Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
Ein selbstverwaltetes Verzeichnis in Active Directory mit IAM Identity Center Connect
Benutzer in Ihrem selbstverwalteten Verzeichnis in Active Directory (AD) können auch Single Sign-On-Zugriff auf haben AWS-Konten und Anwendungen in der AWS Zugangsportal. Um den Single Sign-On-Zugriff für diese Benutzer zu konfigurieren, können Sie einen der folgenden Schritte ausführen:
-
Eine bidirektionale Vertrauensbeziehung erstellen — Wenn wechselseitige Vertrauensbeziehungen hergestellt werden zwischen AWS Managed Microsoft AD und ein selbstverwaltetes Verzeichnis in AD, Benutzer in Ihrem selbstverwalteten Verzeichnis in AD können sich mit ihren Unternehmensanmeldedaten bei verschiedenen AWS Dienste und Geschäftsanwendungen. Einseitige Vertrauensstellungen funktionieren nicht mit IAM Identity Center.
AWS IAM Identity Center erfordert eine bidirektionale Vertrauensstellung, damit Benutzer- und Gruppeninformationen aus Ihrer Domain gelesen und Benutzer- und Gruppenmetadaten synchronisiert werden können. IAMIdentity Center verwendet diese Metadaten, wenn es Zugriff auf Berechtigungssätze oder Anwendungen zuweist. Benutzer- und Gruppenmetadaten werden auch von Anwendungen für die Zusammenarbeit verwendet, z. B. wenn Sie ein Dashboard mit einem anderen Benutzer oder einer anderen Gruppe teilen. Das Vertrauen von AWS Directory Service für Microsoft Active Directory zu Ihrer Domain ermöglicht IAM Identity Center, Ihrer Domain bei der Authentifizierung zu vertrauen. Das Vertrauen in die entgegengesetzte Richtung gewährt AWS Berechtigungen zum Lesen von Benutzer- und Gruppenmetadaten.
Weitere Informationen zum Einrichten einer bidirektionalen Vertrauensstellung finden Sie unter Wann sollte eine Vertrauensstellung eingerichtet werden? in AWS Directory Service Administratorhandbuch.
Anmerkung
Um zu verwenden AWS Anwendungen, wie IAM Identity Center zum Lesen AWS Directory Service Verzeichnisbenutzer aus vertrauenswürdigen Domänen, die AWS Directory Service Konten erfordern Berechtigungen für das userAccountControl Attribut der vertrauenswürdigen Benutzer. Ohne Leseberechtigungen für dieses Attribut AWS Anwendungen können nicht feststellen, ob das Konto aktiviert oder deaktiviert ist.
Der Lesezugriff auf dieses Attribut wird standardmäßig gewährt, wenn eine Vertrauensstellung erstellt wird. Wenn Sie den Zugriff auf dieses Attribut verweigern (nicht empfohlen), verhindern Sie, dass Anwendungen wie Identity Center vertrauenswürdige Benutzer lesen können. Die Lösung besteht darin, ausdrücklich Lesezugriff auf das
userAccountControlAttribut auf der AWS Dienstkonten unter dem AWS Reservierte Organisationseinheit (mit dem Präfix AWS_). -
Erstellen Sie einen AD-Connector — AD Connector ist ein Verzeichnis-Gateway, das Verzeichnisanfragen an Ihr selbstverwaltetes AD umleiten kann, ohne Informationen in der Cloud zwischenzuspeichern. Weitere Informationen finden Sie unter Connect zu einem Verzeichnis herstellen in der AWS Directory Service Administratorhandbuch. Bei der Verwendung von AD Connector sollten Sie Folgendes beachten:
-
Wenn Sie IAM Identity Center mit einem AD Connector Connector-Verzeichnis verbinden, müssen alle future Benutzerpasswörter von AD aus zurückgesetzt werden. Das bedeutet, dass Benutzer ihre Passwörter nicht über das zurücksetzen können AWS Zugangsportal.
-
Wenn Sie AD Connector verwenden, um Ihren Active Directory-Domänendienst mit IAM Identity Center zu verbinden, hat IAM Identity Center nur Zugriff auf die Benutzer und Gruppen der einzelnen Domäne, an die AD Connector angehängt ist. Wenn Sie mehrere Domänen oder Gesamtstrukturen unterstützen müssen, verwenden Sie AWS Directory Service für Microsoft Active Directory.
Anmerkung
IAMIdentity Center funktioniert nicht mit SAMBA4 basierten Simple AD AD-Verzeichnissen.
-
