Conectar-se a um diretório Microsoft AD - AWS IAM Identity Center
Considerações sobre o uso do Active DirectoryProvisioning when users come from Active Directory.

Conectar-se a um diretório Microsoft AD

Com AWS IAM Identity Center, você pode se conectar aum diretório autogerenciado no Active Directory (AD) ou um diretório no AWS Managed Microsoft AD usando AWS Directory Service. Esse diretório do Microsoft AD define o grupo de identidades que os administradores podem extrair ao usar o console do IAM Identity Center para atribuir acesso de logon único. Depois de conectar seu diretório corporativo ao IAM Identity Center, você pode conceder aos usuários ou os grupos do AD acesso a aplicações, Contas da AWS ou ambas.

AWS Directory Service ajuda você a configurar e executar um diretório do AWS Managed Microsoft AD independente hospedado na AWS Nuvem. Você também pode usar AWS Directory Service para conectar seus recursos AWS a um AD autogerenciado existente. Para configurar o AWS Directory Service para trabalhar com seu AD autogerenciado, primeiro você deve configurar relações de confiança para estender a autenticação para a nuvem.

O IAM Identity Center usa a conexão fornecida por AWS Directory Service para realizar a autenticação de passagem para a instância de origem do AD. Quando você usa AWS Managed Microsoft AD como fonte de identidade, o IAM Identity Center pode trabalhar com usuários de AWS Managed Microsoft AD ou de qualquer domínio conectado por meio de uma confiança do AD. Se você quiser localizar seus usuários em quatro ou mais domínios, os usuários devem usar a sintaxe DOMAIN\user como nome de usuário ao realizar logins no IAM Identity Center.

Observações

  • Como etapa de pré-requisito, certifique-se de que seu AD Connector ou diretório em AWS Directory Service resida AWS Managed Microsoft AD em sua conta de gerenciamento AWS Organizations. Para ter mais informações, consulte Confirmar as fontes de identidades do IAM Identity Center.

  • O IAM Identity Center não é compatível SAMBA 4-based Simple AD como diretório conectado.

Considerações sobre o uso do Active Directory

Se você quiser usar o Active Directory como sua fonte de identidade, sua configuração deve atender aos seguintes pré-requisitos:

  • Se você estiver usando um AWS Managed Microsoft AD, você deve habilitar o IAM Identity Center na mesma Região da AWS em que seu diretório AWS Managed Microsoft AD está configurado. O IAM Identity Center armazena os dados de atribuição na mesma região do diretório. Para administrar o IAM Identity Center, talvez seja necessário mudar para a região em que o IAM Identity Center está configurado. Além disso, observe que o portal de acesso da AWS usa o mesmo URL de acesso que o diretório.

  • Use um Active Directory residente na conta de gerenciamento:

    Você deve ter um AD Connector ou um diretório do AWS Managed Microsoft AD configurado no AWS Directory Service e residente na conta de gerenciamento do AWS Organizations. Você pode conectar somente um diretório do AD Connector ou um diretório por AWS Managed Microsoft AD vez. Se você precisar oferecer suporte a vários domínios ou florestas, use AWS Managed Microsoft AD. Para obter mais informações, consulte:

  • Use um Active Directory residente na conta de administrador delegado:

    Se você planeja habilitar o administrador delegado do IAM Identity Center e usar o Active Directory como sua fonte de identidade do IAM Identity Center, você pode usar um AD Connector ou diretório AWS Managed Microsoft AD existente configurado no AWS Directory residente na conta de administrador delegado.

    Se você decidir alterar a fonte de identidade do IAM Identity Center de qualquer outra fonte para o Active Directory ou alterá-la do Active Directory para qualquer outra fonte, o diretório deverá residir (pertencer à) conta de membro do administrador delegado do IAM Identity Center, se houver; caso contrário, deverá estar na conta de gerenciamento.

Provisioning when users come from Active Directory.

O IAM Identity Center usa a conexão fornecida pelo AWS Directory Service para sincronizar informações de usuário, grupo e associação do seu diretório de origem no Active Directory com o repositório de identidades do IAM Identity Center. Nenhuma informação de senha é sincronizada com o IAM Identity Center, pois a autenticação do usuário ocorre diretamente no diretório de origem no Active Directory. Esses dados de identidade são usados por aplicações para facilitar cenários de pesquisa, autorização e colaboração na aplicação sem passar a atividade de LDAP de volta ao diretório de origem no Active Directory.

Para obter mais informações sobre o provisionamento, consulte Provisionamento de usuários e grupos.

Tópicos