连接到 Microsoft AD 目录 - Amazon IAM Identity Center
使用 Active Directory 的注意事项当用户来自 Active Directory 时进行预置
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅 中国的 Amazon Web Services 服务入门 (PDF)

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

连接到 Microsoft AD 目录

使用 Amazon IAM Identity Center,您可以使用连接 Active Directory (AD) 中的自管理目录或中的 Amazon Managed Microsoft AD 目录。 Amazon Directory Service此 Microsoft AD 目录定义了管理员在使用 IAM Identity Center 控制台分配单点登录访问权限时可以从中提取的身份池。将您的公司目录连接到 IAM Identity Center 后,您可以向 AD 用户或群组授予对 Amazon Web Services 账户应用程序或两者的访问权限。

Amazon Directory Service 帮助您设置和运行 Amazon 云端托管的独立 Amazon Managed Microsoft AD 目录。您还可以使用 Amazon Directory Service 将您的 Amazon 资源与现有的自管理 AD 连接起来。 Amazon Directory Service 要配置为使用自管理 AD,必须先设置信任关系以将身份验证扩展到云端。

IAM Identity Center 使用提供的连接 Amazon Directory Service 对源 AD 实例执行直通身份验证。当您使用 Amazon Managed Microsoft AD 作为身份源时,IAM Identity Center 可以处理来自 Amazon Managed Microsoft AD 或来自通过 AD 信任连接的任何域的用户。如果您想要在四个或更多域中找到用户,则用户在登录 IAM Identity Center 时必须使用 DOMAIN\user 语法作为其用户名。

注意事项

  • 作为先决条件,请确保您的 AD Connector 或 Amazon Managed Microsoft AD 中的目录 Amazon Directory Service 位于您的 Amazon Organizations 管理账户中。有关更多信息,请参阅在 IAM 身份中心确认您的身份来源

  • IAM Identity Center 不支持基于 SAMBA 4 的 Simple AD 作为连接目录。

使用 Active Directory 的注意事项

如果要使用 Active Directory 作为身份源,则您的配置必须满足以下先决条件:

  • 如果您正在使用 Amazon Managed Microsoft AD,则必须在设置 Amazon Managed Microsoft AD 目录的同一 Amazon Web Services 区域 位置启用 IAM 身份中心。IAM Identity Center 会将分配数据存储在与目录相同的区域中。要管理 IAM Identity Center,您可能需要切换到配置 IAM Identity Center 的区域。另外,请注意, Amazon Web Services 访问门户使用的访问网址与您的目录相同。

  • 使用驻留在管理账户中的 Active Directory:

    您必须在中设置现有 AD Con Amazon Managed Microsoft AD nector 或目录 Amazon Directory Service,并且该目录必须位于您的 Amazon Organizations 管理账户中。一次只能连接一个 AD Connector Amazon Managed Microsoft AD 目录或一个目录。如果您需要支持多个域或林,请使用 Amazon Managed Microsoft AD。有关更多信息,请参阅:

  • 使用驻留在委托管理员账户中的 Active Directory:

    如果您计划启用 IAM Identity Center 委托管理员并使用 Active Directory 作为您的 IAM 身份中心身份源,则可以使用位于委托管理员账户中的现有 AD Connector 或 Amazon Managed Microsoft AD Amazon 目录中设置的目录。

    如果您决定将 IAM Identity Center 身份源从任何其他源更改为 Active Directory,或者将其从 Active Directory 更改为任何其他源,则该目录必须驻留在 IAM Identity Center 委托管理员成员账户(如果存在)中(归该账户所有);否则,它必须位于管理账户中。

当用户来自 Active Directory 时进行预置

IAM Identity Center 使用提供的连接将用户、群组和成员资格信息从 Active Directory 中的源目录同步到 IAM 身份中心身份存储。 Amazon Directory Service 密码信息不会同步到 IAM Identity Center,因为用户身份验证直接通过 Active Directory 中的源目录进行。应用程序可使用此身份数据推进应用程序内的查找、授权和协作场景,无需将 LDAP 活动传递回 Active Directory 中的源目录。

有关预置的更多信息,请参阅 用户和组预调配

主题