IAMIdentity Center, konfigurierbare AD-Synchronisierung - AWS IAM Identity Center
Voraussetzungen und Überlegungen

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

IAMIdentity Center, konfigurierbare AD-Synchronisierung

IAMMit der konfigurierbaren Active Directory-Synchronisierung (AD) von Identity Center können Sie die Identitäten in Microsoft Active Directory, die automatisch mit IAM Identity Center synchronisiert werden, explizit konfigurieren und den Synchronisierungsprozess steuern.

Voraussetzungen und Überlegungen

Bevor Sie die konfigurierbare AD-Synchronisierung verwenden, sollten Sie die folgenden Voraussetzungen und Überlegungen beachten:

  • Angeben der zu synchronisierenden Benutzer und Gruppen in Active Directory

    Bevor Sie IAM Identity Center verwenden können, um neuen Benutzern und Gruppen Zugriff zuzuweisen AWS-Konten und zu AWS verwaltete Anwendungen oder vom Kunden verwaltete Anwendungen: Sie müssen die Benutzer und Gruppen in Active Directory angeben, die synchronisiert werden sollen, und sie dann mit IAM Identity Center synchronisieren.

    • AD-Synchronisierung — Wenn Sie mithilfe der IAM Identity Center-Konsole oder verwandter API Zuweisungsaktionen Zuweisungen für neue Benutzer und Gruppen vornehmen, durchsucht IAM Identity Center den Domänencontroller direkt nach den angegebenen Benutzern oder Gruppen, schließt die Zuweisung ab und synchronisiert dann regelmäßig die Benutzer- oder Gruppenmetadaten mit IAM Identity Center.

    • Konfigurierbare AD-Synchronisierung — IAM Identity Center durchsucht Ihren Domain-Controller nicht direkt nach Benutzern und Gruppen. Stattdessen müssen Sie zunächst die Liste der Benutzer und Gruppen angeben, die synchronisiert werden sollen. Sie können diese Liste, auch Synchronisierungsbereich genannt, auf eine der folgenden Arten konfigurieren, je nachdem, ob Sie Benutzer und Gruppen haben, die bereits mit IAM Identity Center synchronisiert sind, oder ob Sie neue Benutzer und Gruppen haben, die Sie zum ersten Mal mithilfe der konfigurierbaren AD-Synchronisierung synchronisieren.

      • Bestehende Benutzer und Gruppen: Wenn Sie Benutzer und Gruppen haben, die bereits mit IAM Identity Center synchronisiert sind, ist der Synchronisierungsbereich in der konfigurierbaren AD-Synchronisierung bereits mit einer Liste dieser Benutzer und Gruppen gefüllt. Um neue Benutzer oder Gruppen zuzuweisen, müssen Sie sie ausdrücklich zum Synchronisierungsbereich hinzufügen. Weitere Informationen finden Sie unter Fügen Sie Benutzer und Gruppen zu Ihrem Synchronisierungsbereich hinzu.

      • Neue Benutzer und Gruppen: Wenn Sie neuen Benutzern und Gruppen Zugriff auf zuweisen möchten AWS-Konten und für Anwendungen müssen Sie in der konfigurierbaren AD-Synchronisierung angeben, welche Benutzer und Gruppen dem Synchronisierungsbereich hinzugefügt werden sollen, bevor Sie IAM Identity Center für die Zuweisung verwenden können. Weitere Informationen finden Sie unter Fügen Sie Benutzer und Gruppen zu Ihrem Synchronisierungsbereich hinzu.

  • Zuweisungen zu verschachtelten Gruppen in Active Directory vornehmen

    Gruppen, die Mitglieder anderer Gruppen sind, werden als verschachtelte Gruppen (oder untergeordnete Gruppen) bezeichnet. Wenn Sie einer Gruppe in Active Directory, die verschachtelte Gruppen enthält, Zuweisungen zuweisen, hängt die Art und Weise, wie die Zuweisungen angewendet werden, davon ab, ob Sie AD-Synchronisierung oder konfigurierbare AD-Synchronisierung verwenden.

    • AD-Synchronisierung — Wenn Sie einer Gruppe in Active Directory, die verschachtelte Gruppen enthält, Zuweisungen zuweisen, können nur die direkten Mitglieder der Gruppe auf das Konto zugreifen. Wenn Sie beispielsweise Gruppe A Zugriff zuweisen und Gruppe B Mitglied von Gruppe A ist, können nur die direkten Mitglieder von Gruppe A auf das Konto zugreifen. Kein Mitglied der Gruppe B erbt den Zugriff.

    • Konfigurierbare AD-Synchronisierung — Die Verwendung der konfigurierbaren AD-Synchronisierung zur Zuweisung von Zuweisungen zu einer Gruppe in Active Directory, die verschachtelte Gruppen enthält, kann den Umfang der Benutzer erhöhen, die Zugriff auf AWS-Konten oder zu Anwendungen. In diesem Fall gilt die Zuweisung für alle Benutzer, auch für Benutzer in verschachtelten Gruppen. Wenn Sie beispielsweise Gruppe A Zugriff zuweisen und Gruppe B Mitglied von Gruppe A ist, erben Mitglieder von Gruppe B diesen Zugriff ebenfalls.

  • Aktualisierung automatisierter Workflows

    Wenn Sie automatisierte Workflows haben, die IAM Identity API Center-Aktionen im Identitätsspeicher und IAM Identity API Center-Zuweisungsaktionen verwenden, um neuen Benutzern und Gruppen Zugriff auf Konten und Anwendungen zuzuweisen und sie mit IAM Identity Center zu synchronisieren, müssen Sie diese Workflows bis zum 15. April 2022 anpassen, sodass sie mit konfigurierbarer AD-Synchronisierung erwartungsgemäß funktionieren. Die konfigurierbare AD-Synchronisierung ändert die Reihenfolge, in der Benutzer- und Gruppenzuweisungen und -bereitstellungen erfolgen, und die Art und Weise, wie Abfragen ausgeführt werden.

    • AD-Synchronisierung — Der Zuweisungsprozess erfolgt zuerst. Sie weisen Benutzern und Gruppen Zugriff zu AWS-Konten und zu Anwendungen. Nachdem den Benutzern und Gruppen der Zugriff zugewiesen wurde, werden sie automatisch bereitgestellt (mit IAM Identity Center synchronisiert). Wenn Sie über einen automatisierten Workflow verfügen, bedeutet dies, dass Ihr automatisierter Workflow beim Hinzufügen eines neuen Benutzers zu Active Directory mithilfe der ListUser API Identitätsspeicher-Aktion Active Directory für den Benutzer abfragen und dem Benutzer dann mithilfe der Identity API Center-Zuweisungsaktionen Zugriff zuweisen kann. IAM Da der Benutzer über eine Zuweisung verfügt, wird diesem Benutzer automatisch eine Zugriffsberechtigung für IAM Identity Center zugewiesen.

    • Konfigurierbare AD-Synchronisierung — Die Bereitstellung erfolgt zuerst und nicht automatisch. Stattdessen müssen Sie zuerst Benutzer und Gruppen explizit zum Identitätsspeicher hinzufügen, indem Sie sie Ihrem Synchronisierungsbereich hinzufügen. Informationen zu den empfohlenen Schritten zur Automatisierung Ihrer Synchronisierungskonfiguration für die konfigurierbare AD-Synchronisierung finden Sie unterAutomatisieren Sie Ihre Synchronisierungskonfiguration für eine konfigurierbare AD-Synchronisierung.

Themen