Consideraciones sobre el uso de Active Directory Aprovisionamiento cuando los usuarios provienen de Active Directory

Conexión un directorio Microsoft AD

Con AWS IAM Identity Center, puede conectarse a un directorio autoadministrado en Active Directory (AD) o un directorio en AWS Managed Microsoft AD mediante AWS Directory Service. Este directorio de Microsoft AD define el grupo de identidades que los administradores pueden extraer al utilizar la consola de Centro de identidades de IAM para asignar el acceso de inicio de sesión único. Tras conectar su directorio corporativo a Centro de identidades de IAM, podrá conceder a sus usuarios o grupos de AD acceso a las Cuentas de AWS, a las aplicaciones o a ambas opciones.

AWS Directory Service le ayuda a configurar y ejecutar un directorio AWS Managed Microsoft AD independiente alojado en la nube de AWS. También puede utilizar AWS Directory Service para conectar sus recursos de AWS con un AD autoadministrado existente. Para configurar AWS Directory Service para que funcione con su servicio autogestionado Active Directory, primero debe configurar relaciones de confianza para llevar la autenticación a la nube.

Centro de identidades de IAM utiliza la conexión proporcionada por AWS Directory Service para realizar la autenticación de transferencia a la instancia de AD de origen. Si utiliza AWS Managed Microsoft AD como fuente de identidad, Centro de identidades de IAM puede funcionar con usuarios de AWS Managed Microsoft AD o de cualquier dominio conectado a través de una relación de confianza de AD. Si desea ubicar a sus usuarios en 4 o más dominios, los usuarios deben usar la sintaxis de DOMAIN\user como nombre de usuario al iniciar sesión en Centro de identidades de IAM.

Notas

Como paso previo, asegúrese de que su AD Connector o directorio en AWS Managed Microsoft AD en AWS Directory Service reside en su cuenta de administración de AWS Organizations. Para obtener más información, consulte Confirme sus orígenes de identidad del Centro de identidades de IAM.
Centro de identidades de IAM no admite Simple AD basado en SAMBA 4 como directorio conectado.

Consideraciones sobre el uso de Active Directory

Si quiere utilizar Active Directory como origen de identidad, la configuración debe cumplir los siguientes requisitos previos:

Si está usando AWS Managed Microsoft AD, debe habilitar Centro de identidades de IAM en la misma Región de AWS donde su directorio de AWS Managed Microsoft AD está configurado. Centro de identidades de IAM almacena los datos de asignación en la misma región que el directorio. Para administrar Centro de identidades de IAM, es posible que deba cambiarse a la región en la que está configurado Centro de identidades de IAM. Además, tenga en cuenta que el portal de acceso de AWS utiliza la misma URL de acceso que su directorio.
Utilice un Active Directory que resida en la cuenta de administración:

Debe tener un conector de AD existente o directorio de AWS Managed Microsoft AD configurado en AWS Directory Service, y debe residir dentro de su cuenta de administración de AWS Organizations. Solo puede conectar un directorio de conector de AD o un directorio en AWS Managed Microsoft AD a la vez. Si necesita admitir varios dominios o bosques, utilice AWS Managed Microsoft AD. Para obtener más información, consulte:
- Conectar un directorio en AWS Managed Microsoft AD al Centro de identidades de IAM
- Conexión de un directorio autoadministrado de Active Directory a Centro de identidades de IAM
Utilice un Active Directory que resida en la cuenta de administrador delegada:

Si planea habilitar la administración delegada de Centro de identidades de IAM y usar Active Directory como fuente de identidad de Centro de identidades de IAM, puede usar un conector de AD existente o directorio de AWS Managed Microsoft AD configurado en el directorio de AWS que reside en la cuenta de administrador delegada.

Si decide cambiar la fuente de identidad de Centro de identidades de IAM de cualquier otra fuente a Active Directory o cambiarla de Active Directory a cualquier otra fuente, el directorio debe residir (ser propiedad de) la cuenta de miembro administrador delegado de Centro de identidades de IAM si existe; de lo contrario, debe estar en la cuenta de administración.

Aprovisionamiento cuando los usuarios provienen de Active Directory

Centro de identidades de IAM utiliza la conexión proporcionada por AWS Directory Service para sincronizar la información de usuarios, grupos y miembros del directorio de origen de Active Directory con el almacén de identidades de Centro de identidades de IAM. La información de la contraseña no se sincroniza con Centro de identidades de IAM, ya que la autenticación de los usuarios se realiza directamente desde el directorio de origen de Active Directory. Las aplicaciones utilizan estos datos de identidad para facilitar los escenarios de búsqueda, autorización y colaboración dentro de la aplicación sin devolver la actividad de LDAP al directorio de origen de Active Directory.

Para obtener más información sobre aprovisionamiento, consulte Aprovisionamiento de usuarios y grupos.

Temas

Aviso JavaScript está desactivado o no está disponible en su navegador.

Para utilizar la documentación de AWS, debe estar habilitado JavaScript. Para obtener más información, consulte las páginas de ayuda de su navegador.

Convenciones del documento

Requisitos de contraseña

Conexión de Active Directory y especificación de un usuario