SSO 對應
當企業單一 Sign-On (SSO) 系統管理員或 SSO 聯盟管理員定義聯盟應用程式時,系統管理員可以將它定義為使用個別對應的應用程式,或是使用群組對應的應用程式。
個別對應
SSO 個別對應可以讓系統管理員和使用者在 Windows 使用者與其對應的非 Windows 認證之間建立一對一的對應。 使用個別對應時,使用者可以管理自己的對應。 SSO 系統為使用者的 Windows 帳戶與使用者的非 Windows 帳戶維護一對一的關係。
Windows 終端使用者可以針對個別類型應用程式建立和管理自己的對應。 相同的聯盟應用程式可以做為 Windows 起始的 SSO 和主機起始的 SSO 類型應用程式。
重要
只能為 Windows 網域帳戶建立對應。 無法對應本機帳戶。
注意
使用個別對應時,只有個別使用者可以取得其個別帳戶的認證。
群組對應
SSO 群組對應是由 Windows 群組 (包含多個 Windows 使用者) 對應到分支機構應用程式中的單一帳戶所組成。
您也可以為「SSO 應用程式使用者」角色指定多個帳戶。 您指定的每個帳戶都可以與一個外部帳戶關聯。
例如,您可以將網域使用者 (domain\userA) 對應到一組外部認證 (ExternalUser1)。 同一個 domain\userA 可能也是網域群組 (domain\group1) 的成員,而且此群組可能已對應到另一組不同的外部認證 (ExternalUser2)。 在這種情況下,系統管理員 (必須擁有應用程式系統管理員或更高權限) 必須為應用程式使用者帳戶指定正確的排序。
呼叫者為其成員的第一個帳戶 (在排序中) 的對應就是所要使用的第一個對應。 在這個案例中,如果 domain\userA 對 ExternalUser1 的對應設定為「排序 0」,SSO 就會為 domain\UserA 傳回這一組認證。
只有應用程式系統管理員、SSO 分支機構系統管理員或 SSO 系統管理員可以建立群組對應。
您不能為 Windows 初始化的 SSO 與主控件初始化的 SSO 指定相同的群組應用程式。
重要
只能為 Windows 網域帳戶建立對應。 無法對應本機帳戶。
重要
當您使用群組對應時,群組的成員可以取得群組對應的認證資訊。