Partilhar via

Tutorial: Integrar o Amazon Business com o Microsoft Entra ID

  • Artigo

Neste tutorial, você aprenderá a integrar o Amazon Business ao Microsoft Entra ID. Ao integrar o Amazon Business ao Microsoft Entra ID, você pode:

  • Controle no Microsoft Entra ID quem tem acesso ao Amazon Business.
  • Permita que seus usuários façam login automaticamente no Amazon Business com suas contas do Microsoft Entra.
  • Gerencie suas contas em um local central.

Pré-requisitos

Para começar, você precisa dos seguintes itens:

  • Uma assinatura do Microsoft Entra. Se não tiver uma subscrição, pode obter uma conta gratuita.
  • Uma assinatura habilitada para logon único (SSO) do Amazon Business. Vá para a página Amazon Business para criar uma conta Amazon Business.

Descrição do cenário

Neste tutorial, você configura e testa o Microsoft Entra SSO em uma conta existente do Amazon Business.

  • O Amazon Business é compatível com SSO iniciado por SP e IDP .
  • O Amazon Business oferece suporte ao provisionamento de usuários Just In Time .
  • O Amazon Business oferece suporte ao provisionamento automatizado de usuários.

Nota

O identificador deste aplicativo é um valor de cadeia de caracteres fixo para que apenas uma instância possa ser configurada em um locatário.

Para configurar a integração do Amazon Business com o Microsoft Entra ID, você precisa adicionar o Amazon Business da galeria à sua lista de aplicativos SaaS gerenciados.

  1. Entre no centro de administração do Microsoft Entra como pelo menos um administrador de aplicativos na nuvem.
  2. Navegue até Identity>Applications>Enterprise applications>Novo aplicativo.
  3. Na seção Adicionar da galeria, digite Amazon Business na caixa de pesquisa.
  4. Selecione Amazon Business no painel de resultados e adicione o aplicativo. Aguarde alguns segundos enquanto o aplicativo é adicionado ao seu locatário.

Como alternativa, você também pode usar o Assistente de Configuração de Aplicativo Empresarial. Neste assistente, você pode adicionar um aplicativo ao seu locatário, adicionar usuários/grupos ao aplicativo, atribuir funções e percorrer a configuração do SSO também. Saiba mais sobre os assistentes do Microsoft 365.

Configurar e testar o Microsoft Entra SSO para Amazon Business

Configure e teste o Microsoft Entra SSO com o Amazon Business usando um usuário de teste chamado B.Simon. Para que o SSO funcione, você precisa estabelecer uma relação de vínculo entre um usuário do Microsoft Entra e o usuário relacionado no Amazon Business.

Para configurar e testar o Microsoft Entra SSO com o Amazon Business, execute as seguintes etapas:

  1. Configure o Microsoft Entra SSO - para permitir que seus usuários usem esse recurso.
    1. Crie um usuário de teste do Microsoft Entra - para testar o logon único do Microsoft Entra com B.Simon.
    2. Atribua o usuário de teste do Microsoft Entra - para permitir que B.Simon use o logon único do Microsoft Entra.
  2. Configure o Amazon Business SSO - para configurar as configurações de logon único no lado do aplicativo.
    1. Criar usuário de teste do Amazon Business - para ter um equivalente de B.Simon no Amazon Business que esteja vinculado à representação de usuário do Microsoft Entra.
  3. Teste SSO - para verificar se a configuração funciona.

Configurar o Microsoft Entra SSO

Siga estas etapas para habilitar o Microsoft Entra SSO.

  1. Entre no centro de administração do Microsoft Entra como pelo menos um administrador de aplicativos na nuvem.

  2. Navegue até a página de integração de aplicativos Identity>Applications>Enterprise Amazon>Business, encontre a seção Gerenciar e selecione Logon único.

  3. Na página Selecionar um método de logon único, selecione SAML.

  4. Na página Configurar Logon Único com SAML, selecione o ícone de lápis para Configuração Básica de SAML para editar as configurações.

    Editar configuração básica de SAML

  5. Na seção Configuração Básica do SAML, se desejar configurar no modo iniciado pelo IDP, execute as seguintes etapas:

    1. Na caixa de texto Identificador (ID da entidade), digite uma das seguintes URLs:

      URL País/Região
      https://www.amazon.com América do Norte
      https://www.amazon.co.jp Ásia Leste
      https://www.amazon.de Europa

    2. Na caixa de texto URL de resposta, digite uma URL usando um dos seguintes padrões:

      URL País/Região
      https://www.amazon.com/bb/feature/sso/action/3p_redirect?idpid={idpid} América do Norte
      https://www.amazon.co.jp/bb/feature/sso/action/3p_redirect?idpid={idpid} Ásia Leste
      https://www.amazon.de/bb/feature/sso/action/3p_redirect?idpid={idpid} Europa

      Nota

      O valor URL de resposta não é real. Atualize esse valor com a URL de resposta real. Você obterá o <idpid> valor da seção de configuração do Amazon Business SSO, que é explicada mais adiante no tutorial. Você também pode consultar os padrões mostrados na seção Configuração Básica de SAML.

  6. Se quiser configurar o aplicativo no modo iniciado pela controladora de armazenamento , você precisará adicionar o URL completo fornecido na configuração do Amazon Business ao URL de logon na seção Definir URLs adicionais.

  7. A captura de tela a seguir mostra a lista de atributos padrão. Edite os atributos clicando no ícone de lápis na seção Atributos do usuário & Declarações.

    A captura de tela mostra Atributos do Usuário & Declarações com valores padrão, como Givenname, user.givenname e Emailaddress, user.mail.

  8. Edite atributos e copie o valor de namespace desses atributos para o bloco de notas.

    A captura de tela mostra Atributos do Usuário & Declarações com colunas para Nome e valor da declaração.

  9. Além disso, o aplicativo Amazon Business espera que mais alguns atributos sejam passados de volta na resposta SAML. Na seção Atributos do Usuário & Declarações na caixa de diálogo Declarações de Grupo , execute as seguintes etapas:

    1. Selecione a caneta ao lado de Grupos retornados na declaração.

      A captura de tela mostra Atributos do Usuário & Declarações com o ícone para Grupos retornado na declaração selecionada.

    2. Na caixa de diálogo Declarações de Grupo, selecione Todos os Grupos na lista de rádio.

    3. Selecione ID de grupo como atributo Source.

    4. Marque a caixa de seleção Personalizar o nome da declaração de grupo e insira o nome do grupo de acordo com o requisito da sua organização.

    5. Selecione Guardar.

  10. Na página Configurar logon único com SAML, na seção Certificado de Assinatura SAML, selecione o botão Copiar para copiar a URL de Metadados de Federação de Aplicativos e salvá-la em seu computador.

    O link de download do certificado

  11. Na seção Configurar o Amazon Business , copie os URLs apropriados com base em sua necessidade.

    Copiar URLs de configuração

Criar um usuário de teste do Microsoft Entra

Nesta seção, você cria um usuário de teste chamado B.Simon.

Nota

Os administradores precisam criar os usuários de teste em seu locatário, se necessário. As etapas a seguir mostram como criar um usuário de teste.

  1. Entre no centro de administração do Microsoft Entra como pelo menos um Administrador de Usuário.
  2. Aceder a Identidade>Utilizadores>Todos os Utilizadores.
  3. Selecione Novo usuário>Criar novo usuário, na parte superior da tela.
  4. Nas propriedades do usuário , siga estas etapas:
    1. No campo Nome para exibição , digite B.Simon.
    2. No campo Nome principal do usuário, digite o username@companydomain.extensionarquivo . Por exemplo, B.Simon@contoso.com.
    3. Marque a caixa de seleção Mostrar senha e anote o valor exibido na caixa Senha .
    4. Selecione Rever + criar.
  5. Selecione Criar.

Criar um Grupo de Segurança do Microsoft Entra no portal do Azure

  1. Navegue até Grupos de identidade>>Todos os grupos.

  2. Selecione Novo grupo:

    A captura de tela mostra o botão Novo grupo.

  3. Preencha Tipo de grupo, Nome do grupo, Descrição do grupo, Tipo de associação. Selecione na seta para selecionar membros e, em seguida, procure ou selecione o membro que deseja adicionar ao grupo. Selecione em Selecionar para adicionar os membros selecionados e, em seguida, selecione em Criar.

    A captura de tela mostra o painel Grupo com opções, incluindo a seleção de membros e o convite de usuários externos.

Atribuir o usuário de teste do Microsoft Entra

Nesta seção, você permite que B.Simon use o logon único concedendo acesso ao Amazon Business.

  1. Entre no centro de administração do Microsoft Entra como pelo menos um administrador de aplicativos na nuvem.

  2. Navegue até Identity>Applications>Enterprise applications>Amazon Business.

  3. Na página de visão geral do aplicativo, localize a seção Gerenciar e selecione Usuários e grupos.

  4. Selecione Adicionar usuário e, em seguida, selecione Usuários e grupos na caixa de diálogo Atribuição adicionada .

  5. Na caixa de diálogo Usuários e grupos, selecione B.Simon na lista Usuários e, em seguida, selecione o botão Selecionar na parte inferior da tela.

  6. Se você estiver esperando qualquer valor de função na asserção SAML, na caixa de diálogo Selecionar função, selecione a função apropriada para o usuário na lista e, em seguida, selecione o botão Selecionar na parte inferior da tela.

  7. Na caixa de diálogo Atribuição adicionada, selecione o botão Atribuir.

    Nota

    Se você não atribuir os usuários no ID do Microsoft Entra, você receberá o seguinte erro.

    A captura de tela mostra uma mensagem de erro informando que você não pode entrar.

Atribuir o Grupo de Segurança do Microsoft Entra no portal do Azure

  1. Entre no centro de administração do Microsoft Entra como pelo menos um administrador de aplicativos na nuvem.

  2. Navegue até Identity>Applications>Enterprise applications>Amazon Business.

  3. Na lista de aplicativos, digite e selecione Amazon Business.

  4. No menu à esquerda, selecione Usuários e grupos.

  5. Selecione o usuário adicionado.

  6. Procure o Grupo de Segurança que pretende utilizar e, em seguida, selecione no grupo para o adicionar à secção Selecionar membros. Selecione Selecionar e, em seguida, selecione Atribuir.

    Grupo de Segurança de Pesquisa

    Nota

    Verifique as notificações na barra de menus para ser notificado de que o Grupo foi atribuído com êxito ao aplicativo Enterprise.

Configurar o SSO do Amazon Business

  1. Em uma janela diferente do navegador da Web, faça login no site da empresa Amazon Business como administrador

  2. Selecione o Perfil de Usuário e selecione Configurações do Negócio.

    Perfil do Utilizador

  3. No assistente de integrações de sistema, selecione Single Sign-On (SSO).

    Início de Sessão Único (SSO)

  4. No assistente Configurar SSO, selecione o provedor de acordo com seus requisitos organizacionais e selecione Avançar.

    Nota

    Embora o Microsoft ADFS seja uma opção listada, ele não funcionará com o Microsoft Entra SSO.

  5. No assistente Novos padrões de conta de usuário, selecione o Grupo Padrão e, em seguida, selecione Função de Compra Padrão de acordo com a função de usuário em sua Organização e selecione Avançar.

    A captura de tela mostra Novos padrões de conta de usuário com Microsoft S S O, Requisição e Avançar selecionados.

  6. No assistente Carregar seu arquivo de metadados, escolha a opção Colar Link XML para colar o valor da URL de Metadados de Federação de Aplicativos e selecione Validar.

    Nota

    Como alternativa, você também pode carregar o arquivo XML de metadados de federação clicando na opção Carregar arquivo XML.

  7. Depois de carregar o arquivo de metadados baixado, os campos na seção Dados de conexão serão preenchidos automaticamente. Depois disso, selecione Avançar.

  8. No assistente Carregar sua instrução Atributo, selecione Ignorar.

    A captura de tela mostra a instrução Upload your Attribute, que permite navegar até uma instrução de atributo, mas, nesse caso, selecione Ignorar.

  9. No assistente de mapeamento de atributos, adicione os campos de requisito clicando na opção + Adicionar um campo. Adicione os valores de atributo, incluindo o namespace, que você copiou da seção User Attributes & Claims do portal do Azure no campo SAML AttributeName e selecione Next.

    A captura de tela mostra o mapeamento de atributos, onde você pode editar seus nomes de atributos SAML de dados da Amazon.

  10. No assistente de dados de conexão da Amazon, confirme se seu IDP configurou e selecione Continuar.

    A captura de tela mostra os dados de conexão da Amazon, onde você pode clicar ao lado para continuar.

  11. Verifique o status das etapas que foram configuradas e selecione Iniciar teste.

  12. No assistente Testar Conexão SSO, selecione Testar.

    A captura de tela mostra a conexão Test S S O com o botão Test.

  13. No assistente de URL iniciada pelo IDP, antes de selecionar Ativar, copie o valor, que é atribuído ao idpid e cole no parâmetro idpid na URL de resposta na seção Configuração Básica do SAML.

    A captura de tela mostra I D P iniciado U R L onde você pode obter um U R L necessário para o teste e, em seguida, selecione Ativar.

  14. No assistente Você está pronto para mudar para SSO ativo?, marque a caixa de seleção Eu testei totalmente o SSO e estou pronto para entrar ao vivo e selecione Mudar para ativo.

    A captura de tela mostra a confirmação Are you ready to switch to ative S S O onde você pode selecionar Switch to ative.

  15. Finalmente, na seção Detalhes da conexão SSO, o Status é mostrado como Ativo.

    Nota

    Se você quiser configurar o aplicativo no modo iniciado pela controladora de armazenamento , conclua a etapa a seguir, cole a URL de logon da captura de tela acima na caixa de texto URL de logon da seção Definir URLs adicionais. Use o seguinte formato:

    https://www.amazon.<TLD>/bb/feature/sso/action/start?domain_hint=<UNIQUE_ID>

Criar usuário de teste do Amazon Business

Nesta seção, um usuário chamado B.Simon é criado no Amazon Business. O Amazon Business oferece suporte ao provisionamento de usuários just-in-time, que é ativado por padrão. Não há nenhum item de ação para você nesta seção. Se um usuário ainda não existir no Amazon Business, um novo será criado após a autenticação.

SSO de teste

Nesta seção, você testa sua configuração de logon único do Microsoft Entra com as seguintes opções.

SP iniciado:

  • Selecione em Testar este aplicativo, isso redirecionará para o URL de logon do Amazon Business, onde você poderá iniciar o fluxo de login.

  • Acesse diretamente o URL do Amazon Business Single Sign-on e inicie o fluxo de login a partir daí.

IDP iniciado:

  • Selecione Testar este aplicativo e você deve estar automaticamente conectado ao Amazon Business para o qual configurou o SSO.

Você também pode usar o Microsoft My Apps para testar o aplicativo em qualquer modo. Ao selecionar o bloco Amazon Business em Meus aplicativos, se configurado no modo SP, você será redirecionado para a página de logon do aplicativo para iniciar o fluxo de login e, se configurado no modo IDP, deverá estar automaticamente conectado ao Amazon Business para o qual configurou o SSO. Para obter mais informações sobre os Meus Aplicativos, consulte Introdução aos Meus Aplicativos.

Reconfigurando as configurações do provedor de serviços do ADFS para o ID do Microsoft Entra

  1. Preparar o ambiente Microsoft Entra ID

    1. Verificar a Subscrição Premium do Microsoft Entra ID Certifique-se de que tem uma subscrição Premium do Microsoft Entra ID Premium, que é necessária para o início de sessão único (SSO) e outras funcionalidades avançadas.

  2. Registar a Aplicação no Microsoft Entra ID

    1. Navegue até Microsoft Entra ID no portal do Azure.
    2. Selecione "Registos na aplicação" > "Novo registo".
    3. Preencha os dados necessários:
      1. Nome: insira um nome significativo para o aplicativo.
      2. Tipos de conta suportados: escolha a opção apropriada para o seu ambiente.
      3. URI de redirecionamento: insira os URIs de redirecionamento necessários (geralmente a URL de entrada do seu aplicativo).

  3. Configurar o SSO do Microsoft Entra ID

    1. Configure o logon único no Microsoft Entra ID.
    2. No portal do Azure, vá para Aplicativos Enterprise do Microsoft Entra ID > .
    3. Selecione seu aplicativo na lista.
    4. Em "Gerenciar", selecione "Logon único".
    5. Escolha "SAML" como o método Single Sign-On.
    6. Edite a configuração básica do SAML:
      1. Identificador (ID da entidade): insira o ID da entidade da controladora de armazenamento.
      2. URL de resposta (URL de serviço ao consumidor de asserção): insira a URL do ACS do SP.
      3. URL de início de sessão: introduza o URL de início de sessão da aplicação, se aplicável.

  4. Configurar atributos de usuário & declarações

    1. Nas configurações de logon baseadas em SAML, selecione "User Attributes & Claims".
    2. Edite e configure as declarações para corresponder às exigidas pelo seu SP. Normalmente, isso inclui:
      1. NameIdentifier
      2. E-mail
      3. GivenName
      4. Apelido
      5. etc.

  5. Baixar metadados SSO do Microsoft Entra ID

  6. Na seção Certificado de Assinatura SAML, baixe o XML de Metadados de Federação. Isso é usado para configurar sua controladora de armazenamento.

  7. Reconfigurar o provedor de serviços (SP)

    1. Atualizar a controladora de armazenamento para usar metadados de ID do Microsoft Entra
    2. Acesse as definições de configuração do seu SP.
    3. Atualize a URL de metadados do IdP ou carregue o XML de metadados do Microsoft Entra ID.
    4. Atualize a URL do ACS (Assertion Consumer Service), a ID da entidade e quaisquer outros campos obrigatórios para corresponder à configuração do Microsoft Entra ID.

  8. Configurar certificados SAML

  9. Verifique se a controladora de armazenamento está configurada para confiar no certificado de assinatura da ID do Microsoft Entra. Isso pode ser encontrado na seção Certificado de Assinatura SAML da configuração de SSO do Microsoft Entra ID.

  10. Testar configuração de SSO

  11. Inicie um login de teste a partir da controladora de armazenamento.

  12. Verifique se a autenticação redireciona para o ID do Microsoft Entra e efetua login com êxito no usuário.

  13. Verifique as declarações que estão sendo passadas para garantir que elas correspondam ao que o SP espera.

  14. Atualize o DNS e as configurações de rede (se aplicável). Se o seu SP ou aplicativo usa configurações de DNS específicas para ADFS, talvez seja necessário atualizar essas configurações para apontar para pontos de extremidade de ID do Microsoft Entra.

  15. Implantar e monitorar

    1. Comunique-se com os usuários Notifique seus usuários sobre a alteração e forneça todas as instruções ou documentação necessárias.
    2. Monitorar logs de autenticação Fique de olho nos logs de entrada do Microsoft Entra ID para monitorar quaisquer problemas de autenticação e resolvê-los imediatamente.

Próximos passos

Depois de configurar o Amazon Business, você pode impor o controle de sessão, que protege a exfiltração e a infiltração de dados confidenciais da sua organização em tempo real. O controle de sessão se estende do Acesso Condicional. Saiba como impor o controlo de sessão com o Microsoft Defender for Cloud Apps.

Mais recursos