Sincronização configurável no AD do IAM Identity Center - AWS IAM Identity Center
Pré-requisitos e consideraçõesComo funciona a sincronização configurável do ADConfigure e gerencie seu escopo de sincronização

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Sincronização configurável no AD do IAM Identity Center

A sincronização configurável do Active Directory (AD) do IAM Identity Center permite que você configure explicitamente as identidades no Microsoft Active Directory que são sincronizadas automaticamente com o IAM Identity Center e controle o processo de sincronização.

Os tópicos a seguir fornecem informações para permitir que você configure e administre a sincronização configurável do AD.

Pré-requisitos e considerações

Antes de usar o AD Sync configurável, esteja ciente dos seguintes pré-requisitos e considerações:

  • Como especificar usuários e grupos no Active Directory para sincronização

    Antes de usar o IAM Identity Center para atribuir a novos usuários e grupos acesso Contas da AWS e aos aplicativos AWS gerenciados ou aplicativos gerenciados pelo cliente, você deve especificar os usuários e grupos no Active Directory para sincronizar e depois sincronizá-los com o IAM Identity Center.

    • Sincronização do AD — Quando você faz atribuições para novos usuários e grupos usando o console do IAM Identity Center ou ações relacionadas da API de atribuição, o IAM Identity Center pesquisa diretamente no controlador de domínio os usuários ou grupos especificados, conclui a atribuição e sincroniza periodicamente os metadados do usuário ou do grupo no IAM Identity Center.

    • Sincronização configurável do AD — o IAM Identity Center não pesquisa usuários e grupos diretamente em seu controlador de domínio. Em vez disso, você deve primeiro especificar a lista de usuários e grupos a serem sincronizados. Você pode configurar essa lista, também conhecida como escopo de sincronização, de uma das seguintes formas, dependendo se você tem usuários e grupos que já estão sincronizados com o IAM Identity Center ou se tem novos usuários e grupos que você está sincronizando pela primeira vez usando a sincronização configurável do AD.

      • Usuários e grupos existentes: se você tiver usuários e grupos que já estão sincronizados com o IAM Identity Center, o escopo de sincronização na sincronização configurável do AD é pré-preenchido com uma lista desses usuários e grupos. Para atribuir novos usuários ou grupos, você deve adicioná-los especificamente ao escopo de sincronização. Para ter mais informações, consulte Adicione usuários e grupos ao escopo de sincronização.

      • Novos usuários e grupos: se você quiser atribuir a novos usuários e grupos acesso a Contas da AWS e aos aplicativos, você deve especificar quais usuários e grupos adicionar ao escopo de sincronização na sincronização configurável do AD antes de usar o IAM Identity Center para fazer a atribuição. Para ter mais informações, consulte Adicione usuários e grupos ao escopo de sincronização.

  • Fazendo atribuições para grupos aninhados no Active Directory

    Os grupos que são membros de outros grupos são chamados de grupos aninhados (ou grupos secundários). Quando você faz atribuições em um grupo no Active Directory que contém grupos aninhados, a forma como as atribuições são aplicadas depende se você usa a sincronização do AD ou a sincronização configurável do AD.

    • Sincronização AD — Quando você faz atribuições para um grupo no Active Directory que contém grupos aninhados, somente os membros diretos do grupo podem acessar a conta. Por exemplo, se você atribuir acesso ao Grupo A e o Grupo B for membro do Grupo A, somente os membros diretos do Grupo A poderão acessar a conta. Nenhum membro do Grupo B herda o acesso.

    • Sincronização configurável do AD — Usar a sincronização configurável do AD para fazer atribuições a um grupo no Active Directory que contém grupos aninhados pode aumentar o escopo dos usuários que têm acesso ou aos Contas da AWS aplicativos. Nesse caso, o exercício se aplica a todos os usuários, incluindo aqueles em grupos aninhados. Por exemplo, se você atribuir acesso ao Grupo A e o Grupo B for membro do Grupo A, somente os membros diretos do Grupo A poderão acessar a conta.

  • Atualização de fluxos de trabalho automatizados

    Se você tiver fluxos de trabalho automatizados que usam as ações da API de armazenamento de identidades do IAM Identity Center e as ações da API de atribuição do IAM Identity Center para atribuir a novos usuários e grupos acesso a contas e aplicativos e sincronizá-los com o IAM Identity Center, você deve ajustar esses fluxos de trabalho até 15 de abril de 2022 para que funcionem conforme o esperado com a sincronização configurável do AD. A sincronização configurável do AD altera a ordem na qual a atribuição e o provisionamento de usuários e grupos ocorrem e a forma como as consultas são realizadas.

    • Sincronização do AD — O processo de atribuições ocorre primeiro. Você atribui aos usuários e grupos acesso aos Contas da AWS aplicativos. Depois que os usuários e grupos recebem acesso, eles são automaticamente provisionados (sincronizados com o IAM Identity Center). Se você tem um fluxo de trabalho automatizado, isso significa que, ao adicionar um novo usuário ao Active Directory, seu fluxo de trabalho automatizado pode consultar o Active Directory para o usuário usando a ação da ListUser API do repositório de identidades e, em seguida, atribuir o acesso ao usuário usando as ações da API de atribuição do IAM Identity Center. Como o usuário tem uma atribuição, esse usuário é automaticamente provisionado no IAM Identity Center.

    • Sincronização configurável do AD — O provisionamento ocorre primeiro e não é executado automaticamente. Em vez disso, primeiro você deve adicionar explicitamente usuários e grupos ao repositório de identidades adicionando-os ao seu escopo de sincronização. Para obter informações sobre as etapas recomendadas para automatizar sua configuração de sincronização para sincronização configurável do AD, consulte Automatize sua configuração de sincronização para sincronização configurável do AD.

Como funciona a sincronização configurável do AD

O IAM Identity Center atualiza os dados de identidade baseados em AD no repositório de identidades usando o processo a seguir.

Criação

Depois de conectar seu diretório autogerenciado no Active Directory ou seu AWS Managed Microsoft AD diretório gerenciado pelo AWS Directory Service ao IAM Identity Center, você pode configurar explicitamente os usuários e grupos do Active Directory que você deseja sincronizar no repositório de identidades do IAM Identity Center. As identidades que você escolher serão sincronizadas a cada três horas ou mais no repositório de identidades do IAM Identity Center. Dependendo do tamanho do seu diretório, o processo de sincronização pode demorar mais.

Grupos que são membros de outros grupos (chamados grupos aninhados ou grupos secundários) também são gravados no repositório de identidades. Quando você faz atribuições em um grupo no Active Directory que contém grupos aninhados, a forma como as atribuições são aplicadas depende se você usa a sincronização do AD ou a sincronização configurável do AD. Para ter mais informações, consulte Making assignments to nested groups in Active Directory.

Você só pode atribuir acesso a novos usuários ou grupos depois que eles forem sincronizados no repositório de identidades do IAM Identity Center.

Atualizar

Os dados de identidade no repositório de identidades do IAM Identity Center permanecem atualizados por meio da leitura periódica dos dados do diretório de origem no Active Directory. O IAM Identity Center sincroniza dados do seu Active Directory a cada hora em um ciclo de sincronização por padrão. Pode levar de 30 minutos a 2 horas para que os dados sejam sincronizados com o IAM Identity Center, com base no tamanho do seu Active Directory.

Os objetos de usuário e grupo que estão no escopo de sincronização e suas associações são criados ou atualizados no IAM Identity Center para mapear os objetos correspondentes no diretório de origem no Active Directory. Para atributos do usuário, somente o subconjunto de atributos listados na seção Attributes for access control do console do IAM Identity Center é atualizado no IAM Identity Center. Pode ser necessário um ciclo de sincronização para que qualquer atualização de atributo feita no Active Directory seja refletida no IAM Identity Center.

Você também pode atualizar o subconjunto de usuários e grupos que você sincroniza no repositório de identidades do IAM Identity Center. Você pode optar por adicionar novos usuários ou grupos a esse subconjunto ou removê-los. Todas as identidades que você adicionar serão sincronizadas na próxima sincronização agendada. As identidades que você remover do subconjunto deixarão de ser atualizadas no armazenamento de identidades do IAM Identity Center. Qualquer usuário que não estiver sincronizado por mais de 28 dias será desativado no repositório de identidades do IAM Identity Center. Os objetos de usuário correspondentes serão automaticamente desativados no repositório de identidades do IAM Identity Center durante o próximo ciclo de sincronização, a menos que façam parte de outro grupo que ainda faça parte do escopo da sincronização.

Exclusão

Usuários e grupos são excluídos do repositório de identidades do IAM Identity Center quando os objetos de usuário ou grupo correspondentes são excluídos do diretório de origem no Active Directory. Como alternativa, você pode excluir explicitamente objetos de usuário do repositório de identidades do IAM Identity Center usando o console do IAM Identity Center. Se você usa o console do IAM Identity Center, também deve remover os usuários do escopo de sincronização para garantir que eles não sejam sincronizados novamente com o IAM Identity Center durante o próximo ciclo de sincronização.

Você também pode pausar e reiniciar a sincronização a qualquer momento. Se você pausar a sincronização por mais de 28 dias, todos os seus usuários serão desativados.

Configure e gerencie seu escopo de sincronização

É possível configurar o escopo de sincronização de uma das seguintes formas:

  • Configuração guiada: se você estiver sincronizando seus usuários e grupos do Active Directory no IAM Identity Center pela primeira vez, siga as etapas em Configuração guiada para configurar seu escopo de sincronização. Depois de concluir a configuração guiada, você pode modificar seu escopo de sincronização a qualquer momento seguindo os outros procedimentos desta seção.

  • Se você já tem usuários e grupos sincronizados no IAM Identity Center ou não quer seguir a configuração guiada, escolha Manage sync. Ignore o procedimento de configuração guiada e siga os outros procedimentos desta seção, conforme necessário, para configurar e gerenciar seu escopo de sincronização.

Configuração guiada

  1. Abra o console do IAM Identity Center.

    nota

    Certifique-se de que o console do IAM Identity Center esteja usando um dos Regiões da AWS locais em que seu AWS Managed Microsoft AD diretório está localizado antes de passar para a próxima etapa.

  2. Escolha Settings.

  3. Na parte superior da página, na mensagem de notificação, escolha Start guided setup.

  4. Na Etapa 1 — opcional: Configurar mapeamentos de atributos, revise os mapeamentos padrão de atributos de usuário e grupo. Se nenhuma alteração for necessária, escolha Next. Se forem necessárias alterações, faça as alterações e escolha Save changes.

  5. Na Etapa 2 — opcional: Configurar o escopo da sincronização, escolha a guia Users. Em seguida, insira o nome de usuário exato do usuário que você deseja adicionar ao seu escopo de sincronização e escolha Add. Em seguida, escolha a guia Groups. Insira o nome exato do grupo que você deseja adicionar ao seu escopo de sincronização e escolha Add. Em seguida, escolha Next. Se você quiser adicionar usuários e grupos ao seu escopo de sincronização posteriormente, não faça alterações e escolha Next.

  6. Na Etapa 3: Revise e salve a configuração, confirme seus mapeamentos de atributos na Etapa 1: Mapeamentos de atributos e seus usuários e grupos na Etapa 2: Escopo de sincronização. Escolha Save configuration. Isso o levará para a página Gerenciar Sincronização.

Adicione usuários e grupos ao escopo de sincronização

Como adicionar usuários

  1. Abra o console do IAM Identity Center.

  2. Escolha Settings.

  3. Na página Configurações, escolha a guia Origem da identidade, escolha Ações e, em seguida, Gerenciar sincronização.

  4. Na página Gerenciar sincronização , escolha a guia Usuários e Adicionar usuários e grupos.

  5. Na guia User, em User, insira o nome de usuário exato e escolha Adicionar.

  6. Em Usuários e grupos adicionados, revise o usuário que você deseja adicionar.

  7. Selecione Submit.

  8. No painel de navegação, escolha Users.

  9. Na página Usuários, pode levar algum tempo para que o usuário que você especificou apareça na lista. Escolha o ícone de atualização para atualizar a lista de usuários.

Para adicionar grupos

  1. Abra o console do IAM Identity Center.

  2. Escolha Settings.

  3. Na página Configurações, escolha a guia Identity source, escolha Actions e, em seguida, escolha Manage Sync.

  4. Na página Manage Sync, escolha a guia Groups e, em seguida, escolha Add users and groups.

  5. Escolha a guia Groups. Em Grupo, insira o nome exato do grupo e escolha Add.

  6. Em Added Users and Groups, revise o grupo que você deseja adicionar.

  7. Selecione Submit.

  8. No painel de navegação, escolha Groups.

  9. Na página Groups, pode levar algum tempo para que o grupo que você especificou apareça na lista. Escolha o ícone de atualização para atualizar a lista de grupos.

Remova usuários e grupos ao escopo de sincronização

Para obter mais informações sobre o que acontece quando você remove usuários e grupos do seu escopo de sincronização, consulte Como funciona a sincronização configurável do AD.

Para remover um usuário

  1. Abra o console do IAM Identity Center.

  2. Escolha Settings.

  3. Na página Configurações, escolha a guia Identity source, escolha Actions e, em seguida, escolha Manage Sync.

  4. Escolha a guia Users.

  5. Em Usuários no escopo de sincronização, marque a caixa de seleção ao lado do usuário que você deseja excluir. Para excluir todos os usuários, marque a caixa de seleção ao lado do Username.

  6. Escolha Remover.

Para remover grupos

  1. Abra o console do IAM Identity Center.

  2. Escolha Settings.

  3. Na página Configurações, escolha a guia Identity source, escolha Actions e, em seguida, escolha Manage Sync.

  4. Escolha a guia Groups.

  5. Em Groups in sync scope, marque a caixa de seleção ao lado do usuário que você deseja excluir. Para excluir todos os grupos, marque a caixa de seleção ao lado Group name.

  6. Escolha Remover.

Interromper e retomar a sincronização

Pausar sua sincronização pausa todos os ciclos de sincronização futuros e impede que as alterações feitas nos usuários e grupos no Active Directory sejam refletidas no IAM Identity Center. Depois de retomar a sincronização, o ciclo de sincronização seleciona essas alterações na próxima sincronização agendada.

Para pausar a sincronização

  1. Abra o console do IAM Identity Center.

  2. Escolha Settings.

  3. Na página Configurações, escolha a guia Identity source, escolha Actions e, em seguida, escolha Manage Sync.

  4. Em Manage Sync, escolha Pause sync.

Para retomar a sincronização

  1. Abra o console do IAM Identity Center.

  2. Escolha Settings.

  3. Na página Configurações, escolha a guia Identity source, escolha Actions e, em seguida, escolha Manage Sync.

  4. Em Manage Sync, escolha Resume sync.

    nota

    Se você vir Pause sync em vez de Resume sync, a sincronização do Active Directory com o IAM Identity Center já foi retomada.

Configure mapeamentos de atributos para sua sincronização

Para obter mais informações sobre atributos disponíveis, consulte Mapeamentos de atributos para diretório AWS Managed Microsoft AD.

Mapear atributos no IAM Identity Center para atributos em seu diretório

  1. Abra o console do IAM Identity Center.

  2. Escolha Settings.

  3. Na página Configurações, escolha a guia Identity source, escolha Actions e, em seguida, escolha Manage Sync.

  4. Em Manage Sync, escolha View attribute mapping.

  5. Em Active Directory user attributes do IAM Identity Center identity store attributes de Active Directory user attributes. Por exemplo, talvez você queira mapear o atributo de usuário do IAM Identity Center para o email atributo de diretório do Microsoft AD${objectguid}.

    nota

    Em Atributos de Group attributes do IAM Identity Center identity store attributes Active Directory group attributes não podem ser alterados.

  6. Escolha Save changes. Isso o levará de volta à página Manage Sync.

Automatize sua configuração de sincronização para sincronização configurável do AD

Para garantir que seu fluxo de trabalho automatizado funcione conforme o esperado com a sincronização configurável do AD, recomendamos que você execute as etapas a seguir para automatizar sua configuração de sincronização.

Automatize sua configuração de sincronização para sincronização configurável do AD

  1. No Active Directory, crie um grupo de sincronização principal para conter todos os usuários e grupos que você deseja sincronizar no IAM Identity Center. Por exemplo, você pode nomear o grupo IAM IdentityCenterAllUsersAndGroups.

  2. No IAM Identity Center, adicione o grupo de sincronização principal à sua lista de sincronização configurável. O IAM Identity Center sincronizará todos os usuários, grupos, subgrupos e membros de todos os grupos contidos no grupo de sincronização principal.

  3. Use as ações da API de gerenciamento de usuários e grupos do Active Directory fornecidas pela Microsoft para adicionar ou remover usuários e grupos do grupo de sincronização principal.