完全同期と増分同期の理解

組織単位(OU)のユーザーに対して完全同期を実行すると、選択したOU内のすべてのユーザーがIAMで同期されます。次回フィルタを適用して特定のOUを同期する場合、増分同期を実行すると、そのOU内のユーザーはIAMで再同期されます。

フィルタに含まれない同期済ユーザーは、Microsoft Active Directoryからリンク解除されます。リンク解除されたユーザーは、Microsoft Active Directoryへのリンクが削除され、認証がIAMに戻されるため、委任認証を使用して 認証できなくなります。これらのユーザーに対する新しい更新は、IAMに同期しません。IAMを使用して、これらのユーザーのパスワードをリセットできます。ユーザーのパスワード変更をリクエストすると、IAMによって、新規パスワードを指定できるようにパスワードのリセット通知がユーザーに送信されます。

フィルタを削除し、完全同期を使用してこれらのユーザーを再度同期すると、以前にリンク解除されたすべてのユーザーがリンクされ、その認証をMicrosoft Active Directoryに戻します。

それぞれ5人のユーザーが含まれるHuman Resource OUとMarketing OUについて検討します。完全同期を使用して、Microsoft Active DirectoryからIAMに同期しています。すべてのユーザーがIAMで同期されます。

IAMでMarketingユーザーのみを使用する場合は、フィルタとともに増分同期を実行して、MarketingユーザーをIAMに再同期できます。Human Resource OUに含まれるすべてのユーザーは、ユーザーの再同期に使用されるフィルタに含まれていないため、リンク解除されます。リンク解除されたユーザーの数がUIに表示されます。

Microsoft Active Directoryは認可ソースです。Microsoft Active Directoryから削除されたユーザーは、IAMでリンク解除され、非アクティブ化されます。その後、これらのユーザーをIAMから削除できます。

Microsoft Active Directoryからグループを削除すると、完全または増分同期時に、これらのグループもIAMから削除されます。

以前にリンク解除されたユーザーを、同じユーザー名でMicrosoft Active Directoryに作成するとします。次に完全または増分同期を実行すると、Microsoft Active Directory内のこれらのユーザーは、IAM内の関連ユーザーに再アタッチされます。

IAMで委任認証がアクティブ化されている場合、再アタッチしたユーザーの認証は、Microsoft Active Directoryに委任されます。たとえば、ユーザーが複数のMicrosoft Active DirectoryドメインからIAMに同期されています。Microsoft Active Directoryは認可ソースであるため、これらのドメインはすべて認可できます。いずれかのドメインからユーザーを削除すると、そのユーザーはIAMでリンク解除されます。ユーザーを別のMicrosoft Active Directoryドメインに再同期すると、このドメインがそのユーザーに対して認可できるようになります。