连接到 Microsoft AD 目录
通过 Amazon IAM Identity Center,您可以使用 Amazon Directory Service 连接 Active Directory (AD) 中的自行管理目录或 Amazon Managed Microsoft AD 中的目录。此 Microsoft AD 目录定义了管理员在使用 IAM Identity Center 控制台分配单点登录访问权限时可以从中提取的身份池。将您的公司目录连接到 IAM Identity Center 后,您可以授予您的 AD 用户或组对 Amazon Web Services 账户、应用程序或两者的访问权限。
Amazon Directory Service 可帮助您设置和运行 Amazon 云中托管的独立 Amazon Managed Microsoft AD 目录。您还可以使用 Amazon Directory Service 将您的 Amazon 资源与现有的自行管理 AD 连接起来。要配置 Amazon Directory Service 以与自行管理 AD 配合使用,您必须首先设置信任关系以将身份验证扩展到云。
IAM Identity Center 使用 Amazon Directory Service 提供的连接对源 AD 实例执行直通身份验证。当您使用 Amazon Managed Microsoft AD 作为身份源时,IAM Identity Center 可以与来自 Amazon Managed Microsoft AD 或通过 AD 信任连接的任何域的用户合作。如果您想要在四个或更多域中找到用户,则用户在登录 IAM Identity Center 时必须使用 DOMAIN\user
语法作为其用户名。
注意
-
作为先决步骤,请确保您的 AD Connector 或 Amazon Managed Microsoft AD 和 Amazon Directory Service 中的目录位于您的 Amazon Organizations 管理帐户中。有关更多信息,请参阅 确认 IAM Identity Center 中的身份源。
-
IAM Identity Center 不支持基于 SAMBA 4 的 Simple AD 作为连接目录。
使用 Active Directory 的注意事项
如果要使用 Active Directory 作为身份源,则您的配置必须满足以下先决条件:
-
如果您正在使用 Amazon Managed Microsoft AD,则必须在设置 Amazon Managed Microsoft AD 目录的同一 Amazon Web Services 区域 中启用 IAM Identity Center。IAM Identity Center 会将分配数据存储在与目录相同的区域中。要管理 IAM Identity Center,您可能需要切换到配置 IAM Identity Center 的区域。此外,请注意,Amazon Web Services 访问门户使用与该目录相同的访问 URL。
-
使用驻留在管理帐户中的 Active Directory:
您必须在 Amazon Directory Service 中设置现有 AD Connector 或 Amazon Managed Microsoft AD 目录,并且该目录必须位于您的 Amazon Organizations 管理帐户内。一次只能在 Amazon Managed Microsoft AD 连接一个 AD Connector 目录或一个目录。如果您需要支持多个域或林,请使用 Amazon Managed Microsoft AD。有关更多信息,请参阅:
-
使用驻留在委托管理员帐户中的 Active Directory:
如果您计划启用 IAM Identity Center 委托管理员并使用 Active Directory 作为您的 IAM Identity Center 身份源,则可以使用现有 AD Connector 或 Amazon Managed Microsoft AD 目录,在驻留于委托管理员帐户内的 Amazon 目录中设置此目录。
如果您决定将 IAM Identity Center 身份源从任何其他源更改为 Active Directory,或者将其从 Active Directory 更改为任何其他源,则该目录必须驻留在 IAM Identity Center 委托管理员成员帐户(如果存在)中(归该帐户所有);否则,它必须位于管理帐户中。
当用户来自 Active Directory 时进行预置
IAM Identity Center 使用 Amazon Directory Service 提供的连接将用户、组和成员资格信息从 Active Directory 中的源目录同步到 IAM Identity Center 身份存储。密码信息不会同步到 IAM Identity Center,因为用户身份验证直接通过 Active Directory 中的源目录进行。应用程序可使用此身份数据推进应用程序内的查找、授权和协作场景,无需将 LDAP 活动传递回 Active Directory 中的源目录。
有关预置的更多信息,请参阅 用户和组预调配。