翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。
# 設定可能な AD 同期の仕組み
IAM Identity Center は、以下のプロセスで ID ストアの AD ベースの ID データをリフレッシュします。前提条件の詳細については、「[前提条件と考慮事項](provision-users-from-ad-configurable-ADsync.md#prerequisites-configurable-ADsync)」を参照してください。
## 作成
Active Directory のセルフマネージドディレクトリまたは AWS Managed Microsoft AD によって管理されているディレクトリ Directory Service を IAM Identity Center に接続したら、IAM Identity Center アイデンティティストアに同期する Active Directory ユーザーとグループを明示的に設定できます。選択した ID は、3 時間ごとに IAM Identity Center の ID ストアに同期されます。ディレクトリのサイズによっては、同期処理に時間がかかる場合があります。
割り当てられたグループのメンバーであるグループ (*ネストされたグループ*または*子グループ*と呼ばれる) も、ID ストアに書き込まれます。
新しいユーザーまたはグループが IAM Identity Center アイデンティティストアと同期された後にのみ、アクセス権を割り当てることができます。
## 更新
IAM Identity Center ID ストアの ID データは、Active Directory のソース ディレクトリから定期的にデータを読み込むことで、常にリフレッシュされた状態を保たれます。IAM アイデンティティセンターは、デフォルトでは 1 時間ごとの同期サイクルでお使いの Active Directory との間でデータを同期します。Active Directory のサイズによっては、データが IAM アイデンティティセンターに同期されるまでに 30 分から 2 時間かかる場合があります。
同期スコープにあるユーザーとグループのオブジェクトとそのメンバーシップは、IAM Identity Center で作成または更新され、Active Directory のソースディレクトリの対応するオブジェクトにマッピングされます。ユーザー属性については、IAM Identity Center コンソールの「**アクセス制御用の属性**」セクションにリストされている属性のサブセットのみが IAM Identity Center で更新されます。Active Directory で行った属性の更新が IAM アイデンティティセンターに反映されるには、1 回の同期サイクルが必要な場合があります。
IAM Identity Center ID ストアに同期するユーザーとグループのサブセットを更新することもできます。このサブセットに新しいユーザーまたはグループを追加するか、削除するかを選択できます。追加した ID は、次回の定期同期時に同期されます。サブセットから削除した ID は、IAM Identity Center ID ストアで更新されなくなります。28 日以上同期されていないユーザーは、IAM Identity Center ID ストアで無効になります。対応するユーザーオブジェクトは、同期スコープにまだ含まれている別のグループに属していない限り、次回の同期サイクル時に IAM Identity Center ID ストアで自動的に無効になります。
## 削除
対応するユーザーまたはグループオブジェクトが Active Directory のソース ディレクトリから削除されると、ユーザーとグループは IAM Identity Center ID ストアから削除されます。または、IAM Identity Center コンソールを使用して IAM Identity Center ID ストアからユーザーオブジェクトを明示的に削除することもできます。IAM Identity Center コンソールを使用する場合は、次回の同期サイクル中に IAM Identity Center に再同期されないように、同期スコープからユーザーを削除する必要もあります。
同期をいつでも一時停止と再開することもできます。28 日以上同期を一時停止すると、すべてのユーザーが無効になります。