本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。 # 将 Active Directory 中的自行管理目录连接到 IAM Identity Center 您在 Active Directory (AD) 中自行管理的目录中的用户也可以通过单点登录访问 AWS 账户 权限访问访问 AWS 门户中的应用程序。要为这些用户配置单点登录访问,您可以执行以下任一操作: + **创建双向信任关系**-在 AD 中 AWS Managed Microsoft AD 与自管理目录之间创建双向信任关系时,AD 中自我管理目录中的用户可以使用其公司凭据登录各种 AWS 服务和业务应用程序。单向信任不适用于 IAM Identity Center。 AWS IAM Identity Center 需要双向信任,以便它有权从您的域中读取用户和群组信息,从而同步用户和群组元数据。IAM Identity Center 在分配对权限集或应用程序的访问权限时使用此元数据。应用程序还使用用户和组元数据进行协作,例如当您与其他用户或组共享仪表板时。Microsoft Active Directory 对你的域的信任允许 IAM 身份中心信任你的域进行身份验证。 Directory Service 相反方向的信任会授予读取用户和群组元数据的 AWS 权限。 有关设置双向信任的详细信息,请参阅 *AWS Directory Service 管理指南*中的[何时创建信任关系](https://docs.aws.amazon.com/directoryservice/latest/admin-guide/setup_trust.html)。 **注意** 为了使用诸如 IAM Identity Center 之类的 AWS 应用程序从可信域读取 Directory Service 目录用户,这些 Directory Service 账户需要对可信用户的 userAccountControl属性拥有权限。如果没有此属性的读取权限, AWS 应用程序就无法确定是启用还是禁用了该账户。 创建信任时,默认会提供对该属性的读取权限。如果您拒绝对此属性的访问权限(不推荐),会让 Identity Center 等应用程序无法读取可信用户。解决方案是专门允许对预 AWS 留 OU(前缀为 AWS\$1)下的 AWS 服务帐号的`userAccountControl`属性的读取权限。 + **创建 AD Connector**——AD Connector 是一个目录网关,可以将目录请求重定向到您的自行管理 AD,而无需在云中缓存任何信息。有关详细信息,请参阅 *AWS Directory Service 管理指南*中的[连接到目录](https://docs.aws.amazon.com/directoryservice/latest/admin-guide/directory_ad_connector.html)。以下是配置 AD Connector 策略时的注意事项: + 如果您将 IAM Identity Center 连接到 AD Connector 目录,则任何未来的用户密码重置都必须在 AD 内完成。这意味着用户将无法从 AWS 访问门户重置密码。 + 如果您使用 AD Connector 将 Active Directory 域服务连接到 IAM Identity Center,则 IAM Identity Center 仅有权访问 AD Connector 附加到的单个域的用户和组。如果您需要支持多个域或林,请对 Microsoft Active Directory 使用 Directory Service 。 **注意** IAM 身份中心不适用于 SAMBA4基于 Simple AD 的目录。