As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.
IAMSincronização do Identity Center AD
Com o IAM Identity Center AD sync, você usa o IAM Identity Center para atribuir acesso a usuários e grupos no Active Directory a Contas da AWS e para AWS aplicativos gerenciados ou aplicativos gerenciados pelo cliente. Todas as identidades com atribuições são sincronizadas automaticamente no IAM Identity Center.
Como funciona IAM a sincronização do Identity Center AD
IAMO Identity Center atualiza os dados de identidade baseados em AD no repositório de identidades usando o processo a seguir.
Criação
Quando você atribui usuários ou grupos a Contas da AWS ou aplicativos usando o AWS o console ou as API chamadas de atribuição, as informações sobre os usuários, grupos e membros são sincronizadas periodicamente no repositório de IAM identidades do Identity Center. Os usuários ou grupos adicionados às atribuições do IAM Identity Center geralmente aparecem no AWS loja de identidade em duas horas. Dependendo da quantidade de dados que estão sendo sincronizados, esse processo pode levar mais tempo. Somente usuários e grupos aos quais foi atribuído acesso diretamente, ou que são membros de um grupo ao qual foi atribuído acesso, são sincronizados.
Grupos que são membros de outros grupos (chamados de grupos aninhados) também são gravados no repositório de identidades. Quando você faz atribuições em um grupo no Active Directory que contém grupos aninhados, a forma como as atribuições são aplicadas depende de você usar a sincronização do AD ou a sincronização configurável do AD.
-
Sincronização AD — Quando você faz atribuições para um grupo no Active Directory que contém grupos aninhados, somente os membros diretos do grupo podem acessar a conta. Por exemplo, se você atribuir acesso ao Grupo A e o Grupo B for membro do Grupo A, somente os membros diretos do Grupo A poderão acessar a conta. Nenhum membro do Grupo B herda o acesso.
-
Sincronização configurável do AD — Usar a sincronização configurável do AD para fazer atribuições a um grupo no Active Directory que contém grupos aninhados pode aumentar o escopo dos usuários que têm acesso a Contas da AWS ou para aplicativos. Nesse caso, o exercício se aplica a todos os usuários, incluindo aqueles em grupos aninhados. Por exemplo, se você atribuir acesso ao Grupo A e o Grupo B for membro do Grupo A, somente os membros diretos do Grupo A poderão acessar a conta.
Se um usuário acessar o IAM Identity Center antes de seu objeto de usuário ser sincronizado pela primeira vez, o objeto de armazenamento de identidades desse usuário será criado sob demanda usando o provisionamento just-in-time (JIT). Os usuários criados pelo JIT provisionamento não são sincronizados, a menos que tenham direitos do Identity Center atribuídos diretamente ou baseados em gruposIAM. As associações de grupos para usuários JIT provisionados ficam indisponíveis até depois da sincronização.
Para obter instruções sobre como atribuir aos usuários acesso ao Contas da AWS, consulte Acesso com login único a Contas da AWS.
Atualizar
Os dados de IAM identidade no repositório de identidades do Identity Center permanecem atualizados por meio da leitura periódica dos dados do diretório de origem no Active Directory. Os dados de identidade que são alterados no Active Directory geralmente aparecem no AWS loja de identidade em quatro horas. Dependendo da quantidade de dados que estão sendo sincronizados, esse processo pode levar mais tempo.
Objetos de usuário e grupo e suas associações são criados ou atualizados no IAM Identity Center para mapear os objetos correspondentes no diretório de origem no Active Directory. Para atributos do usuário, somente o subconjunto de atributos listados na seção Gerenciar atributos para controle de acesso do console do IAM Identity Center é atualizado no IAM Identity Center. Além disso, os atributos do usuário são atualizados com cada evento de autenticação do usuário.
Exclusão
Usuários e grupos são excluídos do repositório de identidades do IAM Identity Center quando os objetos de usuário ou grupo correspondentes são excluídos do diretório de origem no Active Directory.
