本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
IAM Identity Center 可配置 AD 同步
IAM Identity Center 可配置的 Active Directory (AD) 同步使您能够显式配置 Microsoft Active Directory 中的身份,这些身份会自动同步到 IAM Identity Center 并控制同步过程。
以下主题提供的信息使您能够配置和管理可配置的 AD 同步。
先决条件和注意事项
在使用可配置的 AD 同步之前,请注意以下先决条件和注意事项:
-
指定 Active Directory 中要同步的用户和组
在使用 IAM Identity Center 为新用户和群组分配 Amazon 托管应用程序或客户托管应用程序的访问权限之前,您必须在 Active Directory 中指定要同步的用户和群组,然后将其同步到 IAM Identity Center 中。 Amazon Web Services 账户
-
AD 同步——当您使用 IAM Identity Center 控制台或相关分配 API 操作为新用户和组进行分配时,IAM Identity Center 会直接在域控制器中搜索指定的用户或组,完成分配,然后定期同步用户或将元数据分组到 IAM Identity Center。
-
可配置的 AD 同步——IAM Identity Center 不会直接在域控制器中搜索用户和组。相反,您必须首先指定要同步的用户和组的列表。您可以通过以下方式之一配置此列表(也称为同步范围),具体取决于您的用户和组是否已同步到 IAM Identity Center,或者您有新用户和组是首次使用可配置的 AD 同步进行同步。
-
现有用户和组:如果您的用户和组已同步到 IAM Identity Center,则可配置 AD 同步中的同步范围将预先填充这些用户和组的列表。要分配新用户或组,您必须专门将它们添加到同步范围。有关更多信息,请参阅将用户和组添加到您的同步范围。
-
新用户和组:如果您想要为新用户和组分配对 Amazon Web Services 账户 和应用程序的访问权限,您必须在可配置的 AD 同步中指定要添加到同步范围的用户和组,然后才能使用 IAM Identity Center 进行分配。有关更多信息,请参阅将用户和组添加到您的同步范围。
-
-
-
分配到 Active Directory 中的嵌套组
属于其他群组成员的群组称为嵌套群组(或子群组)。当您向 Active Directory 中包含嵌套群组的群组分配任务时,分配的应用方式取决于您使用的是广告同步还是可配置的 AD 同步。
-
AD 同步 — 当您向 Active Directory 中包含嵌套群组的群组分配任务时,只有该群组的直接成员才能访问该帐户。例如,如果您将访问权限分配给组 A,而组 B 是组 A 的成员,则只有组 A 的直接成员可以访问该帐户。B 组的任何成员都不会继承访问权限。
-
可配置的 AD 同步 — 使用可配置的 AD 同步将任务分配给 Active Directory 中包含嵌套群组的群组,可能会扩大有权访问 Amazon Web Services 账户 或访问应用程序的用户范围。在这种情况下,分配适用于所有用户,包括嵌套组中的用户。例如,如果您向组 A 分配访问权限,而组 B 是组 A 的成员,则组 B 的成员也会继承此访问权限。
-
-
更新自动化工作流程
如果您有自动化工作流程,其使用 IAM Identity Center 身份存储 API 操作和 IAM Identity Center 分配 API 操作来分配新用户和组对账户和应用程序的访问权限并将其同步到 IAM Identity Center,您必须通过以下方式调整这些工作流程: 2022 年 4 月 15 日,以便它们通过可配置的 AD 同步按预期运行。可配置的 AD 同步可更改用户和组分配和预置发生的顺序以及执行查询的方式。
-
AD 同步——首先发生分配过程。您可以为用户和群组分配访问 Amazon Web Services 账户 和访问应用程序的权限。为用户和组分配访问权限后,它们会自动配置(同步到 IAM Identity Center)。如果您有自动化工作流程,这意味着当您将新用户添加到 Active Directory 时,您的自动化工作流程可以使用身份存储
ListUserAPI 操作查询 Active Directory 中的用户,然后使用 IAM Identity Center 分配用户访问权限 分配 API 操作。由于用户有分配,因此该用户会自动配置到 IAM Identity Center。 -
可配置的 AD 同步——首先进行预置,并且不会自动执行。相反,您必须首先通过将用户和组添加到同步范围来明确将用户和组添加到身份存储。有关自动执行同步配置以实现可配置 AD 同步的建议步骤的信息,请参阅 自动执行同步配置以实现可配置的 AD 同步。
-
可配置 AD 同步的工作原理
IAM Identity Center 使用以下过程刷新身份存储中基于 AD 的身份数据。
创建
将 Active Directory 中的自管 Amazon Managed Microsoft AD 目录或由管理的目录连接 Amazon Directory Service 到 IAM 身份中心后,您可以显式配置要同步到 IAM 身份中心身份存储中的 Active Directory 用户和群组。您选择的身份将每三个小时左右同步到 IAM Identity Center 身份存储中。根据目录的大小,同步过程可能需要更长的时间。
属于其他群组(称为嵌套群组或子群组)成员的群组也会被写入身份存储。当您向 Active Directory 中包含嵌套群组的群组分配任务时,分配的应用方式取决于您使用的是广告同步还是可配置的 AD 同步。有关更多信息,请参阅Making assignments to nested groups in Active Directory。
您只能在新用户或组同步到 IAM Identity Center 身份存储后为其分配访问权限。
更新
通过定期从 Active Directory 中的源目录读取数据,IAM Identity Center 身份存储中的身份数据保持最新。默认情况下,IAM Identity Center 会在同步周期内每小时同步来自您的活动目录的数据。根据您的 Active Directory 的大小,数据可能需要 30 分钟到 2 小时才能同步到 IAM 身份中心。
同步范围内的用户和组对象及其成员身份在 IAM Identity Center 中创建或更新,以映射到 Active Directory 源目录中的相应对象。对于用户属性,仅在 IAM Identity Center 控制台的访问控制属性部分中列出的属性子集会在 IAM Identity Center 中更新。您在 Active Directory 中所做的任何属性更新可能需要一个同步周期才能反映在 IAM 身份中心中。
您还可以更新同步到 IAM Identity Center 身份存储中的用户和组子集。您可以选择将新用户或组添加到此子集中,或将其删除。您添加的任何身份都会在下一次计划的同步时同步。您从子集中删除的身份将停止在 IAM Identity Center 身份存储中更新。超过 28 天未同步的任何用户都将在 IAM Identity Center 身份存储中被禁用。在下一个同步周期期间,相应的用户对象将在 IAM Identity Center 身份存储中自动禁用,除非它们属于仍属于同步范围的另一个组的一部分。
删除
当从 Active Directory 中的源目录中删除相应的用户或组对象时,用户和组将从 IAM Identity Center 身份存储中删除。或者,您可以使用 IAM Identity Center 控制台从 IAM Identity Center 身份存储中明确删除用户对象。如果您使用 IAM Identity Center 控制台,您还必须从同步范围中删除用户,以确保他们在下一个同步周期内不会重新同步回 IAM Identity Center。
您还可以随时暂停和恢复同步。如果您暂停同步的时间超过 28 天,则所有用户都将被禁用。
配置和管理您的同步范围
您可以通过以下任一方式配置同步范围:
-
指导式设置:如果您是首次将用户和组从 Active Directory 同步到 IAM Identity Center,请按照 引导式设置 中的步骤配置同步范围。完成引导式设置后,您可以随时按照本部分中的其他过程修改同步范围。
-
如果您已经有同步到 IAM Identity Center 的用户和组,或者您不想按照引导式设置进行操作,请选择管理同步。跳过引导式设置过程,根据需要按照本部分中的其他步骤配置和管理同步范围。
引导式设置
-
注意
在进入下一步之前,请确保 IAM Identity Center 控制台使用的是您的 Amazon Managed Microsoft AD 目录所在的控制台。 Amazon Web Services 区域
-
选择设置。
-
在页面顶部的通知消息中,选择启动引导式设置。
-
在步骤 1——可选:配置属性映射中,查看默认的用户和组属性映射。如果不需要更改,请选择下一步。如果需要更改,请进行更改,然后选择保存更改。
-
在步骤 2——可选:配置同步范围中,选择用户选项卡。然后,输入要添加到同步范围的用户的确切用户名,然后选择添加。接下来,选择 组 选项卡。输入要添加到同步范围的组的确切组名称,然后选择添加。然后选择下一步。如果您想稍后将用户和组添加到同步范围,请不进行任何更改并选择下一步。
-
在步骤 3:查看并保存配置中,确认步骤 1:属性映射中的属性映射以及步骤 2:同步范围中的用户和组。选择 Save configuration。这将带您进入管理同步页面。
将用户和组添加到您的同步范围
添加用户
-
选择设置。
-
在设置页面上,选择身份源选项卡,从中选择操作,然后选择管理同步。
-
在管理同步页面上,选择用户选项卡,然后选择添加用户和组。
-
在用户选项卡的用户下,输入确切的用户名并选择添加。
-
在已添加的用户和组下,查看要添加的用户。
-
选择提交。
-
在导航窗格中,选择用户。
-
在用户页面上,您指定的用户可能需要一些时间才会出现在列表中。选择刷新图标以更新用户列表。
添加组
-
选择设置。
-
在设置页面上,选择身份源选项卡,从中选择操作,然后选择管理同步。
-
在管理同步页面上,选择组选项卡,然后选择添加用户和组。
-
选择组选项卡。在组下,输入准确的组名称并选择添加。
-
在已添加的用户和组下,查看要添加的组。
-
选择提交。
-
在导航窗格中,选择 组。
-
在组页面上,您指定的组可能需要一些时间才会显示在列表中。选择刷新图标以更新组列表。
从同步范围中删除用户和组
有关从同步范围中删除用户和组时会发生什么情况的详细信息,请参阅 可配置 AD 同步的工作原理。
删除用户
-
选择设置。
-
在设置页面上,选择身份源选项卡,从中选择操作,然后选择管理同步。
-
选择用户选项卡。
-
在同步范围内的用户下,选中要删除的用户旁边的复选框。要删除所有用户,请选中用户名旁边的复选框。
-
选择移除。
移除群组
-
选择设置。
-
在设置页面上,选择身份源选项卡,从中选择操作,然后选择管理同步。
-
选择组选项卡。
-
在同步范围内的组下,选中要删除的用户旁边的复选框。要删除所有组,请选中组名称旁边的复选框。
-
选择移除。
暂停和恢复同步
暂停同步会暂停所有未来的同步周期,并防止您对 Active Directory 中的用户和组所做的任何更改反映在 IAM Identity Center 中。恢复同步后,同步周期将从下一次计划的同步中获取这些更改。
暂停同步
-
选择设置。
-
在设置页面上,选择身份源选项卡,从中选择操作,然后选择管理同步。
-
在管理同步下,选择暂停同步。
恢复同步
-
选择设置。
-
在设置页面上,选择身份源选项卡,从中选择操作,然后选择管理同步。
-
在管理同步下,选择恢复同步。
注意
如果您看到暂停同步而不是恢复同步,则表明从 Active Directory 到 IAM Identity Center 的同步已恢复。
配置用于同步的属性映射
有关属性的更多信息,请参阅 Amazon Managed Microsoft AD 目录的属性映射。
在 IAM Identity Center 中配置到您的目录的属性映射
-
选择设置。
-
在设置页面上,选择身份源选项卡,从中选择操作,然后选择管理同步。
-
在管理同步下,选择查看属性映射。
-
在 Active Directory 用户属性下,配置 IAM Identity Center 身份存储属性和 Active Directory 用户属性。例如,您可能希望将 IAM Identity Center 身份存储属性
email映射到 Active Directory 用户目录属性${objectguid}。注意
在组属性下,无法更改 IAM Identity Center 身份存储属性和 Active Directory 组属性。
-
选择 保存更改。这将返回管理同步页面。
自动执行同步配置以实现可配置的 AD 同步
为了确保您的自动化工作流程通过可配置的 AD 同步按预期工作,我们建议您执行以下步骤来自动化同步配置。
要自动执行同步配置以实现可配置的 AD 同步
-
在 Active Directory 中,创建一个父同步组以包含您想要同步到 IAM Identity Center 的所有用户和组。例如,您可以将群组命名为 IAM IdentityCenterAllUsersAndGroups。
-
在 IAM Identity Center 中,将父同步组添加到您的可配置同步列表中。IAM Identity Center 将同步父同步组中包含的所有用户、组、子组以及所有组的成员。
-
使用 Microsoft 提供的 Active Directory 用户和组管理 API 操作在父同步组中添加或删除用户和组。