SSO 使用者群組
若要設定及管理「企業單一登入」(SSO) 系統,您必須為其中每個角色建立 Windows 群組與帳戶。 設定企業 SSO 中的存取帳戶時,您可以為其中每個角色指定多個帳戶。 本節描述這些角色。
重要
強烈建議您在設定 SSO 時使用網域群組。
注意
基於安全起見,SSO 系統不允許使用內建帳戶。
單一登入系統管理員
SSO 系統管理員擁有 SSO 系統中最高層級的使用者權限。 他們可以:
建立及管理 SSO 資料庫
建立及管理主要密碼
啟用及停用 SSO 系統。
建立密碼同步配接器
啟用及停用 SSO 系統中的密碼同步
啟用及停用主控件初始化的 SSO
執行所有管理工作
SSO 系統管理員帳戶可以是 Windows 群組或個人帳戶。 SSO 系統管理員帳戶也可以是網域或本機群組,或是個人帳戶。 若使用個人帳戶,您無法將此帳戶改為另一個個人帳戶。 因此,建議您不要使用個人帳戶。 只要原始帳戶是新帳戶的成員,您就可以將此帳戶改為群組帳戶。
重要
執行「企業單一登入」服務的服務帳戶需為此帳戶的成員。 為保護環境的安全,請確定沒有其他服務正在使用同一個服務帳戶。
單一登入分支機構管理員
SSO 分支機構系統管理員定義 SSO 系統所包含的分支機構應用程式。 分支機構應用程式是一種邏輯實體,其代表您使用 SSO 連線的後端系統。 SSO 分支機構系統管理員可以:
建立、管理及刪除分支機構應用程式
指定每個分支機構應用程式的應用程式系統管理員帳戶
執行應用程式系統管理員與應用程式使用者可執行的所有管理工作
SSO 分支機構應用程式帳戶可以是 Windows 群組或個人帳戶。 SSO 分支機構系統管理員帳戶也可以是網域或本機群組或帳戶。
應用程式系統管理員
每個分支機構應用程式都有一個應用程式系統管理員群組。
此群組的成員可以:
變更應用程式使用者群組帳戶
建立、刪除及管理特定分支機構應用程式所有使用者的認證對應
為特定分支機構應用程式使用者群組帳戶中的任何使用者設定認證
執行應用程式使用者可執行的所有管理工作
應用程式使用者
每個分支機構應用程式都有一個應用程式使用者群組帳戶。 此帳戶包含「企業單一登入」環境中一般使用者的清單。 此帳戶的成員可以:
在分支機構應用程式中尋查自己的認證
在分支機構應用程式中管理自己的認證對應
注意
指派群組時記得保持警戒。 例如,可以在 SSO 應用程式使用者群組中使用 BizTalk Server 安全性使用者群組。 在這麼做之前,請確定是否所有使用者都需要他們即將可用的所有存取權。