Conectar un directorio autogestionado de Active Directory al IAM Identity Center - AWS IAM Identity Center

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Conectar un directorio autogestionado de Active Directory al IAM Identity Center

Los usuarios del directorio autoadministrado de Active Directory (AD) también pueden tener acceso mediante un inicio de sesión único Cuentas de AWS y a las aplicaciones del portal de acceso. AWS Para configurar el acceso de inicio de sesión único para estos usuarios, puede realizar una de las siguientes acciones:

  • Cree una relación de confianza bidireccional: cuando se crean relaciones de confianza bidireccionales entre un directorio autogestionado de AD AWS Managed Microsoft AD y un directorio autogestionado de AD, los usuarios del directorio autogestionado de AD pueden iniciar sesión con sus credenciales corporativas en diversos servicios y aplicaciones empresariales. AWS Las confianzas unidireccionales no funcionan con Identity Center. IAM

    AWS IAM Identity Center requiere una confianza bidireccional para tener permisos para leer la información de usuarios y grupos de su dominio a fin de sincronizar los metadatos de usuarios y grupos. IAMIdentity Center usa estos metadatos al asignar el acceso a conjuntos de permisos o aplicaciones. Las aplicaciones también utilizan los metadatos de usuarios y grupos para colaborar como, por ejemplo, cuando se comparte un panel con otro usuario o grupo. La confianza AWS Directory Service de Microsoft Active Directory en su dominio permite que IAM Identity Center confíe en su dominio para la autenticación. La confianza en la dirección opuesta otorga AWS permisos para leer los metadatos de los usuarios y grupos.

    Para obtener más información acerca de la configuración de una relación de confianza bidireccional, consulte Cuándo crear una relación de confianza en la Guía de administración de AWS Directory Service .

    nota

    Para poder utilizar AWS aplicaciones, como IAM Identity Center, para leer los usuarios del AWS Directory Service directorio de dominios de confianza, las AWS Directory Service cuentas requieren permisos sobre el userAccountControl atributo de los usuarios de confianza. Sin permisos de lectura para este atributo, AWS las aplicaciones no pueden determinar si la cuenta está habilitada o deshabilitada.

    El acceso de lectura a este atributo se proporciona de forma predeterminada cuando se crea una confianza. Si deniegas el acceso a este atributo (no se recomienda), impedirás que aplicaciones como Identity Center puedan leer a los usuarios de confianza. La solución consiste en permitir específicamente el acceso de lectura al userAccountControl atributo de las cuentas de AWS servicio de la OU AWS reservada (con el prefijo AWS_).

  • Crear un conector AD: Un conector AD es una puerta de enlace de directorio que puede redirigir solicitudes del directorio al Active Directory autoadministrado sin almacenar en caché la información que hay en la nube. Para obtener más información, consulte Conectarse a un directorio en la Guía de administración de AWS Directory Service . Al utilizar AD Connector, se deben tener en cuenta las siguientes consideraciones:

    • Si va a conectar IAM Identity Center a un directorio de AD Connector, cualquier restablecimiento de contraseñas de usuario en el futuro deberá realizarse desde AD. Esto significa que los usuarios no podrán restablecer sus contraseñas desde el portal de AWS acceso.

    • Si usa AD Connector para conectar el servicio de dominio de Active Directory a IAM Identity Center, IAM Identity Center solo tiene acceso a los usuarios y grupos del dominio único al que se conecta AD Connector. Si necesita admitir varios dominios o bosques, utilice AWS Directory Service para Microsoft Active Directory.

    nota

    IAMIdentity Center no funciona con directorios Simple AD SAMBA4 basados en.