本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
# IAM Identity Center 可設定的 AD 同步
IAM Identity Center 可設定的 Active Directory (AD) 同步可讓您在 Microsoft Active Directory 中明確設定會自動同步至 IAM Identity Center 的身分,並控制同步程序。
+ 使用此同步方法,您可以執行下列動作:
+ 透過明確定義 Microsoft Active Directory 中自動同步至 IAM Identity Center 的使用者和群組來控制資料邊界。您可以隨時[新增使用者和群組](manage-sync-add-users-groups-configurable-ADsync.md),或[移除使用者和群組](manage-sync-remove-users-groups-configurable-ADsync.md)以變更同步的範圍。
+ 指派同步使用者和群組對應用程式的單一登入[存取 AWS 帳戶](useraccess.md)或[存取](assignuserstoapp.md)。應用程式可以是 AWS 受管應用程式或客戶受管應用程式。
+ 視需要[暫停並繼續同步,以控制同步](manage-sync-pause-resume-sync-configurable-ADsync.md)程序。這可協助您調節生產系統的負載。
## 先決條件和考量事項
在使用可設定的 AD 同步之前,請注意下列先決條件和考量事項:
+ **在 Active Directory 中指定要同步的使用者和群組**
您必須先在 Active Directory 中指定要同步的使用者和群組,然後將新使用者和群組的存取權指派給 AWS 帳戶 AWS 受管應用程式或客戶受管應用程式,然後同步到 IAM Identity Center。
+ **可設定的 AD 同步** – IAM Identity Center 不會直接搜尋您的網域控制器中的使用者和群組。反之,您必須先指定要同步的使用者和群組清單。您可以採用下列其中一種方式來設定此清單,也稱為*同步範圍*,取決於您是否擁有已同步至 IAM Identity Center 的使用者和群組,或是您第一次使用可設定的 AD 同步來同步的新使用者和群組。
+ 現有使用者和群組:如果您的使用者和群組已同步至 IAM Identity Center,可設定 AD 同步中的同步範圍會預先填入這些使用者和群組的清單。若要指派新的使用者或群組,您必須將他們特別新增至同步範圍。如需詳細資訊,請參閱[將使用者和群組新增至您的同步範圍](manage-sync-add-users-groups-configurable-ADsync.md)。
+ 新使用者和群組:如果您想要將新使用者和群組的存取權指派給 AWS 帳戶 應用程式,您必須先在可設定的 AD 同步中指定要新增至同步範圍的使用者和群組,才能使用 IAM Identity Center 進行指派。如需詳細資訊,請參閱[將使用者和群組新增至您的同步範圍](manage-sync-add-users-groups-configurable-ADsync.md)。
+ **在 Active Directory 中對巢狀群組進行指派**
屬於其他群組成員的群組稱為*巢狀群組* (或子群組)。
+ **可設定的 AD 同步** – 使用可設定的 AD 同步對 Active Directory 中包含巢狀群組的群組進行指派,可能會增加有權存取 AWS 帳戶 或存取應用程式的使用者範圍。在此情況下,指派會套用至所有使用者,包括巢狀群組中的使用者。例如,如果您將存取權指派給群組 A,而群組 B 是群組 A 的成員,群組 B 的成員也會繼承此存取權。
+ **更新自動化工作流程**
如果您有使用 IAM Identity Center 身分存放區 API 動作和 IAM Identity Center 指派 API 動作的自動化工作流程,將新使用者和群組的存取權指派給帳戶和應用程式,並將它們同步到 IAM Identity Center,則必須在 2022 年 4 月 15 日之前調整這些工作流程,以便它們以可設定的 AD 同步如預期般運作。可設定的 AD 同步會變更使用者和群組指派和佈建的順序,以及執行查詢的方式。
+ **可設定的 AD 同步** – 佈建會先發生,而且不會自動執行。相反地,您必須先將使用者和群組新增至同步範圍,以明確地將其新增至身分存放區。如需自動化可設定 AD 同步之同步組態的建議步驟相關資訊,請參閱 [自動化可設定 AD 同步的同步組態](automate-sync-configuration-configurable-ADsync.md)。
**Topics**
+ [先決條件和考量事項](#prerequisites-configurable-ADsync)
+ [可設定的 AD 同步如何運作](how-it-works-configurable-ADsync.md)
+ [為您的同步設定屬性映射](manage-sync-configure-attribute-mapping-configurable-ADsync.md)
+ [第一次 Active Directory 到 IAM Identity Center 同步設定](manage-sync-configurable-ADsync.md)
+ [將使用者和群組新增至您的同步範圍](manage-sync-add-users-groups-configurable-ADsync.md)
+ [從您的同步範圍移除使用者和群組](manage-sync-remove-users-groups-configurable-ADsync.md)
+ [暫停並繼續同步](manage-sync-pause-resume-sync-configurable-ADsync.md)
+ [自動化可設定 AD 同步的同步組態](automate-sync-configuration-configurable-ADsync.md)
# 可設定的 AD 同步如何運作
IAM Identity Center 使用以下程序重新整理身分存放區中的 AD 型身分資料。若要進一步了解先決條件,請參閱 [先決條件和考量事項](provision-users-from-ad-configurable-ADsync.md#prerequisites-configurable-ADsync)。
## 建立
將 Active Directory 中的自我管理目錄或 AWS Managed Microsoft AD 管理的目錄連接到 IAM Identity Center Directory Service 之後,您可以明確設定要同步到 IAM Identity Center 身分存放區的 Active Directory 使用者和群組。您選擇的身分將每三小時同步到 IAM Identity Center 身分存放區。根據您的目錄大小,同步程序可能需要更長的時間。
屬於其他群組 (稱為*巢狀群組*或*子群組*) 的群組也會寫入身分存放區。
您只能在新使用者或群組同步到 IAM Identity Center 身分存放區之後,將存取權指派給新使用者或群組。
## 更新
IAM Identity Center 身分存放區中的身分資料會定期從 Active Directory 中的來源目錄中讀取資料,以保持最新狀態。根據預設,IAM Identity Center 會在同步週期中每小時從您的 Active Directory 同步資料。根據 Active Directory 的大小,資料可能需要 30 分鐘到 2 小時才能同步到 IAM Identity Center。
在同步範圍內的使用者和群組物件及其成員資格會在 IAM Identity Center 中建立或更新,以對應至 Active Directory 中來源目錄中的對應物件。對於使用者屬性,IAM Identity Center 主控台**的存取控制屬性**區段中列出的屬性子集只會在 IAM Identity Center 中更新。您在 Active Directory 中進行的任何屬性更新可能需要一個同步週期,才能反映在 IAM Identity Center 中。
您也可以更新同步到 IAM Identity Center 身分存放區中的使用者和群組子集。您可以選擇將新使用者或群組新增至此子集,或將其移除。您新增的任何身分都會在下一次排定的同步時同步。您從子集移除的身分將停止在 IAM Identity Center 身分存放區中更新。任何未同步超過 28 天的使用者都會在 IAM Identity Center 身分存放區中停用。在下一個同步週期中,IAM Identity Center 身分存放區中會自動停用對應的使用者物件,除非它們仍屬於同步範圍的其他群組。
## 刪除
從 Active Directory 的來源目錄中刪除對應的使用者或群組物件時,會從 IAM Identity Center 身分存放區刪除使用者和群組。或者,您可以使用 IAM Identity Center 主控台,從 IAM Identity Center 身分存放區明確刪除使用者物件。如果您使用 IAM Identity Center 主控台,您還必須從同步範圍中移除使用者,以確保他們不會在下一個同步週期中重新同步回 IAM Identity Center。
您也可以隨時暫停和重新啟動同步。如果您暫停同步超過 28 天,則會停用所有使用者。
# 為您的同步設定屬性映射
如需可用屬性的詳細資訊,請參閱 [IAM Identity Center 與外部身分提供者目錄之間的屬性映射](attributemappingsconcept.md)。
**在 IAM Identity Center 中設定屬性映射至您的目錄**
1. 開啟 [IAM Identity Center 主控台](https://console.aws.amazon.com/singlesignon)。
1. 選擇**設定**。
1. 在**設定**頁面上,選擇**身分來源**索引標籤,選擇**動作**,然後選擇**管理同步**。
1. 在**管理同步**下,選擇**檢視屬性映射**。
1. 在 **Active Directory 使用者屬性**下,設定 **IAM Identity Center 身分存放區屬性**和 **Active Directory 使用者屬性**。例如,您可能想要將 IAM Identity Center 身分存放區屬性映射`email`至 Active Directory 使用者目錄屬性 `${objectguid}`。
**注意**
在**群組屬性**下,無法變更 **IAM Identity Center 身分存放區屬性**和 **Active Directory 群組屬性**。
1. 選擇**儲存變更**。這會讓您返回**管理同步**頁面。
# 第一次 Active Directory 到 IAM Identity Center 同步設定
如果您是第一次將使用者和群組從 Active Directory 同步到 IAM Identity Center,請遵循下列步驟。或者,您可以遵循中所述的步驟[變更您的身分來源](manage-your-identity-source-change.md),將身分來源從 IAM Identity Center 變更為 Active Directory。
## 引導式設定
1. 開啟 [IAM Identity Center 主控台](https://console.aws.amazon.com/singlesignon)。
**注意**
在移至下一個步驟之前,請確定 IAM Identity Center 主控台使用 AWS 區域 AWS Managed Microsoft AD 目錄所在的其中一個 。
1. 選擇**設定**。
1. 在頁面頂端的通知訊息中,選擇**開始引導式設定**。
1. 在**步驟 1 – *選用*:設定屬性映射**中,檢閱預設使用者和群組屬性映射。如果不需要變更,請選擇**下一步**。如果需要變更,請進行變更,然後選擇**儲存變更**。
1. 在**步驟 2 – *選用*:設定同步範圍**中,選擇**使用者**索引標籤。然後,輸入您要新增至同步範圍之使用者的確切使用者名稱,然後選擇**新增**。接著,選擇**群組**索引標籤。輸入您要新增至同步範圍之群組的確切群組名稱,然後選擇**新增**。然後選擇**下一步**。如果您想要稍後將使用者和群組新增至同步範圍,請不要進行任何變更,然後選擇**下一步**。
1. 在**步驟 3:檢閱並儲存組態**中,確認步驟 1:**屬性映射**中的屬性映射,以及**步驟 2:同步範圍**中的**使用者和群組**。 ****選擇 **Save configuration** (儲存組態)。這會帶您前往**管理同步**頁面。
# 將使用者和群組新增至您的同步範圍
**注意**
將群組新增至同步範圍時,請直接從信任的內部部署網域同步群組,而不是從 AWS Managed Microsoft AD 網域中的群組同步群組。直接從信任網域同步的群組包含 IAM Identity Center 可以成功存取和同步的實際使用者物件。
請依照下列步驟,將 Active Directory 使用者和群組新增至 IAM Identity Center。
**新增使用者**
1. 開啟 [IAM Identity Center 主控台](https://console.aws.amazon.com/singlesignon)。
1. 選擇**設定**。
1. 在**設定**頁面上,選擇**身分來源**索引標籤,選擇**動作**,然後選擇**管理同步**。
1. 在**管理同步**頁面上,選擇**使用者**索引標籤,然後選擇**新增使用者和群組**。
1. 在**使用者**索引標籤**的使用者**下,輸入確切的使用者名稱,然後選擇**新增**。
1. 在**新增的使用者和群組**下,檢閱您要新增的使用者。
1. 選擇**提交**。
1. 在導覽窗格中,選擇**使用者** 。如果您指定的使用者未顯示在清單中,請選擇重新整理圖示以更新使用者清單。
**新增群組**
1. 開啟 [IAM Identity Center 主控台](https://console.aws.amazon.com/singlesignon)。
1. 選擇**設定**。
1. 在**設定**頁面上,選擇**身分來源**索引標籤,選擇**動作**,然後選擇**管理同步**。
1. 在**管理同步**頁面上,選擇**群組**索引標籤,然後選擇**新增使用者和群組**。
1. 選擇 **Groups (群組)** 標籤。在**群組**下,輸入確切的群組名稱,然後選擇**新增**。
1. 在**新增的使用者和群組**下,檢閱您要新增的群組。
1. 選擇**提交**。
1. 在導覽窗格中,選擇 ** Groups (AS 安全群組)**。如果您指定的群組未顯示在清單中,請選擇重新整理圖示以更新群組清單。
# 從您的同步範圍移除使用者和群組
如需從同步範圍移除使用者和群組時所發生情況的詳細資訊,請參閱 [可設定的 AD 同步如何運作](how-it-works-configurable-ADsync.md)。
**移除使用者**
1. 開啟 [IAM Identity Center 主控台](https://console.aws.amazon.com/singlesignon)。
1. 選擇**設定**。
1. 在**設定**頁面上,選擇**身分來源**索引標籤,選擇**動作**,然後選擇**管理同步**。
1. 選擇**使用者**索引標籤。
1. 在**同步範圍內的使用者**下,選取您要刪除之使用者旁邊的核取方塊。若要刪除所有使用者,請選取**使用者名稱**旁的核取方塊。
1. 選擇**移除**。
**移除群組**
1. 開啟 [IAM Identity Center 主控台](https://console.aws.amazon.com/singlesignon)。
1. 選擇**設定**。
1. 在**設定**頁面上,選擇**身分來源**索引標籤,選擇**動作**,然後選擇**管理同步**。
1. 選擇 **Groups (群組)** 標籤。
1. 在**同步範圍內的群組**下,選取您要刪除之使用者旁的核取方塊。若要刪除所有群組,請選取**群組名稱**旁的核取方塊。
1. 選擇**移除**。
# 暫停並繼續同步
暫停同步會暫停所有未來的同步週期,並防止您在 Active Directory 中對使用者和群組所做的任何變更反映在 IAM Identity Center 中。在您繼續同步後,同步週期會從下一次排定的同步中取得這些變更。
**暫停同步**
1. 開啟 [IAM Identity Center 主控台](https://console.aws.amazon.com/singlesignon)。
1. 選擇**設定**。
1. 在**設定**頁面上,選擇**身分來源**索引標籤,選擇**動作**,然後選擇**管理同步**。
1. 在**管理同步**下,選擇**暫停同步**。
**恢復同步**
1. 開啟 [IAM Identity Center 主控台](https://console.aws.amazon.com/singlesignon)。
1. 選擇**設定**。
1. 在**設定**頁面上,選擇**身分來源**索引標籤,選擇**動作**,然後選擇**管理同步**。
1. 在**管理同步**下,選擇**繼續同步**。
**注意**
如果您看到**暫停同步**而不是**繼續同步**,則從 Active Directory 到 IAM Identity Center 的同步已恢復。
# 自動化可設定 AD 同步的同步組態
為了確保自動化工作流程可如預期使用可設定的 AD 同步,建議您執行下列步驟來自動化同步組態。
**若要自動化可設定 AD 同步的同步組態**
1. 在 Active Directory 中,建立*父同步群組*,以包含您要同步至 IAM Identity Center 的所有使用者和群組。例如,您可以命名群組 *IAMIdentityCenterAllUsersAndGroups*。
1. 在 IAM Identity Center 中,將父同步群組新增至可設定的同步清單。IAM Identity Center 將同步父同步群組中包含之所有群組的所有使用者、群組、子群組和成員。
1. 使用 Microsoft 提供的 Active Directory 使用者和群組管理 API 動作,從父同步群組新增或移除使用者和群組。