Sincronização configurável no AD do IAM Identity Center - AWS IAM Identity Center
Pré-requisitos e considerações

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Sincronização configurável no AD do IAM Identity Center

A sincronização configurável do Active Directory (AD) do IAM Identity Center permite que você configure explicitamente as identidades no Microsoft Active Directory que são sincronizadas automaticamente com o IAM Identity Center e controle o processo de sincronização.

Pré-requisitos e considerações

Antes de usar o AD Sync configurável, esteja ciente dos seguintes pré-requisitos e considerações:

  • Como especificar usuários e grupos no Active Directory para sincronização

    Antes de usar o IAM Identity Center para atribuir a novos usuários e grupos acesso Contas da AWS e aos aplicativos AWS gerenciados ou aplicativos gerenciados pelo cliente, você deve especificar os usuários e grupos no Active Directory para sincronizar e depois sincronizá-los com o IAM Identity Center.

    • Sincronização do AD — Quando você faz atribuições para novos usuários e grupos usando o console do IAM Identity Center ou ações relacionadas da API de atribuição, o IAM Identity Center pesquisa diretamente no controlador de domínio os usuários ou grupos especificados, conclui a atribuição e sincroniza periodicamente os metadados do usuário ou do grupo no IAM Identity Center.

    • Sincronização configurável do AD — o IAM Identity Center não pesquisa usuários e grupos diretamente em seu controlador de domínio. Em vez disso, você deve primeiro especificar a lista de usuários e grupos a serem sincronizados. Você pode configurar essa lista, também conhecida como escopo de sincronização, de uma das seguintes formas, dependendo se você tem usuários e grupos que já estão sincronizados com o IAM Identity Center ou se tem novos usuários e grupos que você está sincronizando pela primeira vez usando a sincronização configurável do AD.

      • Usuários e grupos existentes: se você tiver usuários e grupos que já estão sincronizados com o IAM Identity Center, o escopo de sincronização na sincronização configurável do AD é pré-preenchido com uma lista desses usuários e grupos. Para atribuir novos usuários ou grupos, você deve adicioná-los especificamente ao escopo de sincronização. Para obter mais informações, consulte Adicione usuários e grupos ao escopo de sincronização.

      • Novos usuários e grupos: se você quiser atribuir a novos usuários e grupos acesso a Contas da AWS e aos aplicativos, você deve especificar quais usuários e grupos adicionar ao escopo de sincronização na sincronização configurável do AD antes de usar o IAM Identity Center para fazer a atribuição. Para obter mais informações, consulte Adicione usuários e grupos ao escopo de sincronização.

  • Fazendo atribuições para grupos aninhados no Active Directory

    Grupos que são membros de outros grupos são chamados de grupos aninhados (ou grupos secundários). Quando você faz atribuições para um grupo no Active Directory que contém grupos aninhados, a maneira como as atribuições são aplicadas depende de você usar sincronização do AD ou sincronização do AD configurável.

    • Sincronização do AD: quando você faz atribuições a um grupo do Active Directory que contém grupos aninhados, apenas os membros diretos do grupo podem acessar a conta. Por exemplo, se você atribuir acesso ao Grupo A e o Grupo B for membro do Grupo A, somente os membros diretos do Grupo A poderão acessar a conta. Nenhum membro do Grupo B herda o acesso.

    • Sincronização do AD configurável: usar a sincronização do AD configurável para fazer atribuições a um grupo do Active Directory que contém grupos aninhados pode aumentar o escopo dos usuários que têm acesso a aplicações ou Contas da AWS . Nesse caso, a atribuição é aplicada a todos os usuários, incluindo os usuários em grupos aninhados. Por exemplo, se você atribuir acesso ao Grupo A e o Grupo B for membro do Grupo A, somente os membros diretos do Grupo A poderão acessar a conta.

  • Atualização de fluxos de trabalho automatizados

    Se você tiver fluxos de trabalho automatizados que usam as ações da API de armazenamento de identidades do IAM Identity Center e as ações da API de atribuição do IAM Identity Center para atribuir a novos usuários e grupos acesso a contas e aplicativos e sincronizá-los com o IAM Identity Center, você deve ajustar esses fluxos de trabalho até 15 de abril de 2022 para que funcionem conforme o esperado com a sincronização configurável do AD. A sincronização configurável do AD altera a ordem na qual a atribuição e o provisionamento de usuários e grupos ocorrem e a forma como as consultas são realizadas.

    • Sincronização do AD — O processo de atribuições ocorre primeiro. Você atribui aos usuários e grupos acesso aos Contas da AWS aplicativos. Depois que os usuários e grupos recebem acesso, eles são automaticamente provisionados (sincronizados com o IAM Identity Center). Se você tem um fluxo de trabalho automatizado, isso significa que, ao adicionar um novo usuário ao Active Directory, seu fluxo de trabalho automatizado pode consultar o Active Directory para o usuário usando a ação da ListUser API do repositório de identidades e, em seguida, atribuir o acesso ao usuário usando as ações da API de atribuição do IAM Identity Center. Como o usuário tem uma atribuição, esse usuário é automaticamente provisionado no IAM Identity Center.

    • Sincronização configurável do AD — O provisionamento ocorre primeiro e não é executado automaticamente. Em vez disso, primeiro você deve adicionar explicitamente usuários e grupos ao repositório de identidades adicionando-os ao seu escopo de sincronização. Para obter informações sobre as etapas recomendadas para automatizar sua configuração de sincronização para sincronização configurável do AD, consulte Automatize sua configuração de sincronização para sincronização configurável do AD.

Tópicos