完全同期と増分同期の理解

組織単位(OU)のユーザーに対して完全同期を実行すると、選択したOU内のすべてのユーザーがIAMで同期されます。次回フィルタを適用して特定のOUを同期する場合、増分同期を実行すると、そのOU内のユーザーはIAMで再同期されます。

フィルタに含まれない同期済ユーザーは、Microsoft Active Directoryからリンク解除されます。リンク解除されたユーザーは、Microsoft Active Directoryへのリンクが削除され、認証がIAMに戻されるため、委任認証を使用して認証できなくなります。これらのユーザーに対する新しい更新は、IAMに同期されません。IAMを使用して、これらのユーザーのパスワードをリセットできます。ユーザーのパスワード変更をリクエストすると、IAMによって、新しいパスワードを指定できるようにパスワードのリセット通知がユーザーに送信されます。

フィルタを削除し、完全同期を使用してこれらのユーザーを再度同期すると、以前にリンク解除されたすべてのユーザーがリンクされ、その認証がMicrosoft Active Directoryに戻されます。

それぞれ5人のユーザーが含まれるHuman Resource OUとMarketing OUについて検討します。Microsoft Active DirectoryからIAMに同期するために完全同期を使用しています。すべてのユーザーがIAMで同期されます。

IAMでMarketingユーザーのみを使用する場合は、フィルタとともに増分同期を実行して、MarketingユーザーをIAMに再同期できます。Human Resource OUに含まれるすべてのユーザーは、ユーザーの再同期に使用されるフィルタに含まれていないため、リンク解除されます。リンク解除されたユーザーの数がUIに表示されます。

Microsoft Active Directoryは認可ソースです。Microsoft Active Directoryから削除されたユーザーは、IAMでリンク解除され、非アクティブ化されます。その後、これらのユーザーをIAMから削除できます。

Microsoft Active Directoryからグループを削除すると、完全同期または増分同期時に、これらのグループもIAMから削除されます。

以前にリンク解除されたユーザーを、同じ名前でMicrosoft Active Directoryに作成するとします。次に完全同期または増分同期を実行すると、Microsoft Active Directory内のこれらのユーザーが、IAM内の関連ユーザーに再アタッチされます。

IAMで委任認証がアクティブ化されている場合、再アタッチされたユーザーの認証は、Microsoft Active Directoryに委任されます。たとえば、ユーザーが複数のMicrosoft Active DirectoryドメインからIAMに同期されているなどです。Microsoft Active Directoryは認可元であるため、これらのドメインはすべて認可されます。いずれかのドメインからユーザーを削除すると、そのユーザーはIAMでリンク解除されます。ユーザーを別のMicrosoft Active Directoryドメインに再同期すると、このドメインがそのユーザーに対して信頼できるようになります。