本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
将 Active Directory 中的自行管理目录连接到 IAM Identity Center
Active Directory (AD) 自托管式目录中的用户还可以对 Amazon Web Services 账户 和访问门户中的应用程序进行单点登录 Amazon Web Services 访问。要为这些用户配置单点登录访问,您可以执行以下任一操作:
-
创建双向信任关系 ——当 Amazon Managed Microsoft AD 和 AD 中的自行管理目录之间创建双向信任关系时,AD 中自行管理目录中的用户可以使用其公司凭证登录各种 Amazon 服务和业务应用程序。单向信任不适用于 IAM Identity Center。
Amazon IAM Identity Center 需要双向信任,以便它有权从您的域读取用户和组信息以同步用户和组元数据。IAM Identity Center 在分配对权限集或应用程序的访问权限时使用此元数据。应用程序还使用用户和组元数据进行协作,例如当您与其他用户或组共享仪表板时。Microsoft Active Directory 对您的域的信任允许 IAM Identity Center 信任您的域进行身份验证 Amazon Directory Service 相反方向的信任授予读取用户和组元数据的 Amazon 权限。
有关设置双向信任的详细信息,请参阅 Amazon Directory Service 管理指南中的何时创建信任关系。
注意
为了使用 IAM Identity Center 等 Amazon 应用程序读取来自可信域的 Amazon Directory Service 目录用户, Amazon Directory Service 账户需要拥有对可信用户 userAccountControl属性的权限。如果没有此属性的读取权限, Amazon 应用程序就无法确定是启用还是禁用了该账户。
创建信任时,默认会提供对该属性的读取权限。如果您拒绝对此属性的访问权限(不推荐),会让 Identity Center 等应用程序无法读取可信用户。解决方案是专门提供对预 Amazon 留 OU(前缀为 Amazon_)下 Amazon 服务账户
userAccountControl属性的读取权限。 -
创建 AD Connector——AD Connector 是一个目录网关,可以将目录请求重定向到您的自行管理 AD,而无需在云中缓存任何信息。有关详细信息,请参阅 Amazon Directory Service 管理指南中的连接到目录。以下是配置 AD Connector 策略时的注意事项:
-
如果您将 IAM Identity Center 连接到 AD Connector 目录,则任何未来的用户密码重置都必须在 AD 内完成。这意味着用户将无法从 Amazon Web Services 访问门户重置其密码。
-
如果您使用 AD Connector 将 Active Directory 域服务连接到 IAM Identity Center,则 IAM Identity Center 仅有权访问 AD Connector 附加到的单个域的用户和组。如果您需要支持多个域或林,请对 Microsoft Active Directory 使用 Amazon Directory Service 。
注意
IAM Identity Center 不适用于 SAMBA4基于 Simple AD 的目录。
-