Considerazioni sull'utilizzo di Active Directory Eseguire il provisioning quando gli utenti provengono da Active Directory

Connect a Microsoft AD directory

Con AWS IAM Identity Center, è possibile connettere una directory autogestita in Active Directory (AD) o una directory in AWS Managed Microsoft AD utilizzando AWS Directory Service. Questa directory Microsoft AD definisce il pool di identità da cui gli amministratori possono attingere quando utilizzano la console IAM Identity Center per assegnare l'accesso Single Sign-On. Dopo aver collegato la directory aziendale a IAM Identity Center, puoi concedere agli utenti o ai gruppi AD l'accesso a Account AWS, applicazioni o entrambi.

AWS Directory Service ti aiuta a configurare ed eseguire una versione autonoma AWS Managed Microsoft AD directory ospitata in AWS Cloud. Puoi anche usare AWS Directory Service per connettere il tuo AWS risorse con un AD esistente autogestito. Per configurare AWS Directory Service per utilizzare il tuo AD autogestito, devi prima impostare relazioni di fiducia per estendere l'autenticazione al cloud.

IAMIdentity Center utilizza la connessione fornita da AWS Directory Service per eseguire l'autenticazione pass-through sull'istanza AD di origine. Quando si utilizza AWS Managed Microsoft AD come fonte di identità, IAM Identity Center può collaborare con utenti di AWS Managed Microsoft AD o da qualsiasi dominio connesso tramite un trust AD. Se desideri localizzare gli utenti in quattro o più domini, gli utenti devono utilizzare la DOMAIN\user sintassi come nome utente quando effettuano l'accesso a Identity Center. IAM

Note

Come passaggio preliminare, assicurati che il connettore o la directory AD Connector siano AWS Managed Microsoft AD in AWS Directory Service risiede all'interno del tuo AWS Organizations account di gestione. Per ulteriori informazioni, consulta Conferma le tue fonti di identità in IAM Identity Center.
IAMIdentity Center non supporta Simple AD SAMBA basato su 4 come directory connessa.

Considerazioni sull'utilizzo di Active Directory

Se si desidera utilizzare Active Directory come origine dell'identità, la configurazione deve soddisfare i seguenti prerequisiti:

Se stai usando AWS Managed Microsoft AD, devi abilitare IAM Identity Center nello stesso Regione AWS dove il tuo AWS Managed Microsoft AD la directory è impostata. IAMIdentity Center archivia i dati di assegnazione nella stessa regione della directory. Per amministrare IAM Identity Center, potrebbe essere necessario passare alla regione in cui è configurato IAM Identity Center. Inoltre, tieni presente che AWS access portal utilizza lo stesso accesso URL della tua rubrica.
Usa un Active Directory che risiede nell'account di gestione:

È necessario disporre di un AD Connector esistente oppure AWS Managed Microsoft AD directory configurata in AWS Directory Service, e deve risiedere all'interno del AWS Organizations account di gestione. È possibile connettere solo una directory AD Connector o una directory in AWS Managed Microsoft AD alla volta. Se devi supportare più domini o foreste, usa AWS Managed Microsoft AD. Per ulteriori informazioni, consulta:
- Connect una directory in AWS Managed Microsoft AD a IAM Identity Center
- Connect una directory autogestita in Active Directory a IAM Identity Center
Utilizza un Active Directory che risiede nell'account amministratore delegato:

Se prevedi di abilitare IAM l'amministratore delegato di Identity Center e utilizzare Active Directory come origine IAM dell'identità di Identity Center, puoi utilizzare un AD Connector esistente o AWS Managed Microsoft AD directory configurata in AWS Directory che risiede nell'account amministratore delegato.

Se si decide di modificare IAM l'origine dell'identità di Identity Center da qualsiasi altra fonte ad Active Directory o di cambiarla da Active Directory a qualsiasi altra fonte, la directory deve risiedere nell'account membro amministratore delegato di IAM Identity Center, se esistente, oppure deve essere nell'account di gestione.

Eseguire il provisioning quando gli utenti provengono da Active Directory

IAMIdentity Center utilizza la connessione fornita da AWS Directory Service per sincronizzare le informazioni su utenti, gruppi e appartenenze dalla directory di origine in Active Directory all'archivio di IAM identità di Identity Center. Nessuna informazione sulla password viene sincronizzata con IAM Identity Center, poiché l'autenticazione degli utenti avviene direttamente dalla directory di origine in Active Directory. Questi dati di identità vengono utilizzati dalle applicazioni per facilitare gli scenari di ricerca, autorizzazione e collaborazione all'interno dell'app senza trasferire LDAP l'attività alla directory di origine in Active Directory.

Per ulteriori informazioni sul provisioning, vedere. Assegnazione di ruoli a utenti e gruppi

Argomenti

Avvertimento JavaScript è disabilitato o non è disponibile nel tuo browser.

Per usare la documentazione AWS, JavaScript deve essere abilitato. Consulta le pagine della guida del browser per le istruzioni.

Convenzioni dei documenti

Requisiti password

Connect Active Directory e specifica un utente