As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.
# Sincronização configurável no AD do IAM Identity Center
A sincronização configurável do Active Directory (AD) do IAM Identity Center permite que você configure explicitamente as identidades no Microsoft Active Directory que são sincronizadas automaticamente com o IAM Identity Center e controle o processo de sincronização.
+ Com esse método de sincronização, você pode fazer o seguinte:
+ Controle os limites dos dados definindo explicitamente os usuários e grupos no Microsoft Active Directory que são sincronizados automaticamente no IAM Identity Center. Você pode [adicionar usuários e grupos](manage-sync-add-users-groups-configurable-ADsync.md) ou [remover usuários e grupos](manage-sync-remove-users-groups-configurable-ADsync.md) para alterar o escopo da sincronização a qualquer momento.
+ Atribua a usuários e grupos sincronizados [acesso de logon único Contas da AWS](useraccess.md) ou [acesso a aplicativos](assignuserstoapp.md). Os aplicativos podem ser aplicativos AWS gerenciados ou aplicativos gerenciados pelo cliente.
+ Controle o processo de sincronização [pausando e retomando a sincronização](manage-sync-pause-resume-sync-configurable-ADsync.md) conforme necessário. Isso ajuda você a regular a carga nos sistemas de produção.
## Pré-requisitos e considerações
Antes de usar o AD Sync configurável, esteja ciente dos seguintes pré-requisitos e considerações:
+ **Como especificar usuários e grupos no Active Directory para sincronização**
Antes de usar o IAM Identity Center para atribuir a novos usuários e grupos acesso Contas da AWS e aos aplicativos AWS gerenciados ou aplicativos gerenciados pelo cliente, você deve especificar os usuários e grupos no Active Directory para sincronizar e depois sincronizá-los com o IAM Identity Center.
+ **Sincronização configurável do AD** — o IAM Identity Center não pesquisa usuários e grupos diretamente em seu controlador de domínio. Em vez disso, você deve primeiro especificar a lista de usuários e grupos a serem sincronizados. Você pode configurar essa lista, também conhecida como *escopo de sincronização*, de uma das seguintes formas, dependendo se você tem usuários e grupos que já estão sincronizados com o IAM Identity Center ou se tem novos usuários e grupos que você está sincronizando pela primeira vez usando a sincronização configurável do AD.
+ Usuários e grupos existentes: se você tiver usuários e grupos que já estão sincronizados com o IAM Identity Center, o escopo de sincronização na sincronização configurável do AD é pré-preenchido com uma lista desses usuários e grupos. Para atribuir novos usuários ou grupos, você deve adicioná-los especificamente ao escopo de sincronização. Para obter mais informações, consulte [Adicione usuários e grupos ao escopo de sincronização](manage-sync-add-users-groups-configurable-ADsync.md).
+ Novos usuários e grupos: se você quiser atribuir a novos usuários e grupos acesso a Contas da AWS e aos aplicativos, você deve especificar quais usuários e grupos adicionar ao escopo de sincronização na sincronização configurável do AD antes de usar o IAM Identity Center para fazer a atribuição. Para obter mais informações, consulte [Adicione usuários e grupos ao escopo de sincronização](manage-sync-add-users-groups-configurable-ADsync.md).
+ **Fazendo atribuições para grupos aninhados no Active Directory**
Grupos que são membros de outros grupos são chamados de *grupos aninhados* (ou grupos secundários).
+ **Sincronização do AD configurável**: usar a sincronização do AD configurável para fazer atribuições a um grupo do Active Directory que contém grupos aninhados pode aumentar o escopo dos usuários que têm acesso a aplicações ou Contas da AWS . Nesse caso, a atribuição é aplicada a todos os usuários, incluindo os usuários em grupos aninhados. Por exemplo, se você atribuir acesso ao Grupo A e o Grupo B for membro do Grupo A, somente os membros diretos do Grupo A poderão acessar a conta.
+ **Atualização de fluxos de trabalho automatizados**
Se você tiver fluxos de trabalho automatizados que usam as ações da API de armazenamento de identidades do IAM Identity Center e as ações da API de atribuição do IAM Identity Center para atribuir a novos usuários e grupos acesso a contas e aplicativos e sincronizá-los com o IAM Identity Center, você deve ajustar esses fluxos de trabalho até 15 de abril de 2022 para que funcionem conforme o esperado com a sincronização configurável do AD. A sincronização configurável do AD altera a ordem na qual a atribuição e o provisionamento de usuários e grupos ocorrem e a forma como as consultas são realizadas.
+ **Sincronização configurável do AD** — O provisionamento ocorre primeiro e não é executado automaticamente. Em vez disso, primeiro você deve adicionar explicitamente usuários e grupos ao repositório de identidades adicionando-os ao seu escopo de sincronização. Para obter informações sobre as etapas recomendadas para automatizar sua configuração de sincronização para sincronização configurável do AD, consulte [Automatize sua configuração de sincronização para sincronização configurável do AD](automate-sync-configuration-configurable-ADsync.md).
**Topics**
+ [Pré-requisitos e considerações](#prerequisites-configurable-ADsync)
+ [Como funciona a sincronização configurável do AD](how-it-works-configurable-ADsync.md)
+ [Configure mapeamentos de atributos para sua sincronização](manage-sync-configure-attribute-mapping-configurable-ADsync.md)
+ [Configuração de sincronização entre o Active Directory e o IAM Identity Center](manage-sync-configurable-ADsync.md)
+ [Adicione usuários e grupos ao escopo de sincronização](manage-sync-add-users-groups-configurable-ADsync.md)
+ [Remova usuários e grupos ao escopo de sincronização](manage-sync-remove-users-groups-configurable-ADsync.md)
+ [Interromper e retomar a sincronização](manage-sync-pause-resume-sync-configurable-ADsync.md)
+ [Automatize sua configuração de sincronização para sincronização configurável do AD](automate-sync-configuration-configurable-ADsync.md)
# Como funciona a sincronização configurável do AD
O IAM Identity Center atualiza os dados de identidade baseados em AD no repositório de identidades usando o processo a seguir. Para saber mais sobre os pré-requisitos, consulte. [Pré-requisitos e considerações](provision-users-from-ad-configurable-ADsync.md#prerequisites-configurable-ADsync)
## Criação
Depois de conectar seu diretório autogerenciado no Active Directory ou seu AWS Managed Microsoft AD diretório gerenciado pelo Directory Service ao IAM Identity Center, você pode configurar explicitamente os usuários e grupos do Active Directory que você deseja sincronizar no repositório de identidades do IAM Identity Center. As identidades que você escolher serão sincronizadas a cada três horas ou mais no repositório de identidades do IAM Identity Center. Dependendo do tamanho do seu diretório, o processo de sincronização pode demorar mais.
Grupos que são membros de outros grupos (chamados de *grupos aninhados* ou *grupos secundários*) também são gravados no repositório de identidades.
Você só pode atribuir acesso a novos usuários ou grupos depois que eles forem sincronizados no repositório de identidades do IAM Identity Center.
## Atualizar
Os dados de identidade no repositório de identidades do IAM Identity Center permanecem atualizados por meio da leitura periódica dos dados do diretório de origem no Active Directory. O IAM Identity Center, por padrão, sincroniza dados do Active Directory a cada hora em um ciclo de sincronização. A sincronização de dados com o IAM Identity Center pode levar de 30 minutos a 2 horas, dependendo do tamanho do Active Directory.
Os objetos de usuário e grupo que estão no escopo de sincronização e suas associações são criados ou atualizados no IAM Identity Center para mapear os objetos correspondentes no diretório de origem no Active Directory. Para atributos do usuário, somente o subconjunto de atributos listados na seção **Attributes for access control ** do console do IAM Identity Center é atualizado no IAM Identity Center. Pode levar um ciclo de sincronização para uma atualização de atributos feita no Active Directory seja refletida no IAM Identity Center.
Você também pode atualizar o subconjunto de usuários e grupos que você sincroniza no repositório de identidades do IAM Identity Center. Você pode optar por adicionar novos usuários ou grupos a esse subconjunto ou removê-los. Todas as identidades que você adicionar serão sincronizadas na próxima sincronização agendada. As identidades que você remover do subconjunto deixarão de ser atualizadas no armazenamento de identidades do IAM Identity Center. Qualquer usuário que não estiver sincronizado por mais de 28 dias será desativado no repositório de identidades do IAM Identity Center. Os objetos de usuário correspondentes serão automaticamente desativados no repositório de identidades do IAM Identity Center durante o próximo ciclo de sincronização, a menos que façam parte de outro grupo que ainda faça parte do escopo da sincronização.
## Exclusão
Usuários e grupos são excluídos do repositório de identidades do IAM Identity Center quando os objetos de usuário ou grupo correspondentes são excluídos do diretório de origem no Active Directory. Como alternativa, você pode excluir explicitamente objetos de usuário do repositório de identidades do IAM Identity Center usando o console do IAM Identity Center. Se você usa o console do IAM Identity Center, também deve remover os usuários do escopo de sincronização para garantir que eles não sejam sincronizados novamente com o IAM Identity Center durante o próximo ciclo de sincronização.
Você também pode pausar e reiniciar a sincronização a qualquer momento. Se você pausar a sincronização por mais de 28 dias, todos os seus usuários serão desativados.
# Configure mapeamentos de atributos para sua sincronização
Para obter mais informações sobre atributos disponíveis, consulte [Mapeamento de atributos entre o IAM Identity Center e o diretório de provedores de identidades externos](attributemappingsconcept.md).
**Mapear atributos no IAM Identity Center para atributos em seu diretório**
1. Abra o [console do IAM Identity Center](https://console.aws.amazon.com/singlesignon).
1. Escolha **Settings**.
1. Na página **Configurações**, escolha a guia **Identity source**, escolha **Actions** e, em seguida, escolha **Manage Sync**.
1. Em **Manage Sync**, escolha **View attribute mapping**.
1. Em **Active Directory user attributes** do **IAM Identity Center identity store attributes** de **Active Directory user attributes**. Por exemplo, talvez você queira mapear o atributo de usuário do IAM Identity Center para o `email` atributo de diretório do Microsoft AD`${objectguid}`.
**nota**
Em **Atributos de grupo**, os **atributos do IAM Identity Center identity store** e os **atributos de grupo do Active Directory** não podem ser alterados.
1. Escolha **Salvar alterações**. Isso o levará de volta à página **Manage Sync**.
# Configuração de sincronização entre o Active Directory e o IAM Identity Center
Se você estiver sincronizando os usuários e grupos do Active Directory para o IAM Identity Center pela primeira vez, siga as etapas. Como alternativa, você pode seguir as etapas descritas em [Alterar sua fonte de identidades](manage-your-identity-source-change.md) para alterar a fonte de identidade do IAM Identity Center para Active Directory.
## Configuração guiada
1. Abra o [console do IAM Identity Center](https://console.aws.amazon.com/singlesignon).
**nota**
Certifique-se de que o console do IAM Identity Center esteja usando um dos Regiões da AWS locais em que seu AWS Managed Microsoft AD diretório está localizado antes de passar para a próxima etapa.
1. Escolha **Settings**.
1. Na parte superior da página, na mensagem de notificação, escolha **Start guided setup**.
1. Na **Etapa 1 — *opcional*: Configurar mapeamentos de atributos**, revise os mapeamentos padrão de atributos de usuário e grupo. Se nenhuma alteração for necessária, escolha **Next**. Se forem necessárias alterações, faça as alterações e escolha **Save changes**.
1. Na **Etapa 2 — *opcional*: Configurar o escopo da sincronização**, escolha a guia **Users**. Em seguida, insira o nome de usuário exato do usuário que você deseja adicionar ao seu escopo de sincronização e escolha **Add**. Em seguida, escolha a guia **Groups**. Insira o nome exato do grupo que você deseja adicionar ao seu escopo de sincronização e escolha **Add**. Em seguida, escolha **Next**. Se você quiser adicionar usuários e grupos ao seu escopo de sincronização posteriormente, não faça alterações e escolha **Next**.
1. Na **Etapa 3: Revise e salve a configuração**, confirme seus **mapeamentos de atributos** na **Etapa 1: Mapeamentos de atributos** e seus **usuários e grupos** na **Etapa 2: Escopo de sincronização**. Escolha **Save configuration**. Isso o levará para a página **Gerenciar Sincronização**.
# Adicione usuários e grupos ao escopo de sincronização
**nota**
Ao adicionar grupos ao seu escopo de sincronização, sincronize grupos diretamente do domínio local confiável em vez de grupos no AWS Managed Microsoft AD domínio. Os grupos sincronizados diretamente do domínio confiável contêm objetos de usuário reais que o IAM Identity Center pode acessar e sincronizar com êxito.
Adicione usuários e grupos do Active Directory ao IAM Identity Center seguindo estas etapas.
**Como adicionar usuários**
1. Abra o [console do IAM Identity Center](https://console.aws.amazon.com/singlesignon).
1. Escolha **Settings**.
1. Na página **Configurações**, escolha a guia **Identity source**, escolha **Actions** e, em seguida, escolha **Manage Sync**.
1. Na página **Manage Sync**, escolha a guia **Usuários** e **Adicionar usuários e grupos**.
1. Na guia **User**, em **User**, insira o nome de usuário exato e escolha **Adicionar**.
1. Em **Usuários e grupos adicionados**, revise o usuário que você deseja adicionar.
1. Selecione **Submit**.
1. No painel de navegação, escolha **Users**. Se o usuário que você especificou não aparecer na lista, escolha o ícone de atualização para atualizar a lista de usuários.
**Para adicionar grupos**
1. Abra o [console do IAM Identity Center](https://console.aws.amazon.com/singlesignon).
1. Escolha **Settings**.
1. Na página **Configurações**, escolha a guia **Identity source**, escolha **Actions** e, em seguida, escolha **Manage Sync**.
1. Na página **Manage Sync**, escolha a guia **Groups** e, em seguida, escolha **Add users and groups**.
1. Escolha a guia **Groups**. Em **Grupo**, insira o nome exato do grupo e escolha **Add**.
1. Em **Added Users and Groups**, revise o grupo que você deseja adicionar.
1. Selecione **Submit**.
1. No painel de navegação, escolha **Groups**. Se o grupo que você especificou não aparecer na lista, escolha o ícone de atualização para atualizar a lista de grupos.
# Remova usuários e grupos ao escopo de sincronização
Para obter mais informações sobre o que acontece quando você remove usuários e grupos do seu escopo de sincronização, consulte [Como funciona a sincronização configurável do AD](how-it-works-configurable-ADsync.md).
**Para remover um usuário**
1. Abra o [console do IAM Identity Center](https://console.aws.amazon.com/singlesignon).
1. Escolha **Settings**.
1. Na página **Configurações**, escolha a guia **Identity source**, escolha **Actions** e, em seguida, escolha **Manage Sync**.
1. Escolha a guia **Users**.
1. Em **Usuários no escopo de sincronização**, marque a caixa de seleção ao lado do usuário que você deseja excluir. Para excluir todos os usuários, marque a caixa de seleção ao lado do **Username**.
1. Escolha **Remover **.
**Para remover grupos**
1. Abra o [console do IAM Identity Center](https://console.aws.amazon.com/singlesignon).
1. Escolha **Settings**.
1. Na página **Configurações**, escolha a guia **Identity source**, escolha **Actions** e, em seguida, escolha **Manage Sync**.
1. Selecione a guia **Grupos**.
1. Em **Groups in sync scope**, marque a caixa de seleção ao lado do usuário que você deseja excluir. Para excluir todos os grupos, marque a caixa de seleção ao lado **Group name**.
1. Escolha **Remover **.
# Interromper e retomar a sincronização
Pausar sua sincronização pausa todos os ciclos de sincronização futuros e impede que as alterações feitas nos usuários e grupos no Active Directory sejam refletidas no IAM Identity Center. Depois de retomar a sincronização, o ciclo de sincronização seleciona essas alterações na próxima sincronização agendada.
**Para pausar a sincronização**
1. Abra o [console do IAM Identity Center](https://console.aws.amazon.com/singlesignon).
1. Escolha **Settings**.
1. Na página **Configurações**, escolha a guia **Identity source**, escolha **Actions** e, em seguida, escolha **Manage Sync**.
1. Em **Manage Sync**, escolha **Pause sync**.
**Para retomar a sincronização**
1. Abra o [console do IAM Identity Center](https://console.aws.amazon.com/singlesignon).
1. Escolha **Settings**.
1. Na página **Configurações**, escolha a guia **Identity source**, escolha **Actions** e, em seguida, escolha **Manage Sync**.
1. Em **Manage Sync**, escolha **Resume sync**.
**nota**
Se você vir **Pause sync** em vez de **Resume sync**, a sincronização do Active Directory com o IAM Identity Center já foi retomada.
# Automatize sua configuração de sincronização para sincronização configurável do AD
Para garantir que seu fluxo de trabalho automatizado funcione conforme o esperado com a sincronização configurável do AD, recomendamos que você execute as etapas a seguir para automatizar sua configuração de sincronização.
**Automatize sua configuração de sincronização para sincronização configurável do AD**
1. No Active Directory, crie um *grupo de sincronização principal* para conter todos os usuários e grupos que você deseja sincronizar no IAM Identity Center. Por exemplo, você pode nomear o grupo *IAMIdentityCenterAllUsersAndGroups*.
1. No IAM Identity Center, adicione o grupo de sincronização principal à sua lista de sincronização configurável. O IAM Identity Center sincronizará todos os usuários, grupos, subgrupos e membros de todos os grupos contidos no grupo de sincronização principal.
1. Use as ações da API de gerenciamento de usuários e grupos do Active Directory fornecidas pela Microsoft para adicionar ou remover usuários e grupos do grupo de sincronização principal.