Sincronizzazione AD configurabile con IAM Identity Center - AWS IAM Identity Center
Prerequisiti e considerazioniCome funziona la sincronizzazione AD configurabileConfigura e gestisci l'ambito di sincronizzazione

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Sincronizzazione AD configurabile con IAM Identity Center

La sincronizzazione con Active Directory (AD) configurabile con IAM Identity Center consente di configurare in modo esplicito le identità in Microsoft Active Directory che vengono sincronizzate automaticamente in IAM Identity Center e di controllare il processo di sincronizzazione.

I seguenti argomenti forniscono informazioni per consentire all'utente di configurare e amministrare la sincronizzazione AD configurabile.

Prerequisiti e considerazioni

Prima di utilizzare la sincronizzazione AD configurabile, tieni presente i seguenti prerequisiti e considerazioni:

  • Specificare utenti e gruppi in Active Directory da sincronizzare

    Prima di poter utilizzare IAM Identity Center per assegnare a nuovi utenti e gruppi l'accesso alle Account AWS applicazioni gestite o alle applicazioni AWS gestite dai clienti, è necessario specificare gli utenti e i gruppi in Active Directory da sincronizzare e quindi sincronizzarli in IAM Identity Center.

    • Sincronizzazione AD: quando si effettuano assegnazioni per nuovi utenti e gruppi utilizzando la console IAM Identity Center o le relative azioni API di assegnazione, IAM Identity Center cerca direttamente nel controller di dominio gli utenti o i gruppi specificati, completa l'assegnazione e quindi sincronizza periodicamente i metadati dell'utente o del gruppo in IAM Identity Center.

    • Sincronizzazione AD configurabile: IAM Identity Center non cerca direttamente utenti e gruppi nel controller di dominio. Invece, devi prima specificare l'elenco di utenti e gruppi da sincronizzare. Puoi configurare questo elenco, noto anche come ambito di sincronizzazione, in uno dei seguenti modi, a seconda che tu abbia utenti e gruppi già sincronizzati in IAM Identity Center o che tu abbia nuovi utenti e gruppi che sincronizzi per la prima volta utilizzando la sincronizzazione AD configurabile.

      • Utenti e gruppi esistenti: se hai utenti e gruppi già sincronizzati in IAM Identity Center, l'ambito di sincronizzazione nella sincronizzazione AD configurabile è precompilato con un elenco di tali utenti e gruppi. Per assegnare nuovi utenti o gruppi, devi aggiungerli specificamente all'ambito di sincronizzazione. Per ulteriori informazioni, consulta Aggiungi utenti e gruppi all'ambito di sincronizzazione.

      • Nuovi utenti e gruppi: se desideri assegnare a nuovi utenti e gruppi l'accesso alle Account AWS e alle applicazioni, devi specificare quali utenti e gruppi aggiungere all'ambito di sincronizzazione nella sincronizzazione configurabile di AD prima di poter utilizzare IAM Identity Center per effettuare l'assegnazione. Per ulteriori informazioni, consulta Aggiungi utenti e gruppi all'ambito di sincronizzazione.

  • Assegnazione di assegnazioni a gruppi annidati in Active Directory

    I gruppi che sono membri di altri gruppi sono chiamati gruppi nidificati (o gruppi secondari). Quando si eseguono assegnazioni a un gruppo in Active Directory che contiene gruppi nidificati, il modo in cui vengono applicate le assegnazioni dipende dal fatto che si utilizzi la sincronizzazione AD o la sincronizzazione AD configurabile.

    • Sincronizzazione AD: quando si effettuano assegnazioni a un gruppo in Active Directory che contiene gruppi nidificati, solo i membri diretti del gruppo possono accedere all'account. Ad esempio, se si assegna l'accesso al gruppo A e il gruppo B è membro del gruppo A, solo i membri diretti del gruppo A possono accedere all'account. Nessun membro del Gruppo B eredita l'accesso.

    • Sincronizzazione AD configurabile: l'utilizzo della sincronizzazione AD configurabile per assegnare assegnazioni a un gruppo in Active Directory che contiene gruppi annidati può aumentare il numero di utenti che hanno accesso alle o alle applicazioni. Account AWS In questo caso, l'assegnazione si applica a tutti gli utenti, inclusi quelli dei gruppi nidificati. Ad esempio, se si assegna l'accesso al Gruppo A e il Gruppo B è membro del Gruppo A, anche i membri del Gruppo B ereditano questo accesso.

  • Aggiornamento dei flussi di lavoro automatizzati

    Se disponi di flussi di lavoro automatizzati che utilizzano le azioni API IAM Identity Store e le azioni API di assegnazione di IAM Identity Center per assegnare a nuovi utenti e gruppi l'accesso agli account e alle applicazioni e per sincronizzarli con IAM Identity Center, devi modificare tali flussi di lavoro entro il 15 aprile 2022 in modo che funzionino come previsto con la sincronizzazione AD configurabile. La sincronizzazione AD configurabile modifica l'ordine in cui avvengono l'assegnazione e il provisioning di utenti e gruppi e il modo in cui vengono eseguite le query.

    • Sincronizzazione AD: il processo di assegnazione viene eseguito per primo. Assegnate a utenti e gruppi l'accesso alle Account AWS e alle applicazioni. Una volta assegnato l'accesso agli utenti e ai gruppi, questi vengono assegnati automaticamente (sincronizzati con IAM Identity Center). Se disponi di un flusso di lavoro automatizzato, ciò significa che quando aggiungi un nuovo utente ad Active Directory, il flusso di lavoro automatizzato può interrogare Active Directory per l'utente utilizzando l'azione dell'ListUserAPI Identity Store e quindi assegnare l'accesso all'utente utilizzando le azioni dell'API di assegnazione di IAM Identity Center. Poiché l'utente ha un'assegnazione, tale utente viene automaticamente inserito in IAM Identity Center.

    • Sincronizzazione AD configurabile: il provisioning avviene per primo e non viene eseguito automaticamente. È invece necessario innanzitutto aggiungere in modo esplicito utenti e gruppi all'archivio di identità aggiungendoli all'ambito di sincronizzazione. Per informazioni sui passaggi consigliati per automatizzare la configurazione di sincronizzazione per la sincronizzazione AD configurabile, consulta. Automatizza la configurazione di sincronizzazione per una sincronizzazione AD configurabile

Come funziona la sincronizzazione AD configurabile

IAM Identity Center aggiorna i dati di identità basati su AD nell'archivio delle identità utilizzando il seguente processo.

Creazione

Dopo aver collegato la directory autogestita in Active Directory o la AWS Managed Microsoft AD directory gestita da AWS Directory Service IAM Identity Center, puoi configurare in modo esplicito gli utenti e i gruppi di Active Directory che desideri sincronizzare nell'archivio di identità di IAM Identity Center. Le identità scelte verranno sincronizzate ogni tre ore circa nell'archivio di identità di IAM Identity Center. A seconda delle dimensioni della directory, il processo di sincronizzazione potrebbe richiedere più tempo.

Anche i gruppi che sono membri di altri gruppi (denominati gruppi annidati o gruppi secondari) vengono scritti nell'archivio di identità. Quando si eseguono assegnazioni a un gruppo in Active Directory che contiene gruppi nidificati, il modo in cui vengono applicate le assegnazioni dipende dal fatto che si utilizzi la sincronizzazione AD o la sincronizzazione AD configurabile. Per ulteriori informazioni, consulta Making assignments to nested groups in Active Directory.

Puoi assegnare l'accesso a nuovi utenti o gruppi solo dopo che sono stati sincronizzati nell'archivio di identità di IAM Identity Center.

Aggiornamento

I dati di identità nell'archivio di identità di IAM Identity Center rimangono aggiornati leggendo periodicamente i dati dalla directory di origine in Active Directory. Per impostazione predefinita, IAM Identity Center sincronizza i dati da Active Directory ogni ora in un ciclo di sincronizzazione. La sincronizzazione dei dati con IAM Identity Center può richiedere da 30 minuti a 2 ore, in base alle dimensioni di Active Directory.

Gli oggetti utente e di gruppo inclusi nell'ambito di sincronizzazione e le relative appartenenze vengono creati o aggiornati in IAM Identity Center per essere mappati agli oggetti corrispondenti nella directory di origine in Active Directory. Per gli attributi utente, solo il sottoinsieme di attributi elencati nella sezione Attributi per il controllo degli accessi della console IAM Identity Center viene aggiornato in IAM Identity Center. Potrebbe essere necessario un ciclo di sincronizzazione affinché tutti gli aggiornamenti degli attributi apportati in Active Directory si riflettano in IAM Identity Center.

Puoi anche aggiornare il sottoinsieme di utenti e gruppi che sincronizzi nell'archivio di identità di IAM Identity Center. Puoi scegliere di aggiungere nuovi utenti o gruppi a questo sottoinsieme o rimuoverli. Tutte le identità aggiunte vengono sincronizzate alla successiva sincronizzazione pianificata. Le identità rimosse dal sottoinsieme smetteranno di essere aggiornate nell'archivio di identità di IAM Identity Center. Qualsiasi utente che non è sincronizzato per più di 28 giorni verrà disabilitato nell'archivio di identità di IAM Identity Center. Gli oggetti utente corrispondenti verranno automaticamente disabilitati nell'archivio di identità di IAM Identity Center durante il ciclo di sincronizzazione successivo, a meno che non facciano parte di un altro gruppo che fa ancora parte dell'ambito di sincronizzazione.

Eliminazione

Gli utenti e i gruppi vengono eliminati dall'archivio di identità di IAM Identity Center quando gli oggetti utente o gruppo corrispondenti vengono eliminati dalla directory di origine in Active Directory. In alternativa, puoi eliminare in modo esplicito gli oggetti utente dall'archivio di identità IAM Identity Center utilizzando la console IAM Identity Center. Se utilizzi la console IAM Identity Center, devi anche rimuovere gli utenti dall'ambito di sincronizzazione per garantire che non vengano risincronizzati con IAM Identity Center durante il ciclo di sincronizzazione successivo.

Puoi anche mettere in pausa e riavviare la sincronizzazione in qualsiasi momento. Se sospendi la sincronizzazione per più di 28 giorni, tutti gli utenti verranno disabilitati.

Configura e gestisci l'ambito di sincronizzazione

Puoi configurare l'ambito di sincronizzazione in uno dei seguenti modi:

  • Configurazione guidata: se sincronizzi utenti e gruppi da Active Directory a IAM Identity Center per la prima volta, segui i passaggi indicati Configurazione guidata per configurare l'ambito di sincronizzazione. Dopo aver completato la configurazione guidata, puoi modificare l'ambito di sincronizzazione in qualsiasi momento seguendo le altre procedure in questa sezione.

  • Se hai già utenti e gruppi sincronizzati in IAM Identity Center o non desideri seguire la configurazione guidata, scegli Gestisci la sincronizzazione. Ignora la procedura di configurazione guidata e segui le altre procedure in questa sezione, se necessario per configurare e gestire l'ambito di sincronizzazione.

Configurazione guidata

  1. Apri la console IAM Identity Center.

    Nota

    Assicurati che la console IAM Identity Center utilizzi una delle directory Regioni AWS in cui si trova la tua AWS Managed Microsoft AD directory prima di passare alla fase successiva.

  2. Seleziona Impostazioni.

  3. Nella parte superiore della pagina, nel messaggio di notifica, scegli Avvia configurazione guidata.

  4. Nel passaggio 1, facoltativo: configura le mappature degli attributi, esamina le mappature degli attributi di utenti e gruppi predefinite. Se non sono necessarie modifiche, scegli Avanti. Se sono necessarie modifiche, apporta le modifiche e quindi scegli Salva modifiche.

  5. Nel passaggio 2, facoltativo: configura l'ambito di sincronizzazione, scegli la scheda Utenti. Quindi, inserisci il nome utente esatto dell'utente che desideri aggiungere all'ambito di sincronizzazione e scegli Aggiungi. Quindi, scegli la scheda Gruppi. Inserisci il nome esatto del gruppo che desideri aggiungere all'ambito di sincronizzazione e scegli Aggiungi. Quindi, seleziona Next (Successivo). Se desideri aggiungere utenti e gruppi all'ambito di sincronizzazione in un secondo momento, non apportare modifiche e scegli Avanti.

  6. Nel Passaggio 3: Rivedi e salva la configurazione, conferma le mappature degli attributi nel Passaggio 1: Mappature degli attributi e gli Utenti e i gruppi nel Passaggio 2: Sincronizzazione dell'ambito. Seleziona Save configuration (Salva configurazione). Verrà visualizzata la pagina Gestisci sincronizzazione.

Aggiungi utenti e gruppi all'ambito di sincronizzazione

Come aggiungere utenti

  1. Apri la console IAM Identity Center.

  2. Seleziona Impostazioni.

  3. Nella pagina Impostazioni, scegli la scheda Origine dell'identità, scegli Azioni, quindi scegli Gestisci sincronizzazione.

  4. Nella pagina Gestisci sincronizzazione, scegli la scheda Utenti, quindi scegli Aggiungi utenti e gruppi.

  5. Nella scheda Utenti, in Utente, inserisci il nome utente esatto e scegli Aggiungi.

  6. In Utenti e gruppi aggiunti, controlla l'utente che desideri aggiungere.

  7. Seleziona Invia.

  8. Nel pannello di navigazione, seleziona Utenti.

  9. Nella pagina Utenti, potrebbe essere necessario del tempo prima che l'utente specificato compaia nell'elenco. Scegli l'icona di aggiornamento per aggiornare l'elenco degli utenti.

Per aggiungere gruppi

  1. Apri la console IAM Identity Center.

  2. Seleziona Impostazioni.

  3. Nella pagina Impostazioni, scegli la scheda Origine dell'identità, scegli Azioni, quindi scegli Gestisci sincronizzazione.

  4. Nella pagina Gestisci sincronizzazione, scegli la scheda Gruppi, quindi scegli Aggiungi utenti e gruppi.

  5. Scegliere la scheda Groups (Gruppi). In Gruppo, inserisci il nome esatto del gruppo e scegli Aggiungi.

  6. In Utenti e gruppi aggiunti, controlla il gruppo che desideri aggiungere.

  7. Seleziona Invia.

  8. Nel riquadro di navigazione, selezionare Groups (Gruppi ).

  9. Nella pagina Gruppi, potrebbe essere necessario del tempo prima che il gruppo specificato compaia nell'elenco. Scegli l'icona di aggiornamento per aggiornare l'elenco dei gruppi.

Rimuovi utenti e gruppi dall'ambito di sincronizzazione

Per ulteriori informazioni su cosa succede quando rimuovi utenti e gruppi dall'ambito di sincronizzazione, consultaCome funziona la sincronizzazione AD configurabile.

Per rimuovere utenti

  1. Apri la console IAM Identity Center.

  2. Seleziona Impostazioni.

  3. Nella pagina Impostazioni, scegli la scheda Origine dell'identità, scegli Azioni, quindi scegli Gestisci sincronizzazione.

  4. Scegli la scheda Users (Utenti);

  5. In Utenti nell'ambito di sincronizzazione, seleziona la casella di controllo accanto all'utente che desideri eliminare. Per eliminare tutti gli utenti, seleziona la casella di controllo accanto a Nome utente.

  6. Scegli Rimuovi.

Per rimuovere gruppi

  1. Apri la console IAM Identity Center.

  2. Seleziona Impostazioni.

  3. Nella pagina Impostazioni, scegli la scheda Origine dell'identità, scegli Azioni, quindi scegli Gestisci sincronizzazione.

  4. Scegliere la scheda Groups (Gruppi).

  5. In Gruppi nell'ambito di sincronizzazione, seleziona la casella di controllo accanto all'utente che desideri eliminare. Per eliminare tutti i gruppi, seleziona la casella di controllo accanto al nome del gruppo.

  6. Scegli Rimuovi.

Metti in pausa e riprendi la sincronizzazione

La sospensione della sincronizzazione sospende tutti i cicli di sincronizzazione futuri e impedisce che le modifiche apportate a utenti e gruppi in Active Directory si riflettano in IAM Identity Center. Dopo aver ripreso la sincronizzazione, il ciclo di sincronizzazione riprende queste modifiche dalla successiva sincronizzazione pianificata.

Per mettere in pausa la sincronizzazione

  1. Apri la console IAM Identity Center.

  2. Seleziona Impostazioni.

  3. Nella pagina Impostazioni, scegli la scheda Origine dell'identità, scegli Azioni, quindi scegli Gestisci sincronizzazione.

  4. In Gestisci sincronizzazione, scegli Metti in pausa la sincronizzazione.

Per riprendere la sincronizzazione

  1. Apri la console IAM Identity Center.

  2. Seleziona Impostazioni.

  3. Nella pagina Impostazioni, scegli la scheda Origine dell'identità, scegli Azioni, quindi scegli Gestisci sincronizzazione.

  4. In Gestisci sincronizzazione, scegli Riprendi sincronizzazione.

    Nota

    Se vedi Sospendi la sincronizzazione anziché Riprendi la sincronizzazione, la sincronizzazione da Active Directory a IAM Identity Center è già stata ripresa.

Configura le mappature degli attributi per la sincronizzazione

Per ulteriori informazioni sugli attributi disponibili, vedere. AWS Managed Microsoft AD Mappature degli attributi per le directory

Per configurare le mappature degli attributi in IAM Identity Center nella tua directory

  1. Apri la console IAM Identity Center.

  2. Seleziona Impostazioni.

  3. Nella pagina Impostazioni, scegli la scheda Origine dell'identità, scegli Azioni, quindi scegli Gestisci sincronizzazione.

  4. In Gestisci sincronizzazione, scegli Visualizza mappatura degli attributi.

  5. In Attributi utente di Active Directory, configura gli attributi dell'archivio di identità di IAM Identity Center e gli attributi utente di Active Directory. Ad esempio, potresti voler mappare l'attributo Identity Store di identità di IAM Identity Center email all'attributo della directory utente di Active Directory${objectguid}.

    Nota

    In Attributi di gruppo, gli attributi dell'archivio di identità di IAM Identity Center e gli attributi del gruppo Active Directory non possono essere modificati.

  6. Seleziona Salvataggio delle modifiche. Questo ti riporta alla pagina Manage Sync.

Automatizza la configurazione di sincronizzazione per una sincronizzazione AD configurabile

Per garantire che il flusso di lavoro automatizzato funzioni come previsto con la sincronizzazione AD configurabile, ti consigliamo di eseguire i seguenti passaggi per automatizzare la configurazione di sincronizzazione.

Per automatizzare la configurazione di sincronizzazione per la sincronizzazione AD configurabile

  1. In Active Directory, crea un gruppo di sincronizzazione principale che contenga tutti gli utenti e i gruppi che desideri sincronizzare con IAM Identity Center. Ad esempio, puoi denominare il gruppo IAM IdentityCenterAllUsersAndGroups.

  2. In IAM Identity Center, aggiungi il gruppo di sincronizzazione principale all'elenco di sincronizzazione configurabile. IAM Identity Center sincronizzerà tutti gli utenti, i gruppi, i sottogruppi e i membri di tutti i gruppi contenuti nel gruppo di sincronizzazione principale.

  3. Utilizza le azioni dell'API di gestione di utenti e gruppi di Active Directory fornite da Microsoft per aggiungere o rimuovere utenti e gruppi dal gruppo di sincronizzazione principale.