SSO 映射
当企业单一 Sign-On (SSO) 管理员或 SSO 关联管理员定义关联应用程序时,管理员可以将其定义为使用单个映射的应用程序或使用组映射的应用程序。
单项映射
使用 SSO 单项映射,管理员和用户可以在 Windows 用户与他们对应的非 Windows 凭据之间创建一对一映射。 使用单个映射时,用户可以管理自己的映射。 SSO 系统可维护用户的 Windows 帐户与该用户的非 Windows 帐户间的一对一关系。
Windows 最终用户可以为单个类型应用程序创建和管理自己的映射。 同一关联应用程序可以充当 Windows 发起的 SSO 和主机发起的 SSO 类型应用程序。
重要
只能为 Windows 域帐户创建映射。 无法映射本地帐户。
注意
使用单个映射时,只有单个用户可以获取其个人帐户的凭据。
组映射
SSO 组映射由从 Windows 组指向关联应用程序中的单个帐户的映射组成,该 Windows 组包含多个 Windows 用户。
也可以为 SSO 应用程序用户角色指定多个帐户。 所指定的每个帐户均可与外部帐户相关联。
例如,可以将域用户 (domain\userA) 映射到一组外部凭据 (ExternalUser1)。 同一 domain\userA 还可以是域组 (domain\group1) 的成员,并且此组可以被映射到其他一组外部凭据 (ExternalUser2)。 在这种情况下,务必由管理员(必须具有 Application Administrator 或以上权限)为 Application Users 帐户指定正确的顺序。
此顺序中调用方所属的第一个帐户的映射是将使用的映射。 在这种情况下,如果从 domain\userA 到 ExternalUser1 的映射设置为 Order 0,则 SSO 将返回 domain\UserA 的这组凭据。
只有应用程序管理员、SSO 关联管理员或 SSO 管理员才可以创建组映射。
不能为 Windows 发起的 SSO 和主机发起的 SSO 指定相同的组应用程序。
重要
只能为 Windows 域帐户创建映射。 无法映射本地帐户。
重要
在使用组映射时,组成员可以获得组映射的凭据信息。