Utilizzo di Active Directory come origine di identità

Se gestisci gli utenti nella tua AWS Managed Microsoft AD directory utilizzando AWS Directory Service o la directory gestita autonomamente in Active Directory (AD), puoi modificare la fonte di identità di IAM Identity Center per lavorare con tali utenti. Ti consigliamo di prendere in considerazione la possibilità di collegare questa fonte di identità quando abiliti IAM Identity Center e scegli la tua fonte di identità. Questa operazione prima di creare utenti e gruppi nella directory predefinita di Identity Center ti aiuterà a evitare la configurazione aggiuntiva richiesta se modifichi la fonte di identità in un secondo momento.

Per utilizzare Active Directory come origine dell'identità, la configurazione deve soddisfare i seguenti prerequisiti:

• Se lo utilizziAWS Managed Microsoft AD, devi abilitare IAM Identity Center nello stesso Regione AWS luogo in cui è configurata la tua AWS Managed Microsoft AD directory. IAM Identity Center archivia i dati di assegnazione nella stessa regione della directory. Per amministrare IAM Identity Center, potrebbe essere necessario passare alla regione in cui è configurato IAM Identity Center. Inoltre, tieni presente che il portale di AWS accesso utilizza lo stesso URL di accesso della tua directory.

• Usa un Active Directory che risiede nell'account di gestione:

  Devi avere un AD Connector o una AWS Managed Microsoft AD directory esistente configurata in AWS Directory Service e deve risiedere nel tuo account di AWS Organizations gestione. È possibile connettere solo una directory AD Connector o una directory AWS Managed Microsoft AD alla volta. Se devi supportare più domini o foreste, usaAWS Managed Microsoft AD. Per ulteriori informazioni, consultare:

  • Connect una directory AWS Managed Microsoft AD a IAM Identity Center

  • Connect una directory autogestita in Active Directory a IAM Identity Center

• Utilizza un Active Directory che risiede nell'account amministratore delegato:

  Se prevedi di abilitare un amministratore delegato di IAM Identity Center e utilizzare Active Directory come fonte di identità IAM Identity Center, puoi utilizzare un AD Connector o una AWS Managed Microsoft AD directory esistente configurata in AWS Directory che risiede nell'account amministratore delegato.

  Se decidi di modificare l'origine dell'identità di IAM Identity Center da qualsiasi altra fonte ad Active Directory o di cambiarla da Active Directory a qualsiasi altra fonte, la directory deve risiedere (essere di proprietà di) l'account membro amministratore delegato di IAM Identity Center, se esistente; in caso contrario, deve essere nell'account di gestione.

Questo tutorial ti guida attraverso la configurazione di base per l'utilizzo di Active Directory come fonte di identità IAM Identity Center.

Passaggio 1: Connect Active Directory e specifica un utente

Se utilizzi già Active Directory, i seguenti argomenti ti aiuteranno a prepararti a connettere la tua directory a IAM Identity Center.

Nota

Come best practice di sicurezza, ti consigliamo vivamente di abilitare l'autenticazione a più fattori. Se prevedi di connettere una AWS Managed Microsoft AD directory o una directory autogestita in Active Directory e non utilizzi RADIUS MFA AWS Directory Service con, abilita l'MFA in IAM Identity Center.

AWS Managed Microsoft AD

1. Consulta le linee guida contenute in. Connect a una Microsoft AD directory

2. Seguire la procedura riportata in Connect una directory AWS Managed Microsoft AD a IAM Identity Center.

3. Configura Active Directory per sincronizzare l'utente a cui desideri concedere le autorizzazioni amministrative in IAM Identity Center. Per ulteriori informazioni, consulta Sincronizza un utente amministrativo in IAM Identity Center.

Directory gestita automaticamente in Active Directory

1. Consulta le linee guida contenute inConnect a una Microsoft AD directory.

2. Seguire la procedura riportata in Connect una directory autogestita in Active Directory a IAM Identity Center.

3. Configura Active Directory per sincronizzare l'utente a cui desideri concedere le autorizzazioni amministrative in IAM Identity Center. Per ulteriori informazioni, consulta Sincronizza un utente amministrativo in IAM Identity Center.

Fase 2: sincronizzazione di un utente amministrativo in IAM Identity Center

Dopo aver collegato la tua directory a IAM Identity Center, puoi specificare un utente a cui vuoi concedere le autorizzazioni amministrative e quindi sincronizzare quell'utente dalla tua directory in IAM Identity Center.

1. Apri la console IAM Identity Center.

2. Seleziona Impostazioni.

3. Nella pagina Impostazioni, scegli la scheda Origine dell'identità, scegli Azioni, quindi scegli Gestisci sincronizzazione.

4. Nella pagina Gestisci sincronizzazione, scegli la scheda Utenti, quindi scegli Aggiungi utenti e gruppi.

5. Nella scheda Utenti, in Utente, inserisci il nome utente esatto e scegli Aggiungi.

6. In Utenti e gruppi aggiunti, procedi come segue:

   1. Conferma che l'utente a cui desideri concedere le autorizzazioni amministrative sia specificato.

   2. Seleziona la casella di controllo a sinistra del nome utente.

   3. Seleziona Invia.

7. Nella pagina Gestisci sincronizzazione, l'utente specificato viene visualizzato nell'elenco degli ambiti Utenti sincronizzati.

8. Nel pannello di navigazione, seleziona Utenti.

9. Nella pagina Utenti, potrebbe essere necessario del tempo prima che l'utente specificato compaia nell'elenco. Scegli l'icona di aggiornamento per aggiornare l'elenco degli utenti.

A questo punto, l'utente non ha accesso all'account di gestione. Configurerai l'accesso amministrativo a questo account creando un set di autorizzazioni amministrative e assegnando l'utente a tale set di autorizzazioni. Per ulteriori informazioni, consulta Crea un set di autorizzazioni..