Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
# Synchronisation AD configurable par IAM Identity Center
La synchronisation Active Directory (AD) configurable par IAM Identity Center vous permet de configurer explicitement les identités dans Microsoft Active Directory qui sont automatiquement synchronisées dans IAM Identity Center et de contrôler le processus de synchronisation.
+ Avec cette méthode de synchronisation, vous pouvez effectuer les opérations suivantes :
+ Contrôlez les limites des données en définissant explicitement les utilisateurs et les groupes dans Microsoft Active Directory qui sont automatiquement synchronisés dans IAM Identity Center. Vous pouvez [ajouter des utilisateurs et des groupes](manage-sync-add-users-groups-configurable-ADsync.md) ou [supprimer des utilisateurs et des groupes](manage-sync-remove-users-groups-configurable-ADsync.md) pour modifier l'étendue de la synchronisation à tout moment.
+ Attribuez aux utilisateurs et aux groupes synchronisés un [accès](useraccess.md) par authentification unique Comptes AWS ou un [accès aux applications](assignuserstoapp.md). Les applications peuvent être des applications AWS gérées ou des applications gérées par le client.
+ Contrôlez le processus de synchronisation en [interrompant et en reprenant la synchronisation selon les besoins](manage-sync-pause-resume-sync-configurable-ADsync.md). Cela vous permet de réguler la charge sur les systèmes de production.
## Prérequis et considérations
Avant d'utiliser la synchronisation AD configurable, tenez compte des conditions préalables et des considérations suivantes :
+ **Spécification des utilisateurs et des groupes à synchroniser dans Active Directory**
Avant de pouvoir utiliser IAM Identity Center pour attribuer à de nouveaux utilisateurs et groupes l'accès à Comptes AWS des applications AWS gérées ou à des applications gérées par le client, vous devez spécifier les utilisateurs et les groupes à synchroniser dans Active Directory, puis les synchroniser dans IAM Identity Center.
+ **Synchronisation AD configurable** : IAM Identity Center ne recherche pas directement les utilisateurs et les groupes dans votre contrôleur de domaine. Au lieu de cela, vous devez d'abord spécifier la liste des utilisateurs et des groupes à synchroniser. Vous pouvez configurer cette liste, également appelée *étendue de synchronisation*, de l'une des manières suivantes, selon que vous avez des utilisateurs et des groupes déjà synchronisés dans IAM Identity Center ou que vous avez de nouveaux utilisateurs et groupes que vous synchronisez pour la première fois à l'aide de la synchronisation AD configurable.
+ Utilisateurs et groupes existants : si certains de vos utilisateurs et groupes sont déjà synchronisés dans IAM Identity Center, l'étendue de synchronisation dans la synchronisation AD configurable est préremplie avec une liste de ces utilisateurs et groupes. Pour attribuer de nouveaux utilisateurs ou groupes, vous devez les ajouter spécifiquement à la zone de synchronisation. Pour de plus amples informations, veuillez consulter [Ajoutez des utilisateurs et des groupes à votre zone de synchronisation](manage-sync-add-users-groups-configurable-ADsync.md).
+ Nouveaux utilisateurs et groupes : si vous souhaitez attribuer à de nouveaux utilisateurs et groupes l'accès aux Comptes AWS applications, vous devez spécifier les utilisateurs et les groupes à ajouter à l'étendue de synchronisation dans AD Sync configurable avant de pouvoir utiliser IAM Identity Center pour effectuer l'attribution. Pour de plus amples informations, veuillez consulter [Ajoutez des utilisateurs et des groupes à votre zone de synchronisation](manage-sync-add-users-groups-configurable-ADsync.md).
+ **Attribuer des attributions à des groupes imbriqués dans Active Directory**
Les groupes membres d'autres groupes sont appelés groupes *imbriqués (ou groupes* d'enfants).
+ **Synchronisation AD configurable** : l'utilisation de la synchronisation AD configurable pour attribuer des attributions à un groupe dans Active Directory contenant des groupes imbriqués peut augmenter le nombre d'utilisateurs ayant accès aux applications Comptes AWS ou à celles-ci. Dans ce cas, l'attribution s'applique à tous les utilisateurs, y compris ceux des groupes imbriqués. Par exemple, si vous accordez l'accès au groupe A et que le groupe B est membre du groupe A, les membres du groupe B héritent également de cet accès.
+ **Mise à jour des workflows automatisés**
Si vous avez des flux de travail automatisés qui utilisent les actions de l'API du magasin d'identités IAM Identity Center et les actions de l'API d'attribution d'IAM Identity Center pour attribuer aux nouveaux utilisateurs et groupes l'accès aux comptes et aux applications, et pour les synchroniser dans IAM Identity Center, vous devez ajuster ces flux de travail avant le 15 avril 2022 afin qu'ils fonctionnent comme prévu avec la synchronisation AD configurable. La synchronisation AD configurable modifie l'ordre dans lequel l'attribution et le provisionnement des utilisateurs et des groupes ont lieu, ainsi que la manière dont les requêtes sont effectuées.
+ **Synchronisation AD configurable** : le provisionnement a lieu en premier et n'est pas effectué automatiquement. Au lieu de cela, vous devez d'abord ajouter explicitement des utilisateurs et des groupes au magasin d'identités en les ajoutant à votre étendue de synchronisation. Pour plus d'informations sur les étapes recommandées pour automatiser votre configuration de synchronisation pour une synchronisation AD configurable, consultez[Automatisez votre configuration de synchronisation pour une synchronisation AD configurable](automate-sync-configuration-configurable-ADsync.md).
**Topics**
+ [Prérequis et considérations](#prerequisites-configurable-ADsync)
+ [Comment fonctionne la synchronisation AD configurable](how-it-works-configurable-ADsync.md)
+ [Configurez les mappages d'attributs pour votre synchronisation](manage-sync-configure-attribute-mapping-configurable-ADsync.md)
+ [Configuration de la première synchronisation entre Active Directory et IAM Identity Center](manage-sync-configurable-ADsync.md)
+ [Ajoutez des utilisateurs et des groupes à votre zone de synchronisation](manage-sync-add-users-groups-configurable-ADsync.md)
+ [Supprimer des utilisateurs et des groupes de votre zone de synchronisation](manage-sync-remove-users-groups-configurable-ADsync.md)
+ [Pause et reprise de la synchronisation](manage-sync-pause-resume-sync-configurable-ADsync.md)
+ [Automatisez votre configuration de synchronisation pour une synchronisation AD configurable](automate-sync-configuration-configurable-ADsync.md)
# Comment fonctionne la synchronisation AD configurable
IAM Identity Center actualise les données d'identité basées sur la publicité dans le magasin d'identités en utilisant le processus suivant. Pour en savoir plus sur les prérequis, consultez[Prérequis et considérations](provision-users-from-ad-configurable-ADsync.md#prerequisites-configurable-ADsync).
## Création
Après avoir connecté votre annuaire autogéré dans Active Directory ou votre AWS Managed Microsoft AD annuaire géré par Directory Service IAM Identity Center, vous pouvez configurer de manière explicite les utilisateurs et les groupes Active Directory que vous souhaitez synchroniser dans le magasin d'identités IAM Identity Center. Les identités que vous choisissez seront synchronisées toutes les trois heures environ dans le magasin d'identités IAM Identity Center. Selon la taille de votre répertoire, le processus de synchronisation peut prendre plus de temps.
Les groupes membres d'autres groupes (appelés groupes *imbriqués ou groupes* *enfants*) sont également enregistrés dans le magasin d'identités.
Vous ne pouvez attribuer l'accès à de nouveaux utilisateurs ou groupes qu'après leur synchronisation dans la banque d'identités IAM Identity Center.
## Mettre à jour
Les données d'identité de la banque d'identités d'IAM Identity Center restent actualisées en lisant régulièrement les données du répertoire source dans Active Directory. IAM Identity Center synchronise les données de votre Active Directory toutes les heures selon un cycle de synchronisation par défaut. La synchronisation des données dans IAM Identity Center peut prendre entre 30 minutes et 2 heures, en fonction de la taille de votre Active Directory.
Les objets d'utilisateur et de groupe inclus dans la zone de synchronisation et leurs appartenances sont créés ou mis à jour dans IAM Identity Center pour être mappés aux objets correspondants dans le répertoire source d'Active Directory. Pour les attributs utilisateur, seul le sous-ensemble d'attributs répertorié dans la section **Attributs pour le contrôle d'accès** de la console IAM Identity Center est mis à jour dans IAM Identity Center. Un cycle de synchronisation peut être nécessaire pour que les mises à jour d'attributs que vous effectuez dans Active Directory soient répercutées dans IAM Identity Center.
Vous pouvez également mettre à jour le sous-ensemble d'utilisateurs et de groupes que vous synchronisez dans la banque d'identités IAM Identity Center. Vous pouvez choisir d'ajouter de nouveaux utilisateurs ou groupes à ce sous-ensemble ou de les supprimer. Toutes les identités que vous ajoutez sont synchronisées lors de la prochaine synchronisation planifiée. Les identités que vous supprimez du sous-ensemble ne seront plus mises à jour dans la banque d'identités IAM Identity Center. Tout utilisateur qui n'est pas synchronisé pendant plus de 28 jours sera désactivé dans la banque d'identités IAM Identity Center. Les objets utilisateur correspondants seront automatiquement désactivés dans la banque d'identités IAM Identity Center lors du prochain cycle de synchronisation, sauf s'ils font partie d'un autre groupe qui fait toujours partie de la zone de synchronisation.
## Suppression
Les utilisateurs et les groupes sont supprimés de la banque d'identités IAM Identity Center lorsque les objets d'utilisateur ou de groupe correspondants sont supprimés du répertoire source dans Active Directory. Vous pouvez également supprimer explicitement des objets utilisateur de la banque d'identités IAM Identity Center à l'aide de la console IAM Identity Center. Si vous utilisez la console IAM Identity Center, vous devez également supprimer les utilisateurs de la zone de synchronisation afin de vous assurer qu'ils ne seront pas resynchronisés dans IAM Identity Center lors du prochain cycle de synchronisation.
Vous pouvez également suspendre et relancer la synchronisation à tout moment. Si vous suspendez la synchronisation pendant plus de 28 jours, tous vos utilisateurs seront désactivés.
# Configurez les mappages d'attributs pour votre synchronisation
Pour plus d'informations sur les attributs disponibles, consultez[Mappages d'attributs entre le centre d'identité IAM et le répertoire des fournisseurs d'identité externes](attributemappingsconcept.md).
**Pour configurer les mappages d'attributs dans IAM Identity Center avec votre annuaire**
1. Ouvrez la [console IAM Identity Center](https://console.aws.amazon.com/singlesignon).
1. Sélectionnez **Paramètres**.
1. Sur la page **Paramètres**, choisissez l'onglet **Source d'identité**, sélectionnez **Actions**, puis sélectionnez **Gérer la synchronisation**.
1. Sous **Gérer la synchronisation**, choisissez **Afficher le mappage des attributs**.
1. Sous **Attributs utilisateur Active Directory, configurez les attributs** du **magasin d'identités IAM Identity Center et les attributs** **utilisateur Active Directory**. Par exemple, vous souhaiterez peut-être mapper l'attribut de banque d'identités IAM Identity Center `email` à l'attribut d'annuaire des utilisateurs Active Directory. `${objectguid}`
**Note**
Sous Attributs de **groupe, les attributs** de **banque d'identités IAM Identity Center et les attributs** de **groupe Active Directory** ne peuvent pas être modifiés.
1. Sélectionnez **Enregistrer les modifications**. Cela vous ramène à la page **Gérer la synchronisation**.
# Configuration de la première synchronisation entre Active Directory et IAM Identity Center
Si vous synchronisez vos utilisateurs et groupes depuis Active Directory vers IAM Identity Center pour la première fois, procédez comme suit. Vous pouvez également suivre les étapes décrites dans la section [Modifier la source de votre identité](manage-your-identity-source-change.md) pour modifier votre source d'identité d'IAM Identity Center à Active Directory.
## Configuration guidée
1. Ouvrez la [console IAM Identity Center](https://console.aws.amazon.com/singlesignon).
**Note**
Assurez-vous que la console IAM Identity Center utilise l'un des emplacements Régions AWS où se trouve votre AWS Managed Microsoft AD répertoire avant de passer à l'étape suivante.
1. Cliquez sur **Paramètres**.
1. En haut de la page, dans le message de notification, choisissez **Démarrer la configuration guidée**.
1. À l'**étape 1, *facultatif* : configurez les mappages d'attributs, passez en revue les mappages** d'attributs par défaut pour les utilisateurs et les groupes. Si aucune modification n'est requise, choisissez **Next**. Si des modifications sont nécessaires, apportez-les, puis choisissez **Enregistrer les modifications**.
1. À **l'étape 2, *facultatif* : configurer l'étendue de la synchronisation**, cliquez sur l'onglet **Utilisateurs**. Entrez ensuite le nom d'utilisateur exact de l'utilisateur que vous souhaitez ajouter à votre étendue de synchronisation et choisissez **Ajouter**. Ensuite, choisissez l'onglet **Groupes**. Entrez le nom exact du groupe que vous souhaitez ajouter à votre étendue de synchronisation et choisissez **Ajouter**. Ensuite, choisissez **Suivant**. Si vous souhaitez ajouter des utilisateurs et des groupes à votre zone de synchronisation ultérieurement, n'apportez aucune modification et choisissez **Next**.
1. Dans **Étape 3 : Vérifiez et enregistrez la configuration**, confirmez vos **mappages d'attributs** dans **Étape 1 : Mappages d'attributs** et vos **utilisateurs et groupes** dans **Étape 2 : Étendue de synchronisation**. Choisissez **Save configuration**. Cela vous amène à la page **Gérer la synchronisation**.
# Ajoutez des utilisateurs et des groupes à votre zone de synchronisation
**Note**
Lorsque vous ajoutez des groupes à votre zone de synchronisation, synchronisez les groupes directement à partir du domaine local approuvé plutôt qu'à partir des groupes du AWS Managed Microsoft AD domaine. Les groupes synchronisés directement depuis le domaine sécurisé contiennent des objets utilisateur réels auxquels IAM Identity Center peut accéder et synchroniser avec succès.
Ajoutez vos utilisateurs et groupes Active Directory à IAM Identity Center en suivant ces étapes.
**Pour ajouter des utilisateurs**
1. Ouvrez la [console IAM Identity Center](https://console.aws.amazon.com/singlesignon).
1. Sélectionnez **Paramètres**.
1. Sur la page **Paramètres**, choisissez l'onglet **Source d'identité**, sélectionnez **Actions**, puis sélectionnez **Gérer la synchronisation**.
1. Sur la page **Gérer la synchronisation**, choisissez l'onglet **Utilisateurs**, puis sélectionnez **Ajouter des utilisateurs et des groupes**.
1. Dans l'onglet **Utilisateurs**, sous **Utilisateur**, entrez le nom d'utilisateur exact et choisissez **Ajouter**.
1. Sous **Utilisateurs et groupes ajoutés**, passez en revue l'utilisateur que vous souhaitez ajouter.
1. Sélectionnez **Soumettre**.
1. Dans le panneau de navigation, choisissez **utilisateurs**. Si l'utilisateur que vous avez spécifié n'apparaît pas dans la liste, cliquez sur l'icône d'actualisation pour mettre à jour la liste des utilisateurs.
**Pour ajouter des groupes**
1. Ouvrez la [console IAM Identity Center](https://console.aws.amazon.com/singlesignon).
1. Sélectionnez **Paramètres**.
1. Sur la page **Paramètres**, choisissez l'onglet **Source d'identité**, sélectionnez **Actions**, puis sélectionnez **Gérer la synchronisation**.
1. Sur la page **Gérer la synchronisation**, choisissez l'onglet **Groupes**, puis sélectionnez **Ajouter des utilisateurs et des groupes**.
1. Cliquez sur l'onglet **Groups (Groupes)**. Sous **Groupe**, entrez le nom exact du groupe et choisissez **Ajouter**.
1. Sous **Utilisateurs et groupes ajoutés**, passez en revue le groupe que vous souhaitez ajouter.
1. Sélectionnez **Soumettre**.
1. Dans le panneau de navigation, choisissez **Groupes **. Si le groupe que vous avez spécifié n'apparaît pas dans la liste, cliquez sur l'icône d'actualisation pour mettre à jour la liste des groupes.
# Supprimer des utilisateurs et des groupes de votre zone de synchronisation
Pour plus d'informations sur ce qui se passe lorsque vous supprimez des utilisateurs et des groupes de votre zone de synchronisation, consultez[Comment fonctionne la synchronisation AD configurable](how-it-works-configurable-ADsync.md).
**Pour supprimer des utilisateurs**
1. Ouvrez la [console IAM Identity Center](https://console.aws.amazon.com/singlesignon).
1. Sélectionnez **Paramètres**.
1. Sur la page **Paramètres**, choisissez l'onglet **Source d'identité**, sélectionnez **Actions**, puis sélectionnez **Gérer la synchronisation**.
1. Sélectionnez l’onglet **Utilisateurs**.
1. Sous **Utilisateurs synchronisés,** cochez la case à côté de l'utilisateur que vous souhaitez supprimer. Pour supprimer tous les utilisateurs, cochez la case à côté de **Nom d'utilisateur**.
1. Cliquez sur **Supprimer**.
**Pour supprimer des groupes**
1. Ouvrez la [console IAM Identity Center](https://console.aws.amazon.com/singlesignon).
1. Sélectionnez **Paramètres**.
1. Sur la page **Paramètres**, choisissez l'onglet **Source d'identité**, sélectionnez **Actions**, puis sélectionnez **Gérer la synchronisation**.
1. Cliquez sur l'onglet **Groups (Groupes)**.
1. Sous **Groupes dans l'étendue de synchronisation**, cochez la case à côté de l'utilisateur que vous souhaitez supprimer. Pour supprimer tous les groupes, cochez la case à côté **du nom du groupe**.
1. Cliquez sur **Supprimer**.
# Pause et reprise de la synchronisation
La suspension de votre synchronisation interrompt tous les futurs cycles de synchronisation et empêche que les modifications que vous apportez aux utilisateurs et aux groupes dans Active Directory ne soient reflétées dans IAM Identity Center. Lorsque vous reprenez la synchronisation, le cycle de synchronisation prend en compte ces modifications lors de la prochaine synchronisation planifiée.
**Pour suspendre votre synchronisation**
1. Ouvrez la [console IAM Identity Center](https://console.aws.amazon.com/singlesignon).
1. Sélectionnez **Paramètres**.
1. Sur la page **Paramètres**, choisissez l'onglet **Source d'identité**, sélectionnez **Actions**, puis sélectionnez **Gérer la synchronisation**.
1. Sous **Gérer la synchronisation**, choisissez **Suspendre la synchronisation**.
**Pour reprendre votre synchronisation**
1. Ouvrez la [console IAM Identity Center](https://console.aws.amazon.com/singlesignon).
1. Sélectionnez **Paramètres**.
1. Sur la page **Paramètres**, choisissez l'onglet **Source d'identité**, sélectionnez **Actions**, puis sélectionnez **Gérer la synchronisation**.
1. Sous **Gérer la synchronisation**, choisissez **Reprendre la synchronisation**.
**Note**
Si vous voyez **Suspendre la synchronisation** au lieu de **Reprendre la synchronisation**, la synchronisation entre Active Directory et IAM Identity Center a déjà repris.
# Automatisez votre configuration de synchronisation pour une synchronisation AD configurable
Pour garantir que votre flux de travail automatisé fonctionne comme prévu avec la synchronisation AD configurable, nous vous recommandons de suivre les étapes suivantes pour automatiser la configuration de votre synchronisation.
**Pour automatiser votre configuration de synchronisation pour une synchronisation AD configurable**
1. Dans Active Directory, créez un *groupe de synchronisation parent* contenant tous les utilisateurs et groupes que vous souhaitez synchroniser dans IAM Identity Center. Par exemple, vous pouvez donner un nom au groupe *IAMIdentityCenterAllUsersAndGroups*.
1. Dans IAM Identity Center, ajoutez le groupe de synchronisation parent à votre liste de synchronisation configurable. IAM Identity Center synchronisera tous les utilisateurs, groupes, sous-groupes et membres de tous les groupes contenus dans le groupe de synchronisation parent.
1. Utilisez les actions de l'API de gestion des utilisateurs et des groupes Active Directory fournies par Microsoft pour ajouter ou supprimer des utilisateurs et des groupes du groupe de synchronisation parent.