本文属于机器翻译版本。若本译文内容与英语原文存在差异，则一律以英文原文为准。

# 可配置 AD 同步的工作原理


IAM Identity Center 使用以下过程刷新身份存储中基于 AD 的身份数据。要了解有关先决条件的更多信息，请参阅 [先决条件和注意事项](provision-users-from-ad-configurable-ADsync.md#prerequisites-configurable-ADsync)。

## 创建


将 Active Directory 中的自我管理 Amazon Managed Microsoft AD 目录或由管理的目录连接 Amazon Directory Service 到 IAM 身份中心后，您可以显式配置要同步到 IAM 身份中心身份存储中的 Active Directory 用户和群组。您选择的身份将每三个小时左右同步到 IAM Identity Center 身份存储中。根据目录的大小，同步过程可能需要更长的时间。

作为其他组成员的组（称为*嵌套组*或*子组*）也会写入身份存储。

您只能在新用户或组同步到 IAM Identity Center 身份存储后为其分配访问权限。

## 更新


通过定期从 Active Directory 中的源目录读取数据，IAM Identity Center 身份存储中的身份数据保持最新。IAM Identity Center 默认会在同步周期内每小时同步来自 Active Directory 的数据。根据 Active Directory 的大小，数据可能需要 30 分钟到 2 小时才能同步到 IAM Identity Center。

同步范围内的用户和组对象及其成员身份在 IAM Identity Center 中创建或更新，以映射到 Active Directory 源目录中的相应对象。对于用户属性，仅在 IAM Identity Center 控制台的**访问控制属性**部分中列出的属性子集会在 IAM Identity Center 中更新。您在 Active Directory 中所做的任何属性更新，可能需要一个同步周期才能反映在 IAM Identity Center 中。

您还可以更新同步到 IAM Identity Center 身份存储中的用户和组子集。您可以选择将新用户或组添加到此子集中，或将其删除。您添加的任何身份都会在下一次计划的同步时同步。您从子集中删除的身份将停止在 IAM Identity Center 身份存储中更新。超过 28 天未同步的任何用户都将在 IAM Identity Center 身份存储中被禁用。在下一个同步周期期间，相应的用户对象将在 IAM Identity Center 身份存储中自动禁用，除非它们属于仍属于同步范围的另一个组的一部分。

## 删除


当从 Active Directory 中的源目录中删除相应的用户或组对象时，用户和组将从 IAM Identity Center 身份存储中删除。或者，您可以使用 IAM Identity Center 控制台从 IAM Identity Center 身份存储中明确删除用户对象。如果您使用 IAM Identity Center 控制台，您还必须从同步范围中删除用户，以确保他们在下一个同步周期内不会重新同步回 IAM Identity Center。

您还可以随时暂停和恢复同步。如果您暂停同步的时间超过 28 天，则所有用户都将被禁用。