Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
IAMSincronizzazione AD configurabile con Identity Center
IAMLa sincronizzazione con Active Directory (AD) configurabile con Identity Center consente di configurare in modo esplicito le identità in Microsoft Active Directory che vengono sincronizzate automaticamente in IAM Identity Center e di controllare il processo di sincronizzazione.
Prerequisiti e considerazioni
Prima di utilizzare la sincronizzazione AD configurabile, tieni presente i seguenti prerequisiti e considerazioni:
-
Specificare utenti e gruppi in Active Directory da sincronizzare
Prima di poter utilizzare IAM Identity Center per assegnare l'accesso a nuovi utenti e gruppi Account AWS e a AWS applicazioni gestite o applicazioni gestite dai clienti, è necessario specificare gli utenti e i gruppi in Active Directory da sincronizzare e quindi sincronizzarli in IAM Identity Center.
-
Sincronizzazione AD: quando si eseguono assegnazioni per nuovi utenti e gruppi utilizzando la console di IAM Identity Center o le relative API azioni di assegnazione, IAM Identity Center cerca direttamente nel controller di dominio gli utenti o i gruppi specificati, completa l'assegnazione e quindi sincronizza periodicamente i metadati dell'utente o del gruppo in Identity Center. IAM
-
Sincronizzazione AD configurabile: IAM Identity Center non cerca direttamente nel controller di dominio utenti e gruppi. Invece, devi prima specificare l'elenco di utenti e gruppi da sincronizzare. È possibile configurare questo elenco, noto anche come ambito di sincronizzazione, in uno dei seguenti modi, a seconda che si disponga di utenti e gruppi già sincronizzati in IAM Identity Center o di nuovi utenti e gruppi che si sincronizzano per la prima volta utilizzando la sincronizzazione AD configurabile.
-
Utenti e gruppi esistenti: se hai utenti e gruppi già sincronizzati in IAM Identity Center, l'ambito di sincronizzazione nella sincronizzazione AD configurabile è precompilato con un elenco di tali utenti e gruppi. Per assegnare nuovi utenti o gruppi, è necessario aggiungerli specificamente all'ambito di sincronizzazione. Per ulteriori informazioni, consulta Aggiungi utenti e gruppi all'ambito di sincronizzazione.
-
Nuovi utenti e gruppi: se desideri assegnare a nuovi utenti e gruppi l'accesso a Account AWS e alle applicazioni, è necessario specificare quali utenti e gruppi aggiungere all'ambito di sincronizzazione nella sincronizzazione AD configurabile prima di poter utilizzare IAM Identity Center per effettuare l'assegnazione. Per ulteriori informazioni, consulta Aggiungi utenti e gruppi all'ambito di sincronizzazione.
-
-
-
Assegnazione di assegnazioni a gruppi annidati in Active Directory
I gruppi che sono membri di altri gruppi sono chiamati gruppi nidificati (o gruppi secondari). Quando si eseguono assegnazioni a un gruppo in Active Directory che contiene gruppi nidificati, il modo in cui vengono applicate le assegnazioni dipende dal fatto che si utilizzi la sincronizzazione AD o la sincronizzazione AD configurabile.
-
Sincronizzazione AD: quando si effettuano assegnazioni a un gruppo in Active Directory che contiene gruppi nidificati, solo i membri diretti del gruppo possono accedere all'account. Ad esempio, se si assegna l'accesso al gruppo A e il gruppo B è membro del gruppo A, solo i membri diretti del gruppo A possono accedere all'account. Nessun membro del Gruppo B eredita l'accesso.
-
Sincronizzazione AD configurabile: l'utilizzo della sincronizzazione AD configurabile per assegnare assegnazioni a un gruppo in Active Directory che contiene gruppi annidati potrebbe aumentare il numero di utenti che hanno accesso a Account AWS o alle applicazioni. In questo caso, l'assegnazione si applica a tutti gli utenti, compresi quelli dei gruppi nidificati. Ad esempio, se si assegna l'accesso al Gruppo A e il Gruppo B è membro del Gruppo A, anche i membri del Gruppo B ereditano questo accesso.
-
-
Aggiornamento dei flussi di lavoro automatizzati
Se disponi di flussi di lavoro automatizzati che utilizzano le azioni IAM dell'archivio di IAM identità e API le azioni di assegnazione API di Identity Center per assegnare a nuovi utenti e gruppi l'accesso agli account e alle applicazioni e per sincronizzarli in IAM Identity Center, devi modificare tali flussi di lavoro entro il 15 aprile 2022 in modo che funzionino come previsto con la sincronizzazione AD configurabile. La sincronizzazione AD configurabile modifica l'ordine in cui avvengono l'assegnazione e il provisioning di utenti e gruppi e il modo in cui vengono eseguite le query.
-
Sincronizzazione AD: il processo di assegnazione viene eseguito per primo. Assegnate a utenti e gruppi l'accesso a Account AWS e alle applicazioni. Una volta assegnato l'accesso, agli utenti e ai gruppi viene automaticamente assegnato il provisioning (sincronizzato con IAM Identity Center). Se si dispone di un flusso di lavoro automatizzato, ciò significa che quando si aggiunge un nuovo utente ad Active Directory, il flusso di lavoro automatizzato può interrogare Active Directory per l'utente utilizzando l'
ListUserAPIazione di archiviazione delle identità e quindi assegnare l'accesso all'utente utilizzando le azioni di assegnazione dell'IAMIdentity Center. API Poiché all'utente è assegnato un incarico, tale utente viene automaticamente assegnato a Identity Center. IAM -
Sincronizzazione AD configurabile: il provisioning avviene per primo e non viene eseguito automaticamente. È invece necessario innanzitutto aggiungere in modo esplicito utenti e gruppi all'archivio di identità aggiungendoli all'ambito di sincronizzazione. Per informazioni sui passaggi consigliati per automatizzare la configurazione di sincronizzazione per la sincronizzazione AD configurabile, consulta. Automatizza la configurazione di sincronizzazione per una sincronizzazione AD configurabile
-
Argomenti
