Gruppi di utenti SSO
Per configurare e gestire il sistema Enterprise Single Sign-On (SSO) è necessario creare gruppi e account di Windows specifici per ciascuno dei ruoli riportati di seguito. Quando si configurano gli account di accesso in Enterprise SSO, è possibile specificare più account per ogni ruolo. In questa sezione vengono descritti i ruoli nell'ambito del sistema.
Importante
Quando si configura SSO è consigliabile utilizzare gruppi di dominio.
Nota
Per motivi di sicurezza, nel sistema SSO non sono consentiti account predefiniti.
Gli amministratori SSO dispongono dei diritti utente di livello più alto nel sistema SSO. Possono eseguire le operazioni seguenti:
Creazione e gestione del database SSO
Creazione e gestione del master secret
Abilitazione e disabilitazione del sistema SSO
Creazione degli adapter di sincronizzazione delle password
Abilitazione e disabilitazione della sincronizzazione delle password nel sistema SSO
Abilitazione e disabilitazione del servizio SSO avviato da host
Esecuzione di tutte le attività di amministrazione
Un account di amministratore SSO può essere un account di gruppo di Windows o un account singolo. Può inoltre essere un account di gruppo di dominio o di gruppo locale. Un account singolo non può essere sostituito con un altro account dello stesso tipo. È quindi sconsigliato utilizzare un account singolo. È possibile sostituire l'account con un account di gruppo purché l'account originale sia membro del nuovo account.
Importante
L'account del servizio che esegue il servizio Enterprise Single Sign-On deve essere membro di questo account. Per garantire la sicurezza dell'ambiente, accertarsi che nessun altro servizio utilizzi lo stesso account del servizio.
Questi amministratori definiscono le applicazioni affiliate contenute nel sistema SSO. Le applicazioni affiliate costituiscono un'entità logica che rappresenta il sistema back-end a cui ci si connette tramite SSO. Gli amministratori applicazioni affiliate SSO possono effettuare le seguenti operazioni:
Creazione, gestione ed eliminazione di applicazioni affiliate
Impostazione dell'account di amministratori applicazione per ogni applicazione affiliata
Esecuzione di tutte le attività di amministrazione che possono essere svolte da amministratori e utenti delle applicazioni
Un account di amministratore applicazioni protette SSO può essere un account di gruppo di Windows o un account singolo. Può inoltre essere un account di gruppo di dominio o di gruppo locale.
È presente un gruppo di amministratori applicazione per ogni applicazione affiliata.
I membri del gruppo possono effettuare le seguenti operazioni:
Modifica dell'account di gruppo degli utenti dell'applicazione
Creazione, eliminazione e gestione dei mapping delle credenziali per tutti gli utenti della specifica applicazione affiliata
Impostazione delle credenziali per qualsiasi utente nello specifico account di gruppo degli utenti dell'applicazione
Esecuzione di tutte le attività di amministrazione che possono essere svolte dagli utenti dell'applicazione
È presente un account di gruppo di utenti applicazione per ogni applicazione affiliata. L'account contiene l'elenco degli utenti finali in un ambiente Enterprise Single Sign-on. I membri dell'account possono effettuare le seguenti operazioni:
Ricerca delle proprie credenziali nell'applicazione affiliata
Gestione dei mapping delle credenziali nell'applicazione affiliata
Nota
È necessario prestare attenzione in fase di assegnazione dei gruppi. È ad esempio possibile utilizzare un gruppo di utenti di sicurezza BizTalk Server per il gruppo di utenti applicazione SSO. Prima di effettuare questa operazione, accertarsi che tutti gli utenti richiedano tutti i diritti di accesso in modo da rendere loro disponibili tali diritti.
Come aggiornare le proprietà di un'applicazione affiliata
Come aggiornare il database SSO
Gestione dei mapping degli utenti
Informazioni su SSO