Groupes d’utilisateurs uniques Sign-On d’entreprise

  • Article

Pour configurer et gérer le système d'authentification unique de l'entreprise, vous devez créer certains groupes et comptes Windows pour chacun de ces rôles. Lors de la configuration de ces comptes d'accès dans l'authentification unique de l'entreprise, vous pouvez spécifier plusieurs comptes pour chaque rôle. Cette section décrit ces rôles.

Important

Il est fortement recommandé d'utiliser les groupes de domaine lors de la configuration de l'authentification unique.

Notes

À des fins de sécurité, le système d’authentification unique n’autorise pas les comptes intégrés.

Administrateurs Sign-On uniques

Les administrateurs SSO disposent des droits d'utilisateur les plus élevés dans le système d'authentification unique. Ils peuvent effectuer les opérations suivantes :

  • Créez et gérez la base de données d’informations d’identification.

  • Créez et gérez le secret master.

  • Activez et désactivez le système d’authentification unique.

  • Créez des adaptateurs de synchronisation de mot de passe.

  • Activez et désactivez la synchronisation de mot de passe dans le système d’authentification unique.

  • Activer et désactiver l’authentification unique initiée par l’hôte.

  • Effectuez toutes les tâches d’administration.

    Le compte d'administrateur SSO peut être un compte de groupe Windows ou un compte individuel. Le compte d'administrateur SSO peut également être un compte individuel ou de groupe de domaine ou local. Lorsque vous utilisez un compte individuel, vous ne pouvez pas le remplacer par un autre compte individuel. Par conséquent, il est recommandé de ne pas utiliser un compte individuel. Vous pouvez remplacer ce compte par un compte de groupe tant que le compte d’origine est membre du nouveau groupe.

Important

Le compte de service qui exécute le service Enterprise Single Sign-On doit être membre de ce groupe. Pour sécuriser votre environnement, assurez-vous qu’aucun autre service n’utilise le même compte de service.

Administrateurs d'applications associées à SSO

L'administrateur d'applications associées à SSO définit les applications associées contenues dans le système d'authentification unique. Les applications associées sont une entité logique qui représente le système principal auquel vous êtes connecté à l'aide de l'authentification unique. Les administrateurs affiliés de l’authentification unique peuvent effectuer les opérations suivantes :

  • Créez et gérez des applications affiliées.

  • Spécifiez le compte d’administrateur d’application pour chaque application affiliée.

  • Effectuez toutes les tâches d’administration que les administrateurs d’application et les utilisateurs d’application peuvent effectuer.

    Le compte d'administrateur d'applications associées à SSO peut être un compte de groupe Windows ou un compte individuel. Le compte d'administrateur d'applications associées à SSO peut également être un compte ou groupe de domaine ou local.

Administrateurs d'application

Il existe un groupe d'administrateurs d'application par application associée.

Les membres de ce groupe peuvent effectuer les opérations suivantes :

  • Modifiez le compte de groupe d’utilisateurs de l’application.

  • Créez, supprimez et gérez les mappages d’informations d’identification pour tous les utilisateurs de l’application associée spécifique.

  • Définissez les informations d’identification de n’importe quel utilisateur dans ce compte de groupe d’utilisateurs de l’application affiliée spécifique.

  • Effectuez toutes les tâches d’administration que les utilisateurs de l’application peuvent effectuer.

Utilisateurs d'application

Il existe un compte du groupe d'utilisateurs d'application pour chaque application associée. Ce groupe contient la liste des utilisateurs finaux dans un environnement d’authentification unique d’entreprise. Les membres de ce groupe peuvent effectuer les opérations suivantes :

  • Recherchez leurs informations d’identification dans l’application affiliée.

  • Gérez leurs mappages d’informations d’identification dans l’application affiliée.

Notes

N'oubliez pas d'être vigilant lors de l'affectation des groupes. Il est possible, par exemple, d’utiliser un groupe d’utilisateurs de sécurité Host Integration Server pour le groupe d’utilisateurs de l’application SSO. Avant de procéder, assurez-vous que tous les utilisateurs ont besoin de tout l'accès dont ils disposeront alors.

Voir aussi

Comment mettre à jour les propriétés d’une application affiliée
Mise à jour de la base de données d’informations d’identification
Gestion des mappages utilisateur
Enterprise Single Sign-On - Notions de base