本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
将 Active Directory 中的自建目录连接到IAM身份中心
您在 Active Directory (AD) 中自行管理的目录中的用户也可以通过单点登录访问 Amazon Web Services 账户 以及中的应用程序 Amazon Web Services 访问门户。要为这些用户配置单点登录访问,您可以执行以下任一操作:
-
创建双向信任关系 — 当在两者之间创建双向信任关系时 Amazon Managed Microsoft AD 还有 AD 中的自我管理目录,AD 中自我管理目录中的用户可以使用自己的公司凭据登录到各种 Amazon 服务和业务应用程序。单向信任不适用于IAM身份中心。
Amazon IAM Identity Center 需要双向信任,以便它有权从您的域中读取用户和群组信息,从而同步用户和群组元数据。IAMIdentity Center 在为权限集或应用程序分配访问权限时使用此元数据。应用程序还使用用户和组元数据进行协作,例如当您与其他用户或组共享仪表板时。来自的信任 Amazon Directory Service 对于 Microsoft Active Directory 到你的域名允许IAM身份中心信任你的域进行身份验证。相反方向的信任使得 Amazon 读取用户和群组元数据的权限。
有关设置双向信任的更多信息,请参阅《何时创建信任关系》Amazon Directory Service 管理指南。
注意
为了使用 Amazon 应用程序,例如要读取的IAM身份中心 Amazon Directory Service 来自可信域的目录用户, Amazon Directory Service 账户需要对可信用户拥有该 userAccountControl 属性的权限。如果没有此属性的读取权限, Amazon 应用程序无法确定该帐户是启用还是禁用。
创建信任时,默认情况下会提供对该属性的读取权限。如果您拒绝访问此属性(不推荐),则会使像 Identity Center 这样的应用程序无法读取可信用户。解决方案是专门允许对上
userAccountControl属性的读取权限 Amazon 下方的服务账户 Amazon 保留 OU(前缀为 Amazon_). -
创建 AD Connector——AD Connector 是一个目录网关,可以将目录请求重定向到您的自行管理 AD,而无需在云中缓存任何信息。有关更多信息,请参阅《Connect to a Directory》中的 Amazon Directory Service 管理指南。以下是使用 AD Connector 时的注意事项:
-
如果您要将 Ident IAM ity Center 连接到 AD Connector 目录,则将来的任何用户密码重置都必须在 AD 内完成。这意味着用户将无法从中重置密码 Amazon Web Services 访问门户。
-
如果您使用 AD Connector 将 Active Directory 域服务连接到IAMIAM身份中心,则身份中心只能访问 AD Connector 所连接的单个域中的用户和群组。如果您需要支持多个域或林,请使用 Amazon Directory Service 适用于 Microsoft 活动目录。
注意
IAMIdentity Center 不适用于SAMBA4基于的 Simple AD 目录。
-