IAMSincronização AD configurável do Identity Center - AWS IAM Identity Center
Pré-requisitos e considerações

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

IAMSincronização AD configurável do Identity Center

IAMA sincronização configurável do Active Directory (AD) do Identity Center permite que você configure explicitamente as identidades no Microsoft Active Directory que são sincronizadas automaticamente com o IAM Identity Center e controle o processo de sincronização.

Pré-requisitos e considerações

Antes de usar o AD Sync configurável, esteja ciente dos seguintes pré-requisitos e considerações:

  • Como especificar usuários e grupos no Active Directory para sincronização

    Antes que você possa usar o IAM Identity Center para atribuir acesso a novos usuários e grupos Contas da AWS e para AWS aplicativos gerenciados ou aplicativos gerenciados pelo cliente, você deve especificar os usuários e grupos no Active Directory para sincronizar e, em seguida, sincronizá-los no IAM Identity Center.

    • Sincronização do AD — Quando você faz atribuições para novos usuários e grupos usando o console do IAM Identity Center ou API ações de atribuição relacionadas, o IAM Identity Center pesquisa diretamente no controlador de domínio os usuários ou grupos especificados, conclui a atribuição e sincroniza periodicamente os metadados do usuário ou do grupo no Identity Center. IAM

    • Sincronização configurável do AD — o IAM Identity Center não pesquisa usuários e grupos diretamente em seu controlador de domínio. Em vez disso, você deve primeiro especificar a lista de usuários e grupos a serem sincronizados. Você pode configurar essa lista, também conhecida como escopo de sincronização, de uma das maneiras a seguir, dependendo se você tem usuários e grupos que já estão sincronizados com o IAM Identity Center ou se tem novos usuários e grupos que você está sincronizando pela primeira vez usando a sincronização configurável do AD.

      • Usuários e grupos existentes: se você tiver usuários e grupos que já estão sincronizados com o IAM Identity Center, o escopo de sincronização na sincronização configurável do AD é pré-preenchido com uma lista desses usuários e grupos. Para atribuir novos usuários ou grupos, você deve adicioná-los especificamente ao escopo de sincronização. Para obter mais informações, consulte Adicione usuários e grupos ao escopo de sincronização.

      • Novos usuários e grupos: se você quiser atribuir acesso a novos usuários e grupos Contas da AWS e para os aplicativos, você deve especificar quais usuários e grupos adicionar ao escopo de sincronização na sincronização configurável do AD antes de poder usar o IAM Identity Center para fazer a atribuição. Para obter mais informações, consulte Adicione usuários e grupos ao escopo de sincronização.

  • Fazendo atribuições para grupos aninhados no Active Directory

    Os grupos que são membros de outros grupos são chamados de grupos aninhados (ou grupos secundários). Quando você faz atribuições em um grupo no Active Directory que contém grupos aninhados, a forma como as atribuições são aplicadas depende se você usa a sincronização do AD ou a sincronização configurável do AD.

    • Sincronização AD — Quando você faz atribuições para um grupo no Active Directory que contém grupos aninhados, somente os membros diretos do grupo podem acessar a conta. Por exemplo, se você atribuir acesso ao Grupo A e o Grupo B for membro do Grupo A, somente os membros diretos do Grupo A poderão acessar a conta. Nenhum membro do Grupo B herda o acesso.

    • Sincronização configurável do AD — Usar a sincronização configurável do AD para fazer atribuições a um grupo no Active Directory que contém grupos aninhados pode aumentar o escopo dos usuários que têm acesso a Contas da AWS ou para aplicativos. Nesse caso, o exercício se aplica a todos os usuários, incluindo aqueles em grupos aninhados. Por exemplo, se você atribuir acesso ao Grupo A e o Grupo B for membro do Grupo A, somente os membros diretos do Grupo A poderão acessar a conta.

  • Atualização de fluxos de trabalho automatizados

    Se você tiver fluxos de trabalho automatizados que usam as IAM ações de armazenamento de identidades e API as ações de atribuição API do IAM Identity Center para atribuir a novos usuários e grupos acesso a contas e aplicativos e sincronizá-los com o IAM Identity Center, você deve ajustar esses fluxos de trabalho até 15 de abril de 2022 para que funcionem conforme o esperado com a sincronização configurável do AD. A sincronização configurável do AD altera a ordem na qual a atribuição e o provisionamento de usuários e grupos ocorrem e a forma como as consultas são realizadas.

    • Sincronização do AD — O processo de atribuições ocorre primeiro. Você atribui acesso a usuários e grupos ao Contas da AWS e aos aplicativos. Depois que os usuários e grupos recebem acesso, eles são automaticamente provisionados (sincronizados com o IAM Identity Center). Se você tiver um fluxo de trabalho automatizado, isso significa que quando você adiciona um novo usuário ao Active Directory, seu fluxo de trabalho automatizado pode consultar o Active Directory para o usuário usando a ListUser API ação de armazenamento de identidades e, em seguida, atribuir acesso ao usuário usando as API ações de atribuição do IAM Identity Center. Como o usuário tem uma atribuição, esse usuário é automaticamente provisionado no IAM Identity Center.

    • Sincronização configurável do AD — O provisionamento ocorre primeiro e não é executado automaticamente. Em vez disso, primeiro você deve adicionar explicitamente usuários e grupos ao repositório de identidades adicionando-os ao seu escopo de sincronização. Para obter informações sobre as etapas recomendadas para automatizar sua configuração de sincronização para sincronização configurável do AD, consulte Automatize sua configuração de sincronização para sincronização configurável do AD.

Tópicos