Sincronización con Centro de identidades de IAM AD
Con la sincronización con Centro de identidades de IAM AD, puede utilizar Centro de identidades de IAM para asignar a los usuarios y grupos de Active Directory el acceso a las Cuentas de AWS y a las aplicaciones administradas por AWS o las aplicaciones administradas por el cliente. Todas las identidades con asignaciones se sincronizan automáticamente en Centro de identidades de IAM.
Cómo funciona la sincronización de la API de Centro de identidades de IAM
Centro de identidades de IAM actualiza los datos de identidad basados en anuncios en el almacén de identidades mediante el siguiente proceso.
Creación
Al asignar usuarios o grupos a las aplicaciones o Cuentas de AWS mediante la consola de AWS o las llamadas a la API de asignación, la información sobre los usuarios, los grupos y los miembros se sincroniza periódicamente en el almacén de identidades de Centro de identidades de IAM. Los usuarios o grupos que se añaden a las asignaciones de Centro de identidades de IAM suelen aparecer en el almacén de identidades de AWS en un plazo de dos horas. En función de la cantidad de datos que se sincronicen, este proceso puede tardar más. Solo se sincronizan los usuarios y grupos a los que se les ha asignado acceso directamente o que son miembros de un grupo al que se le ha asignado acceso.
Los grupos que son miembros de otros grupos (llamados “grupos anidados”) también se escriben en el almacén de identidades. Al realizar asignaciones a un grupo de Active Directory que contiene grupos anidados, la forma en que se aplican las asignaciones depende de si utiliza la sincronización de AD o la de AD configurable.
-
Sincronización de AD: al realizar asignaciones a un grupo de Active Directory que contiene otros grupos anidados, solo los miembros directos del grupo pueden acceder a la cuenta. Por ejemplo, si asigna el acceso al grupo A y el grupo B es miembro del grupo A, solo los miembros directos del grupo A pueden acceder a la cuenta. Ningún miembro del grupo B hereda el acceso.
-
Sincronización AD configurable: el uso de la sincronización de AD configurable para realizar asignaciones a un grupo de Active Directory que contiene otros grupos anidados puede aumentar el número de usuarios que tienen acceso a Cuentas de AWS o las aplicaciones. En este caso, la asignación se aplica a todos los usuarios, incluidos los de los grupos anidados. Por ejemplo, si asigna el acceso al grupo A y el grupo B es miembro del grupo A, los miembros del grupo B también consiguen el acceso.
Si un usuario accede al Centro de identidades de IAM antes de sincronizar su objeto de usuario por primera vez, el objeto de almacén de identidades de ese usuario se crea bajo demanda mediante el aprovisionamiento justo a tiempo (JIT, por sus siglas en inglés). Los usuarios creados mediante el aprovisionamiento de JIT no se sincronizan a menos que tengan derechos de Centro de identidades de IAM asignados directamente o basados en grupos. La pertenencia a grupos para los usuarios aprovisionados por JIT no está disponible hasta después de la sincronización.
Para obtener instrucciones sobre cómo asignar el acceso a los usuarios de las Cuentas de AWS, consulte Acceso a Cuentas de AWS con inicio de sesión único.
Actualización
Los datos de identidad del almacén de identidades de Centro de identidades de IAM se mantienen actualizados al leer periódicamente los datos del directorio de origen de Active Directory. Los datos de identidad que se modifican en Active Directory suelen aparecer en el almacén de identidades de AWS en un plazo de 4 horas. En función de la cantidad de datos que se sincronicen, este proceso puede tardar más.
Los objetos de usuario y grupo y sus pertenencias se crean o actualizan en Centro de identidades de IAM para asignarlos a los objetos correspondientes del directorio de origen de Active Directory. En el caso de los atributos de usuario, solo el subconjunto de atributos que aparece en la sección Gestionar atributos para controlar el acceso de la consola de Centro de identidades de IAM se actualiza en Centro de identidades de IAM. Además, los atributos de usuario se actualizan con cada evento de autenticación de usuario.
Eliminación
Los usuarios y grupos se eliminan del almacén de identidades de Centro de identidades de IAM cuando los objetos de usuario o grupo correspondientes se eliminan del directorio de origen de Active Directory.