閱讀英文

共用方式為


SSO 使用者群組

若要設定及管理「企業單一登入」(SSO) 系統,您必須為其中每個角色建立 Windows 群組與帳戶。 設定企業 SSO 中的存取帳戶時,您可以為其中每個角色指定多個帳戶。 本節描述這些角色。

重要

強烈建議您在設定 SSO 時使用網域群組。

注意

基於安全起見,SSO 系統不允許使用內建帳戶。

單一登入系統管理員

SSO 系統管理員擁有 SSO 系統中最高層級的使用者權限。 他們可以:

  • 建立及管理 SSO 資料庫

  • 建立及管理主要密碼

  • 啟用及停用 SSO 系統。

  • 建立密碼同步配接器

  • 啟用及停用 SSO 系統中的密碼同步

  • 啟用及停用主控件初始化的 SSO

  • 執行所有管理工作

    SSO 系統管理員帳戶可以是 Windows 群組或個人帳戶。 SSO 系統管理員帳戶也可以是網域或本機群組,或是個人帳戶。 若使用個人帳戶,您無法將此帳戶改為另一個個人帳戶。 因此,建議您不要使用個人帳戶。 只要原始帳戶是新帳戶的成員,您就可以將此帳戶改為群組帳戶。

重要

執行「企業單一登入」服務的服務帳戶需為此帳戶的成員。 為保護環境的安全,請確定沒有其他服務正在使用同一個服務帳戶。

單一登入分支機構管理員

SSO 分支機構系統管理員定義 SSO 系統所包含的分支機構應用程式。 分支機構應用程式是一種邏輯實體,其代表您使用 SSO 連線的後端系統。 SSO 分支機構系統管理員可以:

  • 建立、管理及刪除分支機構應用程式

  • 指定每個分支機構應用程式的應用程式系統管理員帳戶

  • 執行應用程式系統管理員與應用程式使用者可執行的所有管理工作

    SSO 分支機構應用程式帳戶可以是 Windows 群組或個人帳戶。 SSO 分支機構系統管理員帳戶也可以是網域或本機群組或帳戶。

應用程式系統管理員

每個分支機構應用程式都有一個應用程式系統管理員群組。

此群組的成員可以:

  • 變更應用程式使用者群組帳戶

  • 建立、刪除及管理特定分支機構應用程式所有使用者的認證對應

  • 為特定分支機構應用程式使用者群組帳戶中的任何使用者設定認證

  • 執行應用程式使用者可執行的所有管理工作

應用程式使用者

每個分支機構應用程式都有一個應用程式使用者群組帳戶。 此帳戶包含「企業單一登入」環境中一般使用者的清單。 此帳戶的成員可以:

  • 在分支機構應用程式中尋查自己的認證

  • 在分支機構應用程式中管理自己的認證對應

注意

指派群組時記得保持警戒。 例如,可以在 SSO 應用程式使用者群組中使用 BizTalk Server 安全性使用者群組。 在這麼做之前,請確定是否所有使用者都需要他們即將可用的所有存取權。

另請參閱

如何更新聯盟應用程式的屬性
如何更新 SSO 資料庫
管理使用者對應
了解 SSO