Sincronización con IAM Identity Center AD - AWS IAM Identity Center
Cómo funciona la sincronización de la API de IAM Identity Center

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Sincronización con IAM Identity Center AD

Con IAM Identity Center AD sync, puede utilizar el IAM Identity Center para asignar a los usuarios y grupos de Active Directory el acceso a las aplicaciones AWS gestionadas o gestionadas por el cliente Cuentas de AWS y a ellas. Todas las identidades con asignaciones se sincronizan automáticamente en IAM Identity Center.

Cómo funciona la sincronización de la API de IAM Identity Center

IAM Identity Center actualiza los datos de identidad basados en anuncios en el almacén de identidades mediante el siguiente proceso.

Creación

Al asignar usuarios o grupos o aplicaciones mediante la AWS consola Cuentas de AWS o las llamadas a la API de asignación, la información sobre los usuarios, los grupos y los miembros se sincroniza periódicamente en el almacén de identidades del IAM Identity Center. Los usuarios o grupos que se añaden a las asignaciones del Centro de Identidad de IAM suelen aparecer en el almacén de AWS identidades en un plazo de dos horas. En función de la cantidad de datos que se sincronicen, este proceso puede tardar más. Solo se sincronizan los usuarios y grupos a los que se les ha asignado acceso directamente o que son miembros de un grupo al que se le ha asignado acceso.

Los grupos que son miembros de otros grupos (llamados “grupos anidados”) también se escriben en el almacén de identidades. Al realizar asignaciones a un grupo de Active Directory que contiene grupos anidados, la forma en que se aplican las asignaciones depende de si utiliza la sincronización AD o la sincronización AD configurable.

  • Sincronización con AD: al realizar asignaciones a un grupo de Active Directory que contiene grupos anidados, solo los miembros directos del grupo pueden acceder a la cuenta. Por ejemplo, si asigna el acceso al grupo A y el grupo B es miembro del grupo A, solo los miembros directos del grupo A pueden acceder a la cuenta. Ningún miembro del grupo B hereda el acceso.

  • Sincronización de AD configurable: el uso de la sincronización de AD configurable para realizar asignaciones a un grupo de Active Directory que contiene grupos anidados puede aumentar el número de usuarios que tienen acceso a las aplicaciones Cuentas de AWS o a ellas. En este caso, la asignación se aplica a todos los usuarios, incluidos los de grupos anidados. Por ejemplo, si asigna el acceso al grupo A y el grupo B es miembro del grupo A, los miembros del grupo B también consiguen el acceso.

Si un usuario accede al Centro de identidades de IAM antes de sincronizar su objeto de usuario por primera vez, el objeto de almacén de identidades de ese usuario se crea bajo demanda mediante el aprovisionamiento just-in-time (JIT). Los usuarios creados mediante el aprovisionamiento de JIT no se sincronizan a menos que tengan derechos de IAM Identity Center asignados directamente o basados en grupos. La pertenencia a grupos para los usuarios aprovisionados por JIT no está disponible hasta después de la sincronización.

Para obtener instrucciones sobre cómo asignar el acceso a los usuarios, consulte. Cuentas de AWSAcceso mediante inicio de sesión único a Cuentas de AWS

Actualización

Los datos de identidad del almacén de identidades de IAM Identity Center se mantienen actualizados al leer periódicamente los datos del directorio de origen de Active Directory. Los datos de identidad que se modifican en Active Directory suelen aparecer en el almacén de AWS identidades en un plazo de cuatro horas. En función de la cantidad de datos que se sincronicen, este proceso puede tardar más.

Los objetos de usuario y grupo y sus pertenencias se crean o actualizan en IAM Identity Center para asignarlos a los objetos correspondientes del directorio de origen de Active Directory. En el caso de los atributos de usuario, solo el subconjunto de atributos que aparece en la sección Gestionar atributos para controlar el acceso de la consola de IAM Identity Center se actualiza en IAM Identity Center. Además, los atributos de usuario se actualizan con cada evento de autenticación de usuario.

Eliminación

Los usuarios y grupos se eliminan del almacén de identidades de IAM Identity Center cuando los objetos de usuario o grupo correspondientes se eliminan del directorio de origen de Active Directory.