Usar o Active Directory como uma fonte de identidades - AWS IAM Identity Center

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Usar o Active Directory como uma fonte de identidades

Se você estiver gerenciando usuários em seu AWS Managed Microsoft AD diretório usando AWS Directory Service ou em seu diretório autogerenciado no Active Directory (AD), você pode alterar sua fonte de identidade do IAM Identity Center para trabalhar com esses usuários. Recomendamos que você considere conectar essa fonte de identidades quando habilitar o IAM Identity Center e escolher a fonte de identidade. Fazer isso antes de criar qualquer usuário e grupo no diretório padrão do Centro de Identidade ajudará a evitar a configuração adicional necessária se você alterar sua fonte de identidade posteriormente.

Se você quiser usar o Active Directory como a fonte de identidades, a configuração deverá atender aos seguintes pré-requisitos:

  • Se você estiver usando AWS Managed Microsoft AD, você deve habilitar o IAM Identity Center no mesmo Região da AWS local em que seu AWS Managed Microsoft AD diretório está configurado. O IAM Identity Center armazena os dados de atribuição na mesma região do diretório. Para administrar o IAM Identity Center, talvez seja necessário mudar para a região em que o IAM Identity Center está configurado. Além disso, observe que o portal de AWS acesso usa a mesma URL de acesso do seu diretório.

  • Use um Active Directory residente na conta de gerenciamento:

    Você deve ter um AD Connector ou AWS Managed Microsoft AD diretório existente configurado e ele deve residir em sua conta AWS Organizations de gerenciamento. AWS Directory Service Você pode conectar somente um diretório do AD Connector ou um diretório por AWS Managed Microsoft AD vez. Se você precisar oferecer suporte a vários domínios ou florestas, use AWS Managed Microsoft AD. Para obter mais informações, consulte:

  • Use um Active Directory residente na conta do administrador delegado:

    Se você planeja habilitar um administrador delegado do IAM Identity Center e usar o Active Directory como sua fonte de identidade do IAM Identity Center, você pode usar um AD Connector ou AWS Managed Microsoft AD diretório existente configurado no AWS Diretório que reside na conta de administrador delegado.

    Se você decidir alterar a fonte de identidade do IAM Identity Center de qualquer outra fonte para o Active Directory ou alterá-la do Active Directory para qualquer outra fonte, o diretório deverá residir (pertencer à) conta de membro do administrador delegado do IAM Identity Center, se houver; caso contrário, deverá estar na conta de gerenciamento.

Este tutorial orienta você na configuração básica para usar o Active Directory como uma fonte de identidades do IAM Identity Center.

Se já estiver usando o Active Directory, os tópicos a seguir ajudarão você a conectar o diretório ao IAM Identity Center.

nota

Se você planeja conectar um AWS Managed Microsoft AD diretório ou um diretório autogerenciado no Active Directory e não está usando o RADIUS MFA com, AWS Directory Service habilite o MFA no IAM Identity Center.

AWS Managed Microsoft AD

  1. Revise as orientações em Conecte-se a um Microsoft AD directory.

  2. Siga as etapas em Conecte um diretório AWS Managed Microsoft AD ao IAM Identity Center.

  3. Configure o Active Directory para sincronizar o usuário ao qual você deseja conceder permissões administrativas no IAM Identity Center. Para obter mais informações, consulte Sincronizar um usuário administrativo para o IAM Identity Center.

Diretório autogerenciado no Active Directory

  1. Revise as orientações em Conecte-se a um Microsoft AD directory.

  2. Siga as etapas em Conecte um diretório autogerenciado no Active Directory ao IAM Identity Center.

  3. Configure o Active Directory para sincronizar o usuário ao qual você deseja conceder permissões administrativas no IAM Identity Center. Para obter mais informações, consulte Sincronizar um usuário administrativo para o IAM Identity Center.

Após conectar seu diretório ao IAM Identity Center, você pode especificar um usuário ao qual deseja conceder permissões administrativas e, em seguida, sincronizar esse usuário do seu diretório com o IAM Identity Center.

  1. Abra o console do IAM Identity Center.

  2. Escolha Settings.

  3. Na página Configurações, escolha a guia Identity source, escolha Actions e, em seguida, escolha Manage Sync.

  4. Na página Manage Sync, escolha a guia Usuários e Adicionar usuários e grupos.

  5. Na guia Usuários, em Usuário, insira o nome do usuário exato e escolha Adicionar.

  6. Em Usuários e grupos adicionados, faça o seguinte:

    1. Confirme se o usuário para o qual você deseja conceder permissões administrativas foi especificado.

    2. Marque a caixa de seleção à esquerda do nome do usuário.

    3. Selecione Enviar.

  7. Na página Gerenciar sincronização, o usuário que você especificou aparece na lista Usuários no escopo de sincronização.

  8. No painel de navegação, escolha Users.

  9. Na página Usuários, pode levar algum tempo para que o usuário que você especificou apareça na lista. Escolha o ícone de atualização para atualizar a lista de usuários.

Neste momento, seu usuário não tem acesso à conta de gerenciamento. Você configurará o acesso administrativo a essa conta criando um conjunto de permissões administrativas e atribuindo o usuário a esse conjunto de permissões. Para obter mais informações, consulte Criar um conjunto de permissões para funções.