Gruppi di utenti enterprise a Sign-On singola
Per configurare e gestire il sistema Enterprise Single Sign-On (SSO) è necessario creare gruppi e account di Windows specifici per ciascuno dei ruoli riportati di seguito. Quando si configurano gli account di accesso in Enterprise SSO, è possibile specificare più account per ogni ruolo. In questa sezione vengono descritti i ruoli nell'ambito del sistema.
Importante
Quando si configura SSO è consigliabile utilizzare gruppi di dominio.
Nota
Ai fini della sicurezza, il sistema SSO non consente account predefiniti.
Amministratori Single Sign-On
Gli amministratori SSO dispongono dei diritti utente di livello più alto nel sistema SSO. Possono eseguire le operazioni seguenti:
Creare e gestire il database delle credenziali.
Creare e gestire il master secret.
Abilitare e disabilitare il sistema SSO.
Creare adattatori di sincronizzazione delle password.
Abilitare e disabilitare la sincronizzazione delle password nel sistema SSO.
Abilitare e disabilitare l'accesso SSO avviato dall'host.
Eseguire tutte le attività di amministrazione.
Un account di amministratore SSO può essere un account di gruppo di Windows o un account singolo. Può inoltre essere un account di gruppo di dominio o di gruppo locale. Quando si usa un singolo account, non è possibile modificarlo in un altro account singolo. È quindi sconsigliato utilizzare un account singolo. È possibile modificare questo account in un account di gruppo purché l'account originale sia membro del nuovo gruppo.
Importante
L'account del servizio che esegue il servizio Enterprise Single Sign-On deve essere membro di questo gruppo. Per proteggere l'ambiente, assicurarsi che nessun altro servizio usi lo stesso account del servizio.
Amministratori applicazioni affiliate Single Sign-On
Questi amministratori definiscono le applicazioni affiliate contenute nel sistema SSO. Le applicazioni affiliate costituiscono un'entità logica che rappresenta il sistema back-end a cui ci si connette tramite SSO. Gli amministratori delle consociate SSO possono eseguire le operazioni seguenti:
Creare e gestire applicazioni affiliate.
Specificare l'account amministratore dell'applicazione per ogni applicazione affiliata.
Eseguire tutte le attività di amministrazione che gli amministratori dell'applicazione e gli utenti dell'applicazione possono eseguire.
Un account di amministratore applicazioni protette SSO può essere un account di gruppo di Windows o un account singolo. Può inoltre essere un account di gruppo di dominio o di gruppo locale.
Amministratori applicazione
È presente un gruppo di amministratori applicazione per ogni applicazione affiliata.
I membri di questo gruppo possono eseguire le operazioni seguenti:
Modificare l'account del gruppo di utenti dell'applicazione.
Creare, eliminare e gestire i mapping delle credenziali per tutti gli utenti dell'applicazione affiliata specifica.
Impostare le credenziali per qualsiasi utente nell'account del gruppo di utenti dell'applicazione affiliata specifico.
Eseguire tutte le attività di amministrazione che gli utenti dell'applicazione possono eseguire.
Utenti applicazione
È presente un account di gruppo di utenti applicazione per ogni applicazione affiliata. Questo gruppo contiene l'elenco degli utenti finali in un ambiente Enterprise SSO. I membri di questo gruppo possono eseguire le operazioni seguenti:
Cercare le proprie credenziali nell'applicazione affiliata.
Gestire i mapping delle credenziali nell'applicazione affiliata.
Nota
È necessario prestare attenzione in fase di assegnazione dei gruppi. È possibile, ad esempio, usare un gruppo di utenti di sicurezza host integration server per il gruppo di utenti dell'applicazione SSO. Prima di effettuare questa operazione, accertarsi che tutti gli utenti richiedano tutti i diritti di accesso in modo da rendere loro disponibili tali diritti.
Vedere anche
Come aggiornare le proprietà di un'applicazione affiliata
Come aggiornare il database delle credenziali
Gestione dei mapping degli utenti
Nozioni di base su Enterprise Single Sign-On