Comparteix a través de

Tutorial: Integración de Amazon Business con Microsoft Entra ID

  • Article

En este tutorial, obtendrás información sobre cómo integrar Amazon Business con Microsoft Entra ID. Al integrar Amazon Business con Microsoft Entra ID, puede hacer lo siguiente:

  • Controlar en Microsoft Entra ID quién tiene acceso a Amazon Business.
  • Permitir que los usuarios puedan iniciar sesión automáticamente en Amazon Business con sus cuentas de Microsoft Entra.
  • Administre sus cuentas en una ubicación central.

Requisitos previos

Para empezar, necesita los siguientes elementos:

  • Una suscripción a Microsoft Entra. Si no tiene una suscripción, puede obtener una cuenta gratuita.
  • Suscripción habilitada para el inicio de sesión único en Amazon Business. Vaya a la página de Amazon Business para crear una cuenta de Amazon Business.

Descripción del escenario

En este tutorial, va a configurar y a probar el inicio de sesión único de Microsoft Entra en una cuenta de Amazon Business existente.

  • Amazon Business admite el inicio de sesión único iniciado por SP e IDP.
  • Amazon Business admite el aprovisionamiento de usuarios Just-In-Time.
  • Amazon Business admite aprovisionamiento automatizado de usuarios.

Nota:

El identificador de esta aplicación es un valor de cadena fijo, por lo que solo se puede configurar una instancia en un inquilino.

Para configurar la integración de Amazon Business en Microsoft Entra, es preciso agregar Amazon Business desde la galería a la lista de aplicaciones SaaS administradas.

  1. Inicie sesión en el Centro de administración de Microsoft Entra como Administrador de aplicaciones en la nube.
  2. Vaya a Identidad>Aplicaciones>Aplicaciones empresariales>Nueva aplicación.
  3. En la sección Agregar desde la galería, escriba Amazon Business en el cuadro de búsqueda.
  4. Seleccione Amazon Business en el panel de resultados y agregue la aplicación. Espere unos segundos mientras la aplicación se agrega al inquilino.

Si lo desea, puede usar también el asistente para la configuración de aplicaciones empresariales. En este asistente puede agregar una aplicación al inquilino, agregar usuarios o grupos a la aplicación, asignar roles y recorrer la configuración de inicio de sesión único. Obtenga más información sobre los asistentes de Microsoft 365.

Configuración y prueba del inicio de sesión único de Microsoft Entra para Amazon Business

Configure y pruebe el inicio de sesión único de Microsoft Entra con Amazon Business mediante un usuario de prueba llamado B.Simon. Para que el inicio de sesión único funcione, es necesario establecer una relación de vínculo entre un usuario de Microsoft Entra y el usuario relacionado en Amazon Business.

Para configurar y probar el inicio de sesión único de Microsoft Entra con Amazon Business, complete los siguientes pasos:

  1. Configure el inicio de sesión único de Microsoft Entra, para que los usuarios puedan usar esta característica.
    1. Cree un usuario de prueba de Microsoft Entra para probar el inicio de sesión único de Microsoft Entra con B.Simon.
    2. Asigne el usuario de prueba de Microsoft Entra, para permitir que B.Simon use el inicio de sesión único de Microsoft Entra.
  2. Configuración del inicio de sesión único de Amazon Business , para configurar los valores de Inicio de sesión único en la aplicación.
    1. Cree un usuario de prueba de Amazon Business para tener un homólogo de B.Simon en Amazon Business que esté vinculado a la representación de este usuario en Microsoft Entra.
  3. Prueba del inicio de sesión único : para comprobar si la configuración funciona.

Configuración del inicio de sesión único de Microsoft Entra

Siga estos pasos para habilitar el SSO de Microsoft Entra.

  1. Inicie sesión en el Centro de administración de Microsoft Entra como Administrador de aplicaciones en la nube.

  2. Vaya a Identidad>Aplicaciones>Aplicaciones empresariales>página de integración de aplicaciones de Amazon Business, busque la sección Administrar y seleccione Inicio de sesión único.

  3. En la página Seleccione un método de inicio de sesión único, seleccione SAML.

  4. En la página Configurar el inicio de sesión único con SAML, seleccione el icono con forma de lápiz para abrir el cuadro de diálogo Configuración básica de SAML y modificar la configuración.

    Edición de la configuración básica de SAML

  5. En la sección Configuración básica de SAML, si desea configurar en el modo iniciado por IDP, siga estos pasos:

    1. En el cuadro de texto Identificador (id. de entidad) , escriba una de las URL siguientes:

      URL Region
      https://www.amazon.com Norteamérica
      https://www.amazon.co.jp Este de Asia
      https://www.amazon.de Europa

    2. En el cuadro de texto URL de respuesta, escriba una dirección URL con uno de los siguientes patrones:

      URL Region
      https://www.amazon.com/bb/feature/sso/action/3p_redirect?idpid={idpid} Norteamérica
      https://www.amazon.co.jp/bb/feature/sso/action/3p_redirect?idpid={idpid} Este de Asia
      https://www.amazon.de/bb/feature/sso/action/3p_redirect?idpid={idpid} Europa

      Nota:

      El valor de dirección URL de respuesta no es real. Actualice este valor con la dirección URL de respuesta real. El valor de <idpid> lo obtendrá de la sección de configuración del inicio de sesión único en Amazon Business, que se explica más adelante en el tutorial. También puede consultar los patrones que se muestran en la sección Configuración básica de SAML.

  6. Si quieres configurar la aplicación en modo iniciado por SP, deberás agregar la dirección URL completa que se proporciona en la configuración de Amazon Business a la URL de inicio de sesión en la sección Establecer direcciones URL adicionales.

  7. La siguiente captura de muestra la lista de atributos predeterminados. Para editar los atributos, haga clic en el icono de lápiz en la sección Atributos y notificaciones de usuario.

    Captura de pantalla que muestra User Attributes & Claims (Atributos y reclamaciones del usuario) con valores predeterminados, como emailaddress user.mail y givenname user.givenname.

  8. Edite los atributos y copie el valor del espacio de nombres de estos atributos en el Bloc de notas.

    Captura de pantalla que muestra User Attributes & Claims (Atributos y reclamaciones del usuario) con columnas para el valor y el nombre de la notificación.

  9. Además de lo anterior, la aplicación Amazon Business espera que se usen algunos atributos más en la respuesta SAML. En la sección Atributos y notificaciones de usuario del cuadro de diálogo Notificaciones de grupos, siga estos pasos:

    1. Haz clic en el lápiz junto a Grupos devueltos en la notificación.

      Captura de pantalla que muestra User Attributes & Claims (Atributos y reclamaciones del usuario) con el icono de Groups returned in claim (Grupos que devuelve la reclamación) seleccionado.

      Captura de pantalla que muestra Group Claims (Reclamación de grupo) con valores como los que se describen en este procedimiento.

    2. Seleccione Todos los grupos en la lista de selección.

    3. Seleccione Id. de grupo como Atributo de origen.

    4. Active la casilla Personalizar nombre de la notificación del grupo y escriba el nombre del grupo según el requisito de la organización.

    5. Seleccione Guardar.

  10. En la página Configurar el inicio de sesión único con SAML, en la sección Certificado de firma de SAML, seleccione el botón de copia para copiar la dirección URL de metadatos de federación de aplicación y guárdela en su equipo.

    Vínculo de descarga del certificado

  11. En la sección Configurar Amazon Business, copia las direcciones URL adecuadas según tus necesidades.

    Copiar direcciones URL de configuración

Cree un usuario de prueba de Microsoft Entra

En esta sección, se crea un usuario llamado B.Simon.

Nota:

Los administradores deben crear los usuarios de prueba en su inquilino si es necesario. En los pasos siguientes se muestra cómo crear un usuario de prueba.

  1. Inicie sesión en el Centro de administración de Microsoft Entra al menos como Administrador de usuario.
  2. Ve a Identidad>Usuarios>Todos los usuarios.
  3. Selecciona Nuevo usuario>Crear nuevo usuario, en la parte superior de la pantalla.
  4. En las propiedades del usuario, sigue estos pasos:
    1. En el campo Nombre para mostrar, escribe B.Simon.
    2. En el campo Nombre principal de usuario, escribe username@companydomain.extension. Por ejemplo, B.Simon@contoso.com.
    3. Activa la casilla Mostrar contraseña y, después, anota el valor que se muestra en el cuadro Contraseña.
    4. Selecciona Revisar + crear.
  5. Seleccione Crear.

Crear un grupo de seguridad de Microsoft Entra en el Azure Portal

  1. Vaya a Identidad>Grupos>Todos los grupos.

    Captura de pantalla que muestra el menú de Azure Portal con Microsoft Entra ID seleccionado y Todos los grupos seleccionados en el panel Grupos.

  2. Selecciona Nuevo grupo:

    Captura de pantalla que muestra el botón Nuevo grupo.

  3. Rellene Tipo de grupo, Nombre del grupo, Descripción del grupo y Tipo de pertenencia. Selecciona la flecha para seleccionar miembros, luego busca o selecciona el miembro que quieras agregar al grupo. Selecciona Seleccionar para agregar los miembros seleccionados y luego selecciona Crear.

    Captura de pantalla que muestra el panel Grupo con opciones, como la selección de miembros y la invitación de usuarios externos.

Asignación del usuario de prueba de Microsoft Entra

En esta sección, habilitarás a B.Simon para utilizar el inicio de sesión único otorgándole acceso a Amazon Business.

  1. Inicie sesión en el Centro de administración de Microsoft Entra como Administrador de aplicaciones en la nube.

  2. Vaya a Identidad>Aplicaciones>Aplicaciones empresariales>Amazon Business.

  3. En la página de información general de la aplicación, busque la sección Administrar y seleccione Usuarios y grupos.

  4. Selecciona Agregar usuario y luego en el cuadro de diálogo Asignación agregada, selecciona Usuarios y grupos.

  5. En el cuadro de diálogo Usuarios y grupos, selecciona B.Simon en la lista de usuarios y, luego, selecciona el botón Seleccionar en la parte inferior de la pantalla.

  6. Si esperas que haya un valor de rol en la aserción de SAML, en el cuadro de diálogo Seleccionar rol, selecciona de la lista el rol adecuado para el usuario y selecciona Seleccionar en la parte inferior de la pantalla.

  7. En el cuadro de diálogo Asignación agregada, selecciona el botón Asignar.

    Nota:

    Si no se asignan los usuarios en Microsoft Entra ID, se obtiene el siguiente error.

    Captura de pantalla que muestra un mensaje de error que indica que no puedes iniciar sesión.

Asignar un grupo de seguridad de Microsoft Entra en el Azure Portal

  1. Inicie sesión en el Centro de administración de Microsoft Entra como Administrador de aplicaciones en la nube.

  2. Vaya a Identidad>Aplicaciones>Aplicaciones empresariales>Amazon Business.

  3. En la lista de aplicaciones, escriba y seleccione Amazon Business.

  4. En el menú de la izquierda, seleccione Usuarios y grupos.

  5. Selecciona el Usuario agregado.

  6. Busca el grupo de seguridad que quieras utilizar y luego selecciona el grupo para agregarlo a la sección Seleccionar miembros. Selecciona Seleccionar y luego Asignar.

    Búsqueda del grupo de seguridad

    Nota:

    Compruebe las notificaciones en la barra de menús a fin de que se le informe cuando el grupo se asigne correctamente a la aplicación empresarial.

Configuración del inicio de sesión único de Amazon Business

  1. En otra ventana del explorador web, inicie sesión como administrador en el sitio de la compañía Amazon Business

  2. Selecciona el Perfil del usuario y elige Configuración de empresa.

    Perfil de usuario

  3. En el asistente para integración del sistema, seleccione Inicio de sesión único (SSO) .

    Inicio de sesión único (SSO)

  4. En el asistente Configurar SSO, selecciona el proveedor según tus requisitos organizativos y selecciona Siguiente.

    Captura de pantalla que muestra

    Nota:

    Aunque Microsoft ADFS es una opción listada, no funciona con el inicio de sesión único de Microsoft Entra.

  5. En el asistente Nuevas cuentas de usuario predeterminadas, selecciona el Grupo predeterminado y luego selecciona Rol de compra predeterminado según el rol de usuario en la organización y selecciona Siguiente.

    Captura de pantalla que muestra New user account defaults (Nuevas cuentas de usuario predeterminadas), con Microsoft SSO (SSO de Microsoft), Requisitioner (Solicitante del pedido) y Next (Siguiente) seleccionados.

  6. En el asistente Cargar el archivo de metadatos, elige la opción Pegar vínculo XML para pegar el valor Dirección URL de metadatos de federación de aplicación y selecciona Validar.

    Captura de pantalla que muestra Upload your metadata file (Cargar archivo de metadatos) para buscar un archivo XML y cargarlo.

    Nota

    También puede cargar el archivo XML de metadatos de federación haciendo clic en la opción Cargar archivo XML.

  7. Después de cargar el archivo de metadatos descargado, los campos de la sección de datos de conexión se rellenarán automáticamente. Después, selecciona Siguiente.

    Captura de pantalla que muestra

  8. En el asistente Cargar la instrucción de atributo, selecciona Omitir.

    Captura de pantalla que muestra Upload your Attribute statement (Cargar la instrucción del atributo) para ir a una instrucción de atributo, pero en este caso, seleccione Skip (Omitir).

  9. En el asistente para la asignación de atributos, agregue los campos de requisitos haciendo clic en la opción + Add a field (+ Agregar un campo). Agrega los valores de atributo, incluido el espacio de nombres, que has copiado de la sección Atributos y notificaciones del usuario de Azure Portal al campo de Nombre de atributo de SAML y selecciona Siguiente.

    Captura de pantalla que muestra Attribute mapping (Asignación de atributos) para editar los nombres de atributo de SAML de los datos de Amazon.

  10. En el asistente Datos de conexión de Amazon, confirma que tu IDP se ha configurado y selecciona Continuar.

    Captura de pantalla que muestra Amazon connection data (Datos de conexión de Amazon) donde puede hacer clic en Next (Siguiente) para continuar.

  11. Comprueba el Estado de los pasos que se han configurado y selecciona Iniciar pruebas.

    Captura de pantalla que muestra SSO Connection Details (Detalles de la conexión con SSO) con la opción Start testing (Iniciar pruebas).

  12. En el asistente Probar la conexión de SSO, selecciona Prueba.

    Captura de pantalla que muestra Test SSO Connection (Probar conexión con SSO) con el botón Test (Probar).

  13. En el asistente Direcciones URL iniciadas por IDP, antes de seleccionar Activar, copia el valor asignado a idpid y pégalo en el parámetro idpid en Dirección URL de respuesta de la sección Configuración básica de SAML.

    Captura de pantalla muestra IDP initiated URL (URL iniciada por IDP) para obtener la dirección URL necesaria para las pruebas y Activate (Activar) seleccionado.

  14. En el asistente ¿Estás listo para cambiar al SSO activo?, activa la casilla He probado completamente el SSO y estoy listo para empezar y selecciona Cambiar a activo.

    Captura de pantalla que muestra la confirmación Are you ready to switch to active SSO? (¿Listo para cambiar a SSO activo?) para seleccionar Switch to active (Cambiar a activo).

  15. Por último, en la sección de detalles de conexión de SSO, el estado se muestra como activo.

    Captura de pantalla que muestra SSO Connection Details (Detalles de la conexión con SSO) con estado Active (Activo).

    Nota:

    Si desea configurar la aplicación en modo iniciado por SP, complete el paso siguiente y pegue la dirección URL de inicio de sesión de la captura de pantalla anterior en el cuadro de texto URL de inicio de sesión de la sección Establecer direcciones URL adicionales. Utilice el siguiente formato:

    https://www.amazon.<TLD>/bb/feature/sso/action/start?domain_hint=<UNIQUE_ID>

Creación de un usuario de prueba de Amazon Business

En esta sección se crea un usuario llamado B.Simon en Amazon Business. Amazon Business admite el aprovisionamiento de usuarios Just-In-Time, que está habilitado de forma predeterminada. No hay ningún elemento de acción para usted en esta sección. Si un usuario deja de existir en Amazon Business, se crea uno nuevo después de la autenticación.

Prueba de SSO

En esta sección va a probar la configuración de inicio de sesión único de Microsoft Entra con las siguientes opciones.

Iniciado por SP:

  • Selecciona Probar esta aplicación, esto te redirigirá a la dirección URL de Amazon Business de inicio de sesión donde puedes iniciar el flujo de inicio de sesión.

  • Ve directamente a la dirección URL de inicio de sesión único de Amazon Business e inicia el flujo de inicio de sesión desde allí.

Iniciado por IDP:

  • Selecciona Probar esta aplicación y deberías iniciar sesión automáticamente en la instancia de Amazon Business para la que hayas configurado el SSO.

También puede usar Aplicaciones de Microsoft para probar la aplicación en cualquier modo. Al seleccionar el icono de Amazon Business en Mis aplicaciones, si se ha configurado en modo SP, se te redirigirá a la página de inicio de sesión de la aplicación para comenzar el flujo de inicio de sesión; y si se ha configurado en modo IDP, deberías iniciar sesión automáticamente en la instancia de Amazon Business para la que hayas configurado el SSO. Para más información acerca de Aplicaciones, consulte Inicio de sesión e inicio de aplicaciones desde el portal Aplicaciones.

Volver a configurar la configuración del proveedor de servicios de ADFS a Microsoft Entra ID

  1. Preparar el entorno de Microsoft Entra ID

    1. Comprueba la suscripción a Microsoft Entra ID Premium: asegúrate de que tienes una suscripción de Microsoft Entra ID Premium, que es necesaria para el inicio de sesión único (SSO) y otras características avanzadas.

  2. Registro de una aplicación en Microsoft Entra ID

    1. Vaya a Microsoft Entra ID en Azure portal.
    2. Selecciona "Registros de aplicaciones" > "Nuevo registro".
    3. Rellena los datos necesarios:
      1. Nombre: escribe un nombre descriptivo para la aplicación.
      2. Tipos de cuenta admitidos: elige la opción adecuada para tu entorno.
      3. URI de redireccionamiento: escribe los URI de redireccionamiento necesarios (normalmente la dirección URL de inicio de sesión de la aplicación).

  3. Configuración del SSO de Microsoft Entra ID

    1. Configura el inicio de sesión único en Microsoft Entra ID.
    2. En Azure Portal, ve a Microsoft Entra ID > Aplicaciones empresariales.
    3. Selecciona tu aplicación de la lista.
    4. En "Administrar", selecciona "Inicio de sesión único".
    5. Selecciona "SAML" como método de inicio de sesión único.
    6. Edita la configuración de SAML básica:
      1. Identificador (id. de entidad): escribe el id. de entidad de SP.
      2. URL de respuesta (URL del Servicio de consumidor de aserciones): escribe la URL del SP de ACS.
      3. Dirección URL de inicio de sesión: escribe la dirección URL de inicio de sesión de la aplicación si procede.

  4. Configuración de atributos y notificaciones de usuario

    1. En la configuración de inicio de sesión basado en SAML, selecciona "Atributos de usuario y notificaciones".
    2. Edita y configura las notificaciones para que coincidan con las requeridas por tu SP. Normalmente, esto incluye:
      1. NameIdentifier
      2. Correo electrónico
      3. GivenName
      4. Apellido
      5. etc.

  5. Descargar metadatos de SSO de Microsoft Entra ID

  6. En la sección Certificado de firma SAML, descarga el XML de metadatos de federación. Se usa para configurar tu SP.

  7. Volver a configurar el proveedor de servicios (SP)

    1. Actualizar SP para usar metadatos de Microsoft Entra ID
    2. Accede a los valores de configuración de tu SP.
    3. Actualiza la dirección URL de metadatos de IdP o carga el XML de metadatos de Microsoft Entra ID.
    4. Actualiza la dirección URL del Servicio de consumidor de aserciones (ACS), el id. de entidad y cualquier otro campo obligatorio para que coincida con la configuración de Microsoft Entra ID.

  8. Configuración de certificados SAML

  9. Asegúrate de que el SP está configurado para confiar en el certificado de firma de Microsoft Entra ID. Esto se puede encontrar en la sección Certificado de firma SAML de la configuración de SSO de Microsoft Entra ID.

  10. Prueba de la configuración del SSO

  11. Inicia un inicio de sesión de prueba desde el SP.

  12. Comprueba que la autenticación redirige a Microsoft Entra ID y inicia la sesión del usuario correctamente.

  13. Comprueba las notificaciones que se pasan para asegurarte de que coinciden con lo que espera el SP.

  14. Actualiza la configuración de DNS y de red (si procede). Si tu SP o aplicación usa la configuración de DNS específica de ADFS, es posible que tengas que actualizar esta configuración para que apunte a los puntos de conexión de Microsoft Entra ID.

  15. Implementación y supervisión

    1. Comunícate con los usuarios: notifica a los usuarios del cambio y proporciónales las instrucciones o documentación necesarias.
    2. Supervisa los registros de autenticación: vigila los registros de información de inicio de sesión de Microsoft Entra ID para detectar cualquier problema de autenticación y solucionarlo rápidamente.

Pasos siguientes

Una vez configurado Amazon Business, puede aplicar el control de sesión, que protege la filtración y la infiltración de la información confidencial de la organización en tiempo real. El control de sesión procede del acceso condicional. Aprende a aplicar el control de sesión con Microsoft Defender para aplicaciones en la nube.

Más recursos