Grupos de usuarios de enterprise Single Sign-On
Para configurar y administrar el sistema de inicio de sesión único (SSO) empresarial, deberá crear ciertas cuentas y grupos de Windows para cada una de estas funciones. Al configurar las cuentas de acceso en SSO empresarial, puede especificar más de una cuenta para cada una de estas funciones. En esta sección se describen las funciones.
Importante
Se recomienda encarecidamente utilizar grupos de dominio al configurar el SSO.
Nota
Para fines de seguridad, el sistema SSO no permite cuentas integradas.
Administradores de inicio de sesión único (SSO)
Los administradores de SSO tienen asignado el nivel más alto de derechos de usuario del sistema SSO. Pueden hacer lo siguiente:
Cree y administre la base de datos de credenciales.
Cree y administre el secreto maestro.
Habilite y deshabilite el sistema SSO.
Cree adaptadores de sincronización de contraseñas.
Habilite y deshabilite la sincronización de contraseñas en el sistema SSO.
Habilite y deshabilite el inicio de sesión único iniciado por el host.
Realice todas las tareas de administración.
La cuenta de administradores de SSO pueden ser una cuenta de grupo de Windows o una cuenta individual. La cuenta de administradores de SSO también puede ser una cuenta individual o de grupo local, o un dominio. Cuando se usa una cuenta individual, no se puede cambiar a otra cuenta individual. Por tanto, se recomienda no utilizar una cuenta individual. Puede cambiar esta cuenta a una cuenta de grupo siempre que la cuenta original sea miembro del nuevo grupo.
Importante
La cuenta de servicio que ejecuta el servicio Enterprise Single Sign-On debe ser miembro de este grupo. Para ayudar a proteger el entorno, asegúrese de que ningún otro servicio use la misma cuenta de servicio.
Administradores afiliados de inicio de sesión único (SSO)
El administrador afiliado de SSO define las aplicaciones afiliadas que contiene el sistema de SSO. Las aplicaciones afiliadas son entidades lógicas que representan el sistema de servidor con el que se conecta a través de SSO. Los administradores afiliados de SSO pueden hacer lo siguiente:
Crear y administrar aplicaciones afiliadas.
Especifique la cuenta de administradores de aplicaciones para cada aplicación afiliada.
Realice todas las tareas de administración que pueden los administradores de aplicaciones y los usuarios de la aplicación.
La cuenta de administradores afiliados de SSO puede ser una cuenta de grupo de Windows o una cuenta individual. La cuenta de administradores afiliados de SSO también puede ser un dominio, o una cuenta o grupo local.
Administradores de aplicación
Hay un grupo de administradores de aplicación por cada aplicación afiliada.
Los miembros de este grupo pueden hacer lo siguiente:
Cambie la cuenta de grupo de usuarios de la aplicación.
Cree, elimine y administre asignaciones de credenciales para todos los usuarios de la aplicación afiliada específica.
Establezca las credenciales de cualquier usuario de esa cuenta de grupo de usuarios de aplicación afiliada específica.
Realice todas las tareas de administración que pueden los usuarios de la aplicación.
Usuarios de aplicación
Hay una cuenta de grupo de usuarios de aplicación por cada aplicación afiliada. Este grupo contiene la lista de usuarios finales en un entorno de inicio de sesión único empresarial. Los miembros de este grupo pueden hacer lo siguiente:
Busque sus credenciales en la aplicación afiliada.
Administre sus asignaciones de credenciales en la aplicación afiliada.
Nota
Tenga cuidado a la hora de asignar grupos. Por ejemplo, es posible usar un grupo de usuarios de seguridad de Host Integration Server para el grupo de usuarios de la aplicación SSO. Antes de hacerlo, asegúrese de que todos los usuarios necesitan todo el acceso que estará a su disposición.
Consulte también
Cómo actualizar las propiedades de una aplicación afiliada
Actualización de la base de datos de credenciales
Administración de asignaciones de usuarios
Aspectos básicos de Enterprise Single Sign-On