本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
Connect 至目Microsoft AD錄
使用時 AWS IAM Identity Center,您可以使用連線作用中目錄 (AD) 中的自我管理目錄或中 AWS Managed Microsoft AD 的 AWS Directory Service目錄。此 Microsoft AD 目錄定義了系統管理員在使用 IAM 身分中心主控台指派單一登入存取權時可從中提取的身分集區。將公司目錄連線至 IAM 身分中心後,您就可以授與 AD 使用者或群組存取應用 AWS 帳戶程式或兩者的存取權。
AWS Directory Service 幫助您設置和運行託管在 AWS 雲中的獨立 AWS Managed Microsoft AD 目錄。您還可以使用 AWS Directory Service 將 AWS 資源與現有的自我管理 AD 連接起來。若 AWS Directory Service 要設定為使用自我管理 AD,您必須先設定信任關係,才能將驗證延伸至雲端。
IAM 身分中心會使用提供的連線, AWS Directory Service 對來源 AD 執行個體執行傳遞驗證。當您用 AWS Managed Microsoft AD 作身分識別來源時,IAM 身分中心可以與來自透過 AD 信 AWS Managed Microsoft AD 任連線之任何網域的使用者搭配使用。如果您想要在四個或更多網域中尋找使用者,使用者在執行 IAM Identity Center 登入時,必須使用該DOMAIN\user語法做為其使用者名稱。
備註
-
作為先決步驟,請確定您的 AD Connector 或目錄 AWS Directory Service 位 AWS Managed Microsoft AD 於您的 AWS Organizations 管理帳戶內。如需詳細資訊,請參閱 在 IAM 身分中心確認您的身分來源。
-
IAM 身分識別中心不支援以 SAMBA 4 為基礎的 Simple AD 做為連線目錄。
使用作用中目錄的考量
如果您想要使用 Active Directory 做為身分識別來源,您的組態必須符合下列先決條件:
-
如果您使用的是 AWS Managed Microsoft AD,您必須在設定 AWS Managed Microsoft AD 目錄的相同 AWS 區域 位置啟用 IAM 身分中心。IAM 身分識別中心會將指派資料儲存在與目錄相同的區域中。若要管理 IAM 身分中心,您可能需要切換至設定 IAM 身分中心的區域。此外,請注意, AWS 存取入口網站使用與您的目錄相同的存取 URL。
-
使用位於管理帳戶中的活動目錄:
您必須在中設定現有的 AD Connector 或 AWS Managed Microsoft AD 目錄 AWS Directory Service,而且必須位於您的 AWS Organizations 管理帳戶中。您一次只能連線一個 AD Connector 目錄或一個目錄。 AWS Managed Microsoft AD 如果您需要支援多個網域或樹系,請使用 AWS Managed Microsoft AD. 如需詳細資訊,請參閱:
-
使用駐留在委託管理員帳戶中的活動目錄:
如果您計劃啟用 IAM 身分中心委派管理員,並使用 Active Directory 做為您的 IAM 身分中心身分識別來源,則可以使用現有的 AD Connector 或 AWS Managed Microsoft AD 目錄設定在委派管理員帳戶中的 AWS 目錄。
如果您決定將 IAM 身分中心身分識別來源從任何其他來源變更為 Active Directory,或將其從 Active Directory 變更為任何其他來源,則該目錄必須位於 (由) IAM 身分中心委派管理員成員帳戶 (如果存在);否則,該目錄必須位於管理帳戶中。
當使用者來自作用中目錄時佈建
IAM 身分識別中心會使用提供的連線, AWS Directory Service 將使用者、群組和成員資格資訊從 Active Directory 中的來源目錄同步至 IAM 身分識別中心身分存放區。沒有密碼資訊會同步至 IAM 身分識別中心,因為使用者身分驗證是直接從 Active Directory 中的來源目錄進行的。應用程式會使用此識別資料來促進應用程式內查閱、授權和協同作業案例,而不會將 LDAP 活動傳回 Active Directory 中的來源目錄。
如需上述佈建的詳細資訊,請參閱使用者和群組佈建。
主題
