使用英语阅读

通过


SSO 用户组

若要配置和管理企业单 Sign-On (SSO) 系统,必须为每个角色创建特定的 Windows 组和帐户。 在企业 SSO 中配置访问帐户时,可以为每个角色指定多个帐户。 本部分介绍这些角色。

重要

强烈建议在配置 SSO 时使用域组。

备注

出于安全考虑,SSO 系统不允许内置帐户。

单 Sign-On 管理员

SSO 管理员在 SSO 系统中具有最高级别的用户权限。 他们可以:

  • 创建和管理 SSO 数据库

  • 创建和管理主机密

  • 启用和禁用 SSO 系统

  • 创建密码同步适配器

  • 在 SSO 系统中启用和禁用密码同步

  • 启用和禁用主机发起的 SSO

  • 执行所有管理任务

    SSO 管理员帐户可以是 Windows 组帐户,也可以是个人帐户。 SSO 管理员帐户也可以是域、本地组或个人帐户。 使用个人帐户时,不能将此帐户更改为其他个人帐户。 因此,建议不要使用个人帐户。 只要原始帐户是新帐户的成员,就可以将此帐户更改为组帐户。

重要

运行企业单一 Sign-On 服务的服务帐户必须是此帐户的成员。 若要保护环境,请确保没有其他服务使用相同的服务帐户。

单 Sign-On 关联管理员

SSO 关联管理员定义 SSO 系统包含的关联应用程序。 关联应用程序是一个逻辑实体,表示使用 SSO 连接到的后端系统。 SSO 关联管理员可以:

  • 创建、管理和删除关联应用程序

  • 为每个关联应用程序指定应用程序管理员帐户

  • 执行应用程序管理员和应用程序用户可以执行的所有管理任务

    SSO 关联管理员帐户可以是 Windows 组帐户,也可以是个人帐户。 SSO 关联管理员帐户也可以是域、本地组或帐户。

应用程序管理员

每个关联应用程序都有一个应用程序管理员组。

此组的成员可以:

  • 更改应用程序用户组帐户

  • 为特定关联应用程序的所有用户创建、删除和管理凭据映射

  • 为该特定关联应用程序用户组帐户中的任何用户设置凭据

  • 执行应用程序用户可以执行的所有管理任务

应用程序用户

每个关联应用程序都有一个应用程序用户组帐户。 此帐户包含企业单一 Sign-On 环境中的最终用户列表。 此帐户的成员可以:

  • 在关联应用程序中查找其凭据

  • 在关联应用程序中管理其凭据映射

备注

请记得在分配组时保持警惕。 例如,可以将 BizTalk Server 安全用户组用于 SSO 应用程序用户组。 执行此操作之前,请确保所有用户都需要所有访问权限,然后可供他们访问。

另请参阅

如何更新关联应用程序的属性
如何更新 SSO 数据库
管理用户映射
了解 SSO