SSO ユーザー グループ
エンタープライズ シングル サインオン (SSO) システムを構成および管理するには、ロールごとに特定の Windows グループとアカウントを作成する必要があります。 エンタープライズ SSO でアクセス アカウントを構成する際には、各ロールに複数のアカウントを指定することができます。 このセクションでは、各ロールについて説明します。
重要
SSO を構成する際には、ドメイン グループを使用することを強くお勧めします。
注意
セキュリティ上の理由から、SSO システムでは組み込みアカウントは使用できません。
SSO 管理者には、SSO システムで最高レベルのユーザー権利が与えられています。 次のことができます。
SSO データベースの作成および管理
マスタ シークレットの作成および管理
SSO システムの有効化および無効化
パスワード同期アダプタの作成
SSO システムでのパスワード同期の有効化および無効化
ホスト側開始 SSO の有効化および無効化
すべての管理作業の実行
SSO 管理者アカウントには、Windows グループ アカウントまたは個々のアカウントを指定できます。 また、ドメインまたはローカルのグループや単独アカウントのいずれかを指定することもできます。 単独アカウントを使用すると、このアカウントを別の単独アカウントに変更できません。 そのため、単独アカウントは使用しないことをお勧めします。 元のアカウントが新しいグループのメンバであれば、単独アカウントをグループ アカウントに変更できます。
重要
エンタープライズ シングル サインオン サービスを実行しているサービス アカウントは、このグループのメンバである必要があります。 環境をセキュリティで保護するために、同じサービス アカウントが他のサービスで使用されていないことを確認してください。
SSO 関連管理者は、SSO システムに含まれる関連アプリケーションを定義します。 関連アプリケーションとは、SSO を使用して接続するバックエンド システムを表す論理エンティティのことです。 SSO 関連管理者は、次の操作を実行できます。
関連アプリケーションの作成、管理、および削除
各関連アプリケーションに対するアプリケーション管理者アカウントの指定
アプリケーション管理者とアプリケーション ユーザーが実行できるすべての管理作業の実行
SSO 関連管理者アカウントには、Windows グループ アカウントまたは単独アカウントのいずれかを指定できます。 また、ドメインまたはローカルのグループやアカウントのいずれかを指定することもできます。
アプリケーション管理者グループは、関連アプリケーションごとに 1 つ存在します。
このグループのメンバーは次のことができます。
アプリケーション ユーザー グループ アカウントの変更
特定の関連アプリケーションのすべてのユーザーに対する資格情報マッピングの作成、削除、および管理
特定の関連アプリケーション ユーザー グループ アカウントのすべてのユーザーに対する資格情報の設定
アプリケーション ユーザーが実行できるすべての管理作業の実行
アプリケーション ユーザー グループは、関連アプリケーションごとに 1 つ存在します。 このグループには、エンタープライズ シングル サインオン環境に存在するエンド ユーザーの一覧が含まれています。 このグループのメンバは、次の操作を実行できます。
関連アプリケーションでの資格情報の検索
関連アプリケーションでの資格情報マッピングの管理
注意
グループを割り当てる際には注意する必要があります。 たとえば、SSO アプリケーション ユーザー グループに BizTalk Server セキュリティ ユーザー グループを使用することができます。 グループを割り当てる前に、ユーザーに与えられるアクセス権が、そのユーザーに必要かどうかを確認してください。
関連アプリケーションのプロパティを更新する方法
SSO データベースを更新する方法
ユーザー マッピングの管理
SSO について