Udostępnij za pośrednictwem

Samouczek: konfigurowanie usługi Amazon Business na potrzeby automatycznej aprowizacji użytkowników

  • Artykuł

W tym samouczku opisano kroki, które należy wykonać w usłudze Amazon Business i Microsoft Entra ID, aby skonfigurować automatyczną aprowizację użytkowników. Po skonfigurowaniu identyfikator Entra firmy Microsoft automatycznie aprowizuje i anuluje aprowizację użytkowników i grup w firmie Amazon Business przy użyciu usługi aprowizacji Firmy Microsoft Entra. Aby uzyskać ważne szczegółowe informacje na temat działania tej usługi, sposobu jej działania i często zadawanych pytań, zobacz Automatyzowanie aprowizacji użytkowników i anulowania aprowizacji aplikacji SaaS przy użyciu identyfikatora Entra firmy Microsoft.

Obsługiwane możliwości

  • Tworzenie użytkowników w usłudze Amazon Business.
  • Usuń użytkowników w usłudze Amazon Business, gdy nie będą już wymagać dostępu.
  • Przypisz role amazon business do użytkownika.
  • Zachowaj synchronizację atrybutów użytkownika między identyfikatorem Entra firmy Microsoft i firmą Amazon Business.
  • Aprowizuj grupy i członkostwa w grupach w usłudze Amazon Business.
  • Logowanie jednokrotne do firmy Amazon Business (zalecane).

Wymagania wstępne

W scenariuszu opisanym w tym samouczku założono, że masz już następujące wymagania wstępne:

  • Dzierżawa firmy Microsoft Entra.
  • Jedną z następujących ról: Administrator aplikacji, Administrator aplikacji w chmurze lub Właściciel aplikacji.
  • Konto Amazon Business.
  • Konto użytkownika w usłudze Amazon Business z uprawnieniami administratora (administrator we wszystkich grupach podmiotów prawnych na koncie Amazon Business).

Krok 1. Planowanie wdrożenia aprowizacji

  1. Dowiedz się więcej na temat sposobu działania usługi aprowizacji.
  2. Określ, kto znajdzie się w zakresie aprowizacji.
  3. Ustal, jakie dane mają być mapowanie między identyfikatorami Microsoft Entra ID i Amazon Business.

Krok 2. Konfigurowanie firmy Amazon Business w celu obsługi aprowizacji przy użyciu identyfikatora Entra firmy Microsoft

Przed skonfigurowaniem i włączeniem usługi aprowizacji należy zidentyfikować grupę domyślną zarówno dla użytkowników, jak i grup. Zalecenia:

  • Postępuj zgodnie z zasadą najniższych uprawnień, mając uprawnienia REQUISITIONER tylko dla domyślnej grupy użytkowników.
  • Postępuj zgodnie z poniższą konwencją nazewnictwa grup, aby ułatwić odwoływanie się do grup w tym dokumencie.
    • Domyślna grupa nadrzędna SCIM
      • Jest to katalog główny katalogu SCIM w usłudze AmazonBusiness. Wszystkie grupy SCIM są umieszczane bezpośrednio w tej grupie domyślnej. Możesz wybrać istniejącą grupę jako domyślną grupę nadrzędną SCIM.
    • Domyślna grupa użytkowników SCIM
      • Użytkownicy przypisani do aplikacji Amazon Business będą domyślnie umieszczani w tej grupie z rolą Requisitioner. Zaleca się posiadanie tej grupy na tym samym poziomie co domyślna grupa nadrzędna SCIM.
      • Jeśli użytkownik jest aprowizowany bez przypisania grupy, zostanie on domyślnie umieszczony w tej grupie z rolą Requisitioner.
      • Każdy użytkownik, który został cokolwiek co do tej grupy, pozostanie w tej grupie. W związku z tym zaleca się, aby nie używać żadnej roli innej niż Requisitioner dla tej grupy.

Uwaga

  • Domyślna grupa nadrzędna SCIM może być taka sama jak domyślna grupa wybrana dla konfiguracji logowania jednokrotnego.
  • Domyślna grupa nadrzędna SCIM może być grupą podmiotów prawnych. Wybranie pozycji Podmiot prawny jako grupy domyślnej jest zalecane, jeśli masz różne szablony fakturowania skonfigurowane dla różnych grup na koncie AB.
  • Obecnie obsługujemy włączanie protokołu SCIM tylko dla jednej jednostki prawnej na koncie Amazon Business.

Po zidentyfikowaniu domyślnych grup SCIM przejdź do strony Zarządzanie tożsamościami ustawień biznesowych (SCIM) konta firmy > Amazon, > wprowadź szczegóły i kliknij przycisk Aktywuj. Przed przejściem do następnego kroku należy wykonać ten krok.

Dodaj aplikację Amazon Business z galerii aplikacji Microsoft Entra, aby rozpocząć zarządzanie aprowizowaniem w usłudze Amazon Business. Jeśli wcześniej skonfigurowano aplikację Amazon Business dla logowania jednokrotnego, możesz użyć tej samej aplikacji. Zaleca się jednak utworzenie oddzielnej aplikacji podczas początkowego testowania integracji. Więcej informacji o dodawaniu aplikacji z galerii znajdziesz tutaj.

Krok 4. Definiowanie, kto będzie w zakresie aprowizacji

Usługa aprowizacji firmy Microsoft umożliwia określanie zakresu, kto będzie aprowizować na podstawie przypisania do aplikacji lub na podstawie atrybutów użytkownika/grupy. Jeśli zdecydujesz się na określenie zakresu aprowizacji w aplikacji na podstawie przypisania, możesz skorzystać z następujących instrukcji w celu przypisania użytkowników i grup do aplikacji. Jeśli zdecydujesz się na określenie zakresu aprowizacji wyłącznie na podstawie atrybutów użytkownika lub grupy, możesz użyć filtra zakresu zgodnie z opisem zamieszczonym tutaj.

  • Podczas przypisywania użytkowników i grup do firmy Amazon Business należy wybrać rolę inną niż Dostęp domyślny. Użytkownicy z rolą Dostęp domyślny są wykluczeni z aprowizacji, a w dziennikach aprowizacji zostaną oznaczeni jako niemający skutecznego uprawnienia. Jeśli jedyną rolą dostępną w aplikacji jest rola dostępu domyślnego, możesz zaktualizować manifest aplikacji, aby dodać inne role.
  • Zacznij od mniejszej skali. Przeprowadź test z użyciem mniejszego zestawu użytkowników i grup, zanim wdrożysz to rozwiązanie dla wszystkich. W przypadku ustawienia zakresu aprowizacji na przypisanych użytkowników i grupy możesz w tym celu przypisać do aplikacji jednego czy dwóch użytkowników bądź jedną lub dwie grupy. W przypadku ustawienia zakresu na wszystkich użytkowników i wszystkie grupy, możesz określić filtrowanie zakresu na podstawie atrybutów.
  • Możesz zaktualizować manifest aplikacji, aby dodać role firmy Amazon Business. Użytkownik może mieć jedną z następujących ról:
    • Requisitioner (w celu składania zamówień lub przesyłania żądań zamówienia do zatwierdzenia).
    • Administrator (do zarządzania osobami, grupami, rolami i zatwierdzeniami. Wyświetl zamówienia. Uruchamianie raportów zamówień)
    • Finanse (aby uzyskać dostęp do faktur, notatek kredytowych, analizy i historii zamówień).
    • Tech (w celu skonfigurowania integracji systemu z programami używanymi w pracy).

Zrzut ekranu przedstawiający listę ról aplikacji.

Krok 5. Konfigurowanie automatycznej aprowizacji użytkowników w usłudze Amazon Business

Ta sekcja zawiera instrukcje konfigurowania usługi aprowizacji firmy Microsoft w celu tworzenia, aktualizowania i wyłączania użytkowników i/lub grup w firmie Amazon Business na podstawie przypisań użytkowników i/lub grup w usłudze Microsoft Entra ID.

Aby skonfigurować automatyczną aprowizację użytkowników dla firmy Amazon Business w usłudze Microsoft Entra ID:

  1. Zaloguj się do centrum administracyjnego firmy Microsoft Entra co najmniej jako administrator aplikacji w chmurze.

  2. Przejdź do aplikacji dla przedsiębiorstw usługi Identity Applications>

    Zrzut ekranu przedstawiający blok Aplikacje dla przedsiębiorstw.

  3. Na liście aplikacji wybierz pozycję Amazon Business.

    Zrzut ekranu przedstawiający link amazon business na liście aplikacji.

  4. Wybierz kartę Aprowizacja.

    Zrzut ekranu przedstawiający kartę Aprowizacja.

  5. Ustaw Tryb aprowizacji na Automatyczny.

    Zrzut ekranu przedstawiający kartę Aprowizowanie automatyczne.

  6. W sekcji Poświadczenia administratora wprowadź adres URL dzierżawy firmy Amazon, punkt końcowy autoryzacji. Kliknij pozycję Testuj połączenie , aby upewnić się, że identyfikator Entra firmy Microsoft może nawiązać połączenie z firmą Amazon Business. Jeśli połączenie nie powiedzie się, upewnij się, że twoje konto usługi Amazon Business ma uprawnienia administratora i spróbuj ponownie.

    Zrzut ekranu przedstawiający token.

    W przypadku wartości adresu URL dzierżawy i punktu końcowego autoryzacji użyj poniższej tabeli

    Kraj/region Adres URL dzierżawy Punkt końcowy autoryzacji
    Kanada https://na.business-api.amazon.com/scim/v2/ https://www.amazon.ca/b2b/abws/oauth?state=1& redirect_uri=https://portal.azure.com/TokenAuthorize& applicationId=amzn1.sp.solution.ee27ec8c-1ee9-4c6b-9e68-26bdc37479d3
    Niemcy https://eu.business-api.amazon.com/scim/v2/ https://www.amazon.de/b2b/abws/oauth?state=1& redirect_uri=https://portal.azure.com/TokenAuthorize& applicationId=amzn1.sp.solution.ee27ec8c-1ee9-4c6b-9e68-26bdc37479d3
    Hiszpania https://eu.business-api.amazon.com/scim/v2/ https://www.amazon.es/b2b/abws/oauth?state=1& redirect_uri=https://portal.azure.com/TokenAuthorize& applicationId=amzn1.sp.solution.ee27ec8c-1ee9-4c6b-9e68-26bdc37479d3
    Francja https://eu.business-api.amazon.com/scim/v2/ https://www.amazon.fr/b2b/abws/oauth?state=1& redirect_uri=https://portal.azure.com/TokenAuthorize& applicationId=amzn1.sp.solution.ee27ec8c-1ee9-4c6b-9e68-26bdc37479d3
    GB/Wielka Brytania https://eu.business-api.amazon.com/scim/v2/ https://www.amazon.co.uk/b2b/abws/oauth?state=1& redirect_uri=https://portal.azure.com/TokenAuthorize& applicationId=amzn1.sp.solution.ee27ec8c-1ee9-4c6b-9e68-26bdc37479d3
    Indie https://eu.business-api.amazon.com/scim/v2/ https://www.amazon.in/b2b/abws/oauth?state=1& redirect_uri=https://portal.azure.com/TokenAuthorize& applicationId=amzn1.sp.solution.ee27ec8c-1ee9-4c6b-9e68-26bdc37479d3
    Włochy https://eu.business-api.amazon.com/scim/v2/ https://www.amazon.it/b2b/abws/oauth?state=1& redirect_uri=https://portal.azure.com/TokenAuthorize& applicationId=amzn1.sp.solution.ee27ec8c-1ee9-4c6b-9e68-26bdc37479d3
    Japonia https://jp.business-api.amazon.com/scim/v2/ https://www.amazon.co.jp/b2b/abws/oauth?state=1& redirect_uri=https://portal.azure.com/TokenAuthorize& applicationId=amzn1.sp.solution.ee27ec8c-1ee9-4c6b-9e68-26bdc37479d3
    Meksyk https://na.business-api.amazon.com/scim/v2/ https://www.amazon.com.mx/b2b/abws/oauth?state=1& redirect_uri=https://portal.azure.com/TokenAuthorize& applicationId=amzn1.sp.solution.ee27ec8c-1ee9-4c6b-9e68-26bdc37479d3
    — USA https://na.business-api.amazon.com/scim/v2/ https://www.amazon.com/b2b/abws/oauth?state=1& redirect_uri=https://portal.azure.com/TokenAuthorize& applicationId=amzn1.sp.solution.ee27ec8c-1ee9-4c6b-9e68-26bdc37479d3

  7. W polu Adres e-mail do powiadomień wpisz adres e-mail osoby lub grupy, która ma otrzymywać powiadomienia o błędach autoryzacji, a następnie zaznacz pole wyboru Wyślij powiadomienie e-mail w przypadku wystąpienia błędu.

    Zrzut ekranu przedstawiający wiadomość e-mail z powiadomieniem.

  8. Wybierz pozycję Zapisz.

  9. W sekcji Mapowania wybierz pozycję Synchronizuj użytkowników firmy Microsoft z firmą Amazon Business.

  10. Przejrzyj atrybuty użytkownika synchronizowane z identyfikatora Entra firmy Microsoft do firmy Amazon Business w sekcji Mapowanie atrybutów. Atrybuty wybrane jako Pasujące właściwości są używane do dopasowania kont użytkowników w usłudze Amazon Business na potrzeby operacji aktualizacji. Jeśli zdecydujesz się zmienić pasujący atrybut docelowy, musisz upewnić się, że interfejs API amazon business obsługuje filtrowanie użytkowników na podstawie tego atrybutu. Wybierz przycisk Zapisz, aby zatwierdzić wszelkie zmiany.

    Atrybut Typ Obsługiwane do filtrowania Wymagane przez firmę Amazon Business
    userName String
    aktywne Wartość logiczna
    emails[type eq "work"].value String
    name.givenName String
    name.familyName String
    externalId String
    roles Lista atrybutów appRoleAssignments [appRoleAssignments]

  11. W sekcji Mapowania wybierz pozycję Synchronizuj grupy firmy Microsoft z firmą Amazon Business.

  12. Przejrzyj atrybuty grupy synchronizowane z identyfikatora Entra firmy Microsoft do firmy Amazon Business w sekcji Mapowanie atrybutów. Atrybuty wybrane jako Właściwości dopasowywania są używane do dopasowywania grup w usłudze Amazon Business na potrzeby operacji aktualizacji. Wybierz przycisk Zapisz, aby zatwierdzić wszelkie zmiany.

    Atrybut Typ Obsługiwane do filtrowania Wymagane przez firmę Amazon Business
    displayName String
    członkowie Odwołanie

  13. Aby skonfigurować filtry zakresu, skorzystaj z instrukcji przedstawionych w samouczku dotyczącym filtrów zakresu.

  14. Aby włączyć usługę aprowizacji firmy Microsoft dla firmy Amazon Business, zmień stan aprowizacji na . w sekcji Ustawienia .

    Zrzut ekranu przedstawiający przełączenie stanu aprowizacji w pozycji Włączone.

  15. Zdefiniuj użytkowników i/lub grupy, które chcesz aprowizować w usłudze Amazon Business, wybierając żądane wartości w obszarze Zakres w sekcji Ustawienia.

    Zrzut ekranu przedstawiający zakres aprowizacji.

  16. Gdy wszystko będzie gotowe do aprowizacji, kliknij przycisk Zapisz.

    Zrzut ekranu przedstawiający zapisywanie konfiguracji aprowizacji.

Ta operacja spowoduje rozpoczęcie cyklu synchronizacji początkowej wszystkich użytkowników i grup zdefiniowanych w obszarze Zakres w sekcji Ustawienia. Cykl początkowy trwa dłużej niż kolejne cykle, które występują co około 40 minut, o ile usługa aprowizacji firmy Microsoft jest uruchomiona.

Krok 6. Monitorowanie wdrożenia

Po skonfigurowaniu aprowizacji możesz skorzystać z następujących zasobów, aby monitorować wdrożenie:

  • Użyj dzienników aprowizacji, aby określić, których użytkowników udało się lub nie udało aprowizować
  • Sprawdź pasek postępu, aby zobaczyć stan cyklu aprowizacji i sposób jego zamknięcia do ukończenia
  • Jeśli konfiguracja aprowizacji wydaje się być w złej kondycji, aplikacja przechodzi do kwarantanny. Więcej informacji o stanach kwarantanny znajdziesz tutaj.

Ograniczenia funkcji

  • Struktura płaska jest tworzona na koncie Amazon Business, czyli wszystkie wypychane grupy znajdują się na tym samym poziomie w domyślnej grupie SCIM. Zagnieżdżona struktura/hierarchia nie jest obsługiwana.
  • Nazwy grup będą takie same na platformie Azure i na koncie Amazon Business.
  • Gdy nowe grupy zostaną utworzone na koncie firmy Amazon, administratorzy muszą ponownie skonfigurować ustawienia biznesowe (na przykład włączyć zakup, zaktualizować ustawienia udostępnione, dodać zasady zakupu z przewodnikiem itd.) dla nowych grup zgodnie z potrzebami.
  • Usunięcie starych grup/ usunięcie użytkowników ze starych grup w usłudze Amazon Business powoduje utratę wglądu w zamówienia złożone ze starej grupy, dlatego zaleca się
    • Nie usuwaj starych grup/przypisań i
    • Wyłącz zakup starych grup.
  • Aktualizacja adresu e-mail/nazwy użytkownika — aktualizowanie wiadomości e-mail i/lub nazwy użytkownika za pośrednictwem protokołu SCIM nie jest obecnie obsługiwane.
  • Synchronizacja haseł — synchronizacja haseł nie jest obsługiwana.
  • Wymaganie dotyczące logowania jednokrotnego — aplikacja Amazon Business umożliwia aktywację aprowizacji protokołu SCIM bez logowania jednokrotnego, aprowizowani użytkownicy będą wymagać uwierzytelniania logowania jednokrotnego w celu uzyskania dostępu do firmy Amazon Business.
  • Konta wieloległowej jednostki prawnej (MLE) — obecnie nie obsługujemy włączania protokołu SCIM dla więcej niż jednej jednostki prawnej na koncie firmy Amazon.
  • Podczas aprowizacji grupy o takiej samej nazwie jak już istniejąca w usłudze Amazon Business te grupy zostaną automatycznie połączone (nowa grupa zostanie utworzona w usłudze Amazon Business).

Wskazówki dotyczące rozwiązywania problemów

  • Jeśli administratorzy firmy Amazon Business zalogowali się tylko przy użyciu logowania jednokrotnego lub nie znają swoich haseł, mogą użyć przepływu zapomnianego hasła, aby zresetować swoje hasło, a następnie zalogować się do firmy Amazon Business.
  • Jeśli role Administrator i Requisitioner zostały już zastosowane do klienta w grupie, przypisanie ról finansowych lub technicznych nie spowoduje aktualizacji po stronie firmy Amazon Business.
  • Klienci z kontami MASE (wiele kont tego samego adresu e-mail), którzy usuwają jedno z ich kont, mogą zobaczyć błędy, które nie istnieją podczas aprowizowania nowych użytkowników przez krótki czas (24–48 godzin).
  • Nie można natychmiast usuwać klientów za pośrednictwem aprowizacji na żądanie. Aprowizacja musi być włączona, a usunięcie będzie miało miejsce 40 minut po wykonaniu akcji.

Więcej zasobów

Następne kroki