Connectez-vous à un Microsoft AD directory - AWS IAM Identity Center
Considérations relatives à l'utilisation d'Active DirectoryProvisionnement lorsque les utilisateurs proviennent d'Active Directory

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Connectez-vous à un Microsoft AD directory

Avec AWS IAM Identity Center, vous pouvez connecter un annuaire autogéré dans Active Directory (AD) ou un annuaire dans AWS Managed Microsoft AD en utilisant AWS Directory Service. Ce répertoire Microsoft AD définit le pool d'identités que les administrateurs peuvent extraire lorsqu'ils utilisent la console IAM Identity Center pour attribuer un accès par authentification unique. Après avoir connecté votre annuaire d'entreprise à IAM Identity Center, vous pouvez accorder à vos utilisateurs ou groupes AD l'accès à Comptes AWS, des applications, ou les deux.

AWS Directory Service vous aide à configurer et à exécuter un système autonome AWS Managed Microsoft AD répertoire hébergé dans le AWS Nuage. Vous pouvez également utiliser AWS Directory Service pour connecter votre AWS ressources avec un AD autogéré existant. Pour configurer AWS Directory Service pour utiliser votre AD autogéré, vous devez d'abord établir des relations de confiance afin d'étendre l'authentification au cloud.

IAMIdentity Center utilise la connexion fournie par AWS Directory Service pour effectuer une authentification directe sur l'instance AD source. Lorsque vous utilisez AWS Managed Microsoft AD en tant que source d'identité, IAM Identity Center peut travailler avec des utilisateurs de AWS Managed Microsoft AD ou depuis n'importe quel domaine connecté via un AD Trust. Si vous souhaitez localiser vos utilisateurs dans quatre domaines ou plus, les utilisateurs doivent utiliser la DOMAIN\user syntaxe comme nom d'utilisateur lorsqu'ils se connectent à IAM Identity Center.

Remarques

  • Comme étape préalable, assurez-vous que votre AD Connector ou votre annuaire dans AWS Managed Microsoft AD dans AWS Directory Service réside dans votre AWS Organizations compte de gestion. Pour de plus amples informations, veuillez consulter Confirmez vos sources d'identité dans IAM Identity Center.

  • IAMIdentity Center ne prend pas en charge Simple AD SAMBA basé sur 4 en tant qu'annuaire connecté.

Considérations relatives à l'utilisation d'Active Directory

Si vous souhaitez utiliser Active Directory comme source d'identité, votre configuration doit répondre aux conditions préalables suivantes :

  • Si vous utilisez AWS Managed Microsoft AD, vous devez activer IAM Identity Center dans le même Région AWS où votre AWS Managed Microsoft AD le répertoire est configuré. IAMIdentity Center stocke les données d'attribution dans la même région que le répertoire. Pour administrer IAM Identity Center, vous devrez peut-être passer à la région dans laquelle IAM Identity Center est configuré. Notez également que AWS le portail d'accès utilise le même accès URL que votre annuaire.

  • Utilisez un Active Directory résidant dans le compte de gestion :

    Vous devez disposer d'un AD Connector existant ou AWS Managed Microsoft AD répertoire configuré dans AWS Directory Service, et il doit résider dans votre AWS Organizations compte de gestion. Vous ne pouvez connecter qu'un seul répertoire AD Connector ou un seul répertoire dans AWS Managed Microsoft AD à la fois. Si vous devez prendre en charge plusieurs domaines ou forêts, utilisez AWS Managed Microsoft AD. Pour plus d'informations, voir :

  • Utilisez un Active Directory résidant dans le compte administrateur délégué :

    Si vous envisagez d'activer IAM l'administration déléguée d'Identity Center et d'utiliser Active Directory comme source IAM d'identité d'Identity Center, vous pouvez utiliser un AD Connector existant ou AWS Managed Microsoft AD répertoire configuré dans AWS Répertoire résidant dans le compte administrateur délégué.

    Si vous décidez de remplacer IAM la source d'identité d'Identity Center par une autre source par Active Directory, ou de passer d'Active Directory à une autre source, le répertoire doit résider dans le compte membre administrateur délégué IAM d'Identity Center (s'il en existe un) ; sinon, il doit se trouver dans le compte de gestion.

Provisionnement lorsque les utilisateurs proviennent d'Active Directory

IAMIdentity Center utilise la connexion fournie par AWS Directory Service pour synchroniser les informations relatives aux utilisateurs, aux groupes et aux membres entre votre répertoire source dans Active Directory et le magasin IAM d'identités Identity Center. Aucune information de mot de passe n'est synchronisée avec IAM Identity Center, car l'authentification des utilisateurs s'effectue directement depuis le répertoire source dans Active Directory. Ces données d'identité sont utilisées par les applications pour faciliter les scénarios de recherche, d'autorisation et de collaboration intégrés à l'application sans renvoyer l'LDAPactivité vers le répertoire source dans Active Directory.

Pour plus d'informations ci-dessus sur le provisionnement, consultezProvisionnement d'utilisateurs et de groupes.

Rubriques