Active Directory 同步

執行期組態

安裝期間，與 Active Directory (AD) 相關的所有 CFN 參數都是選用的。

Form for optional Active Directory configuration details with multiple input fields.

初次安裝後，管理員可以在身分管理頁面下的 RES Web 入口網站中檢視或編輯 AD 組態：

Active Directory global settings and domain configuration interface for RES deployment.

Active Directory Synchronization form with fields for configuration settings.

管理員可以透過新的使用者篩選和群組篩選選項，篩選要同步的使用者或群組。篩選條件必須遵循 LDAP 篩選條件語法。範例篩選條件為：


(sAMAccountname=<user>)

對於執行時間提供的任何秘密 ARN （例如 ServiceAccountCredentialsSecretArn或 DomainTLSCertificateSecretArn)，請務必將下列標籤新增至 RES 的秘密，以取得讀取秘密值的許可：

金鑰：res:EnvironmentName，值： <your RES environment name>
金鑰：res:ModuleName，值： directoryservice

Web 入口網站中的任何 AD 組態更新都會在下一次排定的 AD 同步期間自動取得（每小時）。使用者可能需要在變更 AD 組態後重新設定 SSO （例如，如果切換到不同的 AD)。

如何手動執行同步 (2024.12 及更新版本）

Active Directory 同步程序已從 Cluster Manager 內部主機移至幕後的一次性 Amazon Elastic Container Service (ECS) 任務。程序排程為每小時執行一次，您可以在<res-environment-name>-ad-sync-cluster叢集下的 Amazon ECS 主控台中找到執行中的 ECS 任務。

若要手動啟動它：

導覽至 Lambda 主控台並搜尋稱為的 lambda<res-environment>-scheduled-ad-sync。
開啟 Lambda 函數並前往測試

在事件 JSON 中，輸入下列項目：


{
    "detail-type": "Scheduled Event"
}

選擇測試。
在 CloudWatch 下觀察執行中 AD Sync 任務的日誌 → 日誌群組 → <environment-name>/ad-sync。您將看到每個執行中 ECS 任務的日誌。選取最新的以檢視日誌。

注意

如果您變更 AD 參數或新增 AD 篩選條件，RES 會將新使用者新增至新指定的參數，並移除先前已同步且不再包含在 LDAP 搜尋空間中的使用者。
RES 無法移除主動指派給專案的使用者/群組。您必須從專案中移除使用者，讓 RES 從環境中移除他們。

SSO 組態

提供 AD 組態後，使用者必須設定單一登入 (SSO)，才能以 AD 使用者身分登入 RES Web 入口網站。SSO 組態已從一般設定頁面移至新的身分管理頁面。如需設定 SSO 的詳細資訊，請參閱身分管理。

您的瀏覽器已停用或無法使用 Javascript。

您必須啟用 Javascript，才能使用 AWS 文件。請參閱您的瀏覽器說明頁以取得說明。

文件慣用形式

Amazon Cognito 身分設定

使用 IAM Identity Center 設定 SSO