View a markdown version of this page

Habilitando o SSO para integração do sistema de compras - AWS Marketplace
Pré-requisitosComo funciona o SSO para integração do sistema de comprasEtapa 1: Encontre o URL do portal de acesso do IAM Identity CenterEtapa 2: adicione o parâmetro idc_url ao URL do seu fornecedor punchoutEtapa 3: (Opcional) Configurar o estado do relé para acesso direto ao consoleRequisitos e limitaçõesSolução de problemas

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Habilitando o SSO para integração do sistema de compras

Você pode ativar o login único (SSO) para a integração do seu sistema de AWS Marketplace compras passando o URL do portal de acesso ao IAM Identity Center como um parâmetro de consulta na configuração do punchout. Quando ativados, os usuários que acessam AWS Marketplace por meio do seu sistema de compras são automaticamente redirecionados para a página de login do SSO da sua organização, em vez da página de login padrão AWS .

nota

Essa configuração de SSO é compatível com qualquer provedor de identidade compatível com o IAM Identity Center, incluindo Okta, Microsoft Entra ID e o diretório integrado do IAM Identity Center.

Pré-requisitos

Antes de habilitar o SSO para integração do sistema de compras, você deve ter o seguinte:

  • Uma integração ativa do sistema de compras com AWS Marketplace. Para obter instruções de configuração, consulte Configurar AWS Marketplace para integrar com Coupa ouConfigurar AWS Marketplace para integração com a SAP Ariba.

  • Uma instância do IAM Identity Center com uma URL do portal de acesso. Para obter instruções de configuração, consulte Habilitar o IAM Identity Center no Guia do usuário do IAM Identity Center.

  • Os usuários que acessarão AWS Marketplace devem ser provisionados no IAM Identity Center com os conjuntos de permissões apropriados. Para obter mais informações, consulte Conjuntos de permissões no Guia do usuário do Centro de Identidade do IAM. Entre em contato com o IAM ou com a equipe de identidade se tiver dúvidas sobre o provisionamento de usuários.

  • Acesso administrativo ao seu sistema de compras (Coupa ou SAP Ariba) para modificar a URL do fornecedor punchout.

Como funciona o SSO para integração do sistema de compras

Quando você configura o SSO para integração do sistema de compras, o fluxo de autenticação funciona da seguinte maneira:

  1. Um usuário em seu sistema de compras inicia uma sessão de punchout. O sistema de compras envia o idc_url parâmetro junto com o cXML PunchOutSetupRequest.

  2. AWS Marketplace lê o idc_url parâmetro e redireciona o usuário para o URL do portal de acesso do IAM Identity Center em vez da página de AWS login padrão.

  3. O usuário se autentica por meio do provedor de identidade da sua organização. Isso segue as políticas de autenticação padrão da sua organização, incluindo quaisquer requisitos de autenticação multifator (MFA).

  4. Após a autenticação, o IAM Identity Center emite um token de sessão e o usuário é redirecionado de volta para a sessão AWS Marketplace punchout para pesquisar e solicitar produtos.

Etapa 1: Encontre o URL do portal de acesso do IAM Identity Center

Use o procedimento a seguir para localizar o URL do portal de acesso ao IAM Identity Center.

Para encontrar seu IAM Identity Center, acesse o URL do portal

  1. Abra o console do IAM Identity Center em https://console.aws.amazon.com/singlesignon/.

  2. No painel de navegação, selecione Configurações.

  3. Na guia Identity source, localize a URL do portal de acesso da AWS.

  4. Copie esse URL.

A URL do seu portal de acesso é semelhante ao exemplo a seguir:

https://d-1234567890.awsapps.com/start

Para obter mais informações, consulte Personalização da URL do portal de acesso da AWS no Guia do usuário do IAM Identity Center.

Etapa 2: adicione o parâmetro idc_url ao URL do seu fornecedor punchout

Em seu sistema de compras (Coupa ou SAP Ariba), anexe o parâmetro de idc_url consulta ao URL do fornecedor punchout. AWS Marketplace O idc_url valor é o URL do portal de acesso à instância do IAM Identity Center.

Exemplo:

https://eprocurement.marketplace.us-east-1.amazonaws.com/v1/punchout/setup?idc_url=https://d-1234567890.awsapps.com/start

Etapa 3: (Opcional) Configurar o estado do relé para acesso direto ao console

Se você quiser que os usuários acessem uma página específica AWS do console após a autenticação por SSO, configure um estado de retransmissão no seu conjunto de permissões do IAM Identity Center. Sem um estado de retransmissão, os usuários acessam o AWS Management Console após a autenticação.

Configurar um estado de retransmissão é opcional, mas altamente recomendado.

Para configurar o estado do relé

  1. Abra o console do IAM Identity Center em https://console.aws.amazon.com/singlesignon/.

  2. Em Multi-account Permissões, escolha Conjuntos de permissões.

  3. Escolha o conjunto de permissões que seus usuários de compras usam.

  4. Escolha Editar.

  5. Em Estado do relé, digite: https://console.aws.amazon.com/marketplace

  6. Escolha Salvar alterações.

Para obter mais informações, consulte Definir estado de retransmissão para acesso rápido ao AWS Management Console no Guia do usuário do IAM Identity Center.

Requisitos e limitações

Requisitos e limitações de SSO
Requisito Detalhes
O parâmetro é opcional Se o idc_url parâmetro for omitido, os usuários verão a página de AWS login padrão.
Sem validação de domínio AWS Marketplace não valida o domínio no idc_url parâmetro. O administrador de compras é responsável por fornecer a URL correta do portal de acesso ao IAM Identity Center.
Provedores de identidade compatíveis Qualquer provedor de identidade compatível com o IAM Identity Center, incluindo Okta, Microsoft Entra ID e o diretório integrado do IAM Identity Center.

Solução de problemas

A tabela a seguir descreve problemas comuns e suas soluções.

Solução de problemas de SSO
Problema Causa Resolução
Os usuários veem a página de AWS login padrão O idc_url parâmetro está ausente ou não foi salvo corretamente. Verifique se o URL do fornecedor contém ?idc_url=<your-url> e confirme se a alteração foi salva.
A página SSO carrega, mas a autenticação falha O URL do IAM Identity Center está incorreto ou o usuário não está provisionado. Verifique a URL do portal de acesso abrindo-a diretamente em um navegador. Confirme se o usuário está provisionado no IAM Identity Center.
Os usuários foram solicitados a entrar novamente durante a sessão A duração da sessão do IAM Identity Center é menor do que a sessão punchout. Revise as configurações de duração da sessão no IAM Identity Center em Configurações, Autenticação.