Freigeben über

Konfigurieren von Amazon Business für einmaliges Anmelden mit Microsoft Entra-ID

In diesem Artikel erfahren Sie, wie Sie Amazon Business mit Microsoft Entra ID integrieren. Die Integration von Dropbox Business in Microsoft Entra ID ermöglicht Folgendes:

  • Sie können in Microsoft Entra ID steuern, wer Zugriff auf AMMS hat.
  • Ermöglichen Sie es Ihren Benutzer*innen, sich mit ihren Microsoft Entra-Konten automatisch bei askSpoke anzumelden.
  • Verwalten Sie Ihre Konten an einem zentralen Ort.

Voraussetzungen

In diesem Artikel wird davon ausgegangen, dass Sie bereits über die folgenden Voraussetzungen verfügen:

  • Ein für einmaliges Anmelden (Single Sign-On, SSO) geeignetes Amazon Business-Abonnement. Wechseln Sie zur Amazon Business-Seite , um ein Amazon Business-Konto zu erstellen.

Beschreibung des Szenarios

In diesem Artikel konfigurieren und testen Sie Microsoft Entra SSO in einem vorhandenen Amazon Business-Konto.

  • Amazon Business unterstützt SP- und IDP-initiiertes einmaliges Anmelden.
  • Amazon Business unterstützt die Just In Time-Benutzerbereitstellung .
  • Amazon Business unterstützt die automatisierte Benutzerbereitstellung.

Hinweis

Der Bezeichner dieser Anwendung ist ein fester Zeichenfolgenwert, daher kann in einem Mandanten nur eine Instanz konfiguriert werden.

Um die Integration von Amazon Business in Azure AD zu konfigurieren, müssen Sie Amazon Business über den Katalog Ihrer Liste mit den verwalteten SaaS-Apps hinzufügen.

  1. Melden Sie sich mindestens als Cloudanwendungsadministrator beim Microsoft Entra Admin Center an.
  2. Navigieren Sie zu Entra ID>Enterprise-Apps>Neue Anwendung.
  3. Geben Sie im Abschnitt "Aus der Galerie hinzufügen" im Suchfeld "Amazon Business" ein.
  4. Wählen Sie "Amazon Business " aus dem Ergebnisbereich aus, und fügen Sie die App hinzu. Warten Sie einige Sekunden, während die App Ihrem Mandanten hinzugefügt wird.

Alternativ können Sie auch den Konfigurations-Assistenten für Enterprise-Apps verwenden. In diesem Assistenten können Sie Ihrem Mandanten eine Anwendung hinzufügen, der App Benutzer und Gruppen hinzufügen, Rollen zuweisen sowie die SSO-Konfiguration durchlaufen. Erfahren Sie mehr über Microsoft 365-Assistenten.

Konfigurieren und Testen von Microsoft Entra-SSO für Amazon Business

Konfigurieren und testen Sie Microsoft Entra SSO mit Amazon Business mithilfe eines Testbenutzers namens B.Simon. Damit SSO funktioniert, muss eine Linkbeziehung zwischen einem Microsoft Entra-Benutzer und dem entsprechenden Benutzer in askSpoke eingerichtet werden.

Führen Sie zum Konfigurieren und Testen von Microsoft Entra-SSO mit Amazon Business die folgenden Schritte aus:

  1. Konfigurieren Sie Microsoft Entra SSO – damit Ihre Benutzer dieses Feature verwenden können.
    1. Erstellen Sie einen Microsoft Entra-Testbenutzer – um microsoft Entra Single Sign-On mit B.Simon zu testen.
    2. Weisen Sie den Microsoft Entra-Testbenutzer zu – damit B.Simon das Einmalige Anmelden von Microsoft Entra verwenden kann.
  2. Konfigurieren Sie Amazon Business SSO – um die Einstellungen für einmaliges Anmelden auf Anwendungsseite zu konfigurieren.
    1. Erstellen Sie einen Amazon Business-Testbenutzer – um ein Gegenstück von B.Simon in Amazon Business zu haben, das mit der Microsoft Entra-Darstellung des Benutzers verknüpft ist.
  3. Testen Sie SSO – um zu überprüfen, ob die Konfiguration funktioniert.

Konfigurieren des einmaligen Anmeldens (SSO) von Microsoft Entra

Führen Sie die folgenden Schritte aus, um einmaliges Anmelden von Microsoft Entra zu aktivieren.

  1. Melden Sie sich mindestens als Cloudanwendungsadministrator beim Microsoft Entra Admin Center an.

  2. Navigieren Sie zu entra ID>Enterprise-Apps>Amazon Business-Anwendungsintegrationsseite, suchen Sie den Abschnitt "Verwalten" , und wählen Sie "Einmaliges Anmelden" aus.

  3. Wählen Sie auf der Seite " Single Sign-On-Methode auswählen " SAML aus.

  4. Wählen Sie auf der Seite " Einzel-Sign-On mit SAML einrichten " das Stiftsymbol für die grundlegende SAML-Konfiguration aus, um die Einstellungen zu bearbeiten.

    Grundlegende SAML-Konfiguration bearbeiten

  5. Führen Sie im Abschnitt "Grundlegende SAML-Konfiguration " die folgenden Schritte aus, wenn Sie im initiierten IDP-Modus konfigurieren möchten:

    1. Geben Sie im Textfeld Id (Entitäts-ID) eine der folgenden URLs ein:

      URL Region
      https://www.amazon.com Nordamerika
      https://www.amazon.co.jp Asien, Osten
      https://www.amazon.de Europa

    2. Geben Sie im Textfeld "Antwort-URL " eine URL mit einem der folgenden Muster ein:

      URL Region
      https://www.amazon.com/bb/feature/sso/action/3p_redirect?idpid={idpid} Nordamerika
      https://www.amazon.co.jp/bb/feature/sso/action/3p_redirect?idpid={idpid} Asien, Osten
      https://www.amazon.de/bb/feature/sso/action/3p_redirect?idpid={idpid} Europa

      Hinweis

      Der Wert der Antwort-URL entspricht nicht dem tatsächlichen Wert. Aktualisieren Sie den Wert mit der richtigen Antwort-URL. Sie erhalten den <idpid> Wert aus dem Abschnitt zur Konfiguration von Amazon Business SSO, der weiter unten im Artikel erläutert wird. Sie können auch auf die Muster verweisen, die im Abschnitt "Grundlegende SAML-Konfiguration " angezeigt werden.

  6. Wenn Sie die Anwendung im SP-initiierten Modus konfigurieren möchten, müssen Sie die vollständige URL, die in der Amazon Business-Konfiguration bereitgestellt wird, zur Anmelde-URL im Abschnitt Zusätzliche URLs festlegen hinzufügen.

  7. Der folgende Screenshot zeigt die Liste der Standardattribute. Bearbeiten Sie die Attribute, indem Sie das Bleistiftsymbol im Abschnitt "Benutzerattribute und Ansprüche " auswählen.

    Der Screenshot zeigt Benutzerattribute und Ansprüche mit Standardwerten wie

  8. Bearbeiten Sie Attribute und kopieren Sie den Namespace-Wert dieser Attribute in das Notepad.

    Screenshot: Benutzerattribute und Ansprüche mit Spalten für Anspruchsname und -wert.

  9. Darüber hinaus wird von der Amazon Business-Anwendung erwartet, dass in der SAML-Antwort noch einige weitere Attribute zurückgegeben werden. Führen Sie im Abschnitt "Benutzerattribute & Ansprüche " im Dialogfeld " Gruppenansprüche " die folgenden Schritte aus:

    1. Wählen Sie den Stift neben Gruppen, die im Anspruch zurückgegeben werden aus.

      Screenshot: Benutzerattribute und Ansprüche mit ausgewähltem Symbol „Im Anspruch zurückgegebene Gruppen“

    2. Wählen Sie im Dialogfeld Gruppenansprüche in der Optionsliste Alle Gruppen aus.

    3. Wählen Sie "Gruppen-ID " als Quellattribute aus.

    4. Aktivieren Sie das Kontrollkästchen "Anpassen des Namens des Gruppenanspruchs ", und geben Sie den Gruppennamen gemäß Ihrer Organisationsanforderung ein.

    5. Wählen Sie "Speichern" aus.

  10. Wählen Sie auf der Seite " Einmaliges Anmelden mit SAML einrichten " im Abschnitt "SAML-Signaturzertifikat " die Schaltfläche "Kopieren" aus, um die URL der App-Verbundmetadaten zu kopieren und auf Ihrem Computer zu speichern.

    Der Link zum Herunterladen des Zertifikats

  11. Kopieren Sie im Abschnitt "Amazon Business einrichten " die entsprechenden URLs basierend auf Ihrer Anforderung.

    Kopieren von Konfigurations-URLs

Erstellen und Zuweisen eines Microsoft Entra-Testbenutzers

Befolgen Sie die Richtlinien im Create and Assign a User Account Quickstart, um ein Testbenutzerkonto mit dem Namen B.Simon zu erstellen.

Zuweisen der Microsoft Entra-Sicherheitsgruppe im Azure-Portal

  1. Melden Sie sich mindestens als Cloudanwendungsadministrator beim Microsoft Entra Admin Center an.

  2. Navigieren Sie zu Entra ID>Enterprise-Apps>Amazon Business.

  3. Geben Sie in der Anwendungsliste Amazon Business ein, und wählen Sie sie aus.

  4. Wählen Sie im Menü auf der linken Seite "Benutzer und Gruppen" aus.

  5. Wählen Sie den hinzugefügten Benutzer aus.

  6. Suchen Sie nach der Sicherheitsgruppe, die Sie verwenden möchten, und wählen Sie dann die Gruppe aus, um sie dem Abschnitt "Mitglieder auswählen" hinzuzufügen. Wählen Sie "Auswählen" und dann " Zuweisen" aus.

    Suchsicherheitsgruppe

    Hinweis

    Vergewissern Sie sich anhand der Benachrichtigungen auf der Menüleiste, dass die Gruppe der Unternehmensanwendung erfolgreich zugewiesen wurde.

Konfigurieren des einmaligen Anmeldens von Amazon Business

  1. Melden Sie sich in einem anderen Webbrowserfenster als Administrator bei der Amazon Business-Unternehmenswebsite an.

  2. Wählen Sie das Benutzerprofil und dann "Geschäftseinstellungen" aus.

    Benutzerprofil

  3. Wählen Sie im Assistenten für SystemintegrationenSingle Sign-On (SSO) aus.

    Single Sign-On (SSO)

  4. Wählen Sie im Assistenten zum Einrichten von SSO den Anbieter entsprechend Ihren Organisationsanforderungen aus, und wählen Sie "Weiter" aus.

    Hinweis

    Obwohl es sich bei Microsoft ADFS um eine aufgelistete Option handelt, funktioniert es nicht mit Azure AD SSO.

  5. Wählen Sie im Assistenten "Neues Benutzerkonto" die Standardgruppe und dann die Standardkaufrolle entsprechend der Benutzerrolle in Ihrer Organisation und dann Weiter aus.

    Screenshot der Standardeinstellungen für ein neues Benutzerkonto, in denen „Microsoft S S O“, „Anforderer“ und „Weiter“ ausgewählt sind.

  6. Wählen Sie im Assistenten " Metadatendatei hochladen " die Option " XML-Link einfügen " aus, um den URL-Wert der App-Verbundmetadaten einzufügen, und wählen Sie "Überprüfen" aus.

    Hinweis

    Alternativ können Sie auch die XML-Verbundmetadatendatei hochladen, indem Sie die Option "XML-Datei hochladen " auswählen.

  7. Nach dem Hochladen der heruntergeladenen Metadatendatei werden die Felder im Abschnitt "Verbindungsdaten " automatisch ausgefüllt. Wählen Sie danach "Weiter" aus.

  8. Wählen Sie im Assistenten Attributanweisung hochladen die Option Überspringen aus.

    Screenshot zeigt

  9. Fügen Sie im Attributzuordnungs-Assistenten die Anforderungsfelder hinzu, indem Sie die Option +Feld hinzufügen auswählen. Fügen Sie die Attributwerte einschließlich des Namespaces hinzu, den Sie aus dem Abschnitt "Benutzerattribute und Ansprüche " des Azure-Portals in das FELD "SAML-Attributname " kopiert haben, und wählen Sie "Weiter" aus.

    Screenshot der Attributzuordnung, in der Sie die Namen Ihrer SAML-Attribute für Amazon-Daten bearbeiten können.

  10. Bestätigen Sie im Amazon-Verbindungsdaten-Assistenten , dass Ihr IDP konfiguriert wurde, und wählen Sie "Weiter" aus.

    Screenshot zeigt Amazon-Verbindungsdaten, wo Sie „Weiter“ auswählen können, um fortzufahren.

  11. Überprüfen Sie den Status der Schritte, die konfiguriert wurden, und wählen Sie "Test starten" aus.

  12. Wählen Sie im Assistenten " SSO-Verbindung testen " die Option "Testen" aus.

    Screenshot von „Testen der S S O-Verbindung“ mit der Schaltfläche „Testen“.

  13. Kopieren Sie im Assistenten IDP initiierte URL, bevor Sie Aktivieren wählen, den Wert, der idpid zugewiesen ist, und fügen Sie ihn in den Parameter idpid in der Antwort-URL im Abschnitt Basis-SAML-Konfiguration ein.

    Der Screenshot zeigt eine vom IDP initiierte URL, wo Sie die erforderliche URL für Tests erhalten können und dann

  14. Aktivieren Sie im Assistenten "Sind Sie bereit, auf aktives SSO umzusteigen?", das Kontrollkästchen "Ich habe SSO vollständig getestet und bin bereit, live zu schalten" und wählen Sie "Zu aktiv wechseln" aus.

    Der Screenshot zeigt die Bestätigung, ob Sie bereit sind, zur aktiven S S O zu wechseln, wo Sie

  15. Schließlich wird im Abschnitt "SSO-Verbindungsdetails" der Status als "Aktiv" angezeigt.

    Hinweis

    Wenn Sie die Anwendung im initiierten SP-Modus konfigurieren möchten, führen Sie den folgenden Schritt aus, fügen Sie die Anmelde-URL aus dem obigen Screenshot in das Textfeld "Anmelde-URL festlegen" des Abschnitts "Zusätzliche URLs festlegen " ein. Verwenden Sie das folgende Format:

    https://www.amazon.<TLD>/bb/feature/sso/action/start?domain_hint=<UNIQUE_ID>

Erstellen eines Testbenutzers für Amazon Business

In diesem Abschnitt wird in Amazon Business ein Benutzer namens B.Simon erstellt. Amazon Business unterstützt die Just-In-Time-Benutzerbereitstellung (standardmäßig aktiviert). Für Sie steht in diesem Abschnitt kein Aktionselement zur Verfügung. Ist ein Benutzer noch nicht in Amazon Business vorhanden, wird nach der Authentifizierung ein neuer Benutzer erstellt.

Testen des einmaligen Anmeldens (SSO)

In diesem Abschnitt testen Sie die Microsoft Entra-Konfiguration für einmaliges Anmelden mit den folgenden Optionen.

SP-initiiert:

  • Wählen Sie "Diese Anwendung testen" aus, leitet diese Option zur Amazon Business-Anmelde-URL um, unter der Sie den Anmeldeablauf initiieren können.

  • Rufen Sie direkt die Amazon Business-SSO-URL auf, und initiieren Sie den Anmeldeflow.

IDP-initiiert:

  • Wählen Sie "Diese Anwendung testen" aus, und Sie sollten automatisch bei amazon Business angemeldet sein, für das Sie das SSO einrichten.

Sie können auch den Microsoft-Bereich „Meine Apps“ verwenden, um die Anwendung in einem beliebigen Modus zu testen. Beim Auswählen der Kachel „Amazon Business“ unter „Meine Apps“ geschieht Folgendes: Wenn Sie die Anwendung im SP-Modus konfiguriert haben, werden Sie zum Initiieren des Anmeldeflows zur Anmeldeseite der Anwendung weitergeleitet. Wenn Sie die Anwendung im IDP-Modus konfiguriert haben, sollten Sie automatisch bei der Amazon Business-Instanz angemeldet werden, für die Sie einmaliges Anmelden eingerichtet haben. Weitere Informationen zu "Meine Apps" finden Sie in der Einführung in "Meine Apps".

Neukonfigurieren von Dienstanbietereinstellungen von ADFS zu Microsoft Entra ID

  1. Vorbereiten der Microsoft Entra ID-Umgebung

    1. Überprüfen Sie, ob Sie über ein Microsoft Entra ID-Premium-Abonnement verfügen: Stellen Sie sicher, dass Sie über ein Microsoft Entra ID-Premium-Abonnement verfügen, das für einmaliges Anmelden (Single Sign-On, SSO) und andere erweiterte Features erforderlich ist.

  2. Registrieren der Anwendung in Microsoft Entra ID

    1. Navigieren Sie im Azure-Portal zu Microsoft Entra ID.
    2. Wählen Sie „App-Registrierungen“ > „Neue Registrierung“ aus.
    3. Geben Sie die erforderlichen Details ein:
      1. Name: Geben Sie einen aussagekräftigen Namen für die Anwendung ein.
      2. Unterstützte Kontotypen: Wählen Sie die entsprechende Option für Ihre Umgebung aus.
      3. Umleitungs-URI: Geben Sie die erforderlichen Umleitungs-URIs ein (normalerweise die Anmelde-URL Ihrer Anwendung).

  3. Konfigurieren des einmaligen Anmeldens von Microsoft Entra ID

    1. Richten Sie einmaliges Anmelden in Microsoft Entra ID ein.
    2. Navigieren Sie im Azure-Portal zu „Microsoft Entra ID“ > „Unternehmensanwendungen“.
    3. Wählen Sie Ihre Anwendung in der Liste aus.
    4. Wählen Sie unter „Verwalten“ die Option „Einmaliges Anmelden“ aus.
    5. Wählen Sie als SSO-Methode die Option „SAML“ aus.
    6. Bearbeiten Sie die grundlegende SAML-Konfiguration:
      1. Bezeichner (Entitäts-ID): Geben Sie die SP-Entitäts-ID ein.
      2. Antwort-URL (Assertionsverbraucherdienst-URL): Geben Sie die SP-ACS-URL ein.
      3. Anmelde-URL: Geben Sie ggf. die Anmelde-URL der Anwendung ein.

  4. Konfigurieren von Benutzerattributen und Ansprüchen

    1. Wählen Sie in den Einstellungen für die SAML-basierte Anmeldung „Benutzerattribute und Ansprüche“ aus.
    2. Bearbeiten und konfigurieren Sie die Ansprüche so, dass sie den Anforderungen Ihres SP entsprechen. In der Regel umfasst dies Folgendes:
      1. NameIdentifier
      2. E-Mail
      3. GivenName
      4. Nachname
      5. usw.

  5. Herunterladen der Metadaten für einmaliges Anmelden von Microsoft Entra ID

  6. Laden Sie im Abschnitt „SAML-Signaturzertifikat“ die Verbundmetadaten-XML herunter. Diese wird zum Konfigurieren Ihres SP verwendet.

  7. Neukonfigurieren des Dienstanbieters (Service Provider, SP)

    1. Aktualisieren des SP zur Verwendung von Microsoft Entra ID-Metadaten
    2. Greifen Sie auf die Konfigurationseinstellungen Ihres SP zu.
    3. Aktualisieren Sie die IdP-Metadaten-URL, oder laden Sie die Microsoft Entra ID-Metadaten-XML hoch.
    4. Aktualisieren Sie die ACS-URL (Assertion Consumer Service, Assertionsverbraucherdienst), die Entitäts-ID und alle anderen erforderlichen Felder, damit sie mit der Microsoft Entra ID-Konfiguration übereinstimmen.

  8. Konfigurieren der SAML-Zertifikate

  9. Stellen Sie sicher, dass der SP so konfiguriert ist, dass er dem Signaturzertifikat von Microsoft Entra ID vertraut. Dieses finden Sie im Abschnitt „SAML-Signaturzertifikat“ der Microsoft Entra ID-SSO-Konfiguration.

  10. Testen der Konfiguration für einmaliges Anmelden

  11. Starten Sie eine Testanmeldung vom SP aus.

  12. Stellen Sie sicher, dass die Authentifizierung an Microsoft Entra ID umleitet und die benutzende Person erfolgreich anmeldet.

  13. Überprüfen Sie die übermittelten Ansprüche, um sicherzustellen, dass sie mit den vom SP erwarteten übereinstimmen.

  14. Aktualisieren Sie DNS- und Netzwerkeinstellungen (falls zutreffend). Wenn Ihr SP oder Ihre Anwendung ADFS-spezifische DNS-Einstellungen verwendet, müssen Sie diese Einstellungen möglicherweise aktualisieren, damit sie auf Microsoft Entra ID-Endpunkte verweisen.

  15. Rollout und Überwachen

    1. Kommunizieren Sie mit Benutzenden: Informieren Sie Benutzende über die Änderung, und stellen Sie alle erforderlichen Anweisungen oder Dokumentationen bereit.
    2. Überwachen Sie die Authentifizierungsprotokolle: Behalten Sie die Microsoft Entra ID-Anmeldeprotokolle im Auge, um auf Authentifizierungsprobleme zu überwachen und diese umgehend zu beheben.

Verwandte Inhalte

Nach dem Konfigurieren von Amazon Business können Sie die Sitzungssteuerung erzwingen, die in Echtzeit vor der Exfiltration und Infiltration vertraulicher Unternehmensdaten schützt. Die Sitzungssteuerung basiert auf bedingtem Zugriff. Erfahren Sie, wie Sie die Sitzungssteuerung mit Microsoft Defender für Cloud-Apps erzwingen.

Weitere Ressourcen