Usar o Active Directory como uma fonte de identidades - AWS IAM Identity Center

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Usar o Active Directory como uma fonte de identidades

Se estiver gerenciando usuários no diretório do AWS Managed Microsoft AD usando o AWS Directory Service ou em seu diretório autogerenciado no Active Directory (AD), você poderá alterar sua fonte de identidades do IAM Identity Center para trabalhar com esses usuários. Recomendamos que você considere conectar essa fonte de identidades quando habilitar o IAM Identity Center e escolher a fonte de identidade. Fazer isso antes de criar qualquer usuário e grupo no diretório padrão do Centro de Identidade ajudará a evitar a configuração adicional necessária se você alterar sua fonte de identidade posteriormente.

Se você quiser usar o Active Directory como a fonte de identidades, a configuração deverá atender aos seguintes pré-requisitos:

  • Se você estiver usando o AWS Managed Microsoft AD, deve habilitar o Centro de Identidade do IAM na mesma Região da AWS em que seu diretório AWS Managed Microsoft AD estiver configurado. O Centro de Identidade do IAM armazena os dados de atribuição na mesma região do diretório. Para administrar o Centro de Identidade do IAM, talvez seja necessário mudar para a região em que ele estiver configurado. Além disso, observe que o portal de acesso da AWS usa o mesmo URL de acesso que o diretório.

  • Use um Active Directory residente na conta de gerenciamento:

    Você deve ter um AD Connector ou um diretório do AWS Managed Microsoft AD configurado no AWS Directory Service e residente na conta de gerenciamento do AWS Organizations. Você pode conectar somente um diretório do AD Connector ou um diretório por AWS Managed Microsoft AD vez. Se você precisar oferecer suporte a vários domínios ou florestas, use AWS Managed Microsoft AD. Para obter mais informações, consulte:

  • Use um Active Directory residente na conta do administrador delegado:

    Se você planejar habilitar o administrador delegado do IAM Identity Center e usar o Active Directory como a fonte de identidades do IAM Identity Center, poderá usar um AD Connector ou diretório do AWS Managed Microsoft AD existente configurado no AWS Directory residente na conta do administrador delegado.

    Se você decidir alterar a fonte de identidade do IAM Identity Center de qualquer outra fonte para o Active Directory ou alterá-la do Active Directory para qualquer outra fonte, o diretório deverá residir (pertencer à) conta de membro do administrador delegado do IAM Identity Center, se houver; caso contrário, deverá estar na conta de gerenciamento.

Este tutorial orienta você na configuração básica para usar o Active Directory como uma fonte de identidades do IAM Identity Center.

Se já estiver usando o Active Directory, os tópicos a seguir ajudarão você a conectar o diretório ao IAM Identity Center.

nota

Como uma prática recomendada de segurança, habilite a autenticação multifator. Se você planeja conectar um diretório AWS Managed Microsoft AD ou um diretório autogerenciado no Active Directory e não está usando o RADIUS MFA com o AWS Directory Service, habilite a MFA no Centro de Identidade do IAM.

AWS Managed Microsoft AD

  1. Revise as orientações em Conectar-se a um diretório Microsoft AD.

  2. Siga as etapas em Conecte um diretório AWS Managed Microsoft AD ao IAM Identity Center.

  3. Configure o Active Directory para sincronizar o usuário ao qual você deseja conceder permissões administrativas no IAM Identity Center. Para obter mais informações, consulte Sincronizar um usuário administrativo para o IAM Identity Center.

Diretório autogerenciado no Active Directory

  1. Revise as orientações em Conectar-se a um diretório Microsoft AD.

  2. Siga as etapas em Conecte um diretório autogerenciado no Active Directory ao IAM Identity Center.

  3. Configure o Active Directory para sincronizar o usuário ao qual você deseja conceder permissões administrativas no IAM Identity Center. Para obter mais informações, consulte Sincronizar um usuário administrativo para o IAM Identity Center.

Depois de conectar seu diretório ao Centro de Identidade do IAM, você pode especificar um usuário ao qual deseja conceder permissões administrativas e, em seguida, sincronizá-lo do seu diretório com o Centro de Identidade do IAM.

  1. Abra o console do Centro de Identidade do IAM.

  2. Escolha Settings.

  3. Na página Configurações, escolha a guia Origem da identidade, escolha Ações e, em seguida, Gerenciar sincronização.

  4. Na página Gerenciar sincronização , escolha a guia Usuários e Adicionar usuários e grupos.

  5. Na guia Usuários, em Usuário, insira o nome do usuário exato e escolha Adicionar.

  6. Em Usuários e grupos adicionados, faça o seguinte:

    1. Confirme se o usuário para o qual você deseja conceder permissões administrativas foi especificado.

    2. Marque a caixa de seleção à esquerda do nome do usuário.

    3. Selecione Enviar.

  7. Na página Gerenciar sincronização, o usuário que você especificou aparece na lista Usuários no escopo de sincronização.

  8. No painel de navegação, escolha Users.

  9. Na página Usuários, pode levar algum tempo para que o usuário que você especificou apareça na lista. Escolha o ícone de atualização para atualizar a lista de usuários.

Neste momento, seu usuário não tem acesso à conta de gerenciamento. Você configurará o acesso administrativo a essa conta criando um conjunto de permissões administrativas e atribuindo o usuário a esse conjunto de permissões. Para obter mais informações, consulte Criar um conjunto de permissões.