活动目录同步 - 研究与工程工作室
运行时配置如何手动运行同步(版本 2024.12 及更高版本)SSO 配置

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

活动目录同步

运行时配置

在安装过程中,所有与活动目录 (AD) 相关的 CFN 参数都是可选的。

Form for optional Active Directory configuration details with multiple input fields.

初始安装后,管理员可以在身份管理页面下的 RES Web 门户中查看或编辑 AD 配置:

Active Directory global settings and domain configuration interface for RES deployment.
Active Directory Synchronization form with fields for configuration settings.

管理员可以通过新的 “用户筛选器” 和 “群组筛选器” 选项筛选要同步的用户或群组。筛选器必须遵循 LDAP 筛选器语法。过滤器示例如下:

(sAMAccountname=<user>)

对于运行时提供的任何密钥 ARN(例如,ServiceAccountCredentialsSecretArnDomainTLSCertificateSecretArn),请务必在密钥中添加以下标签,以便 RES 获得读取密钥值的权限:

  • 键:res:EnvironmentName,值:<your RES environment name>

  • 键:res:ModuleName,值:directoryservice

门户网站中的任何 AD 配置更新都将在下一次预定广告同步(每小时)期间自动获取。用户在更改 AD 配置后可能需要重新配置 SSO(例如,如果他们切换到其他 AD)。

如何手动运行同步(版本 2024.12 及更高版本)

Active Directory 同步过程已从集群管理器基础设施主机转移到幕后的一次性亚马逊弹性容器服务 (ECS) 任务。该过程计划每小时运行一次,您可以在<res-environment-name>-ad-sync-cluster集群下的 Amazon ECS 控制台中找到正在运行的 ECS 任务。

要手动启动它,请执行以下操作:

  1. 导航到 Lambda 控制台并搜索名为的 lambda。<res-environment>-scheduled-ad-sync

  2. 打开 Lambda 函数并转到测试

  3. 事件 JSON 中输入以下内容:

    {
    "detail-type": "Scheduled Event"
}

  4. 选择测试

  5. 在 → 日志CloudWatch→ 下查看正在运行的 AD Sync 任务的日志<environment-name>/ad-sync。您将看到每个正在运行的 ECS 任务的日志。选择最新的,查看日志。

注意

  • 如果您更改 AD 参数或添加 AD 过滤器,RES 将根据新指定的参数添加新用户,并删除之前已同步但不再包含在 LDAP 搜索空间中的用户。

  • RES 无法移除 user/group 已主动分配给项目的。要让 RES 将用户从环境中移除,必须将其从项目中移除。

SSO 配置

提供 AD 配置后,用户必须设置单点登录 (SSO),才能以 AD 用户身份登录 RES 门户。SSO 配置已从 “常规设置” 页面移至新的身份管理页面。有关设置 SSO 的更多信息,请参阅身份管理