Configurare Amazon Business per il provisioning automatico degli utenti con Microsoft Entra ID

Questo articolo descrive i passaggi da eseguire sia in Amazon Business che in Microsoft Entra ID per configurare il provisioning automatico degli utenti. Se configurato, Microsoft Entra ID effettua automaticamente il provisioning e il deprovisioning di utenti e gruppi in Amazon Business usando il servizio di provisioning di Microsoft Entra. Per informazioni importanti sui dettagli di cosa fa questo servizio, su come funziona e sulle domande frequenti, vedere Automatizzare il provisioning e il deprovisioning utenti in applicazioni SaaS con Microsoft Entra ID.

Funzionalità supportate

• Creare utenti in Amazon Business.
• Rimuovere gli utenti in Amazon Business quando non richiedono più l'accesso.
• Assegnare ruoli Amazon Business all'utente.
• Mantenere sincronizzati gli attributi utente tra Microsoft Entra ID e Amazon Business.
• Gestire gruppi e membri in Amazon Business.
• Single Sign-On ad Amazon Business (scelta consigliata).

Prerequisiti

Lo scenario descritto in questo articolo presuppone che siano già disponibili i prerequisiti seguenti:

• Un tenant Microsoft Entra.
• Uno dei ruoli seguenti: Amministratore di applicazioni, Amministratore applicazione cloud o Proprietario dell'applicazione.
• Un conto Business di Amazon.
• Un account utente in Amazon Business con autorizzazioni di amministratore (amministratore per tutti i gruppi di entità legali nell'account Amazon Business).

Passaggio 1: Pianificare la distribuzione delle risorse

1. Scopri come funziona il servizio di provisioning.
2. Determinare chi si trova nell'ambito di per la configurazione.
3. Determinare per quali dati eseguire il mapping tra Microsoft Entra ID e Amazon Business.

Passaggio 2: Configurare Amazon Business per supportare il provisioning con Microsoft Entra ID

Prima di configurare e abilitare il servizio di provisioning, è necessario identificare un gruppo predefinito per utenti e gruppi. Ti consigliamo di

• Seguire il principio dei privilegi minimi avendo le autorizzazioni REQUISITIONER solo per il gruppo di utenti predefinito.
• Seguire la convenzione di denominazione dei gruppi a cui si fa riferimento nella sezione seguente per semplificare il riferimento ai gruppi in questo documento.
  • Gruppo principale SCIM predefinito
    • Questa è la radice della directory SCIM di Amazon Business. Tutti i gruppi SCIM vengono inseriti direttamente in questo gruppo predefinito. È possibile selezionare un gruppo esistente come gruppo padre SCIM predefinito.
  • Gruppo utenti SCIM predefinito
    • Gli utenti assegnati all'app Amazon Business vengono inseriti in questo gruppo per impostazione predefinita con un ruolo Requisitioner. Si consiglia di posizionare questo gruppo allo stesso livello del Gruppo Padre SCIM di default.
    • Se a un utente viene effettuato il provisioning senza un'assegnazione di gruppo, verrà inserito in questo gruppo per impostazione predefinita con il ruolo di richiedente.
    • Qualsiasi utente disattivato rimane in questo gruppo. Di conseguenza, è consigliabile non usare alcun ruolo diverso da Requisitioner per questo gruppo.

Nota

• Il gruppo padre SCIM predefinito può corrispondere al gruppo predefinito selezionato per la configurazione SSO.
• Il gruppo padre SCIM predefinito può essere un gruppo di persone giuridiche. È consigliabile scegliere Una persona giuridica come gruppo predefinito se si dispone di modelli di fatturazione diversi impostati per gruppi diversi nell'account AB.
• Attualmente è supportata l'abilitazione di SCIM per una sola persona giuridica in un account Amazon Business.

Dopo aver identificato i gruppi SCIM predefiniti, passare alla pagina Impostazioni aziendali dell'account > Amazon Business > Identity Management (SCIM), immettere i dettagli e selezionare Attiva. È necessario completare questo passaggio prima di procedere al passaggio successivo.

Passaggio 3: Aggiungere Amazon Business dalla raccolta di applicazioni Microsoft Entra

Aggiungere Amazon Business dalla raccolta di applicazioni Microsoft Entra per iniziare a gestire il provisioning in Amazon Business. Se Amazon Business è stato configurato in precedenza per l'accesso Single Sign-On, è possibile usare la stessa applicazione. Tuttavia, si consiglia di creare un'app separata per il test iniziale dell'integrazione. Per altre informazioni su come aggiungere un'applicazione dalla raccolta, fare clic qui.

Passaggio 4: Definire chi è incluso nel processo di provisioning

Il servizio di provisioning di Microsoft Entra consente di delimitare chi viene fornito in base all'assegnazione all'applicazione o in base agli attributi degli utenti o dei gruppi. Se si sceglie di definire l'ambito dell'app in base all'assegnazione, è possibile utilizzare i passaggi per assegnare utenti e gruppi all'applicazione. Se si sceglie di definire l'ambito del provisioning in base esclusivamente agli attributi dell'utente o del gruppo, è possibile usare un filtro di ambito.

• Iniziare con pochi elementi. Eseguire il test con un piccolo set di utenti e gruppi prima di eseguire la distribuzione a tutti. Quando l'ambito per il provisioning è impostato su utenti e gruppi assegnati, è possibile controllarlo assegnando uno o due utenti o gruppi all'app. Quando l'ambito è impostato su tutti gli utenti e i gruppi, è possibile specificare un filtro di ambito basato su attributi.

• Se sono necessari ruoli aggiuntivi, è possibile aggiornare il manifesto dell'applicazione per aggiungere nuovi ruoli.

Passaggio 5: Configurare il provisioning utenti automatico per Amazon Business

Questa sezione descrive la procedura per configurare il servizio di provisioning di Microsoft Entra per creare, aggiornare e disabilitare utenti e/o gruppi in Amazon Business in base alle assegnazioni di utenti e/o gruppi in Microsoft Entra ID.

Per configurare il provisioning utenti automatico per Amazon Business in Microsoft Entra ID:

1. Accedi al centro di amministrazione di Microsoft Entra con almeno il ruolo di Amministratore di applicazione cloud.

2. Accedi alle Entra ID>applicazioni aziendali

   

3. Nell'elenco delle applicazioni selezionare Amazon Business.

   

4. Selezionare la scheda Provisioning.

   

5. Impostare Modalità di provisioning su Automatico.

   

6. Nella sezione Credenziali amministratore immettere l'URL del tenant di Amazon Business, Endpoint di autorizzazione. Selezionare Test connessione per assicurarsi che Microsoft Entra ID possa connettersi ad Amazon Business. Se la connessione non riesce, verificare che l'account Amazon Business abbia autorizzazioni di amministratore e riprovare.

   

   Per i valori url tenant e endpoint di autorizzazione , usare la tabella seguente.

   Paese/area geografica	URL tenant	Authorization endpoint (Endpoint di autorizzazione)
   Canada	https://na.business-api.amazon.com/scim/v2/	https://www.amazon.ca/b2b/abws/oauth?state=1& redirect_uri=https://portal.azure.com/TokenAuthorize& applicationId=amzn1.sp.solution.ee27ec8c-1ee9-4c6b-9e68-26bdc37479d3
   Germania	https://eu.business-api.amazon.com/scim/v2/	https://www.amazon.de/b2b/abws/oauth?state=1& redirect_uri=https://portal.azure.com/TokenAuthorize& applicationId=amzn1.sp.solution.ee27ec8c-1ee9-4c6b-9e68-26bdc37479d3
   Spagna	https://eu.business-api.amazon.com/scim/v2/	https://www.amazon.es/b2b/abws/oauth?state=1& redirect_uri=https://portal.azure.com/TokenAuthorize& applicationId=amzn1.sp.solution.ee27ec8c-1ee9-4c6b-9e68-26bdc37479d3
   Francia	https://eu.business-api.amazon.com/scim/v2/	https://www.amazon.fr/b2b/abws/oauth?state=1& redirect_uri=https://portal.azure.com/TokenAuthorize& applicationId=amzn1.sp.solution.ee27ec8c-1ee9-4c6b-9e68-26bdc37479d3
   GB/REGNO UNITO	https://eu.business-api.amazon.com/scim/v2/	https://www.amazon.co.uk/b2b/abws/oauth?state=1& redirect_uri=https://portal.azure.com/TokenAuthorize& applicationId=amzn1.sp.solution.ee27ec8c-1ee9-4c6b-9e68-26bdc37479d3
   India	https://eu.business-api.amazon.com/scim/v2/	https://www.amazon.in/b2b/abws/oauth?state=1& redirect_uri=https://portal.azure.com/TokenAuthorize& applicationId=amzn1.sp.solution.ee27ec8c-1ee9-4c6b-9e68-26bdc37479d3
   Italia	https://eu.business-api.amazon.com/scim/v2/	https://www.amazon.it/b2b/abws/oauth?state=1& redirect_uri=https://portal.azure.com/TokenAuthorize& applicationId=amzn1.sp.solution.ee27ec8c-1ee9-4c6b-9e68-26bdc37479d3
   Giappone	https://jp.business-api.amazon.com/scim/v2/	https://www.amazon.co.jp/b2b/abws/oauth?state=1& redirect_uri=https://portal.azure.com/TokenAuthorize& applicationId=amzn1.sp.solution.ee27ec8c-1ee9-4c6b-9e68-26bdc37479d3
   Messico	https://na.business-api.amazon.com/scim/v2/	https://www.amazon.com.mx/b2b/abws/oauth?state=1& redirect_uri=https://portal.azure.com/TokenAuthorize& applicationId=amzn1.sp.solution.ee27ec8c-1ee9-4c6b-9e68-26bdc37479d3
   Stati Uniti	https://na.business-api.amazon.com/scim/v2/	https://www.amazon.com/b2b/abws/oauth?state=1& redirect_uri=https://portal.azure.com/TokenAuthorize& applicationId=amzn1.sp.solution.ee27ec8c-1ee9-4c6b-9e68-26bdc37479d3

7. Nel campo Messaggio di posta elettronica di notifica immettere l'indirizzo di posta elettronica di una persona o un gruppo che riceverà le notifiche di errore relative al provisioning e selezionare la casella di controllo Invia una notifica di posta elettronica in caso di errore.

   

8. Seleziona Salva.

9. Nella sezione Mapping, selezionare Sincronizza utenti Microsoft Entra in Amazon Business.

10. Esamina gli attributi utente sincronizzati da Microsoft Entra ID ad Amazon Business nella sezione Attribute-Mapping. Gli attributi selezionati come proprietà corrispondenti vengono usati per trovare le corrispondenze con gli account utente in Amazon Business per le operazioni di aggiornamento. Se si sceglie di modificare l'attributo di destinazione corrispondente, è necessario assicurarsi che l'API Amazon Business supporti il filtro degli utenti in base a tale attributo. Selezionare il pulsante Salva per eseguire il commit delle modifiche.

    Attributo	TIPO	Supportato per il filtraggio	Richiesto da Amazon Business
    nome utente	Stringa	✓	✓
    attivo	Booleano
    email[type eq "work"].valore	Stringa
    nome.nomeDato	Stringa
    nome.cognome	Stringa
    Id esterno	Stringa
    ruoli.	Elenco di appRoleAssignments [appRoleAssignments]

11. Nella sezione Mapping, selezionare Sincronizza gruppi Microsoft Entra in Amazon Business.

12. Esaminare gli attributi del gruppo sincronizzati da Microsoft Entra ID a Amazon Business nella sezione Mapping attributi. Gli attributi selezionati come proprietà corrispondenti vengono usati per trovare le corrispondenze con i gruppi in Amazon Business per le operazioni di aggiornamento. Selezionare il pulsante Salva per eseguire il commit delle modifiche.

    Attributo	TIPO	Supportato per il filtraggio	Richiesto da Amazon Business
    nome visualizzato	Stringa	✓	✓
    membri	Riferimento

13. Per configurare i filtri di ambito, vedere le istruzioni seguenti fornite nell'articolo Filtro di ambito.

14. Per abilitare il servizio di provisioning di Microsoft Entra per Amazon Business, impostare Stato del provisioning su Sì nella sezione Impostazioni.

    

15. Definire gli utenti e/o i gruppi di cui effettuare il provisioning in Amazon Business scegliendo i valori appropriati in Ambito nella sezione Impostazioni.

    

16. Quando sei pronto a configurare, seleziona Salva.

    

L'operazione avvia il ciclo di sincronizzazione iniziale di tutti gli utenti e i gruppi definiti in Ambito nella sezione Impostazioni. Il ciclo iniziale richiede più tempo rispetto ai cicli successivi, che si verificano approssimativamente ogni 40 minuti, purché il servizio di provisioning di Microsoft Entra sia in esecuzione.

Passaggio 6: monitorare la distribuzione

Dopo aver configurato il provisioning, usare le risorse seguenti per monitorare la distribuzione:

1. Usare i log di provisioning per determinare gli utenti di cui è stato eseguito il provisioning correttamente o in modo non riuscito
2. Controllare l'indicatore di stato per visualizzare lo stato del ciclo di provisioning e quanto manca al completamento
3. Se la configurazione del provisioning sembra essere in uno stato di malfunzionamento, l'applicazione entra in quarantena. Per saperne di più sugli stati di quarantena, consulta l'articolo relativo al provisioning delle applicazioni con stato di quarantena.

Limitazioni delle funzionalità

• La struttura piatta viene creata nell'account Amazon Business, ovvero tutti i gruppi di cui è stato eseguito il push si trovano allo stesso livello nel gruppo SCIM predefinito. La struttura o la gerarchia annidata non è supportata.
• I nomi dei gruppi sono gli stessi nell'account Azure e Amazon Business.
• Man mano che vengono creati nuovi gruppi nell'account Amazon Business, gli amministratori devono riconfigurare le impostazioni aziendali (ad esempio, attivare l'acquisto, aggiornare le impostazioni condivise, aggiungere criteri di acquisto guidati e così via) per i nuovi gruppi in base alle esigenze.
• L'eliminazione di gruppi obsoleti o la rimozione di utenti dai vecchi gruppi in Amazon Business comporta la perdita di visibilità sugli ordini effettuati con il gruppo precedente, quindi è consigliabile
  • Non eliminare i gruppi/assegnazioni precedenti e
  • Disattivare l'acquisto per i gruppi precedenti.
• Email/Username Update : l'aggiornamento della posta elettronica e/o del nome utente tramite SCIM non è attualmente supportato.
• Sincronizzazione password: la sincronizzazione password non è supportata.
• Requisito SSO: mentre l'app Amazon Business consente l'attivazione del provisioning SCIM senza SSO, gli utenti dotati di provisioning richiedono l'autenticazione SSO per poter accedere ad Amazon Business.
• Account multi-entità giuridiche (MLE): attualmente non supportiamo l'abilitazione di SCIM per più di una entità legale in un account Amazon Business.
• Quando si effettua il provisioning di un gruppo con lo stesso nome di quello già esistente in Amazon Business, questi gruppi vengono collegati automaticamente (viene creato un nuovo gruppo in Amazon Business).

Suggerimenti per la risoluzione dei problemi

• Se gli amministratori di Amazon Business hanno effettuato l'accesso solo tramite SSO o non conoscono le password, possono usare il flusso password dimenticato per reimpostare la password e successivamente accedere ad Amazon Business.
• Se i ruoli Amministratore e Requisitioner sono già stati applicati al cliente in un gruppo, l'assegnazione di ruoli Finance o Tech non comporterà aggiornamenti sul lato Amazon Business.
• I clienti con account MASE (account multipli con la stessa email) che eliminano uno dei propri account possono riscontrare errori di account inesistente durante la creazione di nuovi utenti per un breve periodo di tempo (24-48 ore).
• I clienti non possono essere rimossi immediatamente tramite Provision on Demand. Il provisioning deve essere attivato e la rimozione avviene 40 minuti dopo il compimento dell'azione.

Altre risorse

• Gestione del provisioning degli account utente nelle applicazioni aziendali
• Che cos'è l'accesso alle applicazioni e Single Sign-On con Microsoft Entra ID?

Contenuto correlato

• Informazioni su come esaminare i log e ottenere report sulle attività di provisioning