本文為英文版的機器翻譯版本，如內容有任何歧義或不一致之處，概以英文版為準。

# Active Directory 同步
<a name="active-directory-sync"></a>



## 執行期組態
<a name="active-directory-sync-runtime"></a>

安裝期間，與 Active Directory (AD) 相關的所有 CFN 參數都是選用的。

![Active Directory 選用詳細資訊](http://docs.aws.amazon.com/zh_tw/res/archive/release-minus-2/ug/images/active-directory-details.png)


對於執行時間提供的任何秘密 ARN （例如 `ServiceAccountCredentialsSecretArn`或 `DomainTLSCertificateSecretArn`)，請務必將下列標籤新增至 RES 的秘密，以取得讀取秘密值的許可：
+ 金鑰：`res:EnvironmentName`、值：`{{<your RES environment name>}}`
+ 金鑰：`res:ModuleName`、值：`directoryservice`

Web 入口網站中的任何 AD 組態更新都會在下一次排定的 AD 同步期間 （每小時） 自動取得。使用者可能需要在變更 AD 組態後重新設定 SSO （例如，如果切換到不同的 AD)。

初次安裝後，管理員可以在**身分管理**頁面下的 RES Web 入口網站中檢視或編輯 AD 組態：

![Active Directory 網域組態設定詳細資訊](http://docs.aws.amazon.com/zh_tw/res/archive/release-minus-2/ug/images/res-active-directory-domain.png)


![Active Directory 同步快顯](http://docs.aws.amazon.com/zh_tw/res/archive/release-minus-2/ug/images/active-directory-synchronization.png)


### 其他設定
<a name="active-directory-sync-addl-settings"></a>

**篩選條件**

管理員可以使用使用者篩選和群組篩選選項來**篩選要同步的使用者**或**群組**。篩選條件必須遵循 [LDAP 篩選條件語法](https://ldap.com/ldap-filters/)。範例篩選條件為：

```
(sAMAccountname={{<user>}})
```

**自訂 SSSD 參數**

管理員可以提供索引鍵/值對的字典，其中包含要寫入叢集執行個體上 SSSD 組態檔案 `[domain_type/DOMAIN_NAME]` 區段的 SSSD 參數和值。RES 會自動套用 SSSD 更新 – 它會重新啟動叢集執行個體上的 SSSD 服務，並觸發 AD 同步程序。

一些常見的自訂 SSSD 設定包括：
+ `enumerate` - 設定為「true」以快取目錄服務中的所有使用者和群組項目。停用此功能可能會為使用者的第一次登入新增短暫延遲。
+ `ldap_id_mapping` - 設定為「true」，將 LDAP/AD 使用者和群組 IDs 映射至 Linux 系統上的本機 UIDs GIDs。啟用此功能可以改善與現有 POSIX 指令碼和應用程式的相容性。

如需 SSSD 組態檔案的完整說明，請參閱 的 Linux 手冊頁面`SSSD`。

![其他 SSSD 組態](http://docs.aws.amazon.com/zh_tw/res/archive/release-minus-2/ug/images/res-additional-sssd-config1.png)


SSSD 參數和值必須與 RES SSSD 組態相容，如下所述：
+ `id_provider` 由 RES 內部設定，不得修改。
+ AD 相關組態，包括 `ldap_uri`、 `ldap_search_base``ldap_default_bind_dn`和 `ldap_default_authtok` 是根據其他提供的 AD 組態設定，不得修改。

下列範例會啟用 SSSD 日誌的偵錯層級：

![顯示輸入新金鑰和值對的其他 SSSD 組態](http://docs.aws.amazon.com/zh_tw/res/archive/release-minus-2/ug/images/res-additional-sssd-config2.png)


## 初始 AD 同步後的電子郵件更新 (2025.09 版）
<a name="ad-sync-update-email"></a>

如果 Active Directory 使用者的電子郵件地址已變更，管理員可以手動啟動 AD 同步，或等待下一次排定的 AD 同步，以收取變更並同步至 RES。

## 如何手動啟動或停止同步 (2025.03 及更新版本）
<a name="active-directory-sync-start-stop"></a>

導覽至**身分管理**頁面，然後選擇 **Active Directory 網域**容器中的**啟動 AD 同步**按鈕，以隨需觸發 AD 同步。

![Active Directory 網域組態](http://docs.aws.amazon.com/zh_tw/res/archive/release-minus-2/ug/images/res-ad-directory-sync1.png)


若要停止持續的 AD 同步，請選取 **Active Directory 網域**容器中的**停止 AD 同步**按鈕。

![Active Directory 網域組態頁面顯示停止同步的選項](http://docs.aws.amazon.com/zh_tw/res/archive/release-minus-2/ug/images/res-ad-directory-sync2.png)


您也可以在 **Active Directory 網域**容器中檢查 AD 同步狀態和最新的同步時間。

![Active Directory 網域組態頁面顯示最新的同步時間](http://docs.aws.amazon.com/zh_tw/res/archive/release-minus-2/ug/images/res-ad-directory-sync3.png)


## 如何手動執行同步 (2024.12 和 2024.12.01 版）
<a name="active-directory-sync-manually"></a>

Active Directory 同步程序已從 Cluster Manager 內部主機移至幕後的一次性 Amazon Elastic Container Service (ECS) 任務。程序排程為每小時執行一次，您可以在`{{<res-environment-name>}}-ad-sync-cluster`叢集下的 Amazon ECS 主控台中找到執行中的 ECS 任務。

**若要手動啟動它：**

1. 導覽至 [Lambda 主控台](https://console.aws.amazon.com/lambda)並搜尋稱為 的 lambda`{{<res-environment>}}-scheduled-ad-sync`。

1. 開啟 Lambda 函數並前往**測試** 

1. 在**事件 JSON** 中輸入下列項目：

   ```
   {
       "detail-type": "Scheduled Event"
   }
   ```

1. 選擇**測試**。

1. 在 **CloudWatch** 下觀察執行中 AD Sync 任務的日誌 → **日誌群組** → `/{{<environment-name>}}/ad-sync`。您將看到每個執行中 ECS 任務的日誌。選取最新的 以檢視日誌。

**注意**  
如果您變更 AD 參數或新增 AD 篩選條件，RES 會將新使用者新增至新指定的參數，並移除先前已同步且不再包含在 LDAP 搜尋空間中的使用者。
RES 無法移除主動指派給專案的使用者/群組。您必須從專案中移除使用者，讓 RES 從環境中移除他們。

## SSO 組態
<a name="active-directory-sync-sso-config"></a>

提供 AD 組態後，使用者必須設定單一登入 (SSO)，才能以 AD 使用者身分登入 RES Web 入口網站。SSO 組態已從**一般設定**頁面移至新的**身分管理**頁面。如需設定 SSO 的詳細資訊，請參閱 [身分管理](manage-users.md)。