Grupos de usuarios de inicio de sesión únicoSSO User Groups

Para configurar y administrar el sistema de inicio de sesión único (SSO) empresarial, debe crear ciertas cuentas y grupos de Windows para cada uno de estos roles.To configure and manage the Enterprise Single Sign-On (SSO) system, you must create certain Windows groups and accounts for each of these roles. Al configurar las cuentas de acceso en SSO empresarial, puede especificar más de una cuenta para cada uno de estos roles.When configuring the access accounts in Enterprise SSO, you can specify more than one account for each of these roles. En esta sección se describe estos roles.This section describes these roles.

Importante

Se recomienda encarecidamente utilizar grupos de dominio al configurar el inicio de sesión único.It is strongly recommended that you use domain groups when configuring SSO.

Nota

Por motivos de seguridad, el sistema SSO no permite las cuentas integradas.For security purposes, the SSO system does not allow built-in accounts.

Administradores de inicio de sesión únicosSingle Sign-On Administrators

Los administradores SSO tienen los derechos de usuario de nivel más altos en el sistema SSO.SSO administrators have the highest level user rights in the SSO system. Puede:They can:

  • Crear y administrar la base de datos SSOCreate and manage the SSO database

  • Crear y administrar el secreto principalCreate and manage the master secret

  • Habilitar y deshabilitar el sistema de SSOEnable and disable the SSO system

  • Crear adaptadores de sincronización de contraseñaCreate password synchronization adapters

  • Habilitar y deshabilitar la sincronización de contraseñas en el sistema de SSOEnable and disable password synchronization in the SSO system

  • Habilitar y deshabilitar SSO iniciado por hostEnable and disable host initiated SSO

  • Realizar todas las tareas de administraciónPerform all administration tasks

    La cuenta de administradores SSO puede ser una cuenta de grupo de Windows o una cuenta individual.The SSO administrators account can be either a Windows group account or an individual account. La cuenta de administradores SSO también puede ser un dominio o grupo local o cuenta individual.The SSO administrators account can also be either a domain or local group or individual account. Cuando se usa una cuenta individual, no se puede cambiar esta cuenta a otra cuenta individual.When using an individual account, you cannot change this account to another individual account. Por lo tanto, se recomienda que no utilicen una cuenta individual.Therefore, it is recommended that you do not use an individual account. Puede cambiar esta cuenta a una cuenta de grupo siempre que la cuenta original sea miembro de la nueva cuenta.You can change this account to a group account as long as the original account is a member of the new account.

Importante

La cuenta de servicio que ejecuta el servicio Enterprise Single Sign-On debe ser un miembro de esta cuenta.The service account running the Enterprise Single Sign-On service must be a member of this account. Para proteger su entorno, asegúrese de que ningún otro servicio que utilice la misma cuenta de servicio.To secure your environment, ensure that no other service is using the same service account.

Administradores afiliados de inicio de sesión únicoSingle Sign-On Affiliate Administrators

El administrador afiliado de SSO define las aplicaciones afiliadas que contiene el sistema SSO.The SSO affiliate administrator defines the affiliate applications that the SSO system contains. Las aplicaciones afiliadas son entidades lógicas que representa el sistema back-end a la que se conecta mediante SSO.Affiliate applications are a logical entity that represents the back-end system to which you are connecting using SSO. Los administradores afiliados de SSO:SSO affiliate administrators can:

  • Crear, administrar y eliminar aplicaciones afiliadas.Create, manage, and delete affiliate applications

  • Especifique la cuenta de administradores de aplicación para cada aplicación afiliadaSpecify the application administrators account for each affiliate application

  • Realizar todas las tareas de administración que los administradores de aplicación y los usuarios de la aplicación puedePerform all the administration tasks that the application administrators and application users can

    La cuenta de administradores afiliados de SSO puede ser una cuenta de grupo de Windows o una cuenta individual.The SSO Affiliate Administrator account can be either a Windows group account or an individual account. La cuenta de administradores afiliados de SSO también puede ser un dominio o grupo local o cuenta.The SSO Affiliate Administrator account can also be either a domain or local group or account.

Administradores de aplicacionesApplication Administrators

Hay un grupo de administradores de aplicación por cada aplicación afiliada.There is one application administrators group per affiliate application.

Los miembros de este grupo pueden:Members of this group can:

  • Cambiar la cuenta de grupo de usuarios de aplicaciónChange the application users group account

  • Crear, eliminar y administrar asignaciones de credenciales para todos los usuarios de la aplicación afiliada concreta.Create, delete, and manage credential mappings for all users of the specific affiliate application

  • Establecer credenciales para cualquier usuario en que la cuenta de grupo de usuarios de la aplicación afiliada concreta.Set credentials for any user in that specific affiliate application users group account

  • Realizar todas las tareas de administración que pueden los usuarios de aplicaciónPerform all the administration tasks that the application users can

Usuarios de aplicaciónApplication Users

Hay una cuenta de grupo de usuarios de aplicación para cada aplicación afiliada.There is one application users group account for each affiliate application. Esta cuenta contiene la lista de los usuarios finales en un entorno de Enterprise Single Sign-On.This account contains the list of end users in an Enterprise Single Sign-On environment. Los miembros de esta cuenta pueden:Members of this account can:

  • Buscar sus credenciales en la aplicación afiliadaLook up their credentials in the affiliate application

  • Administrar sus asignaciones de credenciales en la aplicación afiliadaManage their credential mappings in the affiliate application

Nota

Tenga cuidado al asignar a grupos a.Remember to be vigilant when assigning groups. Por ejemplo, es posible, utilice un grupo de usuarios de seguridad de BizTalk Server para el grupo de usuarios de aplicación de inicio de sesión único.It is possible, for example, to use a BizTalk Server security user group for the SSO application users group. Antes de hacerlo, asegúrese de que todos los usuarios necesitan tener acceso todos los que estará disponible para ellos.Before you do this, be certain that all users need all access that will then be available to them.

Vea tambiénSee Also

Cómo actualizar las propiedades de una aplicación afiliada How to Update the Properties of an Affiliate Application
Cómo actualizar la base de datos SSO How to Update the SSO Database
Administrar asignaciones de usuario Managing User Mappings
Descripción de SSOUnderstanding SSO