企業單一 Sign-On 使用者群組
若要設定及管理「企業單一登入」(SSO) 系統,您必須為其中每個角色建立 Windows 群組與帳戶。 設定企業 SSO 中的存取帳戶時,您可以為其中每個角色指定多個帳戶。 本節描述這些角色。
重要
強烈建議您在設定 SSO 時使用網域群組。
注意
基於安全性考慮,SSO 系統不允許內建帳戶。
單一登入系統管理員
SSO 系統管理員擁有 SSO 系統中最高層級的使用者權限。 他們可以執行下列動作:
建立和管理認證資料庫。
建立和管理主要密碼。
啟用和停用 SSO 系統。
建立密碼同步處理配接器。
在 SSO 系統中啟用和停用密碼同步處理。
啟用和停用主機起始的 SSO。
執行所有系統管理工作。
SSO 系統管理員帳戶可以是 Windows 群組或個人帳戶。 SSO 系統管理員帳戶也可以是網域或本機群組,或是個人帳戶。 當您使用個別帳戶時,您無法將它變更為另一個個別帳戶。 因此,建議您不要使用個人帳戶。 只要原始帳戶是新群組的成員,您就可以將此帳戶變更為群群組帳戶。
重要
執行企業單一 Sign-On 服務的服務帳戶必須是此群組的成員。 若要協助保護您的環境,請確定沒有其他服務使用相同的服務帳戶。
單一登入分支機構管理員
SSO 分支機構系統管理員定義 SSO 系統所包含的分支機構應用程式。 分支機構應用程式是一種邏輯實體,其代表您使用 SSO 連線的後端系統。 SSO 聯盟管理員可以執行下列動作:
建立和管理聯盟應用程式。
為每個聯盟應用程式指定應用程式管理員帳戶。
執行應用程式系統管理員和應用程式使用者可以執行的所有系統管理工作。
SSO 分支機構應用程式帳戶可以是 Windows 群組或個人帳戶。 SSO 分支機構系統管理員帳戶也可以是網域或本機群組或帳戶。
應用程式系統管理員
每個分支機構應用程式都有一個應用程式系統管理員群組。
此群組的成員可以執行下列動作:
變更應用程式使用者群群組帳戶。
為特定聯盟應用程式的所有使用者建立、刪除及管理認證對應。
為該特定聯盟應用程式使用者帳戶中的任何使用者設定認證。
執行應用程式使用者可以執行的所有系統管理工作。
應用程式使用者
每個分支機構應用程式都有一個應用程式使用者群組帳戶。 此群組包含企業 SSO 環境中的終端使用者清單。 此群組的成員可以執行下列動作:
在聯盟應用程式中查閱其認證。
在聯盟應用程式中管理其認證對應。
注意
指派群組時記得保持警戒。 例如,可以針對 SSO 應用程式使用者群組使用主機整合伺服器安全性群組。 在這麼做之前,請確定是否所有使用者都需要他們即將可用的所有存取權。