View a markdown version of this page

Sincronização do Active Directory - Estúdio de Pesquisa e Engenharia
Configuração de tempo de execuçãoComo iniciar ou interromper manualmente a sincronização (versão 2025.03 e posteriores)Como executar manualmente a sincronização (versões 2024.12 e 2024.12.01)Configuração de SSO

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Sincronização do Active Directory

Configuração de tempo de execução

Todos os parâmetros CFN relacionados ao Active Directory (AD) são opcionais durante a instalação.

Para qualquer ARN secreto fornecido em tempo de execução (por exemplo, ServiceAccountCredentialsSecretArn ouDomainTLSCertificateSecretArn), certifique-se de adicionar as seguintes tags ao segredo para RES para obter permissões para ler o valor secreto:

  • chave: res:EnvironmentName, valor: <your RES environment name>

  • chave: res:ModuleName, valor: directoryservice

Todas as atualizações de configuração do AD no portal da web serão coletadas automaticamente durante a próxima sincronização agendada do AD (de hora em hora). Talvez os usuários precisem reconfigurar o SSO depois de alterar a configuração do AD (por exemplo, se mudarem para um AD diferente).

Após a instalação inicial, os administradores podem visualizar ou editar a configuração do AD no portal web RES, na página de gerenciamento de identidade:

Configurações adicionais

Filtros

Os administradores podem filtrar os usuários ou grupos a serem sincronizados usando as opções Filtro de usuários e Filtro de grupos. Os filtros devem seguir a sintaxe do filtro LDAP. Um exemplo de filtro é:

(sAMAccountname=<user>)

Parâmetros SSSD personalizados

Os administradores podem fornecer um dicionário de pares de valores-chave contendo parâmetros e valores SSSD para gravar na [domain_type/DOMAIN_NAME] seção do arquivo de configuração SSSD em instâncias de cluster. O RES aplica as atualizações do SSSD automaticamente — ele reinicia o serviço SSSD nas instâncias do cluster e aciona o processo de sincronização do AD. Para obter uma descrição completa do arquivo de configuração SSSD, consulte as páginas do manual do Linux paraSSSD.

Os parâmetros e valores do SSSD devem ser compatíveis com a configuração do RES SSSD, conforme descrito aqui:

  • id_provideré definido internamente pelo RES e não deve ser modificado.

  • As configurações relacionadas ao ADldap_uri, incluindo,ldap_search_base, ldap_default_bind_dn e, ldap_default_authtok são definidas com base nas outras configurações fornecidas do AD e não devem ser modificadas.

O exemplo a seguir ativa o nível de depuração para registros SSSD:

Como iniciar ou interromper manualmente a sincronização (versão 2025.03 e posteriores)

Navegue até a página de gerenciamento de identidade e escolha o botão Iniciar sincronização do AD no contêiner do domínio do Active Directory para acionar uma sincronização do AD sob demanda.

Para interromper uma sincronização contínua do AD, selecione o botão Parar sincronização do AD no contêiner do Domínio do Active Directory.

Página de configuração do domínio do Active Directory mostrando as configurações do domínio e o botão Parar sincronização do AD.

Você também pode verificar o status da sincronização do AD e a hora da sincronização mais recente no contêiner do Domínio do Active Directory.

Página de configuração do domínio do Active Directory mostrando as configurações do domínio e o status da sincronização.

Como executar manualmente a sincronização (versões 2024.12 e 2024.12.01)

O processo de sincronização do Active Directory foi movido do host de infraestrutura do Cluster Manager para uma tarefa única do Amazon Elastic Container Service (ECS) nos bastidores. O processo está programado para ser executado a cada hora e você pode encontrar uma tarefa do ECS em execução no console do Amazon ECS sob o <res-environment-name>-ad-sync-cluster cluster enquanto ela está em andamento.

Para iniciá-lo manualmente:

  1. Navegue até o console do Lambda e pesquise o lambda chamado. <res-environment>-scheduled-ad-sync

  2. Abra a função Lambda e vá para Teste

  3. No Evento JSON, digite o seguinte:

    {
    "detail-type": "Scheduled Event"
}

  4. Escolha Testar.

  5. Observe os registros da tarefa do AD Sync em execução em CloudWatchGrupos de registros<environment-name>/ad-sync. Você verá os registros de cada uma das tarefas do ECS em execução. Selecione o mais recente para ver os registros.

nota

  • Se você alterar os parâmetros do AD ou adicionar filtros do AD, o RES adicionará os novos usuários com os parâmetros recém-especificados e removerá os usuários que foram sincronizados anteriormente e não estão mais incluídos no espaço de pesquisa do LDAP.

  • O RES não pode remover um user/group que esteja ativamente atribuído a um projeto. Você deve remover usuários dos projetos para que o RES os remova do ambiente.

Configuração de SSO

Depois que a configuração do AD for fornecida, os usuários devem configurar o Single Sign-On (SSO) para poderem fazer login no portal da web do RES como um usuário do AD. A configuração do SSO foi movida da página Configurações gerais para a nova página de gerenciamento de identidade. Para obter mais informações sobre como configurar o SSO, consulteGerenciamento de identidades.