Como funciona a sincronização configurável do AD - AWS IAM Identity Center
CriaçãoAtualizarExclusão

Como funciona a sincronização configurável do AD

O IAM Identity Center atualiza os dados de identidade baseados em AD no repositório de identidades usando o processo a seguir.

Criação

Depois de conectar seu diretório autogerenciado no Active Directory ou seu diretório AWS Managed Microsoft AD gerenciado pelo AWS Directory Service ao IAM Identity Center, você pode configurar explicitamente os usuários e grupos do Active Directory que você deseja sincronizar no repositório de identidades do IAM Identity Center. As identidades que você escolher serão sincronizadas a cada três horas ou mais no repositório de identidades do IAM Identity Center. Dependendo do tamanho do seu diretório, o processo de sincronização pode demorar mais.

Grupos que são membros de outros grupos (chamados de grupos aninhados ou grupos secundários) também são gravados no repositório de identidades. Quando você faz atribuições para um grupo no Active Directory que contém grupos aninhados, a maneira como as atribuições são aplicadas depende de você usar sincronização do AD ou sincronização do AD configurável. Para ter mais informações, consulte Making assignments to nested groups in Active Directory.

Você só pode atribuir acesso a novos usuários ou grupos depois que eles forem sincronizados no repositório de identidades do IAM Identity Center.

Atualizar

Os dados de identidade no repositório de identidades do IAM Identity Center permanecem atualizados por meio da leitura periódica dos dados do diretório de origem no Active Directory. O IAM Identity Center, por padrão, sincroniza dados do Active Directory a cada hora em um ciclo de sincronização. A sincronização de dados com o IAM Identity Center pode levar de 30 minutos a 2 horas, dependendo do tamanho do Active Directory.

Os objetos de usuário e grupo que estão no escopo de sincronização e suas associações são criados ou atualizados no IAM Identity Center para mapear os objetos correspondentes no diretório de origem no Active Directory. Para atributos do usuário, somente o subconjunto de atributos listados na seção Attributes for access control do console do IAM Identity Center é atualizado no IAM Identity Center. Pode levar um ciclo de sincronização para uma atualização de atributos feita no Active Directory seja refletida no IAM Identity Center.

Você também pode atualizar o subconjunto de usuários e grupos que você sincroniza no repositório de identidades do IAM Identity Center. Você pode optar por adicionar novos usuários ou grupos a esse subconjunto ou removê-los. Todas as identidades que você adicionar serão sincronizadas na próxima sincronização agendada. As identidades que você remover do subconjunto deixarão de ser atualizadas no armazenamento de identidades do IAM Identity Center. Qualquer usuário que não estiver sincronizado por mais de 28 dias será desativado no repositório de identidades do IAM Identity Center. Os objetos de usuário correspondentes serão automaticamente desativados no repositório de identidades do IAM Identity Center durante o próximo ciclo de sincronização, a menos que façam parte de outro grupo que ainda faça parte do escopo da sincronização.

Exclusão

Usuários e grupos são excluídos do repositório de identidades do IAM Identity Center quando os objetos de usuário ou grupo correspondentes são excluídos do diretório de origem no Active Directory. Como alternativa, você pode excluir explicitamente objetos de usuário do repositório de identidades do IAM Identity Center usando o console do IAM Identity Center. Se você usa o console do IAM Identity Center, também deve remover os usuários do escopo de sincronização para garantir que eles não sejam sincronizados novamente com o IAM Identity Center durante o próximo ciclo de sincronização.

Você também pode pausar e reiniciar a sincronização a qualquer momento. Se você pausar a sincronização por mais de 28 dias, todos os seus usuários serão desativados.