本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
# IAM Identity Center 可配置 AD 同步
IAM Identity Center 可配置的 Active Directory (AD) 同步使您能够显式配置 Microsoft Active Directory 中的身份,这些身份会自动同步到 IAM Identity Center 并控制同步过程。
+ 在该同步方法中,您可以执行下述步骤:
+ 通过显式定义 Microsoft Active Directory 中自动同步到 IAM Identity Center 的用户和组来控制数据边界。您可以随时[添加用户和组](manage-sync-add-users-groups-configurable-ADsync.md)或[删除用户和组](manage-sync-remove-users-groups-configurable-ADsync.md)以更改同步范围。
+ 为同步用户和组分配[对 AWS 账户的单点登录访问权限](useraccess.md)或[对应用程序的访问权限](assignuserstoapp.md)。这些应用程序可以是 AWS 托管应用程序或客户管理的应用程序。
+ 通过根据需要[暂停和恢复同步](manage-sync-pause-resume-sync-configurable-ADsync.md)来控制同步过程。这可以帮助您调节生产系统的负载。
## 先决条件和注意事项
在使用可配置的 AD 同步之前,请注意以下先决条件和注意事项:
+ **指定 Active Directory 中要同步的用户和组**
在使用 IAM Identity Center 为新用户和群组分配 AWS 托管应用程序或客户托管应用程序的访问权限之前,您必须在 Active Directory 中指定要同步的用户和群组,然后将其同步到 IAM Identity Center 中。 AWS 账户
+ **可配置的 AD 同步**——IAM Identity Center 不会直接在域控制器中搜索用户和组。相反,您必须首先指定要同步的用户和组的列表。您可以通过以下方式之一配置此列表(也称为*同步范围*),具体取决于您的用户和组是否已同步到 IAM Identity Center,或者您有新用户和组是首次使用可配置的 AD 同步进行同步。
+ 现有用户和组:如果您的用户和组已同步到 IAM Identity Center,则可配置 AD 同步中的同步范围将预先填充这些用户和组的列表。要分配新用户或组,您必须专门将它们添加到同步范围。有关更多信息,请参阅 [将用户和组添加到您的同步范围](manage-sync-add-users-groups-configurable-ADsync.md)。
+ 新用户和组:如果您想要为新用户和组分配对 AWS 账户 和应用程序的访问权限,您必须在可配置的 AD 同步中指定要添加到同步范围的用户和组,然后才能使用 IAM Identity Center 进行分配。有关更多信息,请参阅 [将用户和组添加到您的同步范围](manage-sync-add-users-groups-configurable-ADsync.md)。
+ **分配到 Active Directory 中的嵌套组**
作为其他组成员的组称为*嵌套组*(或子组)。
+ **可配置 AD 同步** – 使用可配置 AD 同步分配 Active Directory 中包含嵌套组的组,可能会扩大有权访问 AWS 账户 或应用程序的用户范围。在这种情况下,分配将应用于所有用户,包括嵌套组中的用户。例如,如果您向组 A 分配访问权限,而组 B 是组 A 的成员,则组 B 的成员也会继承此访问权限。
+ **更新自动化工作流程**
如果您有自动化工作流程,其使用 IAM Identity Center 身份存储 API 操作和 IAM Identity Center 分配 API 操作来分配新用户和组对帐户和应用程序的访问权限并将其同步到 IAM Identity Center,您必须通过以下方式调整这些工作流程: 2022 年 4 月 15 日,以便它们通过可配置的 AD 同步按预期运行。可配置的 AD 同步可更改用户和组分配和预置发生的顺序以及执行查询的方式。
+ **可配置的 AD 同步**——首先进行预置,并且不会自动执行。相反,您必须首先通过将用户和组添加到同步范围来明确将用户和组添加到身份存储。有关自动执行同步配置以实现可配置 AD 同步的建议步骤的信息,请参阅 [自动执行同步配置以实现可配置的 AD 同步](automate-sync-configuration-configurable-ADsync.md)。
**Topics**
+ [先决条件和注意事项](#prerequisites-configurable-ADsync)
+ [可配置 AD 同步的工作原理](how-it-works-configurable-ADsync.md)
+ [配置用于同步的属性映射](manage-sync-configure-attribute-mapping-configurable-ADsync.md)
+ [首次将 Active Directory 同步到 IAM Identity Center 的设置](manage-sync-configurable-ADsync.md)
+ [将用户和组添加到您的同步范围](manage-sync-add-users-groups-configurable-ADsync.md)
+ [从同步范围中删除用户和组](manage-sync-remove-users-groups-configurable-ADsync.md)
+ [暂停和恢复同步](manage-sync-pause-resume-sync-configurable-ADsync.md)
+ [自动执行同步配置以实现可配置的 AD 同步](automate-sync-configuration-configurable-ADsync.md)
# 可配置 AD 同步的工作原理
IAM Identity Center 使用以下过程刷新身份存储中基于 AD 的身份数据。要了解有关先决条件的更多信息,请参阅 [先决条件和注意事项](provision-users-from-ad-configurable-ADsync.md#prerequisites-configurable-ADsync)。
## 创建
将 Active Directory 中的自我管理 AWS Managed Microsoft AD 目录或由管理的目录连接 Directory Service 到 IAM 身份中心后,您可以显式配置要同步到 IAM 身份中心身份存储中的 Active Directory 用户和群组。您选择的身份将每三个小时左右同步到 IAM Identity Center 身份存储中。根据目录的大小,同步过程可能需要更长的时间。
作为其他组成员的组(称为*嵌套组*或*子组*)也会写入身份存储。
您只能在新用户或组同步到 IAM Identity Center 身份存储后为其分配访问权限。
## 更新
通过定期从 Active Directory 中的源目录读取数据,IAM Identity Center 身份存储中的身份数据保持最新。IAM Identity Center 默认会在同步周期内每小时同步来自 Active Directory 的数据。根据 Active Directory 的大小,数据可能需要 30 分钟到 2 小时才能同步到 IAM Identity Center。
同步范围内的用户和组对象及其成员身份在 IAM Identity Center 中创建或更新,以映射到 Active Directory 源目录中的相应对象。对于用户属性,仅在 IAM Identity Center 控制台的**访问控制属性**部分中列出的属性子集会在 IAM Identity Center 中更新。您在 Active Directory 中所做的任何属性更新,可能需要一个同步周期才能反映在 IAM Identity Center 中。
您还可以更新同步到 IAM Identity Center 身份存储中的用户和组子集。您可以选择将新用户或组添加到此子集中,或将其删除。您添加的任何身份都会在下一次计划的同步时同步。您从子集中删除的身份将停止在 IAM Identity Center 身份存储中更新。超过 28 天未同步的任何用户都将在 IAM Identity Center 身份存储中被禁用。在下一个同步周期期间,相应的用户对象将在 IAM Identity Center 身份存储中自动禁用,除非它们属于仍属于同步范围的另一个组的一部分。
## 删除
当从 Active Directory 中的源目录中删除相应的用户或组对象时,用户和组将从 IAM Identity Center 身份存储中删除。或者,您可以使用 IAM Identity Center 控制台从 IAM Identity Center 身份存储中明确删除用户对象。如果您使用 IAM Identity Center 控制台,您还必须从同步范围中删除用户,以确保他们在下一个同步周期内不会重新同步回 IAM Identity Center。
您还可以随时暂停和恢复同步。如果您暂停同步的时间超过 28 天,则所有用户都将被禁用。
# 配置用于同步的属性映射
有关属性的更多信息,请参阅 [IAM Identity Center 与外部身份提供者目录之间的属性映射](attributemappingsconcept.md)。
**在 IAM Identity Center 中配置到您的目录的属性映射**
1. 打开 [IAM Identity Center 控制台](https://console.aws.amazon.com/singlesignon)。
1. 选择**设置**。
1. 在**设置**页面上,选择**身份源**选项卡,从中选择**操作**,然后选择**管理同步**。
1. 在**管理同步**下,选择**查看属性映射**。
1. 在 **Active Directory 用户属性**下,配置 **IAM Identity Center 身份存储属性**和 **Active Directory 用户属性**。例如,您可能希望将 IAM Identity Center 身份存储属性 `email` 映射到 Active Directory 用户目录属性 `${objectguid}`。
**注意**
在**组属性**下,无法更改 **IAM Identity Center 身份存储属性**和 **Active Directory 组属性**。
1. 选择**保存更改**。这将返回**管理同步**页面。
# 首次将 Active Directory 同步到 IAM Identity Center 的设置
如果是首次将用户和组从 Active Directory 同步到 IAM Identity Center,请按照以下步骤操作。或者,您可以遵循 [更改您的身份源](manage-your-identity-source-change.md) 中概述的步骤,将身份源从 IAM Identity Center 更改为 Active Directory。
## 引导式设置
1. 打开 [IAM Identity Center 控制台](https://console.aws.amazon.com/singlesignon)。
**注意**
在进入下一步之前,请确保 IAM Identity Center 控制台使用的是您的 AWS Managed Microsoft AD 目录所在的控制台。 AWS 区域
1. 选择**设置**。
1. 在页面顶部的通知消息中,选择**启动引导式设置**。
1. 在**步骤 1——*可选*:配置属性映射**中,查看默认的用户和组属性映射。如果不需要更改,请选择**下一步**。如果需要更改,请进行更改,然后选择**保存更改**。
1. 在**步骤 2——*可选*:配置同步范围**中,选择**用户**选项卡。然后,输入要添加到同步范围的用户的确切用户名,然后选择**添加**。接下来,选择 **组** 选项卡。输入要添加到同步范围的组的确切组名称,然后选择**添加**。然后选择**下一步**。如果您想稍后将用户和组添加到同步范围,请不进行任何更改并选择**下一步**。
1. 在**步骤 3:查看并保存配置**中,确认**步骤 1:属性映射**中的**属性映射**以及**步骤 2:同步范围**中的**用户和组**。选择 **Save configuration**。这将带您进入**管理同步**页面。
# 将用户和组添加到您的同步范围
**注意**
将群组添加到同步范围时,请直接从受信任的本地域同步群组,而不是从域中的群组同步群组。 AWS Managed Microsoft AD 直接从可信域同步的群组包含 IAM Identity Center 可以成功访问和同步的实际用户对象。
按照以下步骤将 Active Directory 用户和组添加到 IAM Identity Center。
**添加用户**
1. 打开 [IAM Identity Center 控制台](https://console.aws.amazon.com/singlesignon)。
1. 选择**设置**。
1. 在**设置**页面上,选择**身份源**选项卡,从中选择**操作**,然后选择**管理同步**。
1. 在**管理同步**页面上,选择**用户**选项卡,然后选择**添加用户和组**。
1. 在**用户**选项卡的**用户**项下,输入确切的用户名并选择**添加**。
1. 在**已添加的用户和组**下,查看要添加的用户。
1. 选择**提交**。
1. 在导航窗格中,选择 **Users**(用户)。如果列表中未显示您指定的用户,请选择刷新图标更新用户列表。
**添加组**
1. 打开 [IAM Identity Center 控制台](https://console.aws.amazon.com/singlesignon)。
1. 选择**设置**。
1. 在**设置**页面上,选择**身份源**选项卡,从中选择**操作**,然后选择**管理同步**。
1. 在**管理同步**页面上,选择**组**选项卡,然后选择**添加用户和组**。
1. 选择**组**选项卡。在**组**下,输入准确的组名称并选择**添加**。
1. 在**已添加的用户和组**下,查看要添加的组。
1. 选择**提交**。
1. 在导航窗格中,选择 **组**。如果列表中未显示您指定的组,请选择刷新图标更新组列表。
# 从同步范围中删除用户和组
有关从同步范围中删除用户和组时会发生什么情况的详细信息,请参阅 [可配置 AD 同步的工作原理](how-it-works-configurable-ADsync.md)。
**删除用户**
1. 打开 [IAM Identity Center 控制台](https://console.aws.amazon.com/singlesignon)。
1. 选择**设置**。
1. 在**设置**页面上,选择**身份源**选项卡,从中选择**操作**,然后选择**管理同步**。
1. 选择**用户**选项卡。
1. 在**同步范围内的用户**下,选中要删除的用户旁边的复选框。要删除所有用户,请选中**用户名**旁边的复选框。
1. 选择**移除 **。
**移除组**
1. 打开 [IAM Identity Center 控制台](https://console.aws.amazon.com/singlesignon)。
1. 选择**设置**。
1. 在**设置**页面上,选择**身份源**选项卡,从中选择**操作**,然后选择**管理同步**。
1. 选择**组**选项卡。
1. 在**同步范围内的组**下,选中要删除的用户旁边的复选框。要删除所有组,请选中**组名称**旁边的复选框。
1. 选择**移除 **。
# 暂停和恢复同步
暂停同步会暂停所有未来的同步周期,并防止您对 Active Directory 中的用户和组所做的任何更改反映在 IAM Identity Center 中。恢复同步后,同步周期将从下一次计划的同步中获取这些更改。
**暂停同步**
1. 打开 [IAM Identity Center 控制台](https://console.aws.amazon.com/singlesignon)。
1. 选择**设置**。
1. 在**设置**页面上,选择**身份源**选项卡,从中选择**操作**,然后选择**管理同步**。
1. 在**管理同步**下,选择**暂停同步**。
**恢复同步**
1. 打开 [IAM Identity Center 控制台](https://console.aws.amazon.com/singlesignon)。
1. 选择**设置**。
1. 在**设置**页面上,选择**身份源**选项卡,从中选择**操作**,然后选择**管理同步**。
1. 在**管理同步**下,选择**恢复同步**。
**注意**
如果您看到**暂停同步**而不是**恢复同步**,则表明从 Active Directory 到 IAM Identity Center 的同步已恢复。
# 自动执行同步配置以实现可配置的 AD 同步
为了确保您的自动化工作流程通过可配置的 AD 同步按预期工作,我们建议您执行以下步骤来自动化同步配置。
**要自动执行同步配置以实现可配置的 AD 同步**
1. 在 Active Directory 中,创建一个*父同步组*以包含您想要同步到 IAM Identity Center 的所有用户和组。例如,您可以为该组命名*IAMIdentityCenterAllUsersAndGroups*。
1. 在 IAM Identity Center 中,将父同步组添加到您的可配置同步列表中。IAM Identity Center 将同步父同步组中包含的所有用户、组、子组以及所有组的成员。
1. 使用 Microsoft 提供的 Active Directory 用户和组管理 API 操作在父同步组中添加或删除用户和组。