Conecte um diretório autogerenciado no Active Directory ao IAM Identity Center - Centro de Identidade do AWS IAM

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Conecte um diretório autogerenciado no Active Directory ao IAM Identity Center

Os usuários no diretório autogerenciado do Active Directory (AD) também podem ter acesso de logon único a aplicações e Contas da AWS no Portal de acesso do AWS. Para configurar o acesso de logon único para esses usuários, você poderá seguir um destes procedimentos:

  • Create a two-way trust relationship – Relações de confiança bidirecionais criadas entre o AWS Managed Microsoft AD e o diretório autogerenciado no AD permitem que os usuários locais façam login com suas credenciais corporativas em vários serviços da AWS e aplicativos comerciais. Confianças unidirecionais não funcionam com o IAM Identity Center.

    Centro de Identidade do AWS IAM requer uma relação de confiança bidirecional para que tenha permissões para ler informações de usuários e grupos do seu domínio para sincronizar metadados de usuários e grupos. O IAM Identity Center usa esses metadados ao atribuir acesso a conjuntos de permissões ou aplicativos. Os metadados de usuários e grupos também são usados por aplicativos para colaboração, como quando você compartilha um painel com outro usuário ou grupo. A confiança do Directory Service para Microsoft Active Directory em seu domínio permite que o IAM Identity Center confie em seu domínio para autenticação. A confiança na direção oposta concede permissões AWS para ler metadados de usuários e grupos.

    Para obter mais informações sobre a configuração de uma confiança bidirecional, consulte Quando criar uma relação de confiança no AWS Directory Service Guia Administrativo.

    nota

    Para usar aplicações da AWS, como o IAM Identity Center, para ler usuários de diretório do Directory Service de domínios confiáveis, as contas da Directory Service exigem permissões para o atributo userAccountControl nos usuários confiáveis. Sem permissões de leitura para esse atributo, as aplicações da AWS não conseguem determinar se a conta está habilidade ou desabilitada.

    O acesso de leitura a esse atributo é fornecido por padrão quando uma relação de confiança é criada. Se você negar o acesso a esse atributo (não recomendado), impedirá que aplicações como o Identity Center consigam ler os usuários confiáveis. A solução é permitir especificamente o acesso para leitura ao atributo userAccountControl nas contas de serviço da AWS na UO reservada da AWS (prefixada com AWS _).

  • Criar um conector AD – O Conector AD é um gateway de diretório que pode redirecionar solicitações de diretório para seu AD autogerenciado sem armazenar nenhuma informação em cache na nuvem. Para obter mais informações, consulte Conectar a um Diretório no Guia de administração AWS Directory Service. As seguintes considerações devem ser observadas ao usar o AD Connector:

    • Se você estiver conectando o IAM Identity Center a um diretório do AD Connector, qualquer futura redefinição de senha de usuário deverá ser feita de dentro do AD. Isso significa que os usuários não poderão redefinir suas senhas no portal de acesso AWS.

    • Se você usa o AD Connector para conectar seu serviço de domínio do Active Directory ao IAM Identity Center, o IAM Identity Center só tem acesso aos usuários e grupos do único domínio ao qual o AD Connector está conectado. Se você precisar oferecer suporte a vários domínios ou florestas, use Directory Service para o Microsoft Active Directory.

    nota

    O IAM Identity Center não funciona com diretórios Simple AD baseados em Samba4.