다음을 통해 공유

암호 동기화 운영

  • 아티클

MMC(Microsoft Management Console) Snap-In 또는 명령줄을 통해 Enterprise SSO(단일 Sign-On)에서 암호 동기화를 관리할 수 있습니다. 이 항목에서는 어댑터를 사용하여 다양한 관리 작업을 수행하는 방법을 설명합니다.

MMC 스냅인에는 어댑터와 해당 속성 목록이 표시됩니다. 어댑터를 마우스 오른쪽 단추로 클릭하고 메뉴를 사용해 다음 명령을 수행할 수 있습니다.

  • 어댑터 만들기

  • 속성 설정

  • 업데이트

  • 삭제

  • 사용

  • 사용 안 함

  • 어댑터에 응용 프로그램 추가

  • 어댑터에서 응용 프로그램 삭제

  • 알림 다시 설정

  • 어댑터 그룹에 어댑터 추가

  • 어댑터 그룹에서 어댑터 삭제

    SSOPS 명령줄 유틸리티를 사용하여 암호 동기화를 관리할 수도 있습니다. 이 섹션의 대부분의 명령은 관리자만 사용하기 위한 것입니다.

    많은 명령에서 명령 출력은 화면에 두 열로 표시됩니다. 특정 화면 설정으로 인해 데이터가 잘려질 수 있으므로 최상의 결과를 위해 화면 버퍼 크기/Windows 크기를 120자로 변경해야 합니다.

    다음 표에서는 SSOPS 명령을 나열합니다. 절차 및 추가 설명은 이 항목의 나머지 부분에 걸쳐 있습니다.

명령 함수
-list 기존 어댑터를 나열합니다.
-display 어댑터 정보를 표시합니다.
-create 새 어댑터를 만듭니다.
-setprops 어댑터의 속성을 설정합니다.
-update 기존 어댑터를 업데이트.
-삭제 기존 어댑터를 삭제합니다.
-사용 하도록 설정 어댑터를 사용하도록 설정합니다.
-사용 하지 않도록 설정 어댑터를 사용하지 않도록 설정합니다.
-addapp 어댑터용 애플리케이션을 추가합니다.
-deleteapp 어댑터용 애플리케이션을 삭제합니다.
-reset 알림 또는 감쇠 큐를 다시 설정합니다.
-addtogroup 어댑터 그룹에 어댑터를 추가합니다.
-deletefromgroup 어댑터 그룹에서 어댑터를 삭제합니다.

기존 어댑터를 나열하려면

  1. 시작, 실행을 차례로 클릭하고 cmd를 입력한 다음 확인을 클릭합니다.

  2. 명령 프롬프트에서 Enterprise 단일 Sign-On 설치 디렉터리로 이동합니다.

    기본값은 <drive>:\Program Files\Common Files\Enterprise Single Sign-On입니다.

  3. 형식 ssops -list ENTER 키를 누릅니다.

    어댑터 및 설명이 나열됩니다. (E)는 어댑터가 사용하도록 설정되어 있음을, (D)는 사용하지 않도록 설정되어 있음을 나타냅니다.

어댑터 정보를 표시하려면

  1. 시작, 실행을 차례로 클릭하고 cmd를 입력한 다음 확인을 클릭합니다.

  2. 명령 프롬프트에서 Enterprise 단일 Sign-On 설치 디렉터리로 이동합니다.

    기본값은 <drive>:\Program Files\Common Files\Enterprise Single Sign-On입니다.

  3. 형식 ssops -display <adapter name> ENTER 키를 누릅니다.

    화면 출력은 지정된 어댑터에 대한 정보를 표시합니다.

    이름, 유형, 설명, 컴퓨터 및 계정 외에 다음 정보가 표시됩니다.

    어댑터 플래그 세부 정보
    어댑터 설정 어댑터를 사용할지 여부를 결정합니다.

    플래그: SSO_FLAG_ENABLED

    특성 이름: enableApp

    기본값: No
    로컬 계정 허용 응용 프로그램 관리자 또는 응용 프로그램 사용자 계정이 로컬 계정일 수 있는지 여부를 지정합니다.

    플래그: SSO_FLAG_APP_ALLOW_LOCAL

    특성 이름: allowLocalAccounts

    기본값: No
    어댑터에서 암호 변경 받기 어댑터에서 외부 암호 변경을 받을 수 있는지 여부를 결정합니다.

    플래그: SSO_FLAG_PARTIAL_SYNC_FROM_EXTERNAL_TO_DB

    특성 이름: syncFromAdapter

    기본값: No
    현재 암호 확인 외부 암호 변경을 받을 때 어댑터에서 현재 암호를 확인할지 여부를 결정합니다. 이 플래그가 설정된 경우 외부 암호 변경이 수신되면 외부 어댑터는 새 외부 암호 외에도 이전 외부 암호를 제공해야 합니다. 그러면 현재 외부 암호가 해당 외부 계정에 대한 SSO 데이터베이스의 기존 외부 암호와 비교됩니다. 두 암호가 일치하면 암호 변경이 허용되고, 두 암호가 일치하지 않으면 암호 변경이 거부됩니다.

    플래그: SSO_FLAG_SYNC_VERIFY_EXTERNAL_CREDS

    특성 이름: verifyOldPassword

    Default: 예
    Windows 암호 변경 외부 암호 변경이 수신될 때 Windows 암호도 변경될지 여부를 결정합니다(전체 동기화). ENTSSO는 항상 SSO 데이터베이스에 저장된 이전 Windows 암호를 사용하여 Windows 암호를 새 값으로 변경합니다(Windows에서는 사용자의 암호를 변경하려면 이전 암호와 새 암호가 모두 필요). 따라서 Windows 암호 변경이 성공하려면 먼저 초기화해야 합니다. 특정 매핑에 대해 암호 동기화가 구성된 경우 외부 자격 증명이 관리 도구(ssomanage 또는 ssoclient -setcredentials)를 통해 설정된 경우 SSO 데이터베이스에 저장된 Windows 암호도 설정됩니다.

    플래그: SSO_FLAG_FULL_SYNC_FROM_EXTERNAL_TO_WINDOWS

    특성 이름: changeWindowsPassword

    기본값: No
    어댑터에 Windows 암호 변경 보내기 Windows 암호 변경 내용이 외부 어댑터로 전송되는지 여부를 결정합니다.

    플래그: SSO_FLAG_FULL_SYNC_FROM_WINDOWS_TO_EXTERNAL

    특성 이름: syncToAdapter

    기본값: No
    어댑터에 현재 암호 보내기 예인 경우 SSO 데이터베이스의 이전 암호 값도 새 암호 값 외에 외부 어댑터로 전송됩니다. 일부 외부 시스템에서 암호를 변경하려면 현재 암호 값과 새 암호 값이 모두 필요할 수 있습니다.

    플래그: SSO_FLAG_SYNC_PROVIDE_OLD_EXTERNAL_CREDS

    특성 이름: sendOldPassword

    기본값: No
    매핑 충돌 허용 어댑터에서 매핑 충돌을 허용할지 여부를 결정합니다.

    매핑이 고유하지 않으면 매핑 충돌이 발생합니다. 단일 SSO 개별 애플리케이션에서 매핑은 항상 일대일입니다. 하나의 Windows 계정은 정확히 하나의 외부 계정에 매핑되고 그 반대의 경우도 마찬가지입니다.

    그러나 어댑터 하나에 두 개 이상의 응용 프로그램을 할당할 수 있으므로 한 응용 프로그램의 매핑이 다른 응용 프로그램의 매핑과 충돌할 수 있습니다.

    이 플래그의 목적은 이 문제가 발생하지 않도록 하는 것입니다. 이 동작에 대한 충분히 이해할 수 있는 특별한 요구 사항이 없는 경우 매핑 충돌을 허용하지 않는 것이 보다 안전합니다.

    플래그: SSO_FLAG_SYNC_ALLOW_MAPPING_CONFLICTS

    특성 이름: allowMappingConflicts

    기본값: No
    어댑터 설명 세부 정보
    알림 재시도 횟수 기본값은 1입니다.
    알림 재시도 간격(분) 기본값은 5입니다.
    보류 중인 최대 알림 수 기본값은 8입니다.
    오프라인 시 알림 저장 True/False입니다.
    서버 이름 서버 이름입니다.
    포트 번호 포트 번호입니다.
    이 어댑터의 응용 프로그램 현재 어댑터에 할당되어 있는 응용 프로그램 목록입니다.

새 어댑터를 만들려면

  1. 시작, 실행을 차례로 클릭하고 cmd를 입력한 다음 확인을 클릭합니다.

  2. 명령 프롬프트에서 Enterprise 단일 Sign-On 설치 디렉터리로 이동합니다.

    기본값은 <drive>:\Program Files\Common Files\Enterprise Single Sign-On입니다.

  3. 형식 ssops -create <adapter file> ENTER 키를 누릅니다.

    화면 출력에는 새로 만든 어댑터에 대한 정보가 표시됩니다.

어댑터의 속성을 설정하려면

  1. 시작, 실행을 차례로 클릭하고 cmd를 입력한 다음 확인을 클릭합니다.

  2. 명령 프롬프트에서 Enterprise 단일 Sign-On 설치 디렉터리로 이동합니다.

    기본값은 <drive>:\Program Files\Common Files\Enterprise Single Sign-On입니다.

  3. 형식 ssops -setprops <adapter name> ENTER 키를 누릅니다.

    화면 출력에는 지정된 어댑터의 속성이 표시됩니다. 필요한 경우 속성을 편집할 수는 있지만 새 값의 유효성이 검사되지는 않습니다.

기존 어댑터를 업데이트하려면

  1. 시작, 실행을 차례로 클릭하고 cmd를 입력한 다음 확인을 클릭합니다.

  2. 명령 프롬프트에서 Enterprise 단일 Sign-On 설치 디렉터리로 이동합니다.

    기본값은 <drive>:\Program Files\Common Files\Enterprise Single Sign-On입니다.

  3. 형식 ssops -update <adapter file> ENTER 키를 누릅니다.

    이 명령을 사용하여 지정된 어댑터의 설정과 플래그를 업데이트합니다. 속성을 설정하려면 이 명령을 사용하지 마세요. 대신 -setprops 명령을 사용합니다.

기존 어댑터를 삭제하려면

  1. 시작, 실행을 차례로 클릭하고 cmd를 입력한 다음 확인을 클릭합니다.

  2. 명령 프롬프트에서 Enterprise 단일 Sign-On 설치 디렉터리로 이동합니다.

    기본값은 <drive>:\Program Files\Common Files\Enterprise Single Sign-On입니다.

  3. 형식 ssops -delete <adapter name> ENTER 키를 누릅니다.

    지정된 어댑터가 삭제됩니다.

어댑터를 사용하도록 설정하려면

  1. 시작, 실행을 차례로 클릭하고 cmd를 입력한 다음 확인을 클릭합니다.

  2. 명령 프롬프트에서 Enterprise 단일 Sign-On 설치 디렉터리로 이동합니다.

    기본값은 <drive>:\Program Files\Common Files\Enterprise Single Sign-On입니다.

  3. 형식 ssops -enable <adapter name> ENTER 키를 누릅니다.

    지정된 어댑터를 사용할 수 있습니다.

어댑터를 사용하지 않도록 설정하려면

  1. 시작, 실행을 차례로 클릭하고 cmd를 입력한 다음 확인을 클릭합니다.

  2. 명령 프롬프트에서 Enterprise 단일 Sign-On 설치 디렉터리로 이동합니다.

    기본값은 <drive>:\Program Files\Common Files\Enterprise Single Sign-On입니다.

  3. 형식 ssops -disable <adapter name> ENTER 키를 누릅니다.

    지정된 어댑터를 사용할 수 없습니다.

어댑터에 응용 프로그램을 추가하려면

  1. 시작, 실행을 차례로 클릭하고 cmd를 입력한 다음 확인을 클릭합니다.

  2. 명령줄에서 Enterprise Single Sign-On 설치 디렉터리로 이동합니다.

    기본값은 <drive>:\Program Files\Common Files\Enterprise Single Sign-On입니다.

  3. 형식 ssops -addapp <adapter name> <application name> ENTER 키를 누릅니다.

    지정된 SSO 애플리케이션이 지정된 어댑터에 할당됩니다. 즉, 해당 애플리케이션의 매핑에 대한 암호는 이제 이 어댑터를 사용하여 동기화됩니다.

    여러 애플리케이션을 하나의 어댑터에 할당할 수 있지만 지정된 모든 애플리케이션은 하나의 어댑터에만 할당할 수 있습니다.

어댑터에서 응용 프로그램을 삭제하려면

  1. 시작, 실행을 차례로 클릭하고 cmd를 입력한 다음 확인을 클릭합니다.

  2. 명령 프롬프트에서 Enterprise 단일 Sign-On 설치 디렉터리로 이동합니다.

    기본값은 <drive>:\Program Files\Common Files\Enterprise Single Sign-On입니다.

  3. 형식 ssops -deleteapp <application name> ENTER 키를 누릅니다.

    지정된 SSO 애플리케이션이 어댑터에서 제거됩니다. (애플리케이션은 하나의 어댑터에만 할당할 수 있으므로 어댑터 이름을 지정할 필요가 없습니다.)

알림을 다시 설정하려면

  1. 시작, 실행을 차례로 클릭하고 cmd를 입력한 다음 확인을 클릭합니다.

  2. 명령 프롬프트에서 Enterprise 단일 Sign-On 설치 디렉터리로 이동합니다.

    기본값은 <drive>:\Program Files\Common Files\Enterprise Single Sign-On입니다.

  3. 형식 ssops -reset <adapter name | all | damping> ENTER 키를 누릅니다.

    이 명령은 지정된 단일 어댑터나 모든 어댑터에 대한 댐핑 테이블 및/또는 알림 큐를 지웁니다. 댐핑 테이블에는 10분간의 암호 변경 기록이 저장됩니다. Enterprise SSO 시스템에서 암호 변경을 수락하거나 보내기 전에 감쇠 테이블을 확인하여 최근에 동일한 변경이 수행되었는지 확인합니다. 같은 변경을 수행한 경우 새 변경은 무시됩니다.

어댑터 그룹에 어댑터를 추가하려면

  1. 시작, 실행을 차례로 클릭하고 cmd를 입력한 다음 확인을 클릭합니다.

  2. 명령 프롬프트에서 Enterprise 단일 Sign-On 설치 디렉터리로 이동합니다.

    기본값은 <drive>:\Program Files\Common Files\Enterprise Single Sign-On입니다.

  3. 형식 ssops -addtogroup <adapter name> <adapter group> ENTER 키를 누릅니다.

    이 명령은 지정한 어댑터를 지정된 어댑터 그룹에 추가합니다. 어댑터는 하나의 어댑터 그룹에만 속할 수 있지만 어댑터 그룹에는 여러 어댑터가 포함될 수 있습니다.

어댑터 그룹에서 어댑터를 삭제하려면

  1. 시작, 실행을 차례로 클릭하고 cmd를 입력한 다음 확인을 클릭합니다.

  2. 명령 프롬프트에서 Enterprise 단일 Sign-On 설치 디렉터리로 이동합니다.

    기본값은 <drive>:\Program Files\Common Files\Enterprise Single Sign-On입니다.

  3. 형식 ssops -deletefromgroup <adapter name> <adapter group> ENTER 키를 누릅니다.

    이 명령은 지정한 어댑터를 지정된 어댑터 그룹에서 삭제합니다.

참고 항목

암호 동기화