Comment fonctionne la synchronisation AD configurable - AWS IAM Identity Center
CréationMettre à jourSuppression

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Comment fonctionne la synchronisation AD configurable

IAM Identity Center actualise les données d'identité basées sur la publicité dans le magasin d'identités en utilisant le processus suivant. Pour en savoir plus sur les conditions préalables, consultezPrérequis et considérations.

Création

Après avoir connecté votre annuaire autogéré dans Active Directory ou votre AWS Managed Microsoft AD annuaire géré par AWS Directory Service IAM Identity Center, vous pouvez configurer de manière explicite les utilisateurs et les groupes Active Directory que vous souhaitez synchroniser dans le magasin d'identités IAM Identity Center. Les identités que vous choisissez seront synchronisées toutes les trois heures environ dans le magasin d'identités IAM Identity Center. Selon la taille de votre annuaire, le processus de synchronisation peut prendre plus de temps.

Les groupes membres d'autres groupes (appelés groupes imbriqués ou groupes enfants) sont également enregistrés dans le magasin d'identités.

Vous ne pouvez attribuer l'accès à de nouveaux utilisateurs ou groupes qu'après leur synchronisation dans la banque d'identités IAM Identity Center.

Mettre à jour

Les données d'identité de la banque d'identités d'IAM Identity Center restent actualisées en lisant régulièrement les données du répertoire source dans Active Directory. IAM Identity Center synchronise les données de votre Active Directory toutes les heures selon un cycle de synchronisation par défaut. La synchronisation des données dans IAM Identity Center peut prendre entre 30 minutes et 2 heures, en fonction de la taille de votre Active Directory.

Les objets d'utilisateur et de groupe inclus dans la zone de synchronisation et leurs appartenances sont créés ou mis à jour dans IAM Identity Center pour être mappés aux objets correspondants dans le répertoire source d'Active Directory. Pour les attributs utilisateur, seul le sous-ensemble d'attributs répertorié dans la section Attributs pour le contrôle d'accès de la console IAM Identity Center est mis à jour dans IAM Identity Center. Un cycle de synchronisation peut être nécessaire pour que les mises à jour d'attributs que vous effectuez dans Active Directory soient répercutées dans IAM Identity Center.

Vous pouvez également mettre à jour le sous-ensemble d'utilisateurs et de groupes que vous synchronisez dans la banque d'identités IAM Identity Center. Vous pouvez choisir d'ajouter de nouveaux utilisateurs ou groupes à ce sous-ensemble ou de les supprimer. Toutes les identités que vous ajoutez sont synchronisées lors de la prochaine synchronisation planifiée. Les identités que vous supprimez du sous-ensemble ne seront plus mises à jour dans la base d'identités IAM Identity Center. Tout utilisateur qui n'est pas synchronisé pendant plus de 28 jours sera désactivé dans la base d'identités IAM Identity Center. Les objets utilisateur correspondants seront automatiquement désactivés dans la banque d'identités IAM Identity Center lors du prochain cycle de synchronisation, sauf s'ils font partie d'un autre groupe qui fait toujours partie de la zone de synchronisation.

Suppression

Les utilisateurs et les groupes sont supprimés de la banque d'identités IAM Identity Center lorsque les objets d'utilisateur ou de groupe correspondants sont supprimés du répertoire source dans Active Directory. Vous pouvez également supprimer explicitement des objets utilisateur de la banque d'identités IAM Identity Center à l'aide de la console IAM Identity Center. Si vous utilisez la console IAM Identity Center, vous devez également supprimer les utilisateurs de la zone de synchronisation afin de vous assurer qu'ils ne seront pas resynchronisés dans IAM Identity Center lors du prochain cycle de synchronisation.

Vous pouvez également suspendre et reprendre la synchronisation à tout moment. Si vous suspendez la synchronisation pendant plus de 28 jours, tous vos utilisateurs seront désactivés.