Enterprise Single Sign-On-Benutzergruppen
Zum Konfigurieren und Verwalten des Systems für Einmaliges Anmelden für Unternehmen (ENTSSO) müssen Sie für jede dieser Rollen bestimmte Windows-Gruppen und -Konten erstellen. Beim Konfigurieren der Zugriffskonten in Enterprise SSO können Sie für jede dieser Rollen mehrere Konten angeben. In diesem Abschnitt werden diese Rollen beschrieben.
Wichtig
Es wird nachdrücklich empfohlen, bei der SSO-Konfiguration mit Domänengruppen zu arbeiten.
Hinweis
Aus Sicherheitsgründen lässt das SSO-System keine integrierten Konten zu.
Einzeladministratoren für Sign-On
SSO-Administratoren verfügen über die Benutzerrechte der höchsten Ebene im SSO-System. Sie können die folgenden Aktionen ausführen:
Erstellen und verwalten Sie die Anmeldeinformationsdatenbank.
Erstellen und verwalten Sie das master Geheimnis.
Aktivieren und deaktivieren Sie das SSO-System.
Erstellen Sie Kennwortsynchronisierungsadapter.
Aktivieren und deaktivieren Sie die Kennwortsynchronisierung im SSO-System.
Aktivieren und deaktivieren Sie hostinitiiertes einmaliges Anmelden.
Führen Sie alle Verwaltungsaufgaben aus.
Das SSO-Administratorkonto kann ein Windows-Gruppenkonto oder Einzelkonto sein. Das SSO-Administratorkonto kann auch entweder ein Domänenkonto, lokales Gruppenkonto oder Einzelkonto sein. Wenn Sie ein einzelnes Konto verwenden, können Sie es nicht in ein anderes einzelnes Konto ändern. Deshalb wird davon abgeraten, mit einem Einzelkonto zu arbeiten. Sie können dieses Konto in ein Gruppenkonto ändern, solange das ursprüngliche Konto Mitglied der neuen Gruppe ist.
Wichtig
Das Dienstkonto, das den Enterprise Single Sign-On-Dienst ausführt, muss Mitglied dieser Gruppe sein. Stellen Sie sicher, dass kein anderer Dienst dasselbe Dienstkonto verwendet, um Ihre Umgebung zu schützen.
SSO-Partneradministratoren
Der SSO-Partneradministrator bestimmt die Partneranwendungen, die zum SSO-System gehören. Eine Partneranwendung ist eine logische Entität, die das Back-End-System darstellt, mit dem Sie sich über SSO verbinden. SSO-Partneradministratoren können folgende Aktionen ausführen:
Erstellen und Verwalten von Partneranwendungen
Geben Sie das Anwendungsadministratorkonto für jede Partneranwendung an.
Führen Sie alle Verwaltungsaufgaben aus, die die Anwendungsadministratoren und Anwendungsbenutzer ausführen können.
Das SSO-Partneradministratorkonto kann ein Windows-Gruppenkonto oder Einzelkonto sein. Das SSO-Partneradministratorkonto kann auch entweder ein Domänenkonto, lokales Gruppenkonto oder Einzelkonto sein.
Anwendungsadministratoren
Pro Partneranwendung gibt es eine Anwendungsadministratorengruppe.
Mitglieder dieser Gruppe können folgende Aktionen ausführen:
Ändern Sie das Gruppenkonto der Anwendungsbenutzer.
Erstellen, Löschen und Verwalten von Anmeldeinformationszuordnungen für alle Benutzer der spezifischen Partneranwendung.
Legen Sie Die Anmeldeinformationen für jeden Benutzer in diesem bestimmten Benutzergruppenkonto der Partneranwendung fest.
Führen Sie alle Verwaltungsaufgaben aus, die die Anwendungsbenutzer ausführen können.
Anwendungsbenutzer
Pro Partneranwendung gibt es eine Anwendungsbenutzergruppe. Diese Gruppe enthält die Liste der Endbenutzer in einer Enterprise SSO-Umgebung. Mitglieder dieser Gruppe können folgende Aktionen ausführen:
Suchen Sie ihre Anmeldeinformationen in der Partneranwendung.
Verwalten Sie ihre Anmeldeinformationszuordnungen in der Partneranwendung.
Hinweis
Seien Sie beim Zuweisen von Gruppen aufmerksam. Es ist beispielsweise möglich, eine Host Integration Server-Sicherheitsbenutzergruppe für die Benutzergruppe der SSO-Anwendung zu verwenden. Vergewissern Sie sich vor diesem Schritt, dass alle Benutzer den vollständigen Zugriff auch tatsächlich benötigen, der ihnen anschließend zur Verfügung steht.
Weitere Informationen
Aktualisieren der Eigenschaften einer Partneranwendung
Aktualisieren der Anmeldeinformationsdatenbank
Verwalten von Zuordnungen
Enterprise Single Sign-On – Grundlagen