Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

# Microsoft ADVerzeichnis
<a name="manage-your-identity-source-ad"></a>

Mit AWS IAM Identity Center können Sie ein selbstverwaltetes Verzeichnis in Active Directory (AD) oder ein Verzeichnis in mithilfe AWS Managed Microsoft AD von. AWS Directory Service Dieses Microsoft AD-Verzeichnis definiert den Identitätspool, aus dem Administratoren abrufen können, wenn sie die IAM Identity Center-Konsole verwenden, um Single Sign-On-Zugriff zuzuweisen. Nachdem Sie Ihr Unternehmensverzeichnis mit dem IAM Identity Center verbunden haben, können Sie Ihren AD-Benutzern oder -Gruppen Zugriff AWS-Konten auf Anwendungen oder beides gewähren. 

AWS Directory Service hilft Ihnen bei der Einrichtung und Ausführung eines eigenständigen AWS Managed Microsoft AD Verzeichnisses, das in der AWS Cloud gehostet wird. Sie können es auch verwenden Directory Service , um Ihre AWS Ressourcen mit einem vorhandenen selbstverwalteten AD zu verbinden. Um die Konfiguration AWS Directory Service für die Verwendung mit Ihrem selbstverwalteten AD durchzuführen, müssen Sie zunächst Vertrauensbeziehungen einrichten, um die Authentifizierung auf die Cloud auszudehnen.

IAM Identity Center verwendet die von bereitgestellte Verbindung Directory Service , um die Passthrough-Authentifizierung für die AD-Quellinstanz durchzuführen. Wenn Sie IAM Identity Center AWS Managed Microsoft AD als Identitätsquelle verwenden, kann es mit Benutzern aus AWS Managed Microsoft AD oder von jeder Domain zusammenarbeiten, die über einen AD-Trust verbunden ist. Wenn Sie Ihre Benutzer in vier oder mehr Domänen suchen möchten, müssen Benutzer die `DOMAIN\user` Syntax als ihren Benutzernamen verwenden, wenn sie sich bei IAM Identity Center anmelden.

**Hinweise**  
Stellen Sie als Voraussetzung sicher, dass sich Ihr AD Connector oder Ihr Verzeichnis AWS Managed Microsoft AD in in in Ihrem AWS Organizations Verwaltungskonto Directory Service befindet.
IAM Identity Center unterstützt SAMBA 4-basiertes Simple AD nicht als verbundenes Verzeichnis.
 IAM Identity Center kann Foreign Security Principals () nicht synchronisieren. FSPs Wenn eine Gruppe Mitglieder aus einer vertrauenswürdigen Domäne AWS Managed Microsoft AD enthält FSPs, werden diese Mitglieder nicht synchronisiert.

Eine Demonstration der Verwendung von Active Directory als Identitätsquelle für IAM Identity Center finden Sie im folgenden YouTube Video:

[![AWS Videos](http://img.youtube.com/vi/https://www.youtube.com/embed/OMbob_ef7J4?si=J23xw0EGkZOo8y9n/0.jpg)](http://www.youtube.com/watch?v=https://www.youtube.com/embed/OMbob_ef7J4?si=J23xw0EGkZOo8y9n)


## Überlegungen zur Verwendung von Active Directory
<a name="considerations-ad-identitysource"></a>

Wenn Sie Active Directory als Identitätsquelle verwenden möchten, muss Ihre Konfiguration die folgenden Voraussetzungen erfüllen:
+ Wenn Sie IAM Identity Center verwenden AWS Managed Microsoft AD, müssen Sie es dort aktivieren AWS-Region , wo Ihr AWS Managed Microsoft AD Verzeichnis eingerichtet ist. IAM Identity Center speichert die Zuweisungsdaten in derselben Region wie das Verzeichnis. Um IAM Identity Center zu verwalten, müssen Sie möglicherweise zu der Region wechseln, in der IAM Identity Center konfiguriert ist. Beachten Sie außerdem, dass das AWS Zugriffsportal dieselbe Zugriffs-URL wie Ihr Verzeichnis verwendet.
+ Verwenden Sie ein Active Directory, das sich im Verwaltungskonto befindet:

  Sie müssen einen vorhandenen AD Connector oder ein AWS Managed Microsoft AD Verzeichnis eingerichtet haben AWS Directory Service, und es muss sich in Ihrem AWS Organizations Verwaltungskonto befinden. Sie können jeweils nur ein AD Connector Connector-Verzeichnis oder ein Verzeichnis verbinden. AWS Managed Microsoft AD Wenn Sie mehrere Domänen oder Gesamtstrukturen unterstützen müssen, verwenden Sie AWS Managed Microsoft AD. Weitere Informationen finden Sie unter:
  + [Ein Verzeichnis mit dem IAM Identity Center Connect AWS Managed Microsoft AD](connectawsad.md)
  + [Ein selbstverwaltetes Verzeichnis in Active Directory mit IAM Identity Center Connect](connectonpremad.md)
+ Verwenden Sie ein Active Directory, das sich im delegierten Administratorkonto befindet:

  Wenn Sie planen, den delegierten IAM Identity Center-Administrator zu aktivieren und Active Directory als Ihre IAM Identity Center-Identitätsquelle zu verwenden, können Sie einen vorhandenen AD Connector oder ein Verzeichnis verwenden, das im AWS Managed Microsoft AD Verzeichnis eingerichtet ist und sich im AWS delegierten Administratorkonto befindet. 

  Wenn Sie beschließen, die IAM Identity Center-Identitätsquelle von einer anderen Quelle in Active Directory oder von Active Directory in eine andere Quelle zu ändern, muss sich das Verzeichnis in dem delegierten IAM Identity Center-Administrator-Mitgliedskonto befinden (diesem gehören), falls eines existiert; andernfalls muss es sich im Verwaltungskonto befinden.

# Connect Active Directory und geben Sie einen Benutzer an
<a name="get-started-connect-id-source-ad-idp-specify-user"></a>

Wenn Sie Active Directory bereits verwenden, helfen Ihnen die folgenden Themen bei der Vorbereitung der Verbindung Ihres Verzeichnisses mit IAM Identity Center.

Sie können ein AWS Managed Microsoft AD Verzeichnis oder ein selbstverwaltetes Verzeichnis in Active Directory mit IAM Identity Center verbinden. 

**Anmerkung**  
IAM Identity Center unterstützt SAMBA4 basiertes Simple AD nicht als Identitätsquelle.

**AWS Managed Microsoft AD**

1. Lesen Sie die Anleitung unter[Microsoft ADVerzeichnis](manage-your-identity-source-ad.md).

1. Führen Sie die Schritte unter [Ein Verzeichnis mit dem IAM Identity Center Connect AWS Managed Microsoft AD](connectawsad.md) aus.

1. Konfigurieren Sie Active Directory so, dass der Benutzer, dem Sie Administratorrechte gewähren möchten, mit IAM Identity Center synchronisiert wird. Weitere Informationen finden Sie unter [Synchronisieren Sie einen Administratorbenutzer mit IAM Identity Center](#sync-admin-user-from-ad).

**Selbstverwaltetes Verzeichnis in Active Directory**

1. Lesen Sie die Anleitung unter[Microsoft ADVerzeichnis](manage-your-identity-source-ad.md).

1. Führen Sie die Schritte unter [Ein selbstverwaltetes Verzeichnis in Active Directory mit IAM Identity Center Connect](connectonpremad.md) aus.

1. Konfigurieren Sie Active Directory so, dass der Benutzer, dem Sie Administratorrechte gewähren möchten, mit IAM Identity Center synchronisiert wird. Weitere Informationen finden Sie unter [Synchronisieren Sie einen Administratorbenutzer mit IAM Identity Center](#sync-admin-user-from-ad).

**Externer IdP**

1. Lesen Sie die Anleitung unter[Externe Identitätsanbieter](manage-your-identity-source-idp.md).

1. Führen Sie die Schritte unter [Wie stelle ich eine Verbindung zu einem externen Identitätsanbieter her](how-to-connect-idp.md) aus.

1. 

   Konfigurieren Sie Ihren IdP so, dass er Benutzer für das IAM Identity Center bereitstellt. 
**Anmerkung**  
Bevor Sie die automatische, gruppenbasierte Bereitstellung all Ihrer Mitarbeiteridentitäten von Ihrem IdP in IAM Identity Center einrichten, empfehlen wir Ihnen, den einen Benutzer, dem Sie Administratorrechte gewähren möchten, mit IAM Identity Center zu synchronisieren.

## Synchronisieren Sie einen Administratorbenutzer mit IAM Identity Center
<a name="sync-admin-user-from-ad"></a>

Nachdem Sie Ihr Active Directory mit dem IAM Identity Center verbunden haben, können Sie einen Benutzer angeben, dem Sie Administratorrechte gewähren möchten, und diesen Benutzer dann aus Ihrem Verzeichnis mit IAM Identity Center synchronisieren.

1. Öffnen Sie die [IAM-Identity-Center-Konsole](https://console.aws.amazon.com/singlesignon).

1. Wählen Sie **Einstellungen** aus.

1. Wählen Sie auf der Seite **„Einstellungen**“ die Registerkarte „**Identitätsquelle**“, klicken Sie auf „**Aktionen**“ und anschließend auf „Synchronisation **verwalten**“.

1. Wählen Sie auf der Seite „**Synchronisation verwalten**“ die Registerkarte „**Benutzer**“ und dann „**Benutzer und Gruppen hinzufügen**“ aus.

1. Geben Sie auf der Registerkarte **Benutzer** unter **Benutzer** den genauen Benutzernamen ein und wählen Sie **Hinzufügen** aus.

1. Gehen Sie unter **Hinzugefügte Benutzer und Gruppen** wie folgt vor:

   1. Vergewissern Sie sich, dass der Benutzer, dem Sie Administratorrechte gewähren möchten, angegeben ist.

   1. Aktivieren Sie das Kontrollkästchen links neben dem Benutzernamen.

   1. Wählen Sie **Absenden** aus.

1. Auf der Seite **„Synchronisation verwalten**“ wird der von Ihnen angegebene Benutzer in der Liste „**Synchronisierte Benutzer“** angezeigt.

1. Klicken Sie im Navigationsbereich auf **Users (Benutzer)**.

1. Auf der Seite **Benutzer** kann es einige Zeit dauern, bis der von Ihnen angegebene Benutzer in der Liste erscheint. Wählen Sie das Aktualisierungssymbol, um die Benutzerliste zu aktualisieren. 

Zu diesem Zeitpunkt hat Ihr Benutzer keinen Zugriff auf das Verwaltungskonto. Sie richten den Administratorzugriff auf dieses Konto ein, indem Sie einen Administratorberechtigungssatz erstellen und den Benutzer diesem Berechtigungssatz zuweisen. Weitere Informationen finden Sie unter [Erstellen Sie einen Berechtigungssatz](howtocreatepermissionset.md).

## Bereitstellung, wenn Benutzer aus Active Directory kommen
<a name="provision-users-from-ad"></a>

IAM Identity Center verwendet die von der bereitgestellte Verbindung, Directory Service um Benutzer-, Gruppen- und Mitgliedschaftsinformationen aus Ihrem Quellverzeichnis in Active Directory mit dem IAM Identity Center-Identitätsspeicher zu synchronisieren. Es werden keine Kennwortinformationen mit IAM Identity Center synchronisiert, da die Benutzerauthentifizierung direkt aus dem Quellverzeichnis in Active Directory erfolgt. Diese Identitätsdaten werden von Anwendungen verwendet, um In-App-Such-, Autorisierungs- und Zusammenarbeitsszenarien zu ermöglichen, ohne LDAP-Aktivitäten an das Quellverzeichnis in Active Directory zurückzugeben.

Weitere Informationen zur Bereitstellung finden Sie unter. [Bereitstellung von Benutzern und Gruppen](users-groups-provisioning.md#user-group-provision)

**Topics**
+ [Überlegungen zur Verwendung von Active Directory](#considerations-ad-identitysource)
+ [Connect Active Directory und geben Sie einen Benutzer an](get-started-connect-id-source-ad-idp-specify-user.md)
+ [Bereitstellung, wenn Benutzer aus Active Directory kommen](#provision-users-from-ad)
+ [Ein Verzeichnis mit dem IAM Identity Center Connect AWS Managed Microsoft AD](connectawsad.md)
+ [Ein selbstverwaltetes Verzeichnis in Active Directory mit IAM Identity Center Connect](connectonpremad.md)
+ [Attributzuordnungen zwischen dem IAM Identity Center und dem Verzeichnis externer Identitätsanbieter](attributemappingsconcept.md)
+ [IAM Identity Center, konfigurierbare AD-Synchronisierung](provision-users-from-ad-configurable-ADsync.md)

# Ein Verzeichnis mit dem IAM Identity Center Connect AWS Managed Microsoft AD
<a name="connectawsad"></a>

Gehen Sie wie folgt vor, um ein Verzeichnis, das von verwaltet wird AWS Managed Microsoft AD , mit dem IAM Identity Center AWS Directory Service zu verbinden. 

**So stellen Sie eine Verbindung AWS Managed Microsoft AD zum IAM Identity Center her**

1. Öffnen Sie die [IAM-Identity-Center-Konsole](https://console.aws.amazon.com/singlesignon).
**Anmerkung**  
Stellen Sie sicher, dass die IAM Identity Center-Konsole eine der Regionen verwendet, in denen sich Ihr AWS Managed Microsoft AD Verzeichnis befindet, bevor Sie mit dem nächsten Schritt fortfahren.

1. Wählen Sie **Einstellungen** aus.

1. Wählen Sie auf der Seite „**Einstellungen**“ die Registerkarte „**Identitätsquelle**“ und dann „**Aktionen“ > „Identitätsquelle ändern**“.

1. **Wählen Sie unter Identitätsquelle** auswählen die Option **Active Directory** und dann **Weiter** aus.

1. Wählen **Sie unter Active Directory verbinden** ein Verzeichnis in AWS Managed Microsoft AD aus der Liste aus, und klicken Sie dann auf **Weiter**.

1. Überprüfen **Sie unter Änderung bestätigen** die Informationen, geben Sie **ACCEPT** ein, wenn Sie bereit sind, und wählen Sie dann **Identitätsquelle ändern** aus.
**Wichtig**  
Um einen Benutzer in Active Directory als Administratorbenutzer in IAM Identity Center anzugeben, müssen Sie zuerst den Benutzer, dem Sie Administratorrechte aus Active Directory gewähren möchten, mit IAM Identity Center synchronisieren. Eine Schritt-für-Schritt-Anleitung hierzu finden Sie unter [Synchronisieren Sie einen Administratorbenutzer mit IAM Identity Center](get-started-connect-id-source-ad-idp-specify-user.md#sync-admin-user-from-ad).

# Ein selbstverwaltetes Verzeichnis in Active Directory mit IAM Identity Center Connect
<a name="connectonpremad"></a>

Benutzer in Ihrem selbstverwalteten Verzeichnis in Active Directory (AD) können auch über Single Sign-On auf Anwendungen im AWS-Konten Zugriffsportal zugreifen. AWS Um den Single Sign-On-Zugriff für diese Benutzer zu konfigurieren, können Sie einen der folgenden Schritte ausführen:
+ **Eine bidirektionale Vertrauensstellung** einrichten — Wenn wechselseitige Vertrauensstellungen zwischen AWS Managed Microsoft AD und einem selbstverwalteten Verzeichnis in AD eingerichtet werden, können sich Benutzer in Ihrem selbstverwalteten Verzeichnis in AD mit ihren Unternehmensanmeldeinformationen bei verschiedenen AWS Diensten und Geschäftsanwendungen anmelden. Einseitige Vertrauensstellungen funktionieren nicht mit IAM Identity Center.

  AWS IAM Identity Center erfordert eine bidirektionale Vertrauensstellung, damit Benutzer- und Gruppeninformationen aus Ihrer Domain gelesen und Benutzer- und Gruppenmetadaten synchronisiert werden können. IAM Identity Center verwendet diese Metadaten, wenn es Zugriff auf Berechtigungssätze oder Anwendungen zuweist. Benutzer- und Gruppenmetadaten werden auch von Anwendungen für die Zusammenarbeit verwendet, z. B. wenn Sie ein Dashboard mit einem anderen Benutzer oder einer anderen Gruppe teilen. Das Vertrauen von Directory Service Microsoft Active Directory zu Ihrer Domain ermöglicht es IAM Identity Center, Ihrer Domain bei der Authentifizierung zu vertrauen. Das Vertrauen in die entgegengesetzte Richtung gewährt AWS Berechtigungen zum Lesen von Benutzer- und Gruppenmetadaten. 

  Weitere Informationen zum Einrichten einer bidirektionalen Vertrauensstellung finden Sie unter [Wann sollte eine Vertrauensstellung eingerichtet werden?](https://docs.aws.amazon.com/directoryservice/latest/admin-guide/setup_trust.html) im *AWS Directory Service Administratorhandbuch*.
**Anmerkung**  
Um AWS Anwendungen wie IAM Identity Center zum Lesen von Directory Service Verzeichnisbenutzern aus vertrauenswürdigen Domänen verwenden zu können, benötigen die Directory Service Konten Berechtigungen für das userAccountControl Attribut der vertrauenswürdigen Benutzer. Ohne Leseberechtigungen für dieses Attribut können AWS Anwendungen nicht feststellen, ob das Konto aktiviert oder deaktiviert ist.  
Lesezugriff auf dieses Attribut wird standardmäßig gewährt, wenn eine Vertrauensstellung erstellt wird. Wenn Sie den Zugriff auf dieses Attribut verweigern (nicht empfohlen), verhindern Sie, dass Anwendungen wie Identity Center vertrauenswürdige Benutzer lesen können. Die Lösung besteht darin, den Lesezugriff auf das `userAccountControl` Attribut der AWS Dienstkonten unter der AWS reservierten Organisationseinheit (mit dem Präfix AWS\$1) ausdrücklich zuzulassen.
+ **Erstellen Sie einen AD-Connector** — AD Connector ist ein Verzeichnis-Gateway, das Verzeichnisanfragen an Ihr selbstverwaltetes AD umleiten kann, ohne Informationen in der Cloud zwischenzuspeichern. Weitere Informationen finden Sie unter [Connect einem Verzeichnis](https://docs.aws.amazon.com/directoryservice/latest/admin-guide/directory_ad_connector.html) herstellen im *AWS Directory Service Administratorhandbuch*. Bei der Verwendung von AD Connector sollten Sie Folgendes beachten:
  + Wenn Sie IAM Identity Center mit einem AD Connector Connector-Verzeichnis verbinden, müssen alle future Benutzerpasswörter von AD aus zurückgesetzt werden. Das bedeutet, dass Benutzer ihre Passwörter nicht über das AWS Zugriffsportal zurücksetzen können.
  + Wenn Sie AD Connector verwenden, um Ihren Active Directory-Domänendienst mit IAM Identity Center zu verbinden, hat IAM Identity Center nur Zugriff auf die Benutzer und Gruppen der einzelnen Domäne, an die AD Connector angehängt ist. Wenn Sie mehrere Domänen oder Gesamtstrukturen unterstützen müssen, verwenden Sie Directory Service Microsoft Active Directory.
**Anmerkung**  
IAM Identity Center funktioniert nicht mit SAMBA4 basierten Simple AD AD-Verzeichnissen.

# Attributzuordnungen zwischen dem IAM Identity Center und dem Verzeichnis externer Identitätsanbieter
<a name="attributemappingsconcept"></a>

Attributzuordnungen werden verwendet, um Attributtypen, die in IAM Identity Center vorhanden sind, ähnlichen Attributen in Ihrer externen Identitätsquelle zuzuordnen, z. B., und. Google Workspace Microsoft Active Directory (AD) Okta IAM Identity Center ruft Benutzerattribute aus Ihrer Identitätsquelle ab und ordnet sie den IAM Identity Center-Benutzerattributen zu. 

Wenn Ihr IAM Identity Center so synchronisiert ist, dass **es einen externen Identitätsanbieter** (IdP) wie Google WorkspaceOkta, oder Ping als Identitätsquelle verwendet, müssen Sie Ihre Attribute in Ihrem IdP zuordnen.

IAM Identity Center füllt auf der zugehörigen Konfigurationsseite auf der Registerkarte **Attributzuordnungen** eine Reihe von Attributen für Sie vorab aus. IAM Identity Center verwendet diese Benutzerattribute, um SAML-Assertionen (als SAML-Attribute) aufzufüllen, die an die Anwendung gesendet werden. Diese Benutzerattribute werden wiederum aus Ihrer Identitätsquelle abgerufen. Jede Anwendung bestimmt die Liste der SAML 2.0-Attribute, die sie für ein erfolgreiches Single Sign-On benötigt. Weitere Informationen finden Sie unter [Ordnen Sie Attribute in Ihrer Anwendung den IAM Identity Center-Attributen zu](mapawsssoattributestoapp.md).

IAM Identity Center verwaltet auch eine Reihe von Attributen für Sie im Abschnitt **Attributzuordnungen** auf Ihrer **Active Directory-Konfigurationsseite, wenn Sie Active Directory** als Identitätsquelle verwenden. Weitere Informationen finden Sie unter [Zuordnung von Benutzerattributen zwischen IAM Identity Center und dem Verzeichnis Microsoft AD](mapssoattributestocdattributes.md).

## Unterstützte externe Identitätsanbieter-Attribute
<a name="supportedidpattributes"></a>

In der folgenden Tabelle sind alle unterstützten Attribute des externen Identitätsanbieters (IdP) aufgeführt. Sie können Attributen zugeordnet werden, die Sie bei der Konfiguration [Attribute für Zugriffskontrolle](attributesforaccesscontrol.md) in IAM Identity Center verwenden können. Wenn Sie SAML-Assertionen verwenden, können Sie alle Attribute verwenden, die Ihr IdP unterstützt.


****  

| Unterstützte Attribute in Ihrem IdP | 
| --- | 
| \$1\$1path:userName\$1 | 
| \$1\$1path:name.familyName\$1 | 
| \$1\$1path:name.givenName\$1 | 
| \$1\$1path:displayName\$1 | 
| \$1\$1path:nickName\$1 | 
| \$1\$1path:emails[primary eq true].value\$1 | 
| \$1\$1path:addresses[type eq "work"].streetAddress\$1 | 
| \$1\$1path:addresses[type eq "work"].locality\$1 | 
| \$1\$1path:addresses[type eq "work"].region\$1 | 
| \$1\$1path:addresses[type eq "work"].postalCode\$1 | 
| \$1\$1path:addresses[type eq "work"].country\$1 | 
| \$1\$1path:addresses[type eq "work"].formatted\$1 | 
| \$1\$1path:phoneNumbers[type eq "work"].value\$1 | 
| \$1\$1path:userType\$1 | 
| \$1\$1path:title\$1 | 
| \$1\$1path:locale\$1 | 
| \$1\$1path:timezone\$1 | 
| \$1\$1path:enterprise.employeeNumber\$1 | 
| \$1\$1path:enterprise.costCenter\$1 | 
| \$1\$1path:enterprise.organization\$1 | 
| \$1\$1path:enterprise.division\$1 | 
| \$1\$1path:enterprise.department\$1 | 
| \$1\$1path:enterprise.manager.value\$1 | 

## Standardzuordnungen zwischen IAM Identity Center und Microsoft AD
<a name="defaultattributemappings"></a>

In der folgenden Tabelle sind die Standardzuordnungen für Benutzerattribute in IAM Identity Center zu den Benutzerattributen in Ihrem Verzeichnis aufgeführt. Microsoft AD IAM Identity Center unterstützt nur die Liste der Attribute in der Spalte **Benutzerattribut in IAM** Identity Center. 


****  

| Benutzerattribut im IAM Identity Center  | Wird diesem Attribut in Ihrem Active Directory zugeordnet | 
| --- | --- | 
| displayname | \$1\$1displayname\$1 | 
| emails[?primary].value \$1 | \$1\$1mail\$1 | 
| externalid | \$1\$1objectguid\$1 | 
| name.givenname | \$1\$1givenname\$1 | 
| name.familyname | \$1\$1sn\$1 | 
| name.middlename | \$1\$1initials\$1 | 
| sid | \$1\$1objectsid\$1 | 
| username | \$1\$1userprincipalname\$1 | 

\$1 Das E-Mail-Attribut in IAM Identity Center muss innerhalb des Verzeichnisses eindeutig sein.


****  

| Gruppenattribut in IAM Identity Center  | Wird diesem Attribut in Ihrem Active Directory zugeordnet | 
| --- | --- | 
| externalid | \$1\$1objectguid\$1 | 
| description | \$1\$1description\$1 | 
| displayname | \$1\$1samaccountname\$1@\$1associateddomain\$1 | 

**Überlegungen**
+ Wenn Sie bei der Aktivierung der konfigurierbaren AD-Synchronisierung keine Zuweisungen für Ihre Benutzer und Gruppen in IAM Identity Center haben, werden die Standardzuordnungen in den vorherigen Tabellen verwendet. Informationen zum Anpassen dieser Zuordnungen finden Sie unter. [Konfigurieren Sie Attributzuordnungen für Ihre Synchronisierung](manage-sync-configure-attribute-mapping-configurable-ADsync.md)
+ Bestimmte IAM Identity Center-Attribute können nicht geändert werden, da sie unveränderlich sind und standardmäßig bestimmten Microsoft AD-Verzeichnisattributen zugeordnet sind.

  Beispielsweise ist „Benutzername“ ein obligatorisches Attribut in IAM Identity Center. Wenn Sie „username“ einem AD-Verzeichnisattribut mit einem leeren Wert zuordnen, betrachtet IAM Identity Center den `windowsUpn` Wert als Standardwert für „username“. Wenn Sie die Attributzuordnung für „Benutzername“ gegenüber Ihrer aktuellen Zuordnung ändern möchten, stellen Sie sicher, dass IAM Identity Center-Datenflüsse, die von „Benutzername“ abhängig sind, weiterhin wie erwartet funktionieren, bevor Sie die Änderung vornehmen.

## Unterstützte Microsoft AD Attribute für IAM Identity Center
<a name="supporteddirectoryattributes"></a>

In der folgenden Tabelle sind alle Microsoft AD Verzeichnisattribute aufgeführt, die unterstützt werden und Benutzerattributen in IAM Identity Center zugeordnet werden können. 


****  

| Unterstützte Attribute in Ihrem Microsoft AD-Verzeichnis | 
| --- | 
| \$1\$1samaccountname\$1 | 
| \$1\$1description\$1 | 
| \$1\$1objectguid\$1 | 
| \$1\$1objectsid\$1 | 
| \$1\$1givenname\$1 | 
| \$1\$1sn\$1 | 
| \$1\$1initials\$1 | 
| \$1\$1mail\$1 | 
| \$1\$1userprincipalname\$1 | 
| \$1\$1displayname\$1 | 
| \$1\$1distinguishedname\$1 | 
| \$1\$1proxyaddresses[?type == "SMTP"].value\$1 | 
| \$1\$1proxyaddresses[?type == "smtp"].value\$1 | 
| \$1\$1useraccountcontrol\$1 | 
| \$1\$1associateddomain\$1 | 

**Überlegungen**
+ Sie können eine beliebige Kombination unterstützter Microsoft AD Verzeichnisattribute angeben, um sie einem einzelnen veränderbaren Attribut in IAM Identity Center zuzuordnen.

## Unterstützte IAM Identity Center-Attribute für Microsoft AD
<a name="supportedssoattributes"></a>

In der folgenden Tabelle sind alle IAM Identity Center-Attribute aufgeführt, die unterstützt werden und Benutzerattributen in Ihrem Verzeichnis zugeordnet werden können. Microsoft AD Nachdem Sie Ihre Anwendungsattributzuordnungen eingerichtet haben, können Sie dieselben IAM Identity Center-Attribute verwenden, um sie den tatsächlichen Attributen zuzuordnen, die von dieser Anwendung verwendet werden.


****  

| Unterstützte Attribute in IAM Identity Center für Active Directory | 
| --- | 
| \$1\$1user:AD\$1GUID\$1 | 
| \$1\$1user:AD\$1SID\$1 | 
| \$1\$1user:email\$1 | 
| \$1\$1user:familyName\$1 | 
| \$1\$1user:givenName\$1 | 
| \$1\$1user:middleName\$1 | 
| \$1\$1user:name\$1 | 
| \$1\$1user:preferredUsername\$1 | 
| \$1\$1user:subject\$1 | 

# Zuordnung von Benutzerattributen zwischen IAM Identity Center und dem Verzeichnis Microsoft AD
<a name="mapssoattributestocdattributes"></a>

Mit dem folgenden Verfahren können Sie angeben, wie Ihre Benutzerattribute in IAM Identity Center den entsprechenden Attributen in Ihrem Microsoft AD Verzeichnis zugeordnet werden sollen.

**So ordnen Sie Attribute in IAM Identity Center Attributen in Ihrem Verzeichnis zu**

1. Öffnen Sie die [IAM-Identity-Center-Konsole](https://console.aws.amazon.com/singlesignon).

1. Wählen Sie **Einstellungen** aus.

1. Wählen Sie auf der Seite **„Einstellungen**“ die Registerkarte „**Attribute für die Zugriffskontrolle**“ und dann „**Attribute verwalten**“.

1. Suchen Sie auf der Seite **„Attribut für Zugriffskontrolle verwalten**“ in IAM Identity Center nach dem Attribut, das Sie zuordnen möchten, und geben Sie dann einen Wert in das Textfeld ein. Beispielsweise möchten Sie möglicherweise das IAM Identity Center-Benutzerattribut **`email`**dem Microsoft AD-Verzeichnisattribut zuordnen **`${mail}`**.

1. Wählen Sie **Änderungen speichern ** aus.

# IAM Identity Center, konfigurierbare AD-Synchronisierung
<a name="provision-users-from-ad-configurable-ADsync"></a>

Mit der konfigurierbaren Active Directory-Synchronisierung (AD) von IAM Identity Center können Sie die Identitäten in Microsoft Active Directory, die automatisch mit IAM Identity Center synchronisiert werden, explizit konfigurieren und den Synchronisierungsprozess steuern.
+ Mit dieser Synchronisierungsmethode können Sie Folgendes tun:
  + Kontrollieren Sie Datengrenzen, indem Sie explizit die Benutzer und Gruppen in Microsoft Active Directory definieren, die automatisch mit IAM Identity Center synchronisiert werden. Sie können [Benutzer und Gruppen hinzufügen](manage-sync-add-users-groups-configurable-ADsync.md) oder [Benutzer und Gruppen entfernen](manage-sync-remove-users-groups-configurable-ADsync.md), um den Umfang der Synchronisierung jederzeit zu ändern.
  + Weisen Sie synchronisierten Benutzern und Gruppen Single [Sign-On-Zugriff auf AWS-Konten](useraccess.md) oder [Zugriff auf Anwendungen zu](assignuserstoapp.md). Bei den Anwendungen kann AWS es sich um verwaltete Anwendungen oder um vom Kunden verwaltete Anwendungen handeln. 
  + Steuern Sie den Synchronisierungsvorgang, indem Sie die [Synchronisierung bei Bedarf pausieren und wieder aufnehmen](manage-sync-pause-resume-sync-configurable-ADsync.md). Auf diese Weise können Sie die Auslastung der Produktionssysteme regulieren.

## Voraussetzungen und Überlegungen
<a name="prerequisites-configurable-ADsync"></a>

Bevor Sie die konfigurierbare AD-Synchronisierung verwenden, sollten Sie die folgenden Voraussetzungen und Überlegungen beachten:
+ **Angeben der zu synchronisierenden Benutzer und Gruppen in Active Directory**

  Bevor Sie IAM Identity Center verwenden können, um neuen Benutzern und Gruppen Zugriff auf verwaltete oder vom Kunden AWS verwaltete Anwendungen zuzuweisen, müssen Sie die Benutzer und Gruppen in Active Directory angeben, die synchronisiert werden sollen, und sie dann mit IAM Identity Center synchronisieren. AWS-Konten 
  + **Konfigurierbare AD-Synchronisierung** — IAM Identity Center durchsucht Ihren Domain-Controller nicht direkt nach Benutzern und Gruppen. Stattdessen müssen Sie zunächst die Liste der Benutzer und Gruppen angeben, die synchronisiert werden sollen. Sie können diese Liste, auch *Synchronisierungsbereich* genannt, auf eine der folgenden Arten konfigurieren, je nachdem, ob Sie Benutzer und Gruppen haben, die bereits mit IAM Identity Center synchronisiert sind, oder ob Sie neue Benutzer und Gruppen haben, die Sie mithilfe der konfigurierbaren AD-Synchronisierung zum ersten Mal synchronisieren.
    + Bestehende Benutzer und Gruppen: Wenn Sie Benutzer und Gruppen haben, die bereits mit IAM Identity Center synchronisiert sind, ist der Synchronisierungsbereich in der konfigurierbaren AD-Synchronisierung bereits mit einer Liste dieser Benutzer und Gruppen gefüllt. Um neue Benutzer oder Gruppen zuzuweisen, müssen Sie sie ausdrücklich zum Synchronisierungsbereich hinzufügen. Weitere Informationen finden Sie unter [Fügen Sie Benutzer und Gruppen zu Ihrem Synchronisierungsbereich hinzu](manage-sync-add-users-groups-configurable-ADsync.md).
    + Neue Benutzer und Gruppen: Wenn Sie neuen Benutzern und Gruppen Zugriff auf und auf Anwendungen zuweisen möchten, müssen Sie in der konfigurierbaren AD-Synchronisierung angeben, welche Benutzer und Gruppen dem Synchronisierungsbereich hinzugefügt werden sollen, bevor Sie IAM Identity Center für die Zuweisung verwenden können. AWS-Konten Weitere Informationen finden Sie unter [Fügen Sie Benutzer und Gruppen zu Ihrem Synchronisierungsbereich hinzu](manage-sync-add-users-groups-configurable-ADsync.md).
+ <a name="makingassignmentsnestedgroups"></a>**Zuweisungen zu verschachtelten Gruppen in Active Directory vornehmen**

  Gruppen, die Mitglieder anderer Gruppen sind, werden als *verschachtelte Gruppen* (oder untergeordnete Gruppen) bezeichnet. 
  + **Konfigurierbare AD-Synchronisierung** — Die Verwendung der konfigurierbaren AD-Synchronisierung, um Zuweisungen zu einer Gruppe in Active Directory vorzunehmen, die verschachtelte Gruppen enthält, kann die Anzahl der Benutzer erhöhen, die Zugriff auf AWS-Konten oder auf Anwendungen haben. In diesem Fall gilt die Zuweisung für alle Benutzer, auch für Benutzer in verschachtelten Gruppen. Wenn Sie beispielsweise Gruppe A Zugriff zuweisen und Gruppe B Mitglied von Gruppe A ist, erben Mitglieder von Gruppe B diesen Zugriff ebenfalls.
+ **Aktualisierung automatisierter Workflows**

  Wenn Sie automatisierte Workflows verwenden, die die IAM Identity Center-API-Aktionen für den Identitätsspeicher und die IAM Identity Center-Zuweisungs-API-Aktionen verwenden, um neuen Benutzern und Gruppen Zugriff auf Konten und Anwendungen zuzuweisen und sie mit IAM Identity Center zu synchronisieren, müssen Sie diese Workflows bis zum 15. April 2022 anpassen, sodass sie mit konfigurierbarer AD-Synchronisierung wie erwartet funktionieren. Die konfigurierbare AD-Synchronisierung ändert die Reihenfolge, in der Benutzer- und Gruppenzuweisungen und -bereitstellungen erfolgen, und die Art und Weise, wie Abfragen ausgeführt werden.
  + **Konfigurierbare AD-Synchronisierung** — Die Bereitstellung erfolgt zuerst und nicht automatisch. Stattdessen müssen Sie zuerst Benutzer und Gruppen explizit zum Identitätsspeicher hinzufügen, indem Sie sie Ihrem Synchronisierungsbereich hinzufügen. Informationen zu den empfohlenen Schritten zur Automatisierung Ihrer Synchronisierungskonfiguration für die konfigurierbare AD-Synchronisierung finden Sie unter[Automatisieren Sie Ihre Synchronisierungskonfiguration für eine konfigurierbare AD-Synchronisierung](automate-sync-configuration-configurable-ADsync.md). 

**Topics**
+ [Voraussetzungen und Überlegungen](#prerequisites-configurable-ADsync)
+ [So funktioniert die konfigurierbare AD-Synchronisierung](how-it-works-configurable-ADsync.md)
+ [Konfigurieren Sie Attributzuordnungen für Ihre Synchronisierung](manage-sync-configure-attribute-mapping-configurable-ADsync.md)
+ [Einrichtung der erstmaligen Synchronisierung von Active Directory mit IAM Identity Center](manage-sync-configurable-ADsync.md)
+ [Fügen Sie Benutzer und Gruppen zu Ihrem Synchronisierungsbereich hinzu](manage-sync-add-users-groups-configurable-ADsync.md)
+ [Entfernen Sie Benutzer und Gruppen aus Ihrem Synchronisierungsbereich](manage-sync-remove-users-groups-configurable-ADsync.md)
+ [Unterbrechen Sie die Synchronisierung und setzen Sie sie fort](manage-sync-pause-resume-sync-configurable-ADsync.md)
+ [Automatisieren Sie Ihre Synchronisierungskonfiguration für eine konfigurierbare AD-Synchronisierung](automate-sync-configuration-configurable-ADsync.md)

# So funktioniert die konfigurierbare AD-Synchronisierung
<a name="how-it-works-configurable-ADsync"></a>

IAM Identity Center aktualisiert die AD-basierten Identitätsdaten im Identitätsspeicher mithilfe des folgenden Verfahrens. Weitere Informationen zu den Voraussetzungen finden Sie unter. [Voraussetzungen und Überlegungen](provision-users-from-ad-configurable-ADsync.md#prerequisites-configurable-ADsync)

## Erstellung
<a name="how-it-works-creation-configurable-ADsync"></a>

Nachdem Sie Ihr selbstverwaltetes Verzeichnis in Active Directory oder Ihr von Directory Service IAM Identity Center verwaltetes AWS Managed Microsoft AD Verzeichnis verbunden haben, können Sie die Active Directory-Benutzer und -Gruppen, die Sie mit dem IAM Identity Center-Identitätsspeicher synchronisieren möchten, explizit konfigurieren. Die von Ihnen ausgewählten Identitäten werden etwa alle drei Stunden mit dem IAM Identity Center-Identitätsspeicher synchronisiert. Je nach Größe Ihres Verzeichnisses kann der Synchronisierungsvorgang länger dauern.

Gruppen, die Mitglieder anderer Gruppen sind (sogenannte *verschachtelte Gruppen* oder *untergeordnete Gruppen*), werden ebenfalls in den Identitätsspeicher geschrieben. 

Sie können neuen Benutzern oder Gruppen erst Zugriff zuweisen, nachdem sie mit dem IAM Identity Center-Identitätsspeicher synchronisiert wurden. 

## Aktualisierung
<a name="how-it-works-update-configurable-ADsync"></a>

Die Identitätsdaten im IAM Identity Center-Identitätsspeicher bleiben aktuell, da regelmäßig Daten aus dem Quellverzeichnis in Active Directory gelesen werden. IAM Identity Center synchronisiert standardmäßig stündlich Daten aus Ihrem Active Directory in einem Synchronisierungszyklus. Je nach Größe Ihres Active Directory kann es 30 Minuten bis 2 Stunden dauern, bis die Daten mit IAM Identity Center synchronisiert sind.

Benutzer- und Gruppenobjekte, die sich im Synchronisierungsbereich befinden, und ihre Mitgliedschaften werden in IAM Identity Center erstellt oder aktualisiert, sodass sie den entsprechenden Objekten im Quellverzeichnis in Active Directory zugeordnet werden. Bei Benutzerattributen wird nur die Teilmenge der Attribute, die im Abschnitt **Attribute für die Zugriffskontrolle** der IAM Identity Center-Konsole aufgeführt sind, in IAM Identity Center aktualisiert. Es kann einen Synchronisierungszyklus dauern, bis alle Attributaktualisierungen, die Sie in Active Directory vornehmen, in IAM Identity Center übernommen werden.

Sie können auch die Teilmenge der Benutzer und Gruppen aktualisieren, die Sie mit dem IAM Identity Center-Identitätsspeicher synchronisieren. Sie können wählen, ob Sie dieser Teilmenge neue Benutzer oder Gruppen hinzufügen oder sie entfernen möchten. Alle Identitäten, die Sie hinzufügen, werden bei der nächsten geplanten Synchronisierung synchronisiert. Identitäten, die Sie aus der Teilmenge entfernen, werden nicht mehr im IAM Identity Center-Identitätsspeicher aktualisiert. Jeder Benutzer, der länger als 28 Tage nicht synchronisiert wurde, wird im IAM Identity Center-Identitätsspeicher deaktiviert. Die entsprechenden Benutzerobjekte werden während des nächsten Synchronisierungszyklus automatisch im IAM Identity Center-Identitätsspeicher deaktiviert, sofern sie nicht Teil einer anderen Gruppe sind, die immer noch Teil des Synchronisierungsbereichs ist. 

## Löschung
<a name="how-it-works-deletion-configurable-ADsync"></a>

Benutzer und Gruppen werden aus dem IAM Identity Center-Identitätsspeicher gelöscht, wenn die entsprechenden Benutzer- oder Gruppenobjekte aus dem Quellverzeichnis in Active Directory gelöscht werden. Alternativ können Sie Benutzerobjekte mithilfe der IAM Identity Center-Konsole explizit aus dem IAM Identity Center-Identitätsspeicher löschen. Wenn Sie die IAM Identity Center-Konsole verwenden, müssen Sie die Benutzer auch aus dem Synchronisierungsbereich entfernen, um sicherzustellen, dass sie beim nächsten Synchronisierungszyklus nicht erneut mit IAM Identity Center synchronisiert werden.

Sie können die Synchronisation auch jederzeit unterbrechen und neu starten. Wenn Sie die Synchronisation für mehr als 28 Tage unterbrechen, werden alle Ihre Benutzer deaktiviert.

# Konfigurieren Sie Attributzuordnungen für Ihre Synchronisierung
<a name="manage-sync-configure-attribute-mapping-configurable-ADsync"></a>

Weitere Informationen zu verfügbaren Attributen finden Sie unter. [Attributzuordnungen zwischen dem IAM Identity Center und dem Verzeichnis externer Identitätsanbieter](attributemappingsconcept.md)

**So konfigurieren Sie Attributzuordnungen in IAM Identity Center zu Ihrem Verzeichnis**

1. Öffnen Sie die [IAM-Identity-Center-Konsole](https://console.aws.amazon.com/singlesignon).

1. Wählen Sie **Einstellungen** aus.

1. **Wählen Sie auf der Seite **„Einstellungen**“ die Registerkarte „**Identitätsquelle**“, dann „**Aktionen**“ und anschließend „Synchronisation verwalten“.**

1. Wählen **Sie unter Synchronisation verwalten** die Option **Attributzuordnung anzeigen** aus.

1. Konfigurieren Sie unter **Active Directory-Benutzerattribute** die **IAM Identity Center-Identitätsspeicherattribute** und die **Active Directory-Benutzerattribute**. Beispielsweise möchten Sie möglicherweise das IAM Identity Center-Identitätsspeicherattribut `email` dem Active Directory-Benutzerverzeichnisattribut zuordnen. `${objectguid}`
**Anmerkung**  
Unter **Gruppenattribute** können die **IAM Identity Center-Identitätsspeicherattribute** und die **Active Directory-Gruppenattribute** nicht geändert werden.

1. Wählen Sie **Änderungen speichern ** aus. Dadurch kehren Sie zur Seite „**Sync verwalten**“ zurück.

# Einrichtung der erstmaligen Synchronisierung von Active Directory mit IAM Identity Center
<a name="manage-sync-configurable-ADsync"></a>

Gehen Sie wie folgt vor, wenn Sie Ihre Benutzer und Gruppen zum ersten Mal aus Active Directory mit dem IAM Identity Center synchronisieren. Alternativ können Sie den unter beschriebenen Schritten folgen, [Ändern Sie Ihre Identitätsquelle](manage-your-identity-source-change.md) um Ihre Identitätsquelle von IAM Identity Center auf Active Directory zu ändern.

## Geführte Einrichtung
<a name="manage-sync-guided-setup-configurable-ADsync"></a>

1. Öffnen Sie die [IAM-Identity-Center-Konsole](https://console.aws.amazon.com/singlesignon).
**Anmerkung**  
Stellen Sie sicher, dass die IAM Identity Center-Konsole eines der Verzeichnisse verwendet, AWS-Regionen in dem sich Ihr AWS Managed Microsoft AD Verzeichnis befindet, bevor Sie mit dem nächsten Schritt fortfahren.

1. Wählen Sie **Einstellungen** aus.

1. Wählen Sie oben auf der Seite in der Benachrichtigung die Option **Geführte Installation starten** aus.

1. Überprüfen Sie in **Schritt 1 — *optional*: Attributzuordnungen konfigurieren** die standardmäßigen Benutzer- und Gruppenattributzuordnungen. **Wenn keine Änderungen erforderlich sind, wählen Sie Weiter.** Wenn Änderungen erforderlich sind, nehmen Sie die Änderungen vor und wählen Sie dann **Änderungen speichern**.

1. Wählen Sie in **Schritt 2 — *optional*: Synchronisierungsbereich konfigurieren** die Registerkarte **Benutzer** aus. Geben Sie dann den genauen Benutzernamen des Benutzers ein, den Sie zu Ihrem Synchronisierungsbereich hinzufügen möchten, und wählen Sie **Hinzufügen**. Wählen Sie als Nächstes die Registerkarte **Gruppen**. Geben Sie den genauen Gruppennamen der Gruppe ein, die Sie zu Ihrem Synchronisierungsbereich hinzufügen möchten, und wählen Sie **Hinzufügen**. Wählen Sie anschließend **Weiter**. Wenn Sie später Benutzer und Gruppen zu Ihrem Synchronisierungsbereich hinzufügen möchten, nehmen Sie keine Änderungen vor und wählen Sie **Weiter**.

1. Bestätigen Sie in **Schritt 3: Konfiguration überprüfen und speichern** Sie Ihre **Attributzuordnungen** in **Schritt 1: Attributzuordnungen** und Ihre **Benutzer und Gruppen** in **Schritt 2**: Synchronisierungsbereich. Wählen Sie **Save configuration (Konfiguration speichern)** aus. **Dadurch gelangen Sie zur Seite „Sync verwalten“.**

# Fügen Sie Benutzer und Gruppen zu Ihrem Synchronisierungsbereich hinzu
<a name="manage-sync-add-users-groups-configurable-ADsync"></a>

**Anmerkung**  
Wenn Sie Gruppen zu Ihrem Synchronisierungsbereich hinzufügen, synchronisieren Sie Gruppen direkt aus der vertrauenswürdigen lokalen Domäne und nicht aus Gruppen in der AWS Managed Microsoft AD Domäne. Gruppen, die direkt von der vertrauenswürdigen Domain aus synchronisiert wurden, enthalten tatsächliche Benutzerobjekte, auf die IAM Identity Center zugreifen und die erfolgreich synchronisiert werden können.

 Gehen Sie wie folgt vor, um Ihre Active Directory-Benutzer und -Gruppen zu IAM Identity Center hinzuzufügen. 

**So fügen Sie Benutzer hinzu**

1. Öffnen Sie die [IAM-Identity-Center-Konsole](https://console.aws.amazon.com/singlesignon).

1. Wählen Sie **Einstellungen** aus.

1. Wählen Sie auf der Seite „**Einstellungen**“ die Registerkarte „**Identitätsquelle**“, dann „**Aktionen**“ und anschließend „**Synchronisation verwalten**“.

1. Wählen Sie auf der Seite „**Synchronisation verwalten**“ die Registerkarte „**Benutzer**“ und dann „**Benutzer und Gruppen hinzufügen**“ aus.

1. Geben Sie auf der Registerkarte **Benutzer** unter **Benutzer** den genauen Benutzernamen ein und wählen Sie **Hinzufügen** aus.

1. Überprüfen Sie unter **Hinzugefügte Benutzer und Gruppen** den Benutzer, den Sie hinzufügen möchten.

1. Wählen Sie **Absenden** aus.

1. Klicken Sie im Navigationsbereich auf **Users (Benutzer)**. Wenn der von Ihnen angegebene Benutzer nicht in der Liste angezeigt wird, wählen Sie das Aktualisierungssymbol, um die Benutzerliste zu aktualisieren. 

**Um Gruppen hinzuzufügen**

1. Öffnen Sie die [IAM-Identity-Center-Konsole](https://console.aws.amazon.com/singlesignon).

1. Wählen Sie **Einstellungen** aus.

1. Wählen Sie auf der Seite „**Einstellungen**“ die Registerkarte „**Identitätsquelle**“, dann „**Aktionen**“ und anschließend „**Synchronisation verwalten**“ aus.

1. Wählen Sie auf der Seite „**Synchronisation verwalten**“ den Tab **Gruppen** und dann **Benutzer und Gruppen hinzufügen** aus.

1. Wählen Sie die Registerkarte **Groups (Gruppen)**. Geben Sie unter **Gruppe** den genauen Gruppennamen ein und wählen Sie **Hinzufügen** aus.

1. Überprüfen Sie unter **Hinzugefügte Benutzer und Gruppen** die Gruppe, die Sie hinzufügen möchten.

1. Wählen Sie **Absenden** aus.

1. Wählen Sie im Navigationsbereich die Option ** Groups (Gruppen)**. Wenn die von Ihnen angegebene Gruppe nicht in der Liste angezeigt wird, wählen Sie das Aktualisierungssymbol, um die Gruppenliste zu aktualisieren. 

# Entfernen Sie Benutzer und Gruppen aus Ihrem Synchronisierungsbereich
<a name="manage-sync-remove-users-groups-configurable-ADsync"></a>

Weitere Informationen darüber, was passiert, wenn Sie Benutzer und Gruppen aus Ihrem Synchronisierungsbereich entfernen, finden Sie unter[So funktioniert die konfigurierbare AD-Synchronisierung](how-it-works-configurable-ADsync.md).

**Um Benutzer zu entfernen**

1. Öffnen Sie die [IAM-Identity-Center-Konsole](https://console.aws.amazon.com/singlesignon).

1. Wählen Sie **Einstellungen** aus.

1. Wählen Sie auf der Seite „**Einstellungen**“ die Registerkarte „**Identitätsquelle**“, dann „**Aktionen**“ und anschließend „**Synchronisation verwalten**“ aus.

1. Wählen Sie die Registerkarte **Users**.

1. Aktivieren Sie unter **Benutzer im Synchronisierungsbereich** das Kontrollkästchen neben dem Benutzer, den Sie löschen möchten. Um alle Benutzer zu löschen, aktivieren Sie das Kontrollkästchen neben **Benutzername**.

1. Wählen Sie **Remove (Entfernen)** aus.

**Um Gruppen zu entfernen**

1. Öffnen Sie die [IAM-Identity-Center-Konsole](https://console.aws.amazon.com/singlesignon).

1. Wählen Sie **Einstellungen** aus.

1. Wählen Sie auf der Seite „**Einstellungen**“ die Registerkarte „**Identitätsquelle**“, dann „**Aktionen**“ und anschließend „**Synchronisation verwalten**“ aus.

1. Wählen Sie die Registerkarte **Groups (Gruppen)**.

1. Aktivieren Sie unter **Gruppen im Synchronisierungsbereich** das Kontrollkästchen neben dem Benutzer, den Sie löschen möchten. Um alle Gruppen zu löschen, aktivieren Sie das Kontrollkästchen neben **Gruppenname**.

1. Wählen Sie **Remove (Entfernen)** aus.

# Unterbrechen Sie die Synchronisierung und setzen Sie sie fort
<a name="manage-sync-pause-resume-sync-configurable-ADsync"></a>

Wenn Sie Ihre Synchronisierung unterbrechen, werden alle future Synchronisierungszyklen angehalten und verhindert, dass Änderungen, die Sie an Benutzern und Gruppen in Active Directory vornehmen, in IAM Identity Center widergespiegelt werden. Nachdem Sie die Synchronisierung wieder aufgenommen haben, übernimmt der Synchronisierungszyklus diese Änderungen ab der nächsten geplanten Synchronisierung.

**Um die Synchronisierung anzuhalten**

1. Öffnen Sie die [IAM-Identity-Center-Konsole](https://console.aws.amazon.com/singlesignon).

1. Wählen Sie **Einstellungen** aus.

1. Wählen Sie auf der Seite „**Einstellungen**“ den Tab „**Identitätsquelle**“, dann „**Aktionen**“ und anschließend „**Synchronisation verwalten**“ aus.

1. Wählen **Sie unter „Synchronisierung verwalten**“ die Option „**Synchronisierung unterbrechen**“ aus.

**Um die Synchronisierung fortzusetzen**

1. Öffnen Sie die [IAM-Identity-Center-Konsole](https://console.aws.amazon.com/singlesignon).

1. Wählen Sie **Einstellungen** aus.

1. Wählen Sie auf der Seite „**Einstellungen**“ den Tab „**Identitätsquelle**“, dann „**Aktionen**“ und anschließend „**Synchronisation verwalten**“ aus.

1. Wählen **Sie unter Synchronisierung verwalten** die Option **Synchronisierung fortsetzen** aus.
**Anmerkung**  
Wenn Sie „**Synchronisierung unterbrechen**“ statt „**Synchronisierung fortsetzen**“ sehen, wurde die Synchronisierung von Active Directory mit IAM Identity Center bereits wieder aufgenommen.

# Automatisieren Sie Ihre Synchronisierungskonfiguration für eine konfigurierbare AD-Synchronisierung
<a name="automate-sync-configuration-configurable-ADsync"></a>

Um sicherzustellen, dass Ihr automatisierter Workflow mit konfigurierbarer AD-Synchronisierung wie erwartet funktioniert, empfehlen wir Ihnen, die folgenden Schritte durchzuführen, um Ihre Synchronisierungskonfiguration zu automatisieren.

**Um Ihre Synchronisierungskonfiguration für die konfigurierbare AD-Synchronisierung zu automatisieren**

1. Erstellen Sie in Active Directory eine *übergeordnete Synchronisierungsgruppe*, die alle Benutzer und Gruppen enthält, die Sie mit IAM Identity Center synchronisieren möchten. Sie können der Gruppe *IAMIdentityCenterAllUsersAndGroups*beispielsweise einen Namen geben.

1. Fügen Sie in IAM Identity Center die übergeordnete Synchronisierungsgruppe zu Ihrer konfigurierbaren Synchronisierungsliste hinzu. IAM Identity Center synchronisiert alle Benutzer, Gruppen, Untergruppen und Mitglieder aller Gruppen, die in der übergeordneten Synchronisierungsgruppe enthalten sind.

1. Verwenden Sie die von Microsoft bereitgestellten API-Aktionen für die Active Directory-Benutzer- und Gruppenverwaltung, um Benutzer und Gruppen zur übergeordneten Synchronisierungsgruppe hinzuzufügen oder daraus zu entfernen.