本文属于机器翻译版本。若本译文内容与英语原文存在差异，则一律以英文原文为准。

# Microsoft AD 目录
<a name="manage-your-identity-source-ad"></a>

使用 AWS IAM Identity Center，您可以使用连接 Active Directory (AD) 中的自管理目录或中的 AWS Managed Microsoft AD 目录。 AWS Directory Service此 Microsoft AD 目录定义了管理员在使用 IAM Identity Center 控制台分配单点登录访问权限时可以从中提取的身份池。将您的公司目录连接到 IAM Identity Center 后，您可以向 AD 用户或群组授予对 AWS 账户应用程序或两者的访问权限。

AWS Directory Service 帮助您设置和运行托管在中的独立 AWS Managed Microsoft AD 目录 AWS 云。您还可以使用 Directory Service 将您的 AWS 资源与现有的自管理 AD 连接起来。 AWS Directory Service 要配置为使用自管理 AD，必须先设置信任关系以将身份验证扩展到云端。

IAM Identity Center 使用提供的连接 Directory Service 对源 AD 实例执行直通身份验证。当您使用 AWS Managed Microsoft AD 作为身份源时，IAM Identity Center 可以处理来自 AWS Managed Microsoft AD 或来自通过 AD 信任连接的任何域的用户。如果您想要在四个或更多域中找到用户，则用户在登录 IAM Identity Center 时必须使用 `DOMAIN\user` 语法作为其用户名。

**注意**  
作为先决条件，请确保您的 AD Connector 或 AWS Managed Microsoft AD 中的目录 Directory Service 位于您的 AWS Organizations 管理账户中。
IAM Identity Center 不支持基于 SAMBA 4 的 Simple AD 作为连接目录。
 IAM Identity Center 无法同步外部安全委托人 (FSPs)。如果中的群组 AWS Managed Microsoft AD 包含来自可信域的成员 FSPs，则这些成员将无法同步。

有关将 Active Directory 用作 IAM Identity Center 身份源的过程演示，请观看以下 YouTube 视频：

[![AWS Videos](http://img.youtube.com/vi/https://www.youtube.com/embed/OMbob_ef7J4?si=J23xw0EGkZOo8y9n/0.jpg)](http://www.youtube.com/watch?v=https://www.youtube.com/embed/OMbob_ef7J4?si=J23xw0EGkZOo8y9n)


## 使用 Active Directory 的注意事项
<a name="considerations-ad-identitysource"></a>

如果要使用 Active Directory 作为身份源，则您的配置必须满足以下先决条件：
+ 如果您正在使用 AWS Managed Microsoft AD，则必须在设置 AWS Managed Microsoft AD 目录的同一 AWS 区域 位置启用 IAM 身份中心。IAM Identity Center 会将分配数据存储在与目录相同的区域中。要管理 IAM Identity Center，您可能需要切换到配置 IAM Identity Center 的区域。另外，请注意， AWS 访问门户使用的访问网址与您的目录相同。
+ 使用驻留在管理帐户中的 Active Directory：

  您必须在中设置现有 AD Con AWS Managed Microsoft AD nector 或目录 AWS Directory Service，并且该目录必须位于您的 AWS Organizations 管理账户中。一次只能连接一个 AD Connector AWS Managed Microsoft AD 目录或一个目录。如果您需要支持多个域或林，请使用 AWS Managed Microsoft AD。有关更多信息，请参阅:
  + [将目录连接 AWS Managed Microsoft AD 到 IAM 身份中心](connectawsad.md)
  + [将 Active Directory 中的自行管理目录连接到 IAM Identity Center](connectonpremad.md)
+ 使用驻留在委托管理员帐户中的 Active Directory：

  如果您计划启用 IAM Identity Center 委托管理员并使用 Active Directory 作为您的 IAM 身份中心身份源，则可以使用位于委托管理员账户中的现有 AD Connector 或 AWS Managed Microsoft AD AWS 目录中设置的目录。

  如果您决定将 IAM Identity Center 身份源从任何其他源更改为 Active Directory，或者将其从 Active Directory 更改为任何其他源，则该目录必须驻留在 IAM Identity Center 委托管理员成员帐户（如果存在）中（归该帐户所有）；否则，它必须位于管理帐户中。

# 连接 Active Directory 并指定用户
<a name="get-started-connect-id-source-ad-idp-specify-user"></a>

如果您已经在使用 Active Directory，以下主题可帮助您准备好将目录连接到 IAM Identity Center。

您可以将 Active Directory 中的 AWS Managed Microsoft AD 目录或自管理目录与 IAM 身份中心连接。

**注意**  
IAM Identity Center 不支持将 SAMBA4基于的 Simple AD 作为身份源。

**AWS Managed Microsoft AD**

1. 请查看 [Microsoft AD 目录](manage-your-identity-source-ad.md) 中的指南。

1. 按照 [将目录连接 AWS Managed Microsoft AD 到 IAM 身份中心](connectawsad.md) 中的步骤操作。

1. 配置 Active Directory 以将您要向其授予管理权限的用户同步到 IAM Identity Center。有关更多信息，请参阅 [将管理用户同步到 IAM Identity Center 中](#sync-admin-user-from-ad)。

**Active Directory 中的自行管理目录**

1. 请查看 [Microsoft AD 目录](manage-your-identity-source-ad.md) 中的指南。

1. 按照 [将 Active Directory 中的自行管理目录连接到 IAM Identity Center](connectonpremad.md) 中的步骤操作。

1. 配置 Active Directory 以将您要向其授予管理权限的用户同步到 IAM Identity Center。有关更多信息，请参阅 [将管理用户同步到 IAM Identity Center 中](#sync-admin-user-from-ad)。

**外部 IdP**

1. 请查看 [外部身份提供者](manage-your-identity-source-idp.md) 中的指南。

1. 按照 [如何连接到外部身份提供商](how-to-connect-idp.md) 中的步骤操作。

1. 

   配置您的 IdP 以将用户预置到 IAM Identity Center 中。
**注意**  
在设置所有人力身份的基于组的自动预调配（从 IdP 到 IAM Identity Center）之前，我们建议您将要向其授予管理权限的一个用户同步到 IAM Identity Center 中。

## 将管理用户同步到 IAM Identity Center 中
<a name="sync-admin-user-from-ad"></a>

将您的 Active Directory 连接到 IAM Identity Center 后，您可以指定要向其授予管理权限的用户，然后将该用户从您的目录同步到 IAM Identity Center 中。

1. 打开 [IAM Identity Center 控制台](https://console.aws.amazon.com/singlesignon)。

1. 选择**设置**。

1. 在**设置**页面上，选择**身份源**选项卡，从中选择**操作**，然后选择**管理同步**。

1. 在**管理同步**页面上，选择**用户**选项卡，然后选择**添加用户和组**。

1. 在**用户**选项卡的**用户**项下，输入确切的用户名并选择**添加**。

1. 在**已添加用户和组**项下，执行以下操作：

   1. 确认已指定您要向其授予管理权限的用户。

   1. 选中该用户名左边的复选框。

   1. 选择**提交**。

1. 在**管理同步**页面中，您指定的用户将显示在**同步范围内的用户**列表中。

1. 在导航窗格中，选择 **Users**（用户）。

1. 在**用户**页面上，您指定的用户可能需要一些时间才会出现在列表中。选择刷新图标以更新用户列表。

此时，您的用户无权访问管理账户。您可以通过创建管理权限集并将用户分配给该权限集来设置对此帐户的管理访问权限。有关更多信息，请参阅 [创建权限集](howtocreatepermissionset.md)。

## 当用户来自 Active Directory 时进行预置
<a name="provision-users-from-ad"></a>

IAM Identity Center 使用提供的连接将用户、群组和成员资格信息从 Active Directory 中的源目录同步到 IAM 身份中心身份存储。 Directory Service 密码信息不会同步到 IAM Identity Center，因为用户身份验证直接通过 Active Directory 中的源目录进行。应用程序可使用此身份数据推进应用程序内的查找、授权和协作场景，无需将 LDAP 活动传递回 Active Directory 中的源目录。

有关预置的更多信息，请参阅 [用户和组预调配](users-groups-provisioning.md#user-group-provision)。

**Topics**
+ [使用 Active Directory 的注意事项](#considerations-ad-identitysource)
+ [连接 Active Directory 并指定用户](get-started-connect-id-source-ad-idp-specify-user.md)
+ [当用户来自 Active Directory 时进行预置](#provision-users-from-ad)
+ [将目录连接 AWS Managed Microsoft AD 到 IAM 身份中心](connectawsad.md)
+ [将 Active Directory 中的自行管理目录连接到 IAM Identity Center](connectonpremad.md)
+ [IAM Identity Center 与外部身份提供者目录之间的属性映射](attributemappingsconcept.md)
+ [IAM Identity Center 可配置 AD 同步](provision-users-from-ad-configurable-ADsync.md)

# 将目录连接 AWS Managed Microsoft AD 到 IAM 身份中心
<a name="connectawsad"></a>

使用以下步骤将中 AWS Managed Microsoft AD 由管理的目录连接 AWS Directory Service 到 IAM Identity Center。

**连接 AWS Managed Microsoft AD 到 IAM 身份中心**

1. 打开 [IAM Identity Center 控制台](https://console.aws.amazon.com/singlesignon)。
**注意**  
在进行下一步之前，请确保 IAM Identity Center 控制台正在使用您的 AWS Managed Microsoft AD 目录所在的区域之一。

1. 选择**设置**。

1. 在**设置**页面上，选择**身份源**选项卡，然后选择**操作>更改身份源**。

1. 在**选择身份源**下，选择**活动目录**，然后选择**下一步**。

1. 在**连接活动目录**下，从列表中的 AWS Managed Microsoft AD 中选择一个目录，然后选择**下一步**。

1. 在**确认更改**下，查看信息，准备就绪后键入**接受**，然后选择**更改身份源**。
**重要**  
要将 Active Directory 中的用户指定为 IAM Identity Center 中的管理用户，您必须首先将要向其授予管理权限的用户从 Active Directory 同步到 IAM Identity Center。为此，请按照[将管理用户同步到 IAM Identity Center 中](get-started-connect-id-source-ad-idp-specify-user.md#sync-admin-user-from-ad)中的步骤进行操作。

# 将 Active Directory 中的自行管理目录连接到 IAM Identity Center
<a name="connectonpremad"></a>

您在 Active Directory (AD) 中自行管理的目录中的用户也可以通过单点登录访问 AWS 账户 权限访问访问 AWS 门户中的应用程序。要为这些用户配置单点登录访问，您可以执行以下任一操作：
+ **创建双向信任关系**-在 AD 中 AWS Managed Microsoft AD 与自管理目录之间创建双向信任关系时，AD 中自我管理目录中的用户可以使用其公司凭据登录各种 AWS 服务和业务应用程序。单向信任不适用于 IAM Identity Center。

  AWS IAM Identity Center 需要双向信任，以便它有权从您的域中读取用户和群组信息，从而同步用户和群组元数据。IAM Identity Center 在分配对权限集或应用程序的访问权限时使用此元数据。应用程序还使用用户和组元数据进行协作，例如当您与其他用户或组共享仪表板时。Microsoft Active Directory 对你的域的信任允许 IAM 身份中心信任你的域进行身份验证。 Directory Service 相反方向的信任会授予读取用户和群组元数据的 AWS 权限。

  有关设置双向信任的详细信息，请参阅 *AWS Directory Service 管理指南*中的[何时创建信任关系](https://docs.aws.amazon.com/directoryservice/latest/admin-guide/setup_trust.html)。
**注意**  
为了使用诸如 IAM Identity Center 之类的 AWS 应用程序从可信域读取 Directory Service 目录用户，这些 Directory Service 账户需要对可信用户的 userAccountControl属性拥有权限。如果没有此属性的读取权限， AWS 应用程序就无法确定是启用还是禁用了该账户。  
创建信任时，默认会提供对该属性的读取权限。如果您拒绝对此属性的访问权限（不推荐），会让 Identity Center 等应用程序无法读取可信用户。解决方案是专门允许对预 AWS 留 OU（前缀为 AWS\$1）下的 AWS 服务帐号的`userAccountControl`属性的读取权限。
+ **创建 AD Connector**——AD Connector 是一个目录网关，可以将目录请求重定向到您的自行管理 AD，而无需在云中缓存任何信息。有关详细信息，请参阅 *AWS Directory Service 管理指南*中的[连接到目录](https://docs.aws.amazon.com/directoryservice/latest/admin-guide/directory_ad_connector.html)。以下是配置 AD Connector 策略时的注意事项：
  + 如果您将 IAM Identity Center 连接到 AD Connector 目录，则任何未来的用户密码重置都必须在 AD 内完成。这意味着用户将无法从 AWS 访问门户重置密码。
  + 如果您使用 AD Connector 将 Active Directory 域服务连接到 IAM Identity Center，则 IAM Identity Center 仅有权访问 AD Connector 附加到的单个域的用户和组。如果您需要支持多个域或林，请对 Microsoft Active Directory 使用 Directory Service 。
**注意**  
IAM 身份中心不适用于 SAMBA4基于 Simple AD 的目录。

# IAM Identity Center 与外部身份提供者目录之间的属性映射
<a name="attributemappingsconcept"></a>

属性映射可用于将 IAM Identity Center 中存在的属性类型与 Google Workspace、Microsoft Active Directory (AD) 和 Okta 等外部身份源中的类似属性进行映射。IAM Identity Center 从身份源目录检索用户属性并将其映射到 IAM Identity Center 用户属性。

如果您的 IAM Identity Center 同步使用**外部身份提供者**（IdP）（如 Google Workspace、Okta 或 Ping）作为身份源，您将需要在 IdP 中映射属性。

IAM Identity Center 在其配置页面上的**属性映射**选项卡下为您预填充一组属性。IAM Identity Center 使用这些用户属性来填充发送到应用程序的 SAML 断言（作为 SAML 属性）。反过来，系统会从身份源中检索这些用户属性。每个应用程序都会确定为了成功实现单点登录，其所需的 SAML 2.0 属性列表。有关更多信息，请参阅 [将应用程序中的属性映射到 IAM Identity Center 属性](mapawsssoattributestoapp.md)。

如果将 Active Directory 用作身份源，IAM Identity Center 还会在 **Active Directory 配置**页面的**属性映射**部分下为您管理一组属性。有关更多信息，请参阅 [在 IAM Identity Center 和 Microsoft AD 目录之间映射用户属性](mapssoattributestocdattributes.md)。

## 支持的外部身份提供商属性
<a name="supportedidpattributes"></a>

下表列出了所有受支持且可以映射到您在 IAM Identity Center 中配置 [访问控制属性](attributesforaccesscontrol.md) 时可以使用的属性的外部身份提供者（IdP）属性。使用 SAML 断言时，您可以使用 IdP 支持的任何属性。


****  

| IdP 中支持的属性 | 
| --- | 
| \$1\$1path:userName\$1 | 
| \$1\$1path:name.familyName\$1 | 
| \$1\$1path:name.givenName\$1 | 
| \$1\$1path:displayName\$1 | 
| \$1\$1path:nickName\$1 | 
| \$1\$1path:emails[primary eq true].value\$1 | 
| \$1\$1path:addresses[type eq "work"].streetAddress\$1 | 
| \$1\$1path:addresses[type eq "work"].locality\$1 | 
| \$1\$1path:addresses[type eq "work"].region\$1 | 
| \$1\$1path:addresses[type eq "work"].postalCode\$1 | 
| \$1\$1path:addresses[type eq "work"].country\$1 | 
| \$1\$1path:addresses[type eq "work"].formatted\$1 | 
| \$1\$1path:phoneNumbers[type eq "work"].value\$1 | 
| \$1\$1path:userType\$1 | 
| \$1\$1path:title\$1 | 
| \$1\$1path:locale\$1 | 
| \$1\$1path:timezone\$1 | 
| \$1\$1path:enterprise.employeeNumber\$1 | 
| \$1\$1path:enterprise.costCenter\$1 | 
| \$1\$1path:enterprise.organization\$1 | 
| \$1\$1path:enterprise.division\$1 | 
| \$1\$1path:enterprise.department\$1 | 
| \$1\$1path:enterprise.manager.value\$1 | 

## IAM Identity Center 与 Microsoft AD 之间的默认映射
<a name="defaultattributemappings"></a>

下表列出了 IAM Identity Center 中的用户属性到 Microsoft AD 目录中的用户属性的默认映射。IAM Identity Center 仅支持 **IAM Identity Center 列中的用户属性**中的属性列表。


****  

| IAM Identity Center 中的用户属性  | 映射到您的 Active Directory 中的此属性 | 
| --- | --- | 
| displayname | \$1\$1displayname\$1 | 
| emails[?primary].value \$1 | \$1\$1mail\$1 | 
| externalid | \$1\$1objectguid\$1 | 
| name.givenname | \$1\$1givenname\$1 | 
| name.familyname | \$1\$1sn\$1 | 
| name.middlename | \$1\$1initials\$1 | 
| sid | \$1\$1objectsid\$1 | 
| username | \$1\$1userprincipalname\$1 | 

\$1 IAM Identity Center 中的电子邮件属性在目录中必须是唯一的。


****  

| IAM Identity Center 中的组属性  | 映射到您的 Active Directory 中的此属性 | 
| --- | --- | 
| externalid | \$1\$1objectguid\$1 | 
| description | \$1\$1description\$1 | 
| displayname | \$1\$1samaccountname\$1@\$1associateddomain\$1 | 

**注意事项**
+ 如果您在启用可配置 AD 同步时在 IAM Identity Center 中没有为您的用户和组进行任何分配，则将使用前面表格中的默认映射。有关如何自定义这些映射的信息，请参阅 [配置用于同步的属性映射](manage-sync-configure-attribute-mapping-configurable-ADsync.md)。
+ 某些 IAM Identity Center 属性无法修改，因为它们是不可变的，并且默认映射到特定的 Microsoft AD 目录属性。

  例如，username 是 IAM Identity Center 的必填属性。如果将 username 映射到值为空的 AD 目录属性，IAM Identity Center 会将 `windowsUpn` 值视为 username 的默认值。如果想从当前映射中更改 username 的属性映射，请在更改之前确认与 username 存在依赖关系的 IAM Identity Center 流程会继续按预期运行。

## IAM Identity Center 支持的 Microsoft AD 属性
<a name="supporteddirectoryattributes"></a>

下表列出了所有受支持且可映射到 IAM Identity Center 中的用户属性的 Microsoft AD 目录属性。


****  

| Microsoft AD 目录支持的属性 | 
| --- | 
| \$1\$1samaccountname\$1 | 
| \$1\$1description\$1 | 
| \$1\$1objectguid\$1 | 
| \$1\$1objectsid\$1 | 
| \$1\$1givenname\$1 | 
| \$1\$1sn\$1 | 
| \$1\$1initials\$1 | 
| \$1\$1mail\$1 | 
| \$1\$1userprincipalname\$1 | 
| \$1\$1displayname\$1 | 
| \$1\$1distinguishedname\$1 | 
| \$1\$1proxyaddresses[?type == "SMTP"].value\$1 | 
| \$1\$1proxyaddresses[?type == "smtp"].value\$1 | 
| \$1\$1useraccountcontrol\$1 | 
| \$1\$1associateddomain\$1 | 

**注意事项**
+ 您可以指定受支持的 Microsoft AD 目录属性的任意组合以映射到 IAM Identity Center 中的单个可变属性。

## Microsoft AD 支持的 IAM Identity Center 属性
<a name="supportedssoattributes"></a>

下表列出了受支持且可以映射到 Microsoft AD 目录中的用户属性的所有 IAM Identity Center 属性。设置应用程序属性映射后，您可以使用这些相同的 IAM Identity Center 属性来映射到该应用程序使用的实际属性。


****  

| IAM Identity Center 中 Active Directory 支持的属性 | 
| --- | 
| \$1\$1user:AD\$1GUID\$1 | 
| \$1\$1user:AD\$1SID\$1 | 
| \$1\$1user:email\$1 | 
| \$1\$1user:familyName\$1 | 
| \$1\$1user:givenName\$1 | 
| \$1\$1user:middleName\$1 | 
| \$1\$1user:name\$1 | 
| \$1\$1user:preferredUsername\$1 | 
| \$1\$1user:subject\$1 | 

# 在 IAM Identity Center 和 Microsoft AD 目录之间映射用户属性
<a name="mapssoattributestocdattributes"></a>

您可以使用以下过程指定 IAM Identity Center 中的用户属性应如何映射到 Microsoft AD 目录中对应的属性。

**将 IAM Identity Center 中的属性映射到目录中的属性**

1. 打开 [IAM Identity Center 控制台](https://console.aws.amazon.com/singlesignon)。

1. 选择**设置**。

1. 在**设置**页面上，选择**访问控制的属性**选项卡，然后选择**管理属性**。

1. 在**管理访问控制属性**页面上，在 IAM Identity Center 中找到您要映射的属性，然后在文本框中键入值。例如，您可能希望将 IAM Identity Center 用户属性 **`email`** 映射到 Microsoft AD 目录属性 **`${mail}`**。

1. 选择**保存更改**。

# IAM Identity Center 可配置 AD 同步
<a name="provision-users-from-ad-configurable-ADsync"></a>

IAM Identity Center 可配置的 Active Directory (AD) 同步使您能够显式配置 Microsoft Active Directory 中的身份，这些身份会自动同步到 IAM Identity Center 并控制同步过程。
+ 在该同步方法中，您可以执行下述步骤：
  + 通过显式定义 Microsoft Active Directory 中自动同步到 IAM Identity Center 的用户和组来控制数据边界。您可以随时[添加用户和组](manage-sync-add-users-groups-configurable-ADsync.md)或[删除用户和组](manage-sync-remove-users-groups-configurable-ADsync.md)以更改同步范围。
  + 为同步用户和组分配[对 AWS 账户的单点登录访问权限](useraccess.md)或[对应用程序的访问权限](assignuserstoapp.md)。这些应用程序可以是 AWS 托管应用程序或客户管理的应用程序。
  + 通过根据需要[暂停和恢复同步](manage-sync-pause-resume-sync-configurable-ADsync.md)来控制同步过程。这可以帮助您调节生产系统的负载。

## 先决条件和注意事项
<a name="prerequisites-configurable-ADsync"></a>

在使用可配置的 AD 同步之前，请注意以下先决条件和注意事项：
+ **指定 Active Directory 中要同步的用户和组**

  在使用 IAM Identity Center 为新用户和群组分配 AWS 托管应用程序或客户托管应用程序的访问权限之前，您必须在 Active Directory 中指定要同步的用户和群组，然后将其同步到 IAM Identity Center 中。 AWS 账户 
  + **可配置的 AD 同步**——IAM Identity Center 不会直接在域控制器中搜索用户和组。相反，您必须首先指定要同步的用户和组的列表。您可以通过以下方式之一配置此列表（也称为*同步范围*），具体取决于您的用户和组是否已同步到 IAM Identity Center，或者您有新用户和组是首次使用可配置的 AD 同步进行同步。
    + 现有用户和组：如果您的用户和组已同步到 IAM Identity Center，则可配置 AD 同步中的同步范围将预先填充这些用户和组的列表。要分配新用户或组，您必须专门将它们添加到同步范围。有关更多信息，请参阅 [将用户和组添加到您的同步范围](manage-sync-add-users-groups-configurable-ADsync.md)。
    + 新用户和组：如果您想要为新用户和组分配对 AWS 账户 和应用程序的访问权限，您必须在可配置的 AD 同步中指定要添加到同步范围的用户和组，然后才能使用 IAM Identity Center 进行分配。有关更多信息，请参阅 [将用户和组添加到您的同步范围](manage-sync-add-users-groups-configurable-ADsync.md)。
+ <a name="makingassignmentsnestedgroups"></a>**分配到 Active Directory 中的嵌套组**

  作为其他组成员的组称为*嵌套组*（或子组）。
  + **可配置 AD 同步** – 使用可配置 AD 同步分配 Active Directory 中包含嵌套组的组，可能会扩大有权访问 AWS 账户 或应用程序的用户范围。在这种情况下，分配将应用于所有用户，包括嵌套组中的用户。例如，如果您向组 A 分配访问权限，而组 B 是组 A 的成员，则组 B 的成员也会继承此访问权限。
+ **更新自动化工作流程**

  如果您有自动化工作流程，其使用 IAM Identity Center 身份存储 API 操作和 IAM Identity Center 分配 API 操作来分配新用户和组对帐户和应用程序的访问权限并将其同步到 IAM Identity Center，您必须通过以下方式调整这些工作流程： 2022 年 4 月 15 日，以便它们通过可配置的 AD 同步按预期运行。可配置的 AD 同步可更改用户和组分配和预置发生的顺序以及执行查询的方式。
  + **可配置的 AD 同步**——首先进行预置，并且不会自动执行。相反，您必须首先通过将用户和组添加到同步范围来明确将用户和组添加到身份存储。有关自动执行同步配置以实现可配置 AD 同步的建议步骤的信息，请参阅 [自动执行同步配置以实现可配置的 AD 同步](automate-sync-configuration-configurable-ADsync.md)。

**Topics**
+ [先决条件和注意事项](#prerequisites-configurable-ADsync)
+ [可配置 AD 同步的工作原理](how-it-works-configurable-ADsync.md)
+ [配置用于同步的属性映射](manage-sync-configure-attribute-mapping-configurable-ADsync.md)
+ [首次将 Active Directory 同步到 IAM Identity Center 的设置](manage-sync-configurable-ADsync.md)
+ [将用户和组添加到您的同步范围](manage-sync-add-users-groups-configurable-ADsync.md)
+ [从同步范围中删除用户和组](manage-sync-remove-users-groups-configurable-ADsync.md)
+ [暂停和恢复同步](manage-sync-pause-resume-sync-configurable-ADsync.md)
+ [自动执行同步配置以实现可配置的 AD 同步](automate-sync-configuration-configurable-ADsync.md)

# 可配置 AD 同步的工作原理
<a name="how-it-works-configurable-ADsync"></a>

IAM Identity Center 使用以下过程刷新身份存储中基于 AD 的身份数据。要了解有关先决条件的更多信息，请参阅 [先决条件和注意事项](provision-users-from-ad-configurable-ADsync.md#prerequisites-configurable-ADsync)。

## 创建
<a name="how-it-works-creation-configurable-ADsync"></a>

将 Active Directory 中的自我管理 AWS Managed Microsoft AD 目录或由管理的目录连接 Directory Service 到 IAM 身份中心后，您可以显式配置要同步到 IAM 身份中心身份存储中的 Active Directory 用户和群组。您选择的身份将每三个小时左右同步到 IAM Identity Center 身份存储中。根据目录的大小，同步过程可能需要更长的时间。

作为其他组成员的组（称为*嵌套组*或*子组*）也会写入身份存储。

您只能在新用户或组同步到 IAM Identity Center 身份存储后为其分配访问权限。

## 更新
<a name="how-it-works-update-configurable-ADsync"></a>

通过定期从 Active Directory 中的源目录读取数据，IAM Identity Center 身份存储中的身份数据保持最新。IAM Identity Center 默认会在同步周期内每小时同步来自 Active Directory 的数据。根据 Active Directory 的大小，数据可能需要 30 分钟到 2 小时才能同步到 IAM Identity Center。

同步范围内的用户和组对象及其成员身份在 IAM Identity Center 中创建或更新，以映射到 Active Directory 源目录中的相应对象。对于用户属性，仅在 IAM Identity Center 控制台的**访问控制属性**部分中列出的属性子集会在 IAM Identity Center 中更新。您在 Active Directory 中所做的任何属性更新，可能需要一个同步周期才能反映在 IAM Identity Center 中。

您还可以更新同步到 IAM Identity Center 身份存储中的用户和组子集。您可以选择将新用户或组添加到此子集中，或将其删除。您添加的任何身份都会在下一次计划的同步时同步。您从子集中删除的身份将停止在 IAM Identity Center 身份存储中更新。超过 28 天未同步的任何用户都将在 IAM Identity Center 身份存储中被禁用。在下一个同步周期期间，相应的用户对象将在 IAM Identity Center 身份存储中自动禁用，除非它们属于仍属于同步范围的另一个组的一部分。

## 删除
<a name="how-it-works-deletion-configurable-ADsync"></a>

当从 Active Directory 中的源目录中删除相应的用户或组对象时，用户和组将从 IAM Identity Center 身份存储中删除。或者，您可以使用 IAM Identity Center 控制台从 IAM Identity Center 身份存储中明确删除用户对象。如果您使用 IAM Identity Center 控制台，您还必须从同步范围中删除用户，以确保他们在下一个同步周期内不会重新同步回 IAM Identity Center。

您还可以随时暂停和恢复同步。如果您暂停同步的时间超过 28 天，则所有用户都将被禁用。

# 配置用于同步的属性映射
<a name="manage-sync-configure-attribute-mapping-configurable-ADsync"></a>

有关属性的更多信息，请参阅 [IAM Identity Center 与外部身份提供者目录之间的属性映射](attributemappingsconcept.md)。

**在 IAM Identity Center 中配置到您的目录的属性映射**

1. 打开 [IAM Identity Center 控制台](https://console.aws.amazon.com/singlesignon)。

1. 选择**设置**。

1. 在**设置**页面上，选择**身份源**选项卡，从中选择**操作**，然后选择**管理同步**。

1. 在**管理同步**下，选择**查看属性映射**。

1. 在 **Active Directory 用户属性**下，配置 **IAM Identity Center 身份存储属性**和 **Active Directory 用户属性**。例如，您可能希望将 IAM Identity Center 身份存储属性 `email` 映射到 Active Directory 用户目录属性 `${objectguid}`。
**注意**  
在**组属性**下，无法更改 **IAM Identity Center 身份存储属性**和 **Active Directory 组属性**。

1. 选择**保存更改**。这将返回**管理同步**页面。

# 首次将 Active Directory 同步到 IAM Identity Center 的设置
<a name="manage-sync-configurable-ADsync"></a>

如果是首次将用户和组从 Active Directory 同步到 IAM Identity Center，请按照以下步骤操作。或者，您可以遵循 [更改您的身份源](manage-your-identity-source-change.md) 中概述的步骤，将身份源从 IAM Identity Center 更改为 Active Directory。

## 引导式设置
<a name="manage-sync-guided-setup-configurable-ADsync"></a>

1. 打开 [IAM Identity Center 控制台](https://console.aws.amazon.com/singlesignon)。
**注意**  
在进入下一步之前，请确保 IAM Identity Center 控制台使用的是您的 AWS Managed Microsoft AD 目录所在的控制台。 AWS 区域 

1. 选择**设置**。

1. 在页面顶部的通知消息中，选择**启动引导式设置**。

1. 在**步骤 1——*可选*：配置属性映射**中，查看默认的用户和组属性映射。如果不需要更改，请选择**下一步**。如果需要更改，请进行更改，然后选择**保存更改**。

1. 在**步骤 2——*可选*：配置同步范围**中，选择**用户**选项卡。然后，输入要添加到同步范围的用户的确切用户名，然后选择**添加**。接下来，选择 **组** 选项卡。输入要添加到同步范围的组的确切组名称，然后选择**添加**。然后选择**下一步**。如果您想稍后将用户和组添加到同步范围，请不进行任何更改并选择**下一步**。

1. 在**步骤 3：查看并保存配置**中，确认**步骤 1：属性映射**中的**属性映射**以及**步骤 2：同步范围**中的**用户和组**。选择 **Save configuration**。这将带您进入**管理同步**页面。

# 将用户和组添加到您的同步范围
<a name="manage-sync-add-users-groups-configurable-ADsync"></a>

**注意**  
将群组添加到同步范围时，请直接从受信任的本地域同步群组，而不是从域中的群组同步群组。 AWS Managed Microsoft AD 直接从可信域同步的群组包含 IAM Identity Center 可以成功访问和同步的实际用户对象。

 按照以下步骤将 Active Directory 用户和组添加到 IAM Identity Center。

**添加用户**

1. 打开 [IAM Identity Center 控制台](https://console.aws.amazon.com/singlesignon)。

1. 选择**设置**。

1. 在**设置**页面上，选择**身份源**选项卡，从中选择**操作**，然后选择**管理同步**。

1. 在**管理同步**页面上，选择**用户**选项卡，然后选择**添加用户和组**。

1. 在**用户**选项卡的**用户**项下，输入确切的用户名并选择**添加**。

1. 在**已添加的用户和组**下，查看要添加的用户。

1. 选择**提交**。

1. 在导航窗格中，选择 **Users**（用户）。如果列表中未显示您指定的用户，请选择刷新图标更新用户列表。

**添加组**

1. 打开 [IAM Identity Center 控制台](https://console.aws.amazon.com/singlesignon)。

1. 选择**设置**。

1. 在**设置**页面上，选择**身份源**选项卡，从中选择**操作**，然后选择**管理同步**。

1. 在**管理同步**页面上，选择**组**选项卡，然后选择**添加用户和组**。

1. 选择**组**选项卡。在**组**下，输入准确的组名称并选择**添加**。

1. 在**已添加的用户和组**下，查看要添加的组。

1. 选择**提交**。

1. 在导航窗格中，选择 **组**。如果列表中未显示您指定的组，请选择刷新图标更新组列表。

# 从同步范围中删除用户和组
<a name="manage-sync-remove-users-groups-configurable-ADsync"></a>

有关从同步范围中删除用户和组时会发生什么情况的详细信息，请参阅 [可配置 AD 同步的工作原理](how-it-works-configurable-ADsync.md)。

**删除用户**

1. 打开 [IAM Identity Center 控制台](https://console.aws.amazon.com/singlesignon)。

1. 选择**设置**。

1. 在**设置**页面上，选择**身份源**选项卡，从中选择**操作**，然后选择**管理同步**。

1. 选择**用户**选项卡。

1. 在**同步范围内的用户**下，选中要删除的用户旁边的复选框。要删除所有用户，请选中**用户名**旁边的复选框。

1. 选择**移除 **。

**移除组**

1. 打开 [IAM Identity Center 控制台](https://console.aws.amazon.com/singlesignon)。

1. 选择**设置**。

1. 在**设置**页面上，选择**身份源**选项卡，从中选择**操作**，然后选择**管理同步**。

1. 选择**组**选项卡。

1. 在**同步范围内的组**下，选中要删除的用户旁边的复选框。要删除所有组，请选中**组名称**旁边的复选框。

1. 选择**移除 **。

# 暂停和恢复同步
<a name="manage-sync-pause-resume-sync-configurable-ADsync"></a>

暂停同步会暂停所有未来的同步周期，并防止您对 Active Directory 中的用户和组所做的任何更改反映在 IAM Identity Center 中。恢复同步后，同步周期将从下一次计划的同步中获取这些更改。

**暂停同步**

1. 打开 [IAM Identity Center 控制台](https://console.aws.amazon.com/singlesignon)。

1. 选择**设置**。

1. 在**设置**页面上，选择**身份源**选项卡，从中选择**操作**，然后选择**管理同步**。

1. 在**管理同步**下，选择**暂停同步**。

**恢复同步**

1. 打开 [IAM Identity Center 控制台](https://console.aws.amazon.com/singlesignon)。

1. 选择**设置**。

1. 在**设置**页面上，选择**身份源**选项卡，从中选择**操作**，然后选择**管理同步**。

1. 在**管理同步**下，选择**恢复同步**。
**注意**  
如果您看到**暂停同步**而不是**恢复同步**，则表明从 Active Directory 到 IAM Identity Center 的同步已恢复。

# 自动执行同步配置以实现可配置的 AD 同步
<a name="automate-sync-configuration-configurable-ADsync"></a>

为了确保您的自动化工作流程通过可配置的 AD 同步按预期工作，我们建议您执行以下步骤来自动化同步配置。

**要自动执行同步配置以实现可配置的 AD 同步**

1. 在 Active Directory 中，创建一个*父同步组*以包含您想要同步到 IAM Identity Center 的所有用户和组。例如，您可以为该组命名*IAMIdentityCenterAllUsersAndGroups*。

1. 在 IAM Identity Center 中，将父同步组添加到您的可配置同步列表中。IAM Identity Center 将同步父同步组中包含的所有用户、组、子组以及所有组的成员。

1. 使用 Microsoft 提供的 Active Directory 用户和组管理 API 操作在父同步组中添加或删除用户和组。