Active Directory의 자체 관리 디렉터리를 IAM ID 센터에 연결

Active Directory (AD) 의 자체 관리형 디렉터리에 있는 사용자는 다음 항목에 대한 싱글 사인온 액세스 권한도 가질 수 있습니다. AWS 계정 및 에 있는 애플리케이션 AWS 액세스 포털. 이러한 사용자에 대한 Single Sign-On 액세스를 구성하려면 다음 중 하나를 수행할 수 있습니다.

• 양방향 신뢰 관계 생성 — 사이에 양방향 신뢰 관계가 형성되는 경우 AWS Managed Microsoft AD AD의 자체 관리형 디렉터리를 사용하면 AD의 자체 관리형 디렉터리에 있는 사용자가 회사 자격 증명을 사용하여 다양한 사이트에 로그인할 수 있습니다. AWS 서비스 및 비즈니스 애플리케이션. 단방향 트러스트는 IAM Identity Center와 함께 사용할 수 없습니다.

  AWS IAM Identity Center 사용자 및 그룹 메타데이터를 동기화하기 위해 도메인에서 사용자 및 그룹 정보를 읽을 수 있는 권한을 가지려면 양방향 트러스트가 필요합니다. IAMIdentity Center는 권한 집합 또는 애플리케이션에 액세스 권한을 할당할 때 이 메타데이터를 사용합니다. 사용자 및 그룹 메타데이터는 애플리케이션에서 다른 사용자 또는 그룹과 대시보드를 공유하는 경우와 같이 협업용으로도 사용됩니다. 트러스트: AWS Directory Service Microsoft Active Directory를 사용자 도메인으로 설정하면 IAM ID 센터가 인증을 위해 사용자 도메인을 신뢰할 수 있습니다. 반대 방향의 트러스트는 권한을 부여합니다. AWS 사용자 및 그룹 메타데이터를 읽을 수 있는 권한

  양방향 트러스트 설정에 대한 자세한 내용은 의 신뢰 관계 생성 시기를 참조하십시오. AWS Directory Service 관리 가이드.

  참고

  사용하려면 AWS IAM아이덴티티 센터와 같은 애플리케이션 (읽기 전용) AWS Directory Service 신뢰할 수 있는 도메인의 디렉터리 사용자, AWS Directory Service 계정에는 신뢰할 수 있는 사용자의 userAccountControl 속성에 대한 권한이 필요합니다. 이 속성에 대한 읽기 권한이 없으면 AWS 애플리케이션은 계정의 활성화 또는 비활성화 여부를 확인할 수 없습니다.

  트러스트가 생성되면 이 속성에 대한 읽기 권한이 기본적으로 제공됩니다. 이 속성에 대한 액세스를 거부하면 (권장되지 않음) Identity Center와 같은 응용 프로그램이 신뢰할 수 있는 사용자를 읽을 수 없게 됩니다. 해결 방법은 특별히 해당 userAccountControl 속성에 대한 읽기 액세스를 허용하는 것입니다. AWS 에 속하는 서비스 계정 AWS 예약된 OU (접두사) AWS_).

• AD 커넥터 생성 - AD Connector는 클라우드에 정보를 캐싱하지 않고도 디렉터리 요청을 자체 관리형 AD로 리디렉션할 수 있는 디렉터리 게이트웨이입니다. 자세한 내용은 의 디렉터리에 연결을 참조하십시오. AWS Directory Service 관리 가이드. 다음은 AD Connector를 사용할 때 고려할 사항입니다.

  • IAMIdentity Center를 AD Connector 디렉터리에 연결하는 경우 향후 사용자 암호 재설정은 AD 내에서 수행해야 합니다. 즉, 사용자는 다음에서 비밀번호를 재설정할 수 없습니다. AWS 포털에 접속하세요.

  • AD 커넥터를 사용하여 Active Directory 도메인 서비스를 IAM ID 센터에 연결하는 경우 IAM ID 센터는 AD 커넥터가 연결된 단일 도메인의 사용자 및 그룹에만 액세스할 수 있습니다. 여러 도메인이나 포리스트를 지원해야 하는 경우 다음을 사용하십시오. AWS Directory Service 마이크로소프트 액티브 디렉터리용.

  참고

  IAMID 센터는 SAMBA4 기반 Simple AD 디렉터리에서는 작동하지 않습니다.