シングル Sign-On ユーザーグループの Enterprise

エンタープライズ シングル サインオン (SSO) システムを構成および管理するには、ロールごとに特定の Windows グループとアカウントを作成する必要があります。 エンタープライズ SSO でアクセス アカウントを構成する際には、各ロールに複数のアカウントを指定することができます。 このセクションでは、各ロールについて説明します。

重要

SSO を構成する際には、ドメイン グループを使用することを強くお勧めします。

Note

セキュリティ上の理由から、SSO システムではビルトインアカウントが許可されていません。

シングル サインオン管理者

SSO 管理者には、SSO システムで最高レベルのユーザー権利が与えられています。 次の操作を実行できます。

  • 資格情報データベースを作成および管理します。

  • マスタシークレットを作成および管理します。

  • SSO システムを有効または無効にします。

  • パスワード同期アダプターを作成します。

  • SSO システムでパスワード同期を有効または無効にします。

  • ホスト側開始 SSO を有効または無効にします。

  • すべての管理タスクを実行します。

    SSO 管理者アカウントには、Windows グループアカウントまたは個別のアカウントのいずれかを指定できます。 また、ドメインまたはローカルのグループや単独アカウントのいずれかを指定することもできます。 個々のアカウントを使用する場合、別のアカウントに変更することはできません。 そのため、単独アカウントは使用しないことをお勧めします。 元のアカウントが新しいグループのメンバーである限り、このアカウントをグループアカウントに変更することができます。

重要

Enterprise 単一 Sign-On サービスを実行するサービスアカウントは、このグループのメンバーである必要があります。 環境をセキュリティで保護するために、同じサービスアカウントを使用しているサービスが他にないことを確認してください。

シングル サインオン関連管理者

SSO 関連管理者は、SSO システムに含まれる関連アプリケーションを定義します。 関連アプリケーションとは、SSO を使用して接続するバックエンド システムを表す論理エンティティのことです。 SSO 関連管理者は、次の操作を実行できます。

  • 関連アプリケーションを作成および管理します。

  • 各関連アプリケーションのアプリケーション管理者アカウントを指定します。

  • アプリケーション管理者およびアプリケーションユーザーが実行できるすべての管理タスクを実行します。

    SSO 関連管理者アカウントには、Windows グループ アカウントまたは単独アカウントのいずれかを指定できます。 また、ドメインまたはローカルのグループやアカウントのいずれかを指定することもできます。

アプリケーション管理者

アプリケーション管理者グループは、関連アプリケーションごとに 1 つ存在します。

このグループのメンバーは、次の操作を実行できます。

  • アプリケーションユーザーグループアカウントを変更します。

  • 特定の関連アプリケーションのすべてのユーザーの資格情報のマッピングを作成、削除、管理します。

  • 特定の関連アプリケーションユーザーグループアカウントのすべてのユーザーの資格情報を設定します。

  • アプリケーションユーザーが実行できるすべての管理タスクを実行します。

アプリケーション ユーザー

アプリケーション ユーザー グループは、関連アプリケーションごとに 1 つ存在します。 このグループには、Enterprise SSO 環境のエンドユーザーの一覧が含まれています。 このグループのメンバーは、次の操作を実行できます。

  • 関連アプリケーションで資格情報を参照します。

  • 関連アプリケーションでの資格情報のマッピングを管理します。

Note

グループを割り当てる際には注意する必要があります。 たとえば、SSO アプリケーションユーザーグループに Host Integration Server セキュリティユーザーグループを使用することができます。 グループを割り当てる前に、ユーザーに与えられるアクセス権が、そのユーザーに必要かどうかを確認してください。

参照

関連アプリケーションのプロパティを更新する方法
資格情報データベースを更新する方法
ユーザー マッピングの管理
Enterprise Single Sign-On の基本