本文為英文版的機器翻譯版本，如內容有任何歧義或不一致之處，概以英文版為準。

# IAM Identity Center 可設定的 AD 同步
<a name="provision-users-from-ad-configurable-ADsync"></a>

IAM Identity Center 可設定的 Active Directory (AD) 同步可讓您在 Microsoft Active Directory 中明確設定會自動同步至 IAM Identity Center 的身分，並控制同步程序。
+ 使用此同步方法，您可以執行下列動作：
  + 透過明確定義 Microsoft Active Directory 中自動同步至 IAM Identity Center 的使用者和群組來控制資料邊界。您可以隨時[新增使用者和群組](manage-sync-add-users-groups-configurable-ADsync.md)，或[移除使用者和群組](manage-sync-remove-users-groups-configurable-ADsync.md)以變更同步的範圍。
  + 指派同步使用者和群組對應用程式的單一登入[存取 AWS 帳戶](useraccess.md)或[存取](assignuserstoapp.md)。應用程式可以是 AWS 受管應用程式或客戶受管應用程式。
  + 視需要[暫停並繼續同步，以控制同步](manage-sync-pause-resume-sync-configurable-ADsync.md)程序。這可協助您調節生產系統的負載。

## 先決條件和考量事項
<a name="prerequisites-configurable-ADsync"></a>

在使用可設定的 AD 同步之前，請注意下列先決條件和考量事項：
+ **在 Active Directory 中指定要同步的使用者和群組**

  您必須先在 Active Directory 中指定要同步的使用者和群組，然後將新使用者和群組的存取權指派給 AWS 帳戶 AWS 受管應用程式或客戶受管應用程式，然後同步到 IAM Identity Center。
  + **可設定的 AD 同步** – IAM Identity Center 不會直接搜尋您的網域控制器中的使用者和群組。反之，您必須先指定要同步的使用者和群組清單。您可以採用下列其中一種方式來設定此清單，也稱為*同步範圍*，取決於您是否擁有已同步至 IAM Identity Center 的使用者和群組，或是您第一次使用可設定的 AD 同步來同步的新使用者和群組。
    + 現有使用者和群組：如果您的使用者和群組已同步至 IAM Identity Center，可設定 AD 同步中的同步範圍會預先填入這些使用者和群組的清單。若要指派新的使用者或群組，您必須將他們特別新增至同步範圍。如需詳細資訊，請參閱[將使用者和群組新增至您的同步範圍](manage-sync-add-users-groups-configurable-ADsync.md)。
    + 新使用者和群組：如果您想要將新使用者和群組的存取權指派給 AWS 帳戶 應用程式，您必須先在可設定的 AD 同步中指定要新增至同步範圍的使用者和群組，才能使用 IAM Identity Center 進行指派。如需詳細資訊，請參閱[將使用者和群組新增至您的同步範圍](manage-sync-add-users-groups-configurable-ADsync.md)。
+ <a name="makingassignmentsnestedgroups"></a>**在 Active Directory 中對巢狀群組進行指派**

  屬於其他群組成員的群組稱為*巢狀群組* （或子群組）。
  + **可設定的 AD 同步** – 使用可設定的 AD 同步對 Active Directory 中包含巢狀群組的群組進行指派，可能會增加有權存取 AWS 帳戶 或存取應用程式的使用者範圍。在此情況下，指派會套用至所有使用者，包括巢狀群組中的使用者。例如，如果您將存取權指派給群組 A，而群組 B 是群組 A 的成員，群組 B 的成員也會繼承此存取權。
+ **更新自動化工作流程**

  如果您有使用 IAM Identity Center 身分存放區 API 動作和 IAM Identity Center 指派 API 動作的自動化工作流程，將新使用者和群組的存取權指派給帳戶和應用程式，並將它們同步到 IAM Identity Center，則必須在 2022 年 4 月 15 日之前調整這些工作流程，以便它們以可設定的 AD 同步如預期般運作。可設定的 AD 同步會變更使用者和群組指派和佈建的順序，以及執行查詢的方式。
  + **可設定的 AD 同步** – 佈建會先發生，而且不會自動執行。相反地，您必須先將使用者和群組新增至同步範圍，以明確地將其新增至身分存放區。如需自動化可設定 AD 同步之同步組態的建議步驟相關資訊，請參閱 [自動化可設定 AD 同步的同步組態](automate-sync-configuration-configurable-ADsync.md)。

**Topics**
+ [先決條件和考量事項](#prerequisites-configurable-ADsync)
+ [可設定的 AD 同步如何運作](how-it-works-configurable-ADsync.md)
+ [為您的同步設定屬性映射](manage-sync-configure-attribute-mapping-configurable-ADsync.md)
+ [第一次 Active Directory 到 IAM Identity Center 同步設定](manage-sync-configurable-ADsync.md)
+ [將使用者和群組新增至您的同步範圍](manage-sync-add-users-groups-configurable-ADsync.md)
+ [從您的同步範圍移除使用者和群組](manage-sync-remove-users-groups-configurable-ADsync.md)
+ [暫停並繼續同步](manage-sync-pause-resume-sync-configurable-ADsync.md)
+ [自動化可設定 AD 同步的同步組態](automate-sync-configuration-configurable-ADsync.md)