IAMIdentity Center AD-Synchronisierung - AWS IAM Identity Center
So funktioniert die IAM Identity Center AD-Synchronisierung

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

IAMIdentity Center AD-Synchronisierung

Mit IAM Identity Center AD Sync verwenden Sie IAM Identity Center, um Benutzern und Gruppen in Active Directory Zugriff auf AWS-Konten und zu AWS verwaltete Anwendungen oder vom Kunden verwaltete Anwendungen. Alle Identitäten mit Zuweisungen werden automatisch mit IAM Identity Center synchronisiert.

So funktioniert die IAM Identity Center AD-Synchronisierung

IAMIdentity Center aktualisiert die AD-basierten Identitätsdaten im Identitätsspeicher mithilfe des folgenden Verfahrens.

Erstellung

Wenn Sie Benutzer oder Gruppen zuweisen AWS-Konten oder Anwendungen mithilfe der AWS Konsolen- oder API Zuweisungsaufrufe, Informationen zu Benutzern, Gruppen und Mitgliedschaften werden regelmäßig mit dem IAM Identity Center-Identitätsspeicher synchronisiert. Benutzer oder Gruppen, die zu IAM Identity Center-Aufgaben hinzugefügt werden, erscheinen normalerweise im AWS Identitätsspeicher innerhalb von zwei Stunden. Je nach Menge der zu synchronisierenden Daten kann dieser Vorgang länger dauern. Nur Benutzer und Gruppen, denen direkt Zugriff zugewiesen wurde, oder die Mitglieder einer Gruppe sind, der Zugriff zugewiesen wurde, werden synchronisiert.

Gruppen, die Mitglieder anderer Gruppen sind (sogenannte verschachtelte Gruppen), werden ebenfalls in den Identitätsspeicher geschrieben. Wenn Sie einer Gruppe in Active Directory, die verschachtelte Gruppen enthält, Zuweisungen zuweisen, hängt die Art und Weise, wie die Zuweisungen angewendet werden, davon ab, ob Sie AD-Synchronisierung oder konfigurierbare AD-Synchronisierung verwenden.

  • AD-Synchronisierung — Wenn Sie einer Gruppe in Active Directory, die verschachtelte Gruppen enthält, Zuweisungen zuweisen, können nur die direkten Mitglieder der Gruppe auf das Konto zugreifen. Wenn Sie beispielsweise Gruppe A Zugriff zuweisen und Gruppe B Mitglied von Gruppe A ist, können nur die direkten Mitglieder von Gruppe A auf das Konto zugreifen. Kein Mitglied der Gruppe B erbt den Zugriff.

  • Konfigurierbare AD-Synchronisierung — Die Verwendung der konfigurierbaren AD-Synchronisierung zur Zuweisung von Zuweisungen zu einer Gruppe in Active Directory, die verschachtelte Gruppen enthält, kann den Umfang der Benutzer erhöhen, die Zugriff auf AWS-Konten oder zu Anwendungen. In diesem Fall gilt die Zuweisung für alle Benutzer, auch für Benutzer in verschachtelten Gruppen. Wenn Sie beispielsweise Gruppe A Zugriff zuweisen und Gruppe B Mitglied von Gruppe A ist, erben Mitglieder von Gruppe B diesen Zugriff ebenfalls.

Wenn ein Benutzer auf IAM Identity Center zugreift, bevor sein Benutzerobjekt zum ersten Mal synchronisiert wurde, wird das Identitätsspeicherobjekt dieses Benutzers bei Bedarf mithilfe der Bereitstellung just-in-time (JIT) erstellt. Benutzer, die durch JIT Provisioning erstellt wurden, werden nicht synchronisiert, es sei denn, sie haben direkt zugewiesene oder gruppenbasierte IAM Identity Center-Berechtigungen. Gruppenmitgliedschaften für Benutzer mit JIT -Provisioning sind erst nach der Synchronisation verfügbar.

Für Anweisungen, wie Sie Benutzern Zugriff zuweisen können auf AWS-Konten, finden Sie unter Single Sign-On-Zugriff auf AWS-Konten.

Aktualisierung

Die Identitätsdaten im IAM Identity Center-Identitätsspeicher bleiben aktuell, da regelmäßig Daten aus dem Quellverzeichnis in Active Directory gelesen werden. Identitätsdaten, die in Active Directory geändert werden, erscheinen normalerweise im AWS Identitätsspeicher innerhalb von vier Stunden. Je nach Menge der zu synchronisierenden Daten kann dieser Vorgang länger dauern.

Benutzer- und Gruppenobjekte und ihre Mitgliedschaften werden in IAM Identity Center erstellt oder aktualisiert, um sie den entsprechenden Objekten im Quellverzeichnis in Active Directory zuzuordnen. Bei Benutzerattributen wird nur die Teilmenge der Attribute, die im Abschnitt Attribute für die Zugriffskontrolle verwalten der IAM Identity Center-Konsole aufgeführt sind, in IAM Identity Center aktualisiert. Darüber hinaus werden Benutzerattribute bei jedem Benutzerauthentifizierungsereignis aktualisiert.

Löschung

Benutzer und Gruppen werden aus dem IAM Identity Center-Identitätsspeicher gelöscht, wenn die entsprechenden Benutzer- oder Gruppenobjekte aus dem Quellverzeichnis in Active Directory gelöscht werden.