Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
Activation du SSO pour l'intégration du système d'approvisionnement
Vous pouvez activer l'authentification unique (SSO) pour l'intégration de votre système d' AWS Marketplace approvisionnement en transmettant l'URL de votre portail d'accès IAM Identity Center en tant que paramètre de requête dans la configuration de punchout. Lorsque cette option est activée, les utilisateurs qui accèdent AWS Marketplace par le biais de votre système d'approvisionnement sont automatiquement redirigés vers la page de connexion SSO de votre organisation au lieu de la page de AWS connexion standard.
Note
Cette configuration SSO est compatible avec tous les fournisseurs d'identité pris en charge par IAM Identity Center, notamment Okta, Microsoft Entra ID et le répertoire IAM Identity Center intégré.
Conditions préalables
Avant d'activer l'authentification unique pour l'intégration du système d'approvisionnement, vous devez disposer des éléments suivants :
-
Une intégration active du système d'approvisionnement avec AWS Marketplace. Pour les instructions de configuration, voir Configuration AWS Marketplace à intégrer à Coupa ouConfiguration AWS Marketplace à intégrer à SAP Ariba.
-
Une instance IAM Identity Center avec une URL de portail d'accès. Pour les instructions de configuration, consultez la section Activation d'IAM Identity Center dans le guide de l'utilisateur d'IAM Identity Center.
-
Les utilisateurs qui y auront accès AWS Marketplace doivent être configurés dans IAM Identity Center avec les ensembles d'autorisations appropriés. Pour plus d'informations, consultez la section Ensembles d'autorisations dans le guide de l'utilisateur d'IAM Identity Center. Contactez votre équipe IAM ou d'identité si vous avez des questions concernant le provisionnement des utilisateurs.
-
Accès administratif à votre système d'approvisionnement (Coupa ou SAP Ariba) pour modifier l'URL du fournisseur punchout.
Comment fonctionne le SSO pour l'intégration du système d'approvisionnement
Lorsque vous configurez le SSO pour l'intégration du système d'approvisionnement, le flux d'authentification fonctionne comme suit :
-
Un utilisateur de votre système d'approvisionnement lance une session de punchout. Le système d'approvisionnement envoie le
idc_urlparamètre avec le cXML PunchOutSetupRequest. -
AWS Marketplace lit le
idc_urlparamètre et redirige l'utilisateur vers l'URL de votre portail d'accès IAM Identity Center au lieu de la page de AWS connexion standard. -
L'utilisateur s'authentifie par le biais du fournisseur d'identité de votre organisation. Cela respecte les politiques d'authentification standard de votre organisation, y compris les exigences relatives à l'authentification multifactorielle (MFA).
-
Après l'authentification, IAM Identity Center émet un jeton de session et l'utilisateur est redirigé vers la session AWS Marketplace Punchout pour parcourir et demander des produits.
Étape 1 : Trouvez l'URL de votre portail d'accès à IAM Identity Center
Utilisez la procédure suivante pour localiser l'URL de votre portail d'accès à l'IAM Identity Center.
Pour trouver l'URL de votre portail d'accès à IAM Identity Center
-
Ouvrez la console IAM Identity Center à https://console.aws.amazon.com/singlesignon/
l'adresse. -
Dans le panneau de navigation, sélectionnez Settings (Paramètres).
-
Dans l'onglet Source d'identité, recherchez l'URL du portail d'accès AWS.
-
Copiez cette URL.
L'URL de votre portail d'accès ressemble à l'exemple suivant :
https://d-1234567890.awsapps.com/start
Pour plus d'informations, consultez la section Personnalisation de l'URL du portail d'accès AWS dans le guide de l'utilisateur d'IAM Identity Center.
Étape 2 : Ajoutez le paramètre idc_url à l'URL de votre fournisseur de punchout
Dans votre système d'approvisionnement (Coupa ou SAP Ariba), ajoutez le paramètre de idc_url requête à l'URL du fournisseur AWS Marketplace punchout. La idc_url valeur est l'URL de votre portail d'accès à l'instance IAM Identity Center.
Exemple :
https://eprocurement.marketplace.us-east-1.amazonaws.com/v1/punchout/setup?idc_url=https://d-1234567890.awsapps.com/start
Étape 3 : (Facultatif) Configurer l'état du relais pour un accès direct à la console
Si vous souhaitez que les utilisateurs accèdent à une page de AWS console spécifique après l'authentification SSO, configurez un état de relais dans votre ensemble d'autorisations IAM Identity Center. Sans état de relais, les utilisateurs accèdent à la console de AWS gestion après s'être authentifiés.
La configuration d'un état de relais est facultative, mais fortement recommandée.
Pour configurer l'état du relais
-
Ouvrez la console IAM Identity Center à https://console.aws.amazon.com/singlesignon/
l'adresse. -
Sous Multi-account Autorisations, sélectionnez Ensembles d'autorisations.
-
Choisissez l'ensemble d'autorisations utilisé par les utilisateurs de votre service d'approvisionnement.
-
Choisissez Modifier.
-
Sous État du relais, entrez :
https://console.aws.amazon.com/marketplace -
Sélectionnez Enregistrer les modifications.
Pour plus d'informations, consultez la section Définir l'état du relais pour accéder rapidement à la console de gestion AWS dans le guide de l'utilisateur d'IAM Identity Center.
Exigences et limitations
| Exigence | Détails |
|---|---|
| Le paramètre est facultatif | Si le idc_url paramètre est omis, les utilisateurs voient la page de AWS connexion standard. |
| Aucune validation de domaine | AWS Marketplace ne valide pas le domaine dans le idc_url paramètre. L'administrateur des achats est chargé de fournir l'URL correcte du portail d'accès à l'IAM Identity Center. |
| Fournisseurs d'identité pris en charge | Tous les fournisseurs d'identité pris en charge par IAM Identity Center, notamment Okta, Microsoft Entra ID et le répertoire intégré d'IAM Identity Center. |
Résolution des problèmes
Le tableau suivant décrit les problèmes courants et leurs solutions.
| Problème | Cause | Résolution |
|---|---|---|
| Les utilisateurs voient la page de AWS connexion standard | Le idc_url paramètre est manquant ou n'a pas été enregistré correctement. |
Vérifiez que l'URL du fournisseur contient ?idc_url=<your-url> et confirmez que la modification a été enregistrée. |
| La page SSO se charge mais l'authentification échoue | L'URL du centre d'identité IAM est incorrecte ou l'utilisateur n'est pas configuré. | Vérifiez l'URL du portail d'accès en l'ouvrant directement dans un navigateur. Vérifiez que l'utilisateur est configuré dans IAM Identity Center. |
| Les utilisateurs sont invités à se reconnecter pendant la session | La durée de la session IAM Identity Center est plus courte que celle de la session Punchout. | Passez en revue les paramètres de durée de session dans IAM Identity Center sous Paramètres, Authentification. |