Compartilhar via

Configurar o Amazon Business para logon único com a ID do Microsoft Entra

Neste artigo, você aprenderá a integrar o Amazon Business à ID do Microsoft Entra. Ao integrar o Amazon Business à ID do Microsoft Entra, você poderá:

  • Controlar quem tem acesso ao Amazon Business na ID do Microsoft Entra.
  • Permitir que os usuários entrem automaticamente no Amazon Business com as respectivas contas do Microsoft Entra.
  • Gerencie suas contas em uma localização central.

Pré-requisitos

O cenário descrito neste artigo pressupõe que você já tenha os seguintes pré-requisitos:

  • Assinatura habilitada para SSO (logon único) do Amazon Business. Acesse a página do Amazon Business para criar uma conta do Amazon Business.

Descrição do cenário

Neste artigo, você configurará e testará o SSO do Microsoft Entra em uma conta existente do Amazon Business.

  • O Amazon Business dá suporte ao SSO iniciado por SP e IdP.
  • O Amazon Business dá suporte ao provisionamento de usuário Just-In-Time.
  • O Amazon Business dá suporte ao Provisionamento de usuário automatizado.

Observação

O identificador desse aplicativo é um valor de cadeia de caracteres fixo; portanto apenas uma instância pode ser configurada em um locatário.

Para configurar a integração do Amazon Business à ID do Microsoft Entra, você precisará adicioná-lo à lista de aplicativos SaaS gerenciados por meio da galeria.

  1. Entre no Centro de administração do Microsoft Entra como pelo menos Administrador de Aplicativo de nuvem.
  2. Navegue até Entrar ID>Aplicativos empresariais>Novo aplicativo.
  3. Na seção Adicionar por meio da galeria, digite Amazon Business na caixa de pesquisa.
  4. Selecione Amazon Business no painel de resultados e, em seguida, adicione o aplicativo. Aguarde alguns segundos enquanto o aplicativo é adicionado ao seu locatário.

Opcionalmente, você também pode usar o Assistente de Configuração de Aplicativos do Enterprise. Nesse assistente, você pode adicionar um aplicativo ao seu locatário, adicionar usuários/grupos ao aplicativo, atribuir funções e conferir a configuração do SSO. Saiba mais sobre os assistentes do Microsoft 365.

Configurar e testar o SSO do Microsoft Entra para o Amazon Business

Configure e teste o SSO do Microsoft Entra com o Amazon Business por meio de um usuário de teste chamado B.Fernandes. Para que o SSO funcione, é necessário estabelecer uma relação de vínculo entre um usuário do Microsoft Entra e o usuário relacionado do Amazon Business.

Para configurar e testar o SSO do Microsoft Entra com o Amazon Business, execute as seguintes etapas:

  1. Configurar o SSO do Microsoft Entra: para permitir que os usuários usem este recurso.
    1. Crie um usuário de teste do Microsoft Entra, para testar o login único do Microsoft Entra com B.Simon.
    2. Designar o usuário de teste do Microsoft Entra para permitir que B.Simon use o login único do Microsoft Entra.
  2. Configure Amazon Business SSO: para definir as configurações de logon único no lado do aplicativo.
    1. Crie um usuário de teste do Amazon Business para ter um equivalente de B.Simon no Amazon Business que esteja vinculado à representação de usuário do Microsoft Entra.
  3. Testar o SSO: para verificar se a configuração funciona.

Configurar o SSO do Microsoft Entra

Siga estas etapas para habilitar o SSO do Microsoft Entra.

  1. Entre no Centro de administração do Microsoft Entra como pelo menos Administrador de Aplicativo de nuvem.

  2. Navegue até a página de integração do Entra ID>aplicativos empresariais> do Amazon Business, localize a seção Gerenciar e selecione Logon único.

  3. Na página Selecionar um método de Logon único, selecione SAML.

  4. Na página Configurar o logon único com o SAML, selecione o ícone de lápis da Configuração Básica do SAML para editar as configurações.

    Editar a Configuração Básica do SAML

  5. Na seção Configuração Básica do SAML, execute as etapas a seguir caso deseje configurar no modo iniciado por IDP:

    1. Na caixa de texto Identificador (ID da Entidade), digite uma das seguintes URLs:

      URL Região
      https://www.amazon.com América do Norte
      https://www.amazon.co.jp Leste da Ásia
      https://www.amazon.de Europa

    2. Na caixa de texto URL de Resposta, digite uma URL nos seguintes padrões:

      URL Região
      https://www.amazon.com/bb/feature/sso/action/3p_redirect?idpid={idpid} América do Norte
      https://www.amazon.co.jp/bb/feature/sso/action/3p_redirect?idpid={idpid} Leste da Ásia
      https://www.amazon.de/bb/feature/sso/action/3p_redirect?idpid={idpid} Europa

      Observação

      O valor da URL de Resposta não é real. Atualize esse valor com a URL de Resposta real. Você obtém o valor <idpid> da seção de configuração do SSO do Amazon Business, que é explicada posteriormente no artigo. Você também pode consultar os padrões mostrados na seção Configuração Básica do SAML.

  6. Se você quiser configurar o aplicativo no modo iniciado pelo SP, deverá adicionar a URL completa fornecida na configuração do Amazon Business à URL de logon na seção Definir URLs adicionais.

  7. A captura de tela a seguir mostra a lista de atributos padrão. Edite os atributos selecionando o ícone de lápis na seção Atributos e Declarações do Usuário .

    A captura de tela mostra Atributos & declarações do usuário com valores padrão, como Givenname user.givenname e Emailaddress user.mail.

  8. Edite os atributos e copie o valor do Namespace desses atributos no Bloco de notas.

    A captura de tela mostra Atributos & declarações do usuário com as colunas de nome e valor da declaração.

  9. Além do indicado acima, o aplicativo Amazon Business espera que mais alguns atributos sejam passados novamente na resposta SAML. Na seção Atributos & declarações do usuário, na caixa de diálogo Declarações de grupo, siga estas etapas:

    1. Selecione a caneta ao lado de Grupos retornados na declaração.

      A captura de tela mostra Atributos & declarações do usuário com o ícone Grupos retornados na declaração selecionado.

    2. Na caixa de diálogo Declarações de Grupo, selecione Todos os Grupos na lista de opções.

    3. Selecione ID do Grupo como o Atributo de origem.

    4. Marque a caixa de seleção Personalizar o nome da declaração de grupo e insira o nome do grupo de acordo com as necessidades de sua organização.

    5. Clique em Salvar.

  10. Na página Configurar o Logon Único com o SAML, na seção Certificado de Autenticação do SAML, selecione o botão copiar para copiar a URL dos Metadados da Federação do Aplicativo e salve-a no seu computador.

    O link para download do certificado

  11. Na seção Configurar o Amazon Business, copie as URLs adequadas com base em suas necessidades.

    Copiar URLs de configuração

Criar e atribuir um usuário de teste do Microsoft Entra

Siga as diretrizes no início rápido de criação e atribuição de uma conta de usuário para criar uma conta de usuário de teste chamada B.Simon.

Atribuir o Grupo de Segurança do Microsoft Entra no portal do Azure

  1. Entre no Centro de administração do Microsoft Entra como pelo menos Administrador de Aplicativo de nuvem.

  2. Navegue até Entra ID>Aplicativos empresariais>Amazon Business.

  3. Na lista de aplicativos, digite e selecione Amazon Business.

  4. No menu à esquerda, selecione Usuários e grupos.

  5. Selecione o Usuário adicionado.

  6. Pesquise o Grupo de Segurança que você deseja usar e selecione o grupo para adicioná-lo à seção Selecionar membros. Escolha Selecionar e depois Atribuir.

    Pesquisar o grupo de segurança

    Observação

    Verifique as notificações na barra de menus para ser avisado de que o grupo foi atribuído com êxito ao aplicativo empresarial.

Configurar o SSO do Amazon Business

  1. Em uma outra janela do navegador web, entre no site da Amazon Business da sua empresa como administrador

  2. Selecione o Perfil do Usuário e selecione Configurações de Negócios.

    Perfil do Usuário

  3. No assistente de Integrações do sistema, selecione SSO (Logon Único).

    SSO (Logon único)

  4. No assistente Configurar o SSO, selecione o provedor de acordo com os requisitos organizacionais e selecione Avançar.

    Observação

    Embora o Microsoft AD FS seja uma opção listada, ele não funcionará com o SSO do Microsoft Entra.

  5. No assistente Padrões para novas contas de usuário, selecione o Grupo Padrão e depois selecione a Função de compra padrão de acordo com a função do usuário na organização e selecione Avançar.

    A captura de tela mostra os padrões da nova conta de usuário com o SSO da Microsoft, Requisitante e Avançar selecionados.

  6. No assistente Carregar seu arquivo de metadados, escolha a opção Colar link XML para colar o valor da URL de metadados de federação de aplicativos e selecione Validar.

    Observação

    Como alternativa, você também pode carregar o arquivo XML de Metadados de Federação selecionando a opção Carregar Arquivo XML .

  7. Depois de carregar o arquivo de metadados baixado, os campos na seção Dados de conexão são preenchidos automaticamente. Em seguida, selecione Avançar.

  8. No assistente Carregar a instrução Attribute, selecione Ignorar.

    Captura de tela que mostra Carregar sua instrução de atributo, que permite que você navegue até uma instrução de atributo, mas nesse caso, selecione Ignorar.

  9. No assistente de mapeamento de atributo , adicione os campos de requisito selecionando a opção + Adicionar um campo . Adicione os valores de atributo, incluindo o namespace, que você copiou da seção Atributos & declarações do usuário do portal do Azure para o campo AttributeName de SAML e selecione Avançar.

    Captura de tela que mostra o Mapeamento de atributos, em que pode editar os nomes de atributo do SAML de dados da Amazon.

  10. No assistente de dados de conexão da Amazon, confirme se o IDP foi configurado e selecione Continuar.

    A captura de tela mostra os dados de conexão da Amazon, onde você pode selecionar a opção ao lado para continuar.

  11. Verifique o Status das etapas que foram configuradas e selecione Iniciar testes.

  12. No assistente Testar Conexão de SSO, selecione Testar.

    Captura de tela que mostra Testar Conexão de SSO com o botão Testar.

  13. No assistente URL iniciada por IDP, antes de selecionar Ativar, copie o valor atribuído a idpid e cole-o no parâmetro idpid na URL de resposta na seção de Configuração básica do SAML no portal do Azure.

    Captura de tela mostra URL iniciada por IDP, em que você pode obter uma URL necessária para o teste e, depois, selecionar Ativar.

  14. No assistente Você está pronto para alternar para o SSO ativo?, marque a caixa de seleção Testei integralmente o SSO e estou pronto para ativá-lo e selecione Alternar para ativo.

    Captura de tela que mostra a confirmação Você está pronto para alternar para o SSO ativo?, em que pode selecionar Alternar para ativo.

  15. Finalmente, na seção Detalhes da conexão de SSO, o Status é mostrado como Ativo.

    Observação

    Se quiser configurar o aplicativo no modo iniciado pelo SP, conclua a seguinte etapa: cole a URL de logon da captura de tela acima na caixa de texto URL de Logon da seção Definir URLs adicionais. Use o seguinte formato:

    https://www.amazon.<TLD>/bb/feature/sso/action/start?domain_hint=<UNIQUE_ID>

Criar um usuário de teste do Amazon Business

Nesta seção, será criado um usuário chamado B.Fernandes no Amazon Business. O Amazon Business dá suporte ao provisionamento de usuário Just-In-Time, que está habilitado por padrão. Não há itens de ação para você nesta seção. Se um usuário ainda não existir no Amazon Business, será criado um após a autenticação.

Testar SSO

Nesta seção, você testará a configuração de logon único do Microsoft Entra com as opções a seguir.

Iniciado por SP:

  • Selecione Testar este aplicativo, essa opção redireciona para a URL de Logon do Amazon Business, na qual você pode iniciar o fluxo de entrada.

  • Acesse a URL de logon único diretamente do Amazon Business e inicie o fluxo de logon nela.

Iniciado por IdP:

  • Selecione Testar este aplicativo e você deverá ser conectado automaticamente ao Amazon Business para o qual configurou o SSO.

Você também pode usar Meus Aplicativos da Microsoft para testar o aplicativo em qualquer modo. Ao selecionar o bloco do Amazon Business em Meus Aplicativos, se ele estiver configurado no modo SP, você será redirecionado à página de logon do aplicativo para iniciar o fluxo de logon e, se ele estiver configurado no modo IDP, você entrará automaticamente no Amazon Business, para o qual o SSO foi configurado. Para obter mais informações sobre Meus Aplicativos, consulte Introdução aos Meus Aplicativos.

Redefinir as configurações do provedor de serviços do ADFS para o Microsoft Entra ID

  1. Preparar o ambiente do Microsoft Entra ID

    1. Verifique a assinatura do Microsoft Entra ID Premium e confirme se você tem uma assinatura do Microsoft Entra ID Premium, que é necessária para SSO (logon único) e outros recursos avançados.

  2. Registrar um aplicativo no Microsoft Entra ID

    1. Navegue até o Microsoft Entra ID no portal do Azure.
    2. Selecione "Registros de aplicativo" > "Novo registro".
    3. Preencher os detalhes necessários:
      1. Nome: insira um nome significativo para o aplicativo.
      2. Tipos de conta com suporte: escolha a opção adequada para seu ambiente.
      3. URI de redirecionamento: insira os URIs de redirecionamento necessários (geralmente a URL de logon do aplicativo).

  3. Configurar o SSO do Microsoft Entra ID

    1. Configure o logon único no Microsoft Entra ID.
    2. No portal do Azure, acesse Microsoft Entra ID > Aplicativos empresariais.
    3. Selecione seu aplicativo na lista.
    4. Em "Gerenciar", selecione "Logon único".
    5. Escolha "SAML" como o método de logon único.
    6. Editar a configuração básica do SAML:
      1. Identificador (ID da entidade): insira a ID da entidade SP.
      2. URL de Resposta (URL do Serviço do Consumidor de Declaração): insira a URL do ACS do SP.
      3. URL de logon: insira a URL de logon do aplicativo, se aplicável.

  4. Configurar Atributos e declarações de usuário

    1. Nas configurações de logon baseadas em SAML, selecione "Atributos e declarações do usuário".
    2. Edite e configure declarações para corresponder às exigidas pelo seu SP. Geralmente, isso inclui:
      1. NameIdentifier
      2. Correio eletrônico
      3. GivenName
      4. Sobrenome
      5. etcétera.

  5. Baixar metadados SSO do Microsoft Entra ID

  6. Na seção Certificado de Autenticação SAML, baixe o XML de Metadados de Federação. Isso é usado para configurar o SP.

  7. Reconfigurar o SP (provedor de serviços)

    1. Atualizar SP para usar metadados do Microsoft Entra ID
    2. Acesse as configurações do SP.
    3. Atualize a URL de metadados do IdP ou carregue o XML de metadados do Microsoft Entra ID.
    4. Atualize a URL do ACS (Serviço do Consumidor de Declaração), a ID da Entidade e todos os outros campos obrigatórios para corresponder à configuração do Microsoft Entra ID.

  8. Configurar certificados SAML

  9. Verifique se o SP está configurado para confiar no certificado de autenticação do Microsoft Entra ID. Encontre essas informações na seção Certificado de Autenticação SAML da configuração SSO do Microsoft Entra ID.

  10. Testar configuração SSO

  11. Inicie um logon de teste do SP.

  12. Verifique se a autenticação redireciona para o Microsoft Entra ID e faz logon do usuário com sucesso.

  13. Verifique as declarações que estão sendo passadas para garantir que correspondam ao que o SP espera.

  14. Atualize as configurações de DNS e rede (se aplicável). Se o SP ou o aplicativo usar configurações de DNS específicas do ADFS, talvez seja necessário atualizar essas configurações para apontar para pontos de extremidade do Microsoft Entra ID.

  15. Distribuir e monitorar

    1. Comunique-se com os usuários Notifique seus usuários sobre a alteração e forneça todas as instruções ou documentação necessárias.
    2. Monitore os logs de autenticação Fique de olho nos logs de entrada do Microsoft Entra ID para monitorar quaisquer problemas de autenticação e resolvê-los imediatamente.

Conteúdo relacionado

Depois de configurar o Amazon Business, você poderá impor o controle de sessão, que fornece proteção contra exfiltração e infiltração dos dados confidenciais da sua organização em tempo real. O controle da sessão é estendido do Acesso condicional. Saiba como impor o controle de sessão com o Microsoft Defender para Aplicativos de Nuvem.

Mais recursos