本文介绍如何将 Amazon Business 与 Microsoft Entra ID 集成。 将 Amazon Business 与 Microsoft Entra ID 集成后,可以:
- 在 Microsoft Entra ID 中控制谁有权访问 Amazon Business。
- 让用户能够使用其 Microsoft Entra 帐户自动登录到 Amazon Business。
- 在一个中心位置管理帐户。
先决条件
本文中概述的方案假定你已具备以下先决条件:
- 已启用 Amazon Business 单一登录 (SSO) 的订阅。 转到 Amazon Business 页面创建 Amazon Business 帐户。
方案描述
本文介绍如何在现有的 Amazon Business 帐户中配置和测试 Microsoft Entra SSO。
- Amazon Business 支持 SP 和 IDP 发起的 SSO。
- Amazon Business 支持“实时”用户预配。
- Amazon Business 支持自动用户预配。
注意
此应用程序的标识符是一个固定字符串值,因此只能在一个租户中配置一个实例。
从库中添加 Amazon Business
要配置 Amazon Business 与 Microsoft Entra ID 的集成,需要从库中将 Amazon Business 添加到托管 SaaS 应用程序列表。
- 至少以云应用程序管理员身份登录到 Microsoft Entra 管理中心。
- 请导航到 Entra ID>企业应用>新应用。
- 在“从库中添加”部分的搜索框中,键入 Amazon Business。
- 从结果面板中选择“Amazon Business”,然后添加该应用。 等待几秒钟,以便将该应用添加到租户。
或者,也可以使用企业应用配置向导。 在此向导中,可以将应用程序添加到租户,将用户/组添加到应用,分配角色,并逐步完成 SSO 配置。 详细了解 Microsoft 365 向导。
配置并测试 Amazon Business 的 Microsoft Entra SSO
使用名为 B.Simon 的测试用户配置并测试 Amazon Business 的 Microsoft Entra SSO。 要使 SSO 正常工作,需要在 Microsoft Entra 用户与 Amazon Business 中的相关用户之间建立关联。
要配置并测试 Amazon Business 的 Microsoft Entra SSO,请执行以下步骤:
-
配置 Microsoft Entra SSO - 使用户能够使用此功能。
- 创建 Microsoft Entra 测试用户 - 使用 B.Simon 测试 Microsoft Entra 单一登录。
- 分配 Microsoft Entra 测试用户 - 使 B.Simon 能够使用 Microsoft Entra 单一登录。
-
配置 Amazon Business SSO - 在应用程序端配置单一登录设置。
- 创建 Amazon Business 测试用户 - 在 Amazon Business 中为 B.Simon 创建一个与 Microsoft Entra 用户表示形式相链接的对应用户。
- 测试 SSO - 验证配置是否正常工作。
配置 Microsoft Entra SSO
按照以下步骤启用 Microsoft Entra SSO。
至少以云应用程序管理员身份登录到 Microsoft Entra 管理中心。
浏览到 Entra ID>Enterprise 应用>Amazon Business 应用程序集成页,找到 “管理 ”部分并选择 “单一登录”。
在“选择单一登录方法”页上选择“SAML”。
在“设置 SAML 单一登录”页上,选择“基本 SAML 配置”对应的铅笔图标以编辑设置。
要在 IDP 发起模式下进行配置,请在“基本 SAML 配置”部分中执行以下步骤:
在“标识符(实体 ID)”文本框中,键入以下 URL 之一:
URL 区域 https://www.amazon.com北美 https://www.amazon.co.jp东亚 https://www.amazon.de欧洲 在“回复 URL”文本框中,使用以下模式之一键入 URL:
URL 区域 https://www.amazon.com/bb/feature/sso/action/3p_redirect?idpid={idpid}北美 https://www.amazon.co.jp/bb/feature/sso/action/3p_redirect?idpid={idpid}东亚 https://www.amazon.de/bb/feature/sso/action/3p_redirect?idpid={idpid}欧洲 注意
“回复 URL”值不是实际值。 请使用实际回复 URL 更新此值。 可以从 Amazon Business SSO 配置部分获取
<idpid>该值,本文稍后将对此进行介绍。 还可参考“基本 SAML 配置”部分中显示的模式。
如果要在 SP 发起的模式下配置应用程序,需要将 Amazon Business 配置中提供的完整 URL 添加到“设置其他 URL”部分中的“登录 URL”。
以下屏幕截图显示了默认属性的列表。 通过在“用户属性和声明”部分中选择铅笔图标来编辑属性。
编辑“属性”,并将这些属性的“命名空间”值复制到记事本中。
除了上述属性以外,Amazon Business 应用程序还要求在 SAML 响应中传回其他几个属性。 在“组声明”对话框中的“用户属性和声明”部分执行以下步骤:
选择“声明中返回的组”旁边的“笔”图标。
在“组声明”对话框中,从单选列表选择“所有组”。
选择“组 ID”作为“源属性”。
选中“自定义组声明的名称”复选框,并根据组织的要求输入组名称。
选择“保存”。
在“设置 SAML 单一登录”页上的“SAML 签名证书”部分,选择“复制”按钮以复制应用联合元数据 URL,并将其保存在计算机上。
在“设置 Amazon Business”部分,根据要求复制相应的 URL。
创建和分配 Microsoft Entra 测试用户
请遵循创建和分配用户帐户快速指南中的指引,创建一个名为 B.Simon 的测试用户帐户。
在 Azure 门户中分配 Microsoft Entra 安全组
至少以云应用程序管理员身份登录到 Microsoft Entra 管理中心。
浏览到 Entra ID>企业应用>Amazon Business。
在“应用程序”列表中,键入并选择“Amazon Business”。
在左侧菜单中,选择用户和组。
选择“已添加的用户”。
搜索要使用的安全组,然后选择要将其添加到“选择成员”部分的组。 选择“选择”,然后选择“分配”。
注意
检查菜单栏中的通知,确定是否已将该组成功分配到企业应用程序。
配置 Amazon Business SSO
在另一个 Web 浏览器窗口中,以管理员身份登录 Amazon Business 公司站点
选择 “用户配置文件 ”,然后选择“ 业务设置”。
在“系统集成”向导中,选择“单一登录 (SSO)”。
在“设置 SSO”向导中,根据组织的要求选择提供程序,然后选择“下一步”。
注意
虽然 Microsoft ADFS 是列出的选项,但它不适用于 Microsoft Entra SSO。
在“新用户帐户的默认设置”向导中选择“默认组”,根据组织中的用户角色选择“默认购买角色”,然后选择“下一步”。
在“上传元数据文件”向导中,选择“粘贴 XML 链接”选项以粘贴“应用联合元数据 URL”值,然后选择“验证”。
注意
或者,也可以通过选择“上传 XML 文件”选项来上传联合元数据 XML 文件。
上传下载的元数据文件后, “连接数据 ”部分中的字段会自动填充。 之后选择“下一步”。
在“上传属性语句”向导中,选择“跳过”。
在 “属性映射 向导”上,通过选择“ + 添加字段 ”选项来添加要求字段。 将包含从 Azure 门户的“用户属性和声明”部分复制的命名空间的属性值添加到“SAML 属性名称”字段,然后选择“下一步”。
在“Amazon 连接数据”向导中,请确认 IDP 已配置,然后选择“继续”。
选中已配置步骤的“状态”,然后选择“开始测试”。
在“测试 SSO 连接”向导中,选择“测试”。
在“IDP 发起的 URL”向导中,选择“激活”前,复制分配给 idpid 的值,并粘贴到“基本 SAML 配置”部分“回复 URL”的 idpid 参数中。
在 “是否准备好切换到活动 SSO?” 向导中,选中 “我已完全测试了SSO,并准备好上线” 复选框,然后选择 “切换到实时”。
最后,在“SSO 连接详细信息”部分,“状态”将显示为“活动”。
注意
如果要在 SP 发起的模式下配置应用程序,请完成以下步骤,将上方屏幕截图中的登录 URL 粘贴到“设置其他 URL”部分的“登录 URL”文本框。 使用以下格式:
https://www.amazon.<TLD>/bb/feature/sso/action/start?domain_hint=<UNIQUE_ID>
创建 Amazon Business 测试用户
在本部分,你将在 Amazon Business 中创建名为 B.Simon 的用户。 Amazon Business 支持默认已启用的实时用户预配。 在此部分中,你无需执行任何操作。 如果 Amazon Business 中尚不存在用户,身份验证后会创建一个新用户。
测试 SSO
在本部分,你将使用以下选项测试 Microsoft Entra 单一登录配置。
SP 发起:
选择“ 测试此应用程序”,此选项将重定向到 Amazon Business 登录 URL,可在其中启动登录流。
直接转到 Amazon Business 单一登录 URL 并从那里启动登录流。
IDP 发起:
- 选择“ 测试此应用程序”,应会自动登录到为其设置了 SSO 的 Amazon Business。
还可以使用 Microsoft“我的应用”在任何模式下测试此应用程序。 当你在“我的应用”中选择 Amazon Business 磁贴时,如果配置为 SP 模式,将重定向到应用程序登录页以启动登录流;如果配置为 IDP 模式,应自动登录到已设置 SSO 的 Amazon Business。 有关“我的应用”的详细信息,请参阅“我的应用”简介。
将服务提供程序设置从 ADFS 重新配置为 Microsoft Entra ID
准备 Microsoft Entra ID 环境
- 验证 Microsoft Entra ID 高级订阅 确保拥有 Microsoft Entra ID 高级订阅,这是单一登录 (SSO) 和其他高级功能所必需的。
在 Microsoft Entra ID 中注册应用程序
- 在 Azure 门户中导航到“Microsoft Entra ID”。
- 选择“应用注册”>“新建注册”。
- 填写必需的详细信息:
- 名称:输入应用程序的有意义名称。
- 支持的帐户类型:选择适合你环境的选项。
- 重定向 URI:输入必要的重定向 URI(通常为应用程序的登录 URL)。
配置 Microsoft Entra ID SSO
- 在 Microsoft Entra ID 中设置单一登录。
- 在 Azure 门户中,转到 Microsoft Entra ID > 企业应用程序。
- 从列表中选择你的应用程序。
- 在“管理”下,选择“单一登录”。
- 选择“SAML”作为单一登录方法。
- 编辑基本 SAML 配置:
- 标识符(实体 ID):输入 SP 实体 ID。
- 回复 URL(断言使用者服务 URL):输入 SP ACS URL。
- 登录 URL:输入应用程序登录 URL(如适用)。
配置“用户属性和声明”
- 在基于 SAML 的登录设置中,选择“用户属性和声明”。
- 编辑和配置声明以匹配 SP 的要求。 这通常包括:
- NameIdentifier
- GivenName
- Surname
- 等等
下载 Microsoft Entra ID SSO 元数据
在“SAML 签名证书”部分中,下载联合元数据 XML。 这用于配置 SP。
重新配置服务提供者 (SP)
- 更新 SP 以使用 Microsoft Entra ID 元数据
- 访问你的 SP 配置设置。
- 更新 IdP 元数据 URL 或上传 Microsoft Entra ID 元数据 XML。
- 更新断言使用者服务 (ACS) URL、实体 ID 和其他所需字段以匹配 Microsoft Entra ID 配置。
配置 SAML 证书
确保 SP 配置为信任来自 Microsoft Entra ID 的签名证书。 可在 Microsoft Entra ID SSO 配置的“SAML 签名证书”部分中找到此证书。
测试 SSO 配置
从 SP 启动测试登录。
验证身份验证是否重定向到 Microsoft Entra ID 并成功登录用户。
检查传递的声明以确保符合 SP 预期。
更新 DNS 和网络设置(如适用)。 如果你的 SP 或应用程序使用特定于 ADFS 的 DNS 设置,可能需要更新这些设置以指向 Microsoft Entra ID 终结点。
推出和监控
- 与用户沟通 通知用户此更改并提供必要的说明或文档。
- 监控身份验证日志 密切关注 Microsoft Entra ID 登录日志,及时监控和解决任何身份验证问题。
相关内容
配置 Amazon Business 后,可以强制实施会话控制,实时防止组织的敏感数据外泄和渗透。 会话控制从条件访问扩展而来。 了解如何通过 Microsoft Defender for Cloud Apps 强制实施会话控制。