本文為英文版的機器翻譯版本，如內容有任何歧義或不一致之處，概以英文版為準。

# Microsoft AD 目錄
<a name="manage-your-identity-source-ad"></a>

透過 AWS IAM Identity Center，您可以使用 來連接 Active Directory (AD) 中的自我管理目錄或 中的目錄 AWS Managed Microsoft AD AWS Directory Service。此 Microsoft AD 目錄定義了管理員在使用 IAM Identity Center 主控台指派單一登入存取時可從中提取的身分集區。將公司目錄連線至 IAM Identity Center 之後，您就可以授予 AD 使用者或群組對應用程式或兩者 AWS 帳戶的存取權。

AWS Directory Service 可協助您設定和執行 中託管的獨立 AWS Managed Microsoft AD 目錄 AWS 雲端。您也可以使用 Directory Service 將 AWS 資源與現有的自我管理 AD 連線。若要設定 AWS Directory Service 以使用自我管理 AD，您必須先設定信任關係，將身分驗證延伸至雲端。

IAM Identity Center 使用 提供的連線 Directory Service ，對來源 AD 執行個體執行傳遞身分驗證。當您使用 AWS Managed Microsoft AD 做為身分來源時，IAM Identity Center 可以與透過 AD 信任連線之任何網域 AWS Managed Microsoft AD 的使用者搭配使用。如果您想要在四個或多個網域中尋找使用者，使用者在執行登入 IAM Identity Center 時必須使用 `DOMAIN\user`語法作為使用者名稱。

**備註**  
作為先決條件步驟，請確定 AWS Managed Microsoft AD 中的 AD Connector 或目錄 Directory Service 位於您的 AWS Organizations 管理帳戶中。
IAM Identity Center 不支援以 SAMBA 4 為基礎的 Simple AD 做為連線目錄。
 IAM Identity Center 無法同步外部安全委託人 (FSPs)。如果 中的 AWS Managed Microsoft AD 群組包含來自信任網域的成員做為 FSPs，這些成員將不會同步。

如需使用 Active Directory 做為 IAM Identity Center 身分來源的程序示範，請參閱下列YouTube影片：

[![AWS Videos](http://img.youtube.com/vi/https://www.youtube.com/embed/OMbob_ef7J4?si=J23xw0EGkZOo8y9n/0.jpg)](http://www.youtube.com/watch?v=https://www.youtube.com/embed/OMbob_ef7J4?si=J23xw0EGkZOo8y9n)


## 使用 Active Directory 的考量事項
<a name="considerations-ad-identitysource"></a>

如果您想要使用 Active Directory 做為身分來源，您的組態必須符合下列先決條件：
+ 如果您使用的是 AWS Managed Microsoft AD，則必須在設定 AWS Managed Microsoft AD 目錄 AWS 區域 的相同 中啟用 IAM Identity Center。IAM Identity Center 會將指派資料存放在與 目錄相同的區域中。若要管理 IAM Identity Center，您可能需要切換到已設定 IAM Identity Center 的區域。此外，請注意， AWS 存取入口網站使用與您的目錄相同的存取 URL。
+ 使用 管理帳戶中的 Active Directory：

  您必須在 中設定現有的 AD Connector 或 AWS Managed Microsoft AD 目錄 AWS Directory Service，而且必須位於您的 AWS Organizations 管理帳戶中。您 AWS Managed Microsoft AD 一次只能連接一個 AD Connector 目錄或 中的一個目錄。如果您需要支援多個網域或樹系，請使用 AWS Managed Microsoft AD。如需詳細資訊，請參閱：
  + [將 中的目錄 AWS Managed Microsoft AD 連接至 IAM Identity Center](connectawsad.md)
  + [將 Active Directory 中的自我管理目錄連接到 IAM Identity Center](connectonpremad.md)
+ 使用位於委派管理員帳戶中的 Active Directory：

  如果您計劃啟用 IAM Identity Center 委派管理員，並使用 Active Directory 做為 IAM Identity Center 身分來源，您可以使用位於委派管理員帳戶中的 AWS 目錄中設定的現有 AD Connector 或 AWS Managed Microsoft AD 目錄。

  如果您決定將 IAM Identity Center 身分來源從任何其他來源變更為 Active Directory，或將其從 Active Directory 變更為任何其他來源，則目錄必須位於 （由 擁有） IAM Identity Center 委派管理員成員帳戶中，如果存在的話，則必須位於管理帳戶中。

# 連接 Active Directory 並指定使用者
<a name="get-started-connect-id-source-ad-idp-specify-user"></a>

如果您已經在使用 Active Directory，下列主題將協助您準備將目錄連線至 IAM Identity Center。

您可以使用 IAM Identity Center 連接 Active Directory 中的 目錄 AWS Managed Microsoft AD 或自我管理目錄。

**注意**  
IAM Identity Center 不支援以 SAMBA4-based Simple AD 做為身分來源。

**AWS Managed Microsoft AD**

1. 檢閱 中的指引[Microsoft AD 目錄](manage-your-identity-source-ad.md)。

1. 請遵循 [將 中的目錄 AWS Managed Microsoft AD 連接至 IAM Identity Center](connectawsad.md) 中的步驟。

1. 設定 Active Directory 以同步您要將管理許可授予 IAM Identity Center 的使用者。如需詳細資訊，請參閱[將管理使用者同步至 IAM Identity Center](#sync-admin-user-from-ad)。

**Active Directory 中的自我管理目錄**

1. 檢閱 中的指引[Microsoft AD 目錄](manage-your-identity-source-ad.md)。

1. 請遵循 [將 Active Directory 中的自我管理目錄連接到 IAM Identity Center](connectonpremad.md) 中的步驟。

1. 設定 Active Directory 以同步您要將管理許可授予 IAM Identity Center 的使用者。如需詳細資訊，請參閱[將管理使用者同步至 IAM Identity Center](#sync-admin-user-from-ad)。

**外部 IdP**

1. 檢閱 中的指引[外部身分提供者](manage-your-identity-source-idp.md)。

1. 請遵循 [如何連線至外部身分提供者](how-to-connect-idp.md) 中的步驟。

1. 

   設定 IdP 將使用者佈建至 IAM Identity Center。
**注意**  
在設定從 IdP 到 IAM Identity Center 的所有人力資源身分的自動群組型佈建之前，建議您將要授予管理許可的單一使用者同步到 IAM Identity Center。

## 將管理使用者同步至 IAM Identity Center
<a name="sync-admin-user-from-ad"></a>

將 Active Directory 連線至 IAM Identity Center 之後，您可以指定要授予管理許可的使用者，然後將該使用者從目錄同步到 IAM Identity Center。

1. 開啟 [IAM Identity Center 主控台](https://console.aws.amazon.com/singlesignon)。

1. 選擇**設定**。

1. 在**設定**頁面上，選擇**身分來源**索引標籤，選擇**動作**，然後選擇**管理同步**。

1. 在**管理同步**頁面上，選擇**使用者**索引標籤，然後選擇**新增使用者和群組**。

1. 在**使用者**索引標籤**的使用者**下，輸入確切的使用者名稱，然後選擇**新增**。

1. 在**新增的使用者和群組**下，執行下列動作：

   1. 確認已指定您要授予管理許可的使用者。

   1. 選取使用者名稱左側的核取方塊。

   1. 選擇**提交**。

1. 在**管理同步**頁面中，您指定的使用者會出現在**同步範圍清單中的使用者中**。

1. 在導覽窗格中，選擇**使用者** 。

1. 在**使用者**頁面上，您指定的使用者可能需要一些時間才會出現在清單中。選擇重新整理圖示以更新使用者清單。

此時，您的使用者無法存取 管理帳戶。您將建立管理許可集，並將使用者指派給該許可集，藉此設定此帳戶的管理存取權。如需詳細資訊，請參閱[建立許可集](howtocreatepermissionset.md)。

## 使用者來自 Active Directory 時的佈建
<a name="provision-users-from-ad"></a>

IAM Identity Center 使用 提供的連線 Directory Service ，將 Active Directory 中來源目錄的使用者、群組和成員資格資訊同步到 IAM Identity Center 身分存放區。不會將密碼資訊同步至 IAM Identity Center，因為使用者身分驗證會直接從 Active Directory 中的來源目錄進行。應用程式會使用此身分資料來促進應用程式內查詢、授權和協同合作案例，而不會將 LDAP 活動傳遞回 Active Directory 中的來源目錄。

如需佈建的詳細資訊，請參閱 [使用者和群組佈建](users-groups-provisioning.md#user-group-provision)。

**Topics**
+ [使用 Active Directory 的考量事項](#considerations-ad-identitysource)
+ [連接 Active Directory 並指定使用者](get-started-connect-id-source-ad-idp-specify-user.md)
+ [使用者來自 Active Directory 時的佈建](#provision-users-from-ad)
+ [將 中的目錄 AWS Managed Microsoft AD 連接至 IAM Identity Center](connectawsad.md)
+ [將 Active Directory 中的自我管理目錄連接到 IAM Identity Center](connectonpremad.md)
+ [IAM Identity Center 與外部身分提供者目錄之間的屬性映射](attributemappingsconcept.md)
+ [IAM Identity Center 可設定的 AD 同步](provision-users-from-ad-configurable-ADsync.md)

# 將 中的目錄 AWS Managed Microsoft AD 連接至 IAM Identity Center
<a name="connectawsad"></a>

使用下列程序，將 管理 AWS Managed Microsoft AD 的 目錄連線至 AWS Directory Service IAM Identity Center。

**AWS Managed Microsoft AD 連線至 IAM Identity Center**

1. 開啟 [IAM Identity Center 主控台](https://console.aws.amazon.com/singlesignon)。
**注意**  
請確定 IAM Identity Center 主控台正在使用目錄 AWS Managed Microsoft AD 所在的其中一個區域，然後再移至下一個步驟。

1. 選擇**設定**。

1. 在**設定**頁面上，選擇**身分來源**索引標籤，然後選擇**動作 > 變更身分來源**。

1. 在**選擇身分來源**下，選取 **Active Directory**，然後選擇**下一步**。

1. 在**連線作用中目錄**下， AWS Managed Microsoft AD 從清單中選擇 中的目錄，然後選擇**下一步**。

1. 在**確認變更**下，檢閱資訊和就緒類型 **ACCEPT**，然後選擇**變更身分來源**。
**重要**  
若要將 Active Directory 中的使用者指定為 IAM Identity Center 中的管理使用者，您必須先將要將管理許可從 Active Directory 授予的使用者同步至 IAM Identity Center。若要啟用，請依照「[將管理使用者同步至 IAM Identity Center](get-started-connect-id-source-ad-idp-specify-user.md#sync-admin-user-from-ad)」中的步驟進行。

# 將 Active Directory 中的自我管理目錄連接到 IAM Identity Center
<a name="connectonpremad"></a>

Active Directory (AD) 中自我管理目錄中的使用者也可以在存取入口網站中擁有 AWS 帳戶 和 應用程式的單一登入 AWS 存取權。若要為這些使用者設定單一登入存取，您可以執行下列其中一項操作：
+ **建立雙向信任關係** – 在 AD 中於 AWS Managed Microsoft AD 和自我管理目錄之間建立雙向信任關係時，AD 中自我管理目錄中的使用者可以使用其公司登入資料登入各種 AWS 服務和業務應用程式。單向信任不適用於 IAM Identity Center。

  AWS IAM Identity Center 需要雙向信任，使其具有從您的網域讀取使用者和群組資訊的許可，以同步使用者和群組中繼資料。IAM Identity Center 會在指派許可集或應用程式的存取權時使用此中繼資料。應用程式也會使用使用者和群組中繼資料進行協同合作，例如當您與其他使用者或群組共用儀表板時。從 Directory Service for Microsoft Active Directory 到您網域的信任允許 IAM Identity Center 信任您的網域進行身分驗證。相反方向的信任會授予讀取使用者和群組中繼資料的 AWS 許可。

  如需設定雙向信任的詳細資訊，請參閱《 *AWS Directory Service 管理指南*》中的[何時建立信任關係](https://docs.aws.amazon.com/directoryservice/latest/admin-guide/setup_trust.html)。
**注意**  
為了使用 AWS 應用程式，例如 IAM Identity Center 從信任的網域讀取 Directory Service 目錄使用者， Directory Service 帳戶需要信任使用者的 userAccountControl 屬性許可。如果沒有此屬性的讀取許可， AWS 應用程式就無法判斷帳戶是啟用或停用。  
建立信任時，預設會提供此屬性的讀取存取權。如果您拒絕存取此屬性 （不建議），您會讓 Identity Center 之類的應用程式無法讀取信任的使用者。解決方案是特別允許在 AWS 預留 OU （字首為 AWS\$1) 下 AWS 讀取服務帳戶上的 `userAccountControl` 屬性。
+ **建立 AD Connector** – AD Connector 是一種目錄閘道，可將目錄請求重新導向至自我管理 AD，而不會快取雲端中的任何資訊。如需詳細資訊，請參閱《 *AWS Directory Service 管理指南*》中的[連線至目錄](https://docs.aws.amazon.com/directoryservice/latest/admin-guide/directory_ad_connector.html)。以下是使用 AD Connector 時的考量事項：
  + 如果您要將 IAM Identity Center 連線至 AD Connector 目錄，任何未來的使用者密碼重設都必須在 AD 內完成。這表示使用者將無法從 AWS 存取入口網站重設密碼。
  + 如果您使用 AD Connector 將 Active Directory Domain Service 連線至 IAM Identity Center，IAM Identity Center 只能存取 AD Connector 連接的單一網域的使用者和群組。如果您需要支援多個網域或樹系，請將 Directory Service 用於 Microsoft Active Directory。
**注意**  
IAM Identity Center 不適用於SAMBA4-based Simple AD 目錄。

# IAM Identity Center 與外部身分提供者目錄之間的屬性映射
<a name="attributemappingsconcept"></a>

屬性映射用於映射 IAM Identity Center 中存在的屬性類型，在您的外部身分來源中具有類似的屬性，例如 Google Workspace、 Microsoft Active Directory (AD)和 Okta。IAM Identity Center 會從您的身分來源擷取使用者屬性，並將其映射至 IAM Identity Center 使用者屬性。

如果您的 IAM Identity Center 已同步使用**外部身分提供者** (IdP)Okta，例如 Google Workspace、 或 Ping做為身分來源，您將需要在 IdP 中映射屬性。

IAM Identity Center 會在其組態頁面上的**屬性映射**索引標籤下為您預先填入一組屬性。IAM Identity Center 使用這些使用者屬性來填入傳送至應用程式的 SAML 聲明 （做為 SAML 屬性）。這些使用者屬性會接著從您的身分來源擷取。每個應用程式都會決定成功單一登入所需的 SAML 2.0 屬性清單。如需詳細資訊，請參閱[將應用程式中的屬性映射至 IAM Identity Center 屬性](mapawsssoattributestoapp.md)。

如果您使用 Active Directory 做為身分來源，IAM Identity Center 也會在 **Active Directory 組態頁面**的**屬性映射**區段下為您管理一組屬性。如需詳細資訊，請參閱[在 IAM Identity Center 和Microsoft AD目錄之間映射使用者屬性](mapssoattributestocdattributes.md)。

## 支援的外部身分提供者屬性
<a name="supportedidpattributes"></a>

下表列出支援的所有外部身分提供者 (IdP) 屬性，並可映射至您可以在 IAM Identity Center [存取控制的屬性](attributesforaccesscontrol.md)中設定時使用的屬性。使用 SAML 聲明時，您可以使用 IdP 支援的任何屬性。


****  

| IdP 中支援的屬性 | 
| --- | 
| \$1\$1path:userName\$1 | 
| \$1\$1path:name.familyName\$1 | 
| \$1\$1path:name.givenName\$1 | 
| \$1\$1path:displayName\$1 | 
| \$1\$1path:nickName\$1 | 
| \$1\$1path:emails[primary eq true].value\$1 | 
| \$1\$1path:addresses[type eq "work"].streetAddress\$1 | 
| \$1\$1path:addresses[type eq "work"].locality\$1 | 
| \$1\$1path:addresses[type eq "work"].region\$1 | 
| \$1\$1path:addresses[type eq "work"].postalCode\$1 | 
| \$1\$1path:addresses[type eq "work"].country\$1 | 
| \$1\$1path:addresses[type eq "work"].formatted\$1 | 
| \$1\$1path:phoneNumbers[type eq "work"].value\$1 | 
| \$1\$1path:userType\$1 | 
| \$1\$1path:title\$1 | 
| \$1\$1path:locale\$1 | 
| \$1\$1path:timezone\$1 | 
| \$1\$1path:enterprise.employeeNumber\$1 | 
| \$1\$1path:enterprise.costCenter\$1 | 
| \$1\$1path:enterprise.organization\$1 | 
| \$1\$1path:enterprise.division\$1 | 
| \$1\$1path:enterprise.department\$1 | 
| \$1\$1path:enterprise.manager.value\$1 | 

## IAM Identity Center 與 之間的預設映射 Microsoft AD
<a name="defaultattributemappings"></a>

下表列出 IAM Identity Center 中使用者屬性與Microsoft AD目錄中使用者屬性的預設映射。IAM Identity Center 僅支援 **IAM Identity Center 中使用者屬性**欄中的屬性清單。


****  

| IAM Identity Center 中的使用者屬性  | 映射至 Active Directory 中的此屬性 | 
| --- | --- | 
| displayname | \$1\$1displayname\$1 | 
| emails[?primary].value \$1 | \$1\$1mail\$1 | 
| externalid | \$1\$1objectguid\$1 | 
| name.givenname | \$1\$1givenname\$1 | 
| name.familyname | \$1\$1sn\$1 | 
| name.middlename | \$1\$1initials\$1 | 
| sid | \$1\$1objectsid\$1 | 
| username | \$1\$1userprincipalname\$1 | 

\$1 IAM Identity Center 中的電子郵件屬性在 目錄中必須是唯一的。


****  

| IAM Identity Center 中的群組屬性  | 映射至 Active Directory 中的此屬性 | 
| --- | --- | 
| externalid | \$1\$1objectguid\$1 | 
| description | \$1\$1description\$1 | 
| displayname | \$1\$1samaccountname\$1@\$1associateddomain\$1 | 

**考量事項**
+ 啟用可設定的 AD 同步時，如果您在 IAM Identity Center 中沒有任何使用者和群組的指派，則會使用先前資料表中的預設映射。如需如何自訂這些映射的資訊，請參閱 [為您的同步設定屬性映射](manage-sync-configure-attribute-mapping-configurable-ADsync.md)。
+ 某些 IAM Identity Center 屬性無法修改，因為它們是不可變的，預設會映射到特定的 Microsoft AD 目錄屬性。

  例如，「username」是 IAM Identity Center 中的必要屬性。如果您將 "username" 對應至具有空值的 AD 目錄屬性，IAM Identity Center 會將該`windowsUpn`值視為 "username" 的預設值。如果您想要從目前的映射中變更 "username" 的屬性映射，請確認對 "username" 具有相依性的 IAM Identity Center 流程將繼續如預期運作，然後再進行變更。

## IAM Identity Center 支援的Microsoft AD屬性
<a name="supporteddirectoryattributes"></a>

下表列出支援且可映射至 IAM Identity Center 中使用者屬性的所有Microsoft AD目錄屬性。


****  

| Microsoft AD 目錄中受支援的屬性 | 
| --- | 
| \$1\$1samaccountname\$1 | 
| \$1\$1description\$1 | 
| \$1\$1objectguid\$1 | 
| \$1\$1objectsid\$1 | 
| \$1\$1givenname\$1 | 
| \$1\$1sn\$1 | 
| \$1\$1initials\$1 | 
| \$1\$1mail\$1 | 
| \$1\$1userprincipalname\$1 | 
| \$1\$1displayname\$1 | 
| \$1\$1distinguishedname\$1 | 
| \$1\$1proxyaddresses[?type == "SMTP"].value\$1 | 
| \$1\$1proxyaddresses[?type == "smtp"].value\$1 | 
| \$1\$1useraccountcontrol\$1 | 
| \$1\$1associateddomain\$1 | 

**考量事項**
+ 您可以指定支援的Microsoft AD目錄屬性的任意組合，以映射到 IAM Identity Center 中的單一可變屬性。

## 支援的 IAM Identity Center 屬性 Microsoft AD
<a name="supportedssoattributes"></a>

下表列出支援且可映射至Microsoft AD目錄中使用者屬性的所有 IAM Identity Center 屬性。設定應用程式屬性映射後，您可以使用這些相同的 IAM Identity Center 屬性來映射至該應用程式使用的實際屬性。


****  

| IAM Identity Center for Active Directory 中支援的屬性 | 
| --- | 
| \$1\$1user:AD\$1GUID\$1 | 
| \$1\$1user:AD\$1SID\$1 | 
| \$1\$1user:email\$1 | 
| \$1\$1user:familyName\$1 | 
| \$1\$1user:givenName\$1 | 
| \$1\$1user:middleName\$1 | 
| \$1\$1user:name\$1 | 
| \$1\$1user:preferredUsername\$1 | 
| \$1\$1user:subject\$1 | 

# 在 IAM Identity Center 和Microsoft AD目錄之間映射使用者屬性
<a name="mapssoattributestocdattributes"></a>

您可以使用下列程序來指定 IAM Identity Center 中的使用者屬性應如何對應至Microsoft AD目錄中的對應屬性。

**將 IAM Identity Center 中的屬性映射至目錄中的屬性**

1. 開啟 [IAM Identity Center 主控台](https://console.aws.amazon.com/singlesignon)。

1. 選擇**設定**。

1. 在**設定**頁面上，選擇**存取控制的屬性**索引標籤，然後選擇**管理屬性**。

1. 在**存取控制的管理屬性**頁面上，尋找您要映射的 IAM Identity Center 屬性，然後在文字方塊中輸入值。例如，您可能想要將 IAM Identity Center 使用者屬性映射**`email`**至 Microsoft AD 目錄屬性 **`${mail}`**。

1. 選擇**儲存變更**。

# IAM Identity Center 可設定的 AD 同步
<a name="provision-users-from-ad-configurable-ADsync"></a>

IAM Identity Center 可設定的 Active Directory (AD) 同步可讓您在 Microsoft Active Directory 中明確設定會自動同步至 IAM Identity Center 的身分，並控制同步程序。
+ 使用此同步方法，您可以執行下列動作：
  + 透過明確定義 Microsoft Active Directory 中自動同步至 IAM Identity Center 的使用者和群組來控制資料邊界。您可以隨時[新增使用者和群組](manage-sync-add-users-groups-configurable-ADsync.md)，或[移除使用者和群組](manage-sync-remove-users-groups-configurable-ADsync.md)以變更同步的範圍。
  + 指派同步使用者和群組對應用程式的單一登入[存取 AWS 帳戶](useraccess.md)或[存取](assignuserstoapp.md)。應用程式可以是 AWS 受管應用程式或客戶受管應用程式。
  + 視需要[暫停並繼續同步，以控制同步](manage-sync-pause-resume-sync-configurable-ADsync.md)程序。這可協助您調節生產系統的負載。

## 先決條件和考量事項
<a name="prerequisites-configurable-ADsync"></a>

在使用可設定的 AD 同步之前，請注意下列先決條件和考量事項：
+ **在 Active Directory 中指定要同步的使用者和群組**

  您必須先在 Active Directory 中指定要同步的使用者和群組，然後將新使用者和群組的存取權指派給 AWS 帳戶 AWS 受管應用程式或客戶受管應用程式，然後同步到 IAM Identity Center。
  + **可設定的 AD 同步** – IAM Identity Center 不會直接搜尋您的網域控制器中的使用者和群組。反之，您必須先指定要同步的使用者和群組清單。您可以採用下列其中一種方式來設定此清單，也稱為*同步範圍*，取決於您是否擁有已同步至 IAM Identity Center 的使用者和群組，或是您第一次使用可設定的 AD 同步來同步的新使用者和群組。
    + 現有使用者和群組：如果您的使用者和群組已同步至 IAM Identity Center，可設定 AD 同步中的同步範圍會預先填入這些使用者和群組的清單。若要指派新的使用者或群組，您必須將他們特別新增至同步範圍。如需詳細資訊，請參閱[將使用者和群組新增至您的同步範圍](manage-sync-add-users-groups-configurable-ADsync.md)。
    + 新使用者和群組：如果您想要將新使用者和群組的存取權指派給 AWS 帳戶 應用程式，您必須先在可設定的 AD 同步中指定要新增至同步範圍的使用者和群組，才能使用 IAM Identity Center 進行指派。如需詳細資訊，請參閱[將使用者和群組新增至您的同步範圍](manage-sync-add-users-groups-configurable-ADsync.md)。
+ <a name="makingassignmentsnestedgroups"></a>**在 Active Directory 中對巢狀群組進行指派**

  屬於其他群組成員的群組稱為*巢狀群組* （或子群組）。
  + **可設定的 AD 同步** – 使用可設定的 AD 同步對 Active Directory 中包含巢狀群組的群組進行指派，可能會增加有權存取 AWS 帳戶 或存取應用程式的使用者範圍。在此情況下，指派會套用至所有使用者，包括巢狀群組中的使用者。例如，如果您將存取權指派給群組 A，而群組 B 是群組 A 的成員，群組 B 的成員也會繼承此存取權。
+ **更新自動化工作流程**

  如果您有使用 IAM Identity Center 身分存放區 API 動作和 IAM Identity Center 指派 API 動作的自動化工作流程，將新使用者和群組的存取權指派給帳戶和應用程式，並將它們同步到 IAM Identity Center，則必須在 2022 年 4 月 15 日之前調整這些工作流程，以便它們以可設定的 AD 同步如預期般運作。可設定的 AD 同步會變更使用者和群組指派和佈建的順序，以及執行查詢的方式。
  + **可設定的 AD 同步** – 佈建會先發生，而且不會自動執行。相反地，您必須先將使用者和群組新增至同步範圍，以明確地將其新增至身分存放區。如需自動化可設定 AD 同步之同步組態的建議步驟相關資訊，請參閱 [自動化可設定 AD 同步的同步組態](automate-sync-configuration-configurable-ADsync.md)。

**Topics**
+ [先決條件和考量事項](#prerequisites-configurable-ADsync)
+ [可設定的 AD 同步如何運作](how-it-works-configurable-ADsync.md)
+ [為您的同步設定屬性映射](manage-sync-configure-attribute-mapping-configurable-ADsync.md)
+ [第一次 Active Directory 到 IAM Identity Center 同步設定](manage-sync-configurable-ADsync.md)
+ [將使用者和群組新增至您的同步範圍](manage-sync-add-users-groups-configurable-ADsync.md)
+ [從您的同步範圍移除使用者和群組](manage-sync-remove-users-groups-configurable-ADsync.md)
+ [暫停並繼續同步](manage-sync-pause-resume-sync-configurable-ADsync.md)
+ [自動化可設定 AD 同步的同步組態](automate-sync-configuration-configurable-ADsync.md)

# 可設定的 AD 同步如何運作
<a name="how-it-works-configurable-ADsync"></a>

IAM Identity Center 使用以下程序重新整理身分存放區中的 AD 型身分資料。若要進一步了解先決條件，請參閱 [先決條件和考量事項](provision-users-from-ad-configurable-ADsync.md#prerequisites-configurable-ADsync)。

## 建立
<a name="how-it-works-creation-configurable-ADsync"></a>

將 Active Directory 中的自我管理目錄或 AWS Managed Microsoft AD 管理的目錄連接到 IAM Identity Center Directory Service 之後，您可以明確設定要同步到 IAM Identity Center 身分存放區的 Active Directory 使用者和群組。您選擇的身分將每三小時同步到 IAM Identity Center 身分存放區。根據您的目錄大小，同步程序可能需要更長的時間。

屬於其他群組 （稱為*巢狀群組*或*子群組*) 的群組也會寫入身分存放區。

您只能在新使用者或群組同步到 IAM Identity Center 身分存放區之後，將存取權指派給新使用者或群組。

## 更新
<a name="how-it-works-update-configurable-ADsync"></a>

IAM Identity Center 身分存放區中的身分資料會定期從 Active Directory 中的來源目錄中讀取資料，以保持最新狀態。根據預設，IAM Identity Center 會在同步週期中每小時從您的 Active Directory 同步資料。根據 Active Directory 的大小，資料可能需要 30 分鐘到 2 小時才能同步到 IAM Identity Center。

在同步範圍內的使用者和群組物件及其成員資格會在 IAM Identity Center 中建立或更新，以對應至 Active Directory 中來源目錄中的對應物件。對於使用者屬性，IAM Identity Center 主控台**的存取控制屬性**區段中列出的屬性子集只會在 IAM Identity Center 中更新。您在 Active Directory 中進行的任何屬性更新可能需要一個同步週期，才能反映在 IAM Identity Center 中。

您也可以更新同步到 IAM Identity Center 身分存放區中的使用者和群組子集。您可以選擇將新使用者或群組新增至此子集，或將其移除。您新增的任何身分都會在下一次排定的同步時同步。您從子集移除的身分將停止在 IAM Identity Center 身分存放區中更新。任何未同步超過 28 天的使用者都會在 IAM Identity Center 身分存放區中停用。在下一個同步週期中，IAM Identity Center 身分存放區中會自動停用對應的使用者物件，除非它們仍屬於同步範圍的其他群組。

## 刪除
<a name="how-it-works-deletion-configurable-ADsync"></a>

從 Active Directory 的來源目錄中刪除對應的使用者或群組物件時，會從 IAM Identity Center 身分存放區刪除使用者和群組。或者，您可以使用 IAM Identity Center 主控台，從 IAM Identity Center 身分存放區明確刪除使用者物件。如果您使用 IAM Identity Center 主控台，您還必須從同步範圍中移除使用者，以確保他們不會在下一個同步週期中重新同步回 IAM Identity Center。

您也可以隨時暫停和重新啟動同步。如果您暫停同步超過 28 天，則會停用所有使用者。

# 為您的同步設定屬性映射
<a name="manage-sync-configure-attribute-mapping-configurable-ADsync"></a>

如需可用屬性的詳細資訊，請參閱 [IAM Identity Center 與外部身分提供者目錄之間的屬性映射](attributemappingsconcept.md)。

**在 IAM Identity Center 中設定屬性映射至您的目錄**

1. 開啟 [IAM Identity Center 主控台](https://console.aws.amazon.com/singlesignon)。

1. 選擇**設定**。

1. 在**設定**頁面上，選擇**身分來源**索引標籤，選擇**動作**，然後選擇**管理同步**。

1. 在**管理同步**下，選擇**檢視屬性映射**。

1. 在 **Active Directory 使用者屬性**下，設定 **IAM Identity Center 身分存放區屬性**和 **Active Directory 使用者屬性**。例如，您可能想要將 IAM Identity Center 身分存放區屬性映射`email`至 Active Directory 使用者目錄屬性 `${objectguid}`。
**注意**  
在**群組屬性**下，無法變更 **IAM Identity Center 身分存放區屬性**和 **Active Directory 群組屬性**。

1. 選擇**儲存變更**。這會讓您返回**管理同步**頁面。

# 第一次 Active Directory 到 IAM Identity Center 同步設定
<a name="manage-sync-configurable-ADsync"></a>

如果您是第一次將使用者和群組從 Active Directory 同步到 IAM Identity Center，請遵循下列步驟。或者，您可以遵循中所述的步驟[變更您的身分來源](manage-your-identity-source-change.md)，將身分來源從 IAM Identity Center 變更為 Active Directory。

## 引導式設定
<a name="manage-sync-guided-setup-configurable-ADsync"></a>

1. 開啟 [IAM Identity Center 主控台](https://console.aws.amazon.com/singlesignon)。
**注意**  
在移至下一個步驟之前，請確定 IAM Identity Center 主控台使用 AWS 區域 AWS Managed Microsoft AD 目錄所在的其中一個 。

1. 選擇**設定**。

1. 在頁面頂端的通知訊息中，選擇**開始引導式設定**。

1. 在**步驟 1 – *選用*：設定屬性映射**中，檢閱預設使用者和群組屬性映射。如果不需要變更，請選擇**下一步**。如果需要變更，請進行變更，然後選擇**儲存變更**。

1. 在**步驟 2 – *選用*：設定同步範圍**中，選擇**使用者**索引標籤。然後，輸入您要新增至同步範圍之使用者的確切使用者名稱，然後選擇**新增**。接著，選擇**群組**索引標籤。輸入您要新增至同步範圍之群組的確切群組名稱，然後選擇**新增**。然後選擇**下一步**。如果您想要稍後將使用者和群組新增至同步範圍，請不要進行任何變更，然後選擇**下一步**。

1. 在**步驟 3：檢閱並儲存組態**中，確認步驟 1：**屬性映射**中的屬性映射，以及**步驟 2：同步範圍**中的**使用者和群組**。 ****選擇 **Save configuration** (儲存組態)。這會帶您前往**管理同步**頁面。

# 將使用者和群組新增至您的同步範圍
<a name="manage-sync-add-users-groups-configurable-ADsync"></a>

**注意**  
將群組新增至同步範圍時，請直接從信任的內部部署網域同步群組，而不是從 AWS Managed Microsoft AD 網域中的群組同步群組。直接從信任網域同步的群組包含 IAM Identity Center 可以成功存取和同步的實際使用者物件。

 請依照下列步驟，將 Active Directory 使用者和群組新增至 IAM Identity Center。

**新增使用者**

1. 開啟 [IAM Identity Center 主控台](https://console.aws.amazon.com/singlesignon)。

1. 選擇**設定**。

1. 在**設定**頁面上，選擇**身分來源**索引標籤，選擇**動作**，然後選擇**管理同步**。

1. 在**管理同步**頁面上，選擇**使用者**索引標籤，然後選擇**新增使用者和群組**。

1. 在**使用者**索引標籤**的使用者**下，輸入確切的使用者名稱，然後選擇**新增**。

1. 在**新增的使用者和群組**下，檢閱您要新增的使用者。

1. 選擇**提交**。

1. 在導覽窗格中，選擇**使用者** 。如果您指定的使用者未顯示在清單中，請選擇重新整理圖示以更新使用者清單。

**新增群組**

1. 開啟 [IAM Identity Center 主控台](https://console.aws.amazon.com/singlesignon)。

1. 選擇**設定**。

1. 在**設定**頁面上，選擇**身分來源**索引標籤，選擇**動作**，然後選擇**管理同步**。

1. 在**管理同步**頁面上，選擇**群組**索引標籤，然後選擇**新增使用者和群組**。

1. 選擇 **Groups (群組)** 標籤。在**群組**下，輸入確切的群組名稱，然後選擇**新增**。

1. 在**新增的使用者和群組**下，檢閱您要新增的群組。

1. 選擇**提交**。

1. 在導覽窗格中，選擇 ** Groups (AS 安全群組)**。如果您指定的群組未顯示在清單中，請選擇重新整理圖示以更新群組清單。

# 從您的同步範圍移除使用者和群組
<a name="manage-sync-remove-users-groups-configurable-ADsync"></a>

如需從同步範圍移除使用者和群組時所發生情況的詳細資訊，請參閱 [可設定的 AD 同步如何運作](how-it-works-configurable-ADsync.md)。

**移除使用者**

1. 開啟 [IAM Identity Center 主控台](https://console.aws.amazon.com/singlesignon)。

1. 選擇**設定**。

1. 在**設定**頁面上，選擇**身分來源**索引標籤，選擇**動作**，然後選擇**管理同步**。

1. 選擇**使用者**索引標籤。

1. 在**同步範圍內的使用者**下，選取您要刪除之使用者旁邊的核取方塊。若要刪除所有使用者，請選取**使用者名稱**旁的核取方塊。

1. 選擇**移除**。

**移除群組**

1. 開啟 [IAM Identity Center 主控台](https://console.aws.amazon.com/singlesignon)。

1. 選擇**設定**。

1. 在**設定**頁面上，選擇**身分來源**索引標籤，選擇**動作**，然後選擇**管理同步**。

1. 選擇 **Groups (群組)** 標籤。

1. 在**同步範圍內的群組**下，選取您要刪除之使用者旁的核取方塊。若要刪除所有群組，請選取**群組名稱**旁的核取方塊。

1. 選擇**移除**。

# 暫停並繼續同步
<a name="manage-sync-pause-resume-sync-configurable-ADsync"></a>

暫停同步會暫停所有未來的同步週期，並防止您在 Active Directory 中對使用者和群組所做的任何變更反映在 IAM Identity Center 中。在您繼續同步後，同步週期會從下一次排定的同步中取得這些變更。

**暫停同步**

1. 開啟 [IAM Identity Center 主控台](https://console.aws.amazon.com/singlesignon)。

1. 選擇**設定**。

1. 在**設定**頁面上，選擇**身分來源**索引標籤，選擇**動作**，然後選擇**管理同步**。

1. 在**管理同步**下，選擇**暫停同步**。

**恢復同步**

1. 開啟 [IAM Identity Center 主控台](https://console.aws.amazon.com/singlesignon)。

1. 選擇**設定**。

1. 在**設定**頁面上，選擇**身分來源**索引標籤，選擇**動作**，然後選擇**管理同步**。

1. 在**管理同步**下，選擇**繼續同步**。
**注意**  
如果您看到**暫停同步**而不是**繼續同步**，則從 Active Directory 到 IAM Identity Center 的同步已恢復。

# 自動化可設定 AD 同步的同步組態
<a name="automate-sync-configuration-configurable-ADsync"></a>

為了確保自動化工作流程可如預期使用可設定的 AD 同步，建議您執行下列步驟來自動化同步組態。

**若要自動化可設定 AD 同步的同步組態**

1. 在 Active Directory 中，建立*父同步群組*，以包含您要同步至 IAM Identity Center 的所有使用者和群組。例如，您可以命名群組 *IAMIdentityCenterAllUsersAndGroups*。

1. 在 IAM Identity Center 中，將父同步群組新增至可設定的同步清單。IAM Identity Center 將同步父同步群組中包含之所有群組的所有使用者、群組、子群組和成員。

1. 使用 Microsoft 提供的 Active Directory 使用者和群組管理 API 動作，從父同步群組新增或移除使用者和群組。