Configuración en tiempo de ejecución Cómo iniciar o detener la sincronización manualmente (versión 2025.03 y versiones posteriores)Cómo ejecutar la sincronización manualmente (versiones 2024.12 y 2024.12.01)Configuración del SSO

Sincronización de Active Directory

Configuración en tiempo de ejecución

Todos los parámetros de CFN relacionados con Active Directory (AD) son opcionales durante la instalación.

Form for optional Active Directory configuration details with multiple input fields.

Para cualquier ARN secreto proporcionado en tiempo de ejecución (por ejemplo, ServiceAccountCredentialsSecretArn oDomainTLSCertificateSecretArn), asegúrese de añadir las siguientes etiquetas al secreto para que RES obtenga permisos para leer el valor secreto:

clave: res:EnvironmentName, valor: <your RES environment name>
clave: res:ModuleName, valor: directoryservice

Todas las actualizaciones de la configuración de AD que se introduzcan en el portal web se recogerán automáticamente durante la próxima sincronización programada de AD (cada hora). Es posible que los usuarios tengan que volver a configurar el SSO después de cambiar la configuración de AD (por ejemplo, si cambian a un AD diferente).

Tras la instalación inicial, los administradores pueden ver o editar la configuración de AD en el portal web de RES, en la página de administración de identidades:

Active Directory domain configuration settings with fields for domain details and synchronization options.

Active Directory Synchronization form with fields for configuration settings.

Ajustes adicionales

Filtros

Los administradores pueden filtrar los usuarios o grupos para sincronizarlos mediante las opciones Filtro de usuarios y Filtro de grupos. Los filtros deben seguir la sintaxis del filtro LDAP. Un filtro de ejemplo es:


(sAMAccountname=<user>)

Parámetros SSSD personalizados

Los administradores pueden proporcionar un diccionario de pares clave-valor que contenga parámetros y valores de SSSD para escribirlos en la [domain_type/DOMAIN_NAME] sección del archivo de configuración de SSSD de las instancias de clúster. RES aplica las actualizaciones de SSSD automáticamente: reinicia el servicio SSSD en las instancias del clúster y activa el proceso de sincronización de AD. Para obtener una descripción completa del archivo de configuración del SSSD, consulte las páginas de manual de Linux de. SSSD

SSSD configuration interface with options for ldap_id_mapping and join_active_directory.

Los parámetros y valores del SSSD deben ser compatibles con la configuración del SSSD de la RES, tal como se describe aquí:

id_providerestá configurado internamente por RES y no debe modificarse.
Las configuraciones relacionadas con ADldap_uri, incluidas las demás configuraciones de AD proporcionadasldap_search_base, ldap_default_bind_dn ldap_default_authtok se configuran en función de las demás configuraciones de AD proporcionadas y no deben modificarse.

El siguiente ejemplo habilita el nivel de depuración de los registros de SSSD:

SSSD configuration form with ldap_id_mapping and join_active_directory set to true.

Cómo iniciar o detener la sincronización manualmente (versión 2025.03 y versiones posteriores)

Vaya a la página de administración de identidades y pulse el botón Iniciar la sincronización de AD en el contenedor de dominios de Active Directory para activar una sincronización de AD bajo demanda.

Active Directory Domain configuration settings with domain details and synchronization options.

Para detener una sincronización de AD en curso, seleccione el botón Detener la sincronización de AD en el contenedor de dominios de Active Directory.

Active Directory Domain configuration interface with synchronization in progress and domain details.

También puedes comprobar el estado de la sincronización de AD y la última hora de sincronización en el contenedor de dominios de Active Directory.

Cómo ejecutar la sincronización manualmente (versiones 2024.12 y 2024.12.01)

El proceso de sincronización de Active Directory se ha trasladado del host de infraestructura de Cluster Manager a una tarea única de Amazon Elastic Container Service (ECS) entre bastidores. El proceso está programado para ejecutarse cada hora y puede encontrar una tarea de ECS en ejecución en la consola de Amazon ECS, en el <res-environment-name>-ad-sync-cluster clúster, mientras está en curso.

Para lanzarla manualmente:

Navegue hasta la consola de Lambda y busque la lambda llamada. <res-environment>-scheduled-ad-sync
Abra la función Lambda y vaya a Probar
En el JSON de eventos, introduzca lo siguiente:
```
{
    "detail-type": "Scheduled Event"
}
```
Seleccione Probar.
Observe los registros de la tarea de sincronización de AD en ejecución en CloudWatch→ Grupos de registros →<environment-name>/ad-sync. Verás los registros de cada una de las tareas de ECS en ejecución. Seleccione la más reciente para ver los registros.

nota

Si cambias los parámetros de AD o añades filtros de AD, RES añadirá los nuevos usuarios con los parámetros recién especificados y eliminará los usuarios que se hayan sincronizado previamente y que ya no estén incluidos en el espacio de búsqueda de LDAP.
RES no puede eliminar un elemento user/group que esté asignado activamente a un proyecto. Debe eliminar usuarios de los proyectos para que RES los elimine del entorno.

Configuración del SSO

Una vez proporcionada la configuración de AD, los usuarios deben configurar el inicio de sesión único (SSO) para poder iniciar sesión en el portal web de RES como usuarios de AD. La configuración del SSO se trasladó de la página de configuración general a la nueva página de administración de identidades. Para obtener más información sobre la configuración del SSO, consulte. Administración de identidades

Aviso JavaScript está desactivado o no está disponible en su navegador.

Para utilizar la documentación de AWS, debe estar habilitado JavaScript. Para obtener más información, consulte las páginas de ayuda de su navegador.

Convenciones del documento

Configuración de identidad de Amazon Cognito

Configuración del SSO con el Centro de Identidad de IAM