Megosztás a következőn keresztül:

Oktatóanyag: Az Amazon Business konfigurálása automatikus felhasználói kiépítéshez

  • Cikk

Ez az oktatóanyag azOkat a lépéseket ismerteti, amelyekre az Amazon Business és a Microsoft Entra ID-ban is szükség van az automatikus felhasználói kiépítés konfigurálásához. Ha konfigurálva van, a Microsoft Entra ID automatikusan kiépít és kiépít felhasználókat és csoportokat az Amazon Businessbe a Microsoft Entra kiépítési szolgáltatás használatával. A szolgáltatás működéséről, működéséről és a gyakori kérdésekről a Microsoft Entra-azonosítóval rendelkező SaaS-alkalmazások felhasználói kiépítésének és leépítésének automatizálása című témakörben olvashat.

Támogatott képességek

  • Felhasználók létrehozása az Amazon Businessben.
  • Ha már nincs szükségük hozzáférésre, távolítsa el az Amazon Business felhasználóit.
  • Amazon Business-szerepkörök hozzárendelése a felhasználóhoz.
  • Szinkronizálja a felhasználói attribútumokat a Microsoft Entra ID és az Amazon Business között.
  • Csoportok és csoporttagságok kiépítése az Amazon Businessben.
  • Egyszeri bejelentkezés az Amazon Businessbe (ajánlott).

Előfeltételek

Az oktatóanyagban ismertetett forgatókönyv feltételezi, hogy már rendelkezik a következő előfeltételekkel:

1. lépés: A kiépítési üzembe helyezés megtervezése

  1. Ismerje meg az átadási szolgáltatás működését.
  2. Határozza meg, hogy ki lesz az átadás hatókörében.
  3. Határozza meg, hogy milyen adatokat kell megfeleltetnie a Microsoft Entra ID és az Amazon Business között.

2. lépés: Az Amazon Business konfigurálása a Microsoft Entra-azonosítóval való kiépítés támogatásához

A kiépítési szolgáltatás konfigurálása és engedélyezése előtt azonosítania kell egy alapértelmezett csoportot mind a felhasználók, mind a csoportok számára. a következőket javasoljuk:

  • Kövesse a minimális jogosultság elvét úgy, hogy a REQUISITIONER csak az alapértelmezett felhasználói csoportra vonatkozó engedélyekkel rendelkezik.
  • Kövesse az alábbiakban hivatkozott csoportelnevezési konvenciót, hogy a dokumentumokban egyszerűen hivatkozzon a csoportokra.
    • Alapértelmezett SCIM szülőcsoport
      • Ez az AmazonBusiness SCIM-címtárának gyökere. Minden SCIM-csoport közvetlenül ebbe az alapértelmezett csoportba kerül. Választhat egy meglévő csoportot alapértelmezett SCIM szülőcsoportként.
    • Alapértelmezett SCIM-felhasználók csoportja
      • Az Amazon Business-alkalmazáshoz hozzárendelt felhasználók alapértelmezés szerint ebbe a csoportba kerülnek egy Requisitioner szerepkörrel. Javasoljuk, hogy ez a csoport az alapértelmezett SCIM szülőcsoport szinttel azonos szinten legyen.
      • Ha egy felhasználó csoporthozzárendelés nélkül van kiépítve, a rendszer alapértelmezés szerint ebbe a csoportba helyezi őket egy Requisitioner szerepkörrel.
      • Az aktivált felhasználók ebben a csoportban maradnak. Ezért javasoljuk, hogy a Requisitioneren kívül más szerepkört ne használjon ehhez a csoporthoz.

Feljegyzés

  • Az alapértelmezett SCIM szülőcsoport megegyezhet az SSO-konfigurációhoz kiválasztott alapértelmezett csoportéval.
  • Az alapértelmezett SCIM szülőcsoport lehet jogi entitáscsoport. Ha az AB-fiók különböző csoportjaihoz különböző számlázási sablonokat állított be, javasoljuk, hogy a Jogi entitást válassza alapértelmezett csoportként.
  • Jelenleg az SCIM engedélyezését csak egy jogi személy számára támogatjuk egy Amazon Business-fiókban.

Miután azonosította az alapértelmezett SCIM-csoportokat, lépjen az Amazon Business Account > Business Gépház > Identity Management (SCIM) lapra, adja meg a részleteket, és kattintson az Aktiválás gombra. A következő lépés előtt el kell végezni ezt a lépést.

Adja hozzá az Amazon Businesst a Microsoft Entra alkalmazáskatalógusából az Amazon Business üzembe helyezésének kezeléséhez. Ha korábban már beállította az Amazon Business for SSO-t, ugyanazt az alkalmazást használhatja. Javasoljuk azonban, hogy az integráció kezdeti tesztelésekor hozzon létre egy külön alkalmazást. Az alkalmazások katalógusból való hozzáadásáról itt tudhat meg többet.

4. lépés: A kiépítés hatókörének meghatározása

A Microsoft Entra kiépítési szolgáltatás lehetővé teszi, hogy az alkalmazáshoz való hozzárendelés vagy a felhasználó/csoport attribútumai alapján kiépítendő felhasználók hatóköre legyen. Ha a hozzárendelés alapján történő hatókör-meghatározást választja, a következő lépésekkel rendelhet felhasználókat és csoportokat az alkalmazáshoz. Ha csak a felhasználó vagy csoport attribútumai alapján történő hatókörmeghatározást választja, az itt leírt hatókörszűrőt használhatja.

  • Ha felhasználókat és csoportokat rendel az Amazon Businesshez, az Alapértelmezett hozzáférésen kívül más szerepkört kell választania. Az alapértelmezett hozzáférési szerepkörrel rendelkező felhasználók ki vannak zárva az átadásból, és az átadási naplókban nem jogosultként lesznek megjelölve. Ha az alkalmazásban csak az alapértelmezett hozzáférési szerepkör érhető el, az alkalmazásjegyzéket frissítheti más szerepkörök hozzáadásához.
  • Kezdje kicsiben. Tesztelje a felhasználók és csoportok kis halmazát, mielőtt mindenkire kiterjesztené. Amikor az átadás hatóköre a hozzárendelt felhasználókra és csoportokra van beállítva, ennek szabályozásához egy vagy két felhasználót vagy csoportot rendelhet az alkalmazáshoz. Amikor a hatókör az összes felhasználóra és csoportra van beállítva, meghatározhat egy attribútumalapú hatókörszűrőt.
  • Az alkalmazásjegyzéket frissítheti Amazon Business-szerepkörök hozzáadásához. A felhasználó a következő szerepkörök egyikével rendelkezhet:
    • Requisitioner (rendelések leadása vagy jóváhagyásra irányuló megrendelési kérelmek elküldése).
    • Rendszergazda istrator (személyek, csoportok, szerepkörök és jóváhagyások kezelése. Rendelések megtekintése. Rendelési jelentések futtatása)
    • Pénzügy (számlák, jóváírások, elemzések és rendelési előzmények elérése).
    • Tech (rendszerintegrációk beállítása a munkahelyi programokkal).

Képernyőkép az alkalmazásszerepkörök listájáról.

5. lépés: Automatikus felhasználói kiépítés konfigurálása az Amazon Businessben

Ez a szakasz végigvezeti a Microsoft Entra kiépítési szolgáltatás konfigurálásának lépésein, hogy felhasználókat és/vagy csoportokat hozzon létre, frissítsen és tiltson le az Amazon Businessben a Microsoft Entra ID-ban lévő felhasználói és/vagy csoporthozzárendelések alapján.

Az Amazon Business automatikus felhasználókiépítésének konfigurálása a Microsoft Entra-azonosítóban:

  1. Jelentkezzen be a Microsoft Entra felügyeleti központba legalább felhőalkalmazásként Rendszergazda istratorként.

  2. Keresse meg az Identity>Applications>Enterprise-alkalmazásokat

    Képernyőkép a Vállalati alkalmazások panelről.

  3. Az alkalmazások listájában válassza az Amazon Business lehetőséget.

    Képernyőkép az Amazon Business hivatkozásról az Alkalmazások listában.

  4. Válassza a Kiépítés lapot.

    Képernyőkép a Kiépítés lapról.

  5. Állítsa a Kiépítési mód mezőt Automatikus értékre.

    Képernyőkép az Automatikus kiépítés lapról.

  6. A Rendszergazda Hitelesítő adatok szakaszban adja meg az Amazon Business Tenant URL-címét, az engedélyezési végpontot. Kattintson a Tesztelés Csatlakozás ion elemre annak biztosításához, hogy a Microsoft Entra-azonosító csatlakozni tud az Amazon Businesshez. Ha a kapcsolat meghiúsul, győződjön meg arról, hogy az Amazon Business-fiókja rendelkezik Rendszergazda engedélyekkel, és próbálkozzon újra.

    Képernyőkép a tokenről.

    A bérlő URL- és engedélyezési végpontértékeivel kapcsolatban használja az alábbi táblázatot

    Ország Bérlő URL-címe Engedélyezési végpont
    Kanada https://na.business-api.amazon.com/scim/v2/ https://www.amazon.ca/b2b/abws/oauth?state=1& redirect_uri=https://portal.azure.com/TokenAuthorize& applicationId=amzn1.sp.solution.ee27ec8c-1ee9-4c6b-9e68-26bdc37479d3
    Németország https://eu.business-api.amazon.com/scim/v2/ https://www.amazon.de/b2b/abws/oauth?state=1& redirect_uri=https://portal.azure.com/TokenAuthorize& applicationId=amzn1.sp.solution.ee27ec8c-1ee9-4c6b-9e68-26bdc37479d3
    Spanyolország https://eu.business-api.amazon.com/scim/v2/ https://www.amazon.es/b2b/abws/oauth?state=1& redirect_uri=https://portal.azure.com/TokenAuthorize& applicationId=amzn1.sp.solution.ee27ec8c-1ee9-4c6b-9e68-26bdc37479d3
    Franciaország https://eu.business-api.amazon.com/scim/v2/ https://www.amazon.fr/b2b/abws/oauth?state=1& redirect_uri=https://portal.azure.com/TokenAuthorize& applicationId=amzn1.sp.solution.ee27ec8c-1ee9-4c6b-9e68-26bdc37479d3
    GB/UK https://eu.business-api.amazon.com/scim/v2/ https://www.amazon.co.uk/b2b/abws/oauth?state=1& redirect_uri=https://portal.azure.com/TokenAuthorize& applicationId=amzn1.sp.solution.ee27ec8c-1ee9-4c6b-9e68-26bdc37479d3
    India https://eu.business-api.amazon.com/scim/v2/ https://www.amazon.in/b2b/abws/oauth?state=1& redirect_uri=https://portal.azure.com/TokenAuthorize& applicationId=amzn1.sp.solution.ee27ec8c-1ee9-4c6b-9e68-26bdc37479d3
    Olaszország https://eu.business-api.amazon.com/scim/v2/ https://www.amazon.it/b2b/abws/oauth?state=1& redirect_uri=https://portal.azure.com/TokenAuthorize& applicationId=amzn1.sp.solution.ee27ec8c-1ee9-4c6b-9e68-26bdc37479d3
    Japán https://jp.business-api.amazon.com/scim/v2/ https://www.amazon.co.jp/b2b/abws/oauth?state=1& redirect_uri=https://portal.azure.com/TokenAuthorize& applicationId=amzn1.sp.solution.ee27ec8c-1ee9-4c6b-9e68-26bdc37479d3
    Mexikó https://na.business-api.amazon.com/scim/v2/ https://www.amazon.com.mx/b2b/abws/oauth?state=1& redirect_uri=https://portal.azure.com/TokenAuthorize& applicationId=amzn1.sp.solution.ee27ec8c-1ee9-4c6b-9e68-26bdc37479d3
    US https://na.business-api.amazon.com/scim/v2/ https://www.amazon.com/b2b/abws/oauth?state=1& redirect_uri=https://portal.azure.com/TokenAuthorize& applicationId=amzn1.sp.solution.ee27ec8c-1ee9-4c6b-9e68-26bdc37479d3

  7. Az Értesítés e-mailben mezőben adja meg annak a személynek vagy csoportnak az e-mail-címét, aki az átadással kapcsolatos hibaüzeneteket kapja, és jelölje be az E-mail-értesítés küldése hiba esetén jelölőnégyzetet.

    Képernyőkép az értesítési e-mailről.

  8. Válassza a Mentés lehetőséget.

  9. A Leképezések szakaszban válassza a Microsoft Entra-felhasználók szinkronizálása az Amazon Business szolgáltatásba lehetőséget.

  10. Tekintse át a Microsoft Entra-azonosítóból az Amazon Businessbe szinkronizált felhasználói attribútumokat az Attribútum-leképezés szakaszban. Az Egyező tulajdonságokként kiválasztott attribútumok az Amazon Business felhasználói fiókjainak frissítési műveletekhez való egyeztetésére szolgálnak. Ha úgy dönt, hogy módosítja a megfelelő célattribútumot, győződjön meg arról, hogy az Amazon Business API támogatja a felhasználók szűrését ezen attribútum alapján. A módosítások véglegesítéséhez kattintson a Mentés gombra.

    Attribútum Típus Szűréshez támogatott Az Amazon Business által megkövetelt
    Felhasználónév Sztring
    active Logikai
    emails[type eq "work"].value Sztring
    name.givenName Sztring
    name.familyName Sztring
    externalId Sztring
    Szerepkörök Az appRoleAssignments [appRoleAssignments] listája

  11. A Leképezések szakaszban válassza a Microsoft Entra-csoportok szinkronizálása az Amazon Business szolgáltatásba lehetőséget.

  12. Tekintse át a Microsoft Entra-azonosítóból az Amazon Businessbe szinkronizált csoportattribútumokat az Attribútum-leképezés szakaszban. Az Egyező tulajdonságokként kiválasztott attribútumok az Amazon Business frissítési műveleteinek csoportjaival egyeznek. A módosítások véglegesítéséhez kattintson a Mentés gombra.

    Attribútum Típus Szűréshez támogatott Az Amazon Business által megkövetelt
    displayName Sztring
    tagok Referencia

  13. Hatókörszűrők konfigurálásához tekintse meg a hatókörszűrővel kapcsolatos oktatóanyagban szereplő következő utasításokat.

  14. Az Amazon Business Microsoft Entra kiépítési szolgáltatásának engedélyezéséhez módosítsa a kiépítés állapotát a Gépház szakaszban.

    Képernyőkép a kiépítési állapot bekapcsolt állapotáról.

  15. Az Amazon Business számára kiépíteni kívánt felhasználókat és/vagy csoportokat úgy határozhatja meg, hogy a kívánt értékeket választja a hatókörben a Gépház szakaszban.

    Képernyőkép a kiépítési hatókörről.

  16. Ha készen áll a kiépítésre, kattintson a Mentés gombra.

    Képernyőkép a kiépítési konfiguráció mentéséről.

Ez a művelet a Beállítások szakasz Hatókör területén meghatározott összes felhasználó és csoport kezdeti szinkronizálási ciklusát elindítja. A kezdeti ciklus végrehajtása több időt vesz igénybe, mint a következő ciklusok, amelyek körülbelül 40 percenként fordulnak elő, amíg a Microsoft Entra kiépítési szolgáltatás fut.

6. lépés: Az üzembe helyezés monitorozása

Az átadás konfigurálása után a következő erőforrásokkal monitorozhatja az üzemelő példányt:

  • Az átadási naplókkal határozhatja meg, hogy mely felhasználók átadása sikeres, és melyeké sikertelen.
  • A folyamatjelző sávon megtekintheti a kiépítési ciklus állapotát, és hogy milyen közel van a befejezéshez.
  • Ha úgy tűnik, hogy a kiépítési konfiguráció nem megfelelő állapotban van, az alkalmazás karanténba kerül. A karanténállapotokról itt találhat további információt.

Funkciókorlátozások

  • A rendszer egysíkú struktúrát hoz létre az Amazon Business-fiókban, vagyis az összes leküldéses csoport azonos szinten van az Alapértelmezett SCIM-csoport alatt. A beágyazott struktúra/hierarchia nem támogatott.
  • A csoportnevek azonosak lesznek az Azure-ban és az Amazon Business-fiókban.
  • Mivel új csoportok jönnek létre az Amazon Üzleti fiókban, a Rendszergazda szükség esetén újra kell konfigurálnia az üzleti beállításokat (például a vásárlás bekapcsolását, a megosztott beállítások frissítését, az irányított vásárlási szabályzatok hozzáadását stb.).
  • A régi csoportok törlése / a felhasználók eltávolítása a régi csoportokból az Amazon Businessben az adott régi csoporttal leadott megrendelések láthatóságának elvesztését eredményezi, ezért ajánlott
    • Ne törölje a régi csoportokat/feladatokat, és
    • Kapcsolja ki a régi csoportok vásárlását.
  • E-mail/felhasználónév frissítése – Az e-mail és/vagy felhasználónév SCIM-en keresztüli frissítése jelenleg nem támogatott.
  • Jelszószinkronizálás – A jelszószinkronizálás nem támogatott.
  • Egyszeri bejelentkezésre vonatkozó követelmény – Bár az Amazon Business alkalmazás lehetővé teszi az SCIM-kiépítés aktiválását egyszeri bejelentkezés nélkül, a kiépített felhasználók SSO-hitelesítést igényelnek az Amazon Business eléréséhez.
  • Több jogi személy (MLE) fiók – Jelenleg nem támogatjuk az SCIM engedélyezését több jogi személy számára egy Amazon-üzleti fiókban.
  • Ha egy olyan csoportot hoz létre, amelynek neve megegyezik az Amazon Businessben már meglévővel, ezek a csoportok automatikusan össze lesznek kapcsolva (az új csoport az Amazon Businessben jön létre).

Hibaelhárítási tippek

  • Ha az Amazon Business rendszergazdái csak egyszeri bejelentkezéssel jelentkeztek be, vagy nem tudják a jelszavukat, az elfelejtett jelszóval alaphelyzetbe állíthatják a jelszót, majd bejelentkezhetnek az Amazon Business szolgáltatásba.
  • Ha Rendszergazda és Requisitioner szerepkörök már alkalmazva lettek egy csoportban lévő ügyfélre, a Pénzügyi vagy Technikai szerepkörök hozzárendelése nem eredményez frissítéseket az Amazon Business oldalán.
  • Azok az ügyfelek, akik ma Standard kiadás fiókokkal (több fiók ugyanazzal az e-mail-címmel) törlik az egyik fiókjukat, olyan hibákat láthatnak, amelyek miatt a fiók nem létezik az új felhasználók rövid ideig (24–48 óráig) történő kiépítésekor.
  • Az ügyfelek nem távolíthatók el azonnal igény szerinti kiépítéssel. A kiépítést be kell kapcsolni, és az eltávolítás a művelet végrehajtása után 40 perccel megtörténik.

További erőforrások

Következő lépések