本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
将 Active Directory 中的自托管式目录连接到 IAM Identity Center
您在 Active Directory (AD) 中自行管理的目录中的用户也可以通过单点登录访问 AWS 账户 权限访问访问 AWS 门户中的应用程序。要为这些用户配置单点登录访问,您可以执行以下任一操作:
-
创建双向信任关系-在 AD 中 AWS Managed Microsoft AD 与自管理目录之间创建双向信任关系时,AD 中自我管理目录中的用户可以使用其公司凭据登录各种 AWS 服务和业务应用程序。单向信任不适用于 IAM Identity Center。
AWS IAM Identity Center 需要双向信任,以便它有权从您的域中读取用户和群组信息,从而同步用户和群组元数据。IAM Identity Center 在分配对权限集或应用程序的访问权限时使用此元数据。应用程序还使用用户和组元数据进行协作,例如当您与其他用户或组共享仪表板时。Microsoft Active Directory 对你的域的信任允许 IAM 身份中心信任你的域进行身份验证。 AWS Directory Service 相反方向的信任会授予读取用户和群组元数据的 AWS 权限。
有关设置双向信任的详细信息,请参阅 AWS Directory Service 管理指南中的何时创建信任关系。
-
创建 AD Connector——AD Connector 是一个目录网关,可以将目录请求重定向到您的自托管式 AD,而无需在云中缓存任何信息。有关详细信息,请参阅 AWS Directory Service 管理指南中的连接到目录。
注意
如果您将 IAM Identity Center 连接到 AD Connector 目录,则任何未来的用户密码重置都必须在 AD 内完成。这意味着用户将无法从 AWS 访问门户重置密码。
如果您使用 AD Connector 将 Active Directory 域服务连接到 IAM Identity Center,则 IAM Identity Center 仅有权访问 AD Connector 附加到的单个域的用户和组。如果您需要支持多个域或林,请对 Microsoft Active Directory 使用 AWS Directory Service 。
注意
IAM Identity Center 不适用于基于 SAMBA4 的 Simple AD 目录。
