Freigeben über

SSO-Benutzergruppen

  • Artikel

Zum Konfigurieren und Verwalten des Systems für Einmaliges Anmelden für Unternehmen (ENTSSO) müssen Sie für jede dieser Rollen bestimmte Windows-Gruppen und -Konten erstellen. Beim Konfigurieren der Zugriffskonten in Enterprise SSO können Sie mehrere Konten für jede dieser Rollen angeben. In diesem Abschnitt werden diese Rollen beschrieben.

Wichtig

Es wird nachdrücklich empfohlen, bei der SSO-Konfiguration mit Domänengruppen zu arbeiten.

Hinweis

Aus Sicherheitsgründen lässt das SSO-System keine vordefinierten Konten zu.

Einzeladministratoren Sign-On

SSO-Administratoren verfügen über die höchsten Benutzerrechte im SSO-System. Sie können folgende Aktionen ausführen:

  • Erstellen und Verwalten der SSO-Datenbank

  • Erstellen und Verwalten des geheimen Hauptschlüssels

  • Aktivieren und Deaktivieren des SSO-Systems

  • Erstellen von Kennwortsynchronisierungsadaptern

  • Aktivieren und Deaktivieren der Kennwortsynchronisierung im SSO-System

  • Aktivieren und Deaktivieren des vom Host initiierten Einmaligen Anmelden (SSO)

  • Durchführen aller Verwaltungsaufgaben

    Das SSO-Administratorkonto kann ein Windows-Gruppenkonto oder Einzelkonto sein. Das SSO-Administratorkonto kann auch entweder ein Domänenkonto, lokales Gruppenkonto oder Einzelkonto sein. Bei Verwenden eines Einzelkontos kann dieses Konto nicht in ein anderes Einzelkonto geändert werden. Deshalb wird davon abgeraten, mit einem Einzelkonto zu arbeiten. Sie können dieses Konto in ein Gruppenkonto ändern, solange das ursprüngliche Konto zum neuen Gruppenkonto gehört.

Wichtig

Das Dienstkonto, mit dem der ENTSSO-Dienst ausgeführt, muss zu diesem Gruppenkonto gehören. Stellen Sie zum Absichern Ihrer Umgebung sicher, dass dieses Dienstkonto von keinem anderen Dienst verwendet wird.

SSO-Partneradministratoren

Der SSO-Partneradministrator bestimmt die Partneranwendungen, die zum SSO-System gehören. Eine Partneranwendung ist eine logische Entität, die das Back-End-System darstellt, mit dem Sie sich über SSO verbinden. SSO-Partneradministratoren können folgende Aufgaben ausführen:

  • Erstellen, Verwalten und Löschen von Partneranwendungen

  • Angeben des Anwendungsadministratorkontos jeder Partneranwendung

  • Ausführen aller Verwaltungsaufgaben, die Anwendungsadministratoren und -benutzer ausführen können

    Das SSO-Partneradministratorkonto kann ein Windows-Gruppenkonto oder Einzelkonto sein. Das SSO-Partneradministratorkonto kann auch entweder ein Domänenkonto, lokales Gruppenkonto oder Einzelkonto sein.

Anwendungsadministratoren

Pro Partneranwendung gibt es eine Anwendungsadministratorengruppe.

Mitglieder dieser Gruppe können:

  • Ändern des Gruppenkontos der Anwendungsbenutzer

  • Erstellen, Löschen und Verwalten von Zuordnungen von Anmeldeinformationen für alle Benutzer der jeweiligen Partneranwendung

  • Festlegen von Anmeldeinformationen für Benutzer des Benutzergruppenkontos der jeweiligen Partneranwendung

  • Ausführen aller Verwaltungsaufgaben, die Anwendungsbenutzer ausführen können

Anwendungsbenutzer

Pro Partneranwendung gibt es eine Anwendungsbenutzergruppe. Dieses Konto enthält die Liste der Endbenutzer in einer ENTSSO-Umgebung. Mitglieder dieser Gruppe können folgende Aufgaben ausführen:

  • Nachschlagen ihrer Anmeldeinformationen in der Partneranwendung

  • Verwalten ihrer Anmeldeinformationen in der Partneranwendung

Hinweis

Seien Sie beim Zuweisen von Gruppen aufmerksam. Es ist beispielsweise möglich, eine BizTalk Server-Sicherheitsbenutzergruppe als SSO-Anwendungsbenutzergruppe zu verwenden. Vergewissern Sie sich vor diesem Schritt, dass alle Benutzer den vollständigen Zugriff auch tatsächlich benötigen, der ihnen anschließend zur Verfügung steht.

Weitere Informationen

Aktualisieren der Eigenschaften einer Partneranwendung
Aktualisieren der SSO-Datenbank
Verwalten von Zuordnungen
Grundlegendes zu SSO