Connect direktori yang dikelola sendiri di Active Directory ke IAM Identity Center - AWS IAM Identity Center

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Connect direktori yang dikelola sendiri di Active Directory ke IAM Identity Center

Pengguna di direktori yang dikelola sendiri di Active Directory (AD) juga dapat memiliki akses masuk tunggal Akun AWS dan aplikasi di AWS portal akses. Untuk mengonfigurasi akses masuk tunggal bagi pengguna ini, Anda dapat melakukan salah satu hal berikut:

  • Ciptakan hubungan kepercayaan dua arah — Ketika hubungan kepercayaan dua arah tercipta antara AWS Managed Microsoft AD dan direktori yang dikelola sendiri di AD, pengguna di direktori yang dikelola sendiri di AD dapat masuk dengan kredensi perusahaan mereka ke berbagai AWS layanan dan aplikasi bisnis. Perwalian satu arah tidak bekerja dengan Pusat IAM Identitas.

    AWS IAM Identity Center memerlukan kepercayaan dua arah sehingga memiliki izin untuk membaca informasi pengguna dan grup dari domain Anda untuk menyinkronkan metadata pengguna dan grup. IAMIdentity Center menggunakan metadata ini saat menetapkan akses ke set izin atau aplikasi. Metadata pengguna dan grup juga digunakan oleh aplikasi untuk kolaborasi, seperti ketika Anda berbagi dasbor dengan pengguna atau grup lain. Kepercayaan dari AWS Directory Service untuk Microsoft Active Directory ke domain Anda mengizinkan IAM Identity Center untuk mempercayai domain Anda untuk otentikasi. Kepercayaan pada arah yang berlawanan memberikan AWS izin untuk membaca metadata pengguna dan grup.

    Untuk informasi selengkapnya tentang menyiapkan kepercayaan dua arah, lihat Kapan Membuat Hubungan Kepercayaan di AWS Directory Service Panduan Administrasi.

    catatan

    Untuk menggunakan AWS aplikasi, seperti Pusat IAM Identitas untuk dibaca AWS Directory Service pengguna direktori dari domain tepercaya, AWS Directory Service akun memerlukan izin untuk userAccountControl atribut pada pengguna tepercaya. Tanpa izin baca untuk atribut ini, AWS aplikasi tidak dapat menentukan apakah akun diaktifkan atau dinonaktifkan.

    Akses baca ke atribut ini disediakan secara default saat trust dibuat. Jika Anda menolak akses ke atribut ini (tidak disarankan), Anda akan merusak aplikasi seperti Identity Center agar tidak dapat membaca pengguna tepercaya. Solusinya adalah dengan secara khusus mengizinkan akses Baca ke userAccountControl atribut pada AWS akun layanan di bawah AWS Reserved OU (diawali dengan AWS_).

  • Buat Konektor AD — AD Connector adalah gateway direktori yang dapat mengarahkan permintaan direktori ke AD yang dikelola sendiri tanpa menyimpan informasi apa pun di cloud. Untuk informasi selengkapnya, lihat Connect to a Directory di AWS Directory Service Panduan Administrasi. Berikut ini adalah pertimbangan saat menggunakan AD Connector:

    • Jika Anda menghubungkan Pusat IAM Identitas ke direktori AD Connector, penyetelan ulang kata sandi pengguna future harus dilakukan dari dalam AD. Ini berarti bahwa pengguna tidak akan dapat mengatur ulang kata sandi mereka dari AWS portal akses.

    • Jika Anda menggunakan AD Connector untuk menghubungkan Layanan Domain Direktori Aktif ke IAM Pusat IAM Identitas, Pusat Identitas hanya memiliki akses ke pengguna dan grup domain tunggal yang dilampirkan oleh AD Connector. Jika Anda perlu mendukung beberapa domain atau hutan, gunakan AWS Directory Service untuk Microsoft Active Directory.

    catatan

    IAMIdentity Center tidak bekerja dengan direktori Simple AD SAMBA4 berbasis.