Connect una directory autogestita in Active Directory a IAM Identity Center - AWS IAM Identity Center

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Connect una directory autogestita in Active Directory a IAM Identity Center

Gli utenti presenti nella directory autogestita in Active Directory (AD) possono inoltre disporre dell'accesso Single Sign-On a Account AWS e applicazioni in AWS portale di accesso. Per configurare l'accesso Single Sign-on per questi utenti, puoi effettuare una delle seguenti operazioni:

  • Crea una relazione di trust bidirezionale: quando vengono create relazioni di trust bidirezionale tra AWS Managed Microsoft AD e una directory autogestita in AD, gli utenti della directory autogestita in AD possono accedere con le proprie credenziali aziendali a vari AWS servizi e applicazioni aziendali. I trust unidirezionali non funzionano con IAM Identity Center.

    AWS IAM Identity Center richiede un trust bidirezionale in modo da disporre delle autorizzazioni per leggere le informazioni su utenti e gruppi dal dominio per sincronizzare i metadati di utenti e gruppi. IAMIdentity Center utilizza questi metadati per assegnare l'accesso a set di autorizzazioni o applicazioni. I metadati di utenti e gruppi vengono utilizzati anche dalle applicazioni per la collaborazione, ad esempio quando condividi una dashboard con un altro utente o gruppo. La fiducia di AWS Directory Service per Microsoft Active Directory sul tuo dominio consente a IAM Identity Center di considerare attendibile il tuo dominio per l'autenticazione. La fiducia nella direzione opposta garantisce AWS autorizzazioni per leggere i metadati di utenti e gruppi.

    Per ulteriori informazioni sulla configurazione di un trust bidirezionale, vedere Quando creare una relazione di trust nella AWS Directory Service Guida all'amministrazione.

    Nota

    Per poter utilizzare AWS applicazioni, come IAM Identity Center to read AWS Directory Service utenti di elenchi provenienti da domini affidabili, AWS Directory Service gli account richiedono le autorizzazioni per l' userAccountControl attributo sugli utenti attendibili. Senza i permessi di lettura per questo attributo, AWS le applicazioni non sono in grado di determinare se l'account è abilitato o disabilitato.

    L'accesso in lettura a questo attributo viene fornito per impostazione predefinita quando viene creato un trust. Se neghi l'accesso a questo attributo (scelta non consigliata), impedirai ad applicazioni come Identity Center di leggere utenti affidabili. La soluzione consiste nel consentire specificamente l'accesso in lettura all'userAccountControlattributo sul AWS account di servizio sotto AWS Unità organizzativa riservata (con il prefisso AWS_).

  • Crea un connettore AD: AD Connector è un gateway di directory in grado di reindirizzare le richieste di directory al tuo AD autogestito senza memorizzare nella cache alcuna informazione nel cloud. Per ulteriori informazioni, consulta Connect to a directory nel AWS Directory Service Guida all'amministrazione. Di seguito sono riportate le considerazioni relative all'utilizzo di AD Connector:

    • Se si connette IAM Identity Center a una directory AD Connector, eventuali future reimpostazioni delle password utente devono essere eseguite dall'interno di AD. Ciò significa che gli utenti non saranno in grado di reimpostare le proprie password dal AWS portale di accesso.

    • Se utilizzi AD Connector per connettere il servizio di dominio Active Directory a IAM IAM Identity Center, Identity Center ha accesso solo agli utenti e ai gruppi del singolo dominio a cui si collega AD Connector. Se devi supportare più domini o foreste, usa AWS Directory Service per Microsoft Active Directory.

    Nota

    IAMIdentity Center non funziona con le directory Simple AD SAMBA4 basate su.