本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
將 Active Directory 中的自我管理目錄連接到 IAM Identity Center
Active Directory (AD) 中自我管理目錄中的使用者也可以在存取入口網站中對 AWS 帳戶 和 應用程式進行單一登入 AWS 存取。若要為這些使用者設定單一登入存取,您可以執行下列其中一項操作:
-
建立雙向信任關係 – 在 AD 中於 AWS Managed Microsoft AD 和自我管理目錄之間建立雙向信任關係時,AD 中自我管理目錄中的使用者可以使用其公司登入資料登入各種 AWS 服務和業務應用程式。單向信任不適用於 IAM Identity Center。
AWS IAM Identity Center 需要雙向信任,以便其具有從網域讀取使用者和群組資訊的許可,以同步使用者和群組中繼資料。 IAMIdentity Center 會在指派許可集或應用程式的存取權時使用此中繼資料。應用程式也會使用使用者和群組中繼資料進行協同合作,例如當您與其他使用者或群組共用儀表板時。來自 AWS Directory Service for Microsoft Active Directory 對網域的信任允許 IAM Identity Center 信任您的網域以進行身分驗證。相反方向的信任會授予讀取使用者和群組中繼資料的 AWS 許可。
如需設定雙向信任的詳細資訊,請參閱 AWS Directory Service 管理指南中的何時建立信任關係。
注意
為了使用 IAM Identity Center 等 AWS 應用程式從信任的網域讀取 AWS Directory Service 目錄使用者, AWS Directory Service 帳戶需要信任使用者屬性的許可 userAccountControl。如果沒有此屬性的讀取許可, AWS 應用程式就無法判斷帳戶是啟用或停用。
建立信任時,預設會提供此屬性的讀取存取權。如果您拒絕存取此屬性 (不建議),您會讓 Identity Center 這類應用程式無法讀取信任的使用者。解決方案是特別允許在 AWS 預留 OU
userAccountControl
(字首為 AWS_) 下讀取 AWS 服務帳戶上的 屬性。 -
建立 AD Connector – AD Connector 是一種目錄閘道,可將目錄請求重新導向至自我管理 AD,而不會快取雲端中的任何資訊。如需詳細資訊,請參閱 AWS Directory Service 管理指南中的連線至目錄。以下是使用 AD Connector 時的考量事項:
-
如果您要將 IAM Identity Center 連線至 AD Connector 目錄,則未來任何使用者密碼重設都必須在 AD 內完成。這表示使用者將無法從 AWS 存取入口網站重設密碼。
-
如果您使用 AD Connector 將 Active Directory 網域服務連線至 IAM Identity Center,則 IAM Identity Center 只能存取 AD Connector 所連接之單一網域的使用者和群組。如果您需要支援多個網域或樹系,請將 AWS Directory Service 用於 Microsoft Active Directory。
注意
IAM Identity Center 不適用於 SAMBA4型 Simple AD 目錄。
-