本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
IAM Identity Center 可配置 AD 同步
IAM Identity Center 可配置的 Active Directory (AD) 同步使您能够显式配置 Microsoft Active Directory 中的身份,这些身份会自动同步到 IAM Identity Center 并控制同步过程。
-
借助此同步作用域
-
通过显式定义 Microsoft Active Directory 中自动同步到 IAM Identity Center 的用户和组来控制数据边界。您可以随时添加用户和组或删除用户和组以更改同步范围。
-
为同步用户和组分配对 Amazon Web Services 账户的单点登录访问权限或对应用程序的访问权限。这些应用程序可以是 Amazon 托管的应用程序,也可以是客户托管的应用程序。
-
通过根据需要暂停和恢复同步来控制同步过程。这可以帮助您调节生产系统的负载。
-
先决条件和注意事项
在使用可配置的 AD 同步之前,请注意以下先决条件和注意事项:
-
指定 Active Directory 中要同步的用户和组
在使用 IAM Identity Center 为新用户和组分配对和托管的应用程序或客户 Amazon 托管的应用程序的访问权限之前,您必须指定 Active Directory 中要同步的用户和组,然后将其同步到 IAM Identity Center 中。 Amazon Web Services 账户
-
可配置的 AD 同步——IAM Identity Center 不会直接在域控制器中搜索用户和组。相反,您必须首先指定要同步的用户和组的列表。您可以通过以下方式之一配置此列表(也称为同步范围),具体取决于您的用户和组是否已同步到 IAM Identity Center,或者您有新用户和组是首次使用可配置的 AD 同步进行同步。
-
现有用户和组:如果您的用户和组已同步到 IAM Identity Center,则可配置 AD 同步中的同步范围将预先填充这些用户和组的列表。要分配新用户或组,您必须专门将它们添加到同步范围。有关更多信息,请参阅 将用户和组添加到您的同步范围。
-
新用户和组:如果您想要为新用户和组分配对 Amazon Web Services 账户 和应用程序的访问权限,您必须在可配置的 AD 同步中指定要添加到同步范围的用户和组,然后才能使用 IAM Identity Center 进行分配。有关更多信息,请参阅 将用户和组添加到您的同步范围。
-
-
-
分配到 Active Directory 中的嵌套组
作为其他组成员的组称为嵌套组(或子组)。
-
可配置 AD 同步 – 使用可配置 AD 同步分配 Active Directory 中包含嵌套组的组,可能会扩大有权访问 Amazon Web Services 账户 或应用程序的用户范围。在这种情况下,分配将应用于所有用户,包括嵌套组中的用户。例如,如果您向组 A 分配访问权限,而组 B 是组 A 的成员,则组 B 的成员也会继承此访问权限。
-
-
更新自动化工作流程
如果您有自动化工作流程,其使用 IAM Identity Center 身份存储 API 操作和 IAM Identity Center 分配 API 操作来分配新用户和组对帐户和应用程序的访问权限并将其同步到 IAM Identity Center,您必须通过以下方式调整这些工作流程: 2022 年 4 月 15 日,以便它们通过可配置的 AD 同步按预期运行。可配置的 AD 同步可更改用户和组分配和预置发生的顺序以及执行查询的方式。
-
可配置的 AD 同步——首先进行预置,并且不会自动执行。相反,您必须首先通过将用户和组添加到同步范围来明确将用户和组添加到身份存储。有关自动执行同步配置以实现可配置 AD 同步的建议步骤的信息,请参阅 自动执行同步配置以实现可配置的 AD 同步。
-