教學課程:整合 Amazon Business 與 Microsoft Entra ID
在本教學課程中,您將瞭解如何整合 Amazon Business 與 Microsoft Entra ID。 整合 Amazon Business 與 Microsoft Entra ID 時,您可以:
- 在 Microsoft Entra ID 中控制可存取 Amazon Business 的人員。
- 讓使用者使用其 Microsoft Entra 帳戶自動登入 Amazon Business。
- 在一個集中式位置管理您的帳戶。
必要條件
若要開始使用,您需要下列項目:
- Microsoft Entra 訂用帳戶。 如果您沒有訂用帳戶,可以取得免費帳戶。
- 已啟用 Amazon Business 單一登入 (SSO) 的訂用帳戶。 前往 Amazon Business 頁面以建立 Amazon Business 帳戶。
案例描述
在本教學課程中,您會在現有的 Amazon Business 帳戶中設定及測試 Microsoft Entra SSO。
- Amazon Business 支援 SP 和 IDP 起始的 SSO。
- Amazon Business 支援 Just In Time 使用者佈建。
- Amazon Business 支援 自動使用者佈建。
注意
此應用程式的識別碼是固定的字串值,因此一個租用戶中只能設定一個執行個體。
從資源庫新增 Amazon Business
若要設定將 Amazon Business 整合到 Microsoft Entra ID 中,您需要從資源庫將 Amazon Business 新增到受控 SaaS 應用程式清單。
- 以至少 雲端應用程式系統管理員 的身分登入 Microsoft Entra 系統管理中心。
- 瀏覽至 [身分識別] > [應用程式] > [企業應用程式] > [新增應用程式]。
- 在 [從資源庫新增] 區段的搜尋方塊中輸入 Amazon Business。
- 從結果面板選取 [Amazon Business],然後新增應用程式。 將應用程式新增至您的租用戶時,請稍候幾秒鐘。
或者,您也可以使用企業應用程式組態精靈。 在此精靈中,您可以將應用程式新增至租用戶、將使用者/群組新增至應用程式、指派角色,以及逐步進行 SSO 設定。 深入了解 Microsoft 365 精靈。
設定及測試適用於 Amazon Business 的 Microsoft Entra SSO
使用名為 B.Simon 的測試用戶設定及測試與 Amazon Business 搭配的 Microsoft Entra SSO。 若要讓 SSO 能夠運作,您必須建立 Microsoft Entra 使用者與 Amazon Business 中相關使用者之間的連結關聯性。
若要設定及測試與 Amazon Business 搭配的 Entra SSO Microsoft,請執行下列步驟:
- 設定 Microsoft Entra SSO - 讓使用者能夠使用此功能。
- 建立 Microsoft Entra 測試使用者 - 以使用 B.Simon 測試 Microsoft Entra 單一登入。
- 指派 Microsoft Entra 測試使用者 - 讓 B.Simon 使用 Microsoft Entra 單一登入。
- 設定 Amazon Business SSO - 在應用程式端設定單一登入設定。
- 建立 Amazon Business 測試使用者 - 使 Amazon Business 中對應的 B.Simon 連結到該使用者在 Microsoft Entra 中的代表項目。
- 測試 SSO - 確認組態是否正常運作。
設定 Microsoft Entra SSO
遵循下列步驟來啟用 Microsoft Entra SSO。
以至少 雲端應用程式系統管理員 的身分登入 Microsoft Entra 系統管理中心。
瀏覽至 [身分識別]>[應用程式]>[企業應用程式]>[Amazon Business] 應用程式整合頁面,尋找 [管理] 區段,然後選取 [單一登入]。
在 [選取單一登入方法] 頁面上,選取 [SAML]。
在 [以 SAML 設定單一登入] 頁面上,選取 [基本 SAML 設定] 的鉛筆圖示,以編輯設定。
在 [基本 SAML 組態] 區段上,若您想要以 IDP 起始模式進行設定,請執行下列步驟:
在 [識別碼 (實體識別碼)] 文字方塊中,輸入下列其中一個 URL:
URL 區域 https://www.amazon.com北美洲 https://www.amazon.co.jp東亞 https://www.amazon.de歐洲 在 [回覆 URL] 文字輸入框中,使用下列其中一種模式輸入 URL:
URL 區域 https://www.amazon.com/bb/feature/sso/action/3p_redirect?idpid={idpid}北美洲 https://www.amazon.co.jp/bb/feature/sso/action/3p_redirect?idpid={idpid}東亞 https://www.amazon.de/bb/feature/sso/action/3p_redirect?idpid={idpid}歐洲 注意
[回覆 URL] 不是真實的值。 請使用實際的「回覆 URL」來更新此值。 您將從 Amazon Business SSO 設定一節取得
<idpid>值,本教學課程稍後會加以說明。 您也可以參考基本 SAML 設定區段中所示的模式。
如果您想要以 SP 起始模式設定應用程式,您必須將 Amazon Business 設定中提供的完整 URL 新增至 [設定其他 URL] 區段中的 [登入 URL]。
下列螢幕擷取畫面顯示預設屬性的清單。 按一下 [使用者屬性與宣告] 區段中的 鉛筆 圖示,以編輯屬性。
編輯屬性並將這些屬性的 [命名空間] 值複製到 [記事本] 中。
除了以上屬性外,Amazon Business 應用程式還需要在 SAML 回應中傳回更多屬性。 在 [群組宣告] 對話方塊的 [使用者屬性與宣告] 區段中,執行下列步驟:
選取宣告中傳回之群組旁的畫筆。
在 [ 群組宣告] 對話框中,從單選清單中選取 [所有群組 ]。
選取 [群組識別碼] 作為 [來源屬性]。
勾選 [自訂群組宣告的名稱] 核取方塊,並根據貴組織需求輸入群組名稱。
選取儲存。
在 [以 SAML 設定單一登入] 頁面的 [SAML 簽署憑證] 區段中,選取 [複製] 按鈕以複製應用程式同盟中繼資料 URL,並將其儲存在您的電腦上。
在 [ 設定 Amazon Business] 區段上,根據您的需求複製適當的 URL。
建立 Microsoft Entra 測試使用者
在本節中,您將建立名為 B.Simon 的測試使用者。
注意
如有需要,系統管理員必須在其租用戶中建立測試使用者。 下列步驟說明如何建立測試使用者。
- 以至少是使用者管理員的身分登入 Microsoft Entra 系統管理中心。
- 瀏覽至 [身分識別]>[使用者]>[所有使用者]。
- 在畫面頂端選取 [新增使用者]>[建立新使用者]。
- 在 [使用者] 屬性中,執行下列步驟:
- 在 [顯示名稱] 欄位中輸入
B.Simon。 - 在 [使用者主體名稱] 欄位中輸入 username@companydomain.extension。 例如:
B.Simon@contoso.com。 - 選取 [顯示密碼] 核取方塊,然後記下 [密碼] 方塊中顯示的值。
- 選取 [檢閱 + 建立]。
- 在 [顯示名稱] 欄位中輸入
- 選取 建立。
在 Azure 入口網站中建立 Microsoft Entra 安全性群組
瀏覽至 [身分識別]>[群組]>[所有群組]。
選取 [新增群組]:
填寫 [群組類型]、[群組名稱]、[群組描述]、[成員資格類型]。 選取箭號以選取成員,然後搜尋或選取您要新增至群組的成員。 選取 [選取] 以新增選取的成員,然後在 [建立] 上選取 。
![顯示 [群組] 窗格的螢幕擷取畫面,具有包括選取成員和邀請外部使用者的選項。](media/amazon-business-tutorial/group-information.png)
指派 Microsoft Entra 測試使用者
在本節中,您會將 Amazon Business 的存取權授與 B.Simon,讓其能夠使用單一登錄。
以至少 雲端應用程式系統管理員 的身分登入 Microsoft Entra 系統管理中心。
瀏覽至 [身分識別]>[應用程式]>[企業應用程式]>[Amazon Business]。
在應用程式的 [概觀] 頁面中,尋找 [管理] 區段,然後選取 [使用者和群組]。
選取 [新增使用者],然後在 [新增指派] 對話框中選取 [使用者和群組]。
在 使用者和群組 對話方塊的使用者清單中,選取 B.Simon ,然後選取畫面控制項底部的 選取 按鈕。
如果您在 SAML 判斷提示中預期有任何角色值,請在 [選取角色] 對話框中,從清單中選取使用者的適當角色,然後選取畫面底部的 [選取] 按鈕。
在 新增指派 對話方塊中,選取 指派 按鈕。
注意
如果您未在 Microsoft Entra ID 中指派使用者,您會收到下列錯誤。
在 Azure 入口網站中指派 Microsoft Entra 安全性群組
以至少 雲端應用程式系統管理員 的身分登入 Microsoft Entra 系統管理中心。
瀏覽至 [身分識別]>[應用程式]>[企業應用程式]>[Amazon Business]。
在應用程式清單中,輸入及選取 [Amazon Business]。
在左側功能表中,選取 [使用者和群組]。
選取 [ 已新增的使用者]。
搜尋您想要使用的安全組,然後選取群組以將它新增至 [選取成員] 區段。 選取 [ 選取],然後選取 [ 指派]。
注意
檢查功能表欄中的通知,以通知群組已成功指派給企業應用程式。
設定 Amazon Business SSO
在不同的網頁瀏覽器視窗中,以系統管理員身分登入您的 Amazon Business 公司網站
在 [使用者配置檔] 上選取 ,然後選取 [商務設定]。
在 [系統整合] 精靈上,選取 [單一登入 (SSO)]。
在 [ 設定 SSO 精靈] 上,根據您的組織需求選取提供者,然後選取 [ 下一步]。
注意
雖然 Microsoft ADFS 是列出的選項,但它無法與 Microsoft Entra SSO 搭配使用。
在 [ 新增使用者帳戶預設值精 靈] 上,選取 [ 預設群組 ],然後根據組織中的使用者角色選取 [默認購買角色 ],然後選取 [ 下一步]。
在 [ 上傳元數據檔案 精靈] 上,選擇 [貼上 XML 連結 ] 選項以貼上 [應用程式同盟元數據 URL] 值,然後選取 [ 驗證]。
注意
或者,您也可以按一下 [上傳 XML 檔案] 選項,以上傳 [同盟中繼資料 XML] 檔案。
上傳所下載的中繼資料檔案之後,就會自動填入 [連線資料] 區段中的欄位。 之後,請選取 [ 下一步]。
在 [ 上傳您的屬性語句 精靈] 上,選取 [ 略過]。
![顯示上傳您的屬性陳述式的螢幕擷取畫面,可讓您瀏覽至屬性陳述式,但是在此案例中,選取 [跳過]。](media/amazon-business-tutorial/upload-attribute.png)
在 [屬性對應] 精靈上,按一下 [+ 新增欄位] 選項來新增需求欄位。 將包含命名空間的屬性值新增至 [SAML AttributeName] 字段中,您已從 Azure 入口網站 的 [使用者屬性和宣告] 區段複製到 [SAML AttributeName] 欄位,然後選取 [下一步]。
在 Amazon 連線數據精靈上,請確認您的 IDP 已設定,然後選取 [繼續]。
檢查已設定的步驟狀態,然後選取 [開始測試]。
在 [ 測試 SSO 連線 精靈] 上,選取 [ 測試]。
![顯示測試 SSO 連線的螢幕擷取畫面,其中具有 [測試] 按鈕。](media/amazon-business-tutorial/test.png)
在IDP起始的URL精靈上,選取 [啟用] 之前,複製指派給idpid的值,並貼到 [基本 SAML 組態] 區段中 [回復 URL] 中的 idpid 參數。
![顯示 IDP 起始 URL 的螢幕擷取畫面,您可以在其中取得測試所需的 URL 然後選取 [啟動]。](media/amazon-business-tutorial/activate.png)
在 [您是否準備好切換到作用中的 SSO? 精靈] 上,核取 [我已完整測試 SSO],並準備好上線複選框,然後選取 [切換至作用中]。
![顯示您是否準備好切換至使用中 SSO 確認的螢幕擷取畫面,您可以在其中選取 [切換] 為使用中。](media/amazon-business-tutorial/switch-active.png)
最後, 在 [SSO 連線詳細數據 ] 區段中, 狀態 會顯示為 [作用中]。
注意
如果您想要將應用程式設定為 SP 起始模式,請完成下列步驟,將上述螢幕擷取畫面中的登入 URL 貼到 [設定其他 URL] 區段的 [登入 URL] 文字方塊中。 請使用下列格式:
https://www.amazon.<TLD>/bb/feature/sso/action/start?domain_hint=<UNIQUE_ID>
建立 Amazon Business 測試使用者
本節會在 Amazon Business 中建立名為 B.Simon 的使用者。 Amazon Business 支援依預設啟用的 Just-In-Time 使用者佈建。 這一節沒有您需要進行的動作項目。 如果 Amazon Business 中還沒有任何使用者存在,在驗證之後就會建立新的使用者。
測試 SSO
在本節中,您會使用下列選項來測試您的 Microsoft Entra 單一登入設定。
SP 起始:
選取 [ 測試此應用程式],這會重新導向至您可以在其中起始登入流程的 Amazon Business 登入 URL。
直接移至 Amazon Business 單一登錄 URL,然後從該處起始登入流程。
IDP 起始:
- 選取 [ 測試此應用程式],您應該會自動登入您已設定 SSO 的 Amazon Business。
您也可以使用 Microsoft「我的應用程式」,以任何模式測試應用程式。 當您在 我的應用程式 中選取 [Amazon Business] 圖格時,如果是在 SP 模式中設定,您會重新導向至應用程式登入頁面來起始登入流程,如果在 IDP 模式中設定,則應該會自動登入您已設定 SSO 的 Amazon Business。 如需「我的應用程式」的詳細資訊,請參閱我的應用程式簡介。
將服務提供者設定從ADFS重新設定為 Microsoft Entra 識別碼
準備Microsoft項目標識符環境
- 確認Microsoft Entra ID Premium 訂用帳戶 確定您有Microsoft Entra ID Premium 訂用帳戶,這是單一登錄 (SSO) 和其他進階功能所需的訂用帳戶。
在 Microsoft Entra 識別碼中註冊應用程式
- 在 Azure 入口網站中導覽至 Microsoft Entra ID。
- 選取 [應用程式註冊] > [新增註冊]。
- 填寫必要的詳細資料:
- 名稱:輸入應用程式有意義的名稱。
- 支援的帳戶類型:為您的環境選擇適當的選項。
- 重新導向 URI:輸入必要的重新導向 URI(通常是您應用程式的登入 URL)。
設定 Microsoft Entra ID SSO
- 在 entra 識別碼Microsoft設定單一登錄。
- 在 Azure 入口網站 中,移至 Microsoft Entra ID > Enterprise 應用程式。
- 從清單中選取您的應用程式。
- 在 [管理] 底下,選取 [單一登錄]。
- 選擇 [SAML] 作為 [單一登錄] 方法。
- 編輯基本 SAML 組態:
- 標識元(實體標識元):輸入SP實體標識碼。
- 回復 URL (判斷提示取用者服務 URL):輸入 SP ACS URL。
- 登入 URL:如果適用,請輸入應用程式登入 URL。
設定用戶屬性和宣告
- 在 SAML 型登入設定中,選取 [使用者屬性和宣告]。
- 編輯和設定宣告以符合SP所需的宣告。 通常,這包括:
- NameIdentifier
- 電子郵件
- GivenName
- Surname
- 等等。
下載Microsoft Entra ID SSO 元數據
在 [SAML 簽署憑證] 區段中,下載 [同盟元數據 XML]。 這是用來設定SP。
重新設定服務提供者 (SP)
- 更新SP以使用Microsoft專案標識碼數據
- 存取SP的組態設定。
- 更新IdP元數據URL,或上傳 Microsoft Entra ID 元數據 XML。
- 更新判斷提示取用者服務 (ACS) URL、實體標識碼,以及符合Microsoft Entra ID 設定的任何其他必要欄位。
設定 SAML 憑證
確定SP已設定為信任來自 Microsoft Entra 識別碼的簽署憑證。 這可以在 Microsoft Entra ID SSO 組態的 [SAML 簽署憑證] 區段中找到。
測試 SSO 組態
從SP起始測試登入。
確認驗證會重新導向至 Microsoft Entra ID,並成功登入使用者。
請檢查傳遞的宣告,以確保它們符合SP預期的內容。
更新 DNS 和網路設定(如果適用)。 如果您的SP或應用程式使用ADFS特定的 DNS 設定,您可能需要更新這些設定,以指向 Microsoft Entra ID 端點。
推出和監視
- 與用戶通訊 以通知用戶變更,並提供任何必要的指示或檔。
- 監視驗證記錄請留意Microsoft Entra ID 登入記錄檔,以監視是否有任何驗證問題,並立即加以解決。
下一步
設定 Amazon Business 後,您可以強制執行工作階段控制項,以即時防止組織的敏感資料遭到外洩和滲透。 工作階段控制項會從條件式存取延伸。 了解如何使用 Microsoft Defender for Cloud Apps 來強制執行工作階段控制項。