Freigeben über

SSO-Zuordnungen

  • Artikel

Wenn ein SSO-Administrator (Enterprise Single Sign-On) oder ein SSO-Partneradministrator eine Partneranwendung definiert, kann der Administrator sie entweder als Anwendung definieren, die einzelne Zuordnungen verwendet, oder als Anwendung, die eine Gruppenzuordnung verwendet.

Einzelne Zuordnungen

Mithilfe einzelner SSO-Zuordnungen können Administratoren und Benutzer eine Eins-zu-Eins-Zuordnung zwischen Windows-Benutzern und ihren entsprechenden Nicht-Windows-Anmeldeinformationen erstellen. Wenn einzelne Zuordnungen verwendet werden, können Benutzer ihre eigenen Zuordnungen verwalten. Das SSO-System verwaltet die Eins-zu-Eins-Beziehung für das Windows-Konto des Benutzers und das Nicht-Windows-Konto des Benutzers.

Windows-Endbenutzer können eigene Zuordnungen für einzelne Typanwendungen erstellen und verwalten. Dieselbe Partneranwendung kann als Windows-initiiertes einmaliges Anmelden und als vom Host initiierte SSO-Anwendung fungieren.

Wichtig

Zuordnungen können nur für Windows-Domänenkonten erstellt werden. Lokale Konten können nicht zugeordnet werden.

Hinweis

Nur einzelne Benutzer können die Anmeldeinformationen für ihre einzelnen Konten abrufen, wenn einzelne Zuordnungen verwendet werden.

Gruppenzuordnung

Die SSO-Gruppenzuordnung besteht aus der Zuordnung einer Windows-Gruppe, die mehrere Windows-Benutzer enthält, zu einem einzelnen Konto in der Partneranwendung.

Sie können für die Rolle SSO-Anwendungsbenutzer auch mehrere Konten angeben. Jedes von Ihnen angegebene Konto kann einem externen Konto zugeordnet werden.

So kann beispielsweise ein Domänenbenutzer (domain\userA) einem externen Anmeldeinformationssatz (ExternalUser1) zugeordnet werden. Der gleiche Benutzer domain\userA kann gleichzeitig Mitglied einer Domänengruppe (domain\group1) sein, die ihrerseits einem weiteren externen Anmeldeinformationssatz (ExternalUser2) zugeordnet sein kann. In einem solchen Fall muss der Administrator (bei dem es sich mindestens um einen Anwendungsadministrator handeln muss) die richtige Reihenfolge der Anwendungsbenutzerkonten festlegen.

Es wird die Zuordnung des ersten Kontos (der Reihenfolge) verwendet, dessen Mitglied der Aufrufer ist. Wenn in einem solchen Fall die Zuordnung von domain\userA zu ExternalUser1 auf Reihenfolge 0 gesetzt ist, gibt SSO diesen Anmeldeinformationssatz für domain\UserA zurück.

Gruppenzuordnungen können nur von Anwendungsadministratoren, SSO-Partneradministratoren oder SSO-Administratoren erstellt werden.

Für von Windows initiiertes und vom Host initiiertes SSO kann nicht dieselbe Gruppenanwendung angegeben werden.

Wichtig

Zuordnungen können nur für Windows-Domänenkonten erstellt werden. Lokale Konten können nicht zugeordnet werden.

Wichtig

Wenn Sie Gruppenzuordnungen verwenden, können die Mitglieder der Gruppe die Anmeldeinformationen für die Gruppenzuordnung abrufen.

Weitere Informationen

Verwalten von Zuordnungen
SSO-Partneranwendungen
Enterprise Single Sign-On – Grundlagen