Comment fonctionne IAM Identity Center AD Sync

IAMSynchronisation AD d'Identity Center

Avec IAM Identity Center AD sync, vous utilisez IAM Identity Center pour attribuer aux utilisateurs et aux groupes d'Active Directory l'accès à Comptes AWS et à AWS applications gérées ou applications gérées par le client. Toutes les identités associées à des attributions sont automatiquement synchronisées dans IAM Identity Center.

Comment fonctionne IAM Identity Center AD Sync

IAMIdentity Center actualise les données d'identité basées sur la publicité dans le magasin d'identités selon le processus suivant.

Création

Lorsque vous attribuez des utilisateurs ou des groupes à Comptes AWS ou des applications à l'aide du AWS les API appels de console ou d'assignation, les informations sur les utilisateurs, les groupes et les membres sont périodiquement synchronisées dans la banque IAM d'identités Identity Center. Les utilisateurs ou les groupes ajoutés aux attributions IAM d'Identity Center apparaissent généralement dans AWS boutique d'identité dans les deux heures. En fonction de la quantité de données synchronisées, ce processus peut prendre plus de temps. Seuls les utilisateurs et les groupes auxquels un accès est directement attribué, ou qui sont membres d'un groupe auquel un accès est attribué, sont synchronisés.

Les groupes membres d'autres groupes (appelés groupes imbriqués) sont également enregistrés dans le magasin d'identités. Lorsque vous attribuez des attributions à un groupe dans Active Directory qui contient des groupes imbriqués, la manière dont les attributions sont appliquées varie selon que vous utilisez AD Sync ou AD Sync configurable.

Synchronisation AD : lorsque vous attribuez des attributions à un groupe dans Active Directory qui contient des groupes imbriqués, seuls les membres directs du groupe peuvent accéder au compte. Par exemple, si vous accordez l'accès au groupe A et que le groupe B est membre du groupe A, seuls les membres directs du groupe A peuvent accéder au compte. Aucun membre du groupe B n'hérite de cet accès.
Synchronisation AD configurable : l'utilisation de la synchronisation AD configurable pour attribuer des attributions à un groupe dans Active Directory contenant des groupes imbriqués peut augmenter le nombre d'utilisateurs ayant accès à Comptes AWS ou à des applications. Dans ce cas, l'attribution s'applique à tous les utilisateurs, y compris ceux des groupes imbriqués. Par exemple, si vous accordez l'accès au groupe A et que le groupe B est membre du groupe A, les membres du groupe B héritent également de cet accès.

Si un utilisateur accède à IAM Identity Center avant que son objet utilisateur n'ait été synchronisé pour la première fois, l'objet de la banque d'identités de cet utilisateur est créé à la demande à l'aide du provisionnement just-in-time (JIT). Les utilisateurs créés par le JIT provisionnement ne sont pas synchronisés, sauf s'ils disposent de droits Identity Center directement attribués ou basés sur des groupesIAM. Les adhésions à des groupes pour les utilisateurs JIT provisionnés ne sont pas disponibles avant la fin de la synchronisation.

Pour obtenir des instructions sur la façon d'attribuer aux utilisateurs l'accès à Comptes AWS, voir Accès par authentification unique à Comptes AWS.

Mettre à jour

Les données d'identité de la IAM banque d'identités Identity Center restent actualisées en lisant régulièrement les données du répertoire source dans Active Directory. Les données d'identité modifiées dans Active Directory apparaissent généralement dans AWS boutique d'identité dans les quatre heures. En fonction de la quantité de données synchronisées, ce processus peut prendre plus de temps.

Les objets d'utilisateur et de groupe et leurs appartenances sont créés ou mis à jour dans IAM Identity Center pour être mappés aux objets correspondants dans le répertoire source d'Active Directory. Pour les attributs utilisateur, seul le sous-ensemble d'attributs répertorié dans la section Gérer les attributs pour le contrôle d'accès de la console IAM Identity Center est mis à jour dans IAM Identity Center. En outre, les attributs utilisateur sont mis à jour à chaque événement d'authentification utilisateur.

Suppression

Les utilisateurs et les groupes sont supprimés de la IAM banque d'identités Identity Center lorsque les objets d'utilisateur ou de groupe correspondants sont supprimés du répertoire source dans Active Directory.

Avertissement JavaScript est désactivé ou n'est pas disponible dans votre navigateur.

Pour que vous puissiez utiliser la documentation AWS, Javascript doit être activé. Vous trouverez des instructions sur les pages d'aide de votre navigateur.

Conventions de rédaction

Configuration et gestion de votre étendue de synchronisation

Gérer un fournisseur d'identité externe