Compartilhar via

Tutorial: Integrar o Amazon Business à ID do Microsoft Entra

  • Artigo

Neste tutorial, você aprenderá a integrar o Amazon Business ao Microsoft Entra ID. Ao integrar o Amazon Business à ID do Microsoft Entra, você poderá:

  • Controlar quem tem acesso ao Amazon Business na ID do Microsoft Entra.
  • Permitir que os usuários entrem automaticamente no Amazon Business com as respectivas contas do Microsoft Entra.
  • Gerencie suas contas em um local central.

Pré-requisitos

Para começar, você precisará dos seguintes itens:

  • Uma assinatura do Microsoft Entra. Caso você não tenha uma assinatura, obtenha uma conta gratuita.
  • Assinatura habilitada para SSO (logon único) do Amazon Business. Acesse a página do Amazon Business para criar uma conta do Amazon Business.

Descrição do cenário

Neste tutorial, você vai configurar e testar o SSO do Microsoft Entra em uma conta existente do Amazon Business.

  • O Amazon Business dá suporte ao SSO iniciado por SP e IdP.
  • O Amazon Business dá suporte ao provisionamento de usuário Just-In-Time.
  • O Amazon Business dá suporte ao Provisionamento automatizado de usuário.

Observação

O identificador desse aplicativo é um valor de cadeia de caracteres fixo; portanto apenas uma instância pode ser configurada em um locatário.

Para configurar a integração do Amazon Business à ID do Microsoft Entra, você precisará adicioná-lo à lista de aplicativos SaaS gerenciados por meio da galeria.

  1. Entre no Centro de administração do Microsoft Entra como pelo menos Administrador de Aplicativo de nuvem.
  2. Navegue até Identidade>Aplicativos>Aplicativos empresariais>Novo aplicativo.
  3. Na seção Adicionar por meio da galeria, digite Amazon Business na caixa de pesquisa.
  4. Selecione Amazon Business no painel de resultados e, em seguida, adicione o aplicativo. Aguarde alguns segundos enquanto o aplicativo é adicionado ao seu locatário.

Opcionalmente, você também pode usar o Assistente de Configuração de Aplicativos do Enterprise. Neste assistente, você poderá adicionar um aplicativo ao locatário, adicionar usuários/grupos ao aplicativo, atribuir funções e também percorrer a configuração de SSO. Saiba mais sobre os assistentes do Microsoft 365.

Configurar e testar o SSO do Microsoft Entra para o Amazon Business

Configure e teste o SSO do Microsoft Entra com o Amazon Business por meio de um usuário de teste chamado B.Fernandes. Para que o SSO funcione, é necessário estabelecer uma relação de vínculo entre um usuário do Microsoft Entra e o usuário relacionado do Amazon Business.

Para configurar e testar o SSO do Microsoft Entra com o Amazon Business, execute as seguintes etapas:

  1. Configurar o SSO do Microsoft Entra – Para permitir que os usuários usem esse recurso.
    1. Crie um usuário de teste do Microsoft Entra para testar o logon único do Microsoft Entra com B.Silva.
    2. Atribuir o usuário de teste do Microsoft Entra – para permitir que B.Fernandes use o logon único do Microsoft Entra.
  2. Configurar o SSO do Amazon Business : para definir as configurações de logon único no lado do aplicativo.
    1. Criar um usuário de teste do Amazon Business – Para ter um equivalente de B.Fernandes no Amazon Business que esteja vinculado à representação de usuário do Microsoft Entra.
  3. Testar o SSO – para verificar se a configuração funciona.

Configurar o SSO do Microsoft Entra

Siga estas etapas para habilitar o SSO do Microsoft Entra.

  1. Entre no Centro de administração do Microsoft Entra como pelo menos Administrador de Aplicativo de nuvem.

  2. Navegue até Identidade>Aplicativos>Aplicativos empresariais> página de integração do aplicativoAmazon Business, encontre a seção Gerenciar e selecioneLogon único.

  3. Na página Escolher um método de logon único, escolha SAML.

  4. Na página Configurar o logon único com o SAML, selecione o ícone de lápis da Configuração Básica de SAML para editar as configurações.

    Editar a Configuração Básica de SAML

  5. Na seção Configuração Básica do SAML, execute as etapas a seguir caso deseje configurar no modo iniciado por IDP:

    1. Na caixa de texto Identificador (ID da Entidade) , digite uma das seguintes URLs:

      URL Região
      https://www.amazon.com América do Norte
      https://www.amazon.co.jp Leste da Ásia
      https://www.amazon.de Europa

    2. Na caixa de texto URL de Resposta, digite uma URL nos seguintes padrões:

      URL Região
      https://www.amazon.com/bb/feature/sso/action/3p_redirect?idpid={idpid} América do Norte
      https://www.amazon.co.jp/bb/feature/sso/action/3p_redirect?idpid={idpid} Leste da Ásia
      https://www.amazon.de/bb/feature/sso/action/3p_redirect?idpid={idpid} Europa

      Observação

      O valor de URL de Resposta não é real. Atualize esse valor com a URL de Resposta real. Você obterá o valor <idpid> da seção de configuração de SSO do Amazon Business, explicada posteriormente no tutorial. Você também pode consultar os padrões mostrados na seção Configuração Básica do SAML.

  6. Se você quiser configurar o aplicativo no modo iniciado pelo SP, será necessário adicionar a URL completa fornecida na configuração do Amazon Business à URL de logon na seção Definir URLs adicionais.

  7. A captura de tela a seguir mostra a lista de atributos padrão. Edite os atributos clicando no ícone de lápis na seção Atributos e Declarações do Usuário.

    Captura de tela que mostra Atributos e Declarações do Usuário com valores padrão, como Givenname user.givenname e Emailaddress user.mail.

  8. Edite os atributos e copie o valor do Namespace desses atributos no Bloco de notas.

    Captura de tela que mostra Atributos e Declarações do Usuário com as colunas de Nome e valor da declaração.

  9. Além do indicado acima, o aplicativo Amazon Business espera que mais alguns atributos sejam passados novamente na resposta SAML. Na seção Atributos e Declarações de Usuário na caixa de diálogo Declarações de Grupo, execute as seguintes etapas:

    1. Selecione a caneta ao lado de Grupos retornados na declaração.

      Captura de tela que mostra Atributos e Declarações de Usuário com o ícone de Grupos retornados na declaração selecionado.

    2. Na caixa de diálogo Declarações de Grupo, selecione Todos os Grupos na lista de opções.

    3. Selecione ID do Grupo como o Atributo de origem.

    4. Marque a caixa de seleção Personalizar o nome da declaração de grupo e insira o nome do grupo de acordo com as necessidades de sua organização.

    5. Selecione Salvar.

  10. Na página Configurar logon único com SAML, na seção Certificado de autenticação SAML, selecione o botão Copiar para copiar a URL de Metadados de Federação do Aplicativo e salve-a no computador.

    O link de download do Certificado

  11. Na seção Configurar o Amazon Business, copie as URLs apropriadas com base em suas necessidades.

    Copiar URLs de configuração

Criar um usuário de teste do Microsoft Entra

Nesta seção, crie um usuário de teste chamado B.Fernandes.

Observação

Os administradores precisam criar os usuários de teste no locatário deles, se necessário. As etapas a seguir mostram como criar um usuário de teste.

  1. Entre no centro de administração do Microsoft Entra como, no mínimo, Administrador de Usuários.
  2. Navegue até Identidade>Usuários>Todos os usuários.
  3. Na parte superior da tela, selecione Novo usuário>Criar novo usuário.
  4. Nas propriedades do Usuário, siga estas etapas:
    1. No campo Nome de exibição, insira B.Simon.
    2. No campo Nome principal do usuário, insira o username@companydomain.extension. Por exemplo, B.Simon@contoso.com.
    3. Marque a caixa de seleção Mostrar senha e, em seguida, anote o valor exibido na caixa Senha.
    4. Selecione Examinar + criar.
  5. Selecione Criar.

Criar um grupo de segurança do Microsoft Entra no portal do Azure

  1. Navegue até Identidade>Grupos>Todos os Grupos.

  2. Selecione Novo grupo:

    Captura de tela que mostra o botão Novo grupo.

  3. Preencha Tipo de grupo, Nome do grupo, Descrição do grupo, Tipo de associação. Selecione as setas para escolher os membros e, em seguida, procure ou selecione o membro que deseja adicionar ao grupo. Selecione Selecionar para adicionar os membros selecionados e, em seguida, selecione Criar.

    Captura de tela que mostra o painel Grupo com opções, incluindo a seleção de membros e o convite de usuários externos.

Atribuir o usuário de teste do Microsoft Entra

Nesta seção, você permitirá que B.Simon use o logon único concedendo a ele acesso ao Amazon Business.

  1. Entre no Centro de administração do Microsoft Entra como pelo menos Administrador de Aplicativo de nuvem.

  2. Navegue até Aplicativos de Identidade>Aplicativos>Aplicativos empresariais>Amazon Business.

  3. Na página de visão geral do aplicativo, localize a seção Gerenciar e escolha Usuários e grupos.

  4. Selecione Adicionar usuário e, em seguida, selecione Usuários e grupos na caixa de diálogo Atribuição adicionada.

  5. Na caixa de diálogo Usuários e grupos, selecione B.Simon na lista Usuários e, em seguida, selecione o botão Selecionar na parte inferior da tela.

  6. Se você estiver esperando um valor de função na declaração SAML, na caixa de diálogo Selecionar Função, escolha a função apropriada para o usuário da lista e, em seguida, selecione o botão Selecionar na parte inferior da tela.

  7. Na caixa de diálogo Atribuição adicionada, selecione o botão Atribuir.

    Observação

    Se você não atribuir os usuários na ID do Microsoft Entra, receberá o erro a seguir.

    Captura de tela que mostra uma mensagem de erro informando que não é possível entrar.

Atribuir o grupo de segurança do Microsoft Entra no portal do Azure

  1. Entre no Centro de administração do Microsoft Entra como pelo menos Administrador de Aplicativo de nuvem.

  2. Navegue até Aplicativos de Identidade>Aplicativos>Aplicativos empresariais>Amazon Business.

  3. Na lista de aplicativos, digite e selecione Amazon Business.

  4. No menu à esquerda, selecione Usuários e grupos.

  5. Selecione o usuário adicionado.

  6. Pesquise o grupo de segurança que você deseja usar e selecione no grupo para adicioná-lo à seção Selecionar membros. Selecione Selecionar e, em seguida, selecione Atribuir.

    Pesquisar grupo de segurança

    Observação

    Verifique as notificações na barra de menus para ser avisado de que o grupo foi atribuído com êxito ao aplicativo empresarial.

Configurar o SSO do Amazon Business

  1. Em uma outra janela do navegador web, entre no site da Amazon Business da sua empresa como administrador

  2. Selecione Perfil do Usuário e selecione Configurações de Negócios.

    Perfil do Usuário

  3. No assistente de Integrações do sistema, selecione SSO (Logon Único) .

    SSO (Logon único)

  4. No assistente Configurar o SSO, selecione o provedor de acordo com os requisitos organizacionais e selecione Avançar.

    Observação

    Embora o Microsoft AD FS seja uma opção listada, ele não funcionará com o SSO do Microsoft Entra.

  5. No assistente Padrões para novas contas de usuário, selecione o Grupo Padrão e, em seguida, selecione a Função de Compra Padrão de acordo com a função de usuário na organização e selecione Avançar.

    Captura de tela que mostra Padrões para novas contas de usuário, com SSO da Microsoft, Requisitante e Avançar selecionados.

  6. No assistente Carregar seu arquivo de metadados, escolha a opção Colar link XML para colar o valor da URL de Metadados de Federação de Aplicativos e selecione Validar.

    Observação

    Como alternativa, você também pode carregar o arquivo XML de Metadados de Federação clicando na opção Carregar arquivo XML.

  7. Após o upload do arquivo de metadados baixado, os campos na seção Dados de conexão serão populados automaticamente. Depois disso, selecione Avançar.

  8. No assistente Carregar sua instrução de atributo, selecione Ignorar.

    Captura de tela que mostra Carregar sua instrução de atributo, que permite que você navegue até uma instrução de atributo, mas nesse caso, selecione Ignorar.

  9. No assistente Mapeamento de atributos, adicione os campos de requisito clicando na opção + Adicionar um campo. Adicione os valores de atributo, incluindo o namespace que você copiou da seção Atributos e Declarações do Usuário do portal do Azure, para o campo AttributeName SAML e selecione Avançar.

    Captura de tela que mostra o Mapeamento de atributos, em que pode editar os nomes de atributo do SAML de dados da Amazon.

  10. No assistente de dados de conexão da Amazon, confirme se o IdP foi configurado e selecione Continuar.

    Captura de tela que mostra Dados de conexão da Amazon, em que pode clicar em Avançar para continuar.

  11. Verifique o Status das etapas que foram configuradas e selecione Iniciar testes.

  12. No assistente Testar Conexão de SSO, selecione Testar.

    Captura de tela que mostra Testar Conexão de SSO com o botão Testar.

  13. No assistente URL iniciada por IdP, antes de clicar em Ativar, copie o valor atribuído a idpid e cole-o no parâmetro idpid na URL de Resposta na seção de Configuração Básica do SAML.

    Captura de tela mostra URL iniciada por IDP, em que você pode obter uma URL necessária para o teste e, depois, selecionar Ativar.

  14. No assistente Você está pronto para alternar para o SSO ativo?, marque a caixa de seleção Testei integralmente o SSO e estou pronto para ativá-lo e selecione Alternar para ativo.

    Captura de tela que mostra a confirmação Você está pronto para alternar para o SSO ativo?, em que pode selecionar Alternar para ativo.

  15. Por fim, na seção Detalhes da Conexão de SSO, o Status é mostrado como Ativo.

    Observação

    Se quiser configurar o aplicativo no modo iniciado pelo SP, conclua a seguinte etapa: cole a URL de logon da captura de tela acima na caixa de texto URL de Logon da seção Definir URLs adicionais. Use o seguinte formato:

    https://www.amazon.<TLD>/bb/feature/sso/action/start?domain_hint=<UNIQUE_ID>

Criar um usuário de teste do Amazon Business

Nesta seção, será criado um usuário chamado B.Fernandes no Amazon Business. O Amazon Business dá suporte ao provisionamento de usuário Just-In-Time, que está habilitado por padrão. Não há itens de ação para você nesta seção. Se um usuário ainda não existir no Amazon Business, será criado um após a autenticação.

Testar o SSO

Nesta seção, você vai testar a configuração de logon único do Microsoft Entra com as opções a seguir.

Iniciado por SP:

  • Selecione Testar este aplicativo, isso o redirecionará à URL de Logon do Amazon Business, na você qual poderá iniciar o fluxo de logon.

  • Acesse diretamente a URL de logon único do Amazon Business e inicie o fluxo de logon nela.

Iniciado por IdP:

  • Selecione Testar este aplicativo e você entrará automaticamente no Amazon Business, para o qual o SSO foi configurado.

Use também os Meus Aplicativos da Microsoft para testar o aplicativo em qualquer modo. Ao selecionar o bloco do Amazon Business em Meus Aplicativos, se ele estiver configurado no modo SP, você será redirecionado à página de logon do aplicativo para iniciar o fluxo de logon e, se ele estiver configurado no modo IDP, você entrará automaticamente no Amazon Business, para o qual o SSO foi configurado. Para obter mais informações sobre os Meus Aplicativos, confira Introdução aos Meus Aplicativos.

Redefinição das configurações do provedor de serviços do ADFS para o Microsoft Entra ID

  1. Preparar o ambiente do Microsoft Entra ID

    1. Verifique a assinatura do Microsoft Entra ID Premium e confira se você tem uma assinatura do Microsoft Entra ID Premium, que é necessária para SSO (logon único) e outros recursos avançados.

  2. Registrar o aplicativo no Microsoft Entra ID

    1. Navegue até o Microsoft Entra ID no portal do Azure.
    2. Selecione "Registros de aplicativo" > "Novo registro".
    3. Preencha os detalhes necessários:
      1. Nome: insira um nome significativo para o aplicativo.
      2. Tipos de conta com suporte: escolha a opção adequada para seu ambiente.
      3. URI de redirecionamento: insira os URIs de redirecionamento necessários (geralmente a URL de entrada do aplicativo).

  3. Configurar o SSO do Microsoft Entra ID

    1. Configure o logon único no Microsoft Entra ID.
    2. No portal do Azure, acesse Microsoft Entra ID > Aplicativos Enterprise.
    3. Selecione seu aplicativo na lista.
    4. Em "Gerenciar", selecione "Logon único".
    5. Selecione "SAML" como método de logon único.
    6. Editar a Configuração Básica do SAML:
      1. Identificador (ID da entidade): insira o ID da entidade SP.
      2. URL de Resposta (URL do Serviço do Consumidor de Declaração): insira a URL de ACS SP.
      3. URL de login: insira a URL de logon do aplicativo, se aplicável.

  4. Configurar Atributos e declarações de usuário

    1. Nas configurações de Logon baseado em SAML, selecione "Atributos e reivindicações do usuário".
    2. Edite e configure declarações para corresponder às exigidas pelo seu SP. Isso normalmente inclui:
      1. NameIdentifier
      2. Email
      3. GivenName
      4. Sobrenome
      5. etc.

  5. Baixar metadados SSO do Microsoft Entra ID

  6. Na seção Certificado de Autenticação SAML, baixe o XML de Metadados de Federação. Isso é usado para configurar o SP.

  7. Reconfigurar o SP (provedor de serviços)

    1. Atualizar SP para usar metadados do Microsoft Entra ID
    2. Acesse as definições de configuração do SP.
    3. Atualize a URL de metadados do IdP ou carregue o XML de metadados do Microsoft Entra ID.
    4. Atualize a URL do ACS (Serviço do Consumidor de Declaração), a ID da Entidade e quaisquer outros campos obrigatórios para corresponder à configuração do Microsoft Entra ID.

  8. Configurar certificados SAML

  9. Verifique se o SP está configurado para confiar no certificado de autenticação do Microsoft Entra ID. Isso pode ser encontrado na seção Certificado de Autenticação SAML da configuração SSO do Microsoft Entra ID.

  10. Testar configuração de SSO

  11. Inicie um login de teste do SP.

  12. Verifique se a autenticação redireciona para o Microsoft Entra ID e faz logon com êxito no usuário.

  13. Verifique as declarações que estão sendo passadas para garantir que correspondam ao que o SP espera.

  14. Atualize as configurações de DNS e rede (se aplicável). Se o SP ou o aplicativo usar configurações de DNS específicas do ADFS, talvez seja necessário atualizar essas configurações para apontar para pontos de extremidade do Microsoft Entra ID.

  15. Distribuir e monitorar

    1. Comunicação com os usuários Notifique seus usuários sobre a alteração e forneça as instruções ou a documentação necessárias.
    2. Monitorar logs de autenticação Fique de olho nos logs de entrada do Microsoft Entra ID para monitorar quaisquer problemas de autenticação e resolvê-los imediatamente.

Próximas etapas

Depois de configurar o Amazon Business, você poderá impor o controle de sessão, que fornece proteção contra exfiltração e infiltração dos dados confidenciais da sua organização em tempo real. O controle da sessão é estendido do acesso condicional. Saiba como impor o controle de sessão com o Microsoft Defender for Cloud Apps.

Mais recursos