本文属于机器翻译版本。若本译文内容与英语原文存在差异，则一律以英文原文为准。

# 使用 Active Directory 作为身份源
<a name="gs-ad"></a>

如果您使用 Directory Service 或在 A AWS Managed Microsoft AD ctive Directory (AD) 中管理您的目录中的用户，则可以更改您的 IAM Identity Center 身份源以使用这些用户。我们建议您在启用 IAM Identity Center 并选择身份源时，考虑连接此身份源。在默认 Identity Center 目录中创建任何用户和组之前执行此操作将有助于避免在以后更改身份源时所需的额外配置。

要使用 Active Directory 作为身份源，您的配置必须满足以下先决条件：
+ 如果您正在使用 AWS Managed Microsoft AD，则必须在设置 AWS Managed Microsoft AD 目录的同一 AWS 区域 位置启用 IAM 身份中心。IAM Identity Center 会将分配数据存储在与目录相同的区域中。要管理 IAM Identity Center，您可能需要切换到配置 IAM Identity Center 的区域。另外，请注意， AWS 访问门户使用的访问网址与您的目录相同。
+ 使用驻留在管理帐户中的 Active Directory：

  您必须在中设置现有 AD Con AWS Managed Microsoft AD nector 或目录 AWS Directory Service，并且该目录必须位于您的 AWS Organizations 管理账户中。一次只能在 AWS Managed Microsoft AD 连接一个 AD Connector 目录或一个目录。如果您需要支持多个域或林，请使用 AWS Managed Microsoft AD。有关更多信息，请参阅:
  + [将目录连接 AWS Managed Microsoft AD 到 IAM 身份中心](connectawsad.md)
  + [将 Active Directory 中的自行管理目录连接到 IAM Identity Center](connectonpremad.md)
+ 使用驻留在委派管理员账户中的 Active Directory：

  如果您计划启用 IAM 身份中心委托管理员并使用 Active Directory 作为您的 IAM 身份中心身份源，则可以使用位于委托管理员账户中的现有 AD Connector 或 AWS Managed Microsoft AD AWS 目录中设置的目录。

  如果您决定将 IAM Identity Center 身分源从任何其他源更改为 Active Directory，或者将其从 Active Directory 更改为任何其他源，则该目录必须驻留在 IAM Identity Center 委派管理员成员账户（如果存在）中（归该账户所有）；否则，它必须位于管理账户中。

本教程将指导您完成使用 Active Directory 作为 IAM Identity Center 身份源的基本设置。

# 步骤 1：连接 Active Directory 并指定用户
<a name="gs-connect-id-source-ad-idp-specify-user"></a>

如果您已经在使用 Active Directory，以下主题可帮助您准备好将目录连接到 IAM Identity Center。

**注意**  
如果您计划连接 Active Directory 中的 AWS Managed Microsoft AD 目录或自管理目录，但未将 RADIUS MFA AWS Directory Service与一起使用，请在 IAM 身份中心启用 MFA。

**AWS Managed Microsoft AD**

1. 请查看 [Microsoft AD 目录](manage-your-identity-source-ad.md) 中的指南。

1. 按照 [将目录连接 AWS Managed Microsoft AD 到 IAM 身份中心](connectawsad.md) 中的步骤操作。

1. 配置 Active Directory 以将您要向其授予管理权限的用户同步到 IAM Identity Center。有关更多信息，请参阅 [将管理用户同步到 IAM Identity Center 中](get-started-connect-id-source-ad-idp-specify-user.md#sync-admin-user-from-ad)。

**Active Directory 中的自行管理目录**

1. 请查看 [Microsoft AD 目录](manage-your-identity-source-ad.md) 中的指南。

1. 按照 [将 Active Directory 中的自行管理目录连接到 IAM Identity Center](connectonpremad.md) 中的步骤操作。

1. 配置 Active Directory 以将您要向其授予管理权限的用户同步到 IAM Identity Center。有关更多信息，请参阅 [将管理用户同步到 IAM Identity Center 中](get-started-connect-id-source-ad-idp-specify-user.md#sync-admin-user-from-ad)。

## 步骤 2：将管理用户同步到 IAM Identity Center 中
<a name="gs-ad-sync-admin-user-from-ad"></a>

将您的目录连接到 IAM Identity Center 后，您可以指定要向其授予管理权限的用户，然后将该用户从您的目录同步到 IAM Identity Center 中。

1. 打开 [IAM Identity Center 控制台](https://console.aws.amazon.com/singlesignon)。

1. 选择**设置**。

1. 在**设置**页面上，选择**身份源**选项卡，从中选择**操作**，然后选择**管理同步**。

1. 在**管理同步**页面上，选择**用户**选项卡，然后选择**添加用户和组**。

1. 在**用户**选项卡的**用户**下，输入确切的用户名并选择**添加**。

1. 在**已添加用户和组**项下，执行以下操作：

   1. 确认已指定您要向其授予管理权限的用户。

   1. 选中该用户名左边的复选框。

   1. 选择**提交**。

1. 在**管理同步**页面中，您指定的用户将显示在**同步范围内的用户**列表中。

1. 在导航窗格中，选择 **Users**（用户）。

1. 在**用户**页面上，您指定的用户可能需要一些时间才会出现在列表中。选择刷新图标以更新用户列表。

此时，您的用户无权访问管理账户。您可以通过创建管理权限集并将用户分配给该权限集来设置对此帐户的管理访问权限。有关更多信息，请参阅 [创建权限集](howtocreatepermissionset.md)。