Seleccione sus preferencias de cookies

Usamos cookies esenciales y herramientas similares que son necesarias para proporcionar nuestro sitio y nuestros servicios. Usamos cookies de rendimiento para recopilar estadísticas anónimas para que podamos entender cómo los clientes usan nuestro sitio y hacer mejoras. Las cookies esenciales no se pueden desactivar, pero puede hacer clic en “Personalizar” o “Rechazar” para rechazar las cookies de rendimiento.

Si está de acuerdo, AWS y los terceros aprobados también utilizarán cookies para proporcionar características útiles del sitio, recordar sus preferencias y mostrar contenido relevante, incluida publicidad relevante. Para aceptar o rechazar todas las cookies no esenciales, haga clic en “Aceptar” o “Rechazar”. Para elegir opciones más detalladas, haga clic en “Personalizar”.

Preferencias
Contacte con nosotros
Comentarios
AWS Documentation
Cree una cuenta AWS

Sincronización con Centro de identidades de IAM AD

PDF
RSS
Modo de enfoque
Sincronización con Centro de identidades de IAM AD - AWS IAM Identity Center
Cómo funciona la sincronización de la API de Centro de identidades de IAM

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Con la sincronización de IAM Identity Center AD, puede utilizar el IAM Identity Center para asignar a los usuarios y grupos de Active Directory el acceso a las aplicaciones AWS gestionadas o gestionadas por el cliente Cuentas de AWS y a ellas. Todas las identidades con asignaciones se sincronizan automáticamente en Centro de identidades de IAM.

Cómo funciona la sincronización de la API de Centro de identidades de IAM

Centro de identidades de IAM actualiza los datos de identidad basados en anuncios en el almacén de identidades mediante el siguiente proceso.

Creación

Al asignar usuarios o grupos o aplicaciones mediante la AWS consola Cuentas de AWS o las llamadas a la API de asignación, la información sobre los usuarios, los grupos y los miembros se sincroniza periódicamente en el almacén de identidades del IAM Identity Center. Los usuarios o grupos que se añaden a las asignaciones del Centro de Identidad de IAM suelen aparecer en el almacén de AWS identidades en un plazo de dos horas. En función de la cantidad de datos que se sincronicen, este proceso puede tardar más. Solo se sincronizan los usuarios y grupos a los que se les ha asignado acceso directamente o que son miembros de un grupo al que se le ha asignado acceso.

Los grupos que son miembros de otros grupos (llamados “grupos anidados”) también se escriben en el almacén de identidades. Al realizar asignaciones a un grupo de Active Directory que contiene grupos anidados, la forma en que se aplican las asignaciones depende de si utiliza la sincronización de AD o la de AD configurable.

  • Sincronización de AD: al realizar asignaciones a un grupo de Active Directory que contiene otros grupos anidados, solo los miembros directos del grupo pueden acceder a la cuenta. Por ejemplo, si asigna el acceso al grupo A y el grupo B es miembro del grupo A, solo los miembros directos del grupo A pueden acceder a la cuenta. Ningún miembro del grupo B hereda el acceso.

  • Sincronización AD configurable: el uso de la sincronización de AD configurable para realizar asignaciones a un grupo de Active Directory que contiene otros grupos anidados puede aumentar el número de usuarios que tienen acceso a Cuentas de AWS o las aplicaciones. En este caso, la asignación se aplica a todos los usuarios, incluidos los de los grupos anidados. Por ejemplo, si asigna el acceso al grupo A y el grupo B es miembro del grupo A, los miembros del grupo B también consiguen el acceso.

Si un usuario accede al Centro de identidades de IAM antes de que su objeto de usuario se sincronice por primera vez, el objeto del almacén de identidades de ese usuario se crea bajo demanda mediante el aprovisionamiento just-in-time (JIT). Los usuarios creados mediante el aprovisionamiento de JIT no se sincronizan a menos que tengan derechos de Centro de identidades de IAM asignados directamente o basados en grupos. La pertenencia a grupos para los usuarios aprovisionados por JIT no está disponible hasta después de la sincronización.

Para obtener instrucciones sobre cómo asignar el acceso a los usuarios, consulte. Cuentas de AWSAcceso mediante inicio de sesión único a Cuentas de AWS

Actualización

Los datos de identidad del almacén de identidades de Centro de identidades de IAM se mantienen actualizados al leer periódicamente los datos del directorio de origen de Active Directory. Los datos de identidad que se modifican en Active Directory suelen aparecer en el almacén de AWS identidades en un plazo de cuatro horas. En función de la cantidad de datos que se sincronicen, este proceso puede tardar más.

Los objetos de usuario y grupo y sus pertenencias se crean o actualizan en Centro de identidades de IAM para asignarlos a los objetos correspondientes del directorio de origen de Active Directory. En el caso de los atributos de usuario, solo el subconjunto de atributos que aparece en la sección Gestionar atributos para controlar el acceso de la consola de Centro de identidades de IAM se actualiza en Centro de identidades de IAM. Además, los atributos de usuario se actualizan con cada evento de autenticación de usuario.

Eliminación

Los usuarios y grupos se eliminan del almacén de identidades de Centro de identidades de IAM cuando los objetos de usuario o grupo correspondientes se eliminan del directorio de origen de Active Directory.

En esta página

PrivacidadTérminos del sitioPreferencias de cookies
© 2025, Amazon Web Services, Inc o sus afiliados. Todos los derechos reservados.