Come funziona la sincronizzazione AD configurabile - AWS IAM Identity Center
CreazioneAggiornamentoEliminazione

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Come funziona la sincronizzazione AD configurabile

IAMIdentity Center aggiorna i dati di identità basati sugli annunci nell'archivio delle identità utilizzando il seguente processo.

Creazione

Dopo aver collegato la directory autogestita ad Active Directory o al AWS Managed Microsoft AD directory gestita da AWS Directory Service in IAM Identity Center, è possibile configurare in modo esplicito gli utenti e i gruppi di Active Directory che si desidera sincronizzare nell'archivio di IAM identità di Identity Center. Le identità scelte verranno sincronizzate ogni tre ore circa nell'archivio di IAM identità di Identity Center. A seconda delle dimensioni della directory, il processo di sincronizzazione potrebbe richiedere più tempo.

Anche i gruppi che sono membri di altri gruppi (denominati gruppi annidati o gruppi secondari) vengono scritti nell'archivio di identità. Quando si eseguono assegnazioni a un gruppo in Active Directory che contiene gruppi nidificati, il modo in cui vengono applicate le assegnazioni dipende dal fatto che si utilizzi la sincronizzazione AD o la sincronizzazione AD configurabile. Per ulteriori informazioni, consulta Making assignments to nested groups in Active Directory.

È possibile assegnare l'accesso a nuovi utenti o gruppi solo dopo la sincronizzazione nell'archivio di identità di Identity Center. IAM

Aggiornamento

I dati di identità nell'archivio di IAM identità di Identity Center rimangono aggiornati leggendo periodicamente i dati dalla directory di origine in Active Directory. IAMPer impostazione predefinita, Identity Center sincronizza i dati da Active Directory ogni ora in un ciclo di sincronizzazione. La sincronizzazione dei dati in IAM Identity Center può richiedere da 30 minuti a 2 ore, a seconda delle dimensioni di Active Directory.

Gli oggetti utente e di gruppo inclusi nell'ambito di sincronizzazione e le relative appartenenze vengono creati o aggiornati in IAM Identity Center per essere mappati agli oggetti corrispondenti nella directory di origine di Active Directory. Per gli attributi utente, solo il sottoinsieme di attributi elencati nella sezione Attributi per il controllo degli accessi della console di IAM Identity Center viene aggiornato in IAM Identity Center. Potrebbe essere necessario un ciclo di sincronizzazione affinché tutti gli aggiornamenti degli attributi apportati in Active Directory si riflettano in IAM Identity Center.

È inoltre possibile aggiornare il sottoinsieme di utenti e gruppi che si sincronizzano nell'archivio di IAM identità di Identity Center. È possibile scegliere di aggiungere nuovi utenti o gruppi a questo sottoinsieme o rimuoverli. Tutte le identità aggiunte vengono sincronizzate alla successiva sincronizzazione pianificata. Le identità rimosse dal sottoinsieme smetteranno di essere aggiornate nell'archivio di IAM identità di Identity Center. Qualsiasi utente che non è sincronizzato per più di 28 giorni verrà disabilitato nell'archivio di IAM identità di Identity Center. Gli oggetti utente corrispondenti verranno automaticamente disabilitati nell'archivio di IAM identità di Identity Center durante il ciclo di sincronizzazione successivo, a meno che non facciano parte di un altro gruppo che fa ancora parte dell'ambito di sincronizzazione.

Eliminazione

Gli utenti e i gruppi vengono eliminati dall'IAMarchivio di identità di Identity Center quando gli oggetti utente o gruppo corrispondenti vengono eliminati dalla directory di origine in Active Directory. In alternativa, è possibile eliminare in modo esplicito gli oggetti utente dall'archivio di IAM identità di Identity Center utilizzando la console IAM Identity Center. Se si utilizza la console IAM Identity Center, è inoltre necessario rimuovere gli utenti dall'ambito di sincronizzazione per garantire che non vengano risincronizzati in IAM Identity Center durante il ciclo di sincronizzazione successivo.

È inoltre possibile sospendere e riavviare la sincronizzazione in qualsiasi momento. Se sospendi la sincronizzazione per più di 28 giorni, tutti gli utenti verranno disabilitati.