Conéctese a un Microsoft AD directory - AWS IAM Identity Center
Consideraciones sobre el uso de Active DirectoryAprovisionamiento cuando los usuarios provienen de Active Directory

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Conéctese a un Microsoft AD directory

Con AWS IAM Identity Center, puede conectar un directorio autoadministrado en Active Directory (AD) o un directorio AWS Managed Microsoft AD mediante. AWS Directory Service Este directorio de Microsoft AD define el grupo de identidades que los administradores pueden extraer al utilizar la consola de Centro de identidades de IAM para asignar el acceso de inicio de sesión único. Tras conectar el directorio corporativo al Centro de identidades de IAM, puede conceder a sus usuarios o grupos de AD acceso a las aplicaciones o a Cuentas de AWS ambas opciones.

AWS Directory Service le ayuda a configurar y ejecutar un AWS Managed Microsoft AD directorio independiente alojado en la AWS nube. También puede usarlo AWS Directory Service para conectar sus AWS recursos con un AD autogestionado existente. Para configurarlo AWS Directory Service para que funcione con su AD autogestionado, primero debe configurar relaciones de confianza para extender la autenticación a la nube.

El centro de identidad de IAM utiliza la conexión proporcionada por AWS Directory Service para realizar la autenticación de transferencia a la instancia de AD de origen. Si la utilizas AWS Managed Microsoft AD como fuente de identidad, el Centro de Identidad de IAM puede funcionar con usuarios de AWS Managed Microsoft AD cualquier dominio conectado a través de un fideicomiso de AD. Si desea ubicar a sus usuarios en 4 o más dominios, los usuarios deben usar la sintaxis de DOMAIN\user como nombre de usuario al iniciar sesión en Centro de identidades de IAM.

Notas

  • Como paso previo, asegúrese de que su AD Connector o directorio en AWS Managed Microsoft AD in AWS Directory Service reside en su cuenta AWS Organizations de administración. Para obtener más información, consulte Confirme sus orígenes de identidad del IAM Identity Center.

  • Centro de identidades de IAM no admite Simple AD basado en SAMBA 4 como directorio conectado.

Consideraciones sobre el uso de Active Directory

Si quiere utilizar Active Directory como origen de identidad, la configuración debe cumplir los siguientes requisitos previos:

  • Si lo está utilizando AWS Managed Microsoft AD, debe habilitar el Centro de identidad de IAM en el mismo Región de AWS lugar donde está configurado su AWS Managed Microsoft AD directorio. Centro de identidades de IAM almacena los datos de asignación en la misma región que el directorio. Para administrar Centro de identidades de IAM, es posible que deba cambiarse a la región en la que está configurado Centro de identidades de IAM. Además, tenga en cuenta que el portal de AWS acceso utiliza la misma URL de acceso que su directorio.

  • Utilice un Active Directory que resida en la cuenta de administración:

    Debe tener un AD Connector o AWS Managed Microsoft AD directorio existente configurado y debe residir en AWS Directory Service su cuenta AWS Organizations de administración. Solo puede conectar un directorio AD Connector o un directorio AWS Managed Microsoft AD a la vez. Si necesita admitir varios dominios o bosques, utilice AWS Managed Microsoft AD. Para obtener más información, consulte:

  • Utilice un Active Directory que resida en la cuenta de administrador delegada:

    Si planea habilitar la administración delegada del IAM Identity Center y usar Active Directory como fuente de identidad del IAM Identity Center, puede usar un AD Connector existente o un AWS Managed Microsoft AD directorio configurado en el AWS Directorio que resida en la cuenta de administrador delegado.

    Si decide cambiar la fuente de identidad de Centro de identidades de IAM de cualquier otra fuente a Active Directory o cambiarla de Active Directory a cualquier otra fuente, el directorio debe residir (ser propiedad de) la cuenta de miembro administrador delegado de Centro de identidades de IAM si existe; de lo contrario, debe estar en la cuenta de administración.

Aprovisionamiento cuando los usuarios provienen de Active Directory

El Centro de Identidad de IAM utiliza la conexión proporcionada por el AWS Directory Service para sincronizar la información de usuarios, grupos y miembros del directorio de origen de Active Directory con el almacén de identidades del Centro de Identidad de IAM. La información de la contraseña no se sincroniza con Centro de identidades de IAM, ya que la autenticación de los usuarios se realiza directamente desde el directorio de origen de Active Directory. Las aplicaciones utilizan estos datos de identidad para facilitar los escenarios de búsqueda, autorización y colaboración dentro de la aplicación sin devolver la actividad de LDAP al directorio de origen de Active Directory.

Para obtener más información sobre aprovisionamiento, consulte Aprovisionamiento de usuarios y grupos.

Temas