IAM Identity Center AD-Synchronisierung - AWS IAM Identity Center
So funktioniert die AD-Synchronisierung mit IAM Identity Center

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

IAM Identity Center AD-Synchronisierung

Mit der IAM Identity Center AD-Synchronisierung verwenden Sie IAM Identity Center, um Benutzern und Gruppen in Active Directory Zugriff auf AWS verwaltete Anwendungen oder kundenverwaltete Anwendungen zuzuweisen. AWS-Konten Alle Identitäten mit Zuweisungen werden automatisch mit IAM Identity Center synchronisiert.

So funktioniert die AD-Synchronisierung mit IAM Identity Center

IAM Identity Center aktualisiert die AD-basierten Identitätsdaten im Identitätsspeicher mithilfe des folgenden Verfahrens.

Erstellung

Wenn Sie mithilfe der AWS Konsole oder der Zuweisungs-API-Aufrufe Benutzer oder Gruppen oder Anwendungen zuweisen, werden Informationen über die Benutzer, Gruppen und Mitgliedschaften regelmäßig mit dem IAM Identity Center-Identitätsspeicher synchronisiert. AWS-Konten Benutzer oder Gruppen, die zu IAM Identity Center-Zuweisungen hinzugefügt werden, erscheinen normalerweise innerhalb von zwei AWS Stunden im Identitätsspeicher. Je nach Menge der zu synchronisierenden Daten kann dieser Vorgang länger dauern. Nur Benutzer und Gruppen, denen direkt Zugriff zugewiesen wurde, oder die Mitglieder einer Gruppe sind, der Zugriff zugewiesen wurde, werden synchronisiert.

Gruppen, die Mitglieder anderer Gruppen sind (sogenannte verschachtelte Gruppen), werden ebenfalls in den Identitätsspeicher geschrieben. Wenn Sie einer Gruppe in Active Directory, die verschachtelte Gruppen enthält, Zuweisungen zuweisen, hängt die Art und Weise, wie die Zuweisungen angewendet werden, davon ab, ob Sie AD-Synchronisierung oder konfigurierbare AD-Synchronisierung verwenden.

  • AD-Synchronisierung — Wenn Sie einer Gruppe in Active Directory, die verschachtelte Gruppen enthält, Zuweisungen zuweisen, können nur die direkten Mitglieder der Gruppe auf das Konto zugreifen. Wenn Sie beispielsweise Gruppe A Zugriff zuweisen und Gruppe B Mitglied von Gruppe A ist, können nur die direkten Mitglieder von Gruppe A auf das Konto zugreifen. Kein Mitglied der Gruppe B erbt den Zugriff.

  • Konfigurierbare AD-Synchronisierung — Die Verwendung der konfigurierbaren AD-Synchronisierung, um Zuweisungen zu einer Gruppe in Active Directory vorzunehmen, die verschachtelte Gruppen enthält, kann die Anzahl der Benutzer erhöhen, die Zugriff auf AWS-Konten oder auf Anwendungen haben. In diesem Fall gilt die Zuweisung für alle Benutzer, auch für Benutzer in verschachtelten Gruppen. Wenn Sie beispielsweise Gruppe A Zugriff zuweisen und Gruppe B Mitglied von Gruppe A ist, erben Mitglieder von Gruppe B diesen Zugriff ebenfalls.

Wenn ein Benutzer auf IAM Identity Center zugreift, bevor sein Benutzerobjekt zum ersten Mal synchronisiert wurde, wird das Identitätsspeicherobjekt dieses Benutzers bei Bedarf mithilfe der just-in-time (JIT-) Bereitstellung erstellt. Mit der JIT-Bereitstellung erstellte Benutzer werden nicht synchronisiert, es sei denn, sie haben direkt zugewiesene oder gruppenbasierte IAM Identity Center-Berechtigungen. Gruppenmitgliedschaften für Benutzer, die von JIT bereitgestellt wurden, sind erst nach der Synchronisation verfügbar.

Anweisungen, wie Sie Benutzern Zugriff auf zuweisen, finden Sie unter. AWS-KontenSingle Sign-On-Zugriff auf AWS-Konten

Aktualisierung

Die Identitätsdaten im IAM Identity Center-Identitätsspeicher bleiben aktuell, da regelmäßig Daten aus dem Quellverzeichnis in Active Directory gelesen werden. Identitätsdaten, die in Active Directory geändert werden, werden normalerweise innerhalb von vier Stunden im AWS Identitätsspeicher angezeigt. Je nach Menge der zu synchronisierenden Daten kann dieser Vorgang länger dauern.

Benutzer- und Gruppenobjekte und ihre Mitgliedschaften werden in IAM Identity Center erstellt oder aktualisiert, um sie den entsprechenden Objekten im Quellverzeichnis in Active Directory zuzuordnen. Bei Benutzerattributen wird nur die Teilmenge der Attribute, die im Abschnitt Attribute für die Zugriffskontrolle verwalten der IAM Identity Center-Konsole aufgeführt sind, in IAM Identity Center aktualisiert. Darüber hinaus werden Benutzerattribute bei jedem Benutzerauthentifizierungsereignis aktualisiert.

Löschung

Benutzer und Gruppen werden aus dem IAM Identity Center-Identitätsspeicher gelöscht, wenn die entsprechenden Benutzer- oder Gruppenobjekte aus dem Quellverzeichnis in Active Directory gelöscht werden.