Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

# Microsoft ADannuaire
<a name="manage-your-identity-source-ad"></a>

Avec AWS IAM Identity Center, vous pouvez connecter un annuaire autogéré dans Active Directory (AD) ou un annuaire dans en AWS Managed Microsoft AD utilisant AWS Directory Service. Ce répertoire Microsoft AD définit le pool d'identités que les administrateurs peuvent extraire lorsqu'ils utilisent la console IAM Identity Center pour attribuer un accès par authentification unique. Après avoir connecté votre annuaire d'entreprise à IAM Identity Center, vous pouvez autoriser vos utilisateurs ou groupes AD à accéder aux applications Comptes AWS, ou aux deux. 

AWS Directory Service vous permet de configurer et d'exécuter un AWS Managed Microsoft AD répertoire autonome hébergé dans le AWS Cloud. Vous pouvez également l'utiliser Directory Service pour connecter vos AWS ressources à un AD autogéré existant. Pour que AWS Directory Service la configuration fonctionne avec votre AD autogéré, vous devez d'abord établir des relations de confiance afin d'étendre l'authentification au cloud.

IAM Identity Center utilise la connexion fournie par Directory Service pour effectuer une authentification directe sur l'instance AD source. Lorsque vous l'utilisez AWS Managed Microsoft AD comme source d'identité, IAM Identity Center peut travailler avec des utilisateurs depuis AWS Managed Microsoft AD ou vers n'importe quel domaine connecté via un AD Trust. Si vous souhaitez localiser vos utilisateurs dans quatre domaines ou plus, les utilisateurs doivent utiliser la `DOMAIN\user` syntaxe comme nom d'utilisateur lorsqu'ils se connectent à IAM Identity Center.

**Remarques**  
Comme étape préalable, assurez-vous que votre AD Connector ou votre répertoire dans AWS Managed Microsoft AD in Directory Service se trouve dans votre compte AWS Organizations de gestion.
IAM Identity Center ne prend pas en charge Simple AD basé sur SAMBA 4 en tant qu'annuaire connecté.
 IAM Identity Center ne peut pas synchroniser les principes de sécurité étrangers ()FSPs. Si un groupe AWS Managed Microsoft AD contient des membres d'un domaine approuvé FSPs, ces membres ne seront pas synchronisés.

Pour une démonstration du processus d'utilisation d'Active Directory comme source d'identité pour IAM Identity Center, regardez la YouTube vidéo suivante :

[![AWS Videos](http://img.youtube.com/vi/https://www.youtube.com/embed/OMbob_ef7J4?si=J23xw0EGkZOo8y9n/0.jpg)](http://www.youtube.com/watch?v=https://www.youtube.com/embed/OMbob_ef7J4?si=J23xw0EGkZOo8y9n)


## Considérations relatives à l'utilisation d'Active Directory
<a name="considerations-ad-identitysource"></a>

Si vous souhaitez utiliser Active Directory comme source d'identité, votre configuration doit répondre aux conditions préalables suivantes :
+ Si vous utilisez AWS Managed Microsoft AD, vous devez activer IAM Identity Center dans le même Région AWS endroit où votre AWS Managed Microsoft AD annuaire est configuré. IAM Identity Center stocke les données d'attribution dans la même région que le répertoire. Pour administrer IAM Identity Center, vous devrez peut-être passer à la région dans laquelle IAM Identity Center est configuré. Notez également que le portail AWS d'accès utilise la même URL d'accès que votre annuaire.
+ Utilisez un Active Directory résidant dans le compte de gestion :

  Vous devez disposer d'un AD Connector ou d'un AWS Managed Microsoft AD annuaire AD Connector existant dans votre compte de gestion AWS Directory Service, et celui-ci doit résider dans votre compte AWS Organizations de gestion. Vous ne pouvez connecter qu'un seul répertoire AD Connector ou un seul annuaire AWS Managed Microsoft AD à la fois. Si vous devez prendre en charge plusieurs domaines ou forêts, utilisez AWS Managed Microsoft AD. Pour en savoir plus, consultez :
  + [Connecter un annuaire AWS Managed Microsoft AD à IAM Identity Center](connectawsad.md)
  + [Connectez un annuaire autogéré dans Active Directory à IAM Identity Center](connectonpremad.md)
+ Utilisez un Active Directory résidant dans le compte administrateur délégué :

  Si vous envisagez d'activer l'administrateur délégué d'IAM Identity Center et d'utiliser Active Directory comme source d'identité IAM Identity Center, vous pouvez utiliser un connecteur AD Connector ou un AWS Managed Microsoft AD annuaire existant configuré dans AWS Directory résidant dans le compte d'administrateur délégué. 

  Si vous décidez de remplacer la source d'identité d'IAM Identity Center par une autre source par Active Directory, ou de passer d'Active Directory à une autre source, le répertoire doit résider (appartenir à) le compte membre administrateur délégué d'IAM Identity Center, s'il en existe un ; sinon, il doit figurer dans le compte de gestion.

# Connectez Active Directory et spécifiez un utilisateur
<a name="get-started-connect-id-source-ad-idp-specify-user"></a>

Si vous utilisez déjà Active Directory, les rubriques suivantes vous aideront à préparer la connexion de votre annuaire à IAM Identity Center.

Vous pouvez connecter un AWS Managed Microsoft AD annuaire ou un annuaire autogéré dans Active Directory avec IAM Identity Center. 

**Note**  
IAM Identity Center ne prend pas en charge SAMBA4 Simple AD en tant que source d'identité.

**AWS Managed Microsoft AD**

1. Consultez les directives dans[Microsoft ADannuaire](manage-your-identity-source-ad.md).

1. Suivez les étapes de [Connecter un annuaire AWS Managed Microsoft AD à IAM Identity Center](connectawsad.md).

1. Configurez Active Directory pour synchroniser l'utilisateur auquel vous souhaitez accorder des autorisations administratives dans IAM Identity Center. Pour de plus amples informations, veuillez consulter [Synchroniser un utilisateur administratif dans IAM Identity Center](#sync-admin-user-from-ad).

**Annuaire autogéré dans Active Directory**

1. Consultez les directives dans[Microsoft ADannuaire](manage-your-identity-source-ad.md).

1. Suivez les étapes de [Connectez un annuaire autogéré dans Active Directory à IAM Identity Center](connectonpremad.md).

1. Configurez Active Directory pour synchroniser l'utilisateur auquel vous souhaitez accorder des autorisations administratives dans IAM Identity Center. Pour de plus amples informations, veuillez consulter [Synchroniser un utilisateur administratif dans IAM Identity Center](#sync-admin-user-from-ad).

**IdP externe**

1. Consultez les directives dans[Fournisseurs d'identité externes](manage-your-identity-source-idp.md).

1. Suivez les étapes de [Comment se connecter à un fournisseur d'identité externe](how-to-connect-idp.md).

1. 

   Configurez votre IdP pour connecter les utilisateurs à IAM Identity Center. 
**Note**  
Avant de configurer le provisionnement automatique par groupe de toutes les identités de votre personnel, depuis votre IdP vers IAM Identity Center, nous vous recommandons de synchroniser l'utilisateur auquel vous souhaitez accorder des autorisations administratives dans IAM Identity Center.

## Synchroniser un utilisateur administratif dans IAM Identity Center
<a name="sync-admin-user-from-ad"></a>

Après avoir connecté votre Active Directory à IAM Identity Center, vous pouvez spécifier un utilisateur auquel vous souhaitez accorder des autorisations administratives, puis synchroniser cet utilisateur depuis votre annuaire avec IAM Identity Center.

1. Ouvrez la [console IAM Identity Center](https://console.aws.amazon.com/singlesignon).

1. Sélectionnez **Paramètres**.

1. Sur la page **Paramètres**, choisissez l'onglet **Source d'identité**, sélectionnez **Actions**, puis sélectionnez **Gérer la synchronisation**.

1. Sur la page **Gérer la synchronisation**, choisissez l'onglet **Utilisateurs**, puis sélectionnez **Ajouter des utilisateurs et des groupes**.

1. Dans l'onglet **Utilisateurs**, sous **Utilisateur**, entrez le nom d'utilisateur exact et choisissez **Ajouter**.

1. Sous **Utilisateurs et groupes ajoutés**, procédez comme suit :

   1. Vérifiez que l'utilisateur auquel vous souhaitez accorder des autorisations administratives est spécifié.

   1. Cochez la case située à gauche du nom d'utilisateur.

   1. Sélectionnez **Soumettre**.

1. Sur la page **Gérer la synchronisation**, l'utilisateur que vous avez spécifié apparaît dans la liste **Utilisateurs synchronisés**.

1. Dans le panneau de navigation, choisissez **utilisateurs**.

1. Sur la page **Utilisateurs**, l'utilisateur que vous avez spécifié peut mettre un certain temps à apparaître dans la liste. Cliquez sur l'icône d'actualisation pour mettre à jour la liste des utilisateurs. 

À ce stade, votre utilisateur n'a pas accès au compte de gestion. Vous allez configurer l'accès administratif à ce compte en créant un ensemble d'autorisations administratives et en affectant l'utilisateur à cet ensemble d'autorisations. Pour de plus amples informations, veuillez consulter [Crée un jeu d'autorisations](howtocreatepermissionset.md).

## Provisionnement lorsque les utilisateurs proviennent d'Active Directory
<a name="provision-users-from-ad"></a>

IAM Identity Center utilise la connexion fournie par le Directory Service pour synchroniser les informations relatives aux utilisateurs, aux groupes et aux membres entre votre répertoire source dans Active Directory et le magasin d'identités IAM Identity Center. Aucune information de mot de passe n'est synchronisée avec IAM Identity Center, car l'authentification des utilisateurs s'effectue directement depuis le répertoire source dans Active Directory. Ces données d'identité sont utilisées par les applications pour faciliter les scénarios de recherche, d'autorisation et de collaboration intégrés à l'application sans renvoyer l'activité LDAP au répertoire source dans Active Directory.

Pour plus d'informations ci-dessus sur le provisionnement, consultez[Provisionnement d'utilisateurs et de groupes](users-groups-provisioning.md#user-group-provision).

**Topics**
+ [Considérations relatives à l'utilisation d'Active Directory](#considerations-ad-identitysource)
+ [Connectez Active Directory et spécifiez un utilisateur](get-started-connect-id-source-ad-idp-specify-user.md)
+ [Provisionnement lorsque les utilisateurs proviennent d'Active Directory](#provision-users-from-ad)
+ [Connecter un annuaire AWS Managed Microsoft AD à IAM Identity Center](connectawsad.md)
+ [Connectez un annuaire autogéré dans Active Directory à IAM Identity Center](connectonpremad.md)
+ [Mappages d'attributs entre le centre d'identité IAM et le répertoire des fournisseurs d'identité externes](attributemappingsconcept.md)
+ [Synchronisation AD configurable par IAM Identity Center](provision-users-from-ad-configurable-ADsync.md)

# Connecter un annuaire AWS Managed Microsoft AD à IAM Identity Center
<a name="connectawsad"></a>

Utilisez la procédure suivante pour connecter un répertoire géré par AWS Directory Service à IAM Identity Center. AWS Managed Microsoft AD 

**Pour vous connecter AWS Managed Microsoft AD à IAM Identity Center**

1. Ouvrez la [console IAM Identity Center](https://console.aws.amazon.com/singlesignon).
**Note**  
Assurez-vous que la console IAM Identity Center utilise l'une des régions dans lesquelles se trouve votre AWS Managed Microsoft AD répertoire avant de passer à l'étape suivante.

1. Cliquez sur **Paramètres**.

1. Sur la page **Paramètres**, choisissez l'onglet **Source d'identité**, puis sélectionnez **Actions > Modifier la source d'identité**.

1. Sous **Choisir une source d'identité**, sélectionnez **Active Directory**, puis cliquez sur **Suivant**.

1. Sous **Connect Active Directory**, choisissez un répertoire dans la AWS Managed Microsoft AD liste, puis cliquez sur **Next**.

1. Sous **Confirmer la modification**, passez en revue les informations et lorsque vous êtes prêt, tapez **ACCEPT**, puis choisissez **Modifier la source d'identité**.
**Important**  
Pour spécifier un utilisateur dans Active Directory en tant qu'utilisateur administratif dans IAM Identity Center, vous devez d'abord synchroniser l'utilisateur auquel vous souhaitez accorder des autorisations administratives depuis Active Directory vers IAM Identity Center. Pour ce faire, suivez les étapes de [Synchroniser un utilisateur administratif dans IAM Identity Center](get-started-connect-id-source-ad-idp-specify-user.md#sync-admin-user-from-ad).

# Connectez un annuaire autogéré dans Active Directory à IAM Identity Center
<a name="connectonpremad"></a>

Les utilisateurs de votre annuaire autogéré dans Active Directory (AD) peuvent également accéder par authentification unique au portail d'accès Comptes AWS et aux applications qui s' AWS y trouvent. Pour configurer l'accès à authentification unique pour ces utilisateurs, vous pouvez effectuer l'une des opérations suivantes :
+ **Création d'une relation de confiance bidirectionnelle** : lorsque des relations de confiance bidirectionnelles sont créées entre AWS Managed Microsoft AD et un annuaire autogéré dans AD, les utilisateurs de votre annuaire autogéré dans AD peuvent se connecter avec leurs informations d'identification d'entreprise à divers AWS services et applications métier. Les approbations unidirectionnelles ne fonctionnent pas avec IAM Identity Center.

  AWS IAM Identity Center nécessite une confiance bidirectionnelle afin d'être autorisé à lire les informations relatives aux utilisateurs et aux groupes de votre domaine afin de synchroniser les métadonnées des utilisateurs et des groupes. IAM Identity Center utilise ces métadonnées pour attribuer l'accès à des ensembles d'autorisations ou à des applications. Les métadonnées des utilisateurs et des groupes sont également utilisées par les applications à des fins de collaboration, par exemple lorsque vous partagez un tableau de bord avec un autre utilisateur ou un autre groupe. La confiance accordée par Directory Service Microsoft Active Directory à votre domaine permet à IAM Identity Center de faire confiance à votre domaine pour l'authentification. La confiance dans le sens opposé accorde des AWS autorisations pour lire les métadonnées des utilisateurs et des groupes. 

  Pour plus d'informations sur la configuration d'une confiance bidirectionnelle, voir [Quand créer une relation de confiance](https://docs.aws.amazon.com/directoryservice/latest/admin-guide/setup_trust.html) dans le *Guide d'AWS Directory Service administration*.
**Note**  
Pour utiliser AWS des applications, telles que IAM Identity Center, pour lire les utilisateurs de l' Directory Service annuaire provenant de domaines approuvés, les Directory Service comptes doivent disposer d'autorisations sur l' userAccountControlattribut associé aux utilisateurs de confiance. Sans autorisations de lecture pour cet attribut, AWS les applications ne sont pas en mesure de déterminer si le compte est activé ou désactivé.  
L'accès en lecture à cet attribut est fourni par défaut lorsqu'une approbation est créée. Si vous refusez l'accès à cet attribut (ce n'est pas recommandé), vous empêcherez des applications telles qu'Identity Center de lire les utilisateurs fiables. La solution consiste à autoriser spécifiquement l'accès en lecture à l'`userAccountControl`attribut sur les comptes de AWS service sous l'unité d'organisation AWS réservée (préfixée par AWS\$1).
+ **Création d'un AD Connector** — AD Connector est une passerelle d'annuaire qui peut rediriger les demandes d'annuaire vers votre AD autogéré sans mettre en cache aucune information dans le cloud. Pour plus d'informations, voir [Connect to a Directory](https://docs.aws.amazon.com/directoryservice/latest/admin-guide/directory_ad_connector.html) dans le *Guide AWS Directory Service d'administration*. Les points suivants doivent être pris en compte lors de l'utilisation d'AD Connector :
  + Si vous connectez IAM Identity Center à un annuaire AD Connector, toute future réinitialisation du mot de passe utilisateur devra être effectuée depuis AD. Cela signifie que les utilisateurs ne pourront pas réinitialiser leur mot de passe depuis le portail AWS d'accès.
  + Si vous utilisez AD Connector pour connecter votre service de domaine Active Directory à IAM Identity Center, IAM Identity Center n'a accès qu'aux utilisateurs et aux groupes du domaine unique auquel AD Connector est attaché. Si vous devez prendre en charge plusieurs domaines ou forêts, utilisez Directory Service Microsoft Active Directory.
**Note**  
IAM Identity Center ne fonctionne pas avec les annuaires Simple AD SAMBA4 basés sur Simple AD.

# Mappages d'attributs entre le centre d'identité IAM et le répertoire des fournisseurs d'identité externes
<a name="attributemappingsconcept"></a>

Les mappages d'attributs sont utilisés pour mapper les types d'attributs qui existent dans IAM Identity Center avec des attributs similaires dans votre source d'identité externeGoogle Workspace, tels queMicrosoft Active Directory (AD), et. Okta IAM Identity Center extrait les attributs utilisateur de votre source d'identité et les associe aux attributs utilisateur IAM Identity Center. 

Si votre centre d'identité IAM est synchronisé pour utiliser un **fournisseur d'identité externe** (IdP), par exemple Google WorkspaceOkta, ou Ping comme source d'identité, vous devrez mapper vos attributs dans votre IdP.

IAM Identity Center préremplit un ensemble d'attributs pour vous sous l'onglet **Mappages d'**attributs situé sur sa page de configuration. IAM Identity Center utilise ces attributs utilisateur pour remplir les assertions SAML (sous forme d'attributs SAML) qui sont envoyées à l'application. Ces attributs utilisateur sont à leur tour extraits de votre source d'identité. Chaque application détermine la liste des attributs SAML 2.0 dont elle a besoin pour une authentification unique réussie. Pour de plus amples informations, veuillez consulter [Associez les attributs de votre application aux attributs d'IAM Identity Center](mapawsssoattributestoapp.md).

IAM Identity Center gère également un ensemble d'attributs pour vous dans la section **Mappages d'attributs** de votre **page de configuration Active Directory** si vous utilisez Active Directory comme source d'identité. Pour de plus amples informations, veuillez consulter [Mappage des attributs utilisateur entre IAM Identity Center et Microsoft AD l'annuaire](mapssoattributestocdattributes.md).

## Attributs du fournisseur d'identité externe pris en charge
<a name="supportedidpattributes"></a>

Le tableau suivant répertorie tous les attributs de fournisseur d'identité (IdP) externes pris en charge et pouvant être mappés aux attributs que vous pouvez utiliser lors de la configuration [Attributs pour le contrôle d’accès](attributesforaccesscontrol.md) dans IAM Identity Center. Lorsque vous utilisez des assertions SAML, vous pouvez utiliser les attributs pris en charge par votre IdP.


****  

| Attributs pris en charge dans votre IdP | 
| --- | 
| \$1\$1path:userName\$1 | 
| \$1\$1path:name.familyName\$1 | 
| \$1\$1path:name.givenName\$1 | 
| \$1\$1path:displayName\$1 | 
| \$1\$1path:nickName\$1 | 
| \$1\$1path:emails[primary eq true].value\$1 | 
| \$1\$1path:addresses[type eq "work"].streetAddress\$1 | 
| \$1\$1path:addresses[type eq "work"].locality\$1 | 
| \$1\$1path:addresses[type eq "work"].region\$1 | 
| \$1\$1path:addresses[type eq "work"].postalCode\$1 | 
| \$1\$1path:addresses[type eq "work"].country\$1 | 
| \$1\$1path:addresses[type eq "work"].formatted\$1 | 
| \$1\$1path:phoneNumbers[type eq "work"].value\$1 | 
| \$1\$1path:userType\$1 | 
| \$1\$1path:title\$1 | 
| \$1\$1path:locale\$1 | 
| \$1\$1path:timezone\$1 | 
| \$1\$1path:enterprise.employeeNumber\$1 | 
| \$1\$1path:enterprise.costCenter\$1 | 
| \$1\$1path:enterprise.organization\$1 | 
| \$1\$1path:enterprise.division\$1 | 
| \$1\$1path:enterprise.department\$1 | 
| \$1\$1path:enterprise.manager.value\$1 | 

## Mappages par défaut entre IAM Identity Center et Microsoft AD
<a name="defaultattributemappings"></a>

Le tableau suivant répertorie les mappages par défaut des attributs utilisateur dans IAM Identity Center avec les attributs utilisateur de votre Microsoft AD annuaire. IAM Identity Center prend uniquement en charge la liste des attributs de l'**attribut Utilisateur dans la colonne IAM Identity Center**. 


****  

| Attribut utilisateur dans IAM Identity Center  | Correspond à cet attribut dans votre Active Directory | 
| --- | --- | 
| displayname | \$1\$1displayname\$1 | 
| emails[?primary].value \$1 | \$1\$1mail\$1 | 
| externalid | \$1\$1objectguid\$1 | 
| name.givenname | \$1\$1givenname\$1 | 
| name.familyname | \$1\$1sn\$1 | 
| name.middlename | \$1\$1initials\$1 | 
| sid | \$1\$1objectsid\$1 | 
| username | \$1\$1userprincipalname\$1 | 

\$1 L'attribut e-mail dans IAM Identity Center doit être unique dans l'annuaire.


****  

| Attribut de groupe dans IAM Identity Center  | Correspond à cet attribut dans votre Active Directory | 
| --- | --- | 
| externalid | \$1\$1objectguid\$1 | 
| description | \$1\$1description\$1 | 
| displayname | \$1\$1samaccountname\$1@\$1associateddomain\$1 | 

**Considérations**
+ Si vous n'avez aucune attribution pour vos utilisateurs et groupes dans IAM Identity Center lorsque vous activez la synchronisation AD configurable, les mappages par défaut des tableaux précédents sont utilisés. Pour plus d'informations sur la personnalisation de ces mappages, consultez[Configurez les mappages d'attributs pour votre synchronisation](manage-sync-configure-attribute-mapping-configurable-ADsync.md).
+ Certains attributs d'IAM Identity Center ne peuvent pas être modifiés car ils sont immuables et mappés par défaut à des attributs d'annuaire Microsoft AD spécifiques.

  Par exemple, « nom d'utilisateur » est un attribut obligatoire dans IAM Identity Center. Si vous associez « nom d'utilisateur » à un attribut d'annuaire AD avec une valeur vide, IAM Identity Center considérera cette `windowsUpn` valeur comme valeur par défaut pour « nom d'utilisateur ». Si vous souhaitez modifier le mappage d'attributs pour « nom d'utilisateur » par rapport à votre mappage actuel, vérifiez que les flux IAM Identity Center dépendants du « nom d'utilisateur » continueront de fonctionner comme prévu, avant d'effectuer la modification.

## Microsoft ADAttributs pris en charge pour IAM Identity Center
<a name="supporteddirectoryattributes"></a>

Le tableau suivant répertorie tous les attributs d'Microsoft ADannuaire pris en charge et pouvant être mappés aux attributs utilisateur dans IAM Identity Center. 


****  

| Attributs pris en charge dans votre annuaire Microsoft AD | 
| --- | 
| \$1\$1samaccountname\$1 | 
| \$1\$1description\$1 | 
| \$1\$1objectguid\$1 | 
| \$1\$1objectsid\$1 | 
| \$1\$1givenname\$1 | 
| \$1\$1sn\$1 | 
| \$1\$1initials\$1 | 
| \$1\$1mail\$1 | 
| \$1\$1userprincipalname\$1 | 
| \$1\$1displayname\$1 | 
| \$1\$1distinguishedname\$1 | 
| \$1\$1proxyaddresses[?type == "SMTP"].value\$1 | 
| \$1\$1proxyaddresses[?type == "smtp"].value\$1 | 
| \$1\$1useraccountcontrol\$1 | 
| \$1\$1associateddomain\$1 | 

**Considérations**
+ Vous pouvez spécifier n'importe quelle combinaison d'attributs d'Microsoft ADannuaire pris en charge à mapper à un seul attribut mutable dans IAM Identity Center.

## Attributs IAM Identity Center pris en charge pour Microsoft AD
<a name="supportedssoattributes"></a>

Le tableau suivant répertorie tous les attributs IAM Identity Center pris en charge et pouvant être mappés aux attributs utilisateur de votre Microsoft AD annuaire. Après avoir configuré les mappages d'attributs de votre application, vous pouvez utiliser ces mêmes attributs IAM Identity Center pour les mapper aux attributs réels utilisés par cette application.


****  

| Attributs pris en charge dans IAM Identity Center pour Active Directory | 
| --- | 
| \$1\$1user:AD\$1GUID\$1 | 
| \$1\$1user:AD\$1SID\$1 | 
| \$1\$1user:email\$1 | 
| \$1\$1user:familyName\$1 | 
| \$1\$1user:givenName\$1 | 
| \$1\$1user:middleName\$1 | 
| \$1\$1user:name\$1 | 
| \$1\$1user:preferredUsername\$1 | 
| \$1\$1user:subject\$1 | 

# Mappage des attributs utilisateur entre IAM Identity Center et Microsoft AD l'annuaire
<a name="mapssoattributestocdattributes"></a>

Vous pouvez utiliser la procédure suivante pour spécifier la manière dont vos attributs utilisateur dans IAM Identity Center doivent correspondre aux attributs correspondants dans votre Microsoft AD annuaire.

**Pour associer les attributs d'IAM Identity Center aux attributs de votre annuaire**

1. Ouvrez la [console IAM Identity Center](https://console.aws.amazon.com/singlesignon).

1. Sélectionnez **Paramètres**.

1. Sur la page **Paramètres**, choisissez l'onglet **Attributs pour le contrôle d'accès**, puis sélectionnez **Gérer les attributs**.

1. Sur la page **Gérer l'attribut pour le contrôle d'accès**, recherchez l'attribut que vous souhaitez mapper dans IAM Identity Center, puis tapez une valeur dans la zone de texte. Par exemple, vous souhaiterez peut-être mapper l'attribut utilisateur IAM Identity Center **`email`**à l'attribut d'annuaire Microsoft AD. **`${mail}`**

1. Sélectionnez **Enregistrer les modifications**.

# Synchronisation AD configurable par IAM Identity Center
<a name="provision-users-from-ad-configurable-ADsync"></a>

La synchronisation Active Directory (AD) configurable par IAM Identity Center vous permet de configurer explicitement les identités dans Microsoft Active Directory qui sont automatiquement synchronisées dans IAM Identity Center et de contrôler le processus de synchronisation.
+ Avec cette méthode de synchronisation, vous pouvez effectuer les opérations suivantes :
  + Contrôlez les limites des données en définissant explicitement les utilisateurs et les groupes dans Microsoft Active Directory qui sont automatiquement synchronisés dans IAM Identity Center. Vous pouvez [ajouter des utilisateurs et des groupes](manage-sync-add-users-groups-configurable-ADsync.md) ou [supprimer des utilisateurs et des groupes](manage-sync-remove-users-groups-configurable-ADsync.md) pour modifier l'étendue de la synchronisation à tout moment.
  + Attribuez aux utilisateurs et aux groupes synchronisés un [accès](useraccess.md) par authentification unique Comptes AWS ou un [accès aux applications](assignuserstoapp.md). Les applications peuvent être des applications AWS gérées ou des applications gérées par le client. 
  + Contrôlez le processus de synchronisation en [interrompant et en reprenant la synchronisation selon les besoins](manage-sync-pause-resume-sync-configurable-ADsync.md). Cela vous permet de réguler la charge sur les systèmes de production.

## Prérequis et considérations
<a name="prerequisites-configurable-ADsync"></a>

Avant d'utiliser la synchronisation AD configurable, tenez compte des conditions préalables et des considérations suivantes :
+ **Spécification des utilisateurs et des groupes à synchroniser dans Active Directory**

  Avant de pouvoir utiliser IAM Identity Center pour attribuer à de nouveaux utilisateurs et groupes l'accès à Comptes AWS des applications AWS gérées ou à des applications gérées par le client, vous devez spécifier les utilisateurs et les groupes à synchroniser dans Active Directory, puis les synchroniser dans IAM Identity Center.
  + **Synchronisation AD configurable** : IAM Identity Center ne recherche pas directement les utilisateurs et les groupes dans votre contrôleur de domaine. Au lieu de cela, vous devez d'abord spécifier la liste des utilisateurs et des groupes à synchroniser. Vous pouvez configurer cette liste, également appelée *étendue de synchronisation*, de l'une des manières suivantes, selon que vous avez des utilisateurs et des groupes déjà synchronisés dans IAM Identity Center ou que vous avez de nouveaux utilisateurs et groupes que vous synchronisez pour la première fois à l'aide de la synchronisation AD configurable.
    + Utilisateurs et groupes existants : si certains de vos utilisateurs et groupes sont déjà synchronisés dans IAM Identity Center, l'étendue de synchronisation dans la synchronisation AD configurable est préremplie avec une liste de ces utilisateurs et groupes. Pour attribuer de nouveaux utilisateurs ou groupes, vous devez les ajouter spécifiquement à la zone de synchronisation. Pour de plus amples informations, veuillez consulter [Ajoutez des utilisateurs et des groupes à votre zone de synchronisation](manage-sync-add-users-groups-configurable-ADsync.md).
    + Nouveaux utilisateurs et groupes : si vous souhaitez attribuer à de nouveaux utilisateurs et groupes l'accès aux Comptes AWS applications, vous devez spécifier les utilisateurs et les groupes à ajouter à l'étendue de synchronisation dans AD Sync configurable avant de pouvoir utiliser IAM Identity Center pour effectuer l'attribution. Pour de plus amples informations, veuillez consulter [Ajoutez des utilisateurs et des groupes à votre zone de synchronisation](manage-sync-add-users-groups-configurable-ADsync.md).
+ <a name="makingassignmentsnestedgroups"></a>**Attribuer des attributions à des groupes imbriqués dans Active Directory**

  Les groupes membres d'autres groupes sont appelés groupes *imbriqués (ou groupes* d'enfants). 
  + **Synchronisation AD configurable** : l'utilisation de la synchronisation AD configurable pour attribuer des attributions à un groupe dans Active Directory contenant des groupes imbriqués peut augmenter le nombre d'utilisateurs ayant accès aux applications Comptes AWS ou à celles-ci. Dans ce cas, l'attribution s'applique à tous les utilisateurs, y compris ceux des groupes imbriqués. Par exemple, si vous accordez l'accès au groupe A et que le groupe B est membre du groupe A, les membres du groupe B héritent également de cet accès.
+ **Mise à jour des workflows automatisés**

  Si vous avez des flux de travail automatisés qui utilisent les actions de l'API du magasin d'identités IAM Identity Center et les actions de l'API d'attribution d'IAM Identity Center pour attribuer aux nouveaux utilisateurs et groupes l'accès aux comptes et aux applications, et pour les synchroniser dans IAM Identity Center, vous devez ajuster ces flux de travail avant le 15 avril 2022 afin qu'ils fonctionnent comme prévu avec la synchronisation AD configurable. La synchronisation AD configurable modifie l'ordre dans lequel l'attribution et le provisionnement des utilisateurs et des groupes ont lieu, ainsi que la manière dont les requêtes sont effectuées.
  + **Synchronisation AD configurable** : le provisionnement a lieu en premier et n'est pas effectué automatiquement. Au lieu de cela, vous devez d'abord ajouter explicitement des utilisateurs et des groupes au magasin d'identités en les ajoutant à votre étendue de synchronisation. Pour plus d'informations sur les étapes recommandées pour automatiser votre configuration de synchronisation pour une synchronisation AD configurable, consultez[Automatisez votre configuration de synchronisation pour une synchronisation AD configurable](automate-sync-configuration-configurable-ADsync.md). 

**Topics**
+ [Prérequis et considérations](#prerequisites-configurable-ADsync)
+ [Comment fonctionne la synchronisation AD configurable](how-it-works-configurable-ADsync.md)
+ [Configurez les mappages d'attributs pour votre synchronisation](manage-sync-configure-attribute-mapping-configurable-ADsync.md)
+ [Configuration de la première synchronisation entre Active Directory et IAM Identity Center](manage-sync-configurable-ADsync.md)
+ [Ajoutez des utilisateurs et des groupes à votre zone de synchronisation](manage-sync-add-users-groups-configurable-ADsync.md)
+ [Supprimer des utilisateurs et des groupes de votre zone de synchronisation](manage-sync-remove-users-groups-configurable-ADsync.md)
+ [Pause et reprise de la synchronisation](manage-sync-pause-resume-sync-configurable-ADsync.md)
+ [Automatisez votre configuration de synchronisation pour une synchronisation AD configurable](automate-sync-configuration-configurable-ADsync.md)

# Comment fonctionne la synchronisation AD configurable
<a name="how-it-works-configurable-ADsync"></a>

IAM Identity Center actualise les données d'identité basées sur la publicité dans le magasin d'identités en utilisant le processus suivant. Pour en savoir plus sur les prérequis, consultez[Prérequis et considérations](provision-users-from-ad-configurable-ADsync.md#prerequisites-configurable-ADsync).

## Création
<a name="how-it-works-creation-configurable-ADsync"></a>

Après avoir connecté votre annuaire autogéré dans Active Directory ou votre AWS Managed Microsoft AD annuaire géré par Directory Service IAM Identity Center, vous pouvez configurer de manière explicite les utilisateurs et les groupes Active Directory que vous souhaitez synchroniser dans le magasin d'identités IAM Identity Center. Les identités que vous choisissez seront synchronisées toutes les trois heures environ dans le magasin d'identités IAM Identity Center. Selon la taille de votre répertoire, le processus de synchronisation peut prendre plus de temps.

Les groupes membres d'autres groupes (appelés groupes *imbriqués ou groupes* *enfants*) sont également enregistrés dans le magasin d'identités. 

Vous ne pouvez attribuer l'accès à de nouveaux utilisateurs ou groupes qu'après leur synchronisation dans la banque d'identités IAM Identity Center. 

## Mettre à jour
<a name="how-it-works-update-configurable-ADsync"></a>

Les données d'identité de la banque d'identités d'IAM Identity Center restent actualisées en lisant régulièrement les données du répertoire source dans Active Directory. IAM Identity Center synchronise les données de votre Active Directory toutes les heures selon un cycle de synchronisation par défaut. La synchronisation des données dans IAM Identity Center peut prendre entre 30 minutes et 2 heures, en fonction de la taille de votre Active Directory.

Les objets d'utilisateur et de groupe inclus dans la zone de synchronisation et leurs appartenances sont créés ou mis à jour dans IAM Identity Center pour être mappés aux objets correspondants dans le répertoire source d'Active Directory. Pour les attributs utilisateur, seul le sous-ensemble d'attributs répertorié dans la section **Attributs pour le contrôle d'accès** de la console IAM Identity Center est mis à jour dans IAM Identity Center. Un cycle de synchronisation peut être nécessaire pour que les mises à jour d'attributs que vous effectuez dans Active Directory soient répercutées dans IAM Identity Center.

Vous pouvez également mettre à jour le sous-ensemble d'utilisateurs et de groupes que vous synchronisez dans la banque d'identités IAM Identity Center. Vous pouvez choisir d'ajouter de nouveaux utilisateurs ou groupes à ce sous-ensemble ou de les supprimer. Toutes les identités que vous ajoutez sont synchronisées lors de la prochaine synchronisation planifiée. Les identités que vous supprimez du sous-ensemble ne seront plus mises à jour dans la banque d'identités IAM Identity Center. Tout utilisateur qui n'est pas synchronisé pendant plus de 28 jours sera désactivé dans la banque d'identités IAM Identity Center. Les objets utilisateur correspondants seront automatiquement désactivés dans la banque d'identités IAM Identity Center lors du prochain cycle de synchronisation, sauf s'ils font partie d'un autre groupe qui fait toujours partie de la zone de synchronisation. 

## Suppression
<a name="how-it-works-deletion-configurable-ADsync"></a>

Les utilisateurs et les groupes sont supprimés de la banque d'identités IAM Identity Center lorsque les objets d'utilisateur ou de groupe correspondants sont supprimés du répertoire source dans Active Directory. Vous pouvez également supprimer explicitement des objets utilisateur de la banque d'identités IAM Identity Center à l'aide de la console IAM Identity Center. Si vous utilisez la console IAM Identity Center, vous devez également supprimer les utilisateurs de la zone de synchronisation afin de vous assurer qu'ils ne seront pas resynchronisés dans IAM Identity Center lors du prochain cycle de synchronisation.

Vous pouvez également suspendre et relancer la synchronisation à tout moment. Si vous suspendez la synchronisation pendant plus de 28 jours, tous vos utilisateurs seront désactivés.

# Configurez les mappages d'attributs pour votre synchronisation
<a name="manage-sync-configure-attribute-mapping-configurable-ADsync"></a>

Pour plus d'informations sur les attributs disponibles, consultez[Mappages d'attributs entre le centre d'identité IAM et le répertoire des fournisseurs d'identité externes](attributemappingsconcept.md).

**Pour configurer les mappages d'attributs dans IAM Identity Center avec votre annuaire**

1. Ouvrez la [console IAM Identity Center](https://console.aws.amazon.com/singlesignon).

1. Sélectionnez **Paramètres**.

1. Sur la page **Paramètres**, choisissez l'onglet **Source d'identité**, sélectionnez **Actions**, puis sélectionnez **Gérer la synchronisation**.

1. Sous **Gérer la synchronisation**, choisissez **Afficher le mappage des attributs**.

1. Sous **Attributs utilisateur Active Directory, configurez les attributs** du **magasin d'identités IAM Identity Center et les attributs** **utilisateur Active Directory**. Par exemple, vous souhaiterez peut-être mapper l'attribut de banque d'identités IAM Identity Center `email` à l'attribut d'annuaire des utilisateurs Active Directory. `${objectguid}`
**Note**  
Sous Attributs de **groupe, les attributs** de **banque d'identités IAM Identity Center et les attributs** de **groupe Active Directory** ne peuvent pas être modifiés.

1. Sélectionnez **Enregistrer les modifications**. Cela vous ramène à la page **Gérer la synchronisation**.

# Configuration de la première synchronisation entre Active Directory et IAM Identity Center
<a name="manage-sync-configurable-ADsync"></a>

Si vous synchronisez vos utilisateurs et groupes depuis Active Directory vers IAM Identity Center pour la première fois, procédez comme suit. Vous pouvez également suivre les étapes décrites dans la section [Modifier la source de votre identité](manage-your-identity-source-change.md) pour modifier votre source d'identité d'IAM Identity Center à Active Directory.

## Configuration guidée
<a name="manage-sync-guided-setup-configurable-ADsync"></a>

1. Ouvrez la [console IAM Identity Center](https://console.aws.amazon.com/singlesignon).
**Note**  
Assurez-vous que la console IAM Identity Center utilise l'un des emplacements Régions AWS où se trouve votre AWS Managed Microsoft AD répertoire avant de passer à l'étape suivante.

1. Cliquez sur **Paramètres**.

1. En haut de la page, dans le message de notification, choisissez **Démarrer la configuration guidée**.

1. À l'**étape 1, *facultatif* : configurez les mappages d'attributs, passez en revue les mappages** d'attributs par défaut pour les utilisateurs et les groupes. Si aucune modification n'est requise, choisissez **Next**. Si des modifications sont nécessaires, apportez-les, puis choisissez **Enregistrer les modifications**.

1. À **l'étape 2, *facultatif* : configurer l'étendue de la synchronisation**, cliquez sur l'onglet **Utilisateurs**. Entrez ensuite le nom d'utilisateur exact de l'utilisateur que vous souhaitez ajouter à votre étendue de synchronisation et choisissez **Ajouter**. Ensuite, choisissez l'onglet **Groupes**. Entrez le nom exact du groupe que vous souhaitez ajouter à votre étendue de synchronisation et choisissez **Ajouter**. Ensuite, choisissez **Suivant**. Si vous souhaitez ajouter des utilisateurs et des groupes à votre zone de synchronisation ultérieurement, n'apportez aucune modification et choisissez **Next**.

1. Dans **Étape 3 : Vérifiez et enregistrez la configuration**, confirmez vos **mappages d'attributs** dans **Étape 1 : Mappages d'attributs** et vos **utilisateurs et groupes** dans **Étape 2 : Étendue de synchronisation**. Choisissez **Save configuration**. Cela vous amène à la page **Gérer la synchronisation**.

# Ajoutez des utilisateurs et des groupes à votre zone de synchronisation
<a name="manage-sync-add-users-groups-configurable-ADsync"></a>

**Note**  
Lorsque vous ajoutez des groupes à votre zone de synchronisation, synchronisez les groupes directement à partir du domaine local approuvé plutôt qu'à partir des groupes du AWS Managed Microsoft AD domaine. Les groupes synchronisés directement depuis le domaine sécurisé contiennent des objets utilisateur réels auxquels IAM Identity Center peut accéder et synchroniser avec succès.

 Ajoutez vos utilisateurs et groupes Active Directory à IAM Identity Center en suivant ces étapes. 

**Pour ajouter des utilisateurs**

1. Ouvrez la [console IAM Identity Center](https://console.aws.amazon.com/singlesignon).

1. Sélectionnez **Paramètres**.

1. Sur la page **Paramètres**, choisissez l'onglet **Source d'identité**, sélectionnez **Actions**, puis sélectionnez **Gérer la synchronisation**.

1. Sur la page **Gérer la synchronisation**, choisissez l'onglet **Utilisateurs**, puis sélectionnez **Ajouter des utilisateurs et des groupes**.

1. Dans l'onglet **Utilisateurs**, sous **Utilisateur**, entrez le nom d'utilisateur exact et choisissez **Ajouter**.

1. Sous **Utilisateurs et groupes ajoutés**, passez en revue l'utilisateur que vous souhaitez ajouter.

1. Sélectionnez **Soumettre**.

1. Dans le panneau de navigation, choisissez **utilisateurs**. Si l'utilisateur que vous avez spécifié n'apparaît pas dans la liste, cliquez sur l'icône d'actualisation pour mettre à jour la liste des utilisateurs. 

**Pour ajouter des groupes**

1. Ouvrez la [console IAM Identity Center](https://console.aws.amazon.com/singlesignon).

1. Sélectionnez **Paramètres**.

1. Sur la page **Paramètres**, choisissez l'onglet **Source d'identité**, sélectionnez **Actions**, puis sélectionnez **Gérer la synchronisation**.

1. Sur la page **Gérer la synchronisation**, choisissez l'onglet **Groupes**, puis sélectionnez **Ajouter des utilisateurs et des groupes**.

1. Cliquez sur l'onglet **Groups (Groupes)**. Sous **Groupe**, entrez le nom exact du groupe et choisissez **Ajouter**.

1. Sous **Utilisateurs et groupes ajoutés**, passez en revue le groupe que vous souhaitez ajouter.

1. Sélectionnez **Soumettre**.

1. Dans le panneau de navigation, choisissez **Groupes **. Si le groupe que vous avez spécifié n'apparaît pas dans la liste, cliquez sur l'icône d'actualisation pour mettre à jour la liste des groupes. 

# Supprimer des utilisateurs et des groupes de votre zone de synchronisation
<a name="manage-sync-remove-users-groups-configurable-ADsync"></a>

Pour plus d'informations sur ce qui se passe lorsque vous supprimez des utilisateurs et des groupes de votre zone de synchronisation, consultez[Comment fonctionne la synchronisation AD configurable](how-it-works-configurable-ADsync.md).

**Pour supprimer des utilisateurs**

1. Ouvrez la [console IAM Identity Center](https://console.aws.amazon.com/singlesignon).

1. Sélectionnez **Paramètres**.

1. Sur la page **Paramètres**, choisissez l'onglet **Source d'identité**, sélectionnez **Actions**, puis sélectionnez **Gérer la synchronisation**.

1. Sélectionnez l’onglet **Utilisateurs**.

1. Sous **Utilisateurs synchronisés,** cochez la case à côté de l'utilisateur que vous souhaitez supprimer. Pour supprimer tous les utilisateurs, cochez la case à côté de **Nom d'utilisateur**.

1. Cliquez sur **Supprimer**.

**Pour supprimer des groupes**

1. Ouvrez la [console IAM Identity Center](https://console.aws.amazon.com/singlesignon).

1. Sélectionnez **Paramètres**.

1. Sur la page **Paramètres**, choisissez l'onglet **Source d'identité**, sélectionnez **Actions**, puis sélectionnez **Gérer la synchronisation**.

1. Cliquez sur l'onglet **Groups (Groupes)**.

1. Sous **Groupes dans l'étendue de synchronisation**, cochez la case à côté de l'utilisateur que vous souhaitez supprimer. Pour supprimer tous les groupes, cochez la case à côté **du nom du groupe**.

1. Cliquez sur **Supprimer**.

# Pause et reprise de la synchronisation
<a name="manage-sync-pause-resume-sync-configurable-ADsync"></a>

La suspension de votre synchronisation interrompt tous les futurs cycles de synchronisation et empêche que les modifications que vous apportez aux utilisateurs et aux groupes dans Active Directory ne soient reflétées dans IAM Identity Center. Lorsque vous reprenez la synchronisation, le cycle de synchronisation prend en compte ces modifications lors de la prochaine synchronisation planifiée.

**Pour suspendre votre synchronisation**

1. Ouvrez la [console IAM Identity Center](https://console.aws.amazon.com/singlesignon).

1. Sélectionnez **Paramètres**.

1. Sur la page **Paramètres**, choisissez l'onglet **Source d'identité**, sélectionnez **Actions**, puis sélectionnez **Gérer la synchronisation**.

1. Sous **Gérer la synchronisation**, choisissez **Suspendre la synchronisation**.

**Pour reprendre votre synchronisation**

1. Ouvrez la [console IAM Identity Center](https://console.aws.amazon.com/singlesignon).

1. Sélectionnez **Paramètres**.

1. Sur la page **Paramètres**, choisissez l'onglet **Source d'identité**, sélectionnez **Actions**, puis sélectionnez **Gérer la synchronisation**.

1. Sous **Gérer la synchronisation**, choisissez **Reprendre la synchronisation**.
**Note**  
Si vous voyez **Suspendre la synchronisation** au lieu de **Reprendre la synchronisation**, la synchronisation entre Active Directory et IAM Identity Center a déjà repris.

# Automatisez votre configuration de synchronisation pour une synchronisation AD configurable
<a name="automate-sync-configuration-configurable-ADsync"></a>

Pour garantir que votre flux de travail automatisé fonctionne comme prévu avec la synchronisation AD configurable, nous vous recommandons de suivre les étapes suivantes pour automatiser la configuration de votre synchronisation.

**Pour automatiser votre configuration de synchronisation pour une synchronisation AD configurable**

1. Dans Active Directory, créez un *groupe de synchronisation parent* contenant tous les utilisateurs et groupes que vous souhaitez synchroniser dans IAM Identity Center. Par exemple, vous pouvez donner un nom au groupe *IAMIdentityCenterAllUsersAndGroups*.

1. Dans IAM Identity Center, ajoutez le groupe de synchronisation parent à votre liste de synchronisation configurable. IAM Identity Center synchronisera tous les utilisateurs, groupes, sous-groupes et membres de tous les groupes contenus dans le groupe de synchronisation parent.

1. Utilisez les actions de l'API de gestion des utilisateurs et des groupes Active Directory fournies par Microsoft pour ajouter ou supprimer des utilisateurs et des groupes du groupe de synchronisation parent.