Dela via

Integrera Amazon Business med Microsoft Entra-ID

  • Artikel

I den här artikeln lär du dig att integrera Amazon Business med Microsoft Entra-ID. När du integrerar Amazon Business med Microsoft Entra-ID kan du:

  • Kontrollera i Microsoft Entra ID vem som har åtkomst till Amazon Business.
  • Gör så att dina användare automatiskt loggas in på Amazon Business med sina Microsoft Entra-konton.
  • Hantera dina konton på en central plats.

Förutsättningar

Scenariot som beskrivs i den här artikeln förutsätter att du redan har följande förutsättningar:

  • En Amazon Business-prenumeration med enkel inloggning (SSO) aktiverat. Gå till Amazon Business-sidan för att skapa ett Amazon Business-konto.

Beskrivning av scenario

I den här artikeln konfigurerar och testar du Microsoft Entra SSO i ett befintligt Amazon Business-konto.

  • Amazon Business stöder SP- och IDP-initierad SSO.
  • Amazon Business stöder just-in-time-användaretablering .
  • Amazon Business har stöd för automatiserad användaretablering.

Anteckning

Identifieraren för det här programmet är ett fast strängvärde så att endast en instans kan konfigureras i en klientorganisation.

För att konfigurera integreringen av Amazon Business i Microsoft Entra-ID måste du lägga till Amazon Business från galleriet till din lista över hanterade SaaS-appar.

  1. Logga in på administrationscentret för Microsoft Entra som minst molnprogramadministratör.
  2. Bläddra till Identity>Applikationer>Företagsapplikationer>Nytt program.
  3. I avsnittet Lägg till från galleriet skriver du Amazon Business i sökrutan.
  4. Välj Amazon Business i resultatpanelen och lägg sedan till appen. Vänta några sekunder medan appen läggs till i din hyrestagare.

Du kan också använda guiden Konfiguration av företagsappar. I den här guiden kan du lägga till ett program i din klientorganisation, lägga till användare/grupper i appen, tilldela roller och gå igenom SSO-konfigurationen. Läs mer om Microsoft 365-guider.

Konfigurera och testa Microsoft Entra SSO för Amazon Business

Konfigurera och testa Microsoft Entra SSO med Amazon Business med hjälp av en testanvändare med namnet B.Simon. För att enkel inloggning ska fungera måste du upprätta en länkrelation mellan en Microsoft Entra-användare och den relaterade användaren i Amazon Business.

Utför följande steg för att konfigurera och testa Microsoft Entra SSO med Amazon Business:

  1. Konfigurera Microsoft Entra SSO – så att användarna kan använda den här funktionen.
    1. Skapa en Microsoft Entra-testanvändare – för att testa enkel inloggning med Microsoft Entra med B.Simon.
    2. Tilldela Microsoft Entra-testanvändaren – så att B.Simon kan använda enkel inloggning med Microsoft Entra.
  2. Konfigurera Amazon Business SSO – för att konfigurera inställningarna för enkel inloggning på programsidan.
    1. Skapa Amazon Business-testanvändare – för att ha en motsvarighet till B.Simon i Amazon Business som är länkad till Microsoft Entra-representationen av användaren.
  3. Testa SSO – för att kontrollera om konfigurationen fungerar.

Konfigurera Microsoft Entra SSO

Följ de här stegen för att aktivera Enkel inloggning i Microsoft Entra.

  1. Logga in på administrationscentret för Microsoft Entra som minst molnprogramadministratör.

  2. Bläddra till Identity>Applikationer>Enterprise-applikationer>Amazon Business applikationsintegreringssida, leta upp Hantera-avsnittet och välj Enkel inloggning.

  3. På sidan Välj en metod för enkel inloggning väljer du SAML.

  4. På sidan Konfigurera enkel inloggning med SAML väljer du pennikonen för Grundläggande SAML-konfiguration för att redigera inställningarna.

    Redigera grundläggande SAML-konfiguration

  5. Utför följande steg i avsnittet Grundläggande SAML-konfiguration om du vill konfigurera i IDP-initierat läge:

    1. I textrutan Identifierare (entitets-ID) skriver du någon av följande URL:er:

      webbadress Region
      https://www.amazon.com Nordamerika
      https://www.amazon.co.jp Asien, östra
      https://www.amazon.de Europa

    2. I textrutan Svars-URL skriver du en URL med något av följande mönster:

      webbadress Region
      https://www.amazon.com/bb/feature/sso/action/3p_redirect?idpid={idpid} Nordamerika
      https://www.amazon.co.jp/bb/feature/sso/action/3p_redirect?idpid={idpid} Asien, östra
      https://www.amazon.de/bb/feature/sso/action/3p_redirect?idpid={idpid} Europa

      Anteckning

      Värdet för svars-URL är inte verkligt. Uppdatera det här värdet med den faktiska svars-URL:en. Du får <idpid>-värdet från konfigurationsavsnittet för Amazon Business SSO, som beskrivs senare i artikeln. Du kan också referera till de mönster som visas i avsnittet Grundläggande SAML-konfiguration .

  6. Om du vill konfigurera programmet i SP-initierat läge måste du lägga till den fullständiga URL:en som anges i Amazon Business-konfigurationen i inloggnings-URL:en i avsnittet Ange ytterligare URL:er .

  7. I följande skärmbild visas listan över standardattribut. Redigera attributen genom att klicka på pennikoneni avsnittet Användarattribut och anspråk.

    Skärmbild som visar användarattribut och anspråk med standardvärden som User.givenname och Emailaddress user.mail.

  8. Redigera attributen och kopiera namnområdesvärdet för dessa attribut till Anteckningar.

    Skärmbild som visar användarattribut och anspråk med kolumner för anspråksnamn och -värde.

  9. Utöver ovanstående förväntar sig Amazon Business-applikationen att fler attribut skickas tillbaka i SAML-svaret. I avsnittet Användarattribut och anspråk i dialogrutan Gruppanspråk, utför följande steg:

    1. Välj pennan bredvid Grupper returnerade i anspråk.

      Skärmbild som visar användarattribut och anspråk där ikonen för grupper, vald i anspråk, är markerad.

    2. I dialogrutan Gruppanspråk väljer du Alla grupper från radioknapparna.

    3. Välj Grupp-ID som källattribut.

    4. Markera kryssrutan Anpassa namnet på gruppanspråket och ange gruppnamnet enligt organisationens krav.

    5. Välj Spara.

  10. På sidan Konfigurera enkel inloggning med SAML går du till avsnittet SAML-signeringscertifikat och väljer kopieringsknappen för att kopiera url:en för appfederationsmetadata och sparar den på datorn.

    Länk för nedladdning av certifikatet

  11. I avsnittet Konfigurera Amazon Business kopierar du lämpliga URL:er baserat på dina behov.

    Kopiera konfigurations-URL:er

Skapa en Microsoft Entra-testanvändare

I det här avsnittet skapar du en testanvändare med namnet B.Simon.

Kommentar

Administratörer måste skapa testanvändarna i sin klientorganisation om det behövs. Följande steg visar hur du skapar en testanvändare.

  1. Logga in på administrationscentret för Microsoft Entra som minst användaradministratör.
  2. Gå till Identitet>Användare>Alla användare.
  3. Välj Ny användare>Skapa ny användare överst på skärmen.
  4. Följ dessa steg i användaregenskaperna :
    1. I fältet Visningsnamn anger du B.Simon.
    2. I fältet Användarens huvudnamn anger du username@companydomain.extension. Exempel: B.Simon@contoso.com
    3. Markera kryssrutan Visa lösenord och skriv sedan ned det värde som visas i rutan Lösenord.
    4. Välj Granska + skapa.
  5. Välj Skapa.

Skapa en Microsoft Entra-säkerhetsgrupp i Azure Portal

  1. Bläddra till Identitet>Grupper>Alla grupper.

  2. Välj Ny grupp:

    Skärmbild som visar knappen Ny grupp.

  3. Fyll i Grupptyp, Gruppnamn, Gruppbeskrivning, Medlemskapstyp. Välj på pilen för att välja medlemmar och sök sedan efter eller välj den medlem som du vill lägga till i gruppen. Välj på Välj för att lägga till de valda medlemmarna och välj sedan på Skapa.

    Skärmbild som visar fönstret Grupp med alternativ, inklusive att välja medlemmar och bjuda in externa användare.

Tilldela Microsoft Entra-testanvändaren

I det här avsnittet gör du det möjligt för B.Simon att använda enkel inloggning genom att ge åtkomst till Amazon Business.

  1. Logga in på administrationscentret för Microsoft Entra som minst molnprogramadministratör.

  2. Bläddra till Identity>Applikationer>Företagsapplikationer>Amazon Business.

  3. På appens översiktssida hittar du avsnittet Hantera och väljer Användare och grupper.

  4. Välj sedan Lägg till användare och Användare och grupper i dialogrutan Tillagd tilldelning.

  5. I dialogrutan Användare och grupper väljer du B.Simon i listan Användare och väljer sedan knappen Välj längst ned på skärmen.

  6. Om du förväntar dig något rollvärde i SAML-försäkran går du till dialogrutan Välj roll och väljer lämplig roll för användaren i listan och väljer sedan knappen Välj längst ned på skärmen.

  7. I dialogrutan Lägg till tilldelning väljer du knappen Tilldela.

    Kommentar

    Om du inte tilldelar användarna i Microsoft Entra-ID:t får du följande fel.

    Skärmbild som visar ett felmeddelande om att du inte kan loggas in.

Tilldela Microsoft Entra-säkerhetsgruppen i Azure Portal

  1. Logga in på administrationscentret för Microsoft Entra som minst molnprogramadministratör.

  2. Bläddra till Identity>Applikationer>Företagsapplikationer>Amazon Business.

  3. I programlistan skriver du och väljer Amazon Business.

  4. I menyn till vänster väljer du Användare och grupper.

  5. Välj den tillagda användaren.

  6. Sök efter den säkerhetsgrupp som du vill använda och välj sedan i gruppen för att lägga till den i avsnittet Välj medlemmar. Välj Välj och välj sedan Tilldela.

    Söksäkerhetsgrupp

    Anteckning

    Kontrollera meddelandena i menyraden för att få ett meddelande om att gruppen har tilldelats till Enterprise-programmet.

Konfigurera Amazon Business SSO

  1. I ett annat webbläsarfönster loggar du in på din företagswebbplats för Amazon Business som administratör

  2. Välj i användarprofilen och välj Affärsinställningar.

    Användarprofil

  3. guiden System-integreringar väljer du Enkel inloggning (SSO).

    Enkel inloggning (SSO)

  4. I guiden Konfigurera enkel inloggning väljer du providern enligt organisationens krav och väljer Nästa.

    Anteckning

    Även om Microsoft ADFS är ett listat alternativ fungerar det inte med Microsoft Entra SSO.

  5. I guiden Ny standard för användarkonto väljer du Standardgrupp och sedan Standardköpsroll enligt användarrollen i din organisation och väljer Nästa.

    Skärmbild som visar Standardinställningar för nytt användarkonto med Microsoft S S O, Requisitioner och Nästa valt.

  6. I guiden Ladda upp metadatafil väljer du alternativet Klistra in XML-länk för att klistra in url-värdet för appfederationsmetadata och väljer Verifiera.

    Anteckning

    Alternativt kan du också ladda upp Federationsmetadata XML-filen genom att klicka på alternativet Ladda upp XML-fil.

  7. När du har laddat upp den nedladdade metadatafilen fylls fälten i avsnittet Anslutningsdata i automatiskt. Därefter väljer du Nästa.

  8. I guiden Ladda upp attributet väljer du Hoppa över.

    Skärmbild som visar Upload your Attribute statement (Ladda upp attributet), där du kan bläddra till en attribututtryck, men i det här fallet väljer du Hoppa över.

  9. I guiden Attributmappning lägger du till kravfälten genom att klicka på alternativet + Lägg till ett fält. Lägg till attributvärdena, inklusive namnområdet, som du har kopierat från avsnittet Användarattribut och anspråk i Azure Portal i fältet SAML AttributeName och välj Nästa.

    Skärmbild som visar attributmappning, där du kan redigera dina SAML-attributnamn för Amazon-data.

  10. I guiden Amazon-anslutningsdata bekräftar du att din IDP har konfigurerats och väljer Fortsätt.

    Skärmbild som visar Amazon-anslutningsdata, där du kan klicka bredvid för att fortsätta.

  11. Kontrollera statusen för de steg som har konfigurerats och välj Starta testning.

  12. I guiden Testa SSO-anslutning väljer du Test.

    Skärmbild visar Test SSO-anslutning med testknappen.

  13. Innan du väljer Aktivera i guiden IDP-initierad URL kopierar du värdet, som tilldelas till idpid och klistrar in i parametern idpid i svars-URL:en i avsnittet Grundläggande SAML-konfiguration.

    Skärmbild som visar I D P-initierad U R L där du kan få en U R L som krävs för testning och sedan välja Aktivera.

  14. I guiden Är du redo att växla till aktiv enkel inloggning? kontrollerar du att jag har testat enkel inloggning fullt ut och är redo att gå live och väljer på Växla till aktiv.

    Skärmbild som visar om du är redo att växla till en aktiv S S O-bekräftelse där du kan välja Växla till aktiv.

  15. Slutligen visas i avsnittet Anslutningsdetaljer för SSOStatus som Aktiv.

    Anteckning

    Om du vill konfigurera programmet i SP-initierat läge slutför du följande steg och klistrar in inloggnings-URL:en från skärmbilden ovan i textrutan Inloggnings-URL i avsnittet Ange ytterligare URL:er. Använd följande format:

    https://www.amazon.<TLD>/bb/feature/sso/action/start?domain_hint=<UNIQUE_ID>

Skapa Amazon Business-testanvändare

I det här avsnittet skapas en användare med namnet B.Simon i Amazon Business. Amazon Business stöder just-in-time-användaretablering, vilket är aktiverat som standard. Det finns inget åtgärdsobjekt för dig i det här avsnittet. Om en användare inte redan finns i Amazon Business skapas en ny efter autentisering.

Testa SSO

I det här avsnittet testar du konfigurationen av enkel inloggning med Microsoft Entra med följande alternativ.

SP-initierad:

  • Välj På Testa det här programmet omdirigeras detta till Amazon Business-inloggnings-URL där du kan initiera inloggningsflödet.

  • Gå direkt till URL:en för enkel inloggning för Amazon Business och initiera inloggningsflödet därifrån.

IDP-initierad:

  • Välj Testa det här programmet så bör du automatiskt loggas in på Amazon Business som du har konfigurerat enkel inloggning för.

Du kan också använda Microsoft Mina appar för att testa programmet i valfritt läge. När du väljer Amazon Business-panelen i Mina appar omdirigeras du om du konfigureras i SP-läge till inloggningssidan för programmet för att initiera inloggningsflödet och om det konfigureras i IDP-läge bör du automatiskt loggas in på Amazon Business som du har konfigurerat enkel inloggning för. Mer information om Mina appar finns i Introduktion till Mina appar.

Konfigurera om tjänstproviderinställningar från ADFS till Microsoft Entra-ID

  1. Förbereda Microsoft Entra ID-miljö

    1. Kontrollera Microsoft Entra ID Premium-prenumeration Se till att du har en Microsoft Entra ID Premium-prenumeration som krävs för enkel inloggning (SSO) och andra avancerade funktioner.

  2. Registrera programmet i Microsoft Entra-ID

    1. Gå till Microsoft Entra-ID i Azure Portal.
    2. Välj "Appregistreringar" > "Ny registrering".
    3. Fyll i nödvändig information:
      1. Namn: Ange ett beskrivande namn för programmet.
      2. Kontotyper som stöds: Välj lämpligt alternativ för din miljö.
      3. Omdirigerings-URI: Ange nödvändiga omdirigerings-URI:er (vanligtvis programmets inloggnings-URL).

  3. Konfigurera Microsoft Entra ID SSO

    1. Konfigurera enkel inloggning i Microsoft Entra-ID.
    2. I Azure Portal går du till Microsoft Entra ID > Enterprise-program.
    3. Välj ditt program i listan.
    4. Under "Hantera" väljer du "Enkel inloggning".
    5. Välj "SAML" som metod för enkel inloggning.
    6. Redigera den grundläggande SAML-konfigurationen:
      1. Identifier (entitets-ID): Ange SP-entitets-ID.
      2. Svars-URL (URL för konsumenttjänst för försäkran): Ange SP ACS-URL:en.
      3. Inloggnings-URL: Ange url för programinloggning om tillämpligt.

  4. Konfigurera användarattribut och anspråk

    1. I inställningarna för SAML-baserad inloggning väljer du "Användarattribut och anspråk".
    2. Redigera och konfigurera anspråk så att de matchar de som krävs av din tjänsteleverantör. Detta omfattar vanligtvis:
      1. Namnidentifierare
      2. Email
      3. GivenName
      4. Surname
      5. och så vidare.

  5. Ladda ned SSO-metadata för Microsoft Entra ID

  6. I avsnittet SAML-signeringscertifikat laddar du ned XML för federationsmetadata. Detta används för att konfigurera din SP.

  7. Konfigurera om tjänstprovidern (SP)

    1. Uppdatera SP för att använda Microsoft Entra-ID-metadata
    2. Få åtkomst till SP:s konfigurationsinställningar.
    3. Uppdatera IdP-metadata-URL:en eller ladda upp XML för Microsoft Entra-ID-metadata.
    4. Uppdatera URL:en för kontrollkonsumenttjänsten (ACS), entitets-ID och andra obligatoriska fält så att de matchar Microsoft Entra-ID-konfigurationen.

  8. Konfigurera SAML-certifikat

  9. Kontrollera att SP är konfigurerat för att lita på signeringscertifikatet från Microsoft Entra ID. Detta finns i avsnittet SAML-signeringscertifikat i Microsoft Entra ID SSO-konfigurationen.

  10. Testa SSO-konfiguration

  11. Initiera en testinloggning från SP.

  12. Kontrollera att autentiseringen omdirigeras till Microsoft Entra-ID och loggar in användaren.

  13. Kontrollera kraven som skickas för att säkerställa att de matchar vad tjänsteleverantören förväntar sig.

  14. Uppdatera DNS- och nätverksinställningar (om tillämpligt). Om ditt SP eller program använder DNS-inställningar som är specifika för ADFS kan du behöva uppdatera de här inställningarna så att de pekar på Microsoft Entra-ID-slutpunkter.

  15. Distribuera och övervaka

    1. Kommunicera med användare Meddela användarna om ändringen och ange nödvändiga instruktioner eller dokumentation.
    2. Övervaka autentiseringsloggar Håll ett öga på inloggningsloggarna för Microsoft Entra-ID för att övervaka eventuella autentiseringsproblem och åtgärda dem snabbt.

Relaterat innehåll

När du har konfigurerat Amazon Business kan du framtvinga sessionskontroll, vilket skyddar exfiltrering och infiltration av organisationens känsliga data i realtid. Sessionskontrollen utökas från villkorlig åtkomst. Lär dig hur du framtvingar sessionskontroll med Microsoft Defender för molnet Apps.

Fler resurser