Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
Ein selbstverwaltetes Verzeichnis in Active Directory mit IAM Identity Center Connect
Benutzer in Ihrem selbstverwalteten Verzeichnis in Active Directory (AD) können auch Single Sign-On-Zugriff auf AWS-Konten und Anwendungen im Zugriffsportal haben. AWS Um den Single Sign-On-Zugriff für diese Benutzer zu konfigurieren, können Sie einen der folgenden Schritte ausführen:
-
Eine bidirektionale Vertrauensstellung einrichten — Wenn wechselseitige Vertrauensstellungen zwischen AWS Managed Microsoft AD und einem selbstverwalteten Verzeichnis in AD eingerichtet werden, können sich Benutzer in Ihrem selbstverwalteten Verzeichnis in AD mit ihren Unternehmensanmeldeinformationen bei verschiedenen AWS Diensten und Geschäftsanwendungen anmelden. Einseitige Vertrauensstellungen funktionieren nicht mit Identity Center. IAM
AWS IAM Identity Center erfordert eine bidirektionale Vertrauensstellung, damit Benutzer- und Gruppeninformationen aus Ihrer Domain gelesen und Benutzer- und Gruppenmetadaten synchronisiert werden können. IAM Identity Center verwendet diese Metadaten, wenn es Zugriff auf Berechtigungssätze oder Anwendungen zuweist. Benutzer- und Gruppenmetadaten werden auch von Anwendungen für die Zusammenarbeit verwendet, z. B. wenn Sie ein Dashboard mit einem anderen Benutzer oder einer anderen Gruppe teilen. Das Vertrauen von AWS Directory Service Microsoft Active Directory zu Ihrer Domain ermöglicht IAM Identity Center, Ihrer Domain bei der Authentifizierung zu vertrauen. Das Vertrauen in die entgegengesetzte Richtung gewährt AWS Berechtigungen zum Lesen von Benutzer- und Gruppenmetadaten.
Weitere Informationen zum Einrichten einer bidirektionalen Vertrauensstellung finden Sie unter Wann sollte eine Vertrauensstellung eingerichtet werden? im AWS Directory Service Administratorhandbuch.
Anmerkung
Um AWS Anwendungen wie IAM Identity Center zum Lesen von AWS Directory Service Verzeichnisbenutzern aus vertrauenswürdigen Domänen verwenden zu können, benötigen die AWS Directory Service Konten Berechtigungen für das userAccountControl Attribut der vertrauenswürdigen Benutzer. Ohne Leseberechtigungen für dieses Attribut können AWS Anwendungen nicht feststellen, ob das Konto aktiviert oder deaktiviert ist.
Lesezugriff auf dieses Attribut wird standardmäßig gewährt, wenn eine Vertrauensstellung erstellt wird. Wenn Sie den Zugriff auf dieses Attribut verweigern (nicht empfohlen), verhindern Sie, dass Anwendungen wie Identity Center vertrauenswürdige Benutzer lesen können. Die Lösung besteht darin, den Lesezugriff auf das
userAccountControlAttribut der AWS Dienstkonten unter der AWS reservierten Organisationseinheit (mit dem Präfix AWS_) ausdrücklich zuzulassen. -
Erstellen Sie einen AD-Connector — AD Connector ist ein Verzeichnis-Gateway, das Verzeichnisanfragen an Ihr selbstverwaltetes AD umleiten kann, ohne Informationen in der Cloud zwischenzuspeichern. Weitere Informationen finden Sie unter Connect einem Verzeichnis herstellen im AWS Directory Service Administratorhandbuch. Bei der Verwendung von AD Connector sollten Sie Folgendes beachten:
-
Wenn Sie IAM Identity Center mit einem AD Connector Connector-Verzeichnis verbinden, müssen alle future Benutzerpasswörter von AD aus zurückgesetzt werden. Das bedeutet, dass Benutzer ihre Passwörter nicht über das AWS Zugriffsportal zurücksetzen können.
-
Wenn Sie AD Connector verwenden, um Ihren Active Directory-Domänendienst mit IAM Identity Center zu verbinden, hat IAM Identity Center nur Zugriff auf die Benutzer und Gruppen der einzelnen Domäne, an die AD Connector angehängt ist. Wenn Sie mehrere Domänen oder Gesamtstrukturen unterstützen müssen, verwenden Sie AWS Directory Service Microsoft Active Directory.
Anmerkung
IAMIdentity Center funktioniert nicht mit SAMBA4 basierten Simple AD AD-Verzeichnissen.
-
