Esercitazione: Configurare Amazon Business per il provisioning utenti automatico

Questa esercitazione descrive i passaggi da eseguire sia in Amazon Business che in Microsoft Entra ID per configurare il provisioning utenti automatico. Se configurato, Microsoft Entra ID effettua automaticamente il provisioning e il deprovisioning di utenti e gruppi in Amazon Business usando il servizio di provisioning di Microsoft Entra. Per informazioni dettagliate sul funzionamento di questo servizio e domande frequenti, vedere Automatizzare il provisioning e il deprovisioning utenti in applicazioni SaaS con Microsoft Entra ID.

Funzionalità supportate

• Creare utenti in Amazon Business.
• Rimuovere gli utenti in Amazon Business quando non richiedono più l'accesso.
• Assegnare ruoli Amazon Business all'utente.
• Mantenere sincronizzati gli attributi utente tra Microsoft Entra ID e Amazon Business.
• Effettuare il provisioning di gruppi e appartenenze a gruppi in Amazon Business.
• Accesso Single Sign-On a Amazon Business (scelta consigliata).

Prerequisiti

Per lo scenario descritto in questa esercitazione si presuppone che l'utente disponga dei prerequisiti seguenti:

• Un tenant di Microsoft Entra.
• Uno dei ruoli seguenti: Amministratore di applicazioni, Amministratore applicazione cloud o Proprietario dell'applicazione.
• Un account Amazon Business.
• Un account utente in Amazon Business con autorizzazioni di amministratore (amministratore per tutti i gruppi di entità legali nell'account Amazon Business).

Passaggio 1: Pianificare la distribuzione del provisioning

1. Vedere le informazioni su come funziona il servizio di provisioning.
2. Determinare gli utenti che verranno inclusi nell'ambito per il provisioning.
3. Determinare per quali dati eseguire il mapping tra Microsoft Entra ID e Amazon Business.

Passaggio 2: Configurare Amazon Business per supportare il provisioning con Microsoft Entra ID

Prima di configurare e abilitare il servizio di provisioning, è necessario identificare un gruppo predefinito per utenti e gruppi. È consigliabile

• Seguire il principio dei privilegi minimi avendo le autorizzazioni REQUISITIONER solo per il gruppo di utenti predefinito.
• Seguire la convenzione di denominazione del gruppo a cui si fa riferimento di seguito per semplificare il riferimento ai gruppi in questo documento.
  • Gruppo padre SCIM predefinito
    • Questa è la radice della directory SCIM in AmazonBusiness. Tutti i gruppi SCIM vengono inseriti direttamente in questo gruppo predefinito. È possibile selezionare un gruppo esistente come gruppo padre SCIM predefinito.
  • Gruppo utenti SCIM predefinito
    • Gli utenti assegnati all'app Amazon Business verranno inseriti in questo gruppo per impostazione predefinita con un ruolo Requisitioner. È consigliabile avere questo gruppo allo stesso livello del gruppo padre SCIM predefinito.
    • Se viene effettuato il provisioning di un utente senza un'assegnazione di gruppo, verrà inserito in questo gruppo per impostazione predefinita con un ruolo Requisitioner.
    • Qualsiasi utente disattivato rimarrà in questo gruppo. Di conseguenza, è consigliabile non usare alcun ruolo diverso da Requisitioner per questo gruppo.

Nota

• Il gruppo padre SCIM predefinito può corrispondere al gruppo predefinito selezionato per la configurazione SSO.
• Il gruppo padre SCIM predefinito può essere un gruppo di persone giuridiche. È consigliabile scegliere Una persona giuridica come gruppo predefinito se si dispone di modelli di fatturazione diversi impostati per gruppi diversi nell'account AB.
• Attualmente è supportata l'abilitazione di SCIM per una sola persona giuridica in un account Amazon Business.

Dopo aver identificato i gruppi SCIM predefiniti, andare alla pagina >Impostazioni aziendali> Identity Management (SCIM) dell'account Amazon Business, immettere i dettagli e fare clic su Attiva. È necessario completare questo passaggio prima di procedere al passaggio successivo.

Passaggio 3: Aggiungere Amazon Business dalla raccolta di applicazioni Microsoft Entra

Aggiungere Amazon Business dalla raccolta di applicazioni Microsoft Entra per iniziare a gestire il provisioning in Amazon Business. Se Amazon Business è stato configurato in precedenza per l'accesso Single Sign-On, è possibile usare la stessa applicazione. Tuttavia, si consiglia di creare un'app separata per il test iniziale dell'integrazione. Per altre informazioni su come aggiungere un'applicazione dalla raccolta, fare clic qui.

Passaggio 4: Definire gli utenti che verranno inclusi nell'ambito per il provisioning

Il servizio di provisioning di Microsoft Entra consente di definire l'ambito per gli utenti di cui verrà effettuato il provisioning in base all'assegnazione all'applicazione e/o in base agli attributi dell'utente o del gruppo. Se si sceglie di definire l'ambito degli utenti di cui verrà eseguito il provisioning per l'app in base all'assegnazione, è possibile seguire questa procedura per assegnare utenti e gruppi all'applicazione. Se si sceglie di definire l'ambito degli utenti di cui verrà eseguito il provisioning esclusivamente in base agli attributi dell'utente o del gruppo, è possibile usare un filtro di ambito come descritto qui.

• Quando si assegnano utenti e gruppi ad Amazon Business, è necessario selezionare un ruolo diverso da Accesso predefinito. Gli utenti con il ruolo Accesso predefinito vengono esclusi dal provisioning e verranno contrassegnati come non autorizzati nei log di provisioning. Se l'unico ruolo disponibile nell'applicazione è il ruolo di accesso predefinito, è possibile aggiornare il manifesto dell'applicazione per aggiungere altri ruoli.
• Iniziare con pochi elementi. Eseguire il test con un piccolo set di utenti e gruppi prima di eseguire la distribuzione a tutti. Quando l'ambito per il provisioning è impostato su utenti e gruppi assegnati, è possibile controllarlo assegnando uno o due utenti o gruppi all'app. Quando l'ambito è impostato su tutti gli utenti e i gruppi, è possibile specificare un filtro di ambito basato su attributi.
• È possibile aggiornare il manifesto dell'applicazione per aggiungere ruoli Amazon Business. L'utente può avere uno dei ruoli seguenti:
  • Requisitioner (per effettuare ordini o inviare richieste di ordine per l'approvazione).
  • Amministratore (per gestire persone, gruppi, ruoli e approvazioni. Visualizza ordini. Eseguire i report degli ordini)
  • Finanza (per accedere a fatture, note di credito, analisi e cronologia degli ordini).
  • Tecnologia (per configurare le integrazioni di sistema con i programmi usati al lavoro).

Passaggio 5: Configurare il provisioning utenti automatico in Amazon Business

Questa sezione descrive la procedura per configurare il servizio di provisioning di Microsoft Entra per creare, aggiornare e disabilitare utenti e/o gruppi in Amazon Business in base alle assegnazioni di utenti e/o gruppi in Microsoft Entra ID.

Per configurare il provisioning utenti automatico per Amazon Business in Microsoft Entra ID:

1. Accedere all'Interfaccia di amministrazione di Microsoft Entra almeno come Amministratore applicazione cloud.

2. Passare a Identità>Applicazioni>Applicazioni Enterprise

   

3. Nell'elenco delle applicazioni selezionare Amazon Business.

   

4. Selezionare la scheda Provisioning.

   

5. Impostare Modalità di provisioning su Automatico.

   

6. Nella sezione Credenziali amministratore immettere l'URL del tenant di Amazon Business, Endpoint di autorizzazione. Fare clic su Verifica connessione per verificare che Microsoft Entra ID possa connettersi a Amazon Business. Se la connessione non riesce, verificare che l'account Amazon Business abbia autorizzazioni di amministratore e riprovare.

   

   Per i valori dell’URL del tenant e dell'Endpoint di autorizzazione, usare la tabella seguente

   Country	URL tenant	Authorization endpoint (Endpoint di autorizzazione)
   Canada	https://na.business-api.amazon.com/scim/v2/	https://www.amazon.ca/b2b/abws/oauth?state=1&redirect_uri=https://portal.azure.com/TokenAuthorize&applicationId=amzn1.sp.solution.ee27ec8c-1ee9-4c6b-9e68-26bdc37479d3
   Germania	https://eu.business-api.amazon.com/scim/v2/	https://www.amazon.de/b2b/abws/oauth?state=1&redirect_uri=https://portal.azure.com/TokenAuthorize&applicationId=amzn1.sp.solution.ee27ec8c-1ee9-4c6b-9e68-26bdc37479d3
   Spagna	https://eu.business-api.amazon.com/scim/v2/	https://www.amazon.es/b2b/abws/oauth?state=1&redirect_uri=https://portal.azure.com/TokenAuthorize&applicationId=amzn1.sp.solution.ee27ec8c-1ee9-4c6b-9e68-26bdc37479d3
   Francia	https://eu.business-api.amazon.com/scim/v2/	https://www.amazon.fr/b2b/abws/oauth?state=1&redirect_uri=https://portal.azure.com/TokenAuthorize&applicationId=amzn1.sp.solution.ee27ec8c-1ee9-4c6b-9e68-26bdc37479d3
   GB/UK	https://eu.business-api.amazon.com/scim/v2/	https://www.amazon.co.uk/b2b/abws/oauth?state=1&redirect_uri=https://portal.azure.com/TokenAuthorize&applicationId=amzn1.sp.solution.ee27ec8c-1ee9-4c6b-9e68-26bdc37479d3
   India	https://eu.business-api.amazon.com/scim/v2/	https://www.amazon.in/b2b/abws/oauth?state=1&redirect_uri=https://portal.azure.com/TokenAuthorize&applicationId=amzn1.sp.solution.ee27ec8c-1ee9-4c6b-9e68-26bdc37479d3
   Italia	https://eu.business-api.amazon.com/scim/v2/	https://www.amazon.it/b2b/abws/oauth?state=1&redirect_uri=https://portal.azure.com/TokenAuthorize&applicationId=amzn1.sp.solution.ee27ec8c-1ee9-4c6b-9e68-26bdc37479d3
   Giappone	https://jp.business-api.amazon.com/scim/v2/	https://www.amazon.co.jp/b2b/abws/oauth?state=1&redirect_uri=https://portal.azure.com/TokenAuthorize&applicationId=amzn1.sp.solution.ee27ec8c-1ee9-4c6b-9e68-26bdc37479d3
   Messico	https://na.business-api.amazon.com/scim/v2/	https://www.amazon.com.mx/b2b/abws/oauth?state=1&redirect_uri=https://portal.azure.com/TokenAuthorize&applicationId=amzn1.sp.solution.ee27ec8c-1ee9-4c6b-9e68-26bdc37479d3
   Stati Uniti	https://na.business-api.amazon.com/scim/v2/	https://www.amazon.com/b2b/abws/oauth?state=1&redirect_uri=https://portal.azure.com/TokenAuthorize&applicationId=amzn1.sp.solution.ee27ec8c-1ee9-4c6b-9e68-26bdc37479d3

7. Nel campo Messaggio di posta elettronica di notifica immettere l'indirizzo di posta elettronica di una persona o un gruppo che riceverà le notifiche di errore relative al provisioning e selezionare la casella di controllo Invia una notifica di posta elettronica in caso di errore.

   

8. Seleziona Salva.

9. Nella sezione Mapping, selezionare Sincronizza utenti Microsoft Entra in Amazon Business.

10. Esaminare gli attributi utente sincronizzati da Microsoft Entra ID a Amazon Business nella sezione Mapping attributi. Gli attributi selezionati come proprietà corrispondenti vengono usati per trovare le corrispondenze con gli account utente in Amazon Business per le operazioni di aggiornamento. Se si sceglie di modificare l'attributo di destinazione corrispondente, sarà necessario assicurarsi che l’API Amazon Business supporti il filtro degli utenti basato su tale attributo. Selezionare il pulsante Salva per eseguire il commit delle modifiche.

    Attributo	Type	Supportato per il filtro	Richiesto da Amazon Business
    userName	String	✓	✓
    active	Booleano
    emails[type eq "work"].value	String
    name.givenName	String
    name.familyName	String
    externalId	String
    ruoli.	Elenco di appRoleAssignments [appRoleAssignments]

11. Nella sezione Mapping, selezionare Sincronizza gruppi Microsoft Entra in Amazon Business.

12. Esaminare gli attributi gruppo sincronizzati da Microsoft Entra ID a Asana nella sezione Mapping attributi. Gli attributi selezionati come proprietà corrispondenti vengono usati per trovare le corrispondenze con i gruppi in Amazon Business per le operazioni di aggiornamento. Selezionare il pulsante Salva per eseguire il commit delle modifiche.

    Attributo	Type	Supportato per il filtro	Richiesto da Amazon Business
    displayName	String	✓	✓
    membri	Riferimento

13. Per configurare i filtri di ambito, fare riferimento alle istruzioni fornite nell'esercitazione sui filtri per la definizione dell'ambito.

14. Per abilitare il servizio di provisioning di Microsoft Entra per Amazon Business, impostare Stato del provisioning su Sì nella sezione Impostazioni.

    

15. Definire gli utenti e/o i gruppi di cui effettuare il provisioning in Amazon Business scegliendo i valori appropriati in Ambito nella sezione Impostazioni.

    

16. Quando si è pronti per effettuare il provisioning, fare clic su Salva.

    

L'operazione avvia il ciclo di sincronizzazione iniziale di tutti gli utenti e i gruppi definiti in Ambito nella sezione Impostazioni. Il ciclo di sincronizzazione iniziale richiede più tempo dei cicli successivi, che verranno eseguiti ogni 40 minuti circa quando il servizio di provisioning di Microsoft Entra è in esecuzione.

Passaggio 6: Monitorare la distribuzione

Dopo aver configurato il provisioning, usare le risorse seguenti per monitorare la distribuzione:

• Usare i log di provisioning per determinare gli utenti di cui è stato eseguito il provisioning con esito positivo o negativo.
• Controllare l'indicatore di stato per visualizzare lo stato del ciclo di provisioning e quanto manca al completamento
• Se la configurazione del provisioning sembra essere in uno stato non integro, l'applicazione entra in quarantena. Per altre informazioni sugli stati di quarantena, fare clic qui.

Limitazioni delle funzionalità

• La struttura piatta viene creata nell'account Amazon Business, ovvero tutti i gruppi di cui è stato eseguito il push si trovano allo stesso livello nel gruppo SCIM predefinito. La struttura o la gerarchia annidata non è supportata.
• I nomi dei gruppi saranno uguali nell'account Azure e Amazon Business.
• Man mano che verranno creati nuovi gruppi nell'account Amazon Business, gli amministratori devono riconfigurare le impostazioni aziendali (ad esempio, attivare l'acquisto, aggiornare le impostazioni condivise, aggiungere criteri di acquisto guidati e così via) per i nuovi gruppi in base alle esigenze.
• L'eliminazione di gruppi obsoleti o la rimozione di utenti dai vecchi gruppi in Amazon Business comporta la perdita di visibilità sugli ordini effettuati con il gruppo precedente, di conseguenza è consigliabile
  • Non eliminare i gruppi/assegnazioni precedenti e
  • Disattivare l'acquisto per i gruppi precedenti.
• Email/Username Update : l'aggiornamento dell’e-mail e/o del nome utente tramite SCIM non è attualmente supportato.
• Sincronizzazione password: la sincronizzazione password non è supportata.
• Requisito SSO: mentre l'app Amazon Business consente l'attivazione del provisioning SCIM senza SSO, gli utenti con provisioning richiedono l'autenticazione SSO per accedere ad Amazon Business.
• Account MLE (Multi-Legal Entity): attualmente non è supportata l'abilitazione di SCIM per più di una persona giuridica in un account Amazon Business.
• Quando si effettua il provisioning di un gruppo con lo stesso nome di quello già esistente in Amazon Business, questi gruppi verranno collegati automaticamente (il nuovo gruppo verrà creato in Amazon Business).

Suggerimenti per la risoluzione dei problemi

• Se gli amministratori di Amazon Business hanno effettuato l'accesso solo tramite SSO o non conoscono le password, possono usare il flusso password dimenticato per reimpostare la password e successivamente accedere ad Amazon Business.
• Se i ruoli Amministratore e Requisitioner sono già stati applicati al cliente in un gruppo, l'assegnazione di ruoli Finance o Tech non comporterà aggiornamenti sul lato Amazon Business.
• I clienti con account MASE (più account stessi e-mail) che eliminano uno dei propri account possono visualizzare gli errori che l'account non esiste durante il provisioning di nuovi utenti per un breve periodo di tempo (24-48 ore).
• I clienti non possono essere rimossi immediatamente tramite Provision on Demand. Il provisioning deve essere attivato e la rimozione avrà luogo 40 minuti dopo l'esecuzione dell'azione.

Altre risorse

• Gestione del provisioning degli account utente per app aziendali
• Che cosa sono l'accesso alle applicazioni e l'accesso Single Sign-On con Microsoft Entra ID?

Passaggi successivi

• Informazioni su come esaminare i log e ottenere report sulle attività di provisioning