Pusat Identitas IAM sinkronisasi AD yang dapat dikonfigurasi - AWS IAM Identity Center
Prasyarat dan pertimbanganCara kerja sinkronisasi AD yang dapat dikonfigurasiKonfigurasikan dan kelola cakupan sinkronisasi

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Pusat Identitas IAM sinkronisasi AD yang dapat dikonfigurasi

Sinkronisasi Active Directory (AD) IAM Identity Center yang dapat dikonfigurasi memungkinkan Anda untuk secara eksplisit mengonfigurasi identitas di Microsoft Active Directory yang secara otomatis disinkronkan ke Pusat Identitas IAM dan mengontrol proses sinkronisasi.

Topik berikut menyediakan informasi untuk memungkinkan Anda mengonfigurasi dan mengelola sinkronisasi AD yang dapat dikonfigurasi.

Prasyarat dan pertimbangan

Sebelum Anda menggunakan sinkronisasi AD yang dapat dikonfigurasi, perhatikan prasyarat dan pertimbangan berikut:

  • Menentukan pengguna dan grup di Active Directory untuk disinkronkan

    Sebelum Anda dapat menggunakan Pusat Identitas IAM untuk menetapkan akses pengguna dan grup baru ke Akun AWS dan ke aplikasi terkelola atau aplikasi yang AWS dikelola pelanggan, Anda harus menentukan pengguna dan grup di Active Directory untuk disinkronkan, dan kemudian menyinkronkannya ke Pusat Identitas IAM.

    • Sinkronisasi AD — Saat Anda membuat penugasan untuk pengguna dan grup baru menggunakan konsol Pusat Identitas IAM atau tindakan API penetapan terkait, Pusat Identitas IAM mencari pengontrol domain secara langsung untuk pengguna atau grup yang ditentukan, menyelesaikan penetapan, dan kemudian secara berkala menyinkronkan metadata pengguna atau grup ke Pusat Identitas IAM.

    • Sinkronisasi AD yang dapat dikonfigurasi — Pusat Identitas IAM tidak mencari pengontrol domain Anda secara langsung untuk pengguna dan grup. Sebagai gantinya, Anda harus terlebih dahulu menentukan daftar pengguna dan grup untuk disinkronkan. Anda dapat mengonfigurasi daftar ini, juga dikenal sebagai cakupan sinkronisasi, dengan salah satu cara berikut, tergantung pada apakah Anda memiliki pengguna dan grup yang sudah disinkronkan ke Pusat Identitas IAM, atau Anda memiliki pengguna dan grup baru yang Anda sinkronkan untuk pertama kalinya dengan menggunakan sinkronisasi AD yang dapat dikonfigurasi.

      • Pengguna dan grup yang ada: Jika Anda memiliki pengguna dan grup yang sudah disinkronkan ke Pusat Identitas IAM, cakupan sinkronisasi dalam sinkronisasi AD yang dapat dikonfigurasi akan diisi sebelumnya dengan daftar pengguna dan grup tersebut. Untuk menetapkan pengguna atau grup baru, Anda harus secara khusus menambahkannya ke lingkup sinkronisasi. Untuk informasi selengkapnya, lihat Menambahkan pengguna dan grup ke cakupan sinkronisasi.

      • Pengguna dan grup baru: Jika Anda ingin menetapkan akses pengguna dan grup baru ke dan ke aplikasi, Anda harus menentukan pengguna Akun AWS dan grup mana yang akan ditambahkan ke cakupan sinkronisasi dalam sinkronisasi AD yang dapat dikonfigurasi sebelum Anda dapat menggunakan Pusat Identitas IAM untuk membuat penetapan. Untuk informasi selengkapnya, lihat Menambahkan pengguna dan grup ke cakupan sinkronisasi.

  • Membuat tugas ke grup bersarang di Active Directory

    Grup yang merupakan anggota kelompok lain disebut kelompok bersarang (atau kelompok anak). Saat Anda membuat penetapan ke grup di Active Directory yang berisi grup bersarang, cara penerapan penetapan bergantung pada apakah Anda menggunakan sinkronisasi AD atau sinkronisasi AD yang dapat dikonfigurasi.

    • Sinkronisasi AD — Saat Anda membuat penugasan ke grup di Direktori Aktif yang berisi grup bersarang, hanya anggota langsung grup yang dapat mengakses akun tersebut. Misalnya, jika Anda menetapkan akses ke Grup A, dan Grup B adalah anggota Grup A, hanya anggota langsung Grup A yang dapat mengakses akun tersebut. Tidak ada anggota Grup B yang mewarisi akses tersebut.

    • Sinkronisasi AD yang dapat dikonfigurasi — Menggunakan sinkronisasi AD yang dapat dikonfigurasi untuk membuat penetapan ke grup di Direktori Aktif yang berisi grup bersarang dapat meningkatkan cakupan pengguna yang memiliki akses ke atau ke Akun AWS aplikasi. Dalam hal ini, penugasan berlaku untuk semua pengguna, termasuk yang berada di grup bersarang. Misalnya, jika Anda menetapkan akses ke Grup A, dan Grup B adalah anggota Grup A, anggota Grup B juga mewarisi akses ini.

  • Memperbarui alur kerja otomatis

    Jika Anda memiliki alur kerja otomatis yang menggunakan tindakan API penyimpanan identitas Pusat Identitas IAM dan tindakan API penetapan Pusat Identitas IAM untuk menetapkan akses pengguna dan grup baru ke akun dan aplikasi, dan untuk menyinkronkannya ke Pusat Identitas IAM, Anda harus menyesuaikan alur kerja tersebut sebelum 15 April 2022 agar berfungsi seperti yang diharapkan dengan sinkronisasi AD yang dapat dikonfigurasi. Sinkronisasi AD yang dapat dikonfigurasi mengubah urutan penetapan dan penyediaan pengguna dan grup, serta cara kueri dilakukan.

    • Sinkronisasi AD — Proses penugasan terjadi terlebih dahulu. Anda menetapkan akses pengguna dan grup ke Akun AWS dan ke aplikasi. Setelah pengguna dan grup diberi akses, mereka secara otomatis disediakan (disinkronkan ke Pusat Identitas IAM). Jika Anda memiliki alur kerja otomatis, ini berarti bahwa ketika Anda menambahkan pengguna baru ke Active Directory, alur kerja otomatis Anda dapat menanyakan Active Directory untuk pengguna dengan menggunakan tindakan ListUser API penyimpanan identitas, lalu menetapkan akses pengguna dengan menggunakan tindakan API penetapan IAM Identity Center. Karena pengguna memiliki tugas, pengguna tersebut secara otomatis disediakan ke Pusat Identitas IAM.

    • Sinkronisasi AD yang dapat dikonfigurasi — Penyediaan terjadi terlebih dahulu, dan tidak dilakukan secara otomatis. Sebagai gantinya, Anda harus terlebih dahulu menambahkan pengguna dan grup secara eksplisit ke toko identitas dengan menambahkannya ke lingkup sinkronisasi Anda. Untuk informasi tentang langkah-langkah yang disarankan untuk mengotomatiskan konfigurasi sinkronisasi untuk sinkronisasi AD yang dapat dikonfigurasi, lihat. Otomatiskan konfigurasi sinkronisasi Anda untuk sinkronisasi AD yang dapat dikonfigurasi

Cara kerja sinkronisasi AD yang dapat dikonfigurasi

IAM Identity Center menyegarkan data identitas berbasis iklan di toko identitas dengan menggunakan proses berikut.

Pembuatan

Setelah menghubungkan direktori yang dikelola sendiri di Active Directory atau AWS Managed Microsoft AD direktori yang dikelola oleh AWS Directory Service IAM Identity Center, Anda dapat secara eksplisit mengonfigurasi pengguna dan grup Active Directory yang ingin Anda sinkronkan ke dalam penyimpanan identitas IAM Identity Center. Identitas yang Anda pilih akan disinkronkan setiap tiga jam atau lebih ke toko identitas IAM Identity Center. Bergantung pada ukuran direktori Anda, proses sinkronisasi mungkin memakan waktu lebih lama.

Grup yang merupakan anggota kelompok lain (disebut grup bersarang atau kelompok anak) juga ditulis ke toko identitas. Saat Anda membuat penetapan ke grup di Active Directory yang berisi grup bersarang, cara penerapan penetapan bergantung pada apakah Anda menggunakan sinkronisasi AD atau sinkronisasi AD yang dapat dikonfigurasi. Untuk informasi selengkapnya, lihat Making assignments to nested groups in Active Directory.

Anda hanya dapat menetapkan akses ke pengguna atau grup baru setelah mereka disinkronkan ke toko identitas Pusat Identitas IAM.

Perbarui

Data identitas di toko identitas IAM Identity Center tetap segar dengan membaca data secara berkala dari direktori sumber di Active Directory. IAM Identity Center menyinkronkan data dari Active Directory Anda setiap jam dalam siklus sinkronisasi secara default. Mungkin diperlukan waktu 30 menit hingga 2 jam agar data disinkronkan ke Pusat Identitas IAM, berdasarkan ukuran Direktori Aktif Anda.

Objek pengguna dan grup yang berada dalam lingkup sinkronisasi dan keanggotaannya dibuat atau diperbarui di Pusat Identitas IAM untuk dipetakan ke objek yang sesuai di direktori sumber di Active Directory. Untuk atribut pengguna, hanya subset atribut yang tercantum di bagian Atribut untuk kontrol akses konsol Pusat Identitas IAM yang diperbarui di Pusat Identitas IAM. Mungkin diperlukan satu siklus sinkronisasi untuk pembaruan atribut apa pun yang Anda buat di Active Directory untuk tercermin di Pusat Identitas IAM.

Anda juga dapat memperbarui subset pengguna dan grup yang Anda sinkronkan ke toko identitas IAM Identity Center. Anda dapat memilih untuk menambahkan pengguna atau grup baru ke subset ini, atau menghapusnya. Setiap identitas yang Anda tambahkan disinkronkan pada sinkronisasi terjadwal berikutnya. Identitas yang Anda hapus dari subset akan berhenti diperbarui di toko identitas Pusat Identitas IAM. Setiap pengguna yang tidak disinkronkan selama lebih dari 28 hari akan dinonaktifkan di toko identitas IAM Identity Center. Objek pengguna yang sesuai akan dinonaktifkan secara otomatis di penyimpanan identitas Pusat Identitas IAM selama siklus sinkronisasi berikutnya, kecuali mereka adalah bagian dari grup lain yang masih merupakan bagian dari lingkup sinkronisasi.

Penghapusan

Pengguna dan grup dihapus dari penyimpanan identitas IAM Identity Center ketika objek pengguna atau grup yang sesuai dihapus dari direktori sumber di Active Directory. Atau, Anda dapat secara eksplisit menghapus objek pengguna dari penyimpanan identitas Pusat Identitas IAM dengan menggunakan konsol Pusat Identitas IAM. Jika Anda menggunakan konsol Pusat Identitas IAM, Anda juga harus menghapus pengguna dari lingkup sinkronisasi untuk memastikan bahwa mereka tidak disinkronkan kembali ke Pusat Identitas IAM selama siklus sinkronisasi berikutnya.

Anda juga dapat menjeda dan memulai ulang sinkronisasi kapan saja. Jika Anda menjeda sinkronisasi selama lebih dari 28 hari, semua pengguna Anda akan dinonaktifkan.

Konfigurasikan dan kelola cakupan sinkronisasi

Anda dapat mengonfigurasi cakupan sinkronisasi dengan salah satu cara berikut:

  • Pengaturan terpandu: Jika Anda menyinkronkan pengguna dan grup dari Active Directory ke IAM Identity Center untuk pertama kalinya, ikuti langkah-langkah Pengaturan terpandu untuk mengonfigurasi cakupan sinkronisasi Anda. Setelah menyelesaikan penyiapan terpandu, Anda dapat mengubah cakupan sinkronisasi kapan saja dengan mengikuti prosedur lain di bagian ini.

  • Jika Anda sudah memiliki pengguna dan grup yang disinkronkan ke Pusat Identitas IAM atau Anda tidak ingin mengikuti pengaturan yang dipandu, pilih Kelola sinkronisasi. Lewati prosedur penyiapan terpandu dan ikuti prosedur lain di bagian ini sebagaimana diperlukan untuk mengonfigurasi dan mengelola cakupan sinkronisasi Anda.

Pengaturan terpandu

  1. Buka konsol Pusat Identitas IAM.

    catatan

    Pastikan bahwa konsol IAM Identity Center menggunakan salah satu Wilayah AWS tempat AWS Managed Microsoft AD direktori Anda berada sebelum Anda pindah ke langkah berikutnya.

  2. Pilih Pengaturan.

  3. Di bagian atas halaman, dalam pesan notifikasi, pilih Mulai penyiapan yang dipandu.

  4. Pada Langkah 1 - opsional: Konfigurasikan pemetaan atribut, tinjau pemetaan atribut pengguna dan grup default. Jika tidak ada perubahan yang diperlukan, pilih Berikutnya. Jika perubahan diperlukan, buat perubahan, lalu pilih Simpan perubahan.

  5. Pada Langkah 2 — opsional: Konfigurasikan lingkup sinkronisasi, pilih tab Pengguna. Kemudian, masukkan nama pengguna yang tepat dari pengguna yang ingin Anda tambahkan ke lingkup sinkronisasi Anda dan pilih Tambah. Selanjutnya, pilih tab Grup. Masukkan nama grup yang tepat dari grup yang ingin Anda tambahkan ke cakupan sinkronisasi Anda dan pilih Tambah. Lalu, pilih Selanjutnya. Jika Anda ingin menambahkan pengguna dan grup ke cakupan sinkronisasi nanti, jangan buat perubahan dan pilih Berikutnya.

  6. Pada Langkah 3: Tinjau dan simpan konfigurasi, konfirmasikan pemetaan Atribut Anda di Langkah 1: Pemetaan atribut dan Pengguna serta grup Anda di Langkah 2: Lingkup sinkronisasi. Pilih Simpan konfigurasi. Ini akan membawa Anda ke halaman Kelola Sinkronisasi.

Menambahkan pengguna dan grup ke cakupan sinkronisasi

Untuk menambahkan pengguna

  1. Buka konsol Pusat Identitas IAM.

  2. Pilih Pengaturan.

  3. Pada halaman Pengaturan, pilih tab Sumber identitas, pilih Tindakan, lalu pilih Kelola Sinkronisasi.

  4. Pada halaman Kelola Sinkronisasi, pilih tab Pengguna, lalu pilih Tambahkan pengguna dan grup.

  5. Pada tab Pengguna, di bawah Pengguna, masukkan nama pengguna yang tepat dan pilih Tambah.

  6. Di bawah Pengguna dan Grup yang Ditambahkan, tinjau pengguna yang ingin Anda tambahkan.

  7. Pilih Kirim.

  8. Di panel navigasi, pilih Pengguna.

  9. Pada halaman Pengguna, mungkin diperlukan beberapa waktu bagi pengguna yang Anda tentukan untuk muncul dalam daftar. Pilih ikon penyegaran untuk memperbarui daftar pengguna.

Untuk menambahkan grup

  1. Buka konsol Pusat Identitas IAM.

  2. Pilih Pengaturan.

  3. Pada halaman Pengaturan, pilih tab Sumber identitas, pilih Tindakan, lalu pilih Kelola Sinkronisasi.

  4. Pada halaman Kelola Sinkronisasi, pilih tab Grup, lalu pilih Tambahkan pengguna dan grup.

  5. Pilih tab Grup. Di bawah Grup, masukkan nama grup yang tepat dan pilih Tambah.

  6. Di bawah Pengguna dan Grup yang Ditambahkan, tinjau grup yang ingin Anda tambahkan.

  7. Pilih Kirim.

  8. Di panel navigasi, pilih Grup.

  9. Pada halaman Grup, mungkin perlu beberapa waktu untuk grup yang Anda tentukan muncul dalam daftar. Pilih ikon penyegaran untuk memperbarui daftar grup.

Hapus pengguna dan grup dari cakupan sinkronisasi Anda

Untuk informasi selengkapnya tentang apa yang terjadi saat Anda menghapus pengguna dan grup dari cakupan sinkronisasi, lihatCara kerja sinkronisasi AD yang dapat dikonfigurasi.

Untuk menghapus pengguna

  1. Buka konsol Pusat Identitas IAM.

  2. Pilih Pengaturan.

  3. Pada halaman Pengaturan, pilih tab Sumber identitas, pilih Tindakan, lalu pilih Kelola Sinkronisasi.

  4. Pilih tab Pengguna.

  5. Di bawah Pengguna dalam lingkup sinkronisasi, pilih kotak centang di samping pengguna yang ingin Anda hapus. Untuk menghapus semua pengguna, pilih kotak centang di samping Nama Pengguna.

  6. Pilih Hapus.

Untuk menghapus grup

  1. Buka konsol Pusat Identitas IAM.

  2. Pilih Pengaturan.

  3. Pada halaman Pengaturan, pilih tab Sumber identitas, pilih Tindakan, lalu pilih Kelola Sinkronisasi.

  4. Pilih tab Grup.

  5. Di bawah Grup dalam lingkup sinkronisasi, pilih kotak centang di samping pengguna yang ingin Anda hapus. Untuk menghapus semua grup, pilih kotak centang di samping Nama grup.

  6. Pilih Hapus.

Jeda dan lanjutkan sinkronisasi

Menjeda sinkronisasi akan menjeda semua siklus sinkronisasi di masa mendatang dan mencegah perubahan apa pun yang Anda buat pada pengguna dan grup di Active Directory agar tidak tercermin di IAM Identity Center. Setelah Anda melanjutkan sinkronisasi, siklus sinkronisasi mengambil perubahan ini dari sinkronisasi terjadwal berikutnya.

Untuk menjeda sinkronisasi

  1. Buka konsol Pusat Identitas IAM.

  2. Pilih Pengaturan.

  3. Pada halaman Pengaturan, pilih tab Sumber identitas, pilih Tindakan, lalu pilih Kelola Sinkronisasi.

  4. Di bawah Kelola Sinkronisasi, pilih Jeda sinkronisasi.

Untuk melanjutkan sinkronisasi

  1. Buka konsol Pusat Identitas IAM.

  2. Pilih Pengaturan.

  3. Pada halaman Pengaturan, pilih tab Sumber identitas, pilih Tindakan, lalu pilih Kelola Sinkronisasi.

  4. Di bawah Kelola Sinkronisasi, pilih Lanjutkan sinkronisasi.

    catatan

    Jika Anda melihat Jeda sinkronisasi bukan Lanjutkan sinkronisasi, sinkronisasi dari Active Directory ke IAM Identity Center telah dilanjutkan.

Konfigurasikan pemetaan atribut untuk sinkronisasi Anda

Untuk informasi selengkapnya tentang atribut yang tersedia, lihatPemetaan atribut untuk direktori AWS Managed Microsoft AD.

Untuk mengonfigurasi pemetaan atribut di Pusat Identitas IAM ke direktori Anda

  1. Buka konsol Pusat Identitas IAM.

  2. Pilih Pengaturan.

  3. Pada halaman Pengaturan, pilih tab Sumber identitas, pilih Tindakan, lalu pilih Kelola Sinkronisasi.

  4. Di bawah Kelola Sinkronisasi, pilih Lihat pemetaan atribut.

  5. Di bawah atribut pengguna Active Directory, konfigurasikan atribut penyimpanan identitas IAM Identity Center dan atribut pengguna Active Directory. Misalnya, Anda mungkin ingin memetakan atribut penyimpanan identitas Pusat Identitas IAM email ke atribut ${objectguid} direktori pengguna Active Directory.

    catatan

    Di bawah atribut Grup, atribut penyimpanan identitas Pusat Identitas IAM dan atribut grup Direktori Aktif tidak dapat diubah.

  6. Pilih Simpan perubahan. Ini mengembalikan Anda ke halaman Kelola Sinkronisasi.

Otomatiskan konfigurasi sinkronisasi Anda untuk sinkronisasi AD yang dapat dikonfigurasi

Untuk memastikan alur kerja otomatis Anda berfungsi seperti yang diharapkan dengan sinkronisasi AD yang dapat dikonfigurasi, sebaiknya Anda melakukan langkah-langkah berikut untuk mengotomatiskan konfigurasi sinkronisasi Anda.

Untuk mengotomatiskan konfigurasi sinkronisasi Anda untuk sinkronisasi AD yang dapat dikonfigurasi

  1. Di Active Directory, buat grup sinkronisasi induk untuk memuat semua pengguna dan grup yang ingin Anda sinkronkan ke Pusat Identitas IAM. Misalnya, Anda dapat memberi nama grup IAM IdentityCenterAllUsersAndGroups.

  2. Di Pusat Identitas IAM, tambahkan grup sinkronisasi induk ke daftar sinkronisasi yang dapat dikonfigurasi. IAM Identity Center akan menyinkronkan semua pengguna, grup, sub-grup, dan anggota dari semua grup yang terdapat dalam grup sinkronisasi induk.

  3. Gunakan tindakan API manajemen pengguna dan grup Active Directory yang disediakan oleh Microsoft untuk menambah atau menghapus pengguna dan grup dari grup sinkronisasi induk.