Conecte um diretório autogerenciado no Active Directory ao IAM Identity Center - AWS IAM Identity Center

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Conecte um diretório autogerenciado no Active Directory ao IAM Identity Center

Os usuários em seu diretório autogerenciado no Active Directory (AD) também podem ter acesso de login único ao Contas da AWS e aplicações no AWS portal de acesso. Para configurar o acesso de logon único para esses usuários, você poderá seguir um destes procedimentos:

  • Crie uma relação de confiança bidirecional — Quando relações de confiança bidirecionais são criadas entre AWS Managed Microsoft AD e um diretório autogerenciado no AD, os usuários em seu diretório autogerenciado no AD podem entrar com suas credenciais corporativas em vários AWS serviços e aplicativos de negócios. Confianças unidirecionais não funcionam com o IAM Identity Center.

    AWS IAM Identity Center requer uma relação de confiança bidirecional para que tenha permissões para ler informações de usuários e grupos do seu domínio para sincronizar metadados de usuários e grupos. IAMO Identity Center usa esses metadados ao atribuir acesso a conjuntos de permissões ou aplicativos. Os metadados de usuários e grupos também são usados por aplicativos para colaboração, como quando você compartilha um painel com outro usuário ou grupo. A confiança de AWS Directory Service o Microsoft Active Directory em seu domínio permite que o IAM Identity Center confie em seu domínio para autenticação. A confiança na direção oposta concede AWS permissões para ler metadados de usuários e grupos.

    Para obter mais informações sobre como configurar uma relação de confiança bidirecional, consulte Quando criar uma relação de confiança no AWS Directory Service Guia de administração.

    nota

    Para usar AWS aplicativos, como o IAM Identity Center para ler AWS Directory Service usuários do diretório de domínios confiáveis, o AWS Directory Service as contas exigem permissões para o userAccountControl atributo dos usuários confiáveis. Sem permissões de leitura para esse atributo, AWS os aplicativos não conseguem determinar se a conta está ativada ou desativada.

    O acesso de leitura a esse atributo é fornecido por padrão quando uma relação de confiança é criada. Se você negar o acesso a esse atributo (não recomendado), impedirá que aplicativos como o Identity Center consigam ler usuários confiáveis. A solução é permitir especificamente o acesso de leitura ao userAccountControl atributo no AWS contas de serviço sob o AWS OU reservada (prefixada com AWS_).

  • Criar um conector AD – O Conector AD é um gateway de diretório que pode redirecionar solicitações de diretório para seu AD autogerenciado sem armazenar nenhuma informação em cache na nuvem. Para obter mais informações, consulte Connect to a Directory no AWS Directory Service Guia de administração. Veja a seguir algumas considerações ao usar o AD Connector:

    • Se você estiver conectando o IAM Identity Center a um diretório do AD Connector, qualquer futura redefinição de senha de usuário deverá ser feita de dentro do AD. Isso significa que os usuários não poderão redefinir suas senhas a partir do AWS portal de acesso.

    • Se você usar o AD Connector para conectar seu Serviço de Domínio do Active Directory ao IAM IAM Identity Center, o Identity Center só terá acesso aos usuários e grupos do único domínio ao qual o AD Connector está conectado. Se você precisar oferecer suporte a vários domínios ou florestas, use AWS Directory Service para o Microsoft Active Directory.

    nota

    IAMO Identity Center não funciona com diretórios Simple AD SAMBA4 baseados.