本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
Connect 作用中目錄中的自我管理目錄連線至 IAM 身分識別中心
Active Directory (AD) 中自我管理目錄中的使用者也可以在存取入口網站中擁有單一登入存 AWS 取權 AWS 帳戶 和應用程式。若要設定這些使用者的單一登入存取權,您可以執行下列其中一項作業:
-
建立雙向信任關係 — 在 AD 中建立雙向信任關係與自我管理目錄時,AD 中自我管理目錄中的使用者可以使用其公司認證登入各種 AWS 服務和商務應用程式。 AWS Managed Microsoft AD 單向信任不適用於 IAM 身分中心。
AWS IAM Identity Center 需要雙向信任,以便它具有從您的網域讀取使用者和群組資訊的權限,以同步處理使用者和群組中繼資料。IAM 身分中心會在指派權限集或應用程式的存取權時使用此中繼資料。應用程式也會使用使用者和群組中繼資料進行協同作業,例如與其他使用者或群組共用儀表板時。從 AWS Directory Service Microsoft 活動目錄到您的域的信任允許 IAM 身份中心信任您的域進行身份驗證。相反方向的信任會授 AWS 予讀取使用者和群組中繼資料的權限。
如需有關設定雙向信任的詳細資訊,請參閱《AWS Directory Service 管理指南》中的建立信任關係的時機。
-
建立 AD 連接器 — AD Connector 是一種目錄閘道,可將目錄要求重新導向至自我管理的 AD,而不會在雲端中快取任何資訊。如需詳細資訊,請參閱《AWS Directory Service 管理指南》中的 Connect 至目錄。
注意
如果您要將 IAM 身分中心連線至 AD Connector 目錄,則 future 任何使用者密碼重設都必須在 AD 內完成。這表示使用者將無法從 AWS 存取入口網站重設其密碼。
如果您使用 AD 連接器將 Active Directory 網域服務連線至 IAM 身分識別中心,則 IAM 身分中心只能存取 AD Connector 所附加之單一網域的使用者和群組。如果您需要支援多個網域或樹系,請使 AWS Directory Service 用 Microsoft 作用中目錄。
注意
IAM 身分識別中心不適用於以 Samba4 為基礎的 Simple AD 目錄。
