So funktioniert die konfigurierbare AD-Synchronisierung - AWS IAM Identity Center
ErstellungAktualisierungLöschung

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

So funktioniert die konfigurierbare AD-Synchronisierung

IAM Identity Center aktualisiert die AD-basierten Identitätsdaten im Identitätsspeicher mithilfe des folgenden Verfahrens.

Erstellung

Nachdem Sie Ihr selbstverwaltetes Verzeichnis in Active Directory oder Ihr AWS Managed Microsoft AD Verzeichnis, das von AWS Directory Service IAM Identity Center verwaltet wird, verbunden haben, können Sie die Active Directory-Benutzer und -Gruppen, die Sie mit dem IAM Identity Center-Identitätsspeicher synchronisieren möchten, explizit konfigurieren. Die von Ihnen ausgewählten Identitäten werden etwa alle drei Stunden mit dem IAM Identity Center-Identitätsspeicher synchronisiert. Je nach Größe Ihres Verzeichnisses kann der Synchronisierungsvorgang länger dauern.

Gruppen, die Mitglieder anderer Gruppen sind (sogenannte verschachtelte Gruppen oder untergeordnete Gruppen), werden ebenfalls in den Identitätsspeicher geschrieben. Wenn Sie einer Gruppe in Active Directory, die verschachtelte Gruppen enthält, Zuweisungen zuweisen, hängt die Art und Weise, wie die Zuweisungen angewendet werden, davon ab, ob Sie AD-Synchronisierung oder konfigurierbare AD-Synchronisierung verwenden. Weitere Informationen finden Sie unter Making assignments to nested groups in Active Directory.

Sie können neuen Benutzern oder Gruppen erst Zugriff zuweisen, nachdem sie mit dem IAM Identity Center-Identitätsspeicher synchronisiert wurden.

Aktualisierung

Die Identitätsdaten im IAM Identity Center-Identitätsspeicher bleiben aktuell, da regelmäßig Daten aus dem Quellverzeichnis in Active Directory gelesen werden. IAM Identity Center synchronisiert standardmäßig stündlich Daten aus Ihrem Active Directory in einem Synchronisierungszyklus. Je nach Größe Ihres Active Directory kann es 30 Minuten bis 2 Stunden dauern, bis die Daten mit IAM Identity Center synchronisiert sind.

Benutzer- und Gruppenobjekte, die sich im Synchronisierungsbereich befinden, und ihre Mitgliedschaften werden in IAM Identity Center erstellt oder aktualisiert, sodass sie den entsprechenden Objekten im Quellverzeichnis in Active Directory zugeordnet werden. Bei Benutzerattributen wird nur die Teilmenge der Attribute, die im Abschnitt Attribute für die Zugriffskontrolle der IAM Identity Center-Konsole aufgeführt sind, in IAM Identity Center aktualisiert. Es kann einen Synchronisierungszyklus dauern, bis alle Attributaktualisierungen, die Sie in Active Directory vornehmen, in IAM Identity Center übernommen werden.

Sie können auch die Teilmenge der Benutzer und Gruppen aktualisieren, die Sie mit dem IAM Identity Center-Identitätsspeicher synchronisieren. Sie können dieser Teilmenge neue Benutzer oder Gruppen hinzufügen oder sie entfernen. Alle Identitäten, die Sie hinzufügen, werden bei der nächsten geplanten Synchronisierung synchronisiert. Identitäten, die Sie aus der Teilmenge entfernen, werden nicht mehr im IAM Identity Center-Identitätsspeicher aktualisiert. Jeder Benutzer, der länger als 28 Tage nicht synchronisiert wurde, wird im IAM Identity Center-Identitätsspeicher deaktiviert. Die entsprechenden Benutzerobjekte werden während des nächsten Synchronisierungszyklus automatisch im IAM Identity Center-Identitätsspeicher deaktiviert, sofern sie nicht Teil einer anderen Gruppe sind, die immer noch Teil des Synchronisierungsbereichs ist.

Löschung

Benutzer und Gruppen werden aus dem IAM Identity Center-Identitätsspeicher gelöscht, wenn die entsprechenden Benutzer- oder Gruppenobjekte aus dem Quellverzeichnis in Active Directory gelöscht werden. Alternativ können Sie Benutzerobjekte mithilfe der IAM Identity Center-Konsole explizit aus dem IAM Identity Center-Identitätsspeicher löschen. Wenn Sie die IAM Identity Center-Konsole verwenden, müssen Sie die Benutzer auch aus dem Synchronisierungsbereich entfernen, um sicherzustellen, dass sie beim nächsten Synchronisierungszyklus nicht erneut mit IAM Identity Center synchronisiert werden.

Sie können die Synchronisation auch jederzeit unterbrechen und neu starten. Wenn Sie die Synchronisation für mehr als 28 Tage unterbrechen, werden alle Ihre Benutzer deaktiviert.