Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.
IAMSinkronisasi AD Pusat Identitas
Dengan sinkronisasi AD Pusat IAM Identitas, Anda menggunakan Pusat IAM Identitas untuk menetapkan pengguna dan grup dalam akses Direktori Aktif ke Akun AWS dan ke aplikasi AWS terkelola atau aplikasi yang dikelola pelanggan. Semua identitas dengan tugas secara otomatis disinkronkan ke IAM Pusat Identitas.
Cara kerja sinkronisasi AD Pusat IAM Identitas
IAMIdentity Center menyegarkan data identitas berbasis iklan di toko identitas menggunakan proses berikut.
Pembuatan
Saat Anda menetapkan pengguna atau grup ke Akun AWS atau aplikasi menggunakan AWS konsol atau API panggilan penetapan, informasi tentang pengguna, grup, dan keanggotaan disinkronkan secara berkala ke dalam penyimpanan IAM identitas Pusat Identitas. Pengguna atau grup yang ditambahkan ke tugas Pusat IAM Identitas biasanya muncul di toko AWS identitas dalam waktu dua jam. Bergantung pada jumlah data yang disinkronkan, proses ini mungkin memakan waktu lebih lama. Hanya pengguna dan grup yang langsung diberi akses, atau anggota grup yang diberi akses, yang disinkronkan.
Grup yang merupakan anggota kelompok lain (disebut grup bersarang) juga ditulis ke toko identitas. Saat Anda membuat penetapan ke grup di Active Directory yang berisi grup bersarang, cara penerapan penetapan bergantung pada apakah Anda menggunakan sinkronisasi AD atau sinkronisasi AD yang dapat dikonfigurasi.
-
Sinkronisasi AD — Saat Anda membuat penugasan ke grup di Direktori Aktif yang berisi grup bersarang, hanya anggota langsung grup yang dapat mengakses akun tersebut. Misalnya, jika Anda menetapkan akses ke Grup A, dan Grup B adalah anggota Grup A, hanya anggota langsung Grup A yang dapat mengakses akun tersebut. Tidak ada anggota Grup B yang mewarisi akses tersebut.
-
Sinkronisasi AD yang dapat dikonfigurasi — Menggunakan sinkronisasi AD yang dapat dikonfigurasi untuk membuat penetapan ke grup di Direktori Aktif yang berisi grup bersarang dapat meningkatkan cakupan pengguna yang memiliki akses ke atau ke Akun AWS aplikasi. Dalam hal ini, penugasan berlaku untuk semua pengguna, termasuk yang berada di grup bersarang. Misalnya, jika Anda menetapkan akses ke Grup A, dan Grup B adalah anggota Grup A, anggota Grup B juga mewarisi akses ini.
Jika pengguna mengakses Pusat IAM Identitas sebelum objek penggunanya disinkronkan untuk pertama kalinya, objek penyimpanan identitas pengguna tersebut dibuat sesuai permintaan menggunakan penyediaan just-in-time (JIT). Pengguna yang dibuat dengan JIT penyediaan tidak disinkronkan kecuali mereka telah secara langsung menetapkan atau hak Pusat Identitas berbasis grupIAM. Keanggotaan grup untuk pengguna JIT -provisioned tidak tersedia sampai setelah sinkronisasi.
Untuk petunjuk tentang cara menetapkan akses pengguna Akun AWS, lihatAkses masuk tunggal ke Akun AWS.
Perbarui
Data identitas di toko IAM identitas Pusat Identitas tetap segar dengan membaca data secara berkala dari direktori sumber di Active Directory. Data identitas yang diubah di Active Directory biasanya akan muncul di toko AWS identitas dalam waktu empat jam. Bergantung pada jumlah data yang disinkronkan, proses ini mungkin memakan waktu lebih lama.
Objek pengguna dan grup dan keanggotaannya dibuat atau diperbarui di Pusat IAM Identitas untuk dipetakan ke objek yang sesuai di direktori sumber di Active Directory. Untuk atribut pengguna, hanya subset atribut yang tercantum di bagian Kelola atribut untuk kontrol akses konsol Pusat IAM Identitas yang diperbarui di Pusat IAM Identitas. Selain itu, atribut pengguna diperbarui dengan setiap peristiwa otentikasi pengguna.
Penghapusan
Pengguna dan grup dihapus dari penyimpanan IAM identitas Pusat Identitas ketika objek pengguna atau grup yang sesuai dihapus dari direktori sumber di Active Directory.
