IAMSincronizzazione con Identity Center AD - AWS IAM Identity Center
Come funziona la sincronizzazione con IAM Identity Center AD

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

IAMSincronizzazione con Identity Center AD

Con IAM la sincronizzazione di Identity Center AD, utilizzi IAM Identity Center per assegnare a utenti e gruppi in Active Directory l'accesso a Account AWS e a AWS applicazioni gestite o applicazioni gestite dal cliente. Tutte le identità con assegnazioni vengono sincronizzate automaticamente in IAM Identity Center.

Come funziona la sincronizzazione con IAM Identity Center AD

IAMIdentity Center aggiorna i dati di identità basati su AD nell'archivio delle identità utilizzando il seguente processo.

Creazione

Quando si assegnano utenti o gruppi a Account AWS o applicazioni utilizzando il AWS le API chiamate di console o di assegnazione, le informazioni sugli utenti, i gruppi e i membri vengono periodicamente sincronizzate nell'archivio di IAM identità di Identity Center. Gli utenti o i gruppi che vengono aggiunti alle assegnazioni di IAM Identity Center di solito vengono visualizzati nella AWS archivio delle identità entro due ore. A seconda della quantità di dati da sincronizzare, questo processo potrebbe richiedere più tempo. Vengono sincronizzati solo gli utenti e i gruppi a cui è assegnato l'accesso diretto o che sono membri di un gruppo a cui è assegnato l'accesso.

I gruppi che sono membri di altri gruppi (denominati gruppi annidati) vengono scritti anche nell'archivio di identità. Quando si eseguono assegnazioni a un gruppo in Active Directory che contiene gruppi nidificati, il modo in cui vengono applicate le assegnazioni dipende dal fatto che si utilizzi la sincronizzazione AD o la sincronizzazione AD configurabile.

  • Sincronizzazione AD: quando si effettuano assegnazioni a un gruppo in Active Directory che contiene gruppi nidificati, solo i membri diretti del gruppo possono accedere all'account. Ad esempio, se si assegna l'accesso al gruppo A e il gruppo B è membro del gruppo A, solo i membri diretti del gruppo A possono accedere all'account. Nessun membro del Gruppo B eredita l'accesso.

  • Sincronizzazione AD configurabile: l'utilizzo della sincronizzazione AD configurabile per assegnare assegnazioni a un gruppo in Active Directory che contiene gruppi annidati potrebbe aumentare il numero di utenti che hanno accesso a Account AWS o alle applicazioni. In questo caso, l'assegnazione si applica a tutti gli utenti, compresi quelli dei gruppi nidificati. Ad esempio, se si assegna l'accesso al Gruppo A e il Gruppo B è membro del Gruppo A, anche i membri del Gruppo B ereditano questo accesso.

Se un utente accede a IAM Identity Center prima che il suo oggetto utente sia stato sincronizzato per la prima volta, l'oggetto dell'archivio di identità dell'utente viene creato su richiesta utilizzando just-in-time () provisioning. JIT Gli utenti creati mediante il JIT provisioning non vengono sincronizzati a meno che non dispongano di autorizzazioni Identity Center assegnate direttamente o basate sul gruppo. IAM Le appartenenze ai gruppi per gli utenti con JIT provisioning non sono disponibili fino a dopo la sincronizzazione.

Per istruzioni su come assegnare agli utenti l'accesso a Account AWS, consulta Accesso Single Sign-On a Account AWS.

Aggiornamento

I dati di identità nell'archivio di IAM identità di Identity Center rimangono aggiornati leggendo periodicamente i dati dalla directory di origine in Active Directory. I dati di identità modificati in Active Directory vengono in genere visualizzati in AWS archivio delle identità entro quattro ore. A seconda della quantità di dati da sincronizzare, questo processo potrebbe richiedere più tempo.

Gli oggetti utente e di gruppo e le relative appartenenze vengono creati o aggiornati in IAM Identity Center per essere mappati agli oggetti corrispondenti nella directory di origine di Active Directory. Per gli attributi utente, solo il sottoinsieme di attributi elencati nella sezione Gestisci gli attributi per il controllo degli accessi della console IAM Identity Center viene aggiornato in IAM Identity Center. Inoltre, gli attributi utente vengono aggiornati con ogni evento di autenticazione utente.

Eliminazione

Gli utenti e i gruppi vengono eliminati dall'IAMarchivio di identità di Identity Center quando gli oggetti utente o gruppo corrispondenti vengono eliminati dalla directory di origine in Active Directory.