エンタープライズ シングル Sign-On ユーザー グループ
エンタープライズ シングル サインオン (SSO) システムを構成および管理するには、ロールごとに特定の Windows グループとアカウントを作成する必要があります。 エンタープライズ SSO でアクセス アカウントを構成する際には、各ロールに複数のアカウントを指定することができます。 このセクションでは、各ロールについて説明します。
重要
SSO を構成する際には、ドメイン グループを使用することを強くお勧めします。
Note
セキュリティ上の理由から、SSO システムでは組み込みのアカウントは許可されません。
シングル サインオン管理者
SSO 管理者には、SSO システムで最高レベルのユーザー権利が与えられています。 次の操作を実行できます。
資格情報データベースを作成して管理します。
マスター シークレットを作成して管理します。
SSO システムを有効または無効にします。
パスワード同期アダプターを作成します。
SSO システムでパスワード同期を有効または無効にします。
ホストによって開始される SSO を有効または無効にします。
すべての管理タスクを実行します。
SSO 管理者アカウントには、Windows グループ アカウントまたは個々のアカウントを指定できます。 また、ドメインまたはローカルのグループや単独アカウントのいずれかを指定することもできます。 個々のアカウントを使用する場合、別の個別アカウントに変更することはできません。 そのため、単独アカウントは使用しないことをお勧めします。 元のアカウントが新しいグループのメンバーである限り、このアカウントをグループ アカウントに変更できます。
重要
Enterprise Single Sign-On サービスを実行するサービス アカウントは、このグループのメンバーである必要があります。 環境をセキュリティで保護するには、同じサービス アカウントを使用しているサービスが他にないことを確認します。
シングル サインオン関連管理者
SSO 関連管理者は、SSO システムに含まれる関連アプリケーションを定義します。 関連アプリケーションとは、SSO を使用して接続するバックエンド システムを表す論理エンティティのことです。 SSO 関連管理者は、次の操作を行うことができます。
関連アプリケーションを作成および管理します。
各関連アプリケーションのアプリケーション管理者アカウントを指定します。
アプリケーション管理者とアプリケーション ユーザーが実行できるすべての管理タスクを実行します。
SSO 関連管理者アカウントには、Windows グループ アカウントまたは単独アカウントのいずれかを指定できます。 また、ドメインまたはローカルのグループやアカウントのいずれかを指定することもできます。
アプリケーション管理者
アプリケーション管理者グループは、関連アプリケーションごとに 1 つ存在します。
このグループのメンバーは、次の操作を実行できます。
アプリケーション ユーザー グループ アカウントを変更します。
特定の関連アプリケーションのすべてのユーザーの資格情報マッピングを作成、削除、および管理します。
その特定の関連アプリケーション ユーザー グループ アカウント内の任意のユーザーの資格情報を設定します。
アプリケーション ユーザーが実行できるすべての管理タスクを実行します。
アプリケーション ユーザー
アプリケーション ユーザー グループは、関連アプリケーションごとに 1 つ存在します。 このグループには、Enterprise SSO 環境のエンド ユーザーの一覧が含まれています。 このグループのメンバーは、次の操作を実行できます。
関連アプリケーションで資格情報を検索します。
関連アプリケーションで資格情報マッピングを管理します。
Note
グループを割り当てる際には注意する必要があります。 たとえば、SSO アプリケーション ユーザー グループに Host Integration Server セキュリティ ユーザー グループを使用できます。 グループを割り当てる前に、ユーザーに与えられるアクセス権が、そのユーザーに必要かどうかを確認してください。
参照
関連アプリケーションのプロパティを更新する方法
資格情報データベースを更新する方法
ユーザー マッピングの管理
Enterprise Single Sign-On の基本