本文為英文版的機器翻譯版本，如內容有任何歧義或不一致之處，概以英文版為準。

# Active Directory 同步
<a name="active-directory-sync"></a>



## 執行期組態
<a name="active-directory-sync-runtime"></a>

安裝期間，與 Active Directory (AD) 相關的所有 CFN 參數都是選用的。

![包含選用 Active Directory 組態欄位的表單，包括網域名稱、LDAP 設定、組織單位和服務帳戶登入資料。](http://docs.aws.amazon.com/zh_tw/res/archive/release-minus-4/ug/images/active-directory-details.png)


對於執行時間提供的任何秘密 ARN （例如 `ServiceAccountCredentialsSecretArn`或 `DomainTLSCertificateSecretArn`)，請務必將下列標籤新增至 RES 的秘密，以取得讀取秘密值的許可：
+ 金鑰：`res:EnvironmentName`、值：`{{<your RES environment name>}}`
+ 金鑰：`res:ModuleName`、值：`directoryservice`

Web 入口網站中的任何 AD 組態更新都會在下一次排定的 AD 同步期間自動挑選 （每小時）。使用者在變更 AD 組態後可能需要重新設定 SSO （例如，如果切換到不同的 AD)。

在初始安裝之後，管理員可以在**身分管理**頁面下的 RES Web 入口網站中檢視或編輯 AD 組態：

![Active Directory 網域組態頁面顯示網域設定、LDAP 連線詳細資訊和組織單位。](http://docs.aws.amazon.com/zh_tw/res/archive/release-minus-4/ug/images/res-active-directory-domain.png)


![Active Directory 同步對話方塊包含目錄名稱、LDAP 設定和組織單位的欄位。](http://docs.aws.amazon.com/zh_tw/res/archive/release-minus-4/ug/images/active-directory-synchronization.png)


### 其他設定
<a name="active-directory-sync-addl-settings"></a>

**篩選條件**

管理員可以使用使用者篩選和群組篩選選項來**篩選要同步的使用者**或**群組**。篩選條件必須遵循 [LDAP 篩選條件語法](https://ldap.com/ldap-filters/)。範例篩選條件為：

```
(sAMAccountname={{<user>}})
```

**自訂 SSSD 參數**

管理員可以提供索引鍵/值對的字典，其中包含要寫入叢集執行個體上 SSSD 組態檔案 `[domain_type/DOMAIN_NAME]` 區段的 SSSD 參數和值。RES 會自動套用 SSSD 更新 – 它會重新啟動叢集執行個體上的 SSSD 服務，並觸發 AD 同步程序。如需 SSSD 組態檔案的完整說明，請參閱 的 Linux 手冊頁面`SSSD`。

![其他 SSSD 組態表單，其中 ldap_id_mapping 和 join_active_directory 金鑰設定為 true，以及新增參數按鈕。](http://docs.aws.amazon.com/zh_tw/res/archive/release-minus-4/ug/images/res-additional-sssd-config1.png)


SSSD 參數和值必須與 RES SSSD 組態相容，如下所述：
+ `id_provider` 由 RES 內部設定，不得修改。
+ AD 相關組態，包括 `ldap_uri`、 `ldap_search_base``ldap_default_bind_dn`和 `ldap_default_authtok` 是根據其他提供的 AD 組態設定，不得修改。

下列範例會啟用 SSSD 日誌的偵錯層級：

![顯示三個鍵/值對的組態表單：ldap_id_mapping 設定為 true、 join_active_directory 設定為 true，以及 debug_level 設定為 0xFFF0。](http://docs.aws.amazon.com/zh_tw/res/archive/release-minus-4/ug/images/res-additional-sssd-config2.png)


## 如何手動啟動或停止同步 (2025.03 及更新版本）
<a name="active-directory-sync-start-stop"></a>

導覽至**身分管理**頁面，然後選擇 **Active Directory 網域**容器中的**啟動 AD 同步**按鈕，以隨需觸發 AD 同步。

![Active Directory 網域組態設定，包括網域名稱、LDAP 基礎、服務帳戶登入資料和組織單位規格。](http://docs.aws.amazon.com/zh_tw/res/archive/release-minus-4/ug/images/res-ad-directory-sync1.png)


若要停止持續的 AD 同步，請選取 **Active Directory 網域**容器中的**停止 AD 同步**按鈕。

![Active Directory 網域組態頁面顯示網域設定和停止 AD 同步按鈕。](http://docs.aws.amazon.com/zh_tw/res/archive/release-minus-4/ug/images/res-ad-directory-sync2.png)


您也可以在 **Active Directory 網域**容器中檢查 AD 同步狀態和最新的同步時間。

![Active Directory 網域組態頁面顯示網域設定和同步狀態。](http://docs.aws.amazon.com/zh_tw/res/archive/release-minus-4/ug/images/res-ad-directory-sync3.png)


## 如何手動執行同步 (2024.12 和 2024.12.01 版）
<a name="active-directory-sync-manually"></a>

Active Directory 同步程序已從 Cluster Manager 內部主機移至幕後的一次性 Amazon Elastic Container Service (ECS) 任務。程序排程為每小時執行一次，您可以在`{{<res-environment-name>}}-ad-sync-cluster`叢集下的 Amazon ECS 主控台中找到執行中的 ECS 任務。

**若要手動啟動它：**

1. 導覽至 [Lambda 主控台](https://console.aws.amazon.com/lambda)並搜尋稱為 的 lambda`{{<res-environment>}}-scheduled-ad-sync`。

1. 開啟 Lambda 函數並前往**測試** 

1. 在**事件 JSON** 中輸入下列項目：

   ```
   {
       "detail-type": "Scheduled Event"
   }
   ```

1. 選擇**測試**。

1. 在 **CloudWatch** 下觀察執行中 AD Sync 任務的日誌 → **日誌群組** → `{{<environment-name>}}/ad-sync`。您將看到每個執行中 ECS 任務的日誌。選取最新的 以檢視日誌。

**注意**  
如果您變更 AD 參數或新增 AD 篩選條件，RES 會將新使用者新增至新指定的參數，並移除先前已同步且不再包含在 LDAP 搜尋空間中的使用者。
RES 無法移除主動指派給專案的使用者/群組。您必須從專案中移除使用者，讓 RES 從環境中移除他們。

## SSO 組態
<a name="active-directory-sync-sso-config"></a>

提供 AD 組態後，使用者必須設定單一登入 (SSO)，才能以 AD 使用者身分登入 RES Web 入口網站。SSO 組態已從**一般設定**頁面移至新的**身分管理**頁面。如需設定 SSO 的詳細資訊，請參閱 [身分管理](manage-users.md)。