SSO 用户组
若要配置和管理企业单 Sign-On (SSO) 系统,必须为每个角色创建特定的 Windows 组和帐户。 在企业 SSO 中配置访问帐户时,可以为每个角色指定多个帐户。 本部分介绍这些角色。
重要
强烈建议在配置 SSO 时使用域组。
备注
出于安全考虑,SSO 系统不允许内置帐户。
SSO 管理员在 SSO 系统中具有最高级别的用户权限。 他们可以:
创建和管理 SSO 数据库
创建和管理主机密
启用和禁用 SSO 系统
创建密码同步适配器
在 SSO 系统中启用和禁用密码同步
启用和禁用主机发起的 SSO
执行所有管理任务
SSO 管理员帐户可以是 Windows 组帐户,也可以是个人帐户。 SSO 管理员帐户也可以是域、本地组或个人帐户。 使用个人帐户时,不能将此帐户更改为其他个人帐户。 因此,建议不要使用个人帐户。 只要原始帐户是新帐户的成员,就可以将此帐户更改为组帐户。
重要
运行企业单一 Sign-On 服务的服务帐户必须是此帐户的成员。 若要保护环境,请确保没有其他服务使用相同的服务帐户。
SSO 关联管理员定义 SSO 系统包含的关联应用程序。 关联应用程序是一个逻辑实体,表示使用 SSO 连接到的后端系统。 SSO 关联管理员可以:
创建、管理和删除关联应用程序
为每个关联应用程序指定应用程序管理员帐户
执行应用程序管理员和应用程序用户可以执行的所有管理任务
SSO 关联管理员帐户可以是 Windows 组帐户,也可以是个人帐户。 SSO 关联管理员帐户也可以是域、本地组或帐户。
每个关联应用程序都有一个应用程序管理员组。
此组的成员可以:
更改应用程序用户组帐户
为特定关联应用程序的所有用户创建、删除和管理凭据映射
为该特定关联应用程序用户组帐户中的任何用户设置凭据
执行应用程序用户可以执行的所有管理任务
每个关联应用程序都有一个应用程序用户组帐户。 此帐户包含企业单一 Sign-On 环境中的最终用户列表。 此帐户的成员可以:
在关联应用程序中查找其凭据
在关联应用程序中管理其凭据映射
备注
请记得在分配组时保持警惕。 例如,可以将 BizTalk Server 安全用户组用于 SSO 应用程序用户组。 执行此操作之前,请确保所有用户都需要所有访问权限,然后可供他们访问。