Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
Connectez un annuaire autogéré dans Active Directory à IAM Identity Center
Les utilisateurs de votre annuaire autogéré dans Active Directory (AD) peuvent également accéder par authentification unique au portail d'accès Comptes AWS et aux applications qui s' AWS y trouvent. Pour configurer l'accès à authentification unique pour ces utilisateurs, vous pouvez effectuer l'une des opérations suivantes :
-
Création d'une relation de confiance bidirectionnelle : lorsque des relations de confiance bidirectionnelles sont créées entre AWS Managed Microsoft AD et un annuaire autogéré dans AD, les utilisateurs de votre annuaire autogéré dans AD peuvent se connecter avec leurs informations d'identification d'entreprise à divers AWS services et applications métier. Les approbations unidirectionnelles ne fonctionnent pas avec IAM Identity Center.
AWS IAM Identity Center nécessite une confiance bidirectionnelle afin d'être autorisé à lire les informations relatives aux utilisateurs et aux groupes de votre domaine afin de synchroniser les métadonnées des utilisateurs et des groupes. IAM Identity Center utilise ces métadonnées lors de l'attribution de l'accès à des ensembles d'autorisations ou à des applications. Les métadonnées des utilisateurs et des groupes sont également utilisées par les applications à des fins de collaboration, par exemple lorsque vous partagez un tableau de bord avec un autre utilisateur ou un autre groupe. La confiance accordée par AWS Directory Service Microsoft Active Directory à votre domaine permet à IAM Identity Center de faire confiance à votre domaine pour l'authentification. La confiance dans le sens opposé accorde des AWS autorisations pour lire les métadonnées des utilisateurs et des groupes.
Pour plus d'informations sur la configuration d'une confiance bidirectionnelle, voir Quand créer une relation de confiance dans le Guide d'AWS Directory Service administration.
Note
Pour utiliser AWS des applications, telles qu'IAMIdentity Center, pour lire les utilisateurs de l' AWS Directory Service annuaire provenant de domaines approuvés, les AWS Directory Service comptes doivent disposer d'autorisations sur l' userAccountControlattribut des utilisateurs de confiance. Sans autorisations de lecture pour cet attribut, AWS les applications ne sont pas en mesure de déterminer si le compte est activé ou désactivé.
L'accès en lecture à cet attribut est fourni par défaut lorsqu'une approbation est créée. Si vous refusez l'accès à cet attribut (ce n'est pas recommandé), vous empêcherez des applications telles qu'Identity Center de lire les utilisateurs fiables. La solution consiste à autoriser spécifiquement l'accès en lecture à l'
userAccountControlattribut sur les comptes de AWS service sous l'unité d'organisation AWS réservée (préfixée par AWS_). -
Création d'un AD Connector — AD Connector est une passerelle d'annuaire qui peut rediriger les demandes d'annuaire vers votre AD autogéré sans mettre en cache aucune information dans le cloud. Pour plus d'informations, voir Connect to a Directory dans le Guide AWS Directory Service d'administration. Les points suivants doivent être pris en compte lors de l'utilisation d'AD Connector :
-
Si vous connectez IAM Identity Center à un annuaire AD Connector, toute future réinitialisation du mot de passe utilisateur devra être effectuée depuis AD. Cela signifie que les utilisateurs ne pourront pas réinitialiser leur mot de passe depuis le portail AWS d'accès.
-
Si vous utilisez AD Connector pour connecter votre service de domaine Active Directory à IAM Identity Center, IAM Identity Center n'a accès qu'aux utilisateurs et aux groupes du domaine unique auquel AD Connector est attaché. Si vous devez prendre en charge plusieurs domaines ou forêts, utilisez AWS Directory Service Microsoft Active Directory.
Note
IAMIdentity Center ne fonctionne pas avec les annuaires Simple AD SAMBA4 basés sur Simple AD.
-
