Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

# Active Directory-Synchronisierung
<a name="active-directory-sync"></a>



## Laufzeit-Konfiguration
<a name="active-directory-sync-runtime"></a>

Alle CFN-Parameter, die sich auf Active Directory (AD) beziehen, sind während der Installation optional.

![\[Optionale Angaben zu Active Directory\]](http://docs.aws.amazon.com/de_de/res/archive/release-minus-2/ug/images/active-directory-details.png)


Stellen Sie für jeden geheimen ARN, der zur Laufzeit bereitgestellt wird (z. B. `ServiceAccountCredentialsSecretArn` oder`DomainTLSCertificateSecretArn`), sicher, dass Sie dem Secret die folgenden Tags hinzufügen, damit RES die Berechtigungen zum Lesen des geheimen Werts erhält:
+ Schlüssel: `res:EnvironmentName` Wert: `<your RES environment name>`
+ Schlüssel: `res:ModuleName` Wert: `directoryservice`

Alle AD-Konfigurationsaktualisierungen im Webportal werden bei der nächsten geplanten AD-Synchronisierung (stündlich) automatisch übernommen. Benutzer müssen SSO möglicherweise neu konfigurieren, nachdem sie die AD-Konfiguration geändert haben (z. B. wenn sie zu einem anderen AD wechseln).

Nach der Erstinstallation können Administratoren die AD-Konfiguration im RES-Webportal auf der **Identitätsverwaltungsseite** einsehen oder bearbeiten:

![\[Einzelheiten zu den Konfigurationseinstellungen der Active Directory-Domäne\]](http://docs.aws.amazon.com/de_de/res/archive/release-minus-2/ug/images/res-active-directory-domain.png)


![\[Pop-up zur Active Directory-Synchronisierung\]](http://docs.aws.amazon.com/de_de/res/archive/release-minus-2/ug/images/active-directory-synchronization.png)


### Zusätzliche Einstellungen
<a name="active-directory-sync-addl-settings"></a>

**Filter**

Administratoren können die zu synchronisierenden Benutzer oder Gruppen mithilfe der Optionen **Benutzerfilter** und **Gruppenfilter filtern**. Die Filter müssen der [LDAP-Filtersyntax](https://ldap.com/ldap-filters/) folgen. Ein Beispielfilter ist:

```
(sAMAccountname=<user>)
```

**Benutzerdefinierte SSSD-Parameter**

Administratoren können ein Wörterbuch mit Schlüssel-Wert-Paaren bereitstellen, das SSSD-Parameter und Werte enthält, um sie in den `[domain_type/DOMAIN_NAME]` Abschnitt der SSSD-Konfigurationsdatei auf Cluster-Instances zu schreiben. RES wendet die SSSD-Updates automatisch an — es startet den SSSD-Dienst auf Clusterinstanzen neu und löst den AD-Synchronisierungsprozess aus.

Einige gängige benutzerdefinierte SSSD-Einstellungen sind:
+ `enumerate`- Auf 'true' setzen, um alle Benutzer- und Gruppeneinträge aus dem Verzeichnisdienst zwischenzuspeichern. Wenn Sie dies deaktivieren, könnte es zu einer kurzen Verzögerung bei der ersten Anmeldung der Benutzer kommen.
+ `ldap_id_mapping`- Auf „true“ setzen, um LDAP/AD Benutzer und Gruppe dem lokalen System UIDs und GIDs dem Linux-System IDs zuzuordnen. Wenn Sie dies aktivieren, kann die Kompatibilität mit vorhandenen POSIX-Skripten und -Anwendungen verbessert werden.

Eine vollständige Beschreibung der SSSD-Konfigurationsdatei finden Sie in den Linux-Manpages für. `SSSD`

![\[Zusätzliche SSSD-Konfigurationen\]](http://docs.aws.amazon.com/de_de/res/archive/release-minus-2/ug/images/res-additional-sssd-config1.png)


Die SSSD-Parameter und -Werte müssen mit der RES-SSSD-Konfiguration kompatibel sein, wie hier beschrieben:
+ `id_provider`wird intern von RES festgelegt und darf nicht geändert werden.
+ AD-bezogene Konfigurationen`ldap_uri`, einschließlich, `ldap_default_bind_dn` und`ldap_search_base`, `ldap_default_authtok` werden auf der Grundlage der anderen bereitgestellten AD-Konfigurationen festgelegt und dürfen nicht geändert werden.

Im folgenden Beispiel wird die Debug-Ebene für SSSD-Protokolle aktiviert:

![\[Zusätzliche SSSD-Konfigurationen, die das eingegebene neue Schlüssel- und Wertepaar anzeigen\]](http://docs.aws.amazon.com/de_de/res/archive/release-minus-2/ug/images/res-additional-sssd-config2.png)


## E-Mail-Update nach der ersten AD-Synchronisierung (Version 2025.09)
<a name="ad-sync-update-email"></a>

Wenn sich die E-Mail-Adresse eines Active Directory-Benutzers geändert hat, können Administratoren die AD-Synchronisierung manuell starten oder auf die nächste geplante AD-Synchronisierung warten, bis die Änderung übernommen und mit RES synchronisiert wird.

## Wie kann die Synchronisierung manuell gestartet oder gestoppt werden (Version 2025.03 und höher)
<a name="active-directory-sync-start-stop"></a>

Navigieren Sie zur **Identitätsverwaltungsseite** und klicken Sie im **Active Directory-Domänencontainer** auf die Schaltfläche **AD-Synchronisierung starten**, um bei Bedarf eine AD-Synchronisierung auszulösen.

![\[Active Directory-Domänenkonfigurationen\]](http://docs.aws.amazon.com/de_de/res/archive/release-minus-2/ug/images/res-ad-directory-sync1.png)


Um eine laufende AD-Synchronisierung zu **beenden, klicken Sie im **Active Directory-Domänencontainer** auf die Schaltfläche AD-Synchronisierung** beenden.

![\[Seite mit Active Directory-Domänenkonfigurationen mit der Option zum Beenden der Synchronisation\]](http://docs.aws.amazon.com/de_de/res/archive/release-minus-2/ug/images/res-ad-directory-sync2.png)


Sie können auch den AD-Synchronisierungsstatus und die letzte Synchronisierungszeit im **Active Directory-Domänencontainer** überprüfen.

![\[Seite mit den Active Directory-Domänenkonfigurationen mit der letzten Synchronisierungszeit\]](http://docs.aws.amazon.com/de_de/res/archive/release-minus-2/ug/images/res-ad-directory-sync3.png)


## Wie führe ich die Synchronisierung manuell aus (Version 2024.12 und 2024.12.01)
<a name="active-directory-sync-manually"></a>

Der Active Directory-Synchronisierungsprozess wurde vom Cluster Manager-Infrastrukturhost auf eine einmalige Amazon Elastic Container Service (ECS) -Aufgabe im Hintergrund verschoben. Der Prozess ist so geplant, dass er stündlich ausgeführt wird, und Sie können eine laufende ECS-Aufgabe in der Amazon ECS-Konsole unter dem `<res-environment-name>-ad-sync-cluster` Cluster finden, während sie in Bearbeitung ist.

**Um ihn manuell zu starten:**

1. Navigieren Sie zur [Lambda-Konsole](https://console.aws.amazon.com/lambda) und suchen Sie nach dem aufgerufenen Lambda. `<res-environment>-scheduled-ad-sync`

1. **Öffnen Sie die Lambda-Funktion und gehen Sie zu Test** 

1. Geben Sie im **Event-JSON** Folgendes ein:

   ```
   {
       "detail-type": "Scheduled Event"
   }
   ```

1. Wählen Sie **Test** aus.

1. Beachten Sie die Protokolle der laufenden AD Sync-Aufgabe unter **CloudWatch**→ **Protokollgruppen** →`/<environment-name>/ad-sync`. Sie sehen die Protokolle aller laufenden ECS-Aufgaben. Wählen Sie die neueste Version aus, um die Protokolle anzuzeigen.

**Anmerkung**  
Wenn Sie die AD-Parameter ändern oder AD-Filter hinzufügen, fügt RES die neuen Benutzer anhand der neu angegebenen Parameter hinzu und entfernt Benutzer, die zuvor synchronisiert wurden und nicht mehr im LDAP-Suchbereich enthalten sind.
RES kann keine Dateien entfernen user/group , die aktiv einem Projekt zugewiesen sind. Sie müssen Benutzer aus Projekten entfernen, damit RES sie aus der Umgebung entfernt.

## SSO-Konfiguration
<a name="active-directory-sync-sso-config"></a>

Nach der Bereitstellung der AD-Konfiguration müssen Benutzer Single Sign-On (SSO) einrichten, um sich als AD-Benutzer beim RES-Webportal anmelden zu können. Die SSO-Konfiguration wurde von der Seite **Allgemeine Einstellungen** auf die neue **Identitätsverwaltungsseite** verschoben. Weitere Informationen zur Einrichtung von SSO finden Sie unter[Identitätsverwaltung](manage-users.md).