Share via

Zelfstudie: Amazon Business configureren voor automatische inrichting van gebruikers

  • Artikel

In deze zelfstudie worden de stappen beschreven die u moet uitvoeren in zowel Amazon Business als Microsoft Entra ID voor het configureren van automatische inrichting van gebruikers. Wanneer microsoft Entra ID is geconfigureerd, worden gebruikers en groepen automatisch ingericht en ongedaan gemaakt voor Amazon Business met behulp van de Microsoft Entra-inrichtingsservice. Voor belangrijke informatie over wat deze service doet, hoe deze werkt en veelgestelde vragen, raadpleegt u Automate user provisioning and deprovisioning to SaaS applications with Microsoft Entra ID.

Ondersteunde mogelijkheden

  • Gebruikers maken in Amazon Business.
  • Verwijder gebruikers in Amazon Business wanneer ze geen toegang meer nodig hebben.
  • Wijs Amazon Business-rollen toe aan de gebruiker.
  • Gebruikerskenmerken gesynchroniseerd houden tussen Microsoft Entra ID en Amazon Business.
  • Groepen en groepslidmaatschappen inrichten in Amazon Business.
  • Eenmalige aanmelding bij Amazon Business (aanbevolen).

Vereisten

In het scenario dat in deze zelfstudie wordt beschreven, wordt ervan uitgegaan dat u al beschikt over de volgende vereisten:

Stap 1: De implementatie van uw inrichting plannen

  1. Lees hoe de inrichtingsservice werkt.
  2. Bepaal wie u wilt opnemen in het bereik voor inrichting.
  3. Bepaal welke gegevens moeten worden toegewezen tussen Microsoft Entra ID en Amazon Business.

Stap 2: Amazon Business configureren ter ondersteuning van inrichting met Microsoft Entra-id

Voordat u de inrichtingsservice configureert en inschakelt, moet u een standaardgroep voor zowel gebruikers als groepen identificeren. Adviseren wij het volgende

  • Volg het principe van minimale bevoegdheden door alleen machtigingen voor de standaardgebruikersgroep te hebben.
  • Volg de naamconventie voor groepen waarnaar hieronder wordt verwezen, zodat u gemakkelijk kunt verwijzen naar de groepen in dit document.
    • Standaard-SCIM-bovenliggende groep
      • Dit is de hoofdmap van uw SCIM-map in AmazonBusiness. Alle SCIM-groepen worden rechtstreeks onder deze standaardgroep geplaatst. U kunt een bestaande groep selecteren als de standaard-SCIM-bovenliggende groep.
    • Standaard-SCIM-gebruikersgroep
      • Gebruikers die zijn toegewezen aan uw Amazon Business-app, worden standaard in deze groep geplaatst met een opdrachtrol. Het is raadzaam om deze groep op hetzelfde niveau te hebben als de standaard-SCIM-bovenliggende groep.
      • Als een gebruiker zonder groepstoewijzing wordt ingericht, wordt deze standaard in deze groep geplaatst met een opdracht voor vragen.
      • Elke niet-geactiveerde gebruiker blijft in deze groep. Daarom wordt aanbevolen om geen andere rol dan Aanvraag voor deze groep te gebruiken.

Notitie

  • De standaard-SCIM-bovenliggende groep kan hetzelfde zijn als de standaardgroep die is geselecteerd voor uw configuratie voor eenmalige aanmelding.
  • De bovenliggende standaard-SCIM-groep kan een juridische entiteitsgroep zijn. Het kiezen van juridische entiteit als de standaardgroep wordt aanbevolen als u verschillende factureringssjablonen hebt ingesteld voor verschillende groepen in uw AB-account.
  • Momenteel ondersteunen we het inschakelen van SCIM voor slechts één juridische entiteit in een Amazon Business-account.

Zodra uw standaard SCIM-groepen zijn geïdentificeerd, gaat u naar de pagina Business-Instellingen > Identity Management (SCIM) van uw Amazon Business-account>, voert u de details in en klikt u op Activeren. U moet deze stap voltooien voordat u verdergaat met de volgende stap.

Voeg Amazon Business toe vanuit de galerie met Microsoft Entra-toepassingen om te beginnen met het inrichten voor Amazon Business. Als u Amazon Business eerder hebt ingesteld voor eenmalige aanmelding, kunt u dezelfde toepassing gebruiken. Het is echter raadzaam een afzonderlijke app te maken wanneer u de integratie voor het eerst test. Klik hier voor meer informatie over het toevoegen van een toepassing uit de galerie.

Stap 4: Bepalen wie er allemaal in aanmerking komen voor inrichting

Met de Microsoft Entra-inrichtingsservice kunt u bepalen wie wordt ingericht op basis van toewijzing aan de toepassing en of op basis van kenmerken van de gebruiker/groep. Als u ervoor kiest om te bepalen wie wordt ingericht voor uw app op basis van toewijzing, kunt u de volgende stappen gebruiken om gebruikers en groepen aan de toepassing toe te wijzen. Als u ervoor kiest om uitsluitend te bepalen wie wordt ingericht op basis van kenmerken van de gebruiker of groep, kunt u een bereikfilter gebruiken zoals hier wordt beschreven.

  • Wanneer u gebruikers en groepen toewijst aan Amazon Business, moet u een andere rol dan Standaardtoegang selecteren. Gebruikers met de rol Standaardtoegang worden uitgesloten van inrichting en worden gemarkeerd als niet-effectief gerechtigd in de inrichtingslogboeken. Als de enige rol die beschikbaar is voor de toepassing de standaardtoegangsrol is, kunt u het toepassingsmanifest bijwerken om andere rollen toe te voegen.
  • Begin klein. Test de toepassing met een kleine set gebruikers en groepen voordat u de toepassing naar iedereen uitrolt. Wanneer het bereik voor inrichting is ingesteld op toegewezen gebruikers en groepen, kunt u dit beheren door een of twee gebruikers of groepen aan de app toe te wijzen. Wanneer het bereik is ingesteld op alle gebruikers en groepen, kunt u een bereikfilter op basis van kenmerken opgeven.
  • U kunt het toepassingsmanifest bijwerken om Amazon Business-rollen toe te voegen. De gebruiker kan een van de volgende rollen hebben:
    • Opdrachtgever (om bestellingen te plaatsen of orderaanvragen voor goedkeuring in te dienen).
    • Beheer istrator (voor het beheren van personen, groepen, rollen en goedkeuringen. Orders weergeven. Orderrapporten uitvoeren)
    • Financiën (voor toegang tot facturen, creditnota's, analyses en ordergeschiedenis).
    • Tech (om systeemintegraties in te stellen met de programma's die op het werk worden gebruikt).

Schermopname van de lijst met toepassingsrollen.

Stap 5: Automatische inrichting van gebruikers configureren voor Amazon Business

In deze sectie wordt u begeleid bij de stappen voor het configureren van de Microsoft Entra-inrichtingsservice om gebruikers en/of groepen in Amazon Business te maken, bij te werken en uit te schakelen op basis van gebruikers- en/of groepstoewijzingen in Microsoft Entra-id.

Automatische gebruikersinrichting configureren voor Amazon Business in Microsoft Entra ID:

  1. Meld u aan bij het Microsoft Entra-beheercentrum als ten minste een cloudtoepassing Beheer istrator.

  2. Bladeren naar Bedrijfstoepassingen voor identiteitstoepassingen>>

    Schermopname van de blade Bedrijfstoepassingen.

  3. Selecteer Amazon Business in de lijst met toepassingen.

    Schermopname van de koppeling Amazon Business in de lijst met toepassingen.

  4. Selecteer het tabblad Inrichten.

    Schermopname van het tabblad Inrichten.

  5. Stel Inrichtingsmodus in op Automatisch.

    Schermopname van het tabblad Inrichten automatisch.

  6. Voer in de sectie Beheer Referenties de URL van uw Amazon Business-tenant, autorisatie-eindpunt in. Klik op Test Verbinding maken ion om te controleren of Microsoft Entra ID verbinding kan maken met Amazon Business. Als de verbinding mislukt, moet u controleren of uw Amazon Business-account Beheer machtigingen heeft en probeer het opnieuw.

    Schermopname van token.

    Gebruik de onderstaande tabel voor tenant-URL's en autorisatie-eindpuntwaarden

    Land/regio Tenant-URL Autorisatie-eindpunt
    Canada https://na.business-api.amazon.com/scim/v2/ https://www.amazon.ca/b2b/abws/oauth?state=1& redirect_uri=https://portal.azure.com/TokenAuthorize& applicationId=amzn1.sp.solution.ee27ec8c-1ee9-4c6b-9e68-26bdc37479d3
    Duitsland https://eu.business-api.amazon.com/scim/v2/ https://www.amazon.de/b2b/abws/oauth?state=1& redirect_uri=https://portal.azure.com/TokenAuthorize& applicationId=amzn1.sp.solution.ee27ec8c-1ee9-4c6b-9e68-26bdc37479d3
    Spanje https://eu.business-api.amazon.com/scim/v2/ https://www.amazon.es/b2b/abws/oauth?state=1& redirect_uri=https://portal.azure.com/TokenAuthorize& applicationId=amzn1.sp.solution.ee27ec8c-1ee9-4c6b-9e68-26bdc37479d3
    Frankrijk https://eu.business-api.amazon.com/scim/v2/ https://www.amazon.fr/b2b/abws/oauth?state=1& redirect_uri=https://portal.azure.com/TokenAuthorize& applicationId=amzn1.sp.solution.ee27ec8c-1ee9-4c6b-9e68-26bdc37479d3
    GB/VK https://eu.business-api.amazon.com/scim/v2/ https://www.amazon.co.uk/b2b/abws/oauth?state=1& redirect_uri=https://portal.azure.com/TokenAuthorize& applicationId=amzn1.sp.solution.ee27ec8c-1ee9-4c6b-9e68-26bdc37479d3
    India https://eu.business-api.amazon.com/scim/v2/ https://www.amazon.in/b2b/abws/oauth?state=1& redirect_uri=https://portal.azure.com/TokenAuthorize& applicationId=amzn1.sp.solution.ee27ec8c-1ee9-4c6b-9e68-26bdc37479d3
    Italië https://eu.business-api.amazon.com/scim/v2/ https://www.amazon.it/b2b/abws/oauth?state=1& redirect_uri=https://portal.azure.com/TokenAuthorize& applicationId=amzn1.sp.solution.ee27ec8c-1ee9-4c6b-9e68-26bdc37479d3
    Japan https://jp.business-api.amazon.com/scim/v2/ https://www.amazon.co.jp/b2b/abws/oauth?state=1& redirect_uri=https://portal.azure.com/TokenAuthorize& applicationId=amzn1.sp.solution.ee27ec8c-1ee9-4c6b-9e68-26bdc37479d3
    Mexico https://na.business-api.amazon.com/scim/v2/ https://www.amazon.com.mx/b2b/abws/oauth?state=1& redirect_uri=https://portal.azure.com/TokenAuthorize& applicationId=amzn1.sp.solution.ee27ec8c-1ee9-4c6b-9e68-26bdc37479d3
    VS https://na.business-api.amazon.com/scim/v2/ https://www.amazon.com/b2b/abws/oauth?state=1& redirect_uri=https://portal.azure.com/TokenAuthorize& applicationId=amzn1.sp.solution.ee27ec8c-1ee9-4c6b-9e68-26bdc37479d3

  7. Voer in het veld E-mailadres voor meldingen het e-mailadres in van een persoon of groep die de inrichtingsfoutmeldingen zou moeten ontvangen en schakel het selectievakje Een e-mailmelding verzenden als een fout optreedt in.

    Schermopname van e-mailmelding.

  8. Selecteer Opslaan.

  9. Selecteer in de sectie Toewijzingen de optie Microsoft Entra-gebruikers synchroniseren met Amazon Business.

  10. Controleer in de sectie Kenmerktoewijzing de gebruikerskenmerken die vanuit Microsoft Entra-id met Amazon Business worden gesynchroniseerd. De kenmerken die als overeenkomende eigenschappen zijn geselecteerd, worden gebruikt om de gebruikersaccounts in Amazon Business te vinden voor updatebewerkingen. Als u ervoor kiest om het overeenkomende doelkenmerk te wijzigen, moet u ervoor zorgen dat de Amazon Business-API het filteren van gebruikers op basis van dat kenmerk ondersteunt. Selecteer de knop Opslaan om eventuele wijzigingen door te voeren.

    Kenmerk Type Ondersteund voor filteren Vereist door Amazon Business
    gebruikersnaam String
    actief Booleaanse waarde
    emails[type eq "work"].value String
    name.givenName String
    name.familyName String
    externalId String
    rollen Lijst met appRoleAssignments [appRoleAssignments]

  11. Selecteer in de sectie Toewijzingen de optie Microsoft Entra-groepen synchroniseren met Amazon Business.

  12. Controleer in de sectie Kenmerktoewijzing de groepskenmerken die vanuit Microsoft Entra-id met Amazon Business worden gesynchroniseerd. De kenmerken die als overeenkomende eigenschappen zijn geselecteerd, worden gebruikt om de groepen in Amazon Business te vinden voor updatebewerkingen. Selecteer de knop Opslaan om eventuele wijzigingen door te voeren.

    Kenmerk Type Ondersteund voor filteren Vereist door Amazon Business
    displayName String
    leden Verwijzing

  13. Als u bereikfilters wilt configureren, raadpleegt u de volgende instructies in de zelfstudie Bereikfilter.

  14. Als u de Microsoft Entra-inrichtingsservice voor Amazon Business wilt inschakelen, wijzigt u de inrichtingsstatus in Aan in de sectie Instellingen.

    Schermopname van inrichtingsstatus ingeschakeld.

  15. Definieer de gebruikers en/of groepen die u wilt inrichten voor Amazon Business door de gewenste waarden te kiezen in Bereik in de sectie Instellingen.

    Schermopname van het inrichtingsbereik.

  16. Wanneer u klaar bent om in te richten, klikt u op Opslaan.

    Schermopname van het opslaan van de inrichtingsconfiguratie.

Met deze bewerking wordt de eerste synchronisatiecyclus gestart van alle gebruikers en groepen die zijn gedefinieerd onder Bereik in de sectie Instellingen. De eerste cyclus duurt langer dan volgende cycli, die ongeveer om de 40 minuten plaatsvinden zolang de Microsoft Entra-inrichtingsservice wordt uitgevoerd.

Stap 6: Uw implementatie controleren

Nadat u het inrichten hebt geconfigureerd, gebruikt u de volgende resources om uw implementatie te bewaken:

  • Gebruik de inrichtingslogboeken om te bepalen welke gebruikers al dan niet met succes zijn ingericht
  • Bekijk op de voortgangsbalk de status van de inrichtingscyclus om te zien of deze al bijna is voltooid
  • Als het configureren van de inrichting een foutieve status lijkt te hebben, wordt de toepassing in quarantaine geplaatst. Klik hier voor meer informatie over quarantainestatussen.

Functiebeperkingen

  • Platte structuur wordt gemaakt op het Amazon Business-account, dus alle gepushte groepen bevinden zich op hetzelfde niveau onder de standaard SCIM-groep. Geneste structuur/hiërarchie wordt niet ondersteund.
  • Groepsnamen zijn hetzelfde in het Azure- en Amazon Business-account.
  • Wanneer er nieuwe groepen worden gemaakt in het Amazon Business-account, moeten Beheer de bedrijfsinstellingen opnieuw configureren (bijvoorbeeld het inschakelen van aankopen, het bijwerken van gedeelde instellingen, het toevoegen van beleid voor begeleide aankoop, enzovoort) voor de nieuwe groepen, indien nodig.
  • Het verwijderen van oude groepen/het verwijderen van gebruikers uit oude groepen in Amazon Business resulteert in verlies van zichtbaarheid in orders die met die oude groep zijn geplaatst. Daarom wordt aanbevolen om
    • Verwijder de oude groepen/toewijzingen niet en
    • Schakel aankopen voor de oude groepen uit.
  • E-mail/Update van gebruikersnaam: het bijwerken van e-mail en/of gebruikersnaam via SCIM wordt op dit moment niet ondersteund.
  • Wachtwoordsynchronisatie : wachtwoordsynchronisatie wordt niet ondersteund.
  • SSO-vereiste: hoewel de Amazon Business-app de activering van SCIM-inrichting zonder eenmalige aanmelding toestaat, hebben ingerichte gebruikers SSO-verificatie nodig om toegang te krijgen tot Amazon Business.
  • MLE-accounts (Multi-Legal Entity), momenteel bieden we geen ondersteuning voor het inschakelen van SCIM voor meer dan één juridische entiteit in een Amazon Business-account.
  • Wanneer u een groep inricht met dezelfde naam als een bestaande groep in Amazon Business, worden deze groepen automatisch gekoppeld (nieuwe groep wordt gemaakt in Amazon Business).

Tips voor probleemoplossing

  • Als Amazon Business-beheerders zich alleen hebben aangemeld met eenmalige aanmelding of hun wachtwoorden niet kennen, kunnen ze de vergeten wachtwoordstroom gebruiken om hun wachtwoord opnieuw in te stellen en zich vervolgens aan te melden bij Amazon Business.
  • Als Beheer- en aanvraagrollen al zijn toegepast op de klant in een groep, resulteert het toewijzen van finance- of tech-rollen niet in updates aan de kant van Amazon Business.
  • Klanten met MASE-accounts (meerdere accounts zelfde e-mail) die een van hun accounts verwijderen, kunnen fouten zien dat het account niet bestaat wanneer nieuwe gebruikers voor korte tijd worden ingericht (24-48 uur).
  • Klanten kunnen niet onmiddellijk worden verwijderd via Inrichten op aanvraag. Inrichten moet zijn ingeschakeld en het verwijderen vindt 40 minuten plaats nadat de actie is uitgevoerd.

Meer resources

Volgende stappen