英語で読む

次の方法で共有


SSO ユーザー グループ

エンタープライズ シングル サインオン (SSO) システムを構成および管理するには、ロールごとに特定の Windows グループとアカウントを作成する必要があります。 エンタープライズ SSO でアクセス アカウントを構成する際には、各ロールに複数のアカウントを指定することができます。 このセクションでは、各ロールについて説明します。

重要

SSO を構成する際には、ドメイン グループを使用することを強くお勧めします。

注意

セキュリティ上の理由から、SSO システムでは組み込みアカウントは使用できません。

シングル サインオン管理者

SSO 管理者には、SSO システムで最高レベルのユーザー権利が与えられています。 次のことができます。

  • SSO データベースの作成および管理

  • マスタ シークレットの作成および管理

  • SSO システムの有効化および無効化

  • パスワード同期アダプタの作成

  • SSO システムでのパスワード同期の有効化および無効化

  • ホスト側開始 SSO の有効化および無効化

  • すべての管理作業の実行

    SSO 管理者アカウントには、Windows グループ アカウントまたは個々のアカウントを指定できます。 また、ドメインまたはローカルのグループや単独アカウントのいずれかを指定することもできます。 単独アカウントを使用すると、このアカウントを別の単独アカウントに変更できません。 そのため、単独アカウントは使用しないことをお勧めします。 元のアカウントが新しいグループのメンバであれば、単独アカウントをグループ アカウントに変更できます。

重要

エンタープライズ シングル サインオン サービスを実行しているサービス アカウントは、このグループのメンバである必要があります。 環境をセキュリティで保護するために、同じサービス アカウントが他のサービスで使用されていないことを確認してください。

シングル サインオン関連管理者

SSO 関連管理者は、SSO システムに含まれる関連アプリケーションを定義します。 関連アプリケーションとは、SSO を使用して接続するバックエンド システムを表す論理エンティティのことです。 SSO 関連管理者は、次の操作を実行できます。

  • 関連アプリケーションの作成、管理、および削除

  • 各関連アプリケーションに対するアプリケーション管理者アカウントの指定

  • アプリケーション管理者とアプリケーション ユーザーが実行できるすべての管理作業の実行

    SSO 関連管理者アカウントには、Windows グループ アカウントまたは単独アカウントのいずれかを指定できます。 また、ドメインまたはローカルのグループやアカウントのいずれかを指定することもできます。

アプリケーション管理者

アプリケーション管理者グループは、関連アプリケーションごとに 1 つ存在します。

このグループのメンバーは次のことができます。

  • アプリケーション ユーザー グループ アカウントの変更

  • 特定の関連アプリケーションのすべてのユーザーに対する資格情報マッピングの作成、削除、および管理

  • 特定の関連アプリケーション ユーザー グループ アカウントのすべてのユーザーに対する資格情報の設定

  • アプリケーション ユーザーが実行できるすべての管理作業の実行

アプリケーション ユーザー

アプリケーション ユーザー グループは、関連アプリケーションごとに 1 つ存在します。 このグループには、エンタープライズ シングル サインオン環境に存在するエンド ユーザーの一覧が含まれています。 このグループのメンバは、次の操作を実行できます。

  • 関連アプリケーションでの資格情報の検索

  • 関連アプリケーションでの資格情報マッピングの管理

注意

グループを割り当てる際には注意する必要があります。 たとえば、SSO アプリケーション ユーザー グループに BizTalk Server セキュリティ ユーザー グループを使用することができます。 グループを割り当てる前に、ユーザーに与えられるアクセス権が、そのユーザーに必要かどうかを確認してください。

参照

関連アプリケーションのプロパティを更新する方法
SSO データベースを更新する方法
ユーザー マッピングの管理
SSO について