IAMSinkronisasi AD yang dapat dikonfigurasi Pusat Identitas - AWS IAM Identity Center
Prasyarat dan pertimbangan

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

IAMSinkronisasi AD yang dapat dikonfigurasi Pusat Identitas

IAMSinkronisasi Active Directory (AD) yang dapat dikonfigurasi Pusat Identitas memungkinkan Anda mengonfigurasi identitas secara eksplisit di Microsoft Active Directory yang secara otomatis disinkronkan IAM ke Pusat Identitas dan mengontrol proses sinkronisasi.

Prasyarat dan pertimbangan

Sebelum Anda menggunakan sinkronisasi AD yang dapat dikonfigurasi, perhatikan prasyarat dan pertimbangan berikut:

  • Menentukan pengguna dan grup di Active Directory untuk disinkronkan

    Sebelum Anda dapat menggunakan Pusat IAM Identitas untuk menetapkan akses pengguna dan grup baru Akun AWS dan untuk AWS aplikasi terkelola atau aplikasi yang dikelola pelanggan, Anda harus menentukan pengguna dan grup di Active Directory untuk disinkronkan, dan kemudian menyinkronkannya ke Pusat IAM Identitas.

    • Sinkronisasi AD — Saat Anda membuat penetapan untuk pengguna dan grup baru menggunakan konsol Pusat IAM Identitas atau API tindakan penetapan terkait, Pusat IAM Identitas mencari pengontrol domain secara langsung untuk pengguna atau grup yang ditentukan, menyelesaikan penetapan, dan kemudian secara berkala menyinkronkan metadata pengguna atau grup ke Pusat Identitas. IAM

    • Sinkronisasi AD yang dapat dikonfigurasi — Pusat IAM Identitas tidak mencari pengontrol domain Anda secara langsung untuk pengguna dan grup. Sebagai gantinya, Anda harus terlebih dahulu menentukan daftar pengguna dan grup untuk disinkronkan. Anda dapat mengonfigurasi daftar ini, juga dikenal sebagai cakupan sinkronisasi, dengan salah satu cara berikut, tergantung pada apakah Anda memiliki pengguna dan grup yang sudah disinkronkan ke Pusat IAM Identitas, atau Anda memiliki pengguna dan grup baru yang Anda sinkronkan untuk pertama kalinya dengan menggunakan sinkronisasi AD yang dapat dikonfigurasi.

      • Pengguna dan grup yang ada: Jika Anda memiliki pengguna dan grup yang sudah disinkronkan ke Pusat IAM Identitas, cakupan sinkronisasi dalam sinkronisasi AD yang dapat dikonfigurasi akan diisi sebelumnya dengan daftar pengguna dan grup tersebut. Untuk menetapkan pengguna atau grup baru, Anda harus secara khusus menambahkannya ke lingkup sinkronisasi. Untuk informasi selengkapnya, lihat Tambahkan pengguna dan grup ke cakupan sinkronisasi Anda.

      • Pengguna dan grup baru: Jika Anda ingin menetapkan akses pengguna dan grup baru Akun AWS dan ke aplikasi, Anda harus menentukan pengguna dan grup mana yang akan ditambahkan ke cakupan sinkronisasi dalam sinkronisasi AD yang dapat dikonfigurasi sebelum Anda dapat menggunakan Pusat IAM Identitas untuk membuat penetapan. Untuk informasi selengkapnya, lihat Tambahkan pengguna dan grup ke cakupan sinkronisasi Anda.

  • Membuat tugas ke grup bersarang di Active Directory

    Grup yang merupakan anggota kelompok lain disebut kelompok bersarang (atau kelompok anak). Saat Anda membuat penetapan ke grup di Active Directory yang berisi grup bersarang, cara penerapan penetapan bergantung pada apakah Anda menggunakan sinkronisasi AD atau sinkronisasi AD yang dapat dikonfigurasi.

    • Sinkronisasi AD — Saat Anda membuat penugasan ke grup di Direktori Aktif yang berisi grup bersarang, hanya anggota langsung grup yang dapat mengakses akun tersebut. Misalnya, jika Anda menetapkan akses ke Grup A, dan Grup B adalah anggota Grup A, hanya anggota langsung Grup A yang dapat mengakses akun tersebut. Tidak ada anggota Grup B yang mewarisi akses tersebut.

    • Sinkronisasi AD yang dapat dikonfigurasi — Menggunakan sinkronisasi AD yang dapat dikonfigurasi untuk membuat penetapan ke grup di Direktori Aktif yang berisi grup bersarang dapat meningkatkan cakupan pengguna yang memiliki akses ke Akun AWS atau untuk aplikasi. Dalam hal ini, penugasan berlaku untuk semua pengguna, termasuk yang berada di grup bersarang. Misalnya, jika Anda menetapkan akses ke Grup A, dan Grup B adalah anggota Grup A, anggota Grup B juga mewarisi akses ini.

  • Memperbarui alur kerja otomatis

    Jika Anda memiliki alur kerja otomatis yang menggunakan API tindakan penyimpanan IAM identitas Pusat Identitas dan API tindakan penetapan Pusat IAM Identitas untuk menetapkan akses pengguna dan grup baru ke akun dan aplikasi, dan untuk menyinkronkannya ke Pusat IAM Identitas, Anda harus menyesuaikan alur kerja tersebut sebelum 15 April 2022 agar berfungsi seperti yang diharapkan dengan sinkronisasi AD yang dapat dikonfigurasi. Sinkronisasi AD yang dapat dikonfigurasi mengubah urutan penetapan dan penyediaan pengguna dan grup, serta cara kueri dilakukan.

    • Sinkronisasi AD — Proses penugasan terjadi terlebih dahulu. Anda menetapkan akses pengguna dan grup ke Akun AWS dan untuk aplikasi. Setelah pengguna dan grup diberi akses, mereka secara otomatis disediakan (disinkronkan ke Pusat IAM Identitas). Jika Anda memiliki alur kerja otomatis, ini berarti bahwa ketika Anda menambahkan pengguna baru ke Active Directory, alur kerja otomatis Anda dapat menanyakan Active Directory untuk pengguna dengan menggunakan ListUser API tindakan penyimpanan identitas, lalu menetapkan akses pengguna menggunakan tindakan penetapan Pusat IAM Identitas. API Karena pengguna memiliki tugas, pengguna tersebut secara otomatis disediakan ke IAM Pusat Identitas.

    • Sinkronisasi AD yang dapat dikonfigurasi — Penyediaan terjadi terlebih dahulu, dan tidak dilakukan secara otomatis. Sebagai gantinya, Anda harus terlebih dahulu menambahkan pengguna dan grup secara eksplisit ke toko identitas dengan menambahkannya ke lingkup sinkronisasi Anda. Untuk informasi tentang langkah-langkah yang disarankan untuk mengotomatiskan konfigurasi sinkronisasi untuk sinkronisasi AD yang dapat dikonfigurasi, lihat. Otomatiskan konfigurasi sinkronisasi Anda untuk sinkronisasi AD yang dapat dikonfigurasi

Topik