您必須以超級管理員的身分登入才能執行這項工作。
您可以使用安全宣告標記語言 (SAML),讓使用者透過 Google Cloud 憑證登入企業雲端應用程式。
透過 SAML 為 Amazon Business 設定單一登入 (SSO) 服務
以下說明如何透過 SAML 為 Amazon Business 應用程式設定單一登入 (SSO) 服務。
步驟 1:取得 Google 識別資訊提供者 (IdP) 資訊-
-
在管理控制台中,依序點選「選單」圖示 「應用程式」「網頁和行動應用程式」。
-
依序按一下 [新增應用程式] [搜尋應用程式]。
- 在搜尋欄位中輸入 Amazon Business。
- 將滑鼠游標懸停在搜尋結果中的 Amazon Business SAML 應用程式上,然後按一下「選取」。
- 在「Google 識別資訊提供者詳細資料」頁面上,下載 IdP 中繼資料檔案。
- 請勿關閉管理控制台。您在 Amazon Business 應用程式中執行下一步後,需要繼續使用設定精靈。
您必須擁有有效的 Amazon Business 帳戶,才能進行這項工作。
- 前往 amazon.com 登入 Amazon Business 帳戶。
- 按一下右上角的帳戶名稱,然後從下拉式選單中選取「您的帳戶」。
- 在帳戶個人資料頁面中,按一下「Amazon Business 設定」。
- (選用) 按一下「System integrations」下方的「Domain verification」,然後按照步驟新增及驗證 Google Workspace 網域。
- 在「System integrations」下方,選取「Single Sign-On (SSO)」。
- 在「IDP Selected」部分,按一下「Change」並確認。
- 在「Change IDP Selection」清單中選取「Google gSuite」,然後按一下「Reset Configuration」。
- 在「Default Group」部分選取預設群組,然後在「Default Buying Role」中選取角色,並點選「Next」 。
- 找出並上傳您在上述步驟 1 下載的 Google IdP 中繼資料 XML 檔案。系統會自動從 XML 檔案剖析實體 ID、IssuerURL、簽署憑證和 HTTP 重新導向網址。
- 按一下「Next」。
- 在「Attribute Mapping」頁面上,將 Amazon 屬性對應至 SAML AttributeName 值,如下所示:
Amazon 資料 SAML 屬性名稱 Email email 名字 firstName 姓氏 lastName - 按一下「Next」。
- 在「Amazon connection data」中複製 SSO 網址。透過下方步驟 3 在管理控制台完成 Google 端設定時,會需要用到這項內容。
- 返回管理控制台瀏覽器分頁。
- 在「Google 識別資訊提供者詳細資料」頁面上按一下 [繼續]。
- 在「服務供應商詳細資訊」頁面上,將「ACS 網址」替換為上述步驟 2 結束時,從 Amazon Business SSO 設定複製的單一登入 (SSO) 網址。
- 更新區域的實體 ID。舉例來說,如果是北美洲,請使用 https://www.amazon.com。日本請使用 https://www.amazon.jp。歐洲地區請使用 https://www.amazon.de。
- 按一下 [繼續]。
- 在「屬性對應」頁面上,按一下「選取欄位」選單,並將下列 Google 目錄屬性對應至相應的 Amazon Business 屬性:
請注意,firstName、lastName 和 email 為必填屬性。
Google 目錄屬性 Amazon Business 屬性 Basic Information > Primary Email email Basic Information > First Name firstName Basic Information > Last Name lastName - (選用) 按一下「Add Mapping」,新增您需要的任何額外對應。
-
(選用) 如要輸入與這個應用程式相關的群組名稱:
- 在「群組成員 (選用)」部分,按一下「搜尋群組」,輸入一或多個群組名稱字母,然後選取群組名稱。
- 視需要新增其他群組 (最多 75 個群組)。
- 在「應用程式屬性」部分,輸入服務供應商對應的群組屬性名稱。
無論輸入多少個群組名稱,SAML 回應都只會包含使用者所屬的群組 (直接或間接)。詳情請參閱「關於群組成員對應」。
- 點選 [完成]。
-
-
在管理控制台中,依序點選「選單」圖示 「應用程式」「網頁和行動應用程式」。
- 選取「Amazon Business」。
-
按一下 [使用者存取權]。
-
如要為貴機構中的所有使用者開啟或關閉服務,請按一下「為所有人啟用」或「為所有人關閉」,接著再點選「儲存」。
-
(選用) 如何為機構單位開啟或關閉服務:
- 在左側選取機構單位。
- 選取「開啟」或「關閉」即可變更服務狀態。
- 選擇下列其中一項設定:
- 如果服務狀態已設為「已沿用」,而您想要保留更新後的設定 (即使上層設定發生變更,仍要套用更新的設定),請按一下「覆寫」。
- 如果服務狀態設為「已覆寫」,按一下「沿用」 即可還原成與上層機構相同的設定;或按一下「儲存」 即可保留新設定 (即使上層設定發生變更亦然)。
注意:進一步瞭解機構架構。
-
如要為一組屬於相同或不同機構單位的使用者開啟服務,請選取存取權群組。詳情請參閱為群組開啟服務。
Amazon Business 同時支援識別資訊提供者 (IdP) 和服務供應商 (SP) 啟動的單一登入 (SSO) 服務。您可以透過任一模式確認該服務的運作狀態,步驟如下:
IdP 啟動的單一登入 (SSO) 服務
-
-
在管理控制台中,依序點選「選單」圖示 「應用程式」「網頁和行動應用程式」。
- 選取「Amazon Business」。
- 按一下左上方的「測試 SAML 登入」。
Amazon Business 應該會在另一個分頁中開啟。如果沒有,請根據系統顯示的 SAML 錯誤訊息,視情況更新 IdP 和服務供應商 (SP) 設定,然後重新測試 SAML 登入功能。
SP 啟動的單一登入 (SSO) 服務
- 在 Amazon 中,前往「SSO Connection」頁面。
- 按一下「Status」部分中的「Start Testing」。
- 按一下「Test」。系統隨即會開啟新的瀏覽器視窗,將您重新導向至 Google 進行驗證。
- 以可存取 Amazon Business 帳戶的 Google 使用者身分登入。
- 確認下列事項:
- 使用者帳戶已成功登入 Amazon Business。
- 由 SP 啟動的網址和 IdP 初始化的網址都顯示在「SSO 連線詳細資料」頁面上。
- 準備好將 SP 起始網址提供給使用者時,請按一下「啟用」。
Google、Google Workspace 與相關符號和標誌均為 Google LLC 的商標。所有其他公司名稱和產品名稱則為相關公司的商標。