发布于: Dec 15, 2020
AWS Single Sign-On (SSO) 现在除了同步用户信息之外还为使用 Microsoft Active Directory (AD) 作为其身份源的客户同步组。您现在可以在 AD 中管理您的用户和组,AWS SSO 的 AD 同步将确保您可以在 AWS 账户和应用程序中以一致的方式访问这些信息。您将能够从与 AWS SSO 集成的应用程序中访问 AD 用户和组,并将它们用于改善协作体验(如搜索和共享),以及对控制面板等应用程序资源的精细访问控制。您对 AD 中的用户和组信息所做的任何更改将自动反映在 AWS SSO 中,从而减少了您在 AWS 中管理身份的管理工作。
AWS SSO 仅对您已为其分配了 AWS 账户或应用程序访问权限的用户和组进行同步。定期同步将保持用户、组及其属性的列表处于当前状态,并删除您从 AD 中删除的用户和组,以最大程度减少 AWS 中的个人身份信息。AWS SSO 还实施即时 (JIT) 同步,以使用户属性在其最后一次身份验证前始终处于最新状态。这确保了基于属性的访问控制按预期运行。管理员可以从 AWS SSO 控制台中查看用户和组,启用了组的 AWS SSO 集成应用程序的用户可以搜索并使用同步组。例如,您现在可以从 AWS Systems Manager Change Manager 内为更改请求分配一个 AD 组作为批准组。
AWS SSO AD 同步功能已在 AWS SSO 支持的所有区域提供。当 SSO 与 AWS Directory Service 解决方案集成后,AD 同步即可供您使用,无需额外付费,且该功能默认开启。要了解有关 AWS SSO 或 AD 同步的更多信息,请访问 AWS Single Sign-On 用户指南或有关连接您的 Microsoft AD Directory 的文档。