Connectez-vous à un Microsoft AD directory - AWS IAM Identity Center
Considérations relatives à l'utilisation d'Active DirectoryProvisionnement lorsque les utilisateurs proviennent d'Active Directory

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Connectez-vous à un Microsoft AD directory

Avec AWS IAM Identity Center, vous pouvez connecter un annuaire autogéré dans Active Directory (AD) ou un annuaire dans en AWS Managed Microsoft AD utilisant AWS Directory Service. Ce répertoire Microsoft AD définit le pool d'identités que les administrateurs peuvent extraire lorsqu'ils utilisent la console IAM Identity Center pour attribuer un accès par authentification unique. Après avoir connecté votre annuaire d'entreprise à IAM Identity Center, vous pouvez autoriser vos utilisateurs ou groupes AD à accéder aux applications Comptes AWS, ou aux deux.

AWS Directory Service vous aide à configurer et à gérer un AWS Managed Microsoft AD annuaire autonome hébergé dans le AWS Cloud. Vous pouvez également l'utiliser AWS Directory Service pour connecter vos AWS ressources à un AD autogéré existant. Pour que AWS Directory Service la configuration fonctionne avec votre AD autogéré, vous devez d'abord établir des relations de confiance afin d'étendre l'authentification au cloud.

IAMIdentity Center utilise la connexion fournie par AWS Directory Service pour effectuer une authentification directe auprès de l'instance AD source. Lorsque vous l'utilisez AWS Managed Microsoft AD comme source d'IAMidentité, Identity Center peut travailler avec des utilisateurs depuis AWS Managed Microsoft AD ou vers n'importe quel domaine connecté via un AD Trust. Si vous souhaitez localiser vos utilisateurs dans quatre domaines ou plus, les utilisateurs doivent utiliser la DOMAIN\user syntaxe comme nom d'utilisateur lorsqu'ils se connectent à IAM Identity Center.

Remarques

  • Comme étape préalable, assurez-vous que votre AD Connector ou votre répertoire dans AWS Managed Microsoft AD in AWS Directory Service se trouve dans votre compte AWS Organizations de gestion. Pour de plus amples informations, veuillez consulter Confirmez vos sources d'identité dans IAM Identity Center.

  • IAMIdentity Center ne prend pas en charge Simple AD SAMBA basé sur 4 en tant qu'annuaire connecté.

Considérations relatives à l'utilisation d'Active Directory

Si vous souhaitez utiliser Active Directory comme source d'identité, votre configuration doit répondre aux conditions préalables suivantes :

  • Si vous utilisez AWS Managed Microsoft AD, vous devez activer IAM Identity Center au même Région AWS endroit où votre AWS Managed Microsoft AD annuaire est configuré. IAM Identity Center stocke les données d'attribution dans la même région que le répertoire. Pour administrer IAM Identity Center, vous devrez peut-être passer à la région dans laquelle IAM Identity Center est configuré. Notez également que le portail AWS d'accès utilise le même accès URL que votre annuaire.

  • Utilisez un Active Directory résidant dans le compte de gestion :

    Un AD Connector ou un AWS Managed Microsoft AD annuaire AD Connector existant doit être configuré dans AWS Directory Service votre compte AWS Organizations de gestion. Vous ne pouvez connecter qu'un seul répertoire AD Connector ou un seul annuaire AWS Managed Microsoft AD à la fois. Si vous devez prendre en charge plusieurs domaines ou forêts, utilisez AWS Managed Microsoft AD. Pour plus d’informations, consultez :

  • Utilisez un Active Directory résidant dans le compte administrateur délégué :

    Si vous envisagez d'activer IAM l'administration déléguée d'Identity Center et d'utiliser Active Directory comme source IAM d'identité d'Identity Center, vous pouvez utiliser un AD Connector ou un AWS Managed Microsoft AD annuaire existant configuré dans AWS Directory et résidant dans le compte d'administrateur délégué.

    Si vous décidez de remplacer IAM la source d'identité d'Identity Center par une autre source par Active Directory, ou de passer d'Active Directory à une autre source, le répertoire doit résider dans le compte membre administrateur délégué IAM d'Identity Center (s'il en existe un) ; sinon, il doit se trouver dans le compte de gestion.

Provisionnement lorsque les utilisateurs proviennent d'Active Directory

IAMIdentity Center utilise la connexion fournie par le AWS Directory Service pour synchroniser les informations relatives aux utilisateurs, aux groupes et aux membres entre votre répertoire source dans Active Directory et le magasin IAM d'identités Identity Center. Aucune information de mot de passe n'est synchronisée avec IAM Identity Center, car l'authentification des utilisateurs s'effectue directement depuis le répertoire source dans Active Directory. Ces données d'identité sont utilisées par les applications pour faciliter les scénarios de recherche, d'autorisation et de collaboration intégrés à l'application sans renvoyer l'LDAPactivité vers le répertoire source dans Active Directory.

Pour plus d'informations ci-dessus sur le provisionnement, consultezProvisionnement d'utilisateurs et de groupes.

Rubriques