IAM-Identity-Center-AD-Synchronisierung - AWS IAM Identity Center
Funktionsweise von IAM Identity Center AD Sync

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

IAM-Identity-Center-AD-Synchronisierung

Mit IAM Identity Center AD Sync verwenden Sie IAM Identity Center, um Benutzern und Gruppen in Active Directory Zugriff auf AWS-Konten und zu AWS verwalteten Anwendungen oder vom Kunden verwalteten Anwendungen zuzuweisen. Alle Identitäten mit Zuweisungen werden automatisch mit IAM Identity Center synchronisiert.

Funktionsweise von IAM Identity Center AD Sync

IAM Identity Center aktualisiert die AD-basierten Identitätsdaten im Identitätsspeicher mithilfe des folgenden Prozesses.

Erstellung

Wenn Sie Benutzer oder Gruppen mithilfe der AWS Konsole oder der Zuweisungs-API-Aufrufe AWS-Konten oder Anwendungen zuweisen, werden Informationen über die Benutzer, Gruppen und Mitgliedschaft regelmäßig im IAM-Identity-Center-Identitätsspeicher synchronisiert. Benutzer oder Gruppen, die zu IAM-Identity-Center-Zuweisungen hinzugefügt werden, werden normalerweise innerhalb von zwei Stunden im AWS Identitätsspeicher angezeigt. Abhängig von der Menge der synchronisierten Daten kann dieser Vorgang länger dauern. Nur Benutzer und Gruppen, denen direkt Zugriff zugewiesen ist oder die Mitglieder einer Gruppe sind, denen Zugriff zugewiesen ist, werden synchronisiert.

Gruppen, die Mitglieder anderer Gruppen sind (sogenannte verschachtelte Gruppen), werden ebenfalls in den Identitätsspeicher geschrieben. Wenn Sie Zuweisungen an eine Gruppe in Active Directory vornehmen, die verschachtelte Gruppen enthält, hängt die Art und Weise, wie die Zuweisungen angewendet werden, davon ab, ob Sie AD Sync oder konfigurierbare AD Sync verwenden.

  • AD-Synchronisierung – Wenn Sie Zuweisungen an eine Gruppe in Active Directory vornehmen, die verschachtelte Gruppen enthält, können nur die direkten Mitglieder der Gruppe auf das Konto zugreifen. Wenn Sie beispielsweise Zugriff auf Gruppe A zuweisen und Gruppe B Mitglied von Gruppe A ist, können nur die direkten Mitglieder von Gruppe A auf das Konto zugreifen. Keine Mitglieder von Gruppe B erben den Zugriff.

  • Konfigurierbare AD-Synchronisierung – Die Verwendung der konfigurierbaren AD-Synchronisierung für Zuweisungen an eine Gruppe in Active Directory, die verschachtelte Gruppen enthält, kann den Umfang der Benutzer erhöhen, die Zugriff auf AWS-Konten oder auf Anwendungen haben. In diesem Fall gilt die Zuweisung für alle Benutzer, einschließlich derjenigen in verschachtelten Gruppen. Wenn Sie beispielsweise Zugriff auf Gruppe A zuweisen und Gruppe B Mitglied von Gruppe A ist, erben Mitglieder von Gruppe B diesen Zugriff ebenfalls.

Wenn ein Benutzer auf IAM Identity Center zugreift, bevor sein Benutzerobjekt zum ersten Mal synchronisiert wurde, wird das Identitätsspeicherobjekt dieses Benutzers bei Bedarf mithilfe just-in-time der (JIT)-Bereitstellung erstellt. Benutzer, die durch die JIT-Bereitstellung erstellt wurden, werden nur synchronisiert, wenn sie direkt oder gruppenbasierte IAM-Identity-Center-Berechtigungen zugewiesen haben. Gruppenmitgliedschaften für von JIT bereitgestellte Benutzer sind bis nach der Synchronisation nicht verfügbar.

Anweisungen zum Zuweisen von Benutzerzugriff auf AWS-Kontenfinden Sie unter Single Sign-On-Zugriff auf AWS-Konten.

Aktualisierung

Die Identitätsdaten im IAM-Identity-Center-Identitätsspeicher bleiben aktuell, indem sie regelmäßig Daten aus dem Quellverzeichnis in Active Directory lesen. Identitätsdaten, die in Active Directory geändert werden, werden normalerweise innerhalb von vier Stunden im AWS Identitätsspeicher angezeigt. Abhängig von der Menge der synchronisierten Daten kann dieser Vorgang länger dauern.

Benutzer- und Gruppenobjekte und ihre Mitgliedschaften werden in IAM Identity Center erstellt oder aktualisiert, um sie den entsprechenden Objekten im Quellverzeichnis in Active Directory zuzuordnen. Für Benutzerattribute wird nur die Teilmenge der Attribute aktualisiert, die im Abschnitt Attribute für die Zugriffskontrolle verwalten der IAM-Identity-Center-Konsole aufgeführt sind. Darüber hinaus werden Benutzerattribute bei jedem Benutzerauthentifizierungsereignis aktualisiert.

Löschung

Benutzer und Gruppen werden aus dem IAM-Identity-Center-Identitätsspeicher gelöscht, wenn die entsprechenden Benutzer- oder Gruppenobjekte aus dem Quellverzeichnis in Active Directory gelöscht werden.