Integre su proveedor de identidad (IdP) con un terminal de inicio de sesión de Amazon Connect Global Resiliency SAML - Amazon Connect
Antes de empezarCosas importantes que debe saberCómo integrar su proveedor de identidades

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Integre su proveedor de identidad (IdP) con un terminal de inicio de sesión de Amazon Connect Global Resiliency SAML

Para permitir que sus agentes inicien sesión una vez y puedan iniciar sesión en ambas AWS regiones para procesar los contactos de la región activa actual, debe configurar los IAM ajustes para utilizar el punto final de inicio de sesión SAML global.

Antes de empezar

Debe habilitar la instancia de Amazon Connect SAML para utilizar Amazon Connect Global Resiliency. Para obtener información sobre cómo empezar con la IAM federación, consulte Permitir que los usuarios federados de la SAML versión 2.0 accedan a la consola AWS de administración.

Cosas importantes que debe saber

  • Para realizar los pasos de este tema, necesitará su ID de instancia. Para obtener instrucciones sobre cómo encontrarlo, consulte Busque el ID de su instancia de Amazon Connect/ ARN.

  • También necesitará conocer la región de origen de sus instancias de Amazon Connect. Para obtener instrucciones sobre cómo encontrarlo, consulte Cómo encontrar la región de origen de sus instancias de Amazon Connect.

  • Si va a incrustar su aplicación Connect en un iframe, debe asegurarse de que su dominio esté presente en la lista de orígenes aprobados tanto en la instancia de origen como en la de réplica para que funcione el inicio de sesión global.

    Para configurar Approved Origins a nivel de instancia, sigue los pasos que se indican. Uso de una lista de permitidos para aplicaciones integradas

  • Los agentes deben estar ya creados en ambas instancias de Amazon Connect de origen y de réplica y tener el mismo nombre de usuario que el nombre de sesión del rol de su proveedor de identidades (IdP). De lo contrario, recibirá una excepción UserNotOnboardedException y se arriesgará a perder la capacidad de redundancia de agentes entre sus instancias.

  • Debe asociar los agentes a un grupo de distribución de tráfico antes de que los agentes intenten iniciar sesión. De lo contrario, se producirá un error ResourceNotFoundException en el inicio de sesión del agente. Para obtener información sobre cómo configurar sus grupos de distribución de tráfico y asociarles agentes, consulte Asocie agentes a instancias de varias AWS regiones.

  • Cuando sus agentes se federan en Amazon Connect con el nuevo inicio de SAML sesiónURL, Amazon Connect Global Resiliency siempre intenta iniciar sesión al agente en las regiones o instancias de origen y réplica, independientemente de cómo SignInConfig esté configurado en su grupo de distribución de tráfico. Puede verificarlo consultando los registros. CloudTrail

  • La SignInConfig distribución en el grupo de distribución de tráfico predeterminado solo determina cuál Región de AWS se utiliza para facilitar el inicio de sesión. Independientemente de cómo esté configurada su distribución de SignInConfig, Amazon Connect siempre intenta registrar agentes en ambas regiones de su instancia de Amazon Connect.

  • Tras replicar una instancia de Amazon Connect, solo se genera un punto de conexión de SAML inicio de sesión para sus instancias. Este punto final siempre contiene la fuente Región de AWS en. URL

  • No necesita configurar un estado de retransmisión cuando utiliza el inicio de SAML sesión personalizado URL con Amazon Connect Global Resiliency.

Cómo integrar su proveedor de identidades

  1. Cuando crea una réplica de su instancia de Amazon Connect mediante el ReplicateInstanceAPI, URL se genera un SAML inicio de sesión personalizado para sus instancias de Amazon Connect. URLSe genera en el siguiente formato:

    https://instance-id.source-region.sign-in.connect.aws/saml

    1. instance-id es el ID de instancia de cualquiera de las instancias de tu grupo de instancias. El ID de instancia es idéntico en las regiones de origen y de réplica.

    2. source-region corresponde a la AWS región de origen en la que ReplicateInstanceAPIse llamó.

  2. Añada la siguiente política de confianza a su función de IAM federación. Úsala URL para el SAML punto final de inicio de sesión global, como se muestra en el siguiente ejemplo.

    {
   "Version":"2012-10-17",
   "Statement":[
      {
         "Effect":"Allow",
         "Principal":{
            "Federated":[
               "saml-provider-arn"
            ]
         },
         "Action":"sts:AssumeRoleWithSAML",
         "Condition":{
            "StringLike":{
               "SAML:aud":[
                  "https://instance-id.source-region.sign-in.connect.aws/saml*"
               ]
            }
         }
      }
   ]
}
    nota

    saml-provider-arnes el recurso del proveedor de identidad creado enIAM.

  3. Conceda acceso a connect:GetFederationToken para su InstanceId función en IAM la Federación. Por ejemplo:

    {
"Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "GetFederationTokenAccess",
            "Effect": "Allow",
            "Action": "connect:GetFederationToken",
            "Resource": "*",
            "Condition": {
                "StringEquals": {
                    "connect:InstanceId": "your-instance-id"
                }
            }
        }
    ]
}

  4. Agregue una asignación de atributos a su aplicación de proveedor de identidades mediante las siguientes cadenas de atributos y valores.

    Atributo Valor

    https://aws.amazon.com/SAML/Atributos o función

    saml-role-arn,identity-provider-arn

  5. Configura el Assertion Consumer Service (ACS) URL de tu proveedor de identidad para que apunte a tu inicio de sesión personalizado. SAML URL Utilice el siguiente ejemplo para: ACS URL

    https://instance-id.source-region.sign-in.connect.aws/saml?&instanceId=instance-id&accountId=your AWS account ID&role=saml-federation-role&idp=your SAML IDP&destination=optional-destination

  6. Defina los siguientes campos en los URL parámetros:

    • instanceId: el identificador de la instancia de Amazon Connect. Para obtener instrucciones sobre cómo encontrar el ID de instancia, consulte Busque el ID de su instancia de Amazon Connect/ ARN.

    • accountId: el ID de AWS cuenta en el que se encuentran las instancias de Amazon Connect.

    • role: Se establece en el nombre o el nombre del recurso de Amazon (ARN) del SAML rol utilizado para la federación de Amazon Connect.

    • idp: Se establece en el nombre o el nombre del recurso de Amazon (ARN) del proveedor de SAML identidad enIAM.

    • destination: establézcalo a la ruta opcional a la que llegarán los agentes a la instancia después de iniciar sesión (por ejemplo: /agent-app-v2).