Bagikan melalui

Tutorial: Mengonfigurasi Amazon Business untuk provisi pengguna otomatis

  • Artikel

Tutorial ini menjelaskan langkah-langkah yang perlu Anda lakukan di AMAZON Business dan ID Microsoft Entra untuk mengonfigurasi provisi pengguna otomatis. Saat dikonfigurasi, MICROSOFT Entra ID secara otomatis memprovisi dan mendeprovisi pengguna dan grup ke Amazon Business menggunakan layanan provisi Microsoft Entra. Untuk detail penting tentang apa yang dilakukan layanan ini, cara kerjanya, dan tanya jawab umum, lihat Mengotomatiskan provisi dan deprovisi pengguna ke aplikasi SaaS dengan ID Microsoft Entra.

Kemampuan yang didukung

  • Membuat pengguna di Amazon Business.
  • Hapus pengguna di Amazon Business saat mereka tidak memerlukan akses lagi.
  • Tetapkan peran Amazon Business kepada pengguna.
  • Menjaga atribut pengguna tetap sinkron antara ID Microsoft Entra dan Amazon Business.
  • Memprovisikan grup dan keanggotaan grup di Amazon Business.
  • Akses menyeluruh ke Amazon Business (disarankan ).

Prasyarat

Skenario yang diuraikan dalam tutorial ini mengasumsikan bahwa Anda sudah memiliki prasyarat berikut:

  • Penyewa Microsoft Entra.
  • Salah satu peran berikut: Administrator Aplikasi, Administrator Aplikasi Cloud, atau Pemilik Aplikasi.
  • Akun Amazon Business.
  • Akun pengguna di Amazon Business dengan izin Admin (Admin pada semua grup Entitas Hukum di akun Amazon Business Anda).

Langkah 1: Merencanakan penyebaran provisi Anda

  1. Pelajari tentang Cara kerja layanan provisi .
  2. Tentukan siapa yang akan berada dalam cakupan untuk provisi.
  3. Tentukan data apa yang akan dipetakan antara ID Microsoft Entra dan Amazon Business.

Langkah 2: Mengonfigurasi Amazon Business untuk mendukung provisi dengan ID Microsoft Entra

Sebelum mengonfigurasi dan mengaktifkan layanan provisi, Anda perlu mengidentifikasi grup default untuk pengguna dan grup. Kami menyarankan Anda untuk

  • Ikuti prinsip hak istimewa paling sedikit dengan memiliki izin HANYA REQUISITIONER untuk grup pengguna default.
  • Ikuti konvensi penamaan grup yang direferensikan di bawah ini untuk kemudahan mereferensikan grup di seluruh dokumen ini.
    • Grup Induk SCIM Default
      • Ini adalah akar direktori SCIM Anda di AmazonBusiness. Semua grup SCIM ditempatkan langsung di bawah grup default ini. Anda dapat memilih grup yang ada sebagai grup induk SCIM default.
    • Grup Pengguna SCIM Default
      • Pengguna yang ditetapkan ke aplikasi Amazon Business Anda akan ditempatkan ke dalam grup ini secara default dengan peran Pemohon. Disarankan untuk memiliki grup ini pada tingkat yang sama dengan Grup Induk SCIM Default.
      • Jika pengguna disediakan tanpa penetapan grup, mereka akan ditempatkan ke dalam grup ini secara default dengan peran Pemohon.
      • Setiap pengguna yang tidak diaktifkan akan tetap berada di grup ini. Oleh karena itu, disarankan untuk tidak menggunakan peran apa pun selain Requisitioner untuk grup ini.

Catatan

  • Grup Induk SCIM Default dapat sama dengan grup default yang dipilih untuk konfigurasi SSO Anda.
  • Grup Induk SCIM Default dapat menjadi grup Badan Hukum. Memilih Badan Hukum sebagai grup default disarankan jika Anda memiliki templat faktur yang berbeda yang disiapkan untuk grup yang berbeda di Akun AB Anda.
  • Saat ini kami mendukung pengaktifan SCIM hanya untuk satu Badan Hukum di akun Amazon Business.

Setelah Grup SCIM Default Anda diidentifikasi, buka halaman Business Pengaturan > Identity Management (SCIM) akun > Amazon Business Anda, masukkan detailnya dan klik Aktifkan. Anda perlu menyelesaikan langkah ini sebelum melanjutkan ke langkah berikutnya.

Tambahkan Amazon Business dari galeri aplikasi Microsoft Entra untuk mulai mengelola provisi ke Amazon Business. Jika sebelumnya Anda telah menyiapkan Amazon Business untuk SSO, Anda dapat menggunakan aplikasi yang sama. Namun, sebaiknya Anda membuat aplikasi terpisah saat menguji integrasi pada awalnya. Pelajari selengkapnya tentang cara menambahkan aplikasi dari galeri di sini.

Langkah 4 : Tentukan siapa yang akan berada dalam cakupan provisi

Layanan provisi Microsoft Entra memungkinkan Anda untuk mencakup siapa yang akan disediakan berdasarkan penugasan ke aplikasi dan atau berdasarkan atribut pengguna /grup. Jika Anda memilih untuk mencakup siapa saja yang akan diprovisi ke aplikasi berdasarkan penugasan, Anda dapat mengikuti langkah-langkah berikut untuk menetapkan pengguna dan grup ke aplikasi. Jika Anda memilih untuk mencakup siapa saja yang akan diprovisikan hanya berdasarkan pada atribut pengguna atau grup, Anda dapat menggunakan filter cakupan seperti yang dijelaskan di sini.

  • Saat menetapkan pengguna dan grup ke Amazon Business, Anda harus memilih peran selain Akses Default. Pengguna dengan peran Akses Default dikecualikan dari provisi dan akan ditandai sebagai tidak berhak secara efektif dalam log provisi. Jika satu-satunya peran yang tersedia pada aplikasi adalah peran akses default, Anda dapat memperbarui manifes aplikasi untuk menambahkan peran lain.
  • Mulai dari yang kecil. Lakukan pengujian pada set kecil pengguna dan grup sebelum meluncurkan ke semua orang. Saat cakupan provisi diatur ke pengguna dan grup yang telah ditetapkan, Anda dapat mengontrolnya dengan menetapkan satu atau dua pengguna atau grup ke aplikasi. Ketika cakupan diatur ke semua pengguna dan grup, Anda dapat menentukan filter cakupan berbasis atribut.
  • Anda dapat memperbarui manifes aplikasi untuk menambahkan peran Amazon Business. Pengguna dapat memiliki salah satu peran berikut:
    • Pemohon (untuk melakukan pesanan atau mengirimkan permintaan pesanan untuk disetujui).
    • Administrator (untuk mengelola orang, grup, peran, dan persetujuan. Lihat pesanan. Jalankan laporan pesanan)
    • Keuangan (untuk mengakses faktur, catatan kredit, analitik, dan riwayat pesanan).
    • Tech (untuk menyiapkan integrasi sistem dengan program yang digunakan di tempat kerja).

Cuplikan layar daftar peran aplikasi.

Langkah 5: Mengonfigurasi provisi pengguna otomatis ke Amazon Business

Bagian ini memandu Anda melalui langkah-langkah untuk mengonfigurasi layanan provisi Microsoft Entra untuk membuat, memperbarui, dan menonaktifkan pengguna dan/atau grup di Amazon Business berdasarkan penetapan pengguna dan/atau grup di ID Microsoft Entra.

Untuk mengonfigurasi provisi pengguna otomatis untuk Amazon Business di ID Microsoft Entra:

  1. Masuk ke pusat admin Microsoft Entra sebagai setidaknya Administrator Aplikasi Cloud.

  2. Telusuri aplikasi Identity>Applications>Enterprise

    Cuplikan layar bilah aplikasi Enterprise.

  3. Dalam daftar aplikasi, pilih Amazon Business.

    Cuplikan layar tautan Amazon Business di daftar Aplikasi.

  4. Pilih Provisi tab.

    Cuplikan layar tab Provisi.

  5. Atur Mode Provisi ke Otomatis.

    Cuplikan layar tab Provisi otomatis.

  6. Di bawah bagian Info Masuk Admin, masukkan URL Penyewa Amazon Business Anda, Titik Akhir Otorisasi. Klik Uji Koneksi ion untuk memastikan ID Microsoft Entra dapat tersambung ke Amazon Business. Jika koneksi gagal, pastikan akun Amazon Business Anda memiliki izin Admin, lalu coba lagi.

    Cuplikan layar Token.

    Untuk NILAI URL Penyewa dan titik akhir Otorisasi, silakan gunakan tabel di bawah ini

    Negara URL Penyewa Titik Akhir otorisasi
    Kanada https://na.business-api.amazon.com/scim/v2/ https://www.amazon.ca/b2b/abws/oauth?state=1& redirect_uri=https://portal.azure.com/TokenAuthorize& applicationId=amzn1.sp.solution.ee27ec8c-1ee9-4c6b-9e68-26bdc37479d3
    Jerman https://eu.business-api.amazon.com/scim/v2/ https://www.amazon.de/b2b/abws/oauth?state=1& redirect_uri=https://portal.azure.com/TokenAuthorize& applicationId=amzn1.sp.solution.ee27ec8c-1ee9-4c6b-9e68-26bdc37479d3
    Spanyol https://eu.business-api.amazon.com/scim/v2/ https://www.amazon.es/b2b/abws/oauth?state=1& redirect_uri=https://portal.azure.com/TokenAuthorize& applicationId=amzn1.sp.solution.ee27ec8c-1ee9-4c6b-9e68-26bdc37479d3
    Prancis https://eu.business-api.amazon.com/scim/v2/ https://www.amazon.fr/b2b/abws/oauth?state=1& redirect_uri=https://portal.azure.com/TokenAuthorize& applicationId=amzn1.sp.solution.ee27ec8c-1ee9-4c6b-9e68-26bdc37479d3
    GB/Inggris Raya https://eu.business-api.amazon.com/scim/v2/ https://www.amazon.co.uk/b2b/abws/oauth?state=1& redirect_uri=https://portal.azure.com/TokenAuthorize& applicationId=amzn1.sp.solution.ee27ec8c-1ee9-4c6b-9e68-26bdc37479d3
    India https://eu.business-api.amazon.com/scim/v2/ https://www.amazon.in/b2b/abws/oauth?state=1& redirect_uri=https://portal.azure.com/TokenAuthorize& applicationId=amzn1.sp.solution.ee27ec8c-1ee9-4c6b-9e68-26bdc37479d3
    Italia https://eu.business-api.amazon.com/scim/v2/ https://www.amazon.it/b2b/abws/oauth?state=1& redirect_uri=https://portal.azure.com/TokenAuthorize& applicationId=amzn1.sp.solution.ee27ec8c-1ee9-4c6b-9e68-26bdc37479d3
    Jepang https://jp.business-api.amazon.com/scim/v2/ https://www.amazon.co.jp/b2b/abws/oauth?state=1& redirect_uri=https://portal.azure.com/TokenAuthorize& applicationId=amzn1.sp.solution.ee27ec8c-1ee9-4c6b-9e68-26bdc37479d3
    Meksiko https://na.business-api.amazon.com/scim/v2/ https://www.amazon.com.mx/b2b/abws/oauth?state=1& redirect_uri=https://portal.azure.com/TokenAuthorize& applicationId=amzn1.sp.solution.ee27ec8c-1ee9-4c6b-9e68-26bdc37479d3
    US https://na.business-api.amazon.com/scim/v2/ https://www.amazon.com/b2b/abws/oauth?state=1& redirect_uri=https://portal.azure.com/TokenAuthorize& applicationId=amzn1.sp.solution.ee27ec8c-1ee9-4c6b-9e68-26bdc37479d3

  7. Di bidang Surel Pemberitahuan, masukkan alamat surel seseorang atau grup penerima pemberitahuan kesalahan provisi dan pilih kotak centang Kirim pemberitahuan surel ketika kegagalan terjadi.

    Cuplikan layar Email Pemberitahuan

  8. Pilih Simpan.

  9. Di bawah bagian Pemetaan , pilih Sinkronkan pengguna Microsoft Entra ke Amazon Business.

  10. Tinjau atribut pengguna yang disinkronkan dari ID Microsoft Entra ke Amazon Business di bagian Pemetaan Atribut. Atribut yang dipilih sebagai properti Pencocokan digunakan untuk mencocokkan akun pengguna di Amazon Business untuk operasi pembaruan. Jika Anda memilih untuk mengubah atribut target yang cocok, Anda harus memastikan bahwa AMAZON Business API mendukung pemfilteran pengguna berdasarkan atribut tersebut. Pilih tombol Simpan untuk menerapkan perubahan apa pun.

    Atribut Jenis Didukung untuk pemfilteran Diperlukan oleh Amazon Business
    userName String
    active Boolean
    emails[type eq "work"].value String
    name.givenName String
    name.familyName String
    externalId String
    Peran Daftar appRoleAssignments [appRoleAssignments]

  11. Di bawah bagian Pemetaan , pilih Sinkronkan grup Microsoft Entra ke Amazon Business.

  12. Tinjau atribut grup yang disinkronkan dari ID Microsoft Entra ke Amazon Business di bagian Pemetaan Atribut. Atribut yang dipilih sebagai properti Pencocokan digunakan untuk mencocokkan grup di Amazon Business untuk operasi pembaruan. Pilih tombol Simpan untuk menerapkan perubahan apa pun.

    Atribut Jenis Didukung untuk pemfilteran Diperlukan oleh Amazon Business
    displayName String
    anggota Referensi

  13. Untuk mengonfigurasi filter cakupan, lihat instruksi berikut yang disediakan dalam Tutorial filter cakupan.

  14. Untuk mengaktifkan layanan provisi Microsoft Entra untuk Amazon Business, ubah Status Provisi menjadi Aktif di bagian Pengaturan.

    Cuplikan layar Status Provisi Diaktifkan.

  15. Tentukan pengguna dan/atau grup yang ingin Anda provisikan ke Amazon Business dengan memilih nilai yang diinginkan dalam Cakupan di bagian Pengaturan.

    Cuplikan layar Cakupan Provisi.

  16. Ketika Anda siap untuk memprovisi, klik Simpan.

    Cuplikan layar Konfigurasi Provisi Penyimpanan.

Operasi ini memulai siklus sinkronisasi awal semua pengguna dan grup yang ditentukan dalam Cakupan di bagian Pengaturan. Siklus awal membutuhkan waktu lebih lama untuk dilakukan daripada siklus berikutnya, yang terjadi sekitar setiap 40 menit selama layanan provisi Microsoft Entra berjalan.

Langkah 6: Memantau penyebaran Anda

Setelah Anda mengonfigurasi provisi, gunakan sumber daya berikut untuk memantau penyebaran Anda:

  • Gunakan log provisi untuk menentukan pengguna mana yang telah berhasil atau gagal diprovisi
  • Periksa bilah progres untuk melihat status siklus provisi dan seberapa lama penyelesaiannya
  • Jika konfigurasi provisi tampaknya dalam keadaan tidak sehat, aplikasi masuk ke karantina. Pelajari selengkapnya status karantina di sini.

Batasan fitur

  • Struktur datar dibuat pada akun Amazon Business, yaitu, semua grup yang didorong berada pada tingkat yang sama di bawah Grup SCIM Default. Struktur/hierarki berlapis tidak didukung.
  • Nama grup akan sama di akun Azure dan Amazon Business.
  • Karena grup baru akan dibuat di Akun Amazon Business, Admin perlu mengonfigurasi ulang pengaturan bisnis (misalnya, mengaktifkan pembelian, memperbarui pengaturan bersama, menambahkan kebijakan pembelian terpandu, dan sebagainya) untuk grup baru sesuai kebutuhan.
  • Menghapus Grup lama / menghapus pengguna dari grup lama di Amazon Business mengakibatkan kehilangan visibilitas ke dalam pesanan yang ditempatkan dengan Grup lama tersebut, oleh karena itu disarankan untuk
    • Tidak menghapus grup/tugas lama, dan
    • Nonaktifkan pembelian untuk grup lama.
  • Pembaruan Email / Nama Pengguna - Memperbarui email dan / atau nama pengguna melalui SCIM tidak didukung saat ini.
  • Sinkronisasi Kata Sandi - Sinkronisasi kata sandi tidak didukung.
  • Persyaratan SSO - Meskipun aplikasi Amazon Business memungkinkan aktivasi provisi SCIM tanpa SSO, pengguna yang disediakan akan memerlukan Autentikasi SSO untuk mengakses Amazon Business.
  • Akun Multi-Legal Entity (MLE) - Saat ini kami tidak mendukung pengaktifan SCIM untuk lebih dari satu Badan Hukum di Akun Bisnis Amazon.
  • Saat memprovisikan grup dengan nama yang sama seperti yang sudah ada di Amazon Business, grup ini akan secara otomatis ditautkan (grup baru akan dibuat di Amazon Business).

Tips Pemecahan Masalah

  • Jika administrator Amazon Business hanya masuk menggunakan SSO atau tidak mengetahui kata sandi mereka, mereka dapat menggunakan alur kata sandi yang lupa untuk mengatur ulang kata sandi mereka lalu masuk ke Amazon Business.
  • Jika peran Admin dan Pemohon telah diterapkan kepada pelanggan dalam grup, menetapkan peran Keuangan atau Teknologi tidak akan menghasilkan pembaruan di sisi Amazon Business.
  • Pelanggan dengan akun MASE (Email Yang Sama Beberapa Akun) yang menghapus salah satu akun mereka dapat melihat kesalahan yang tidak ada akun saat menyediakan pengguna baru untuk waktu singkat (24-48 jam).
  • Pelanggan tidak dapat segera dihapus melalui Provisi sesuai Permintaan. Provisi harus diaktifkan dan penghapusan akan terjadi 40 menit setelah tindakan diambil.

Sumber daya lainnya

Langkah berikutnya