次の方法で共有

チュートリアル: Amazon ビジネスと Microsoft Entra ID との統合

  • [アーティクル]

このチュートリアルでは、Amazon Business と Microsoft Entra ID を統合する方法について説明します。 Amazon ビジネスと Microsoft Entra ID を統合すると、次のことができます。

  • Amazon ビジネスにアクセスできるユーザーを Microsoft Entra ID で制御します。
  • ユーザーが自分の Microsoft Entra アカウントを使用して Amazon Business に自動的にサインインできるように設定できます。
  • 1 つの場所でアカウントを管理します。

前提条件

開始するには、次が必要です。

  • Microsoft Entra サブスクリプション。 サブスクリプションがない場合は、無料アカウントを取得できます。
  • Amazon ビジネスでのシングル サインオン (SSO) が有効なサブスクリプション。 Amazon ビジネスのページに移動して、Amazon ビジネス アカウントを作成します。

シナリオの説明

このチュートリアルでは、既存の Amazon ビジネス アカウント内で Microsoft Entra SSO を構成してテストします。

  • Amazon ビジネスでは、SP と IDP によって開始される SSO がサポートされます。
  • Amazon ビジネスでは、Just-In-Time ユーザー プロビジョニングがサポートされます。
  • Amazon Business は、自動化されたユーザー プロビジョニングをサポートしています。

Note

このアプリケーションの識別子は固定文字列値であるため、1 つのテナントで構成できるインスタンスは 1 つだけです。

Microsoft Entra ID への Amazon ビジネスの統合を構成するには、ギャラリーからご自分のマネージド SaaS アプリの一覧に Amazon ビジネスを追加する必要があります。

  1. クラウド アプリケーション管理者以上として Microsoft Entra 管理センターにサインインします。
  2. [ID]>[アプリケーション]>[エンタープライズ アプリケーション]>[新しいアプリケーション] に移動します。
  3. [ギャラリーから追加する] セクションで、検索ボックスに、「Amazon Business」と入力します。
  4. 結果ウィンドウで [Amazon Business] を選択し、アプリを追加します。 お使いのテナントにアプリが追加されるのを数秒待機します。

または、Enterprise App Configuration ウィザードを使用することもできます。 このウィザードでは、テナントへのアプリケーションの追加、アプリへのユーザーとグループの追加、ロールの割り当てができるほか、SSO の構成も行うことができます。 Microsoft 365 ウィザードの詳細をご覧ください。

Amazon ビジネスに対する Microsoft Entra SSO の構成とテスト

B.Simon というテスト ユーザーを使用して、Amazon ビジネスに対する Microsoft Entra SSO を構成してテストします。 SSO が機能するためには、Microsoft Entra ユーザーと Amazon ビジネスの関連ユーザーとの間にリンク関係を確立する必要があります。

Amazon ビジネスに対して Microsoft Entra SSO を構成してテストするには、次の手順を実行します:

  1. Microsoft Entra SSO を構成する - ユーザーがこの機能を使用できるようにします。
    1. Microsoft Entra のテスト ユーザーの作成 - B.Simon を使用して Microsoft Entra シングル サインオンをテストします。
    2. Microsoft Entra テスト ユーザーを割り当てる - B.Simon が Microsoft Entra シングル サインオンを使用できるようにします。
  2. Amazon ビジネス SSO の構成 - アプリケーション側でシングル サインオン設定を構成します。
    1. Amazon ビジネスのテスト ユーザーの作成 - Amazon ビジネスで B.Simon に対応するユーザーを作成し、Microsoft Entra の B.Simon にリンクさせます。
  3. SSO のテスト - 構成が機能するかどうかを確認します。

Microsoft Entra SSO の構成

次の手順に従って Microsoft Entra SSO を有効にします。

  1. クラウド アプリケーション管理者以上として Microsoft Entra 管理センターにサインインします。

  2. [ID][アプリケーション][エンタープライズ アプリケーション][Amazon Business] アプリケーション統合ページの順に移動し、[管理] セクションを見つけ、[シングル サインオン] を選択します。

  3. [シングル サインオン方式の選択] ページで、 [SAML] を選択します。

  4. [SAML によるシングル サインオンのセットアップ] ページで、 [基本的な SAML 構成] の鉛筆アイコンを選択して設定を編集します。

    基本的な SAML 構成を編集する

  5. [基本的な SAML 構成] セクションで、IDP Initiated モードで構成する場合は、次の手順を実行します。

    1. [識別子 (エンティティ ID)] テキスト ボックスに、次のいずれかの URL を入力します。

      URL リージョン
      https://www.amazon.com 北米
      https://www.amazon.co.jp 東アジア
      https://www.amazon.de ヨーロッパ

    2. [応答 URL] ボックスに、次のいずれかのパターンを使用して URL を入力します。

      URL リージョン
      https://www.amazon.com/bb/feature/sso/action/3p_redirect?idpid={idpid} 北米
      https://www.amazon.co.jp/bb/feature/sso/action/3p_redirect?idpid={idpid} 東アジア
      https://www.amazon.de/bb/feature/sso/action/3p_redirect?idpid={idpid} ヨーロッパ

      注意

      応答 URL 値は、実際の値ではありません。 実際の応答 URL でこの値を更新します。 <idpid> の値は、このチュートリアルで後述する「Amazon ビジネス SSO の構成」セクションで得られます。 [基本的な SAML 構成] セクションに示されているパターンを参照することもできます。

  6. SP 開始モードでアプリケーションを構成する場合は、Amazon Business の構成に指定されている完全な URL を、[追加の URL を設定します] セクションの [サインオン URL] に追加する必要があります。

  7. 次のスクリーンショットには、既定の属性一覧が示されています。 [ユーザー属性と要求] セクションで、鉛筆アイコンをクリックして、属性を編集します。

    スクリーンショットは [User Attributes & Claims]\(ユーザー属性とクレーム\) を示しています。[Givenname]\(名\) の user.givenname や [Emailaddress]\(メール アドレス\) の user.mail など、既定値が表示されています。

  8. 属性を編集し、これらの属性の名前空間の値をメモ帳にコピーします。

    このスクリーンショットは、[クレーム名] 列と [値] 列が表示された状態の [User Attributes & Claims]\(ユーザー属性と要求\) を示しています。

  9. その他に、Amazon ビジネス アプリケーションでは、いくつかの属性が SAML 応答で返されることが想定されています。 [グループ要求] ダイアログの [ユーザー属性と要求] セクションで、次の手順を実行します。

    1. [Groups returned in claim](要求で返されるグループ) の横にあるペンをクリックします。

      このスクリーンショットは、[クレームで返されるグループ] のアイコンが選択された状態の [User Attributes & Claims]\(ユーザー属性と要求\) を示しています。

    2. [グループ クレーム] ダイアログで、ラジオ ボタンのリストから [すべてのグループ] を選びます。

    3. [ソース属性] として [グループ ID] を選択します。

    4. [グループ要求の名前をカスタマイズする] チェック ボックスをオンにし、ご自分の組織の要件に従ってグループ名を入力します。

    5. [保存] を選択します。

  10. [SAML によるシングル サインオンのセットアップ] ページの [SAML 署名証明書] セクションで、コピー ボタンを選択して [アプリのフェデレーション メタデータ URL] をコピーし、コンピューターに保存します。

    証明書のダウンロード リンク

  11. [Amazon Business のセットアップ] セクションで、要件に基づいて適切な URL をコピーします。

    構成 URL をコピーする

Microsoft Entra テスト ユーザーを作成する

このセクションでは、B.Simon というテスト ユーザーを作成します。

Note

管理者は、必要に応じて、ご自分のテナント内にテスト ユーザーを作成する必要があります。 次の手順は、テスト ユーザーを作成する方法を示しています。

  1. Microsoft Entra 管理センターユーザー管理者以上でサインインしてください。
  2. [ID]>[ユーザー]>[すべてのユーザー] の順に移動します。
  3. 画面の上部で [新しいユーザー]>[新しいユーザーの作成] を選択します。
  4. [ユーザー] プロパティで、以下の手順を実行します。
    1. "表示名" フィールドに「B.Simon」と入力します。
    2. [ユーザー プリンシパル名] フィールドに「username@companydomain.extension」と入力します。 たとえば、「 B.Simon@contoso.com 」のように入力します。
    3. [パスワードを表示] チェック ボックスをオンにし、 [パスワード] ボックスに表示された値を書き留めます。
    4. [Review + create](レビュー + 作成) を選択します。
  5. [作成] を選択します。

Azure portal での Microsoft Entra セキュリティ グループの作成

  1. [ID]>[グループ]>[すべてのグループ] を参照します。

  2. [新しいグループ] を選びます。

    このスクリーンショットは、[新しいグループ] ボタンを示しています。

  3. [グループの種類][グループ名][グループの説明][メンバーシップの種類] を入力します。 矢印を選択してメンバーを選択し、グループに追加するメンバーを検索または選択します。 [選択] を選択し、選択したメンバーを追加した後、[作成] を選択します。

    このスクリーンショットは、メンバーの選択や外部ユーザーの招待などのオプションを含む [グループ] ペインを示しています。

Microsoft Entra テスト ユーザーを割り当てる

このセクションでは、B.Simon に Amazon Business へのアクセスを許可して、シングル サインオンを使用できるようにします。

  1. クラウド アプリケーション管理者以上として Microsoft Entra 管理センターにサインインします。

  2. [ID]>[アプリケーション]>[エンタープライズ アプリケーション]>[Amazon Business] の順に移動します。

  3. アプリの概要ページで、 [管理] セクションを見つけて、 [ユーザーとグループ] を選択します。

  4. [ユーザーの追加] を選択し、[割り当ての追加] ダイアログで [ユーザーとグループ] を選択します。

  5. [ユーザーとグループ] ダイアログ ボックスの [ユーザー] の一覧で [B.Simon] を選択し、画面の下部にある [選択] ボタンを選択します。

  6. SAML アサーション内に任意のロール値が必要な場合、[ロールの選択] ダイアログでユーザーに適したロールを一覧から選択し、画面の下部にある [選択] を選択します。

  7. [割り当ての追加] ダイアログで、[割り当て] ボタンを選択します。

    Note

    Microsoft Entra ID 内でユーザーを割り当てないと、次のエラーが表示されます。

    このスクリーンショットは、サインインできないことを示すエラー メッセージを示しています。

Azure portal での Microsoft Entra セキュリティ グループの割り当て

  1. クラウド アプリケーション管理者以上として Microsoft Entra 管理センターにサインインします。

  2. [ID]>[アプリケーション]>[エンタープライズ アプリケーション]>[Amazon Business] の順に移動します。

  3. アプリケーションの一覧で、「Amazon Business」と入力し、選択します。

  4. 左側のメニューで [ユーザーとグループ] を選びます。

  5. 追加ユーザーを選択します。

  6. 使用するセキュリティ グループを検索してから、グループをクリックして [メンバーの選択] セクションに追加します。 選択を選択し、[割り当て] を選択します。

    セキュリティ グループの検索

    Note

    メニュー バーの通知で、グループがエンタープライズ アプリケーションに正常に割り当てられたことを確認します。

Amazon ビジネス SSO の構成

  1. 別の Web ブラウザー ウィンドウで、Amazon Business 企業サイトに管理者としてサインインします

  2. ユーザー プロファイルをクリックし、[Business Settings](ビジネス設定) を選択します。

    ユーザー プロファイル

  3. System integrations (システム統合) ウィザードで、 [Single Sign-On (SSO)](シングルサインオン (SSO)) を選択します。

    シングル サインオン (SSO)

  4. Set up SSO (SSO の設定) ウィザードで、組織の要件に従ってプロバイダーを選択し、 [Next](次へ) をクリックします。

    Note

    Microsoft ADFS はオプションとして表示されていますが、Microsoft Entra SSO では機能しません。

  5. 新しいユーザー アカウントの既定値ウィザードで、[既定のグループ] を選択し、組織内のユーザー ロールに従って [既定の購入ロール] を選択し、[次へ] をクリックします。

    このスクリーンショットは、[Microsoft S S O]、[Requisitioner]\(要求者\)、および [次へ] が選択された状態の [New user account defaults]\(新しいユーザー アカウントの既定値\) を示しています。

  6. [メタデータ ファイルのアップロード] ウィザードで [XML リンクの貼り付け] オプションを選び、[アプリのフェデレーション メタデータ URL] 値を貼り付け、 [検証] を選択します。

    Note

    または、[Upload XML File] (XML ファイルのアップロード) オプションをクリックして、フェデレーション メタデータ XML ファイルをアップロードすることもできます。

  7. ダウンロードしたメタデータ ファイルをアップロードすると、 [Connection data](接続データ) セクション内のフィールドが自動的に設定されます。 その後、[次へ] を選択します。

  8. Upload your Attribute statement (属性のアップロード) ウィザードで、[Skip](スキップ) をクリックします。

    このスクリーンショットは、[Upload your Attribute statement]\(属性ステートメントのアップロード\) を示しています。ここで、属性ステートメントを参照できますが、この場合は [スキップ] を選択します。

  9. Attribute mapping (属性マッピング) ウィザードで [+ Add a field](+ フィールドの追加) オプションをクリックして、要件フィールドを追加します。 Azure portal の [ユーザー属性と要求] セクションからコピーした、名前空間を含む属性値を [SAML AttributeName] フィールドに追加し、[Next]\(次へ\) をクリックします。

    このスクリーンショットは、[属性マッピング] を示しています。ここで、Amazon データの SAML 属性名を編集できます。

  10. [Amazon connection data] (Amazon 接続データ) ウィザードで、IDP が構成されていることを確認して、[Continue] (続行) を選択します。

    このスクリーンショットは [Amazon connection data]\(Amazon 接続データ\) を示しています。[次へ] をクリックして続行できます。

  11. 構成されている手順の [Status](状態) を確認し、[Start testing](テストの開始) をクリックします。

  12. Test SSO Connection (SSO 接続のテスト) ウィザードで、[Test](テスト) を選択します。

    このスクリーンショットは、[テスト] ボタンを備えた [Test S S O Connection]\(S S O 接続のテスト\) を示しています。

  13. IDP initiated URL ウィザードで、[アクティブ化] を選択する前に、idpid に割り当てられている値をコピーし、[基本的な SAML 構成] セクションにある [応答 URL]idpid パラメーターに貼り付けます。

    このスクリーンショットは、[I D P initiated U R L] を示しています。ここで、テストに必要な U R L を取得し、[アクティブ化] を選択できます。

  14. [アクティブな SSO に切り替える準備ができましたか?] ウィザードで、[SSO は完全にテスト済みで、ライブにする準備ができている] チェックボックスをオンにし、[アクティブに切り替える] をクリックします。

    このスクリーンショットは、[Are you ready to switch to active S S O]\(アクティブな S S O に切り替える準備ができましたか\) 確認を示しています。ここで、[Switch to active]\(アクティブに切り替える\) を選択できます。

  15. 最後に、[SSO 接続の詳細] セクションで、[状態][アクティブ] として表示されます。

    Note

    SP 開始モードでアプリケーションを構成する場合は、次の手順を実行して、上のスクリーンショットのサインオン URL を、[追加の URL を設定します] セクションの [サインオン URL] テキスト ボックスに貼り付けます。 次の形式を使用します。

    https://www.amazon.<TLD>/bb/feature/sso/action/start?domain_hint=<UNIQUE_ID>

Amazon ビジネスのテスト ユーザーの作成

このセクションでは、B. Simon というユーザーを Amazon ビジネス内に作成します。 Amazon ビジネスでは、Just-In-Time ユーザー プロビジョニングがサポートされています。これは既定で有効になっています。 このセクションでは、ユーザー側で必要な操作はありません。 Amazon ビジネス内にユーザーがまだ存在していない場合は、認証後に新規に作成されます。

SSO のテスト

このセクションでは、次のオプションを使用して Microsoft Entra のシングル サインオン構成をテストします。

SP Initiated:

  • [このアプリケーションをテストします] をクリックします。これにより、ログイン フローを開始できる Amazon Business のサインオン URL にリダイレクトされます。

  • Amazon Business シングル サインオン URL に直接移動し、そこからログイン フローを開始します。

IDP Initiated:

  • [このアプリケーションをテストします] を選択すると、SSO を設定した Amazon Business に自動的にサインインします。

また、Microsoft マイ アプリを使用して、任意のモードでアプリケーションをテストすることもできます。 マイ アプリで [Amazon Business] タイルをクリックすると、SP モードで構成されている場合は、サインイン フローを開始するためのアプリケーション サインオン ページにリダイレクトされます。IDP モードで構成されている場合は、SSO を設定した Amazon Business に自動的にサインインします。 マイ アプリの詳細については、「マイ アプリの概要」を参照してください。

ADFS から Microsoft Entra ID へのサービス プロバイダー設定の再構成

  1. Microsoft Entra ID 環境を準備する

    1. Microsoft Entra ID Premium サブスクリプションを確認します。シングル サインオン (SSO) やその他の高度な機能に必要な Microsoft Entra ID Premium サブスクリプションがあることを確認します。

  2. アプリケーションを Microsoft Entra ID に登録します

    1. Azure portal で [Microsoft Entra ID] に移動します。
    2. [アプリの登録] > [新しい登録] の順に選びます。
    3. 必要事項を入力します。
      1. 名前: アプリケーションに関連性のある名前を入力します。
      2. サポートされているアカウントの種類: 実際の環境に合った適切なオプションを選択します。
      3. リダイレクト URI: 必要なリダイレクト URI (通常はアプリケーションのサインイン URL) を入力します。

  3. Microsoft Entra ID SSO の構成

    1. Microsoft Entra ID でのシングル サインオンを設定する
    2. Azure portal で、[Microsoft Entra ID]>[エンタープライズ アプリケーション] に移動します。
    3. 一覧からアプリケーションを選択します。
    4. [管理] で [シングル サインオン] を選びます。
    5. シングル サインオンの方法として、[SAML] を選択します。
    6. [基本的な SAML 構成] を編集する
      1. 識別子 (エンティティ ID): SP エンティティ ID を入力します。
      2. [応答 URL (アサーション コンシューマ サービス URL)] に SP ACS URL と入力します。
      3. サインオン URL: アプリケーションのサインオン URL (該当する場合) を入力します。

  4. ユーザー属性とクレームを構成する

    1. SAML ベースのサインオン設定で、[ユーザー属性とクレーム] を選択します。
    2. SP に必要な要求と一致するように要求を編集して構成します。 これには通常、次のものが含まれます。
      1. NameIdentifier
      2. メール
      3. GivenName
      4. Surname
      5. その他。

  5. Microsoft Entra ID SSO メタデータのダウンロード

  6. [SAML 署名証明書] セクションで、[フェデレーション メタデータ XML] の隣にある [ダウンロード] を選択します。 これは、SP の構成に使用されます。

  7. サービス プロバイダー (SP) の再構成

    1. Microsoft Entra ID メタデータを使用するように SP を更新する
    2. SP の構成設定にアクセスします。
    3. IdP メタデータ URL を更新するか、Microsoft Entra ID メタデータ XML を更新します。
    4. Assertion Consumer Service (ACS) の URL、エンティティ ID、その他の必須フィールドを、Microsoft Entra ID の構成と一致するように更新します。

  8. SAML 証明書の構成

  9. SP が Microsoft Entra ID からの署名証明書を信頼するように構成されていることを確認します。 これは、Microsoft Entra ID SSO 構成の SAML 署名証明書セクションにあります。

  10. SSO 構成のテスト

  11. SP からテスト ログインを開始します。

  12. 認証が Microsoft Entra ID にリダイレクトされ、ユーザーに正常にログ記録されることを確認します。

  13. 渡されるクレームを確認し、SP が期待する内容と一致していることを確認します。

  14. DNS とネットワーク設定を更新します (該当する場合)。 SP またはアプリケーションが ADFS 固有の DNS 設定を使用している場合は、これらの設定を更新して Microsoft Entra ID エンドポイントを指す必要がある場合があります。

  15. ロールアウトと監視

    1. ユーザーとのコミュニケーション ユーザーに変更を通知し、必要な指示またはドキュメントを提供します。
    2. 認証ログの監視 Microsoft Entra ID サインイン ログを監視して、認証の問題を監視し、迅速に対処します。

次のステップ

Amazon ビジネスを構成したら、組織の機密データを流出と侵入からリアルタイムで保護するセッション制御を適用することができます。 セッション制御は、条件付きアクセスを拡張したものです。 Microsoft Defender for Cloud Apps でセッション制御を強制する方法をご覧ください。

その他のリソース