Naciśnij ESC, aby zamknąć

Authentik: Konfiguracja Single Sign-On dla Amazon Business

Okładka artykułu - Authentik i Amazon Business

Spis treści

Cześć!

Dzisiaj przedstawię Ci kroki konfiguracji usługi jednokrotnego logowania (SSO) pomiędzy Amazon Businessem, a Authentik.

Wstęp

Czym jest Amazon Business?

Procurement & Wholesale Buying Solutions | Amazon BusinessAmazon Business to platforma B2B (business-to-business) stworzona przez Amazon, która umożliwia firmom i organizacjom zakup produktów oraz usług w hurtowych ilościach i cenach. Platforma ta jest przeznaczona dla firm, organizacji i instytucji, a nie dla klientów indywidualnych. Oferuje ona specjalne ceny hurtowe, raportowanie, zarządzanie zakupami i inne funkcje przydatne dla przedsiębiorstw, zapewniając dostęp do milionów produktów z różnych kategorii.

Amazon Business pozwala na centralne zarządzanie zamówieniami, politykami zakupowymi i płatnościami, a także oferuje narzędzia analityczne i raporty dotyczące wydatków i zarządzania zamówieniami. Umożliwia również integrację z systemami ERP oraz innymi narzędziami używanymi w firmach.

Czym jest Authentik?

Authentik to otwarte oprogramowanie służące jako dostawca tożsamości (Identity Provider), umożliwiające zarządzanie uwierzytelnianiem i autoryzacją użytkowników. Jako alternatywa dla komercyjnych usług takich jak Okta czy One Login, Authentik oferuje podobne funkcjonalności w modelu open-source. Wśród innych narzędzi open-source o podobnym przeznaczeniu znajdują się Keycloak oraz Authelia, które również pozwalają na centralne zarządzanie tożsamością użytkowników w aplikacjach i usługach webowych.

Wyróżnia się elastycznością konfiguracji i szerokim wsparciem dla różnych protokołów uwierzytelniania, co czyni go doskonałym wyborem dla organizacji poszukujących zaawansowanego, ale dostępnego rozwiązania open-source do zarządzania tożsamością.

Przygotowanie

W celu przygotowania poradnika, przyjmijmy na początek nazwy domen oraz identyfikatory opisane poniżej. Pamiętaj jednak, że w trakcie konfiguracji należy dostosować ustawienia zgodnie z własnymi potrzebami.

  • Pełna nazwa domeny (FQDN) Authentik: https://auth.xyz.com,
  • Zarejestrowane konto biznesowe na platformie biznesowego Amazon,
  • Konto administratora na platformie zakupowej Amazon Business.

Z tymi założonymi wartościami możemy przejść do właściwej części poradnika. Oczywiście w razie potrzeby, wartości te powinny zostać zmienione na odpowiednie dla Twojej konfiguracji.

Jaki jest cel stosowania Single Sign-On dla Amazon Business?

Głównym celem wdrożenia Single Sign-On (SSO) pomiędzy Amazon Business a dostawcą tożsamości jest zapewnienie bezproblemowej i scentralizowanej integracji uwierzytelniania.

SAML (Security Asserti... | Documentation libraryAmazon Business wykorzystuje standardowy protokół Security Assertion Markup Language (SAML) 2.0, co oznacza, że wdrożenie SSO może być łatwo zintegrowane z dowolnym dużym dostawcą tożsamości obsługującym SAML. Amazon Business wspiera inicjowany przez usługodawcę SAML z takimi dostawcami tożsamości jak Okta, OneLogin, AWS SSO oraz Azure AD.

Dzięki temu organizacje mogą korzystać z SSO, aby umożliwić użytkownikom logowanie do Amazon Business przy użyciu tych samych poświadczeń, których używają do innych firmowych aplikacji. Takie podejście przynosi korzyści w postaci zwiększonej wygody, bezpieczeństwa oraz wydajności administracyjnej.

Jakie są korzyści z integracji dostawców tożsamości z Amazon Business?

Zastosowanie Single Sign-On (SSO) pomiędzy Amazon Business a różnymi dostawcami tożsamości, takimi jak Authentik, Okta, OneLogin czy Azure AD, przynosi wiele korzyści:

  1. Uniwersalność i elastyczność – Niezależnie od tego, jaki dostawca tożsamości jest używany w organizacji, SSO pozwala użytkownikom na bezproblemowe logowanie do Amazon Business przy użyciu tych samych poświadczeń.
  2. Scentralizowane zarządzanie tożsamościami – Dzięki integracji z dostawcą tożsamości, procesy tworzenia, modyfikacji i dezaktywacji kont użytkowników w Amazon Business mogą być zautomatyzowane i synchronizowane.
  3. Lepsza widoczność i kontrola – Rozwiązania IDaaS (Identity as a Service), takie jak Okta czy Azure AD, zapewniają kompleksowe raportowanie i analizę dostępu do Amazon Business, co poprawia bezpieczeństwo i zgodność.
  4. Jednolite środowisko pracy – Użytkownicy mogą swobodnie przełączać się między Amazon Business a innymi aplikacjami firmowymi bez konieczności ponownego logowania, co zwiększa wydajność i satysfakcję.
  5. Lepsza ochrona danych – Dostawcy tożsamości oferują zaawansowane mechanizmy uwierzytelniania, takie jak weryfikacja dwuetapowa, co dodatkowo zabezpiecza dostęp do Amazon Business.

Niezależnie od wybranego dostawcy tożsamości, implementacja SSO między nim, a Amazon Business przynosi organizacji korzyści w postaci większej wygody, bezpieczeństwa i efektywności zarządzania dostępem do kluczowych systemów biznesowych.

Czym jest SAML?

SAML (Security Assertion Markup Language) to otwarty standard federacyjny, który umożliwia dostawcom tożsamości (IdP) uwierzytelnianie użytkowników, a następnie przekazywanie tokenów uwierzytelnienia do innych aplikacji, znanych jako dostawcy usług (SP). SAML pozwala dostawcom usług działać bez konieczności przeprowadzania własnego uwierzytelniania i przekazywania tożsamości, integrując użytkowników wewnętrznych i zewnętrznych. Umożliwia również współdzielenie poświadczeń bezpieczeństwa z dostawcą usług w sieci, zwykle w ramach aplikacji lub usługi.

Dzięki SAML możliwa jest bezpieczna, między-domenowa komunikacja pomiędzy chmurą publiczną a innymi systemami obsługującymi SAML, a także wybraną liczbą innych systemów zarządzania tożsamością, które mogą znajdować się w siedzibie firmy lub w innej chmurze. Protokół umożliwia jednokrotne logowanie (SSO) użytkowników w dwóch dowolnych aplikacjach obsługujących SAML, co pozwala na realizację szeregu funkcji zabezpieczających w imieniu jednej lub wielu aplikacji.

W kontekście technicznym, SAML odnosi się do wariantu języka XML używanego do kodowania tych informacji i może obejmować różne komunikaty protokołu i profile, które stanowią integralną część standardu.

Krok 1 – Konfiguracja w Amazon Business

Logowanie

  • Na początku zaloguj się na swoje konto w Amazon Business.
Amazon Business- strona główna
  • Przejdź do menu szybkich ustawień oraz szczegółów konta.
Amazon Business- strona główna, menu
  • Z sekcji Manage Your Business wybierz System Integrations. Kliknij na ten odnośnik.

Amazon Business, System integrations

  • Z kategorii System integrations wybierz opcję zarządzania jednokrotnym logowaniem (SSO). Kliknij na Manage, aby otworzyć ustawienia SSO.

Amazon Business, System integrations menu

Konfiguracja SSO

  • Z listy proponowanych dostawców tożsamości, wybierz Other
  • Uzupełnij następujące wartości:
    • Enter your identity provider (IdP): np. authentik
    • Encrypted SAML assertions: Off

Amazon Business, SSO Identity Provider

  • Kliknij Submit, aby przejść dalej.

New user account defaults

  • Wybierz domyślna grupę oraz domyślną rolę zakupową.
    • Default group: Wybierz grupę, do której nowi użytkownicy powinni być dodawani przez SSO. Nowi pracownicy mogą rozpocząć zakupy natychmiast, ponieważ ich konta będą automatycznie tworzone przy pierwszym logowaniu.
    • Default buying role: Ustaw domyślną rolę dla nowych użytkowników: Punchout (PPI) lub Requestioner (Direct Buy). Jeżeli korzystasz z systemu procurementowego i chcesz, aby Twoi użytkownicy domyślnie podążali za przepływem zamówień, wybierz Punchout. W przeciwnym razie wybierz Requestioner, aby umozliwić pracownikom bezpośrednie zakupy przez stronę Amazon Business.

Amazon Business, SSO Identity Provider New user account defaults

  • Przejdź dalej.

Upload your metadata file

  • Kliknij Add manually, aby ręcznie wypełnić wartości konfiguracyjne.

Amazon Business, SSO Identity Provider configuration

Connection data

  • Wprowadź następujące wartości:
    • EntityID: https://auth.xyz.com
      • Globalnie unikalny adres URL dostarczony przez dostawcę tożsamości.
    • IssuerUrl: https://auth.xyz.com
      • Adres URL, który jednoznacznie identyfikuje dostawcę tożsamości SAML.
    • HTTP-Redirect: https://auth.xyz.com/application/saml/amazon/sso/binding/redirect/
      • Określa sposób, w jaki przeglądarka przekierowuje użytkownika do IDP w celu uwierzytelnienia. 
      • Jeśli używasz innej nazwy providera w Authentik, link powinien wyglądać następująco: https://auth.xyz.com/application/saml/UZUPEŁNIJ/sso/binding/redirect/
    • HTTP-Post: https://auth.xyz.com/application/saml/amazon/sso/binding/post/
      • Jeśli używasz innej nazwy providera w Authentik, link powinien wyglądać następująco: https://auth.xyz.com/application/saml/UZUPEŁNIJ/sso/binding/post/
    • Signing Certificate Public Key: Wprowadź publiczny certyfikatu wygenerowanego przez Twój SSO Authentik.
      • Umożliwia to weryfikację podpisów i ustanowienie zaufania do wymienianych wiadomości. Upewnij się, że poprawnie podałeś kompletną treść certyfikatu.
        • Klucz publiczny znajduje się: Admin Interface -> System -> Certificates -> authentik Self-signed Certificate -> Download Certificate,
        • Pobierz plik,
        • Otwórz notatnikiem lub innym prostym edytorem tekstu,
        • Skopiuj całą zawartość pliku,
        • Wklej w miejsce Signing Certificate Public Key.

Amazon Business, SSO Identity Provider connection data

  • Kliknij Save, aby przejść dalej.

Attribute statement

  • Będziemy musieli dostarczyć atrybuty użytkownika, które zostaną przekazane jako część odpowiedzi SAML. Na tym etapie kliknij Skip.
  • Mapowanie atrybutów – wypełnij:
    • E-mail: http://schemas.xmlsoap.org/ws/2005/05/identity/claims/emailaddress
    • Wybierz z menu Full Name: http://schemas.microsoft.com/identity/claims/displayname

Amazon Business, SSO Identity Provider Attribute mapping

  • Upewnij się, że powyższe atrybuty zostały poprawnie zamapowane. Dzięki temu niezbędne informacje o użytkowniku zostaną przekazane z dostawcy tożsamości do Amazon Business podczas logowania jednokrotnego (SSO).
  • Kliknij Next, aby przejść dalej.

Amazon connection data

  • Pobierz plik Metadata XML. Plik ten będzie niezbędny do skonfigurowania providera w Authentik.

Amazon Business, SSO Identity Provider Amazon connection data

  • Zaznacz potwierdzenie twojego dostawcy tożsamości i kliknij Continue.

Krok 2 – Konfiguracja w Authentik

  • Na początku zaloguj się na swoje konto i przejdź do interfejsu administracyjnego Authentik.
  • Po pomyślnym zalogowaniu się przejdź po lewej stronie ekranu do zakładki Applications, a następnie wybierz Providers.

Authentik

  • Kliknij przycisk Create i wybierz rodzaj providera SAML Provider from Metadata. Kolejnym krokiem będzie kliknięcie Next, aby przejść dalej.

Authentik, New provider

  • Uzupełnij parametry:
    • Name: amazon
    • Authorization flow: Wybierz swój skonfigurowany lub ustaw explicit lub implicit consent(Ustawienie to odnosi się do funkcji używanej podczas autoryzacji dla tej aplikacji – definiujemy, czy Authentik ma wyświetlać przycisk umożliwiający przejście do aplikacji po zalogowaniu, czy po prostu ma Cię przekierować bez pytania).
    • Metadata: Wgraj plik metadata w formacie XML, pobrany wcześniej ze strony Amazon Business przy konfiguracji SSO.

Authentik, New provider Amazon SAML

  • Zapisz przyciskiem Finish i poczekaj, aż konfiguracja zostanie zaciągnięta z pliku.
  • Na ekranie głównym listy providerów zobaczysz utworzony przed chwilą SAML Provider dla Amazona.

Authentik, Providers Amazon SAML

  • Musimy podpiąć jeszcze certyfikat Authentika pod tego providera. Wróć do konfiguracji SAML Providera dla Amazona.

Authentik, Update SAML Provider

  • Zjedź niżej do części Advanced protocol settings.
  • Signing Certificate: Wybierz domyślny certyfikat od Authentika lub inny, który skonfigurowałeś wcześniej (zamiast domyślnego).

Authentik, Update SAML Provider Advanced protocol settings

  • Zapisz ustawienia. Przejdziemy teraz do tworzenia aplikacji w Authentik.
  • Po lewej stronie ekranu wybierz Applications, a potem ponownie Applications.
  • Kliknij Create I wypełnij aplikację następującymi wartościami:
    • Name: Amazon.de
    • Slug: amazon
    • Provider: amazon
    • UI Settings możesz, ale nie musisz uzupełniać.
      • Icon: pobierz ikonę Amazon z Internetu i wgraj.
      • Publisher: np. Amazon Inc.
      • Description: np. Centrum zakupów mojej firmy w Amazon Business
  • Na koniec zatwierdź utworzenie aplikacji przyciskiem Create.

Authentik, My applications Amazon

Krok 3 – Sprawdzenie konfiguracji w Amazon Business

Testowanie połączenia

  • Aby przetestować działanie naszej konfiguracji z dostawcą tożsamości, kliknij przycisk rozpoczynający testowanie. Nastąpi otwarcie nowej karty przeglądarki, która przekieruje Cię do IdP w celu uwierzytelnienia. W systemie Authentik zaloguj się jako użytkownik, który posiada dostęp do aplikacji Amazon Business. Jeśli już jesteś uwierzytelniony, Amazon podejmie próbę sprofilowania Cię za pomocą SSO do Amazon Business. Po pomyślnym uwierzytelnieniu będziesz mógł przejść na stronę Amazon.de.

Amazon Business, Test SSO Connection

  • Jeśli test zakończy się pomyślnie, zobaczysz następnie podsumowanie tego w komunikacie na stronie Amazona.

Amazon Business, Success configuration SSO

  • Zaznacz pole wyboru potwierdzające zakończenie wszystkich testów. Za pierwszym razem, gdy ktoś zaloguje się do Amazon Business przy użyciu SSO, automatycznie otrzyma konto Amazon Business.

Aktywacja komunikacji z dostawcą tożsamości

  • Potwierdź sprawdzenie konfiguracji oraz akceptuj uruchomienie połączenia na tzw. produkcji w celu aktywacji komunikacji z dostawcą tożsamości.

Amazon Business, Are you ready to switch to active SSO

  • Zaznacz potwierdzenie przetestowania ustawień i kliknij Switch to active.

Potwierdzenie ustawień SSO w Amazon Business

Amazon Business, SSO Connection Details
  • Gotowe. 

Jeśli masz dodatkowe pytania dotyczące konfiguracji, śmiało zostaw komentarz pod tym artykułem lub skontaktuj się ze mną bezpośrednio. Chętnie odpowiem na wszelkie wątpliwości i pomogę rozwiązać ewentualne problemy. Twoje pytania mogą pomóc w ulepszeniu tego poradnika dla innych użytkowników.

Dodatkowe źródła i Informacje

W celu dalszego zgłębienia tematu i uzyskania szczegółowych informacji, polecam sprawdzenie poniższych linków. Są one wartościowymi źródłami, które zostały wykorzystane podczas opracowywania tego poradnika:

Przeczytaj także

Gravatar Filip Chochół

Filip Chochół

Filip Chochol runs two blogs: personal “chochol.io” and together with his girlfriend “Warsaw Travelers” about travel. He specializes in IT resource management and technical support, and has been active in the field of cyber security awareness for almost two years. A proponent of open-source technologies, he previously worked in the film and television industry in the camera division (2013-2021). After hours, he develops interests in smart homes and networking.

Dodaj komentarz

Twój adres e-mail nie zostanie opublikowany. Wymagane pola są oznaczone *


This site uses Akismet to reduce spam. Learn how your comment data is processed.