Herstellen einer Verbindung mit einem Microsoft AD Verzeichnis - AWS IAM Identity Center
Überlegungen zur Verwendung von Active DirectoryBereitstellung, wenn Benutzer aus Active Directory stammen

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Herstellen einer Verbindung mit einem Microsoft AD Verzeichnis

Mit können AWS IAM Identity CenterSie ein selbstverwaltetes Verzeichnis in Active Directory (AD) oder ein Verzeichnis in mithilfe AWS Managed Microsoft AD von verbinden AWS Directory Service. Dieses Microsoft-AD-Verzeichnis definiert den Identitätspool, aus dem Administratoren abrufen können, wenn sie die IAM-Identity-Center-Konsole verwenden, um Single-Sign-On-Zugriff zuzuweisen. Nachdem Sie Ihr Unternehmensverzeichnis mit IAM Identity Center verbunden haben, können Sie Ihren AD-Benutzern oder -Gruppen Zugriff auf AWS-Konten, Anwendungen oder beides gewähren.

AWS Directory Service hilft Ihnen, ein eigenständiges AWS Managed Microsoft AD Verzeichnis einzurichten und auszuführen, das in der - AWS Cloud gehostet wird. Sie können auch verwenden AWS Directory Service , um Ihre - AWS Ressourcen mit einem vorhandenen selbstverwalteten AD zu verbinden. Um AWS Directory Service für die Arbeit mit Ihrem selbstverwalteten AD zu konfigurieren, müssen Sie zunächst Vertrauensstellungen einrichten, um die Authentifizierung auf die Cloud auszuweiten.

IAM Identity Center verwendet die von bereitgestellte Verbindung AWS Directory Service , um die Pass-Through-Authentifizierung für die AD-Quell-Instance durchzuführen. Wenn Sie AWS Managed Microsoft AD als Identitätsquelle verwenden, kann IAM Identity Center mit Benutzern aus AWS Managed Microsoft AD oder von jeder Domain zusammenarbeiten, die über eine AD-Vertrauensstellung verbunden ist. Wenn Sie Ihre Benutzer in vier oder mehr Domänen finden möchten, müssen Benutzer die DOMAIN\user Syntax als Benutzernamen verwenden, wenn sie sich bei IAM Identity Center anmelden.

Hinweise

  • Stellen Sie als Voraussetzung sicher, dass sich Ihr AD Connector oder Verzeichnis AWS Managed Microsoft AD in in Ihrem AWS Organizations Verwaltungskonto AWS Directory Service befindet. Weitere Informationen finden Sie unter Bestätigen Sie Ihre Identitätsquellen im IAM Identity Center.

  • IAM Identity Center unterstützt kein SAMBA-4-basiertes Simple AD als verbundenes Verzeichnis.

Überlegungen zur Verwendung von Active Directory

Wenn Sie Active Directory als Identitätsquelle verwenden möchten, muss Ihre Konfiguration die folgenden Voraussetzungen erfüllen:

  • Wenn Sie verwenden AWS Managed Microsoft AD, müssen Sie IAM Identity Center in derselben aktivieren AWS-Region , in der Ihr AWS Managed Microsoft AD Verzeichnis eingerichtet ist. IAM Identity Center speichert die Zuweisungsdaten in derselben Region wie das Verzeichnis . Um IAM Identity Center zu verwalten, müssen Sie möglicherweise zu der Region wechseln, in der IAM Identity Center konfiguriert ist. Beachten Sie außerdem, dass das AWS Zugriffsportal dieselbe Zugriffs-URL wie Ihr Verzeichnis verwendet.

  • Verwenden Sie ein Active Directory im Verwaltungskonto:

    Sie müssen einen vorhandenen AD Connector oder ein AWS Managed Microsoft AD Verzeichnis in eingerichtet haben AWS Directory Serviceund dieser muss sich in Ihrem AWS Organizations Verwaltungskonto befinden. Sie können jeweils nur ein AD-Connector-Verzeichnis oder ein Verzeichnis in verbinden AWS Managed Microsoft AD . Wenn Sie mehrere Domains oder Gesamtstrukturen unterstützen müssen, verwenden Sie AWS Managed Microsoft AD. Weitere Informationen finden Sie hier:

  • Verwenden Sie ein Active Directory, das sich im delegierten Administratorkonto befindet:

    Wenn Sie den delegierten Administrator von IAM Identity Center aktivieren und Active Directory als Identitätsquelle von IAM Identity Center verwenden möchten, können Sie einen vorhandenen AD Connector oder ein AWS Managed Microsoft AD Verzeichnis verwenden, das in AWS Directory eingerichtet ist, das sich im delegierten Administratorkonto befindet.

    Wenn Sie sich entscheiden, die Identitätsquelle von einer anderen Quelle in Active Directory oder von Active Directory in eine andere Quelle zu ändern, muss sich das Verzeichnis im delegierten Administratorkonto von IAM Identity Center befinden (im Besitz von sein), falls vorhanden. Andernfalls muss es sich im Verwaltungskonto befinden.

Bereitstellung, wenn Benutzer aus Active Directory stammen

IAM Identity Center verwendet die von bereitgestellte Verbindung, AWS Directory Service um Benutzer-, Gruppen- und Mitgliedschaftsinformationen aus Ihrem Quellverzeichnis in Active Directory mit dem IAM-Identity-Center-Identitätsspeicher zu synchronisieren. Es werden keine Passwortinformationen mit IAM Identity Center synchronisiert, da die Benutzerauthentifizierung direkt aus dem Quellverzeichnis in Active Directory erfolgt. Diese Identitätsdaten werden von Anwendungen verwendet, um In-App-Lookup-, Autorisierungs- und Zusammenarbeitsszenarien zu erleichtern, ohne LDAP-Aktivitäten zurück an das Quellverzeichnis in Active Directory zu übergeben.

Weitere Informationen über die Bereitstellung finden Sie unter Bereitstellung von Benutzern und Gruppen.

Themen