Connect direktori yang dikelola sendiri di Active Directory ke IAM Identity Center - AWS IAM Identity Center

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Connect direktori yang dikelola sendiri di Active Directory ke IAM Identity Center

Pengguna di direktori yang dikelola sendiri di Active Directory (AD) juga dapat memiliki akses masuk tunggal Akun AWS dan aplikasi di portal akses. AWS Untuk mengonfigurasi akses masuk tunggal bagi pengguna ini, Anda dapat melakukan salah satu hal berikut:

  • Buat hubungan kepercayaan dua arah — Ketika hubungan kepercayaan dua arah dibuat antara AWS Managed Microsoft AD dan direktori yang dikelola sendiri di AD, pengguna di direktori yang dikelola sendiri di AD dapat masuk dengan kredenal perusahaan mereka ke berbagai layanan dan aplikasi bisnis. AWS Perwalian satu arah tidak bekerja dengan IAM Identity Center.

    AWS IAM Identity Center memerlukan kepercayaan dua arah sehingga memiliki izin untuk membaca informasi pengguna dan grup dari domain Anda untuk menyinkronkan metadata pengguna dan grup. IAM Identity Center menggunakan metadata ini saat menetapkan akses ke set izin atau aplikasi. Metadata pengguna dan grup juga digunakan oleh aplikasi untuk kolaborasi, seperti ketika Anda berbagi dasbor dengan pengguna atau grup lain. Kepercayaan dari AWS Directory Service Microsoft Active Directory ke domain Anda memungkinkan IAM Identity Center untuk mempercayai domain Anda untuk otentikasi. Kepercayaan pada arah yang berlawanan memberikan AWS izin untuk membaca metadata pengguna dan grup.

    Untuk informasi selengkapnya tentang menyiapkan kepercayaan dua arah, lihat Kapan Membuat Hubungan Kepercayaan dalam Panduan AWS Directory Service Administrasi.

    catatan

    Untuk menggunakan AWS aplikasi, seperti IAM Identity Center untuk membaca pengguna AWS Directory Service direktori dari domain tepercaya, AWS Directory Service akun memerlukan izin ke userAccountControl atribut pada pengguna tepercaya. Tanpa izin baca untuk atribut ini, AWS aplikasi tidak dapat menentukan apakah akun diaktifkan atau dinonaktifkan.

    Akses baca ke atribut ini disediakan secara default saat trust dibuat. Jika Anda menolak akses ke atribut ini (tidak disarankan), Anda akan merusak aplikasi seperti Identity Center agar tidak dapat membaca pengguna tepercaya. Solusinya adalah dengan secara khusus mengizinkan akses Baca ke userAccountControl atribut pada akun AWS layanan di bawah OU AWS Cadangan (diawali dengan AWS_).

  • Buat Konektor AD — AD Connector adalah gateway direktori yang dapat mengarahkan permintaan direktori ke AD yang dikelola sendiri tanpa menyimpan informasi apa pun di cloud. Untuk informasi selengkapnya, lihat Connect to a Directory di Panduan AWS Directory Service Administrasi. Berikut ini adalah pertimbangan saat menggunakan AD Connector:

    • Jika Anda menghubungkan IAM Identity Center ke direktori AD Connector, pengaturan ulang kata sandi pengguna di masa mendatang harus dilakukan dari dalam AD. Ini berarti bahwa pengguna tidak akan dapat mengatur ulang kata sandi mereka dari portal AWS akses.

    • Jika Anda menggunakan AD Connector untuk menghubungkan Layanan Domain Direktori Aktif ke Pusat Identitas IAM, Pusat Identitas IAM hanya memiliki akses ke pengguna dan grup domain tunggal yang dilampirkan oleh AD Connector. Jika Anda perlu mendukung beberapa domain atau hutan, gunakan AWS Directory Service untuk Microsoft Active Directory.

    catatan

    IAM Identity Center tidak bekerja dengan direktori Simple AD SAMBA4 berbasis.