次の方法で共有

Microsoft Entra ID を使用した自動ユーザー プロビジョニング用に Amazon Business を構成する

この記事では、自動ユーザー プロビジョニングを構成するために Amazon Business と Microsoft Entra ID の両方で実行する必要がある手順について説明します。 構成が完了すると、Microsoft Entra ID は Microsoft Entra プロビジョニング サービスを使用して、Amazon Business に対してユーザーとグループの自動プロビジョニングおよび自動プロビジョニング解除を行うようになります。 このサービスが実行する内容、しくみ、よく寄せられる質問の重要な詳細については、「Microsoft Entra ID による SaaS アプリケーションへのユーザー プロビジョニングとプロビジョニング解除の自動化」を参照してください。

サポートされる機能

  • Amazon Business でユーザーを作成します。
  • アクセスが不要になった場合は、Amazon Business のユーザーを削除します。
  • Amazon Business 役割をユーザーに割り当てます。
  • Microsoft Entra ID と Amazon Business の間でユーザー属性の同期を維持します。
  • Amazon Business でグループとグループ メンバーシップをプロビジョニングします。
  • Amazon Business にシングル サインオンします (推奨)。

前提条件

この記事で説明するシナリオでは、次の前提条件が既にあることを前提としています。

手順 1:プロビジョニングのデプロイを計画する

  1. プロビジョニング サービスのしくみを確認します。
  2. プロビジョニングの範囲に含めるユーザーを決定します。
  3. Microsoft Entra ID と Amazon Business の間でマップするデータを決定します。

手順 2: Microsoft Entra ID によるプロビジョニングをサポートするように Amazon Business を構成する

プロビジョニング サービスを構成して有効にするには、ユーザーとグループの両方の既定のグループを特定する必要があります。 次のことをお勧めします

  • 最小限の特権の原則に従い、既定のユーザー グループに対するアクセス許可のみを "要求者" に付与します。
  • このドキュメント全体でグループを簡単に参照するには、次のセクションで参照されているグループの名前付け規則に従ってください。
    • 既定の SCIM 親グループ
      • これは、Amazon Business の SCIM ディレクトリのルートです。 すべての SCIM グループは、この既定のグループの直下に置かれます。 既存のグループを既定の SCIM 親グループとして選択できます。
    • 既定の SCIM ユーザー グループ
      • Amazon Business アプリに割り当てられているユーザーは、既定で、要求者ロールを持つこのグループに配置されます。 このグループは、既定の SCIM 親グループと同じレベルにすることをお勧めします。
      • ユーザーがグループの割り当てなしでプロビジョニングされている場合、既定では、ユーザーは要求者ロールを使用してこのグループに配置されます。
      • 非アクティブ化されたユーザーは、このグループに残ります。 そのため、このグループには、要求者以外のロールを使用しないことをお勧めします。

  • 既定の SCIM 親グループは、SSO 構成用に選んだ既定のグループと同じにすることができます。
  • 既定の SCIM 親グループは [法人] グループにすることができます。 AB アカウント内のグループごとに異なる請求書テンプレートを設定している場合は、既定のグループとして [法人] を選ぶことをお勧めします。
  • 現在、Amazon Business アカウント内の 1 つの法人に対してのみ、SCIM を有効にすることがサポートされています。

既定の SCIM グループが特定されたら、Amazon Business アカウント > ビジネス設定 > IDENTITY Management (SCIM) ページに移動し、詳細を入力して [アクティブ化] を選択します。 次の手順に進む前に、この手順を完了する必要があります。

Microsoft Entra アプリケーション ギャラリーから Amazon Business を追加して、Amazon Business へのプロビジョニングの管理を開始します。 以前に SSO 用に Amazon Business を設定している場合は、その同じアプリケーションを使用することができます。 ただし、統合を初めてテストするときは、別のアプリを作成することをお勧めします。 ギャラリーからアプリケーションを追加する方法の詳細については、こちらを参照してください。

手順 4: プロビジョニングのスコープに含まれるユーザーを定義する

Microsoft Entra プロビジョニング サービスを使用すると、アプリケーションへの割り当てに基づいて、またはユーザーまたはグループの属性に基づいてプロビジョニングされるユーザーをスコープできます。 割り当てに基づいてアプリにプロビジョニングされるユーザーのスコープを設定する場合は、 手順を使用してユーザーとグループをアプリケーションに割り当てることができます。 ユーザーまたはグループの属性のみに基づいてプロビジョニングする対象を決定する場合、スコープフィルターを使用できます。

  • 小さいところから始めましょう。 全員にロールアウトする前に、少数のユーザーとグループでテストします。 プロビジョニングのスコープが割り当て済みユーザーとグループに設定される場合、これを制御するには、1 つまたは 2 つのユーザーまたはグループをアプリに割り当てます。 スコープがすべてのユーザーとグループに設定されている場合は、属性ベースのスコープ フィルターを指定できます。

  • 追加のロールが必要な場合は、 アプリケーション マニフェストを更新 して新しいロールを追加できます。

手順 5: Amazon Business への自動ユーザー プロビジョニングを構成する

このセクションでは、Microsoft Entra ID でのユーザーやグループの割り当てに基づいて Amazon Business のユーザーやグループを作成、更新、無効化するよう、 Microsoft Entra プロビジョニング サービスを構成する手順について説明します。

Microsoft Entra ID で Amazon Business の自動ユーザー プロビジョニングを構成するには:

  1. クラウド アプリケーション管理者以上として Microsoft Entra 管理センターにサインインします。

  2. Entra ID>企業向けアプリケーションを参照する

    [エンタープライズ アプリケーション] ブレードのスクリーンショット。

  3. アプリケーションの一覧で、 [Amazon Business] を選択します。

    アプリケーション リストにある Amazon Business のリンクのスクリーンショット。

  4. [プロビジョニング] タブを選択します。

    [プロビジョニング] タブのスクリーンショット。

  5. [プロビジョニング モード][自動] に設定します。

    [プロビジョニング] タブの [自動] のスクリーンショット。

  6. [管理者資格情報] セクションで、Amazon Business のテナント URL、承認エンドポイントを入力します。 [ テスト接続] を選択して、Microsoft Entra ID が Amazon Business に接続できることを確認します。 接続できない場合は、使用中の Amazon Business アカウントに管理者アクセス許可があることを確認してから、もう一度試します。

    トークンのスクリーンショット。

    テナント URL承認エンドポイントの値については、次の表を使用します。

    国/地域 テナントの URL Authorization endpoint (承認エンドポイント)
    カナダ https://na.business-api.amazon.com/scim/v2/ https://www.amazon.ca/b2b/abws/oauth?state=1&redirect_uri=https://portal.azure.com/TokenAuthorize&applicationId=amzn1.sp.solution.ee27ec8c-1ee9-4c6b-9e68-26bdc37479d3
    ドイツ https://eu.business-api.amazon.com/scim/v2/ https://www.amazon.de/b2b/abws/oauth?state=1&redirect_uri=https://portal.azure.com/TokenAuthorize&applicationId=amzn1.sp.solution.ee27ec8c-1ee9-4c6b-9e68-26bdc37479d3
    スペイン https://eu.business-api.amazon.com/scim/v2/ https://www.amazon.es/b2b/abws/oauth?state=1&redirect_uri=https://portal.azure.com/TokenAuthorize&applicationId=amzn1.sp.solution.ee27ec8c-1ee9-4c6b-9e68-26bdc37479d3
    フランス https://eu.business-api.amazon.com/scim/v2/ https://www.amazon.fr/b2b/abws/oauth?state=1&redirect_uri=https://portal.azure.com/TokenAuthorize&applicationId=amzn1.sp.solution.ee27ec8c-1ee9-4c6b-9e68-26bdc37479d3
    イギリス https://eu.business-api.amazon.com/scim/v2/ https://www.amazon.co.uk/b2b/abws/oauth?state=1&redirect_uri=https://portal.azure.com/TokenAuthorize&applicationId=amzn1.sp.solution.ee27ec8c-1ee9-4c6b-9e68-26bdc37479d3
    インド https://eu.business-api.amazon.com/scim/v2/ https://www.amazon.in/b2b/abws/oauth?state=1&redirect_uri=https://portal.azure.com/TokenAuthorize&applicationId=amzn1.sp.solution.ee27ec8c-1ee9-4c6b-9e68-26bdc37479d3
    イタリア https://eu.business-api.amazon.com/scim/v2/ https://www.amazon.it/b2b/abws/oauth?state=1&redirect_uri=https://portal.azure.com/TokenAuthorize&applicationId=amzn1.sp.solution.ee27ec8c-1ee9-4c6b-9e68-26bdc37479d3
    日本 https://jp.business-api.amazon.com/scim/v2/ https://www.amazon.co.jp/b2b/abws/oauth?state=1&redirect_uri=https://portal.azure.com/TokenAuthorize&applicationId=amzn1.sp.solution.ee27ec8c-1ee9-4c6b-9e68-26bdc37479d3
    メキシコ https://na.business-api.amazon.com/scim/v2/ https://www.amazon.com.mx/b2b/abws/oauth?state=1&redirect_uri=https://portal.azure.com/TokenAuthorize&applicationId=amzn1.sp.solution.ee27ec8c-1ee9-4c6b-9e68-26bdc37479d3
    アメリカ https://na.business-api.amazon.com/scim/v2/ https://www.amazon.com/b2b/abws/oauth?state=1&redirect_uri=https://portal.azure.com/TokenAuthorize&applicationId=amzn1.sp.solution.ee27ec8c-1ee9-4c6b-9e68-26bdc37479d3

  7. [通知用メール] フィールドに、プロビジョニングのエラー通知を受け取るユーザーまたはグループの電子メール アドレスを入力して、 [エラーが発生したときにメール通知を送信します] チェック ボックスをオンにします。

    通知用メールのスクリーンショット。

  8. 保存を選択します。

  9. [マッピング] セクションで、[Synchronize Microsoft Entra users to Amazon Business] (Microsoft Entra ユーザーを Amazon Business に同期する) を選択します。

  10. [属性マッピング] セクションで、Microsoft Entra ID から Amazon Business に同期されるユーザー属性を確認します。 [照合] プロパティとして選択されている属性は、更新操作で Amazon Business のユーザー アカウントとの照合に使用されます。 一致するターゲット属性を変更する場合は、Amazon Business API がその属性に基づくユーザーのフィルター処理をサポートしていることを確認する必要があります。 [保存] ボタンをクリックして変更をコミットします。

    属性 タイプ フィルター処理のサポート Amazon Business で必須
    ユーザー名
    活動中 ボーリアン
    emails[type eq "work"].value
    name.givenName
    name.familyName
    externalId
    roles appRoleAssignments の一覧 [appRoleAssignments]

  11. [マッピング] セクションで、[Synchronize Microsoft Entra groups to Amazon Business] (Microsoft Entra グループを Amazon Business に同期する) を選択します。

  12. [属性マッピング] セクションで、Microsoft Entra ID から Amazon Business に同期されるグループ属性を確認します。 [照合] プロパティとして選択されている属性は、更新操作で Amazon Business のグループとの照合に使用されます。 [保存] ボタンをクリックして変更をコミットします。

    属性 タイプ フィルター処理のサポート Amazon Business で必須
    displayName
    members 関連項目

  13. スコープ フィルターを構成するには、スコープ フィルターに関する記事に記載されている次の手順 参照してください。

  14. Amazon Business に対して Microsoft Entra プロビジョニング サービスを有効にするには、[設定] セクションで、[プロビジョニングの状態][オン] に変更します。

    [プロビジョニング状態] トグルのスクリーンショット。

  15. [設定] セクションの [スコープ] で目的の値を選択して、Amazon Business にプロビジョニングするユーザー、グループ、またはこれらの両方を定義します。

    プロビジョニング スコープのスクリーンショット。

  16. プロビジョニングの準備ができたら、 [保存] を選択します。

    プロビジョニング設定の保存のスクリーンショット。

この操作により、 [設定] セクションの [スコープ] で定義したすべてのユーザーとグループの初期同期サイクルが開始されます。 初期サイクルは後続の同期よりも実行に時間がかかります。後続のサイクルは、Microsoft Entra のプロビジョニング サービスが実行されている限り約 40 分ごとに実行されます。

手順 6:デプロイを監視する

プロビジョニングを構成したら、次のリソースを使用してデプロイを監視します。

  1. プロビジョニング ログを使用して、どのユーザーが正常にプロビジョニングされたか、または正常にプロビジョニングされなかったかを判断する
  2. 進行状況バーを確認して、プロビジョニング サイクルの状態と完了までの時間を確認します
  3. プロビジョニング構成が異常な状態になったと考えられる場合、アプリケーションは検疫されます。 検疫状態についての詳細は、アプリケーションプロビジョニングの隔離状態に関する記事をご覧ください。

機能の制限

  • Amazon Business アカウントにフラット構造が作成されます。つまり、プッシュされたグループはすべて、既定の SCIM グループ配下の同じレベルに配置されます。 入れ子になった構造/階層はサポートされていません。
  • グループ名は、Azure アカウントと Amazon Business アカウントで同じです。
  • Amazon Business アカウントで新しいグループが作成されると、管理者は必要に応じて新しいグループのビジネス設定 (購入の有効化、共有設定の更新、ガイド付き購入ポリシーの追加など) を再構成する必要があります。
  • 古いグループを削除する、または Amazon Business の古いグループからユーザーを削除すると、そのグループで行われた注文に関する情報の可視性を失うことになるため、慎重に対応することをお勧めします。
    • 古いグループ/割り当ては削除されず、
    • 古いグループでの購入が無効化されます。
  • 電子メール/ユーザー名の更新 - 現時点では、SCIM を介した電子メールやユーザー名の更新はサポートされていません。
  • パスワード同期 - パスワード同期はサポートされていません。
  • SSO 要件 - Amazon Business アプリでは SSO を使用せずに SCIM プロビジョニングをアクティブ化することができますが、プロビジョニングされたユーザーが Amazon Business にアクセスするには SSO 認証が必要です。
  • 複数法人 (MLE) アカウント - 現在、Amazon Business アカウント内の複数の法人に対する SCIM の有効化はサポートされていません。
  • Amazon Business の既存のグループと同じ名前のグループをプロビジョニングすると、これらのグループは自動的にリンクされます (Amazon Business で新しいグループが作成されます)。

トラブルシューティングのヒント

  • Amazon Business 管理者が、SSO のみを使用してログインしているか、パスワードを忘れた場合は、パスワードを忘れた場合のフローを使用してパスワードをリセットした後、Amazon Business にサインインできます。
  • 管理者ロールと要求者ロールがグループ内の顧客に既に適用されている場合、Finance ロールまたは Tech ロールを割り当てても、Amazon Business 側では更新されません。
  • MASE アカウント (同じメール アドレスの複数アカウント) を持っていて、そのうちの 1 つを削除したユーザーには、新しいユーザーをプロビジョニングするときにアカウントが存在しないというエラーが短期間 (24 から 48 時間) 表示されることがあります。
  • 顧客は、オンデマンドプロビジョニングを使用してすぐに削除することはできません。 プロビジョニングを有効にする必要があります。削除は、アクションが実行されてから 40 分後に行われます。

その他のリソース

関連コンテンツ