Tutoriel : Configurer Amazon Business pour le provisionnement automatique des utilisateurs
Ce didacticiel décrit les étapes que vous devez effectuer dans Amazon Business et Microsoft Entra ID pour configurer le provisionnement automatique des utilisateurs. Une fois configuré, Microsoft Entra ID a automatiquement provisionné et dé-provisionné les utilisateurs et les groupes sur Amazon Business à l'aide du service de provisionnement Microsoft Entra. Pour découvrir les informations importantes sur ce que fait ce service, comment il fonctionne et consulter le forum aux questions, reportez-vous à l’article Automatiser l’approvisionnement et le désapprovisionnement d’utilisateurs dans les applications SaaS avec Microsoft Entra ID.
Fonctionnalités prises en charge
- Créez des utilisateurs dans Amazon Business.
- Supprimez les utilisateurs d'Amazon Business lorsqu'ils n'ont plus besoin d'y accéder.
- Attribuez des rôles Amazon Business à l'utilisateur.
- Gardez les attributs utilisateur synchronisés entre Microsoft Entra ID et Amazon Business.
- Provisionnez des groupes et des adhésions à des groupes dans Amazon Business.
- Authentification unique à Amazon Business (recommandée).
Prérequis
Le scénario décrit dans ce tutoriel part du principe que vous disposez des prérequis suivants :
- Un locataire Microsoft Entra.
- L’un des rôles suivants : Administrateur d’application, Administrateur d’application cloud ou Propriétaire d’application.
- Un compte Amazon Business.
- Un compte utilisateur dans Amazon Business avec des autorisations d'administrateur (administrateur sur tous les groupes d'entités juridiques de votre compte Amazon Business).
Étape 1 : Planifier votre déploiement de l’approvisionnement
- En savoir plus sur le fonctionnement du service d’approvisionnement.
- Déterminez qui sera dans l’étendue pour l’approvisionnement.
- Déterminez les données à mapper entre Microsoft Entra ID et Amazon Business.
Étape 2 : Configurer Amazon Business pour prendre en charge le provisionnement avec Microsoft Entra ID
Avant de configurer et d'activer le service de provisionnement, vous devez identifier un groupe par défaut pour les utilisateurs et les groupes. Nous vous recommandons de :
- Suivez le principe du moindre privilège en ayant uniquement les autorisations REQUISITIONER pour le groupe d'utilisateurs par défaut.
- Suivez la convention de dénomination des groupes référencée ci-dessous pour faciliter le référencement des groupes tout au long de ce document.
- Groupe parent SCIM par défaut
- Il s'agit de la racine de votre répertoire SCIM dans AmazonBusiness. Tous les groupes SCIM sont placés directement sous ce groupe par défaut. Vous pouvez sélectionner un groupe existant comme groupe parent SCIM par défaut.
- Groupe d'utilisateurs SCIM par défaut
- Les utilisateurs affectés à votre application Amazon Business seront placés par défaut dans ce groupe avec un rôle de demandeur. Il est recommandé d'avoir ce groupe au même niveau que le groupe parent SCIM par défaut.
- Si un utilisateur est provisionné sans affectation de groupe, il sera placé par défaut dans ce groupe avec un rôle de demandeur.
- Tout utilisateur désactivé reste dans ce groupe. Il est donc recommandé de ne pas utiliser de rôle autre que Demandeur pour ce groupe.
- Groupe parent SCIM par défaut
Remarque
- Le groupe parent SCIM par défaut peut être identique au groupe par défaut sélectionné pour votre configuration d’authentification unique (SSO).
- Le groupe parent SCIM par défaut peut être un groupe d’entités juridiques. Il est recommandé de choisir Entité juridique comme groupe par défaut si vous avez configuré différents modèles de facturation pour différents groupes dans votre compte AB.
- Nous prenons actuellement en charge l’activation de SCIM pour une seule entité juridique dans un compte Amazon Business.
Une fois vos groupes SCIM par défaut identifiés, accédez à votre compte Amazon Business > Paramètres professionnels > page Gestion des identités (SCIM), entrez les détails, puis cliquez sur Activer. Il est nécessaire de réaliser cette étape avant de passer à l’étape suivante.
Étape 3 : Ajouter Amazon Business à partir de la galerie d'applications Microsoft Entra
Ajoutez Amazon Business à partir de la galerie d'applications Microsoft Entra pour commencer à gérer le provisionnement sur Amazon Business. Si vous avez déjà configuré Amazon Business pour SSO, vous pouvez utiliser la même application. Toutefois, il est recommandé de créer une application distincte lors du test initial de l’intégration. En savoir plus sur l’ajout d’une application à partir de la galerie ici.
Étape 4 : Définir qui sera dans l’étendue pour l’approvisionnement
Le service de provisionnement Microsoft Entra vous permet de déterminer qui sera provisionné en fonction de l'affectation à l'application et/ou en fonction des attributs de l'utilisateur/du groupe. Si vous choisissez de définir l’étendue de l’approvisionnement pour votre application en fonction de l’attribution, vous pouvez utiliser les étapes de suivantes pour affecter des utilisateurs et des groupes à l’application. Si vous choisissez de définir l’étendue de l’approvisionnement en fonction uniquement des attributs de l’utilisateur ou du groupe, vous pouvez utiliser un filtre d’étendue comme décrit ici.
- Lors de l'attribution d'utilisateurs et de groupes à Amazon Business, vous devez sélectionner un rôle autre que Accès par défaut. Les utilisateurs disposant du rôle Accès par défaut sont exclus de l’approvisionnement et sont marqués comme non autorisés dans les journaux de configuration. Si le seul rôle disponible sur l’application est le rôle Accès par défaut, vous pouvez mettre à jour le manifeste de l’application pour ajouter d’autres rôles.
- Commencez progressivement. Testez avec un petit ensemble d’utilisateurs et de groupes avant d’effectuer un déploiement général. Lorsque l’étendue de l’approvisionnement est définie sur les utilisateurs et les groupes attribués, vous pouvez contrôler cela en affectant un ou deux utilisateurs ou groupes à l’application. Lorsque l’étendue est définie sur tous les utilisateurs et groupes, vous pouvez spécifier un filtre d’étendue basé sur l’attribut.
- Vous pouvez mettre à jour le manifeste de l'application pour ajouter des rôles Amazon Business. L'utilisateur peut avoir l'un des rôles suivants :
- Réquisitionnaire (pour passer des commandes ou soumettre des demandes de commande pour approbation).
- Administrateur (pour gérer les personnes, les groupes, les rôles et les approbations. Afficher les commandes. Exécuter des rapports de commande)
- Finance (pour accéder aux factures, aux notes de crédit, aux analyses et à l'historique des commandes).
- Technologie (pour mettre en place des intégrations système avec les programmes utilisés au travail).
Étape 5 : Configurer le provisionnement automatique des utilisateurs sur Amazon Business
Cette section vous guide à travers les étapes de configuration du service de provisionnement Microsoft Entra pour créer, mettre à jour et désactiver des utilisateurs et/ou des groupes dans Amazon Business en fonction des attributions d'utilisateurs et/ou de groupes dans Microsoft Entra ID.
Pour configurer le provisionnement automatique des utilisateurs pour Amazon Business dans Microsoft Entra ID :
Connectez-vous au Centre d’administration de Microsoft Entra au minimum en tant qu’Administrateur d’application cloud.
Accédez à Identité>Applications>Applications d’entreprise.
Dans la liste des applications, sélectionnez Amazon Business.
Sélectionnez l’onglet Approvisionnement.
Définissez le Mode d’approvisionnement sur Automatique.
Dans la section Informations d'identification de l'administrateur, saisissez l'URL de votre locataire Amazon Business, point de terminaison d'autorisation. Cliquez sur Tester la connexion pour vous assurer que Microsoft Entra ID peut se connecter à Amazon Business. Si la connexion échoue, assurez-vous que votre compte Amazon Business dispose des autorisations d'administrateur et réessayez.
Pour les valeurs de l'URL du locataire et du point de terminaison d'autorisation, veuillez utiliser le tableau ci-dessous
Pays ou région URL de locataire Point de terminaison d’autorisation Canada https://na.business-api.amazon.com/scim/v2/ https://www.amazon.ca/b2b/abws/oauth?state=1&redirect_uri=https://portal.azure.com/TokenAuthorize&applicationId=amzn1.sp.solution.ee27ec8c-1ee9-4c6b-9e68-26bdc37479d3 Allemagne https://eu.business-api.amazon.com/scim/v2/ https://www.amazon.de/b2b/abws/oauth?state=1&redirect_uri=https://portal.azure.com/TokenAuthorize&applicationId=amzn1.sp.solution.ee27ec8c-1ee9-4c6b-9e68-26bdc37479d3 Espagne https://eu.business-api.amazon.com/scim/v2/ https://www.amazon.es/b2b/abws/oauth?state=1&redirect_uri=https://portal.azure.com/TokenAuthorize&applicationId=amzn1.sp.solution.ee27ec8c-1ee9-4c6b-9e68-26bdc37479d3 France https://eu.business-api.amazon.com/scim/v2/ https://www.amazon.fr/b2b/abws/oauth?state=1&redirect_uri=https://portal.azure.com/TokenAuthorize&applicationId=amzn1.sp.solution.ee27ec8c-1ee9-4c6b-9e68-26bdc37479d3 GB/Royaume-Uni https://eu.business-api.amazon.com/scim/v2/ https://www.amazon.co.uk/b2b/abws/oauth?state=1&redirect_uri=https://portal.azure.com/TokenAuthorize&applicationId=amzn1.sp.solution.ee27ec8c-1ee9-4c6b-9e68-26bdc37479d3 Inde https://eu.business-api.amazon.com/scim/v2/ https://www.amazon.in/b2b/abws/oauth?state=1&redirect_uri=https://portal.azure.com/TokenAuthorize&applicationId=amzn1.sp.solution.ee27ec8c-1ee9-4c6b-9e68-26bdc37479d3 Italie https://eu.business-api.amazon.com/scim/v2/ https://www.amazon.it/b2b/abws/oauth?state=1&redirect_uri=https://portal.azure.com/TokenAuthorize&applicationId=amzn1.sp.solution.ee27ec8c-1ee9-4c6b-9e68-26bdc37479d3 Japon https://jp.business-api.amazon.com/scim/v2/ https://www.amazon.co.jp/b2b/abws/oauth?state=1&redirect_uri=https://portal.azure.com/TokenAuthorize&applicationId=amzn1.sp.solution.ee27ec8c-1ee9-4c6b-9e68-26bdc37479d3 Mexique https://na.business-api.amazon.com/scim/v2/ https://www.amazon.com.mx/b2b/abws/oauth?state=1&redirect_uri=https://portal.azure.com/TokenAuthorize&applicationId=amzn1.sp.solution.ee27ec8c-1ee9-4c6b-9e68-26bdc37479d3 US https://na.business-api.amazon.com/scim/v2/ https://www.amazon.com/b2b/abws/oauth?state=1&redirect_uri=https://portal.azure.com/TokenAuthorize&applicationId=amzn1.sp.solution.ee27ec8c-1ee9-4c6b-9e68-26bdc37479d3 Dans le champ E-mail de notification, entrez l’adresse e-mail de la personne ou du groupe qui doit recevoir les notifications d’erreur de provisionnement et sélectionnez la case à cocher Envoyer une notification par e-mail en cas de défaillance.
Sélectionnez Enregistrer.
Sous la section Mappages, sélectionnez Synchroniser les utilisateurs Microsoft Entra avec Amazon Business.
Passez en revue les attributs utilisateur synchronisés de Microsoft Entra ID vers Amazon Business dans la section Mappage d'attributs. Les attributs sélectionnés comme Propriétés de correspondance sont utilisés pour faire correspondre les comptes d'utilisateurs dans Amazon Business pour les opérations de mise à jour. Si vous choisissez de modifier l'attribut cible correspondant, vous devez vous assurer que l'API Amazon Business prend en charge le filtrage des utilisateurs en fonction de cet attribut. Cliquez sur le bouton Enregistrer pour valider les modifications.
Attribut Type Pris en charge pour le filtrage Requis par Amazon Business userName String ✓ ✓ active Boolean emails[type eq "work"].value String name.givenName String name.familyName String externalId String rôles Liste des appRoleAssignments [appRoleAssignments] Sous la section Mappages, sélectionnez Synchroniser les groupes Microsoft Entra avec Amazon Business.
Passez en revue les attributs de groupe synchronisés de Microsoft Entra ID vers Amazon Business dans la section Mappage d'attributs. Les attributs sélectionnés comme Propriétés de correspondance sont utilisés pour faire correspondre les groupes dans Amazon Business pour les opérations de mise à jour. Cliquez sur le bouton Enregistrer pour valider les modifications.
Attribut Type Pris en charge pour le filtrage Requis par Amazon Business displayName String ✓ ✓ membres Informations de référence Pour configurer des filtres d’étendue, reportez-vous aux instructions suivantes fournies dans Approvisionnement d’applications basé sur les attributs avec filtres d’étendue.
Pour activer le service de provisionnement Microsoft Entra pour Amazon Business, modifiez le statut de provisionnement sur Activé dans la section Paramètres.
Définissez les utilisateurs et/ou les groupes que vous souhaitez approvisionner sur Amazon Business en choisissant les valeurs souhaitées dans Portée de la section Paramètres.
Lorsque vous êtes prêt à effectuer l’approvisionnement, cliquez sur Enregistrer.
Cette opération démarre le cycle de synchronisation initiale de tous les utilisateurs et groupes définis dans Étendue dans la section Paramètres. L'exécution du cycle initial prend plus de temps que les cycles suivants, qui se produisent environ toutes les 40 minutes tant que le service de provisionnement Microsoft Entra est en cours d'exécution.
Étape 6 : Surveiller votre déploiement
Une fois que vous avez configuré l’approvisionnement, utilisez les ressources suivantes pour surveiller votre déploiement :
- Utilisez les journaux d’approvisionnement pour déterminer quels utilisateurs ont été configurés avec succès ou échoué.
- Consultez la barre de progression pour afficher l’état du cycle d’approvisionnement et sa progression.
- Si la configuration de l’approvisionnement semble être dans un état non sain, l’application passe en quarantaine. Pour en savoir plus sur les états de quarantaine, cliquez ici.
Limites des fonctionnalités
- La structure plate est créée sur le compte Amazon Business, c'est-à-dire que tous les groupes poussés sont au même niveau sous le groupe SCIM par défaut. La structure/hiérarchie imbriquée n’est pas prise en charge.
- Les noms de groupe seront les mêmes dans les comptes Azure et Amazon Business.
- À mesure que de nouveaux groupes sont créés sur le compte Amazon Business, les administrateurs doivent reconfigurer les paramètres professionnels (par exemple, activer les achats, mettre à jour les paramètres partagés, ajouter des politiques d’achat guidé, etc.) pour les nouveaux groupes, selon les besoins.
- La suppression d'anciens groupes/d'utilisateurs d'anciens groupes dans Amazon Business entraîne une perte de visibilité sur les commandes passées auprès de cet ancien groupe. Il est donc recommandé de
- Ne pas supprimer les anciens groupes/affectations, et
- Désactivez les achats pour les anciens groupes.
- Mise à jour de l'Email/du nom d'utilisateur – La mise à jour de l'Email et/ou du nom d'utilisateur via SCIM n'est pas prise en charge pour le moment.
- Synchronisation des mots de passe – la synchronisation des mots de passe n'est pas prise en charge.
- SSO requise : bien que l’application Amazon Business autorise l’activation de l’approvisionnement SCIM sans SSO, les utilisateurs approvisionnés devront se soumettre à l’authentification SSO pour accéder à Amazon Business.
- Comptes multi-entités juridiques (MLE) : nous ne prenons actuellement pas en charge l’activation de SCIM pour plusieurs entités juridiques dans un compte Amazon Business.
- Lors de l’approvisionnement d’un groupe portant le même nom qu’un groupe existant dans Amazon Business, ces groupes sont automatiquement liés (un autre groupe est créé dans Amazon Business).
Conseils de dépannage
- Si les administrateurs Amazon Business se sont connectés uniquement à l'aide de SSO ou ne connaissent pas leurs mots de passe, ils peuvent utiliser le flux de mot de passe oublié pour réinitialiser leur mot de passe, puis se connecter à Amazon Business.
- Si les rôles d'administrateur et de demandeur ont déjà été appliqués au client dans un groupe, l'attribution de rôles financiers ou techniques n'entraînera pas de mises à jour du côté d'Amazon Business.
- Les clients disposant de comptes MASE (Multiple Account Same Email) qui suppriment l'un de leurs comptes peuvent voir des erreurs indiquant que le compte n'existe pas lors de l'approvisionnement de nouveaux utilisateurs pour une courte période (24 à 48 heures).
- Les clients ne peuvent pas être supprimés immédiatement via Provision on Demand. Le provisionnement doit être activé et la suppression aura lieu 40 minutes après l'action.
Plus de ressources
- Gestion de l’approvisionnement de comptes d’utilisateur pour les applications d’entreprise
- Qu’est-ce que l’accès aux applications et l’authentification unique avec Microsoft Entra ID ?