本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。 # 將 Active Directory 中的自我管理目錄連接到 IAM Identity Center Active Directory (AD) 中自我管理目錄中的使用者也可以在存取入口網站中擁有 AWS 帳戶 和 應用程式的單一登入 AWS 存取權。若要為這些使用者設定單一登入存取,您可以執行下列其中一項操作: + **建立雙向信任關係** – 在 AD 中於 AWS Managed Microsoft AD 和自我管理目錄之間建立雙向信任關係時,AD 中自我管理目錄中的使用者可以使用其公司登入資料登入各種 AWS 服務和業務應用程式。單向信任不適用於 IAM Identity Center。 AWS IAM Identity Center 需要雙向信任,使其具有從您的網域讀取使用者和群組資訊的許可,以同步使用者和群組中繼資料。IAM Identity Center 會在指派許可集或應用程式的存取權時使用此中繼資料。應用程式也會使用使用者和群組中繼資料進行協同合作,例如當您與其他使用者或群組共用儀表板時。從 Directory Service for Microsoft Active Directory 到您網域的信任允許 IAM Identity Center 信任您的網域進行身分驗證。相反方向的信任會授予讀取使用者和群組中繼資料的 AWS 許可。 如需設定雙向信任的詳細資訊,請參閱《 *AWS Directory Service 管理指南*》中的[何時建立信任關係](https://docs.aws.amazon.com/directoryservice/latest/admin-guide/setup_trust.html)。 **注意** 為了使用 AWS 應用程式,例如 IAM Identity Center 從信任的網域讀取 Directory Service 目錄使用者, Directory Service 帳戶需要信任使用者的 userAccountControl 屬性許可。如果沒有此屬性的讀取許可, AWS 應用程式就無法判斷帳戶是啟用或停用。 建立信任時,預設會提供此屬性的讀取存取權。如果您拒絕存取此屬性 (不建議),您會讓 Identity Center 之類的應用程式無法讀取信任的使用者。解決方案是特別允許在 AWS 預留 OU (字首為 AWS\_) 下 AWS 讀取服務帳戶上的 `userAccountControl` 屬性。 + **建立 AD Connector** – AD Connector 是一種目錄閘道,可將目錄請求重新導向至自我管理 AD,而不會快取雲端中的任何資訊。如需詳細資訊,請參閱《 *AWS Directory Service 管理指南*》中的[連線至目錄](https://docs.aws.amazon.com/directoryservice/latest/admin-guide/directory_ad_connector.html)。以下是使用 AD Connector 時的考量事項: + 如果您要將 IAM Identity Center 連線至 AD Connector 目錄,任何未來的使用者密碼重設都必須在 AD 內完成。這表示使用者將無法從 AWS 存取入口網站重設密碼。 + 如果您使用 AD Connector 將 Active Directory Domain Service 連線至 IAM Identity Center,IAM Identity Center 只能存取 AD Connector 連接的單一網域的使用者和群組。如果您需要支援多個網域或樹系,請將 Directory Service 用於 Microsoft Active Directory。 **注意** IAM Identity Center 不適用於SAMBA4-based Simple AD 目錄。