As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá. # Sincronização do Active Directory ## Configuração de tempo de execução Todos os AWS CloudFormation parâmetros relacionados ao Active Directory (AD) são opcionais durante a instalação. ![Detalhes opcionais do Active Directory](http://docs.aws.amazon.com/pt_br/res/latest/ug/images/active-directory-details.png) Para qualquer ARN secreto fornecido em tempo de execução (por exemplo, `ServiceAccountCredentialsSecretArn` ou`DomainTLSCertificateSecretArn`), certifique-se de adicionar as seguintes tags ao segredo para RES para obter permissões para ler o valor secreto: + chave: `res:EnvironmentName`, valor: `{{}}` + chave: `res:ModuleName`, valor: `directoryservice` Todas as atualizações de configuração do AD no portal da web serão coletadas automaticamente durante a próxima sincronização agendada do AD (de hora em hora). Talvez os usuários precisem reconfigurar o SSO depois de alterar a configuração do AD (por exemplo, se mudarem para um AD diferente). Após a instalação inicial, os administradores podem visualizar ou editar a configuração do AD no portal web RES, na página de **gerenciamento de identidade**: ![Detalhes das configurações de domínio do Active Directory](http://docs.aws.amazon.com/pt_br/res/latest/ug/images/res-active-directory-domain.png) ![Pop-out de sincronização do Active Directory](http://docs.aws.amazon.com/pt_br/res/latest/ug/images/active-directory-synchronization.png) ### Ingressar automaticamente no Active Directory Os administradores podem definir a configuração **Ingressar automaticamente no Active Directory** para controlar o comportamento de associação ao domínio do diretório durante a inicialização da VDI. **Opções de configuração:** + **Ativado** - une automaticamente os VDIs do Windows e do Linux ao seu domínio de diretório durante a inicialização. + **Desativado** - desativa a adesão automática ao domínio. As instâncias Linux podem ser executadas com ou sem a associação de domínios. As instâncias do Windows exigem a associação de domínios para serem iniciadas com êxito, portanto, os administradores devem incluir a lógica de associação de domínio em seus scripts de lançamento personalizados. **Importante** Se você desabilitar essa configuração, verifique se os scripts de execução personalizados da sua instância do Windows incluem a lógica de junção de domínio necessária. ### Configurações adicionais **Filtros** Os administradores podem filtrar os usuários ou grupos a serem sincronizados usando as opções **Filtro de usuários e Filtro** **de grupos**. Os filtros devem seguir a sintaxe do [filtro LDAP](https://ldap.com/ldap-filters/). Um exemplo de filtro é: ``` (sAMAccountname={{}}) ``` **Parâmetros SSSD personalizados** Os administradores podem fornecer um dicionário de pares de valores-chave contendo parâmetros e valores SSSD para gravar na `[domain_type/DOMAIN_NAME]` seção do arquivo de configuração SSSD em instâncias de cluster. O RES aplica as atualizações do SSSD automaticamente — ele reinicia o serviço SSSD nas instâncias do cluster e aciona o processo de sincronização do AD. Algumas configurações SSSD personalizadas comuns são: + `enumerate`- Defina como 'true' para armazenar em cache todas as entradas de usuários e grupos do serviço de diretório. Desativar isso pode adicionar um pequeno atraso ao primeiro login dos usuários. + `ldap_id_mapping`- Defina como 'true' para mapear IDs de LDAP/AD usuários e grupos para UIDs e GIDs locais no sistema Linux. Ativar isso pode melhorar a compatibilidade com scripts e aplicativos POSIX existentes. Para obter uma descrição completa do arquivo de configuração SSSD, consulte as páginas do manual do Linux para`SSSD`. ![Configurações adicionais de SSSD](http://docs.aws.amazon.com/pt_br/res/latest/ug/images/res-additional-sssd-config1.png) Os parâmetros e valores do SSSD devem ser compatíveis com a configuração do RES SSSD, conforme descrito aqui: + `id_provider`é definido internamente pelo RES e não deve ser modificado. + As configurações relacionadas ao AD`ldap_uri`, incluindo,`ldap_search_base`, `ldap_default_bind_dn` e, `ldap_default_authtok` são definidas com base nas outras configurações fornecidas do AD e não devem ser modificadas. O exemplo a seguir ativa o nível de depuração para registros SSSD: ![Configurações SSSD adicionais mostrando o novo par de chave e valor inserido](http://docs.aws.amazon.com/pt_br/res/latest/ug/images/res-additional-sssd-config2.png) ## Atualização de e-mail após a sincronização inicial do AD (versão 2025.09 e posterior) Se o endereço de e-mail de um usuário do Active Directory tiver sido alterado, os administradores poderão iniciar manualmente a sincronização do AD ou aguardar a próxima sincronização agendada do AD para que a alteração seja coletada e sincronizada com o RES. ## Como iniciar ou interromper manualmente a sincronização (versão 2025.03 e posterior) Navegue até a página **de gerenciamento de identidade** e escolha o botão **Iniciar sincronização do AD** no contêiner do **domínio do Active Directory** para acionar uma sincronização do AD sob demanda. ![Configurações de domínio do Active Directory](http://docs.aws.amazon.com/pt_br/res/latest/ug/images/res-ad-directory-sync1.png) Para interromper uma sincronização contínua do AD, selecione o botão **Parar sincronização do AD** no contêiner do **Domínio do Active Directory**. ![Página de configurações de domínio do Active Directory mostrando a opção de interromper a sincronização](http://docs.aws.amazon.com/pt_br/res/latest/ug/images/res-ad-directory-sync2.png) Você também pode verificar o status da sincronização do AD e a hora da sincronização mais recente no contêiner do **Domínio do Active Directory**. ![Página de configurações de domínio do Active Directory mostrando a hora da sincronização mais recente](http://docs.aws.amazon.com/pt_br/res/latest/ug/images/res-ad-directory-sync3.png) ## Como executar manualmente a sincronização (versões 2024.12 e 2024.12.01) O processo de sincronização do Active Directory foi movido do host infravermelho do Cluster Manager para uma tarefa única do Amazon Elastic Container Service (ECS) em segundo plano. O processo está programado para ser executado a cada hora e você pode encontrar uma tarefa do ECS em execução no console do Amazon ECS sob o `{{}}-ad-sync-cluster` cluster enquanto ela está em andamento. **Para iniciá-lo manualmente:** 1. Navegue até o [console do Lambda](https://console.aws.amazon.com/lambda) e pesquise o lambda chamado. `{{}}-scheduled-ad-sync` 1. **Abra a função Lambda e vá para Teste** 1. No **Evento JSON**, digite o seguinte: ``` { "detail-type": "Scheduled Event" } ``` 1. Escolha **Testar**. 1. Observe os registros da tarefa do AD Sync em execução em **CloudWatch**→ **Grupos de registros** →`/{{}}/ad-sync`. Você verá os registros de cada uma das tarefas do ECS em execução. Selecione o mais recente para ver os registros. **nota** Se você alterar os parâmetros do AD ou adicionar filtros do AD, o RES adicionará os novos usuários com os parâmetros recém-especificados e removerá os usuários que foram sincronizados anteriormente e não estão mais incluídos no espaço de pesquisa do LDAP. O RES não pode remover um usuário ou grupo que esteja ativamente atribuído a um projeto. Você deve remover usuários dos projetos para que o RES os remova do ambiente. ## Configuração de SSO Depois que a configuração do AD for fornecida, os usuários devem configurar o Single Sign-On (SSO) para poderem fazer login no portal da web do RES como um usuário do AD. A configuração do SSO foi movida da página **Configurações gerais** para a nova página de **gerenciamento de identidade**. Para obter mais informações sobre como configurar o SSO, consulte[Gerenciamento de identidades](manage-users.md).