Cómo funciona la sincronización de AD configurable - AWS IAM Identity Center
CreaciónActualizaciónEliminación

Cómo funciona la sincronización de AD configurable

Centro de identidades de IAM actualiza los datos de identidad basados en anuncios en el almacén de identidades mediante el siguiente proceso.

Creación

Tras conectar el directorio autoadministrado de Active Directory o su directorio de AWS Managed Microsoft AD administrado por AWS Directory Service a Centro de identidades de IAM, puede configurar de forma explícita los usuarios y grupos de Active Directory que desee sincronizar en el almacén de identidades de Centro de identidades de IAM. Las identidades que elija se sincronizarán aproximadamente cada 3 horas en el almacén de identidades de Centro de identidades de IAM. Según el tamaño del directorio, el proceso de sincronización puede tardar más.

Los grupos que son miembros de otros grupos (llamados grupos anidados o grupos secundarios) también se escriben en el almacén de identidades. Al realizar asignaciones a un grupo de Active Directory que contiene grupos anidados, la forma en que se aplican las asignaciones depende de si utiliza la sincronización de AD o la de AD configurable. Para obtener más información, consulte Making assignments to nested groups in Active Directory.

Solo puede asignar el acceso a nuevos usuarios o grupos después de que estén sincronizados en el almacén de identidades de Centro de identidades de IAM.

Actualización

Los datos de identidad del almacén de identidades de Centro de identidades de IAM se mantienen actualizados al leer periódicamente los datos del directorio de origen de Active Directory. De forma predeterminada, Centro de identidades de IAM sincroniza los datos de su Active Directory cada hora en un ciclo de sincronización. Los datos pueden tardar entre 30 minutos y 2 horas en sincronizarse con el Centro de identidades de IAM, según el tamaño de su Active Directory.

Los objetos de usuario y grupo que se encuentran en el ámbito de la sincronización y sus pertenencias se crean o actualizan en Centro de identidades de IAM para asignarlos a los objetos correspondientes del directorio de origen de Active Directory. En el caso de los atributos de usuario, solo el subconjunto de atributos que aparece en la sección Atributos para controlar el acceso de la consola de Centro de identidades de IAM se actualiza en Centro de identidades de IAM. Las actualizaciones de atributos que realice en Active Directory pueden tardar un ciclo de sincronización en reflejarse en el Centro de identidades de IAM.

También puede actualizar el subconjunto de usuarios y grupos que sincroniza en el almacén de identidades de Centro de identidades de IAM. Puede optar por añadir nuevos usuarios o grupos a este subconjunto o eliminarlos. Todas las identidades que añada se sincronizarán en la próxima sincronización programada. Las identidades que elimine del subconjunto dejarán de actualizarse en el almacén de identidades de Centro de identidades de IAM. Los usuarios que no estén sincronizados durante más de 28 días quedarán inhabilitados en el almacén de identidades de Centro de identidades de IAM. Los objetos de usuario correspondientes se deshabilitarán automáticamente en el almacén de identidades de Centro de identidades de IAM durante el siguiente ciclo de sincronización, a menos que formen parte de otro grupo que siga formando parte del ámbito de sincronización.

Eliminación

Los usuarios y grupos se eliminan del almacén de identidades de Centro de identidades de IAM cuando los objetos de usuario o grupo correspondientes se eliminan del directorio de origen de Active Directory. Como alternativa, puede eliminar de forma explícita los objetos de usuario del almacén de identidades de Centro de identidades de IAM mediante la consola de Centro de identidades de IAM. Si utiliza la consola de Centro de identidades de IAM, también debe eliminar los usuarios del ámbito de sincronización para garantizar que no se vuelvan a sincronizar con Centro de identidades de IAM durante el siguiente ciclo de sincronización.

También puede pausar y reiniciar la sincronización en cualquier momento. Si pausa la sincronización durante más de 28 días, se deshabilitarán todos los usuarios.