Sdílet prostřednictvím


Kurz: Konfigurace Amazon Business pro automatické zřizování uživatelů

Tento kurz popisuje kroky, které potřebujete provést v Amazon Business a Microsoft Entra ID ke konfiguraci automatického zřizování uživatelů. Když je nakonfigurované, Microsoft Entra ID automaticky zřídí a zruší zřízení uživatelů a skupin společnosti Amazon Business pomocí služby zřizování Microsoft Entra. Důležité podrobnosti o tom, co tato služba dělá, jak funguje, a nejčastější dotazy najdete v tématu Automatizace zřizování a rušení zřizování uživatelů pro aplikace SaaS pomocí Microsoft Entra ID.

Podporované funkce

  • Vytvářejte uživatele v Amazon Business.
  • Odeberte uživatele v Amazon Business, pokud už nevyžadují přístup.
  • Přiřaďte uživatelům role Amazon Business.
  • Udržujte atributy uživatele synchronizované mezi Microsoft Entra ID a Amazon Business.
  • Zřiďte skupiny a členství ve skupinách v Amazon Business.
  • Jednotné přihlašování k Amazon Business (doporučeno).

Požadavky

Scénář popsaný v tomto kurzu předpokládá, že už máte následující požadavky:

  • Tenant Microsoft Entra.
  • Jedna z následujících rolí: Správce aplikací, Správce cloudových aplikací nebo Vlastník aplikace.
  • Účet Amazon Business.
  • Uživatelský účet v Amazon Business s oprávněními správce (správce ve všech skupinách právnických osob ve vašem účtu Amazon Business).

Krok 1: Plánování nasazení zřizování

  1. Seznamte se s fungováním služby zřizování.
  2. Zjistěte, kdo bude v rozsahu zřizování.
  3. Určete, jaká data se mají mapovat mezi ID Microsoft Entra a Amazon Business.

Krok 2: Konfigurace Amazon Business pro podporu zřizování pomocí Microsoft Entra ID

Před konfigurací a povolením služby zřizování musíte identifikovat výchozí skupinu pro uživatele i skupiny. doporučujeme:

  • Pokud chcete mít oprávnění REQUISITIONER jenom pro výchozí skupinu uživatelů, postupujte podle principu nejnižších oprávnění.
  • Pokud chcete snadno odkazovat na skupiny v celém tomto dokumentu, postupujte podle níže uvedených zásad vytváření názvů skupin.
    • Výchozí nadřazená skupina SCIM
      • Toto je kořen vašeho adresáře SCIM v AmazonBusiness. Všechny skupiny SCIM jsou umístěné přímo pod touto výchozí skupinou. Jako výchozí nadřazenou skupinu SCIM můžete vybrat existující skupinu.
    • Výchozí skupina uživatelů SCIM
      • Uživatelé, kteří jsou přiřazeni k vaší aplikaci Amazon Business, se ve výchozím nastavení umístí do této skupiny s rolí Requisitioner. Doporučuje se mít tuto skupinu na stejné úrovni jako výchozí nadřazená skupina SCIM.
      • Pokud je uživatel zřízený bez přiřazení skupiny, umístí se do této skupiny ve výchozím nastavení s rolí Requisitioner.
      • Každý deaktivovaný uživatel zůstane v této skupině. Proto se doporučuje nepoužívat žádnou jinou roli než requisitioner pro tuto skupinu.

Poznámka:

  • Výchozí nadřazená skupina SCIM může být stejná jako výchozí skupina vybraná pro vaši konfiguraci jednotného přihlašování.
  • Výchozí nadřazená skupina SCIM může být skupina právnických osob. Volba právnické osoby jako výchozí skupiny se doporučuje, pokud máte v účtu AB nastavené různé šablony fakturace pro různé skupiny.
  • V současné době podporujeme povolení SCIM pouze pro jednu právnickou osobu v účtu Amazon Business.

Jakmile zjistíte výchozí skupiny SCIM, přejděte na stránku Správy identit obchodních nastavení > (SCIM) účtu Amazon Business>, zadejte podrobnosti a klikněte na Aktivovat. Než budete pokračovat k dalšímu kroku, je nutné tento krok dokončit.

Přidejte Amazon Business z galerie aplikací Microsoft Entra a začněte spravovat zřizování pro Amazon Business. Pokud jste dříve nastavili Amazon Business pro jednotné přihlašování, můžete použít stejnou aplikaci. Při počátečním testování integrace se ale doporučuje vytvořit samostatnou aplikaci. Další informace o přidání aplikace z galerie najdete tady.

Krok 4: Definujte, kdo bude v oboru zřizování

Služba zřizování Microsoft Entra umožňuje určit rozsah, který bude zřízen na základě přiřazení k aplikaci nebo na základě atributů uživatele nebo skupiny. Pokud se rozhodnete nastavit rozsah uživatelů, kteří se zřídí pro vaši aplikaci, na základě přiřazení, můžete k aplikaci přiřadit uživatele a skupiny pomocí následujících kroků. Pokud se rozhodnete nastavit rozsah uživatelů, kteří se zřídí, pouze na základě atributů jednotlivých uživatelů nebo skupin, můžete použít filtr rozsahu, jak je popsáno tady.

  • Při přiřazování uživatelů a skupin k Amazon Business musíte vybrat jinou roli než Výchozí přístup. Uživatelé s rolí Výchozí přístup jsou vyloučeni ze zřizování a v protokolech zřizování se označí příznakem neplatného nároku. Pokud je jedinou rolí dostupnou v aplikaci výchozí přístupová role, můžete aktualizovat manifest aplikace a přidat další role.
  • Začněte v malém. Než se pustíte do zavádění pro všechny, proveďte testování s malou skupinou uživatelů a skupin. Pokud je rozsah zřizování nastavený na přiřazené uživatele a skupiny, můžete testování provést tak, že k aplikaci přiřadíte jednoho nebo dva uživatele nebo skupiny. Pokud je rozsah nastavený na všechny uživatele a skupiny, můžete určit filtr rozsahu na základě atributů.
  • Manifest aplikace můžete aktualizovat a přidat role Amazon Business. Uživatel může mít jednu z následujících rolí:
    • Requisitioner (k zadání objednávek nebo odeslání žádostí o schválení).
    • Správce (pro správu lidí, skupin, rolí a schválení Zobrazit objednávky. Spouštění sestav objednávek)
    • Finance (přístup k fakturám, dobropisům, analýzám a historii objednávek).
    • Tech (nastavení systémových integrací s programy používanými v práci)

Snímek obrazovky se seznamem rolí aplikací

Krok 5: Konfigurace automatického zřizování uživatelů pro Amazon Business

Tato část vás provede postupem konfigurace služby zřizování Microsoft Entra pro vytvoření, aktualizaci a zakázání uživatelů a/nebo skupin v Amazon Business na základě přiřazení uživatelů a/nebo skupin v Microsoft Entra ID.

Konfigurace automatického zřizování uživatelů pro Amazon Business v Microsoft Entra ID:

  1. Přihlaste se do Centra pro správu Microsoft Entra jako alespoň správce cloudových aplikací.

  2. Přejděte k podnikovým aplikacím identit>>

    Snímek obrazovky s oknem Podnikové aplikace

  3. V seznamu aplikací vyberte Amazon Business.

    Snímek obrazovky s odkazem Amazon Business v seznamu Aplikace

  4. Vyberte kartu Zřizování.

    Snímek obrazovky s kartou Zřizování

  5. Nastavte Režim zřizování na hodnotu Automaticky.

    Snímek obrazovky s automatickou kartou Zřizování

  6. V části Přihlašovací údaje správce zadejte adresu URL tenanta Amazon Business, autorizační koncový bod. Klikněte na test připojení a ujistěte se, že se Microsoft Entra ID může připojit k Amazon Business. Pokud připojení selže, ujistěte se, že váš účet Amazon Business má oprávnění správce, a zkuste to znovu.

    Snímek obrazovky s tokenem

    Pro hodnoty adresy URL tenanta a autorizačního koncového bodu použijte následující tabulku.

    Země Adresa URL tenanta Koncový bod autorizace
    Kanada https://na.business-api.amazon.com/scim/v2/ https://www.amazon.ca/b2b/abws/oauth?state=1& redirect_uri=https://portal.azure.com/TokenAuthorize& applicationId=amzn1.sp.solution.ee27ec8c-1ee9-4c6b-9e68-26bdc37479d3
    Německo https://eu.business-api.amazon.com/scim/v2/ https://www.amazon.de/b2b/abws/oauth?state=1& redirect_uri=https://portal.azure.com/TokenAuthorize& applicationId=amzn1.sp.solution.ee27ec8c-1ee9-4c6b-9e68-26bdc37479d3
    Španělsko https://eu.business-api.amazon.com/scim/v2/ https://www.amazon.es/b2b/abws/oauth?state=1& redirect_uri=https://portal.azure.com/TokenAuthorize& applicationId=amzn1.sp.solution.ee27ec8c-1ee9-4c6b-9e68-26bdc37479d3
    Francie https://eu.business-api.amazon.com/scim/v2/ https://www.amazon.fr/b2b/abws/oauth?state=1& redirect_uri=https://portal.azure.com/TokenAuthorize& applicationId=amzn1.sp.solution.ee27ec8c-1ee9-4c6b-9e68-26bdc37479d3
    GB/VELKÁ BRITÁNIE https://eu.business-api.amazon.com/scim/v2/ https://www.amazon.co.uk/b2b/abws/oauth?state=1& redirect_uri=https://portal.azure.com/TokenAuthorize& applicationId=amzn1.sp.solution.ee27ec8c-1ee9-4c6b-9e68-26bdc37479d3
    Indie https://eu.business-api.amazon.com/scim/v2/ https://www.amazon.in/b2b/abws/oauth?state=1& redirect_uri=https://portal.azure.com/TokenAuthorize& applicationId=amzn1.sp.solution.ee27ec8c-1ee9-4c6b-9e68-26bdc37479d3
    Itálie https://eu.business-api.amazon.com/scim/v2/ https://www.amazon.it/b2b/abws/oauth?state=1& redirect_uri=https://portal.azure.com/TokenAuthorize& applicationId=amzn1.sp.solution.ee27ec8c-1ee9-4c6b-9e68-26bdc37479d3
    Japonsko https://jp.business-api.amazon.com/scim/v2/ https://www.amazon.co.jp/b2b/abws/oauth?state=1& redirect_uri=https://portal.azure.com/TokenAuthorize& applicationId=amzn1.sp.solution.ee27ec8c-1ee9-4c6b-9e68-26bdc37479d3
    Mexiko https://na.business-api.amazon.com/scim/v2/ https://www.amazon.com.mx/b2b/abws/oauth?state=1& redirect_uri=https://portal.azure.com/TokenAuthorize& applicationId=amzn1.sp.solution.ee27ec8c-1ee9-4c6b-9e68-26bdc37479d3
    (USA) https://na.business-api.amazon.com/scim/v2/ https://www.amazon.com/b2b/abws/oauth?state=1& redirect_uri=https://portal.azure.com/TokenAuthorize& applicationId=amzn1.sp.solution.ee27ec8c-1ee9-4c6b-9e68-26bdc37479d3
  7. Do pole Oznamovací e-mail zadejte e-mailovou adresu osoby nebo skupiny, na kterou by se měla odesílat oznámení o chybách zřizování, a zaškrtněte políčko Když dojde k selhání, poslat oznámení e-mailem.

    Snímek obrazovky s e-mailem s oznámením

  8. Zvolte Uložit.

  9. V části Mapování vyberte Synchronizovat uživatele Microsoft Entra s Amazon Business.

  10. Zkontrolujte atributy uživatele, které jsou synchronizovány z Microsoft Entra ID do Amazon Business v části Mapování atributů. Atributy vybrané jako Odpovídající vlastnosti se používají ke shodě uživatelských účtů v Amazon Business pro operace aktualizace. Pokud se rozhodnete změnit odpovídající cílový atribut, budete muset zajistit, aby rozhraní Amazon Business API podporovalo filtrování uživatelů na základě daného atributu. Výběrem tlačítka Uložit potvrďte všechny změny.

    Atribut Typ Podporováno pro filtrování Požadováno společností Amazon Business
    userName String
    aktivní Logická hodnota
    emails[type eq "work"].value String
    name.givenName String
    name.familyName String
    externalId String
    Role. Seznam appRoleAssignments [appRoleAssignments]
  11. V části Mapování vyberte Synchronizovat skupiny Microsoft Entra s Amazon Business.

  12. Zkontrolujte atributy skupiny, které jsou synchronizovány z Microsoft Entra ID do Amazon Business v části Mapování atributů. Atributy vybrané jako Odpovídající vlastnosti se používají ke shodě skupin v Amazon Business pro operace aktualizace. Výběrem tlačítka Uložit potvrďte všechny změny.

    Atribut Typ Podporováno pro filtrování Požadováno společností Amazon Business
    displayName String
    členové Reference
  13. Pokud chcete nakonfigurovat filtry rozsahu, postupujte podle pokynů uvedených v kurzu k filtrům rozsahu.

  14. Pokud chcete povolit službu zřizování Microsoft Entra pro Amazon Business, změňte stav zřizování na Zapnuto v části Nastavení .

    Snímek obrazovky se zapnutým zapnutým stavem zřizování

  15. Definujte uživatele nebo skupiny, které chcete zřídit pro Amazon Business, výběrem požadovaných hodnot v oboru v části Nastavení .

    Snímek obrazovky s oborem zřizování

  16. Až budete připravení zřídit, klikněte na Uložit.

    Snímek obrazovky s uložením konfigurace zřizování

Tato operace zahájí cyklus počáteční synchronizace všech uživatelů a skupin definovaných v nabídce Rozsah v části Nastavení. Počáteční cyklus trvá déle než následné cykly, ke kterým dochází přibližně každých 40 minut, pokud je spuštěná služba zřizování Microsoft Entra.

Krok 6: Monitorování nasazení

Po dokončení konfigurace zřizování můžete své nasazení monitorovat pomocí následujících prostředků:

  • S využitím protokolů zřizování můžete zjistit, kteří uživatelé se zřídili úspěšně a kteří neúspěšně.
  • Zkontrolujte indikátor průběhu a podívejte se na stav cyklu zřizování a jeho zavření.
  • Pokud se zdá, že konfigurace zřizování je v pořádku, aplikace přejde do karantény. Další informace o stavech karantény najdete tady.

Omezení funkce

  • Plochá struktura je vytvořena na účtu Amazon Business, to znamená, že všechny nabízené skupiny jsou na stejné úrovni pod výchozí skupinou SCIM. Vnořená struktura nebo hierarchie se nepodporuje.
  • Názvy skupin budou stejné v účtu Azure a Amazon Business.
  • S tím, jak se vytvoří nové skupiny na účtu Amazon Business, musí správci podle potřeby znovu nakonfigurovat obchodní nastavení (například zapnout nákup, aktualizovat sdílená nastavení, přidat zásady nákupu s asistencí atd.) pro nové skupiny.
  • Odstranění starých skupin / odebrání uživatelů ze starých skupin v Amazon Business způsobí ztrátu viditelnosti objednávek zadaných v této staré skupině, proto se doporučuje
    • Neodstraňovat staré skupiny nebo přiřazení a
    • Vypněte nákup pro staré skupiny.
  • Aktualizace e-mailu a uživatelského jména – Aktualizace e-mailu nebo uživatelského jména prostřednictvím SCIM se v tuto chvíli nepodporuje.
  • Synchronizace hesel – Synchronizace hesel se nepodporuje.
  • Požadavek na jednotné přihlašování – Zatímco aplikace Amazon Business umožňuje aktivaci zřizování SCIM bez jednotného přihlašování, zřizovací uživatelé budou vyžadovat ověřování jednotného přihlašování, aby mohli přistupovat k Amazon Business.
  • Účty více právních entit (MLE) – V současné době nepodporujeme povolení SCIM pro více než jednu právnickou osobu v účtu Amazon Business.
  • Při zřizování skupiny se stejným názvem jako již existující v Amazon Business budou tyto skupiny automaticky propojeny (nová skupina se vytvoří v Amazon Business).

Rady pro řešení potíží

  • Pokud se správci Amazon Business přihlásili jenom pomocí jednotného přihlašování nebo nezná svá hesla, můžou k resetování hesla použít zapomenutý tok hesla a pak se přihlásit k Amazon Business.
  • Pokud už role správce a requisitioner byly použity pro zákazníka ve skupině, přiřazení rolí Finance nebo Tech nebude mít za následek aktualizace na straně Amazon Business.
  • Zákazníci s účty MASE (více účtů stejného e-mailu), kteří odstraní jeden ze svých účtů, můžou zobrazit chyby, které účet neexistuje při zřizování nových uživatelů po krátkou dobu (24–48 hodin).
  • Zákazníci se nedají okamžitě odebrat prostřednictvím zřizování na vyžádání. Zřizování musí být zapnuté a odebrání proběhne 40 minut po provedení akce.

Další materiály

Další kroky