un adaptateur d’un groupe d’adaptateurs

    Vous pouvez également utiliser l’utilitaire de ligne de commande SSOPS pour administrer la synchronisation de votre mot de passe. La plupart des commandes de cette section sont destinées à être utilisées par un administrateur uniquement.

    Pour de nombreuses commandes, le résultat de la commande s'affiche à l'écran en deux colonnes. Étant donné que certains paramètres d’écran peuvent entraîner la troncation des données, pour obtenir de meilleurs résultats, vous devez modifier la taille de la mémoire tampon d’écran/la taille de Windows sur 120 caractères.

    Le tableau suivant répertorie les commandes SSOPS. Des procédures et des explications supplémentaires sont disponibles dans le reste de cette rubrique.

Commande Fonction
-list Répertorie les adaptateurs existants.
-display Affiche les informations de l’adaptateur.
-create Crée de nouveaux adaptateurs.
-setprops Définit les propriétés de l’adaptateur.
-update Mises à jour adaptateurs existants.
-delete Supprime un adaptateur existant.
-enable Active l’adaptateur.
-disable Désactive l’adaptateur.
-addapp Ajoute l’application pour l’adaptateur.
-deleteapp Supprime l’application pour l’adaptateur.
-reset Réinitialise les files d’attente de notification ou d’amortissement.
-addtogroup Ajoute l’adaptateur au groupe d’adaptateurs.
-deletefromgroup Supprime l’adaptateur du groupe d’adaptateurs.

Pour répertorier les adaptateurs existants

  1. Cliquez sur Démarrer et sur Exécuter, tapez cmd, puis cliquez sur OK.

  2. À l’invite de commandes, accédez au répertoire d’installation de l'Sign-On unique d’entreprise.

    La valeur par défaut est <drive> :\Program Files\Common Files\Enterprise Single Sign-On.

  3. Tapez ssops -list, puis appuyez sur ENTRÉE.

    Les adaptateurs et les descriptions sont répertoriés. (E) indique que l'adaptateur est activé, (D) indique qu'il est désactivé.

Pour afficher les informations sur l'adaptateur

  1. Cliquez sur Démarrer et sur Exécuter, tapez cmd, puis cliquez sur OK.

  2. À l’invite de commandes, accédez au répertoire d’installation de l'Sign-On unique d’entreprise.

    La valeur par défaut est <drive> :\Program Files\Common Files\Enterprise Single Sign-On.

  3. Tapez ssops -display <adapter name>, puis appuyez sur ENTRÉE.

    La sortie de l’écran affiche des informations pour l’adaptateur spécifié.

    En plus du nom, du type, de la description, de l'ordinateur et des comptes, les informations suivantes s'affichent.

    Indicateur de l'adaptateur Détails
    Adaptateur activé Déterminer si l'adaptateur est activé.

    Indicateur : SSO_FLAG_ENABLED

    Nom de l’attribut : enableApp

    Valeur par défaut : Non
    Autoriser les comptes locaux Déterminer si les comptes des administrateurs et des utilisateurs d'application (App Admin et App Users) peuvent être des comptes locaux.

    Indicateur : SSO_FLAG_APP_ALLOW_LOCAL

    Nom de l’attribut : allowLocalAccounts

    Valeur par défaut : Non
    Recevoir les modifications du mot de passe de l'adaptateur Déterminer si l'adaptateur est autorisé à recevoir des modifications de mot de passe externes.

    Indicateur : SSO_FLAG_PARTIAL_SYNC_FROM_EXTERNAL_TO_DB

    Nom de l’attribut : syncFromAdapter

    Valeur par défaut : Non
    Vérifier l'ancien mot de passe Détermine si l'adaptateur doit vérifier l'ancien mot de passe lorsqu'une modification de mot de passe externe est reçue. Si cet indicateur est défini, lorsqu’une modification de mot de passe externe est reçue, l’adaptateur externe doit fournir l’ancien mot de passe externe en plus du nouveau mot de passe externe. L'ancien mot de passe externe est ensuite comparé au mot de passe externe existant pour ce compte externe dans la base de données SSO. S'ils correspondent, la modification est acceptée. Sinon, la modification est rejetée.

    Indicateur : SSO_FLAG_SYNC_VERIFY_EXTERNAL_CREDS

    Nom de l’attribut : verifyOldPassword

    Valeur par défaut : Oui
    Modifier le mot de passe Windows Détermine si le mot de passe Windows sera également modifié lors de la réception d’une modification de mot de passe externe (synchronisation complète). ENTSSO utilise toujours l’ancien mot de passe Windows stocké dans la base de données SSO pour remplacer le mot de passe Windows par la nouvelle valeur (Windows nécessite l’ancien et le nouveau mot de passe pour modifier le mot de passe d’un utilisateur). Par conséquent, cette opération doit être initialisée avant que la modification du mot de passe Windows puisse réussir. Si la synchronisation de mot de passe est configurée pour un mappage particulier, lorsque les informations d’identification externes sont définies via des outils d’administration (ssomanage ou ssoclient -setcredentials), le mot de passe Windows stocké dans la base de données sSO est également défini.

    Indicateur : SSO_FLAG_FULL_SYNC_FROM_EXTERNAL_TO_WINDOWS

    Nom de l’attribut : changeWindowsPassword

    Valeur par défaut : Non
    Envoyer les modifications du mot de passe Windows à l'adaptateur Détermine si les modifications de mot de passe Windows sont envoyées à l’adaptateur externe.

    Indicateur : SSO_FLAG_FULL_SYNC_FROM_WINDOWS_TO_EXTERNAL

    Nom de l’attribut : syncToAdapter

    Valeur par défaut : Non
    Envoyer l'ancien mot de passe à l'adaptateur Si oui, l’ancienne valeur du mot de passe (à partir de la base de données SSO) est également envoyée à l’adaptateur externe en plus de la nouvelle valeur de mot de passe. Certains systèmes externes requièrent en effet les deux mots de passe (le nouveau et l'ancien) pour réaliser la modification.

    Indicateur : SSO_FLAG_SYNC_PROVIDE_OLD_EXTERNAL_CREDS

    Nom de l’attribut : sendOldPassword

    Valeur par défaut : Non
    Autoriser les conflits de mappage Déterminer si l'adaptateur autorise les conflits de mappage.

    Un conflit survient lorsque les mappages ne sont pas uniques. Dans une seule application sSO Individual, les mappages sont toujours un-à-un : un compte Windows est mappé à exactement un compte externe et vice versa.

    En revanche, il est possible d'affecter plusieurs applications à un adaptateur. Par conséquent, il se peut qu'un mappage d'une application entre en conflit avec un mappage d'une autre application.

    L’objectif de cet indicateur est d’empêcher cela de se produire. Il est conseillé de ne pas autoriser les conflits de mappage sauf si une condition particulière bien maîtrisée l'exige.

    Indicateur : SSO_FLAG_SYNC_ALLOW_MAPPING_CONFLICTS

    Nom de l’attribut : allowMappingConflicts

    Valeur par défaut : Non
    Description de l'adaptateur Détails
    Nombre de nouvelles tentatives de notification 1 constitue la valeur par défaut.
    Délai de nouvelle tentative de notification (en minutes) La valeur par défaut est 5.
    Nombre maximal de notifications en attente La valeur par défaut est 8.
    Stocker les notifications (hors connexion) True/False.
    Nom du serveur Nom du serveur.
    Numéro de port Numéro de port.
    Applications pour cet adaptateur Liste des applications actuellement affectées à l'adaptateur.

Pour créer des adaptateurs

  1. Cliquez sur Démarrer et sur Exécuter, tapez cmd, puis cliquez sur OK.

  2. À l’invite de commandes, accédez au répertoire d’installation d’entreprise unique Sign-On.

    La valeur par défaut est <drive> :\Program Files\Common Files\Enterprise Single Sign-On.

  3. Tapez ssops -create <adapter file>, puis appuyez sur ENTRÉE.

    La sortie de l’écran affiche des informations pour l’adaptateur nouvellement créé.

Pour définir les propriétés d'un adaptateur

  1. Cliquez sur Démarrer et sur Exécuter, tapez cmd, puis cliquez sur OK.

  2. À l’invite de commandes, accédez au répertoire d’installation d’entreprise unique Sign-On.

    La valeur par défaut est <drive> :\Program Files\Common Files\Enterprise Single Sign-On.

  3. Tapez ssops -setprops <adapter name>, puis appuyez sur ENTRÉE.

    La sortie de l’écran affiche les propriétés de l’adaptateur spécifié. Vous pouvez les modifier si nécessaire, mais les nouvelles valeurs ne sont pas validées.

Pour mettre à jour des adaptateurs existants

  1. Cliquez sur Démarrer et sur Exécuter, tapez cmd, puis cliquez sur OK.

  2. À l’invite de commandes, accédez au répertoire d’installation d’entreprise unique Sign-On.

    La valeur par défaut est <drive> :\Program Files\Common Files\Enterprise Single Sign-On.

  3. Tapez ssops -update <adapter file>, puis appuyez sur ENTRÉE.

    Utilisez cette commande pour mettre à jour les paramètres et indicateurs pour un adaptateur spécifié. N’utilisez pas cette commande pour définir des propriétés ; utilisez la commande -setprops à la place.

Pour supprimer un adaptateur existant

  1. Cliquez sur Démarrer et sur Exécuter, tapez cmd, puis cliquez sur OK.

  2. À l’invite de commandes, accédez au répertoire d’installation d’entreprise unique Sign-On.

    La valeur par défaut est <drive> :\Program Files\Common Files\Enterprise Single Sign-On.

  3. Tapez ssops -delete <adapter name>, puis appuyez sur ENTRÉE.

    L’adaptateur spécifié est supprimé.

Pour activer un adaptateur

  1. Cliquez sur Démarrer et sur Exécuter, tapez cmd, puis cliquez sur OK.

  2. À l’invite de commandes, accédez au répertoire d’installation d’entreprise unique Sign-On.

    La valeur par défaut est <drive> :\Program Files\Common Files\Enterprise Single Sign-On.

  3. Tapez ssops -enable <adapter name>, puis appuyez sur ENTRÉE.

    L’adaptateur spécifié est activé.

Pour désactiver un adaptateur

  1. Cliquez sur Démarrer et sur Exécuter, tapez cmd, puis cliquez sur OK.

  2. À l’invite de commandes, accédez au répertoire d’installation d’entreprise unique Sign-On.

    La valeur par défaut est <drive> :\Program Files\Common Files\Enterprise Single Sign-On.

  3. Tapez ssops -disable <adapter name>, puis appuyez sur ENTRÉE.

    L’adaptateur spécifié est désactivé.

Pour ajouter une application à un adaptateur

  1. Cliquez sur Démarrer et sur Exécuter, tapez cmd, puis cliquez sur OK.

  2. Dans la ligne de commande, accédez au répertoire d'installation de l'authentification unique de l'entreprise.

    La valeur par défaut est <drive> :\Program Files\Common Files\Enterprise Single Sign-On.

  3. Tapez ssops -addapp <adapter name> <application name>, puis appuyez sur ENTRÉE.

    L’application d’authentification unique spécifiée est affectée à l’adaptateur spécifié. Cela signifie que les mots de passe des mappages dans cette application sont désormais synchronisés à l’aide de cet adaptateur.

    Bien que plusieurs applications puissent être affectées à une seule carte, une application donnée ne peut être affectée qu’à un seul adaptateur.

Pour supprimer une application d'un adaptateur

  1. Cliquez sur Démarrer et sur Exécuter, tapez cmd, puis cliquez sur OK.

  2. À l’invite de commandes, accédez au répertoire d’installation d’entreprise unique Sign-On.

    La valeur par défaut est <drive> :\Program Files\Common Files\Enterprise Single Sign-On.

  3. Tapez ssops -deleteapp <application name>, puis appuyez sur ENTRÉE.

    L’application d’authentification unique spécifiée est supprimée d’un adaptateur. (Étant donné qu’une application ne peut être affectée qu’à un seul adaptateur, vous n’avez pas besoin de spécifier le nom de l’adaptateur.)

Pour réinitialiser la notification

  1. Cliquez sur Démarrer et sur Exécuter, tapez cmd, puis cliquez sur OK.

  2. À l’invite de commandes, accédez au répertoire d’installation d’entreprise unique Sign-On.

    La valeur par défaut est <drive> :\Program Files\Common Files\Enterprise Single Sign-On.

  3. Tapez ssops -reset <adapter name | all | damping>, puis appuyez sur ENTRÉE.

    Cette commande efface le tableau d'amortissement et/ou les files d'attente de notification pour un seul adaptateur ou pour tous les adaptateurs, tel que spécifié. Le tableau d'amortissement stocke un historique de 10 minutes de modifications de mot de passe. Avant que le système d’authentification unique d’entreprise accepte ou envoie une modification de mot de passe, il vérifie la table d’amortissement pour voir s’il a effectué la même modification récemment. Si tel est le cas, la nouvelle modification est ignorée.

Pour ajouter un adaptateur à un groupe d'adaptateurs

  1. Cliquez sur Démarrer et sur Exécuter, tapez cmd, puis cliquez sur OK.

  2. À l’invite de commandes, accédez au répertoire d’installation d’entreprise unique Sign-On.

    La valeur par défaut est <drive> :\Program Files\Common Files\Enterprise Single Sign-On.

  3. Tapez ssops -addtogroup <adapter name> <adapter group>, puis appuyez sur ENTRÉE.

    Cette commande ajoute l'adaptateur spécifié au groupe d'adaptateurs spécifié. Bien qu’une carte ne puisse appartenir qu’à un seul groupe d’adaptateurs, un groupe d’adaptateurs peut contenir plusieurs cartes.

Supprimer un adaptateur d'un groupe d'adaptateurs

  1. Cliquez sur Démarrer et sur Exécuter, tapez cmd, puis cliquez sur OK.

  2. À l’invite de commandes, accédez au répertoire d’installation d’entreprise unique Sign-On.

    La valeur par défaut est <drive> :\Program Files\Common Files\Enterprise Single Sign-On.

  3. Tapez ssops -deletefromgroup <adapter name> <adapter group>, puis appuyez sur ENTRÉE.

    Cette commande supprime l'adaptateur spécifié du groupe d'adaptateurs spécifié.

Voir aussi

Synchronisation de mot de passe