As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.
# Diretório Microsoft AD
Com Centro de Identidade do AWS IAM, você pode conectar um diretório autogerenciado no Active Directory (AD) ou um diretório AWS Managed Microsoft AD usando AWS Directory Service. Esse diretório do Microsoft AD define o grupo de identidades que os administradores podem extrair ao usar o console do IAM Identity Center para atribuir acesso de logon único. Depois de conectar seu diretório corporativo ao IAM Identity Center, você pode conceder aos usuários ou grupos do AD acesso a Contas da AWS aplicativos ou ambos.
AWS Directory Service ajuda você a configurar e executar um AWS Managed Microsoft AD diretório autônomo hospedado no Nuvem AWS. Você também pode usar Directory Service para conectar seus AWS recursos a um AD autogerenciado existente. Para configurar AWS Directory Service para funcionar com seu AD autogerenciado, você deve primeiro configurar relações de confiança para estender a autenticação para a nuvem.
O IAM Identity Center usa a conexão fornecida por Directory Service para realizar a autenticação de passagem para a instância de origem do AD. Quando você usa AWS Managed Microsoft AD como fonte de identidade, o IAM Identity Center pode trabalhar com usuários de AWS Managed Microsoft AD ou de qualquer domínio conectado por meio de uma confiança do AD. Se você quiser localizar seus usuários em quatro ou mais domínios, os usuários devem usar a sintaxe `DOMAIN\user` como nome de usuário ao realizar logins no IAM Identity Center.
**Observações**
Como etapa de pré-requisito, certifique-se de que seu AD Connector ou diretório in Directory Service resida AWS Managed Microsoft AD em sua AWS Organizations conta de gerenciamento.
O IAM Identity Center não é compatível SAMBA 4-based Simple AD como diretório conectado.
O IAM Identity Center não pode sincronizar entidades de segurança estrangeiras ()FSPs. Se um grupo AWS Managed Microsoft AD contiver membros de um domínio confiável como FSPs, esses membros não serão sincronizados.
Para uma demonstração do processo de uso do Active Directory como fonte de identidade para o IAM Identity Center, assista ao seguinte vídeo YouTube:
[](http://www.youtube.com/watch?v=https://www.youtube.com/embed/OMbob_ef7J4?si=J23xw0EGkZOo8y9n)
## Considerações sobre o uso do Active Directory
Se você quiser usar o Active Directory como sua fonte de identidade, sua configuração deve atender aos seguintes pré-requisitos:
+ Se você estiver usando AWS Managed Microsoft AD, deverá habilitar o IAM Identity Center no mesmo Região da AWS local em que seu AWS Managed Microsoft AD diretório está configurado. O IAM Identity Center armazena os dados de atribuição na mesma região do diretório. Para administrar o IAM Identity Center, talvez seja necessário mudar para a região em que o IAM Identity Center está configurado. Além disso, observe que o portal de AWS acesso usa a mesma URL de acesso do seu diretório.
+ Use um Active Directory residente na conta de gerenciamento:
Você deve ter um AD Connector ou AWS Managed Microsoft AD diretório existente configurado e ele deve residir em sua conta AWS Organizations de gerenciamento. AWS Directory Service Você pode conectar somente um diretório do AD Connector ou um diretório por AWS Managed Microsoft AD vez. Se você precisar oferecer suporte a vários domínios ou florestas, use AWS Managed Microsoft AD. Para obter mais informações, consulte:
+ [Conecte um diretório AWS Managed Microsoft AD ao IAM Identity Center](connectawsad.md)
+ [Conecte um diretório autogerenciado no Active Directory ao IAM Identity Center](connectonpremad.md)
+ Use um Active Directory residente na conta de administrador delegado:
Se você planeja habilitar o administrador delegado do IAM Identity Center e usar o Active Directory como sua fonte de identidade do IAM Identity Center, você pode usar um AD Connector ou AWS Managed Microsoft AD diretório existente configurado no AWS Diretório que reside na conta de administrador delegado.
Se você decidir alterar a fonte de identidade do IAM Identity Center de qualquer outra fonte para o Active Directory ou alterá-la do Active Directory para qualquer outra fonte, o diretório deverá residir (pertencer à) conta de membro do administrador delegado do IAM Identity Center, se houver; caso contrário, deverá estar na conta de gerenciamento.
# Conectar o Active Directory e especificar um usuário
Se já estiver usando o Active Directory, os tópicos a seguir ajudarão você a conectar o diretório ao IAM Identity Center.
Você pode conectar um AWS Managed Microsoft AD diretório ou um diretório autogerenciado no Active Directory com o IAM Identity Center.
**nota**
O IAM Identity Center não oferece suporte ao Simple AD SAMBA4 baseado como fonte de identidade.
**AWS Managed Microsoft AD**
1. Revise as orientações em [Diretório Microsoft AD](manage-your-identity-source-ad.md).
1. Siga as etapas em [Conecte um diretório AWS Managed Microsoft AD ao IAM Identity Center](connectawsad.md).
1. Configure o Active Directory para sincronizar o usuário ao qual você deseja conceder permissões administrativas no IAM Identity Center. Para obter mais informações, consulte [Sincronizar um usuário administrativo para o IAM Identity Center](#sync-admin-user-from-ad).
**Diretório autogerenciado no Active Directory**
1. Revise as orientações em [Diretório Microsoft AD](manage-your-identity-source-ad.md).
1. Siga as etapas em [Conecte um diretório autogerenciado no Active Directory ao IAM Identity Center](connectonpremad.md).
1. Configure o Active Directory para sincronizar o usuário ao qual você deseja conceder permissões administrativas no IAM Identity Center. Para obter mais informações, consulte [Sincronizar um usuário administrativo para o IAM Identity Center](#sync-admin-user-from-ad).
**IdP externo**
1. Revise as orientações em [Provedores de identidades externos](manage-your-identity-source-idp.md).
1. Siga as etapas em [Como se conectar a um provedor de identidades externo](how-to-connect-idp.md).
1.
Configure seu IdP para provisionar usuários no IAM Identity Center.
**nota**
Antes de configurar o provisionamento automático baseado em grupos de todas as identidades da sua força de trabalho do seu IdP no IAM Identity Center, recomendamos que você sincronize o usuário ao qual deseja conceder permissões administrativas no IAM Identity Center.
## Sincronizar um usuário administrativo para o IAM Identity Center
Após conectar o Active Directory ao IAM Identity Center, você pode especificar um usuário ao qual deseja conceder permissões administrativas e, em seguida, sincronizar esse usuário do diretório com o IAM Identity Center.
1. Abra o [console do IAM Identity Center](https://console.aws.amazon.com/singlesignon).
1. Escolha **Settings**.
1. Na página **Configurações**, escolha a guia **Identity source**, escolha **Actions** e, em seguida, escolha **Manage Sync**.
1. Na página **Manage Sync**, escolha a guia **Usuários** e **Adicionar usuários e grupos**.
1. Na guia **User**, em **User**, insira o nome de usuário exato e escolha **Adicionar**.
1. Em **Usuários e grupos adicionados**, faça o seguinte:
1. Confirme se o usuário para o qual você deseja conceder permissões administrativas foi especificado.
1. Marque a caixa de seleção à esquerda do nome do usuário.
1. Selecione **Enviar**.
1. Na página **Gerenciar sincronização**, o usuário que você especificou aparece na lista **Usuários no escopo de sincronização**.
1. No painel de navegação, escolha **Users**.
1. Na página **Usuários**, pode levar algum tempo para que o usuário que você especificou apareça na lista. Escolha o ícone de atualização para atualizar a lista de usuários.
Neste momento, seu usuário não tem acesso à conta de gerenciamento. Você configurará o acesso administrativo a essa conta criando um conjunto de permissões administrativas e atribuindo o usuário a esse conjunto de permissões. Para obter mais informações, consulte [Crie um conjunto de permissões](howtocreatepermissionset.md).
## Provisioning when users come from Active Directory.
O IAM Identity Center usa a conexão fornecida pelo Directory Service para sincronizar informações de usuário, grupo e associação do seu diretório de origem no Active Directory com o repositório de identidades do IAM Identity Center. Nenhuma informação de senha é sincronizada com o IAM Identity Center, pois a autenticação do usuário ocorre diretamente no diretório de origem no Active Directory. Esses dados de identidade são usados por aplicações para facilitar cenários de pesquisa, autorização e colaboração na aplicação sem passar a atividade de LDAP de volta ao diretório de origem no Active Directory.
Para obter mais informações sobre o provisionamento, consulte [Provisionamento de usuários e grupos](users-groups-provisioning.md#user-group-provision).
**Topics**
+ [Considerações sobre o uso do Active Directory](#considerations-ad-identitysource)
+ [Conectar o Active Directory e especificar um usuário](get-started-connect-id-source-ad-idp-specify-user.md)
+ [Provisioning when users come from Active Directory.](#provision-users-from-ad)
+ [Conecte um diretório AWS Managed Microsoft AD ao IAM Identity Center](connectawsad.md)
+ [Conecte um diretório autogerenciado no Active Directory ao IAM Identity Center](connectonpremad.md)
+ [Mapeamento de atributos entre o IAM Identity Center e o diretório de provedores de identidades externos](attributemappingsconcept.md)
+ [Sincronização configurável no AD do IAM Identity Center](provision-users-from-ad-configurable-ADsync.md)
# Conecte um diretório AWS Managed Microsoft AD ao IAM Identity Center
Use o procedimento a seguir para conectar um diretório AWS Managed Microsoft AD que é gerenciado pelo AWS Directory Service IAM Identity Center.
**Para se conectar AWS Managed Microsoft AD ao IAM Identity Center**
1. Abra o [console do IAM Identity Center](https://console.aws.amazon.com/singlesignon).
**nota**
Antes de passar para a etapa seguinte, confirme se o console do IAM Identity Center está usando uma das regiões em que seu diretório do AWS Managed Microsoft AD está localizado.
1. Escolha **Settings**.
1. Na página **Configurações**, escolha a guia **Origem de identidade** e, em seguida, escolha **Actions > Change identity source**.
1. Em **Escolher origem de identidade**, selecione **Active Directory** e, em seguida, escolha **Next**.
1. Em **Connect active directory**, escolha um diretório na AWS Managed Microsoft AD lista e, em seguida, escolha **Next**.
1. Em **Confirmar alteração**, revise as informações e, quando estiver pronto, digite **ACCEPT** e escolha **Change identity source**.
**Importante**
Para especificar um usuário no Active Directory como usuário administrativo no IAM Identity Center, você deve primeiro sincronizar o usuário ao qual deseja conceder permissões administrativas do Active Directory no IAM Identity Center. Para isso, siga as etapas em [Sincronizar um usuário administrativo para o IAM Identity Center](get-started-connect-id-source-ad-idp-specify-user.md#sync-admin-user-from-ad).
# Conecte um diretório autogerenciado no Active Directory ao IAM Identity Center
Os usuários em seu diretório autogerenciado no Active Directory (AD) também podem ter acesso de logon único Contas da AWS e aplicativos no AWS portal de acesso. Para configurar o acesso de logon único para esses usuários, você poderá seguir um destes procedimentos:
+ **Crie uma relação de confiança bidirecional** — Quando relações de confiança bidirecionais são criadas entre AWS Managed Microsoft AD um diretório autogerenciado no AD, os usuários em seu diretório autogerenciado no AD podem entrar com suas credenciais corporativas em vários AWS serviços e aplicativos de negócios. Confianças unidirecionais não funcionam com o IAM Identity Center.
Centro de Identidade do AWS IAM requer uma relação de confiança bidirecional para que tenha permissões para ler informações de usuários e grupos do seu domínio para sincronizar metadados de usuários e grupos. O IAM Identity Center usa esses metadados ao atribuir acesso a conjuntos de permissões ou aplicativos. Os metadados de usuários e grupos também são usados por aplicativos para colaboração, como quando você compartilha um painel com outro usuário ou grupo. A confiança do Directory Service Microsoft Active Directory em seu domínio permite que o IAM Identity Center confie em seu domínio para autenticação. A confiança na direção oposta concede AWS permissões para ler metadados de usuários e grupos.
Para obter mais informações sobre a configuração de uma confiança bidirecional, consulte [Quando criar uma relação de confiança](https://docs.aws.amazon.com/directoryservice/latest/admin-guide/setup_trust.html) no *AWS Directory Service Guia Administrativo*.
**nota**
Para usar AWS aplicativos, como o IAM Identity Center, para ler usuários do Directory Service diretório de domínios confiáveis, as Directory Service contas exigem permissões para o userAccountControl atributo dos usuários confiáveis. Sem permissões de leitura para esse atributo, as aplicações da AWS não conseguem determinar se a conta está habilidade ou desabilitada.
O acesso de leitura a esse atributo é fornecido por padrão quando uma relação de confiança é criada. Se você negar o acesso a esse atributo (não recomendado), impedirá que aplicações como o Identity Center consigam ler os usuários confiáveis. A solução é permitir especificamente o acesso de leitura ao `userAccountControl` atributo nas contas de AWS serviço na OU AWS reservada (prefixada com AWS\$1).
+ **Criar um conector AD** – O Conector AD é um gateway de diretório que pode redirecionar solicitações de diretório para seu AD autogerenciado sem armazenar nenhuma informação em cache na nuvem. Para obter mais informações, consulte [Conectar a um Diretório](https://docs.aws.amazon.com/directoryservice/latest/admin-guide/directory_ad_connector.html) no *Guia de administração AWS Directory Service *. As seguintes considerações devem ser observadas ao usar o AD Connector:
+ Se você estiver conectando o IAM Identity Center a um diretório do AD Connector, qualquer futura redefinição de senha de usuário deverá ser feita de dentro do AD. Isso significa que os usuários não poderão redefinir suas senhas no portal de AWS acesso.
+ Se você usa o AD Connector para conectar seu serviço de domínio do Active Directory ao IAM Identity Center, o IAM Identity Center só tem acesso aos usuários e grupos do único domínio ao qual o AD Connector está conectado. Se você precisar oferecer suporte a vários domínios ou florestas, use Directory Service para o Microsoft Active Directory.
**nota**
O IAM Identity Center não funciona com diretórios Simple AD SAMBA4 baseados.
# Mapeamento de atributos entre o IAM Identity Center e o diretório de provedores de identidades externos
Os mapeamentos de atributos são usados para mapear os tipos de atributos que existem no IAM Identity Center com atributos semelhantes em uma fonte de identidades externa, como o Google Workspace, o Microsoft Active Directory (AD) e o Okta. O IAM Identity Center recupera atributos de usuário da fonte de identidades e os mapeia para os atributos de usuário do IAM Identity Center.
Se o IAM Identity Center estiver sincronizado para usar um **provedor de identidades (IdP)** externo como Google Workspace, Okta ou Ping como fonte de identidade, você precisará mapear os atributos no IdP.
O IAM Identity Center preenche previamente um conjunto de atributos para você na aba **Mapeamentos de atributo** encontrada na página de configuração. O IAM Identity Center usa esses atributos de usuário para preencher as asserções SAML (como atributos SAML) que são enviadas à aplicação. Esses atributos de usuário, por sua vez, são recuperados da fonte de identidades. Cada aplicação determina a lista de atributos SAML 2.0 necessários para que o logon único tenha sucesso. Para obter mais informações, consulte [Mapear atributos em sua aplicação para atributos do IAM Identity Center](mapawsssoattributestoapp.md).
O IAM Identity Center também gerencia um conjunto de atributos para você na seção **Mapeamentos de atributos** da **página de configuração do Active Directory** se você estiver usado o Active Directory como fonte de identidade. Para obter mais informações, consulte [Como mapear atributos de usuário entre o IAM Identity Center e o diretório Microsoft AD](mapssoattributestocdattributes.md).
## Atributos de provedor de identidade externo compatíveis
A tabela a seguir lista todos os atributos do provedor de identidades (IdP) externo que são compatíveis e que podem ser mapeados para atributos que você pode usar ao configurar [Atributos para controle de acesso](attributesforaccesscontrol.md) no IAM Identity Center. Ao usar asserções SAML, você pode usar quaisquer atributos compatíveis com seu IdP.
****
| Atributos compatíveis em seu IdP |
| --- |
| \$1\$1path:userName\$1 |
| \$1\$1path:name.familyName\$1 |
| \$1\$1path:name.givenName\$1 |
| \$1\$1path:displayName\$1 |
| \$1\$1path:nickName\$1 |
| \$1\$1path:emails[primary eq true].value\$1 |
| \$1\$1path:addresses[type eq "work"].streetAddress\$1 |
| \$1\$1path:addresses[type eq "work"].locality\$1 |
| \$1\$1path:addresses[type eq "work"].region\$1 |
| \$1\$1path:addresses[type eq "work"].postalCode\$1 |
| \$1\$1path:addresses[type eq "work"].country\$1 |
| \$1\$1path:addresses[type eq "work"].formatted\$1 |
| \$1\$1path:phoneNumbers[type eq "work"].value\$1 |
| \$1\$1path:userType\$1 |
| \$1\$1path:title\$1 |
| \$1\$1path:locale\$1 |
| \$1\$1path:timezone\$1 |
| \$1\$1path:enterprise.employeeNumber\$1 |
| \$1\$1path:enterprise.costCenter\$1 |
| \$1\$1path:enterprise.organization\$1 |
| \$1\$1path:enterprise.division\$1 |
| \$1\$1path:enterprise.department\$1 |
| \$1\$1path:enterprise.manager.value\$1 |
## Mapeamento padrão entre o IAM Identity Center e o Microsoft AD
A tabela a seguir lista os mapeamentos padrão dos atributos de usuário no IAM Identity Center para os atributos de usuário no seu diretório Microsoft AD. O IAM Identity Center só é compatível com a lista de atributos na coluna **User attribute in IAM Identity Center**.
****
| Atributo de usuário no IAM Identity Center | Mapeia para este atributo no Active Directory |
| --- | --- |
| displayname | \$1\$1displayname\$1 |
| emails[?primary].value \$1 | \$1\$1mail\$1 |
| externalid | \$1\$1objectguid\$1 |
| name.givenname | \$1\$1givenname\$1 |
| name.familyname | \$1\$1sn\$1 |
| name.middlename | \$1\$1initials\$1 |
| sid | \$1\$1objectsid\$1 |
| username | \$1\$1userprincipalname\$1 |
\$1 O atributo de e-mail no IAM Identity Center deve ser exclusivo dentro do diretório.
****
| Atributo de grupo no IAM Identity Center | Mapeia para este atributo no Active Directory |
| --- | --- |
| externalid | \$1\$1objectguid\$1 |
| description | \$1\$1description\$1 |
| displayname | \$1\$1samaccountname\$1@\$1associateddomain\$1 |
**Considerações**
+ Se você não tiver nenhuma atribuição para os usuários e grupos no IAM Identity Center ao habilitar a sincronização configurável do AD, os mapeamentos padrão na tabela anterior serão usados. Para obter informações sobre como personalizar esses mapeamentos, consulte [Configure mapeamentos de atributos para sua sincronização](manage-sync-configure-attribute-mapping-configurable-ADsync.md).
+ Alguns atributos do IAM Identity Center não podem ser modificados porque são imutáveis e mapeados por padrão para atributos específicos do diretório Microsoft AD.
Por exemplo, "nome de usuário" é um atributo obrigatório no IAM Identity Center. Se você mapear "nome de usuário" para um atributo de diretório do AD com um valor vazio, o IAM Identity Center considerará o valor `windowsUpn` como o valor padrão para "nome de usuário". Se você quiser alterar o mapeamento de atributos do mapeamento atual para "nome de usuário", confirme se os fluxos do IAM Identity Center com dependência de "nome de usuário" continuarão funcionando como esperado, antes de fazer a alteração.
## Atributos do Microsoft AD do IAM Identity Center compatíveis
A tabela a seguir fornece a lista completa de atributos de diretório do Microsoft AD compatíveis e que podem ser mapeados para atributos de usuário no IAM Identity Center.
****
| Atributos compatíveis em seu diretório do Microsoft AD |
| --- |
| \$1\$1samaccountname\$1 |
| \$1\$1description\$1 |
| \$1\$1objectguid\$1 |
| \$1\$1objectsid\$1 |
| \$1\$1givenname\$1 |
| \$1\$1sn\$1 |
| \$1\$1initials\$1 |
| \$1\$1mail\$1 |
| \$1\$1userprincipalname\$1 |
| \$1\$1displayname\$1 |
| \$1\$1distinguishedname\$1 |
| \$1\$1proxyaddresses[?type == "SMTP"].value\$1 |
| \$1\$1proxyaddresses[?type == "smtp"].value\$1 |
| \$1\$1useraccountcontrol\$1 |
| \$1\$1associateddomain\$1 |
**Considerações**
+ Você pode especificar qualquer combinação de atributos de diretório do Microsoft AD compatíveis para mapear para um único atributo no IAM Identity Center.
## Atributos do IAM Identity Center compatíveis com Microsoft AD
A tabela a seguir lista todos os atributos do IAM Identity Center que são compatíveis e que podem ser mapeados para atributos de usuário no seu diretório Microsoft AD. Posteriormente, quando você configurar os mapeamentos de atributos de aplicativo, poderá usar os mesmos atributos do IAM Identity Center para mapear para atributos reais usados por esse aplicativo.
****
| Atributos do IAM Identity Center compatíveis com Active Directory |
| --- |
| \$1\$1user:AD\$1GUID\$1 |
| \$1\$1user:AD\$1SID\$1 |
| \$1\$1user:email\$1 |
| \$1\$1user:familyName\$1 |
| \$1\$1user:givenName\$1 |
| \$1\$1user:middleName\$1 |
| \$1\$1user:name\$1 |
| \$1\$1user:preferredUsername\$1 |
| \$1\$1user:subject\$1 |
# Como mapear atributos de usuário entre o IAM Identity Center e o diretório Microsoft AD
Você pode usar o procedimento a seguir para especificar como os atributos de usuário no IAM Identity Center devem ser mapeados para atributos correspondentes no diretório do Microsoft AD.
**Mapear atributos no IAM Identity Center para atributos em seu diretório**
1. Abra o [console do IAM Identity Center](https://console.aws.amazon.com/singlesignon).
1. Escolha **Settings**.
1. Na página **Configurações**, escolha a guia **Attributes for access control** e, em seguida, escolha **Manage Attributes**.
1. Na página **Edit attribute mappings for access control** (Editar mapeamentos de atributos para controle de acesso), localize o atributo no IAM Identity Center que deseja mapear e, em seguida, digite um valor na caixa de texto. Por exemplo, talvez você queira mapear o atributo de usuário do IAM Identity Center para o **`email`** atributo de diretório do Microsoft AD**`${mail}`**.
1. Escolha **Salvar alterações**.
# Sincronização configurável no AD do IAM Identity Center
A sincronização configurável do Active Directory (AD) do IAM Identity Center permite que você configure explicitamente as identidades no Microsoft Active Directory que são sincronizadas automaticamente com o IAM Identity Center e controle o processo de sincronização.
+ Com esse método de sincronização, você pode fazer o seguinte:
+ Controle os limites dos dados definindo explicitamente os usuários e grupos no Microsoft Active Directory que são sincronizados automaticamente no IAM Identity Center. Você pode [adicionar usuários e grupos](manage-sync-add-users-groups-configurable-ADsync.md) ou [remover usuários e grupos](manage-sync-remove-users-groups-configurable-ADsync.md) para alterar o escopo da sincronização a qualquer momento.
+ Atribua a usuários e grupos sincronizados [acesso de logon único Contas da AWS](useraccess.md) ou [acesso a aplicativos](assignuserstoapp.md). Os aplicativos podem ser aplicativos AWS gerenciados ou aplicativos gerenciados pelo cliente.
+ Controle o processo de sincronização [pausando e retomando a sincronização](manage-sync-pause-resume-sync-configurable-ADsync.md) conforme necessário. Isso ajuda você a regular a carga nos sistemas de produção.
## Pré-requisitos e considerações
Antes de usar o AD Sync configurável, esteja ciente dos seguintes pré-requisitos e considerações:
+ **Como especificar usuários e grupos no Active Directory para sincronização**
Antes de usar o IAM Identity Center para atribuir a novos usuários e grupos acesso Contas da AWS e aos aplicativos AWS gerenciados ou aplicativos gerenciados pelo cliente, você deve especificar os usuários e grupos no Active Directory para sincronizar e depois sincronizá-los com o IAM Identity Center.
+ **Sincronização configurável do AD** — o IAM Identity Center não pesquisa usuários e grupos diretamente em seu controlador de domínio. Em vez disso, você deve primeiro especificar a lista de usuários e grupos a serem sincronizados. Você pode configurar essa lista, também conhecida como *escopo de sincronização*, de uma das seguintes formas, dependendo se você tem usuários e grupos que já estão sincronizados com o IAM Identity Center ou se tem novos usuários e grupos que você está sincronizando pela primeira vez usando a sincronização configurável do AD.
+ Usuários e grupos existentes: se você tiver usuários e grupos que já estão sincronizados com o IAM Identity Center, o escopo de sincronização na sincronização configurável do AD é pré-preenchido com uma lista desses usuários e grupos. Para atribuir novos usuários ou grupos, você deve adicioná-los especificamente ao escopo de sincronização. Para obter mais informações, consulte [Adicione usuários e grupos ao escopo de sincronização](manage-sync-add-users-groups-configurable-ADsync.md).
+ Novos usuários e grupos: se você quiser atribuir a novos usuários e grupos acesso a Contas da AWS e aos aplicativos, você deve especificar quais usuários e grupos adicionar ao escopo de sincronização na sincronização configurável do AD antes de usar o IAM Identity Center para fazer a atribuição. Para obter mais informações, consulte [Adicione usuários e grupos ao escopo de sincronização](manage-sync-add-users-groups-configurable-ADsync.md).
+ **Fazendo atribuições para grupos aninhados no Active Directory**
Grupos que são membros de outros grupos são chamados de *grupos aninhados* (ou grupos secundários).
+ **Sincronização do AD configurável**: usar a sincronização do AD configurável para fazer atribuições a um grupo do Active Directory que contém grupos aninhados pode aumentar o escopo dos usuários que têm acesso a aplicações ou Contas da AWS . Nesse caso, a atribuição é aplicada a todos os usuários, incluindo os usuários em grupos aninhados. Por exemplo, se você atribuir acesso ao Grupo A e o Grupo B for membro do Grupo A, somente os membros diretos do Grupo A poderão acessar a conta.
+ **Atualização de fluxos de trabalho automatizados**
Se você tiver fluxos de trabalho automatizados que usam as ações da API de armazenamento de identidades do IAM Identity Center e as ações da API de atribuição do IAM Identity Center para atribuir a novos usuários e grupos acesso a contas e aplicativos e sincronizá-los com o IAM Identity Center, você deve ajustar esses fluxos de trabalho até 15 de abril de 2022 para que funcionem conforme o esperado com a sincronização configurável do AD. A sincronização configurável do AD altera a ordem na qual a atribuição e o provisionamento de usuários e grupos ocorrem e a forma como as consultas são realizadas.
+ **Sincronização configurável do AD** — O provisionamento ocorre primeiro e não é executado automaticamente. Em vez disso, primeiro você deve adicionar explicitamente usuários e grupos ao repositório de identidades adicionando-os ao seu escopo de sincronização. Para obter informações sobre as etapas recomendadas para automatizar sua configuração de sincronização para sincronização configurável do AD, consulte [Automatize sua configuração de sincronização para sincronização configurável do AD](automate-sync-configuration-configurable-ADsync.md).
**Topics**
+ [Pré-requisitos e considerações](#prerequisites-configurable-ADsync)
+ [Como funciona a sincronização configurável do AD](how-it-works-configurable-ADsync.md)
+ [Configure mapeamentos de atributos para sua sincronização](manage-sync-configure-attribute-mapping-configurable-ADsync.md)
+ [Configuração de sincronização entre o Active Directory e o IAM Identity Center](manage-sync-configurable-ADsync.md)
+ [Adicione usuários e grupos ao escopo de sincronização](manage-sync-add-users-groups-configurable-ADsync.md)
+ [Remova usuários e grupos ao escopo de sincronização](manage-sync-remove-users-groups-configurable-ADsync.md)
+ [Interromper e retomar a sincronização](manage-sync-pause-resume-sync-configurable-ADsync.md)
+ [Automatize sua configuração de sincronização para sincronização configurável do AD](automate-sync-configuration-configurable-ADsync.md)
# Como funciona a sincronização configurável do AD
O IAM Identity Center atualiza os dados de identidade baseados em AD no repositório de identidades usando o processo a seguir. Para saber mais sobre os pré-requisitos, consulte. [Pré-requisitos e considerações](provision-users-from-ad-configurable-ADsync.md#prerequisites-configurable-ADsync)
## Criação
Depois de conectar seu diretório autogerenciado no Active Directory ou seu AWS Managed Microsoft AD diretório gerenciado pelo Directory Service ao IAM Identity Center, você pode configurar explicitamente os usuários e grupos do Active Directory que você deseja sincronizar no repositório de identidades do IAM Identity Center. As identidades que você escolher serão sincronizadas a cada três horas ou mais no repositório de identidades do IAM Identity Center. Dependendo do tamanho do seu diretório, o processo de sincronização pode demorar mais.
Grupos que são membros de outros grupos (chamados de *grupos aninhados* ou *grupos secundários*) também são gravados no repositório de identidades.
Você só pode atribuir acesso a novos usuários ou grupos depois que eles forem sincronizados no repositório de identidades do IAM Identity Center.
## Atualizar
Os dados de identidade no repositório de identidades do IAM Identity Center permanecem atualizados por meio da leitura periódica dos dados do diretório de origem no Active Directory. O IAM Identity Center, por padrão, sincroniza dados do Active Directory a cada hora em um ciclo de sincronização. A sincronização de dados com o IAM Identity Center pode levar de 30 minutos a 2 horas, dependendo do tamanho do Active Directory.
Os objetos de usuário e grupo que estão no escopo de sincronização e suas associações são criados ou atualizados no IAM Identity Center para mapear os objetos correspondentes no diretório de origem no Active Directory. Para atributos do usuário, somente o subconjunto de atributos listados na seção **Attributes for access control ** do console do IAM Identity Center é atualizado no IAM Identity Center. Pode levar um ciclo de sincronização para uma atualização de atributos feita no Active Directory seja refletida no IAM Identity Center.
Você também pode atualizar o subconjunto de usuários e grupos que você sincroniza no repositório de identidades do IAM Identity Center. Você pode optar por adicionar novos usuários ou grupos a esse subconjunto ou removê-los. Todas as identidades que você adicionar serão sincronizadas na próxima sincronização agendada. As identidades que você remover do subconjunto deixarão de ser atualizadas no armazenamento de identidades do IAM Identity Center. Qualquer usuário que não estiver sincronizado por mais de 28 dias será desativado no repositório de identidades do IAM Identity Center. Os objetos de usuário correspondentes serão automaticamente desativados no repositório de identidades do IAM Identity Center durante o próximo ciclo de sincronização, a menos que façam parte de outro grupo que ainda faça parte do escopo da sincronização.
## Exclusão
Usuários e grupos são excluídos do repositório de identidades do IAM Identity Center quando os objetos de usuário ou grupo correspondentes são excluídos do diretório de origem no Active Directory. Como alternativa, você pode excluir explicitamente objetos de usuário do repositório de identidades do IAM Identity Center usando o console do IAM Identity Center. Se você usa o console do IAM Identity Center, também deve remover os usuários do escopo de sincronização para garantir que eles não sejam sincronizados novamente com o IAM Identity Center durante o próximo ciclo de sincronização.
Você também pode pausar e reiniciar a sincronização a qualquer momento. Se você pausar a sincronização por mais de 28 dias, todos os seus usuários serão desativados.
# Configure mapeamentos de atributos para sua sincronização
Para obter mais informações sobre atributos disponíveis, consulte [Mapeamento de atributos entre o IAM Identity Center e o diretório de provedores de identidades externos](attributemappingsconcept.md).
**Mapear atributos no IAM Identity Center para atributos em seu diretório**
1. Abra o [console do IAM Identity Center](https://console.aws.amazon.com/singlesignon).
1. Escolha **Settings**.
1. Na página **Configurações**, escolha a guia **Identity source**, escolha **Actions** e, em seguida, escolha **Manage Sync**.
1. Em **Manage Sync**, escolha **View attribute mapping**.
1. Em **Active Directory user attributes** do **IAM Identity Center identity store attributes** de **Active Directory user attributes**. Por exemplo, talvez você queira mapear o atributo de usuário do IAM Identity Center para o `email` atributo de diretório do Microsoft AD`${objectguid}`.
**nota**
Em **Atributos de grupo**, os **atributos do IAM Identity Center identity store** e os **atributos de grupo do Active Directory** não podem ser alterados.
1. Escolha **Salvar alterações**. Isso o levará de volta à página **Manage Sync**.
# Configuração de sincronização entre o Active Directory e o IAM Identity Center
Se você estiver sincronizando os usuários e grupos do Active Directory para o IAM Identity Center pela primeira vez, siga as etapas. Como alternativa, você pode seguir as etapas descritas em [Alterar sua fonte de identidades](manage-your-identity-source-change.md) para alterar a fonte de identidade do IAM Identity Center para Active Directory.
## Configuração guiada
1. Abra o [console do IAM Identity Center](https://console.aws.amazon.com/singlesignon).
**nota**
Certifique-se de que o console do IAM Identity Center esteja usando um dos Regiões da AWS locais em que seu AWS Managed Microsoft AD diretório está localizado antes de passar para a próxima etapa.
1. Escolha **Settings**.
1. Na parte superior da página, na mensagem de notificação, escolha **Start guided setup**.
1. Na **Etapa 1 — *opcional*: Configurar mapeamentos de atributos**, revise os mapeamentos padrão de atributos de usuário e grupo. Se nenhuma alteração for necessária, escolha **Next**. Se forem necessárias alterações, faça as alterações e escolha **Save changes**.
1. Na **Etapa 2 — *opcional*: Configurar o escopo da sincronização**, escolha a guia **Users**. Em seguida, insira o nome de usuário exato do usuário que você deseja adicionar ao seu escopo de sincronização e escolha **Add**. Em seguida, escolha a guia **Groups**. Insira o nome exato do grupo que você deseja adicionar ao seu escopo de sincronização e escolha **Add**. Em seguida, escolha **Next**. Se você quiser adicionar usuários e grupos ao seu escopo de sincronização posteriormente, não faça alterações e escolha **Next**.
1. Na **Etapa 3: Revise e salve a configuração**, confirme seus **mapeamentos de atributos** na **Etapa 1: Mapeamentos de atributos** e seus **usuários e grupos** na **Etapa 2: Escopo de sincronização**. Escolha **Save configuration**. Isso o levará para a página **Gerenciar Sincronização**.
# Adicione usuários e grupos ao escopo de sincronização
**nota**
Ao adicionar grupos ao seu escopo de sincronização, sincronize grupos diretamente do domínio local confiável em vez de grupos no AWS Managed Microsoft AD domínio. Os grupos sincronizados diretamente do domínio confiável contêm objetos de usuário reais que o IAM Identity Center pode acessar e sincronizar com êxito.
Adicione usuários e grupos do Active Directory ao IAM Identity Center seguindo estas etapas.
**Como adicionar usuários**
1. Abra o [console do IAM Identity Center](https://console.aws.amazon.com/singlesignon).
1. Escolha **Settings**.
1. Na página **Configurações**, escolha a guia **Identity source**, escolha **Actions** e, em seguida, escolha **Manage Sync**.
1. Na página **Manage Sync**, escolha a guia **Usuários** e **Adicionar usuários e grupos**.
1. Na guia **User**, em **User**, insira o nome de usuário exato e escolha **Adicionar**.
1. Em **Usuários e grupos adicionados**, revise o usuário que você deseja adicionar.
1. Selecione **Submit**.
1. No painel de navegação, escolha **Users**. Se o usuário que você especificou não aparecer na lista, escolha o ícone de atualização para atualizar a lista de usuários.
**Para adicionar grupos**
1. Abra o [console do IAM Identity Center](https://console.aws.amazon.com/singlesignon).
1. Escolha **Settings**.
1. Na página **Configurações**, escolha a guia **Identity source**, escolha **Actions** e, em seguida, escolha **Manage Sync**.
1. Na página **Manage Sync**, escolha a guia **Groups** e, em seguida, escolha **Add users and groups**.
1. Escolha a guia **Groups**. Em **Grupo**, insira o nome exato do grupo e escolha **Add**.
1. Em **Added Users and Groups**, revise o grupo que você deseja adicionar.
1. Selecione **Submit**.
1. No painel de navegação, escolha **Groups**. Se o grupo que você especificou não aparecer na lista, escolha o ícone de atualização para atualizar a lista de grupos.
# Remova usuários e grupos ao escopo de sincronização
Para obter mais informações sobre o que acontece quando você remove usuários e grupos do seu escopo de sincronização, consulte [Como funciona a sincronização configurável do AD](how-it-works-configurable-ADsync.md).
**Para remover um usuário**
1. Abra o [console do IAM Identity Center](https://console.aws.amazon.com/singlesignon).
1. Escolha **Settings**.
1. Na página **Configurações**, escolha a guia **Identity source**, escolha **Actions** e, em seguida, escolha **Manage Sync**.
1. Escolha a guia **Users**.
1. Em **Usuários no escopo de sincronização**, marque a caixa de seleção ao lado do usuário que você deseja excluir. Para excluir todos os usuários, marque a caixa de seleção ao lado do **Username**.
1. Escolha **Remover **.
**Para remover grupos**
1. Abra o [console do IAM Identity Center](https://console.aws.amazon.com/singlesignon).
1. Escolha **Settings**.
1. Na página **Configurações**, escolha a guia **Identity source**, escolha **Actions** e, em seguida, escolha **Manage Sync**.
1. Selecione a guia **Grupos**.
1. Em **Groups in sync scope**, marque a caixa de seleção ao lado do usuário que você deseja excluir. Para excluir todos os grupos, marque a caixa de seleção ao lado **Group name**.
1. Escolha **Remover **.
# Interromper e retomar a sincronização
Pausar sua sincronização pausa todos os ciclos de sincronização futuros e impede que as alterações feitas nos usuários e grupos no Active Directory sejam refletidas no IAM Identity Center. Depois de retomar a sincronização, o ciclo de sincronização seleciona essas alterações na próxima sincronização agendada.
**Para pausar a sincronização**
1. Abra o [console do IAM Identity Center](https://console.aws.amazon.com/singlesignon).
1. Escolha **Settings**.
1. Na página **Configurações**, escolha a guia **Identity source**, escolha **Actions** e, em seguida, escolha **Manage Sync**.
1. Em **Manage Sync**, escolha **Pause sync**.
**Para retomar a sincronização**
1. Abra o [console do IAM Identity Center](https://console.aws.amazon.com/singlesignon).
1. Escolha **Settings**.
1. Na página **Configurações**, escolha a guia **Identity source**, escolha **Actions** e, em seguida, escolha **Manage Sync**.
1. Em **Manage Sync**, escolha **Resume sync**.
**nota**
Se você vir **Pause sync** em vez de **Resume sync**, a sincronização do Active Directory com o IAM Identity Center já foi retomada.
# Automatize sua configuração de sincronização para sincronização configurável do AD
Para garantir que seu fluxo de trabalho automatizado funcione conforme o esperado com a sincronização configurável do AD, recomendamos que você execute as etapas a seguir para automatizar sua configuração de sincronização.
**Automatize sua configuração de sincronização para sincronização configurável do AD**
1. No Active Directory, crie um *grupo de sincronização principal* para conter todos os usuários e grupos que você deseja sincronizar no IAM Identity Center. Por exemplo, você pode nomear o grupo *IAMIdentityCenterAllUsersAndGroups*.
1. No IAM Identity Center, adicione o grupo de sincronização principal à sua lista de sincronização configurável. O IAM Identity Center sincronizará todos os usuários, grupos, subgrupos e membros de todos os grupos contidos no grupo de sincronização principal.
1. Use as ações da API de gerenciamento de usuários e grupos do Active Directory fornecidas pela Microsoft para adicionar ou remover usuários e grupos do grupo de sincronização principal.