SSO-Benutzergruppen
Zum Konfigurieren und Verwalten des Systems für Einmaliges Anmelden für Unternehmen (ENTSSO) müssen Sie für jede dieser Rollen bestimmte Windows-Gruppen und -Konten erstellen. Beim Konfigurieren der Zugriffskonten in Enterprise SSO können Sie mehrere Konten für jede dieser Rollen angeben. In diesem Abschnitt werden diese Rollen beschrieben.
Wichtig
Es wird nachdrücklich empfohlen, bei der SSO-Konfiguration mit Domänengruppen zu arbeiten.
Hinweis
Aus Sicherheitsgründen lässt das SSO-System keine vordefinierten Konten zu.
SSO-Administratoren verfügen über die höchsten Benutzerrechte im SSO-System. Sie können folgende Aktionen ausführen:
Erstellen und Verwalten der SSO-Datenbank
Erstellen und Verwalten des geheimen Hauptschlüssels
Aktivieren und Deaktivieren des SSO-Systems
Erstellen von Kennwortsynchronisierungsadaptern
Aktivieren und Deaktivieren der Kennwortsynchronisierung im SSO-System
Aktivieren und Deaktivieren des vom Host initiierten Einmaligen Anmelden (SSO)
Durchführen aller Verwaltungsaufgaben
Das SSO-Administratorkonto kann ein Windows-Gruppenkonto oder Einzelkonto sein. Das SSO-Administratorkonto kann auch entweder ein Domänenkonto, lokales Gruppenkonto oder Einzelkonto sein. Bei Verwenden eines Einzelkontos kann dieses Konto nicht in ein anderes Einzelkonto geändert werden. Deshalb wird davon abgeraten, mit einem Einzelkonto zu arbeiten. Sie können dieses Konto in ein Gruppenkonto ändern, solange das ursprüngliche Konto zum neuen Gruppenkonto gehört.
Wichtig
Das Dienstkonto, mit dem der ENTSSO-Dienst ausgeführt, muss zu diesem Gruppenkonto gehören. Stellen Sie zum Absichern Ihrer Umgebung sicher, dass dieses Dienstkonto von keinem anderen Dienst verwendet wird.
Der SSO-Partneradministrator bestimmt die Partneranwendungen, die zum SSO-System gehören. Eine Partneranwendung ist eine logische Entität, die das Back-End-System darstellt, mit dem Sie sich über SSO verbinden. SSO-Partneradministratoren können folgende Aufgaben ausführen:
Erstellen, Verwalten und Löschen von Partneranwendungen
Angeben des Anwendungsadministratorkontos jeder Partneranwendung
Ausführen aller Verwaltungsaufgaben, die Anwendungsadministratoren und -benutzer ausführen können
Das SSO-Partneradministratorkonto kann ein Windows-Gruppenkonto oder Einzelkonto sein. Das SSO-Partneradministratorkonto kann auch entweder ein Domänenkonto, lokales Gruppenkonto oder Einzelkonto sein.
Pro Partneranwendung gibt es eine Anwendungsadministratorengruppe.
Mitglieder dieser Gruppe können:
Ändern des Gruppenkontos der Anwendungsbenutzer
Erstellen, Löschen und Verwalten von Zuordnungen von Anmeldeinformationen für alle Benutzer der jeweiligen Partneranwendung
Festlegen von Anmeldeinformationen für Benutzer des Benutzergruppenkontos der jeweiligen Partneranwendung
Ausführen aller Verwaltungsaufgaben, die Anwendungsbenutzer ausführen können
Pro Partneranwendung gibt es eine Anwendungsbenutzergruppe. Dieses Konto enthält die Liste der Endbenutzer in einer ENTSSO-Umgebung. Mitglieder dieser Gruppe können folgende Aufgaben ausführen:
Nachschlagen ihrer Anmeldeinformationen in der Partneranwendung
Verwalten ihrer Anmeldeinformationen in der Partneranwendung
Hinweis
Seien Sie beim Zuweisen von Gruppen aufmerksam. Es ist beispielsweise möglich, eine BizTalk Server-Sicherheitsbenutzergruppe als SSO-Anwendungsbenutzergruppe zu verwenden. Vergewissern Sie sich vor diesem Schritt, dass alle Benutzer den vollständigen Zugriff auch tatsächlich benötigen, der ihnen anschließend zur Verfügung steht.
Aktualisieren der Eigenschaften einer Partneranwendung
Aktualisieren der SSO-Datenbank
Verwalten von Zuordnungen
Grundlegendes zu SSO