企业单 Sign-On 用户组
若要配置和管理企业单一 Sign-On (SSO) 系统,必须为每个角色创建特定的 Windows 组和帐户。 在 Enterprise SSO 中配置访问帐户时,可以为每个角色指定多个帐户。 本部分介绍这些角色。
重要
强烈建议在配置 SSO 时使用域组。
注意
出于安全考虑,SSO 系统不允许使用内置帐户。
单个 Sign-On 管理员
SSO 管理员在 SSO 系统中具有最高级别的用户权限。 他们可以执行以下操作:
创建和管理凭据数据库。
创建和管理主机密。
启用和禁用 SSO 系统。
创建密码同步适配器。
在 SSO 系统中启用和禁用密码同步。
启用和禁用主机发起的 SSO。
执行所有管理任务。
SSO 管理员帐户可以是 Windows 组帐户,也可以是个人帐户。 SSO 管理员帐户也可以是域、本地组或个人帐户。 使用个人帐户时,不能将其更改为其他个人帐户。 因此,建议不要使用个人帐户。 只要原始帐户是新组的成员,就可以将此帐户更改为组帐户。
重要
运行企业单一 Sign-On 服务的服务帐户必须是此组的成员。 为了帮助保护环境,请确保没有其他服务使用同一服务帐户。
单 Sign-On 关联管理员
SSO 关联管理员定义 SSO 系统包含的关联应用程序。 关联应用程序是一个逻辑实体,表示使用 SSO 连接到的后端系统。 SSO 关联管理员可以执行以下操作:
创建和管理关联应用程序。
为每个关联应用程序指定应用程序管理员帐户。
执行应用程序管理员和应用程序用户可以执行的所有管理任务。
SSO 关联管理员帐户可以是 Windows 组帐户,也可以是个人帐户。 SSO 关联管理员帐户也可以是域或本地组或帐户。
应用程序管理员
每个关联应用程序有一个应用程序管理员组。
此组的成员可以执行以下操作:
更改应用程序用户组帐户。
为特定关联应用程序的所有用户创建、删除和管理凭据映射。
为该特定关联应用程序用户组帐户中的任何用户设置凭据。
执行应用程序用户可以执行的所有管理任务。
应用程序用户
每个关联应用程序都有一个应用程序用户组帐户。 此组包含企业 SSO 环境中的最终用户列表。 此组的成员可以执行以下操作:
在关联应用程序中查找其凭据。
在关联应用程序中管理其凭据映射。
注意
请记得在分配组时保持警惕。 例如,可以将 Host Integration Server 安全用户组用于 SSO 应用程序用户组。 在执行此操作之前,请确保所有用户都需要可供他们访问的所有访问权限。