Configurar o Amazon Business para logon único com o Microsoft Entra ID

Neste artigo, você aprenderá a integrar o Amazon Business ao Microsoft Entra ID. Ao integrar o Amazon Business ao Microsoft Entra ID, você pode:

• Controle no Microsoft Entra ID quem tem acesso ao Amazon Business.
• Permita que seus usuários façam login automaticamente no Amazon Business com suas contas do Microsoft Entra.
• Gerencie suas contas em um local central.

Pré-requisitos

O cenário descrito neste artigo pressupõe que você já tenha os seguintes pré-requisitos:

• Uma conta de usuário do Microsoft Entra com uma assinatura ativa. Se ainda não tiver uma, pode Criar uma conta gratuitamente.
• Uma das seguintes funções:
  • Administrador de aplicativos
  • Administrador de Aplicações na Cloud
  • Proprietário da Aplicação.

• Uma assinatura habilitada para logon único (SSO) do Amazon Business. Vá para a página Amazon Business para criar uma conta Amazon Business.

Descrição do cenário

Neste artigo, você configura e testa o Microsoft Entra SSO em uma conta existente do Amazon Business.

• O Amazon Business é compatível com SSO iniciado por SP e IDP .
• O Amazon Business oferece suporte ao provisionamento de usuários Just In Time .
• O Amazon Business oferece suporte ao provisionamento automatizado de usuários.

Nota

O identificador deste aplicativo é um valor de cadeia de caracteres fixo para que apenas uma instância possa ser configurada em um locatário.

Adicionar Amazon Business da galeria

Para configurar a integração do Amazon Business com o Microsoft Entra ID, você precisa adicionar o Amazon Business da galeria à sua lista de aplicativos SaaS gerenciados.

1. Entre no centro de administração do Microsoft Entra como pelo menos um administrador de aplicativos na nuvem.
2. Navegue até Entra ID>Enterprise apps>Novo aplicativo.
3. Na seção Adicionar da galeria, digite Amazon Business na caixa de pesquisa.
4. Selecione Amazon Business no painel de resultados e adicione o aplicativo. Aguarde alguns segundos enquanto o aplicativo é adicionado ao seu locatário.

Como alternativa, você também pode usar o Assistente de Configuração de Aplicativo Empresarial. Neste assistente, pode adicionar um aplicativo ao seu tenant, adicionar utilizadores/grupos ao aplicativo, atribuir funções e também percorrer a configuração do SSO. Saiba mais sobre os assistentes do Microsoft 365.

Configurar e testar o Microsoft Entra SSO para Amazon Business

Configure e teste o Microsoft Entra SSO com o Amazon Business usando um usuário de teste chamado B.Simon. Para que o SSO funcione, você precisa estabelecer uma relação de vínculo entre um usuário do Microsoft Entra e o usuário relacionado no Amazon Business.

Para configurar e testar o Microsoft Entra SSO com o Amazon Business, execute as seguintes etapas:

1. Configure o Microsoft Entra SSO - para permitir que seus usuários usem esse recurso.
   1. Criar um usuário de teste do Microsoft Entra - para testar o logon único do Microsoft Entra com B.Simon.
   2. Atribuir o usuário de teste do Microsoft Entra para que B.Simon possa usar o logon único do Microsoft Entra.
2. Configure o Amazon Business SSO - para configurar as configurações de logon único no lado do aplicativo.
   1. Criar usuário de teste do Amazon Business - para ter um equivalente de B.Simon no Amazon Business vinculado à representação de usuário do Microsoft Entra.
3. Teste SSO - para verificar se a configuração funciona.

Configurar Microsoft Entra SSO

Siga estas etapas para habilitar o Microsoft Entra SSO.

1. Entre no centro de administração do Microsoft Entra como pelo menos um administrador de aplicativos na nuvem.

2. Navegue até a página de integração de aplicações do Entra ID>Enterprise apps>Amazon Business, encontre a secção Gerenciar e selecione Logon único.

3. Na página Selecionar um método de logon único, selecione SAML.

4. Na página Configurar Logon Único com SAML, selecione o ícone de lápis para Configuração Básica de SAML para editar as configurações.

   

5. Na seção Configuração Básica do SAML, se desejar configurar no modo iniciado pelo IDP, execute as seguintes etapas:

   1. Na caixa de texto Identificador (ID da entidade), digite uma das seguintes URLs:

      URL	Região
      https://www.amazon.com	América do Norte
      https://www.amazon.co.jp	Ásia Leste
      https://www.amazon.de	Europa

   2. Na caixa de texto URL de Resposta, escreva uma URL usando um dos seguintes padrões:

      URL	Região
      https://www.amazon.com/bb/feature/sso/action/3p_redirect?idpid={idpid}	América do Norte
      https://www.amazon.co.jp/bb/feature/sso/action/3p_redirect?idpid={idpid}	Ásia Leste
      https://www.amazon.de/bb/feature/sso/action/3p_redirect?idpid={idpid}	Europa

      Nota

      O valor do URL de resposta não é real. Atualize esse valor com a URL de resposta real. Você obtém o valor <idpid> da secção de configuração do Amazon Business SSO, que é explicada mais adiante no artigo. Você também pode consultar os padrões mostrados na seção Configuração Básica de SAML.

6. Se quiser configurar o aplicativo no modo iniciado pelo SP, precisará adicionar o URL completo fornecido na configuração do Amazon Business ao URL de início de sessão na seção Definir URLs adicionais.

7. A captura de tela a seguir mostra a lista de atributos padrão. Edite os atributos selecionando o ícone de lápis na seção Atributos do usuário & Declarações .

   

8. Edite atributos e copie o valor de namespace desses atributos para o bloco de notas.

   

9. Além disso, o aplicativo Amazon Business espera que mais alguns atributos sejam passados de volta na resposta SAML. Na seção Atributos do Usuário & Declarações na caixa de diálogo Declarações de Grupo , execute as seguintes etapas:

   1. Selecione o ícone ao lado de Grupos retornados na reivindicação.

      

   2. Na caixa de diálogo Declarações de Grupos, selecione Todos os Grupos na lista de opções.

   3. Selecione ID do grupo como atributo de origem.

   4. Marque a caixa de seleção Personalizar o nome da reivindicação do grupo e insira o nome do grupo de acordo com as necessidades da sua organização.

   5. Selecione Guardar.

10. Na página Configurar logon único com SAML, na secção Certificado de Assinatura SAML, selecione o botão Copiar para copiar a URL de Metadados de Federação de Aplicativos e salvá-la no seu computador.

    

11. Na seção Configurar o Amazon Business , copie os URLs apropriados com base em sua necessidade.

    

Criar e atribuir usuário de teste do Microsoft Entra

Siga as orientações do guia rápido para criar e atribuir uma conta de utilizador e crie uma conta de usuário de teste chamada B.Simon.

Atribuir o grupo de segurança Microsoft Entra no portal Azure

1. Entre no centro de administração do Microsoft Entra como pelo menos um administrador de aplicativos na nuvem.

2. Navegue até Entra ID>Enterprise apps>Amazon Business.

3. Na lista de aplicativos, digite e selecione Amazon Business.

4. No menu à esquerda, selecione Usuários e grupos.

5. Selecione o usuário adicionado.

6. Procure o Grupo de Segurança que pretende utilizar e, em seguida, selecione o grupo para o adicionar à secção Selecionar membros. Selecione Selecionar e, em seguida, selecione Atribuir.

   

   Nota

   Verifique as notificações na barra de menus para ser notificado de que o Grupo foi atribuído com êxito ao aplicativo Enterprise.

Configurar o SSO do Amazon Business

1. Em uma janela diferente do navegador da Web, faça login no site da empresa Amazon Business como administrador

2. Selecione o Perfil de usuário e selecione Configurações do negócio.

   

3. No assistente de integrações de sistema, selecione Single Sign-On (SSO).

   

4. No assistente Configurar SSO, selecione o provedor de acordo com seus requisitos organizacionais e selecione Avançar.

   Nota

   Embora o Microsoft ADFS seja uma opção listada, ele não funcionará com o Microsoft Entra SSO.

5. No assistente Novos padrões de conta de usuário, selecione o Grupo Padrão e, em seguida, selecione a Função de Compra Padrão, de acordo com a função do utilizador na sua Organização, e selecione Avançar.

   

6. No assistente Carregar o seu ficheiro de metadados, escolha a opção Colar ligação XML para colar o valor da URL de Metadados de Federação de Aplicações e selecione Validar.

   Nota

   Como alternativa, você também pode carregar o arquivo XML de metadados de federação selecionando a opção Carregar arquivo XML .

7. Depois de carregar o arquivo de metadados baixado, os campos na seção Dados de conexão são preenchidos automaticamente. Depois disso, selecione Avançar.

8. No assistente Carregar a sua declaração de atributo, selecione Ignorar.

   

9. No assistente de mapeamento de atributos , adicione os campos de requisito selecionando a opção + Adicionar um campo . Adicione os valores de atributo, incluindo o namespace, que você copiou da seção User Attributes & Claims do portal do Azure no campo SAML AttributeName e selecione Next.

   

10. No assistente de dados de conexão da Amazon, confirme que o seu IDP está configurado e selecione Continuar.

    

11. Verifique o status das etapas que foram configuradas e selecione Iniciar teste.

12. No assistente Testar Conexão SSO, selecione Testar.

    

13. No assistente de URL iniciado pelo IDP, antes de selecionar Ativar, copie o valor que é atribuído ao idpid e cole no parâmetro idpid na URL de Resposta na secção Configuração Básica SAML.

    

14. No assistente Você está pronto para mudar para SSO ativo?, marque a opção 'Teste completo do SSO concluído, pronto para ativação' e selecione Mudar para ativo.

    

15. Finalmente, na seção Detalhes da conexão SSO, o Status é mostrado como Ativo.

    Nota

    Se quiseres configurar a aplicação no modo iniciado pelo SP, conclui o passo a seguir, cola a URL de início de sessão da captura de ecrã acima na caixa de texto da URL de início de sessão da secção Definir URLs adicionais. Use o seguinte formato:

    https://www.amazon.<TLD>/bb/feature/sso/action/start?domain_hint=<UNIQUE_ID>

Criar usuário de teste do Amazon Business

Nesta seção, um usuário chamado B.Simon é criado no Amazon Business. O Amazon Business oferece suporte ao provisionamento de usuários just-in-time, que é ativado por padrão. Não há nenhum item de ação para você nesta seção. Se um usuário ainda não existir no Amazon Business, um novo será criado após a autenticação.

Teste de SSO

Nesta seção, você testa sua configuração de logon único do Microsoft Entra com as seguintes opções.

SP iniciado:

• Selecione Testar este aplicativo, essa opção redireciona para o URL de logon do Amazon Business, onde você pode iniciar o fluxo de login.

• Acesse diretamente o URL do Amazon Business Single Sign-on e inicie o fluxo de login a partir daí.

IDP iniciado:

• Selecione Testar este aplicativo e você deve estar automaticamente conectado ao Amazon Business para o qual configurou o SSO.

Você também pode usar o Microsoft My Apps para testar o aplicativo em qualquer modo. Ao selecionar o bloco Amazon Business em Meus aplicativos, se configurado no modo SP, você será redirecionado para a página de logon do aplicativo para iniciar o fluxo de login e, se configurado no modo IDP, deverá estar automaticamente conectado ao Amazon Business para o qual configurou o SSO. Para obter mais informações sobre os Meus Aplicativos, consulte Introdução aos Meus Aplicativos.

Reconfiguração das definições do fornecedor de serviços do ADFS para o Microsoft Entra ID

1. Preparar o ambiente Microsoft Entra ID

   1. Verificar a Subscrição Premium do Microsoft Entra ID Certifique-se de que tem uma subscrição Premium do Microsoft Entra ID Premium, que é necessária para o início de sessão único (SSO) e outras funcionalidades avançadas.

2. Registar a Aplicação no Microsoft Entra ID

   1. Navegue até o Microsoft Entra ID no portal do Azure.
   2. Selecione "Registos na aplicação" > "Novo registo".
   3. Preencha os dados necessários:
      1. Nome: insira um nome significativo para o aplicativo.
      2. Tipos de conta suportados: escolha a opção apropriada para o seu ambiente.
      3. URI de redirecionamento: insira os URIs de redirecionamento necessários (geralmente a URL de entrada do seu aplicativo).

3. Configurar o SSO do Microsoft Entra ID

   1. Configurar a autenticação única no Microsoft Entra ID.
   2. No portal do Azure, vá para Aplicações Empresariais do Microsoft Entra ID >.
   3. Selecione seu aplicativo na lista.
   4. Em "Gerir", selecione "Autenticação única".
   5. Escolha "SAML" como o método Single Sign-On.
   6. Edite a configuração básica do SAML:
      1. Identificador (ID da entidade): insira o ID da entidade SP.
      2. URL de Resposta (URL do Serviço de Consumo de Asserção): introduza a URL ACS do SP.
      3. URL de início de sessão: introduza o URL de início de sessão da aplicação, se aplicável.

4. Configurar atributos de utilizador e declarações

   1. Nas configurações de logon baseadas em SAML, selecione "User Attributes & Claims".
   2. Edite e configure as declarações para corresponder às exigidas pelo seu SP. Normalmente, isso inclui:
      1. IdentificadorDeNome
      2. Correio Eletrónico
      3. Nome Próprio
      4. Apelido
      5. e assim por diante

5. Baixar metadados SSO do Microsoft Entra ID

6. Na seção Certificado de Assinatura SAML, faça o download do XML de Metadados de Federação. Isso é usado para configurar o seu SP.

7. Reconfigurar o provedor de serviços (SP)

   1. Atualizar o SP para usar metadados de ID do Microsoft Entra
   2. Acesse as definições de configuração do seu SP.
   3. Atualize a URL de metadados do IdP ou carregue o XML de metadados do Microsoft Entra ID.
   4. Atualize a URL do ACS (Assertion Consumer Service), a ID da entidade e quaisquer outros campos obrigatórios para corresponder à configuração do Microsoft Entra ID.

8. Configurar certificados SAML

9. Verifique se o SP está configurado para confiar no certificado de assinatura da Microsoft Entra ID. Isso pode ser encontrado na seção Certificado de Assinatura SAML da configuração de SSO do Microsoft Entra ID.

10. Testar configuração de SSO

11. Inicie um login de teste a partir do SP.

12. Verifique se a autenticação redireciona para o Microsoft Entra ID e efetua o login do utilizador com êxito.

13. Verifique as declarações que estão sendo passadas para garantir que elas correspondam ao que o SP espera.

14. Atualize o DNS e as configurações de rede (se aplicável). Se o seu provedor de serviços (SP) ou aplicativo usa configurações de DNS específicas para ADFS, talvez seja necessário atualizar essas configurações para apontar para os pontos de extremidade do Microsoft Entra ID.

15. Implementar e monitorizar

    1. Comunique-se com os usuários Notifique seus usuários sobre a alteração e forneça todas as instruções ou documentação necessárias.
    2. Vigiar os registos de autenticação Acompanhe os registos de início de sessão do Microsoft Entra ID para monitorizar quaisquer problemas de autenticação e resolvê-los prontamente.

Conteúdo relacionado

Depois de configurar o Amazon Business, você pode impor o controle de sessão, que protege a exfiltração e a infiltração de dados confidenciais da sua organização em tempo real. O controle de sessão se estende do Acesso Condicional. Saiba como impor o controlo de sessão com o Microsoft Defender for Cloud Apps.

Mais recursos

• Práticas recomendadas de SSO do Microsoft Entra ID