Enterprise 단일 Sign-On 사용자 그룹
Enterprise SSO(Single Sign-On) 시스템을 구성 및 관리하려면 이러한 각 역할에 대해 특정 Windows 그룹 및 계정을 만들어야 합니다. Enterprise SSO에서 액세스 계정을 구성할 때는 이러한 각 역할에 대해 여러 계정을 지정할 수 있습니다. 이 섹션에서는 이러한 역할에 대해 설명합니다.
중요
SSO를 구성할 때는 도메인 그룹을 사용하는 것이 좋습니다.
참고
보안을 위해 SSO 시스템은 기본 제공 계정을 허용하지 않습니다.
Single Sign-On 관리자
SSO 관리자는 SSO 시스템에서 가장 높은 수준의 사용자 권한을 가지며 다음을 수행할 수 있습니다.
자격 증명 데이터베이스를 만들고 관리합니다.
master 비밀을 만들고 관리합니다.
SSO 시스템을 사용하도록 설정하고 사용하지 않도록 설정합니다.
암호 동기화 어댑터를 만듭니다.
SSO 시스템에서 암호 동기화를 사용하도록 설정하고 사용하지 않도록 설정합니다.
호스트 시작 SSO를 사용하도록 설정하고 사용하지 않도록 설정합니다.
모든 관리 작업을 수행합니다.
SSO 관리자 계정은 Windows 그룹 계정일 수도 있고 개별 계정일 수도 있습니다. 또한 SSO 관리자 계정은 도메인 또는 로컬 그룹일 수도 있고 개별 계정일 수도 있습니다. 개별 계정을 사용하는 경우 다른 개별 계정으로 변경할 수 없습니다. 개별 계정을 사용하지 않는 것이 좋습니다. 원래 계정이 새 그룹의 구성원인 경우 이 계정을 그룹 계정으로 변경할 수 있습니다.
중요
Enterprise Single Sign-On 서비스를 실행하는 서비스 계정은 이 그룹의 구성원이어야 합니다. 환경을 보호하려면 다른 서비스가 동일한 서비스 계정을 사용하지 않는지 확인합니다.
Single Sign-On 관련 관리자
SSO 관련 관리자는 SSO 시스템에 포함된 관련 응용 프로그램을 정의합니다. 관련 응용 프로그램은 SSO를 사용하여 연결하는 백 엔드 시스템을 나타내는 논리적 엔터티입니다. SSO 관련 관리자는 다음을 수행할 수 있습니다.
관련 애플리케이션을 만들고 관리합니다.
각 관련 애플리케이션에 대한 애플리케이션 관리자 계정을 지정합니다.
애플리케이션 관리자 및 애플리케이션 사용자가 할 수 있는 모든 관리 작업을 수행합니다.
SSO 관련 관리자 계정은 Windows 그룹 계정일 수도 있고 개별 계정일 수도 있습니다. 또한 SSO 관련 관리자는 도메인 또는 로컬 그룹이나 계정일 수도 있습니다.
애플리케이션 관리자
관련 응용 프로그램당 한 명의 응용 프로그램 관리자가 있습니다.
이 그룹의 구성원은 다음을 수행할 수 있습니다.
애플리케이션 사용자 그룹 계정을 변경합니다.
특정 제휴 애플리케이션의 모든 사용자에 대한 자격 증명 매핑을 만들고, 삭제하고, 관리합니다.
특정 관련 애플리케이션 사용자 그룹 계정의 모든 사용자에 대한 자격 증명을 설정합니다.
애플리케이션 사용자가 할 수 있는 모든 관리 작업을 수행합니다.
애플리케이션 사용자
각 관련 응용 프로그램에 대해 하나의 응용 프로그램 사용자 그룹 계정이 있습니다. 이 그룹에는 Enterprise SSO 환경의 최종 사용자 목록이 포함되어 있습니다. 이 그룹의 구성원은 다음을 수행할 수 있습니다.
관련 애플리케이션에서 자격 증명을 조회합니다.
관련 애플리케이션에서 자격 증명 매핑을 관리합니다.
참고
그룹을 할당할 때는 주의해야 합니다. 예를 들어 SSO 애플리케이션 사용자 그룹에 호스트 통합 서버 보안 사용자 그룹을 사용할 수 있습니다. 이렇게 하려면 나중에 필요한 권한이 제공될 수 있도록 모든 사용자에게 필요한 모든 권한이 있는지 확인하십시오.
참고 항목
관련 애플리케이션의 속성을 업데이트하는 방법
자격 증명 데이터베이스를 업데이트하는 방법
사용자 매핑 관리
Enterprise Single Sign-On 기본 사항