Enterprise Single Sign-On (SSO) システムを構成して管理するには、これらのロールごとに特定の Windows グループとアカウントを作成する必要があります。 Enterprise SSO でアクセス アカウントを構成する場合は、これらのロールごとに複数のアカウントを指定できます。 このセクションでは、これらのロールについて説明します。
Important
SSO を構成するときは、ドメイン グループを使用することを強くお勧めします。
注
セキュリティ上の理由から、SSO システムでは組み込みアカウントは許可されません。
シングルサインオン管理者
SSO 管理者は、SSO システムで最高レベルのユーザー権限を持ちます。 次の操作を実行できます。
資格情報データベースを作成して管理します。
マスター シークレットを作成して管理します。
SSO システムを有効または無効にします。
パスワード同期アダプターを作成します。
SSO システムでパスワード同期を有効または無効にします。
ホストによって開始される SSO を有効または無効にします。
すべての管理タスクを実行します。
SSO 管理者アカウントには、Windows グループ アカウントまたは個々のアカウントを指定できます。 SSO 管理者アカウントには、ドメインまたはローカル グループ、または個々のアカウントを指定することもできます。 個々のアカウントを使用する場合、別の個別アカウントに変更することはできません。 そのため、個々のアカウントは使用しないことをお勧めします。 元のアカウントが新しいグループのメンバーである限り、このアカウントをグループ アカウントに変更できます。
Important
Enterprise Single Sign-On サービスを実行するサービス アカウントは、このグループのメンバーである必要があります。 環境をセキュリティで保護するには、同じサービス アカウントを使用しているサービスが他にないことを確認します。
シングルサインオン関連管理者
SSO 関連管理者は、SSO システムに含まれる関連アプリケーションを定義します。 関連アプリケーションは、SSO を使用して接続するバックエンド システムを表す論理エンティティです。 SSO アフィリエイト管理者は、次の操作を行うことができます。
関連アプリケーションを作成および管理します。
各関連アプリケーションのアプリケーション管理者アカウントを指定します。
アプリケーション管理者とアプリケーション ユーザーが実行できるすべての管理タスクを実行します。
SSO アフィリエイト管理者アカウントには、Windows グループ アカウントまたは個々のアカウントのいずれかを指定できます。 SSO 関連管理者アカウントには、ドメインまたはローカル グループまたはアカウントを指定することもできます。
アプリケーション管理者
関連アプリケーションごとに 1 つのアプリケーション管理者グループがあります。
このグループのメンバーは、次の操作を行うことができます。
アプリケーション ユーザー グループ アカウントを変更します。
特定の関連アプリケーションのすべてのユーザーの資格情報マッピングを作成、削除、および管理します。
その特定の関連アプリケーション ユーザー グループ アカウント内の任意のユーザーの資格情報を設定します。
アプリケーション ユーザーが実行できるすべての管理タスクを実行します。
アプリケーション ユーザー
関連アプリケーションごとに 1 つのアプリケーション ユーザー グループ アカウントがあります。 このグループには、Enterprise SSO 環境のエンド ユーザーの一覧が含まれています。 このグループのメンバーは、次の操作を行うことができます。
関連アプリケーションで資格情報を検索します。
提携アプリケーションで資格情報マッピングを管理します。
注
グループを割り当てるときは、忘れずに注意してください。 たとえば、SSO アプリケーション ユーザー グループに Host Integration Server セキュリティ ユーザー グループを使用できます。 これを行う前に、すべてのユーザーが本当にすべてのアクセス権を必要としているかを確認してください。
こちらもご覧ください
関連アプリケーションのプロパティを更新する方法
資格情報データベースを更新する方法
ユーザー マッピングの管理
Enterprise Single Sign-On の基本