MMC Snap-In またはコマンド ラインを使用して、パスワード同期を管理できます。
MMC Snap-In には、アダプターとそのプロパティの一覧が表示されます。 アダプターを右クリックし、メニューを使用して次のコマンドを実行できます。
アダプターを作成する
プロパティの設定
更新
削除
有効にする
無効にする
アダプターにアプリケーションを追加する
アダプターからアプリケーションを削除する
リセット通知
アダプター グループにアダプターを追加する
アダプター グループからアダプターを削除する
SSOPS コマンド ライン ユーティリティを使用して、パスワード同期を管理することもできます。 このセクションのほとんどのコマンドは、管理者のみが使用することを目的としています。
多くのコマンドの場合、コマンド出力は 2 列の画面に表示されます。 特定の画面設定によってデータが切り捨てられる可能性があるため、最適な結果を得るには、画面バッファー サイズ/Windows サイズを 120 文字に変更する必要があります。
SSOPS コマンドを次の表に示します。 手順と詳細については、このトピックの残りの部分で説明します。
| コマンド | 機能 |
|---|---|
| -リスト | 既存のアダプターを一覧表示します |
| -陳列 | アダプター情報を表示します |
| -創造する | 新しいアダプターを作成します。 |
| -setprops | アダプターのプロパティを設定します。 |
| -更新 | 既存のアダプターを更新します |
| -削除 | 既存のアダプターを削除します。 |
| -を有効にします。 | アダプターを有効にします |
| -を無効にします。 | アダプターを無効にします |
| -addapp | アダプター用のアプリケーションを追加します |
| アプリ削除 | アダプターのアプリケーションを削除します |
| -リセット | 通知またはダンピング キューをリセットします |
| -addtogroup | アダプター グループにアダプターを追加する |
| -deletefromgroup(グループから削除) | アダプター グループからアダプターを削除します |
既存のアダプターを一覧表示するには
[スタート] メニューの [ファイル名を指定して実行] をクリックします。
[実行] ダイアログ ボックスで、「cmd」と入力し、[
OK] をクリック 。コマンド ラインで、Enterprise Single Sign-On インストール ディレクトリに移動します。 既定値は <drive>:\Program Files\Common Files\Enterprise シングル サインオンです。
「ssops -list」と入力し、Enter キーを押します。
アダプターと説明が一覧表示されます。 (E) はアダプターが有効であることを示し、(D) は無効であることを示します。
アダプター情報を表示するには
[スタート] メニューの [ファイル名を指定して実行] をクリックします。
[実行] ダイアログ ボックスで、「cmd」と入力し、[
OK] をクリック 。コマンド ラインで、Enterprise Single Sign-On インストール ディレクトリに移動します。 既定値は <drive>:\Program Files\Common Files\Enterprise シングル サインオンです。
ssops -display < adapter 名を入力し> Enter キーを押します。
画面出力には、指定されたアダプターの情報が表示されます。
名前、種類、説明、コンピューター、アカウントに加えて、次の情報が表示されます。
アダプター フラグ 詳細 アダプターが有効 アダプターが有効かどうかを判断します。
フラグ: SSO_FLAG_ENABLED
属性名: enableApp
既定値: いいえローカル アカウントを許可する アプリ管理者アカウントまたはアプリ ユーザー アカウントをローカル アカウントにできるかどうかを決定します。
フラグ: SSO_FLAG_APP_ALLOW_LOCAL
属性名: allowLocalAccounts
既定値: いいえアダプターからパスワードの変更を受信する アダプターが外部パスワードの変更を受け取ることを許可するかどうかを決定します。
フラグ: SSO_FLAG_PARTIAL_SYNC_FROM_EXTERNAL_TO_DB
属性名: syncFromAdapter
既定値: いいえ古いパスワードを確認する 外部パスワードの変更を受信したときに、アダプターが古いパスワードを確認するかどうかを決定します。 このフラグが設定されている場合、外部パスワードを変更すると、外部アダプターは古い外部パスワードと新しい外部パスワードを指定する必要があります。 その後、古い外部パスワードは、その外部アカウントの SSO データベース内の既存の外部パスワードと比較されます。 一致する場合は、パスワードの変更が受け入れられます。 一致しない場合、パスワードの変更は拒否されます。
フラグ: SSO_FLAG_SYNC_VERIFY_EXTERNAL_CREDS
属性名: verifyOldPassword
既定値: はいWindows パスワードの変更 外部パスワードの変更を受け取ったときに Windows パスワードも変更するかどうかを決定します (完全同期)。 ENTSSO では、SSO データベースに格納されている古い Windows パスワードを常に使用して Windows パスワードを新しい値に変更します (Windows では、ユーザーパスワードを変更するために古いパスワードと新しいパスワードの両方が必要です)、Windows パスワードの変更が成功する前に初期化する必要があります。 特定のマッピングに対してパスワード同期が構成されている場合、外部資格情報が管理ツール (ssomanage または ssoclient -setcredentials) を使用して設定されると、SSO データベースに格納されている Windows パスワードも設定されます。フラグ: SSO_FLAG_FULL_SYNC_FROM_EXTERNAL_TO_WINDOWS
属性名: changeWindowsPassword
既定値: いいえWindows パスワードの変更をアダプターに送信する Windows パスワードの変更を外部アダプターに送信するかどうかを決定します。
フラグ: SSO_FLAG_FULL_SYNC_FROM_WINDOWS_TO_EXTERNAL
属性名: syncToAdapter
既定値: いいえ古いパスワードをアダプターに送信する [はい] の場合、(SSO データベースからの) 古いパスワード値も、新しいパスワード値と同様に外部アダプターに送信されます。 一部の外部システムでは、パスワードの変更に古いパスワード値と新しいパスワード値の両方が必要になる場合があります。
フラグ: SSO_FLAG_SYNC_PROVIDE_OLD_EXTERNAL_CREDS
属性名: sendOldPassword
既定値: いいえマッピングの競合を許可する アダプターがマッピングの競合を許可するかどうかを決定します。
マッピングの競合は、マッピングが一意でない場合に発生します。 1 つの SSO 個々のアプリケーションでは、マッピングは常に 1 対 1 です。1 つの Windows アカウントが 1 つの外部アカウントにマップされ、その逆も同様です。
ただし、1 つのアダプターに複数のアプリケーションを割り当てることができます。 したがって、一方のアプリケーションで、他方のアプリケーションのマッピングと競合するマッピングを持つことができます。
このフラグのこの目的は、この発生を防ぐことです。 この動作に対する特定の十分に理解された要件がない限り、マッピングの競合を許可しない方が安全です。
フラグ: SSO_FLAG_SYNC_マッピングコンフリクトを許可
属性名: allowMappingConflicts
既定値: いいえアダプターの説明 詳細 通知の再試行回数 既定値の は 1 です。 通知の再試行の遅延 (分単位) 既定値は 5 です。 保留中の通知の最大数 既定値は 8 です。 ストア通知 (オフライン時) True または False。 サーバー名 サーバー名。 ポート番号 ポート番号。 このアダプターのアプリケーション アダプターに現在割り当てられているアプリケーションの一覧。
新しいアダプターを作成するには
[スタート] メニューの [ファイル名を指定して実行] をクリックします。
[実行] ダイアログ ボックスで、「cmd」と入力し、[
OK] をクリック 。コマンド ラインで、Enterprise Single Sign-On インストール ディレクトリに移動します。 既定値は <drive>:\Program Files\Common Files\Enterprise シングル サインオンです。
ssops -create < adapter ファイルを入力し> Enter キーを押します。
画面出力には、新しく作成されたアダプターの情報が表示されます。
アダプターのプロパティを設定するには
[スタート] メニューの [ファイル名を指定して実行] をクリックします。
[実行] ダイアログ ボックスで、「cmd」と入力し、[
OK] をクリック 。コマンド ラインで、Enterprise Single Sign-On インストール ディレクトリに移動します。 既定値は <drive>:\Program Files\Common Files\Enterprise シングル サインオンです。
ssops -setprops < adapter 名を入力し> Enter キーを押します。
画面出力には、指定されたアダプターのプロパティが表示されます。 必要に応じて編集できますが、新しい値は検証されません。
既存のアダプターを更新するには
[スタート] メニューの [ファイル名を指定して実行] をクリックします。
[実行] ダイアログ ボックスで、「cmd」と入力し、[
OK] をクリック 。コマンド ラインで、Enterprise Single Sign-On インストール ディレクトリに移動します。 既定値は <drive>:\Program Files\Common Files\Enterprise シングル サインオンです。
ssops -update < adapter ファイルを入力し> Enter キーを押します。
このコマンドを使用して、指定したアダプターの設定とフラグを更新します。 このコマンドを使用してプロパティを設定しないでください。代わりに -setprops コマンドを使用します。
既存のアダプターを削除するには
[スタート] メニューの [ファイル名を指定して実行] をクリックします。
[実行] ダイアログ ボックスで、「cmd」と入力し、[
OK] をクリック 。コマンド ラインで、Enterprise Single Sign-On インストール ディレクトリに移動します。 既定値は <drive>:\Program Files\Common Files\Enterprise シングル サインオンです。
ssops -delete < adapter 名を入力し> Enter キーを押します。
指定したアダプターが削除されます。
アダプターを有効にするには
[スタート] メニューの [ファイル名を指定して実行] をクリックします。
[実行] ダイアログ ボックスで、「cmd」と入力し、[
OK] をクリック 。コマンド ラインで、Enterprise Single Sign-On インストール ディレクトリに移動します。 既定値は <drive>:\Program Files\Common Files\Enterprise シングル サインオンです。
ssops -enable < adapter 名を入力し> Enter キーを押します。
指定したアダプターが有効になります。
アダプターを無効にするには
[スタート] メニューの [ファイル名を指定して実行] をクリックします。
[実行] ダイアログ ボックスで、「cmd」と入力し、[
OK] をクリック 。コマンド ラインで、Enterprise Single Sign-On インストール ディレクトリに移動します。 既定値は <drive>:\Program Files\Common Files\Enterprise シングル サインオンです。
ssops -disable < adapter 名を入力し> Enter キーを押します。
指定されたアダプターは無効になります。
アダプターにアプリケーションを追加するには
[スタート] メニューの [ファイル名を指定して実行] をクリックします。
[実行] ダイアログ ボックスで、「cmd」と入力し、[
OK] をクリック 。コマンド ラインで、Enterprise Single Sign-On インストール ディレクトリに移動します。 既定値は <drive>:\Program Files\Common Files\Enterprise シングル サインオンです。
ssops -addapp <adapter name><application name> を入力し、Enter キーを押します。
指定した SSO アプリケーションが、指定したアダプターに割り当てられます。 つまり、そのアプリケーション内のマッピングのパスワードは、このアダプターを使用して同期されるようになります。
複数のアプリケーションを 1 つのアダプターに割り当てることができますが、特定のアプリケーションは 1 つのアダプターにのみ割り当てることができます。
アダプターからアプリケーションを削除するには
[スタート] メニューの [ファイル名を指定して実行] をクリックします。
[実行] ダイアログ ボックスで、「cmd」と入力し、[
OK] をクリック 。コマンド ラインで、Enterprise Single Sign-On インストール ディレクトリに移動します。 既定値は <drive>:\Program Files\Common Files\Enterprise シングル サインオンです。
ssops -deleteapp < アプリケーション名を入力し> Enter キーを押します。
指定した SSO アプリケーションがアダプターから削除されます。 (アプリケーションは 1 つのアダプターにのみ割り当てられるため、アダプター名を指定する必要はありません)。
通知をリセットするには
[スタート] メニューの [ファイル名を指定して実行] をクリックします。
[実行] ダイアログ ボックスで、「cmd」と入力し、[
OK] をクリック 。コマンド ラインで、Enterprise Single Sign-On インストール ディレクトリに移動します。 既定値は <drive>:\Program Files\Common Files\Enterprise シングル サインオンです。
ssops -reset < adapter name | all | damping を入力し> Enter キーを押します。
このコマンドは、指定された単一のアダプターまたはすべてのアダプターのダンピング・テーブルまたは通知キューをクリアします。 ダンピング テーブルには、パスワード変更の 10 分間の履歴が格納されます。 Enterprise SSO システムは、パスワードの変更を受け入れるか送信する前に、ダンピング テーブルをチェックして、同じ変更が最近実行されたかどうかを確認します。 その場合、新しい変更は破棄されます。
アダプター グループにアダプターを追加するには
[スタート] メニューの [ファイル名を指定して実行] をクリックします。
[実行] ダイアログ ボックスで、「cmd」と入力し、[
OK] をクリック 。コマンド ラインで、Enterprise Single Sign-On インストール ディレクトリに移動します。 既定値は <drive>:\Program Files\Common Files\Enterprise シングル サインオンです。
ssops -addtogroup < adapter name><adapter グループを入力し> Enter キーを押します。
このコマンドは、指定したアダプターを指定したアダプター グループに追加します。 アダプターは 1 つのアダプター グループにのみ属できますが、アダプター グループには複数のアダプターを含めることができます。
アダプター グループからアダプターを削除するには
[スタート] メニューの [ファイル名を指定して実行] をクリックします。
[実行] ダイアログ ボックスで、「cmd」と入力し、[
OK] をクリック 。コマンド ラインで、Enterprise Single Sign-On インストール ディレクトリに移動します。 既定値は <drive>:\Program Files\Common Files\Enterprise シングル サインオンです。
ssops -deletefromgroup < adapter name><adapter グループを入力し> Enter キーを押します。
このコマンドは、指定したアダプター グループから指定したアダプターを削除します。