Поделиться через

Руководство по интеграции Amazon Business с идентификатором Microsoft Entra

  • Статья

В этом руководстве описано, как интегрировать Amazon Business с идентификатором Microsoft Entra ID. Интеграция Amazon Business с идентификатором Microsoft Entra ID позволяет:

  • Контроль доступа к Amazon Business с помощью идентификатора Microsoft Entra.
  • Включите автоматический вход пользователей в Amazon Business с помощью учетных записей Microsoft Entra.
  • Управление учетными записями в одном центральном расположении.

Необходимые компоненты

Чтобы приступить к работе, потребуется следующее.

Описание сценария

В этом руководстве описана настройка и проверка единого входа Microsoft Entra в существующей учетной записи Amazon Business.

  • Amazon Business поддерживает единый вход, инициированный поставщиком услуг и поставщиком удостоверений.
  • Amazon Business поддерживает JIT-подготовку пользователей.
  • Amazon Business поддерживает автоматическую подготовку пользователей.

Примечание.

Идентификатор этого приложения — фиксированное строковое значение, поэтому в одном клиенте можно настроить только один экземпляр.

Чтобы настроить интеграцию Amazon Business с идентификатором Microsoft Entra ID, необходимо добавить Amazon Business из коллекции в список управляемых приложений SaaS.

  1. Войдите в Центр администрирования Microsoft Entra как минимум администратор облачных приложений.
  2. Перейдите к приложениям>Identity>Applications>Enterprise. Новое приложение.
  3. В разделе Добавление из коллекции в поле поиска введите Amazon Business.
  4. Выберите Amazon Business в области результатов и добавьте это приложение. Подождите несколько секунд, пока приложение не будет добавлено в ваш клиент.

Кроме того, можно также использовать мастер конфигурации корпоративных приложений. В этом мастере можно добавить приложение в клиент, добавить пользователей и группы в приложение, назначить роли и выполнить настройку единого входа. Подробнее о мастерах Microsoft 365.

Настройка и проверка единого входа Microsoft Entra для Amazon Business

Настройте и проверьте единый вход Microsoft Entra в Amazon Business с помощью тестового пользователя B.Simon. Для обеспечения работы единого входа необходимо установить связь между пользователем Microsoft Entra и соответствующим пользователем в Amazon Business.

Чтобы настроить и проверить единый вход Microsoft Entra в Amazon Business, выполните следующие действия:

  1. Настройте единый вход Microsoft Entra, чтобы пользователи могли использовать эту функцию.
    1. Создайте тестового пользователя Microsoft Entra для тестирования единого входа Microsoft Entra с помощью B.Simon.
    2. Назначьте тестового пользователя Microsoft Entra, чтобы разрешить B.Simon использовать единый вход Microsoft Entra.
  2. Настройка единого входа в Amazon Business необходима, чтобы настроить параметры единого входа на стороне приложения.
    1. Создание тестового пользователя Amazon Business требуется для того, чтобы в Amazon Business был создан пользователь B.Simon, связанный с представлением пользователя Microsoft Entra.
  3. Проверка единого входа позволяет убедиться в правильности конфигурации.

Настройка единого входа Microsoft Entra

Выполните следующие действия, чтобы включить единый вход Microsoft Entra.

  1. Войдите в Центр администрирования Microsoft Entra как минимум администратор облачных приложений.

  2. Перейдите на >страницу интеграции приложений>Identity Applications>Enterprise Amazon Business, найдите раздел "Управление" и выберите единый вход.

  3. На странице Выбрать метод единого входа выберите SAML.

  4. На странице Настройка единого входа с помощью SAML щелкните значок карандаша, чтобы открыть диалоговое окно Базовая конфигурация SAML и изменить эти параметры.

    Изменение базовой конфигурации SAML

  5. Если вы хотите настроить в режиме, инициируемом поставщиком удостоверений, в разделе Базовая конфигурация SAML выполните следующие действия:

    1. В текстовом поле Идентификатор (сущности) введите один из следующих URL-адресов.

      URL Область/регион
      https://www.amazon.com Северная Америка
      https://www.amazon.co.jp Восточная Азия
      https://www.amazon.de Европа

    2. В текстовом поле URL-адрес ответа введите URL-адрес в одном из таких форматов:

      URL Область/регион
      https://www.amazon.com/bb/feature/sso/action/3p_redirect?idpid={idpid} Северная Америка
      https://www.amazon.co.jp/bb/feature/sso/action/3p_redirect?idpid={idpid} Восточная Азия
      https://www.amazon.de/bb/feature/sso/action/3p_redirect?idpid={idpid} Европа

      Примечание.

      Значение URL-адреса ответа приведено для примера. Вместо него нужно указать фактический URL-адрес ответа. Вы получите значение <idpid> из раздела конфигурации единого входа Amazon Business, как описано далее в учебнике. Вы также можете ссылаться на шаблоны, показанные в разделе "Базовая конфигурация SAML".

  6. Если вы хотите настроить приложение в режиме, инициированном поставщиком служб, необходимо добавить полный URL-адрес, указанный в конфигурации Amazon Business, в URL-адрес входа в разделе "Задание дополнительных URL-адресов".

  7. На следующем снимке экрана показан список атрибутов по умолчанию. Измените атрибуты, щелкнув значок карандаша в разделе Утверждения и атрибуты пользователя.

    Снимок экрана: раздел

  8. Измените атрибуты и скопируйте значение пространства имен этих атрибутов в Блокнот.

    Снимок экрана: раздел

  9. В дополнение к описанному выше приложение Amazon Business ожидает несколько дополнительных атрибутов в ответе SAML. В разделе User Attributes & Claims (Утверждения и атрибуты пользователя) в диалоговом окне Утверждения группы выполните следующие действия:

    1. Выберите перо рядом с группами, возвращенными в утверждении.

      Снимок экрана: раздел

    2. В диалоговом окне "Утверждения группы" выберите "Все группы" в списке радио.

    3. Выберите идентификатор группы в качестве исходного атрибута.

    4. Установите флажок Изменение имени утверждения группы и введите имя группы в соответствии с требованиями организации.

    5. Выберите Сохранить.

  10. На странице "Настройка единого входа с помощью SAML" в разделе "Сертификат подписи SAML" нажмите кнопку "Копировать", чтобы скопировать URL-адрес метаданных федерации приложений и сохранить его на компьютере.

    Ссылка для скачивания сертификата

  11. Скопируйте соответствующие URL-адреса в разделе "Настройка Amazon Business" в соответствии с вашим требованием.

    Копирование URL-адресов настройки

Создание тестового пользователя Microsoft Entra

В этом разделе описано, как создать тестового пользователя B.Simon.

Примечание.

При необходимости администраторы должны создать тестовых пользователей в клиенте. Ниже показано, как создать тестового пользователя.

  1. Войдите в Центр администрирования Microsoft Entra как минимум администратор пользователя.
  2. Перейдите в раздел Удостоверение>Пользователи>Все пользователи.
  3. Выберите "Создать пользователя>" в верхней части экрана.
  4. В свойствах пользователя выполните следующие действия.
    1. В поле "Отображаемое имя" введите B.Simon.
    2. В поле имени участника-пользователя введите username@companydomain.extensionимя пользователя. Например, B.Simon@contoso.com.
    3. Установите флажок Показать пароль и запишите значение, которое отображается в поле Пароль.
    4. Выберите Review + create (Просмотреть и создать).
  5. Нажмите кнопку создания.

Создание группы безопасности Microsoft Entra в портал Azure

  1. Перейдите к группам>удостоверений>всех групп.

  2. Выберите новую группу:

    Снимок экрана: кнопка

  3. Заполните поля Тип группы, Имя группы, Описание группы и Тип членства. Щелкните стрелку, чтобы выбрать участников, а затем найдите или выберите элемент, который вы хотите добавить в группу. Нажмите кнопку "Выбрать ", чтобы добавить выбранные элементы, а затем нажмите кнопку "Создать".

    Снимок экрана: панель

Назначение тестового пользователя Microsoft Entra

В этом разделе описано, как разрешить пользователю B.Simon использовать единый вход, предоставив этому пользователю доступ к Amazon Business.

  1. Войдите в Центр администрирования Microsoft Entra как минимум администратор облачных приложений.

  2. Перейдите к приложениям>Identity>Applications>Enterprise Amazon Business.

  3. На странице "Обзор" приложения найдите раздел Управление и выберите Пользователи и группы.

  4. Выберите " Добавить пользователя", а затем выберите "Пользователи и группы " в диалоговом окне "Добавление назначения ".

  5. В диалоговом окне "Пользователи и группы" выберите B.Simon в списке "Пользователи", а затем нажмите кнопку "Выбрать" в нижней части экрана.

  6. Если в утверждении SAML ожидается любое значение роли, в диалоговом окне "Выбор роли" выберите соответствующую роль для пользователя из списка и нажмите кнопку "Выбрать " в нижней части экрана.

  7. В диалоговом окне "Добавление назначения" нажмите кнопку "Назначить".

    Примечание.

    Если вы не назначите пользователей в идентификаторе Microsoft Entra, вы получите следующую ошибку.

    Снимок экрана: сообщение об ошибке, в которое невозможно войти.

Назначение группы безопасности Microsoft Entra в портал Azure

  1. Войдите в Центр администрирования Microsoft Entra как минимум администратор облачных приложений.

  2. Перейдите к приложениям>Identity>Applications>Enterprise Amazon Business.

  3. В списке приложений введите и выберите Amazon Business.

  4. В меню слева выберите Пользователи и группы.

  5. Выберите добавленного пользователя.

  6. Найдите группу безопасности, которую вы хотите использовать, а затем выберите группу, чтобы добавить ее в раздел "Выбор участников". Выберите "Выбрать", а затем нажмите кнопку "Назначить".

    Поиск группы безопасности

    Примечание.

    Проверьте уведомления в строке меню, чтобы получить уведомление о том, что группа успешно назначена приложению Enterprise.

Настройка единого входа Amazon Business

  1. В другом окне веб-браузера войдите на свой корпоративный сайт Amazon Business в качестве администратора.

  2. Выберите профиль пользователя и выберите "Параметры бизнеса".

    Профиль пользователя

  3. В мастере интеграция систем выберите Единый вход (SSO).

    Единый вход (SSO)

  4. В мастере настройки единого входа выберите поставщика в соответствии с требованиями организации и нажмите кнопку "Далее".

    Примечание.

    Хотя Microsoft ADFS является перечисленным вариантом, он не будет работать с единым входом Microsoft Entra.

  5. В мастере создания учетной записи пользователя по умолчанию выберите группу по умолчанию и выберите роль покупки по умолчанию в соответствии с ролью пользователя в организации и нажмите кнопку "Далее".

    Снимок экрана: страница

  6. В мастере отправки файла метаданных выберите параметр "Вставить XML-ссылку", чтобы вставить значение URL-адреса метаданных федерации приложений и нажмите кнопку "Проверить".

    Примечание.

    Кроме того, можно отправить XML-файл метаданных федерации, щелкнув параметр "Отправить XML-файл ".

  7. После отправки скачанного файла метаданных поля в разделе Connection data (Данные подключения) будут заполняться автоматически. После этого нажмите кнопку "Далее".

  8. В мастере отправки инструкции "Атрибут" нажмите кнопку "Пропустить".

    Снимок экрана: страница

  9. В мастере сопоставления атрибутов добавьте поля требования, щелкнув +Add a field (+Добавить поле). Добавьте значения атрибутов, включая пространство имен, скопированное из раздела "Атрибуты пользователя" и "Утверждения" портал Azure в поле SAML AttributeName и нажмите кнопку "Далее".

    Снимок экрана: страница

  10. В мастере данных подключения Amazon убедитесь, что ваш удостоверений настроен и нажмите кнопку "Продолжить".

    Снимок экрана: страница

  11. Проверьте состояние настроенных шагов и нажмите кнопку "Начать тестирование".

  12. В мастере тестового единого входа выберите "Тест".

    Снимок экрана: страница

  13. Перед нажатием кнопки "Активировать" перед нажатием кнопки "Активировать" перед нажатием кнопки "Активировать" скопируйте значение, назначенное идентификатору и вставьте его в параметр idpid в URL-адрес ответа в разделе "Базовая конфигурация SAML".

    Снимок экрана: страница

  14. В мастере "Готовы ли вы переключиться на активный единый вход?" , проверьте , что я полностью протестирован единый вход и готов перейти в режим реального времени и выбрать переключатель для активного подключения.

    Снимок экрана: страница

  15. Наконец, в разделе сведений о подключении единого входа отображается состояние "Активный".

    Примечание.

    Если вы хотите настроить приложение в режиме, инициированном поставщиком служб, выполните следующий шаг, вставьте URL-адрес входа на снимке экрана выше в текстовом поле URL-адреса входа в разделе "Задание дополнительных URL-адресов". Используйте следующий формат:

    https://www.amazon.<TLD>/bb/feature/sso/action/start?domain_hint=<UNIQUE_ID>

Создание тестового пользователя Amazon Business

В этом разделе описано, как в приложении Amazon Business создать пользователя с именем B.Simon. Приложение Amazon Business поддерживает JIT-подготовку пользователей. Эта функция включена по умолчанию. В рамках этого раздела никакие действия с вашей стороны не требуются. Если пользователь еще не существует в Amazon Business, он создается после проверки подлинности.

Проверка единого входа

В этом разделе описана конфигурация единого входа Microsoft Entra с помощью следующих параметров.

Инициация поставщиком услуг:

  • Выберите на вкладке "Тестировать это приложение", вы будете перенаправлены по URL-адресу для входа в Amazon Business, где можно инициировать поток входа.

  • Перейдите по URL-адресу единого входа Amazon Business и инициируйте поток входа.

Вход, инициированный поставщиком удостоверений

  • Выберите " Тестировать это приложение", и вы автоматически войдете в приложение Amazon Business, для которого настроили единый вход.

Вы можете также использовать портал "Мои приложения" корпорации Майкрософт для тестирования приложения в любом режиме. При выборе плитки Amazon Business в Мои приложения вы будете перенаправлены на страницу входа приложения для инициации потока входа и при настройке в режиме поставщика удостоверений, вы автоматически войдете в приложение Amazon Business, для которого настроили единый вход. Дополнительные сведения о портале "Мои приложения" см. в этой статье.

Перенастройка параметров поставщика услуг из ADFS в идентификатор Microsoft Entra

  1. Подготовка среды идентификатора Microsoft Entra

    1. Проверьте подписку Microsoft Entra ID Premium, убедитесь, что у вас есть подписка Microsoft Entra ID Premium, которая требуется для единого входа (SSO) и других дополнительных функций.

  2. Регистрация приложения в идентификаторе Microsoft Entra

    1. Перейдите к идентификатору Microsoft Entra в портал Azure.
    2. Выберите "Регистрация приложений" > "Новая регистрация".
    3. Укажите необходимые сведения:
      1. Имя. Введите понятное имя приложения.
      2. Поддерживаемые типы учетных записей: выберите подходящий вариант для вашей среды.
      3. URI перенаправления. Введите необходимые URI перенаправления (обычно URL-адрес входа в приложение).

  3. Настройка единого входа в Microsoft Entra ID

    1. Настройка единого входа в идентификаторе Microsoft Entra.
    2. В портал Azure перейдите к приложениям Microsoft Entra ID > Enterprise.
    3. Выберите приложение из списка.
    4. В разделе "Управление" выберите "Единый вход".
    5. Выберите SAML в качестве метода единого входа.
    6. Измените базовую конфигурацию SAML:
      1. Идентификатор (идентификатор сущности): введите идентификатор сущности sp.
      2. URL-адрес ответа (URL-адрес службы потребителей утверждений): введите URL-адрес СЛУЖБЫ acS sp.
      3. URL-адрес для входа: введите URL-адрес входа приложения, если это применимо.

  4. Настройка атрибутов пользователей и утверждений

    1. В параметрах входа на основе SAML выберите "Атрибуты пользователя и утверждения".
    2. Измените и настройте утверждения в соответствии с требованиями, необходимыми поставщиком поддержки. Как правило, это включает:
      1. NameIdentifier
      2. Эл. почта
      3. GivenName
      4. Surname
      5. и т. д.

  5. Скачивание метаданных единого входа в Microsoft Entra ID

  6. В разделе сертификата подписи SAML скачайте XML-файл метаданных федерации. Это используется для настройки службы обновления.

  7. Перенастройка поставщика услуг (SP)

    1. Обновление sp для использования метаданных идентификатора Microsoft Entra ID
    2. Доступ к параметрам конфигурации субъекта-службы.
    3. Обновите URL-адрес метаданных поставщика удостоверений или отправьте XML-код метаданных идентификатора Microsoft Entra.
    4. Обновите URL-адрес службы потребителей утверждений (ACS), идентификатор сущности и любые другие обязательные поля, чтобы соответствовать конфигурации идентификатора Microsoft Entra.

  8. Настройка сертификатов SAML

  9. Убедитесь, что служба обновления настроена для доверия сертификату подписи из идентификатора Microsoft Entra. Это можно найти в разделе сертификата подписи SAML конфигурации единого входа в Microsoft Entra ID.

  10. Проверка конфигурации единого входа

  11. Инициируйте тестовое имя входа из sp.

  12. Убедитесь, что проверка подлинности перенаправляется на идентификатор Microsoft Entra и успешно регистрируется в пользователе.

  13. Проверьте утверждения, передаваемые, чтобы убедиться, что они соответствуют ожидаемому поставщику.

  14. Обновите параметры DNS и сети (если применимо). Если служба обновления или приложение использует параметры DNS, относящиеся к ADFS, может потребоваться обновить эти параметры, чтобы указать конечные точки идентификатора Microsoft Entra ID.

  15. Развертывание и мониторинг

    1. Общаться с пользователями уведомлять пользователей об изменении и предоставлять необходимые инструкции или документацию.
    2. Мониторинг журналов проверки подлинности следить за журналами входа в систему Microsoft Entra ID, чтобы отслеживать любые проблемы с проверкой подлинности и быстро устранять их.

Следующие шаги

После настройки Amazon Business вы можете применить функцию управления сеансом, которая защищает от кражи и проникновения конфиденциальных данных вашей организации в режиме реального времени. Управление сеансом является расширением функции условного доступа. Узнайте, как применять управление сеансами с помощью приложений Defender для облака.

Дополнительные ресурсы