本文為英文版的機器翻譯版本，如內容有任何歧義或不一致之處，概以英文版為準。

# 使用 Active Directory 做為身分來源
<a name="gs-ad"></a>

如果您使用 Directory Service 或 Active Directory (AD) 中的自我管理目錄來管理 AWS Managed Microsoft AD 目錄中的使用者，您可以變更 IAM Identity Center 身分來源，以使用這些使用者。建議您在啟用 IAM Identity Center 並選擇身分來源時，考慮連接此身分來源。在預設 Identity Center 目錄中建立任何使用者和群組之前執行此操作，可協助您避免稍後變更身分來源時所需的其他組態。

若要使用 Active Directory 做為您的身分來源，您的組態必須符合下列先決條件：
+ 如果您使用的是 AWS Managed Microsoft AD，則必須在設定 AWS Managed Microsoft AD 目錄 AWS 區域 的相同 中啟用 IAM Identity Center。IAM Identity Center 會將指派資料存放在與 目錄相同的區域中。若要管理 IAM Identity Center，您可能需要切換到已設定 IAM Identity Center 的區域。此外，請注意， AWS 存取入口網站使用與您的目錄相同的存取 URL。
+ 使用 管理帳戶中的 Active Directory：

  您必須在 中設定現有的 AD Connector 或 AWS Managed Microsoft AD 目錄 AWS Directory Service，而且必須位於您的 AWS Organizations 管理帳戶中。您 AWS Managed Microsoft AD 一次只能連接一個 AD Connector 目錄或 中的一個目錄。如果您需要支援多個網域或樹系，請使用 AWS Managed Microsoft AD。如需詳細資訊，請參閱：
  + [將 中的目錄 AWS Managed Microsoft AD 連接至 IAM Identity Center](connectawsad.md)
  + [將 Active Directory 中的自我管理目錄連接到 IAM Identity Center](connectonpremad.md)
+ 使用位於委派管理員帳戶中的 Active Directory：

  如果您計劃啟用 IAM Identity Center 委派管理員，並使用 Active Directory 作為 IAM Identity Center 身分來源，則可以使用位於委派管理員帳戶中的 AWS 目錄中設定的現有 AD Connector 或 AWS Managed Microsoft AD 目錄。

  如果您決定將 IAM Identity Center 身分來源從任何其他來源變更為 Active Directory，或將其從 Active Directory 變更為任何其他來源，則目錄必須位於 （由 擁有） IAM Identity Center 委派管理員成員帳戶中，如果存在的話，則必須位於管理帳戶中。

本教學課程會引導您使用 Active Directory 做為 IAM Identity Center 身分來源的基本設定。

## 步驟 2：將管理使用者同步至 IAM Identity Center
<a name="gs-ad-sync-admin-user-from-ad"></a>

將目錄連線至 IAM Identity Center 之後，您可以指定要授予管理許可的使用者，然後將該使用者從目錄同步到 IAM Identity Center。

1. 開啟 [IAM Identity Center 主控台](https://console.aws.amazon.com/singlesignon)。

1. 選擇**設定**。

1. 在**設定**頁面上，選擇**身分來源**索引標籤，選擇**動作**，然後選擇**管理同步**。

1. 在**管理同步**頁面上，選擇**使用者**索引標籤，然後選擇**新增使用者和群組**。

1. 在**使用者**索引標籤**的使用者**下，輸入確切的使用者名稱，然後選擇**新增**。

1. 在**新增的使用者和群組**下，執行下列動作：

   1. 確認已指定您要授予管理許可的使用者。

   1. 選取使用者名稱左側的核取方塊。

   1. 選擇**提交**。

1. 在**管理同步**頁面中，您指定的使用者會出現在**同步範圍清單中的使用者中**。

1. 在導覽窗格中，選擇**使用者** 。

1. 在**使用者**頁面上，您指定的使用者可能需要一些時間才會出現在清單中。選擇重新整理圖示以更新使用者清單。

此時，您的使用者無法存取 管理帳戶。您將建立管理許可集，並將使用者指派給該許可集，藉此設定此帳戶的管理存取權。如需詳細資訊，請參閱[建立許可集](howtocreatepermissionset.md)。