IAMSincronización AD configurable por Identity Center

IAMLa sincronización configurable con Active Directory (AD) de Identity Center le permite configurar de forma explícita las identidades de Microsoft Active Directory que se sincronizan automáticamente en IAM Identity Center y controlar el proceso de sincronización.

Requisitos y consideraciones previos

Antes de utilizar la sincronización de AD configurable, tenga en cuenta los siguientes requisitos y consideraciones:

• Especificación de usuarios y grupos de Active Directory para la sincronización

  Antes, puede usar IAM Identity Center para asignar a nuevos usuarios y grupos el acceso a Cuentas de AWS y para AWS aplicaciones administradas o aplicaciones administradas por el cliente, debe especificar los usuarios y grupos de Active Directory que desea sincronizar y, a continuación, sincronizarlos con IAM Identity Center.

  • Sincronización de AD: al realizar asignaciones para nuevos usuarios y grupos mediante la consola de IAM Identity Center o API acciones de asignación relacionadas, IAM Identity Center busca directamente en el controlador de dominio los usuarios o grupos especificados, completa la asignación y, a continuación, sincroniza periódicamente los metadatos del usuario o grupo en IAM Identity Center.

  • Sincronización AD configurable: IAM Identity Center no busca usuarios y grupos directamente en el controlador de dominio. En su lugar, primero debe especificar la lista de usuarios y grupos que desea sincronizar. Puede configurar esta lista, también conocida como ámbito de sincronización, de una de las siguientes maneras, en función de si tiene usuarios y grupos que ya están sincronizados con IAM Identity Center o si tiene nuevos usuarios y grupos que vaya a sincronizar por primera vez mediante la sincronización configurable de AD.

    • Usuarios y grupos existentes: si tiene usuarios y grupos que ya están sincronizados en IAM Identity Center, el ámbito de sincronización de la sincronización configurable de AD se rellena previamente con una lista de esos usuarios y grupos. Para asignar nuevos usuarios o grupos, debe añadirlos específicamente al ámbito de sincronización. Para obtener más información, consulte Añadir usuarios y grupos a su ámbito de sincronización.

    • Nuevos usuarios y grupos: si quieres asignar a nuevos usuarios y grupos el acceso a Cuentas de AWS y para las aplicaciones, debes especificar qué usuarios y grupos añadir al ámbito de sincronización de la sincronización configurable de AD antes de poder usar IAM Identity Center para realizar la asignación. Para obtener más información, consulte Añadir usuarios y grupos a su ámbito de sincronización.

• Asignaciones a grupos anidados en Active Directory

  Los grupos que son miembros de otros grupos se denominan grupos anidados (o grupos secundarios). Al realizar asignaciones a un grupo de Active Directory que contiene grupos anidados, la forma en que se aplican las asignaciones depende de si se utiliza la sincronización de AD o de la sincronización de AD configurable.

  • Sincronización con AD: al realizar asignaciones a un grupo de Active Directory que contiene grupos anidados, solo los miembros directos del grupo pueden acceder a la cuenta. Por ejemplo, si asigna el acceso al grupo A y el grupo B es miembro del grupo A, solo los miembros directos del grupo A pueden acceder a la cuenta. Ningún miembro del grupo B hereda el acceso.

  • Sincronización de AD configurable: el uso de la sincronización de AD configurable para realizar asignaciones a un grupo de Active Directory que contiene grupos anidados puede aumentar el número de usuarios que tienen acceso a Cuentas de AWS o a aplicaciones. En este caso, la asignación se aplica a todos los usuarios, incluidos los de grupos anidados. Por ejemplo, si asigna el acceso al grupo A y el grupo B es miembro del grupo A, los miembros del grupo B también consiguen el acceso.

• Actualización de los flujos de trabajo automatizados

  Si tiene flujos de trabajo automatizados que utilizan las IAM acciones del almacén de identidades de IAM Identity Center y API las API acciones de asignación de Identity Center para asignar a los nuevos usuarios y grupos el acceso a las cuentas y a las aplicaciones, y sincronizarlos con IAM Identity Center, debe ajustar esos flujos de trabajo antes del 15 de abril de 2022 para que funcionen según lo previsto con la sincronización de AD configurable. La sincronización de AD configurable cambia el orden en que se realizan la asignación y el aprovisionamiento de usuarios y grupos, así como la forma en que se realizan las consultas.

  • Sincronización de AD: el proceso de las asignaciones se produce primero. Usted asigna a los usuarios y grupos el acceso a Cuentas de AWS y a las aplicaciones. Una vez asignado el acceso a los usuarios y grupos, se aprovisionan automáticamente (se sincronizan con IAM Identity Center). Si tiene un flujo de trabajo automatizado, esto significa que cuando agrega un nuevo usuario a Active Directory, el flujo de trabajo automatizado puede consultar el usuario en Active Directory mediante la ListUser API acción de almacenamiento de identidades y, a continuación, asignar al usuario el acceso mediante las acciones de asignación API de IAM Identity Center. Como el usuario tiene una asignación, ese usuario se aprovisiona automáticamente en IAM Identity Center.

  • Sincronización AD configurable: el aprovisionamiento se produce primero y no se realiza automáticamente. En su lugar, primero debe añadir usuarios y grupos de forma explícita al almacén de identidades, agregándolos a su ámbito de sincronización. Para obtener información sobre los pasos recomendados para automatizar la configuración de sincronización para una sincronización AD configurable, consulte Automatizar la configuración de sincronización para una sincronización AD configurable.

Temas

• Cómo funciona la sincronización de AD configurable
• Configuración y administración del alcance de la sincronización