IAMSynchronisation AD configurable par Identity Center

IAMLa synchronisation Active Directory (AD) configurable par Identity Center vous permet de configurer explicitement les identités dans Microsoft Active Directory qui sont automatiquement synchronisées dans IAM Identity Center et de contrôler le processus de synchronisation.

Prérequis et considérations

Avant d'utiliser la synchronisation AD configurable, tenez compte des conditions préalables et des considérations suivantes :

Spécification des utilisateurs et des groupes à synchroniser dans Active Directory

Avant de pouvoir utiliser IAM Identity Center pour attribuer à de nouveaux utilisateurs et groupes l'accès à Comptes AWS et à AWS applications gérées ou applications gérées par le client, vous devez spécifier les utilisateurs et les groupes dans Active Directory à synchroniser, puis les synchroniser dans IAM Identity Center.
- Synchronisation AD : lorsque vous attribuez des attributions à de nouveaux utilisateurs et groupes à l'aide de la console IAM Identity Center ou d'APIactions d'attribution associées, IAM Identity Center recherche directement dans le contrôleur de domaine les utilisateurs ou groupes spécifiés, termine l'attribution, puis synchronise régulièrement les métadonnées de l'utilisateur ou du groupe dans IAM Identity Center.
- Synchronisation AD configurable : IAM Identity Center ne recherche pas directement les utilisateurs et les groupes dans votre contrôleur de domaine. Au lieu de cela, vous devez d'abord spécifier la liste des utilisateurs et des groupes à synchroniser. Vous pouvez configurer cette liste, également appelée étendue de synchronisation, de l'une des manières suivantes, selon que vous avez des utilisateurs et des groupes déjà synchronisés dans IAM Identity Center ou que vous avez de nouveaux utilisateurs et groupes que vous synchronisez pour la première fois à l'aide de la synchronisation AD configurable.
  - Utilisateurs et groupes existants : si certains de vos utilisateurs et groupes sont déjà synchronisés dans IAM Identity Center, l'étendue de synchronisation dans la synchronisation AD configurable est préremplie avec une liste de ces utilisateurs et groupes. Pour attribuer de nouveaux utilisateurs ou groupes, vous devez les ajouter spécifiquement à la zone de synchronisation. Pour de plus amples informations, veuillez consulter Ajoutez des utilisateurs et des groupes à votre zone de synchronisation.
  - Nouveaux utilisateurs et groupes : si vous souhaitez attribuer à de nouveaux utilisateurs et groupes l'accès à Comptes AWS et aux applications, vous devez spécifier les utilisateurs et les groupes à ajouter à l'étendue de synchronisation dans AD Sync configurable avant de pouvoir utiliser IAM Identity Center pour effectuer l'attribution. Pour de plus amples informations, veuillez consulter Ajoutez des utilisateurs et des groupes à votre zone de synchronisation.

Attribuer des attributions à des groupes imbriqués dans Active Directory

Les groupes membres d'autres groupes sont appelés groupes imbriqués (ou groupes d'enfants). Lorsque vous attribuez des attributions à un groupe dans Active Directory qui contient des groupes imbriqués, la manière dont les attributions sont appliquées varie selon que vous utilisez AD Sync ou AD Sync configurable.
- Synchronisation AD : lorsque vous attribuez des attributions à un groupe dans Active Directory qui contient des groupes imbriqués, seuls les membres directs du groupe peuvent accéder au compte. Par exemple, si vous accordez l'accès au groupe A et que le groupe B est membre du groupe A, seuls les membres directs du groupe A peuvent accéder au compte. Aucun membre du groupe B n'hérite de cet accès.
- Synchronisation AD configurable : l'utilisation de la synchronisation AD configurable pour attribuer des attributions à un groupe dans Active Directory contenant des groupes imbriqués peut augmenter le nombre d'utilisateurs ayant accès à Comptes AWS ou à des applications. Dans ce cas, l'attribution s'applique à tous les utilisateurs, y compris ceux des groupes imbriqués. Par exemple, si vous accordez l'accès au groupe A et que le groupe B est membre du groupe A, les membres du groupe B héritent également de cet accès.
Mise à jour des workflows automatisés

Si vous avez des flux de travail automatisés qui utilisent les IAM API actions du magasin d'identités IAM Identity Center et les API actions d'attribution d'Identity Center pour attribuer aux nouveaux utilisateurs et groupes l'accès aux comptes et aux applications, et pour les synchroniser dans IAM Identity Center, vous devez ajuster ces flux de travail avant le 15 avril 2022 afin qu'ils fonctionnent comme prévu avec la synchronisation AD configurable. La synchronisation AD configurable modifie l'ordre dans lequel l'attribution et le provisionnement des utilisateurs et des groupes ont lieu, ainsi que la manière dont les requêtes sont effectuées.
- Synchronisation AD : le processus d'attribution a lieu en premier. Vous attribuez aux utilisateurs et aux groupes l'accès à Comptes AWS et aux applications. Une fois que l'accès est attribué aux utilisateurs et aux groupes, ils sont automatiquement provisionnés (synchronisés dans IAM Identity Center). Si vous disposez d'un flux de travail automatisé, cela signifie que lorsque vous ajoutez un nouvel utilisateur à Active Directory, votre flux de travail automatique peut interroger Active Directory pour l'utilisateur à l'aide de l'ListUserAPIaction Identity Store, puis attribuer l'accès à l'utilisateur à l'aide des API actions d'attribution IAM Identity Center. Comme l'utilisateur dispose d'une attribution, il est automatiquement configuré dans IAM Identity Center.
- Synchronisation AD configurable : le provisionnement a lieu en premier et n'est pas effectué automatiquement. Au lieu de cela, vous devez d'abord ajouter explicitement des utilisateurs et des groupes au magasin d'identités en les ajoutant à votre étendue de synchronisation. Pour plus d'informations sur les étapes recommandées pour automatiser votre configuration de synchronisation pour une synchronisation AD configurable, consultezAutomatisez votre configuration de synchronisation pour une synchronisation AD configurable.

Rubriques

Avertissement JavaScript est désactivé ou n'est pas disponible dans votre navigateur.

Pour que vous puissiez utiliser la documentation AWS, Javascript doit être activé. Vous trouverez des instructions sur les pages d'aide de votre navigateur.

Conventions de rédaction

Provisionner des utilisateurs et des groupes à partir d'Active Directory

Comment fonctionne la synchronisation AD configurable