Cara kerja sinkronisasi AD yang dapat dikonfigurasi

IAMIdentity Center menyegarkan data identitas berbasis iklan di toko identitas dengan menggunakan proses berikut.

Pembuatan

Setelah Anda menghubungkan direktori yang dikelola sendiri di Active Directory atau AWS Managed Microsoft AD direktori yang dikelola oleh AWS Directory Service ke Pusat IAM Identitas, Anda dapat secara eksplisit mengonfigurasi pengguna dan grup Direktori Aktif yang ingin Anda sinkronkan ke toko IAM identitas Pusat Identitas. Identitas yang Anda pilih akan disinkronkan setiap tiga jam atau lebih ke toko IAM identitas Pusat Identitas. Bergantung pada ukuran direktori Anda, proses sinkronisasi mungkin memakan waktu lebih lama.

Grup yang merupakan anggota kelompok lain (disebut grup bersarang atau kelompok anak) juga ditulis ke toko identitas. Saat Anda membuat penetapan ke grup di Active Directory yang berisi grup bersarang, cara penerapan penetapan bergantung pada apakah Anda menggunakan sinkronisasi AD atau sinkronisasi AD yang dapat dikonfigurasi. Untuk informasi selengkapnya, lihat Making assignments to nested groups in Active Directory.

Anda hanya dapat menetapkan akses ke pengguna atau grup baru setelah mereka disinkronkan ke toko IAM identitas Pusat Identitas.

Perbarui

Data identitas di toko IAM identitas Pusat Identitas tetap segar dengan membaca data secara berkala dari direktori sumber di Active Directory. IAMPusat Identitas menyinkronkan data dari Direktori Aktif Anda setiap jam dalam siklus sinkronisasi secara default. Mungkin diperlukan waktu 30 menit hingga 2 jam agar data disinkronkan ke Pusat IAM Identitas, berdasarkan ukuran Direktori Aktif Anda.

Objek pengguna dan grup yang berada dalam lingkup sinkronisasi dan keanggotaannya dibuat atau diperbarui di Pusat IAM Identitas untuk dipetakan ke objek yang sesuai di direktori sumber di Direktori Aktif. Untuk atribut pengguna, hanya subset atribut yang tercantum di bagian Atribut untuk kontrol akses konsol Pusat IAM Identitas yang diperbarui di Pusat IAM Identitas. Mungkin diperlukan satu siklus sinkronisasi untuk pembaruan atribut apa pun yang Anda buat di Active Directory untuk tercermin di Pusat IAM Identitas.

Anda juga dapat memperbarui subset pengguna dan grup yang Anda sinkronkan ke toko IAM identitas Pusat Identitas. Anda dapat memilih untuk menambahkan pengguna atau grup baru ke subset ini, atau menghapusnya. Setiap identitas yang Anda tambahkan disinkronkan pada sinkronisasi terjadwal berikutnya. Identitas yang Anda hapus dari subset akan berhenti diperbarui di toko IAM identitas Pusat Identitas. Setiap pengguna yang tidak disinkronkan selama lebih dari 28 hari akan dinonaktifkan di toko IAM identitas Pusat Identitas. Objek pengguna yang sesuai akan dinonaktifkan secara otomatis di penyimpanan IAM identitas Pusat Identitas selama siklus sinkronisasi berikutnya, kecuali mereka adalah bagian dari grup lain yang masih merupakan bagian dari lingkup sinkronisasi.

Penghapusan

Pengguna dan grup dihapus dari penyimpanan IAM identitas Pusat Identitas ketika objek pengguna atau grup yang sesuai dihapus dari direktori sumber di Active Directory. Atau, Anda dapat secara eksplisit menghapus objek pengguna dari toko IAM identitas Pusat Identitas dengan menggunakan konsol Pusat IAM Identitas. Jika Anda menggunakan konsol Pusat IAM Identitas, Anda juga harus menghapus pengguna dari lingkup sinkronisasi untuk memastikan bahwa mereka tidak disinkronkan kembali ke Pusat IAM Identitas selama siklus sinkronisasi berikutnya.

Anda juga dapat menjeda dan memulai ulang sinkronisasi kapan saja. Jika Anda menjeda sinkronisasi selama lebih dari 28 hari, semua pengguna Anda akan dinonaktifkan.

Awas Javascript dinonaktifkan atau tidak tersedia di browser Anda.

Untuk menggunakan Dokumentasi AWS, Javascript harus diaktifkan. Lihat halaman Bantuan browser Anda untuk petunjuk.

Konvensi Dokumen

IAMSinkronisasi AD yang dapat dikonfigurasi Pusat Identitas

Konfigurasikan dan kelola cakupan sinkronisasi Anda