Conecte um diretório autogerenciado no Active Directory ao IAM Identity Center - AWS IAM Identity Center

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Conecte um diretório autogerenciado no Active Directory ao IAM Identity Center

Os usuários em seu diretório autogerenciado no Active Directory (AD) também podem ter acesso de logon único Contas da AWS e aplicativos no AWS portal de acesso. Para configurar o acesso de logon único para esses usuários, você poderá seguir um destes procedimentos:

  • Crie uma relação de confiança bidirecional — Quando relações de confiança bidirecionais são criadas entre AWS Managed Microsoft AD um diretório autogerenciado no AD, os usuários em seu diretório autogerenciado no AD podem entrar com suas credenciais corporativas em vários AWS serviços e aplicativos de negócios. Confianças unidirecionais não funcionam com o IAM Identity Center.

    AWS IAM Identity Center requer uma relação de confiança bidirecional para que tenha permissões para ler informações de usuários e grupos do seu domínio para sincronizar metadados de usuários e grupos. IAM O Identity Center usa esses metadados ao atribuir acesso a conjuntos de permissões ou aplicativos. Os metadados de usuários e grupos também são usados por aplicativos para colaboração, como quando você compartilha um painel com outro usuário ou grupo. A confiança do AWS Directory Service Microsoft Active Directory em seu domínio permite que o IAM Identity Center confie em seu domínio para autenticação. A confiança na direção oposta concede AWS permissões para ler metadados de usuários e grupos.

    Para obter mais informações sobre a configuração de uma confiança bidirecional, consulte Quando criar uma relação de confiança no AWS Directory Service Guia Administrativo.

    nota

    Para usar AWS aplicativos, como o IAM Identity Center, para ler usuários do AWS Directory Service diretório de domínios confiáveis, as AWS Directory Service contas exigem permissões para o userAccountControl atributo dos usuários confiáveis. Sem permissões de leitura para esse atributo, as aplicações da AWS não conseguem determinar se a conta está habilidade ou desabilitada.

    O acesso de leitura a esse atributo é fornecido por padrão quando uma relação de confiança é criada. Se você negar o acesso a esse atributo (não recomendado), impedirá que aplicações como o Identity Center consigam ler os usuários confiáveis. A solução é permitir especificamente o acesso de leitura ao userAccountControl atributo nas contas de AWS serviço na OU AWS reservada (prefixada com AWS_).

  • Criar um conector AD – O Conector AD é um gateway de diretório que pode redirecionar solicitações de diretório para seu AD autogerenciado sem armazenar nenhuma informação em cache na nuvem. Para obter mais informações, consulte Conectar a um Diretório no AWS Directory Service Guia de administração. As seguintes considerações devem ser observadas ao usar o AD Connector:

    • Se você estiver conectando o IAM Identity Center a um diretório do AD Connector, qualquer futura redefinição de senha de usuário deverá ser feita de dentro do AD. Isso significa que os usuários não poderão redefinir suas senhas no portal de AWS acesso.

    • Se você usar o AD Connector para conectar seu Serviço de Domínio do Active Directory ao IAM IAM Identity Center, o Identity Center só terá acesso aos usuários e grupos do único domínio ao qual o AD Connector está conectado. Se você precisar oferecer suporte a vários domínios ou florestas, use AWS Directory Service para o Microsoft Active Directory.

    nota

    IAMO Identity Center não funciona com diretórios Simple AD SAMBA4 baseados.