Uso de Active Directory como origen de identidad - AWS IAM Identity Center

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Uso de Active Directory como origen de identidad

Si administra los usuarios de su AWS Managed Microsoft AD directorio mediante Active Directory (AD) AWS Directory Service o de su directorio autogestionado, puede cambiar la fuente de identidad del IAM Identity Center para que funcione con esos usuarios. Le recomendamos que considere la posibilidad de conectar este origen de identidad al habilitar IAM Identity Center y elegir el origen de identidad. Hacerlo antes de crear usuarios y grupos en el directorio predeterminado del Identity Center lo ayudará a evitar la configuración adicional que se requiere si cambia el origen de identidad más adelante.

Para utilizar Active Directory como origen de identidad, la configuración debe cumplir los siguientes requisitos previos:

  • Si lo está utilizando AWS Managed Microsoft AD, debe habilitar el Centro de identidades de IAM en el mismo Región de AWS lugar donde está configurado su AWS Managed Microsoft AD directorio. Centro de identidades de IAM almacena los datos de asignación en la misma región que el directorio. Para administrar Centro de identidades de IAM, es posible que deba cambiarse a la región en la que está configurado Centro de identidades de IAM. Además, tenga en cuenta que el portal de AWS acceso utiliza la misma URL de acceso que su directorio.

  • Utilice un Active Directory que resida en la cuenta de administración:

    Debe tener un AD Connector o AWS Managed Microsoft AD directorio existente configurado y debe residir en AWS Directory Service su cuenta AWS Organizations de administración. Solo puede conectar un directorio de conector de AD o un directorio en AWS Managed Microsoft AD a la vez. Si necesita admitir varios dominios o bosques, utilice AWS Managed Microsoft AD. Para obtener más información, consulte:

  • Utilice una instancia de Active Directory que resida en la cuenta de administrador delegado:

    Si planea habilitar un administrador delegado del Centro de Identidad de IAM y usar Active Directory como fuente de identidad del Centro de Identidad de IAM, puede usar un AD Connector existente o un AWS Managed Microsoft AD directorio configurado en el AWS Directorio que resida en la cuenta de administrador delegado.

    Si decide cambiar la fuente de identidad de IAM Identity Center de cualquier otra fuente a Active Directory, o cambiarla de Active Directory a cualquier otra fuente, el directorio debe residir en (ser propiedad de) la cuenta de miembro administrador delegado de IAM Identity Center, si existe alguna; de lo contrario, debe estar en la cuenta de administración.

En este tutorial se explica la configuración básica para usar Active Directory como origen de identidad de IAM Identity Center.

Si ya utiliza Active Directory, los siguientes temas lo ayudarán a prepararse para conectar su directorio a Centro de identidades de IAM.

nota

Si planea conectar un AWS Managed Microsoft AD directorio o un directorio autogestionado en Active Directory y no va a utilizar RADIUS MFA AWS Directory Service con, active la MFA en IAM Identity Center.

AWS Managed Microsoft AD

  1. Revise la guía en Conéctese a un Microsoft AD directory.

  2. Siga los pasos de Conectar un directorio AWS Managed Microsoft AD al centro de identidad de IAM.

  3. Configure Active Directory para sincronizar el usuario al que quiere conceder permisos administrativos en Centro de identidades de IAM. Para obtener más información, consulte Sincronice un usuario administrativo en el Centro de identidades de IAM.

Directorio autogestionado en Active Directory

  1. Revise la guía en Conéctese a un Microsoft AD directory.

  2. Siga los pasos de Conexión de un directorio autoadministrado de Active Directory a Centro de identidades de IAM.

  3. Configure Active Directory para sincronizar el usuario al que quiere conceder permisos administrativos en Centro de identidades de IAM. Para obtener más información, consulte Sincronice un usuario administrativo en el Centro de identidades de IAM.

Tras conectar el directorio al Centro de identidades de IAM, puede especificar el usuario al que quiere conceder permisos administrativos y, a continuación, sincronizar ese usuario del directorio con el Centro de identidades de IAM.

  1. Abra la Consola del Centro de identidades de IAM.

  2. Elija Configuraciones.

  3. En la página de Configuraciones, elija la pestaña Origen de identidad, elija Acciones y, a continuación, elija Administrar sincronización.

  4. En la página de Administrar sincronización, elija la pestaña Usuarios y, continuación, seleccione Añadir usuarios y grupos.

  5. En la pestaña Usuarios, en Usuario, ingrese el nombre de usuario exacto y seleccione Agregar.

  6. En Usuarios y grupos añadidos, haga lo siguiente:

    1. Confirme que se ha especificado el usuario a quien desea conceder permisos administrativos.

    2. Seleccione la casilla de verificación situada a la izquierda del nombre de usuario.

    3. Elija Enviar

  7. En la página Administrar sincronización, el usuario que especificó aparece en la lista de Ámbito de usuarios sincronizados.

  8. En el panel de navegación, seleccione Usuarios.

  9. En la página Usuarios, es posible que el usuario que especificó tarde algún tiempo en aparecer en la lista. Seleccione el icono de actualización para actualizar la lista de usuarios.

En este momento, el usuario no tiene acceso a la cuenta de administración. Para configurar el acceso administrativo a esta cuenta, debe crear un conjunto de permisos administrativos y asignar el usuario a ese conjunto de permisos. Para obtener más información, consulte Cree un conjunto de permisos para funciones de trabajo.