Konfigurasikan SAMP dengan IAM untuk Amazon Connect

Amazon Connect mendukung federasi identitas dengan mengonfigurasi Security Assertion Markup Language (SAMP) 2.0 dengan AWS IAM untuk mengaktifkan sistem masuk tunggal (SSO) berbasis web dari organisasi Anda ke instans Amazon Connect Anda. Hal ini memungkinkan pengguna Anda untuk masuk ke portal di organisasi Anda yang dihosting oleh penyedia identitas (iDP) yang kompatibel dengan SAMP 2.0 dan masuk ke instans Amazon Connect dengan satu pengalaman masuk tanpa harus memberikan kredensyal terpisah untuk Amazon Connect.

Catatan penting

Sebelum Anda mulai, perhatikan hal berikut:

• Petunjuk ini tidak berlaku untuk penerapan Amazon Connect Global Resiliency. Untuk informasi yang berlaku untuk Ketahanan Global Amazon Connect, lihat. Integrasikan penyedia identitas (idP) Anda dengan titik akhir masuk Amazon Connect Global Resiliency SAMP

• Memilih autentikasi berbasis SAMP 2.0 sebagai metode manajemen identitas untuk instans Amazon Connect Anda memerlukan konfigurasi federasi. AWS Identity and Access Management

• Nama pengguna di Amazon Connect harus cocok dengan atribut RoleSessionName SAMP yang ditentukan dalam respons SAMP yang ditampilkan oleh penyedia identitas.

• Amazon Connecttidak mendukung federasi terbalik. Artinya, Anda tidak bisa login langsung keAmazon Connect. Jika Anda mencoba, Anda akan mendapatkan pesan Session Expired. Otentikasi harus dilakukan dari Penyedia Identitas (IDP) dan bukan Penyedia Layanan (SP) ()Amazon Connect.

• Sebagian besar penyedia identitas secara default menggunakan titik akhir AWS masuk global sebagai Application Consumer Service (ACS), yang di-host di US East (Virginia N.). Sebaiknya ganti nilai ini untuk menggunakan titik akhir regional yang cocok dengan Wilayah AWS tempat instance Anda dibuat.

• Semua Amazon Connect nama pengguna peka huruf besar/kecil, bahkan saat menggunakan SAMP.

• Jika Anda memiliki instans Amazon Connect lama yang disiapkan dengan SAMP dan Anda perlu memperbarui domain Amazon Connect, lihat. Pengaturan pribadi

Ikhtisar penggunaan SAMP dengan Amazon Connect

Diagram berikut menunjukkan urutan langkah-langkah yang dilakukan untuk permintaan SAMP untuk mengautentikasi pengguna dan federasi dengan Amazon Connect. Ini bukan diagram alir untuk model ancaman.

Permintaan SAMP melalui langkah-langkah berikut:

1. Pengguna menelusuri portal internal yang menyertakan tautan untuk masuk ke Amazon Connect. Tautan didefinisikan dalam penyedia identitas.

2. Layanan federasi meminta otentikasi dari toko identitas organisasi.

3. Toko identitas mengautentikasi pengguna dan mengembalikan respons otentikasi ke layanan federasi.

4. Ketika otentikasi berhasil, layanan federasi memposting pernyataan SAMP ke browser pengguna.

5. Browser pengguna memposting pernyataan SAMP ke titik akhir SAMP AWS masuk (https://signin.aws.amazon.com/saml). AWSlogin menerima permintaan SAMP, memproses permintaan, mengautentikasi pengguna, dan memulai pengalihan browser ke titik akhir Amazon Connect dengan token otentikasi.

6. Menggunakan token otentikasi dariAWS, Amazon Connect mengotorisasi pengguna dan membuka Amazon Connect di browser mereka.

Mengaktifkan otentikasi berbasis SAML untuk Amazon Connect

Langkah-langkah berikut diperlukan untuk mengaktifkan dan mengonfigurasi autentikasi SAMP untuk digunakan dengan instans Amazon Connect Anda:

1. Buat instans Amazon Connect dan pilih autentikasi berbasis SAMP 2.0 untuk manajemen identitas.

2. Aktifkan federasi SAMP antara penyedia identitas Anda danAWS.

3. Tambahkan pengguna Amazon Connect ke instans Amazon Connect Anda. Masuk ke instans Anda menggunakan akun administrator yang dibuat saat Anda membuat instance. Buka halaman Manajemen Pengguna dan tambahkan pengguna.

   penting

   • Untuk daftar karakter yang diizinkan dalam nama pengguna, lihat dokumentasi untuk Username properti dalam CreateUsertindakan.

   • Karena asosiasi pengguna Amazon Connect dan Peran AWS IAM, nama pengguna harus sama persis RoleSessionName seperti yang dikonfigurasi dengan integrasi federasi AWS IAM Anda, yang biasanya berakhir menjadi nama pengguna di direktori Anda. Format nama pengguna harus sesuai dengan persimpangan kondisi format pengguna RoleSessionNamedan Amazon Connect, seperti yang ditunjukkan pada diagram berikut:

     

4. Konfigurasikan penyedia identitas Anda untuk pernyataan SAMP, respons otentikasi, dan status relai. Pengguna masuk ke penyedia identitas Anda. Jika berhasil, mereka dialihkan ke instans Amazon Connect Anda. Peran IAM digunakan untuk berfederasiAWS, yang memungkinkan akses ke Amazon Connect.

Pilih otentikasi berbasis SAMP 2.0 selama pembuatan instans

Saat membuat instans Amazon Connect, pilih opsi autentikasi berbasis SAMP 2.0 untuk manajemen identitas. Pada langkah kedua, saat Anda membuat administrator untuk instance, nama pengguna yang Anda tentukan harus sama persis dengan nama pengguna di direktori jaringan yang ada. Tidak ada opsi untuk menentukan kata sandi untuk administrator karena kata sandi dikelola melalui direktori Anda yang ada. Administrator dibuat di Amazon Connect dan menetapkan profil keamanan Admin.

Anda dapat masuk ke instans Amazon Connect, melalui IDP Anda, menggunakan akun administrator untuk menambahkan pengguna tambahan.

Aktifkan federasi SAMP antara penyedia identitas Anda dan AWS

Untuk mengaktifkan otentikasi berbasis SAML untuk Amazon Connect, Anda harus membuat penyedia identitas di konsol IAM. Untuk informasi selengkapnya, lihat Mengaktifkan Pengguna Federasi SAMP 2.0 untuk Mengakses AWS Konsol Manajemen.

Proses untuk membuat penyedia identitas AWS adalah sama untuk Amazon Connect. Langkah 6 pada diagram alir di atas menunjukkan klien dikirim ke instans Amazon Connect Anda, bukanAWS Management Console.

Langkah-langkah yang diperlukan untuk mengaktifkan federasi SAMP dengan AWS meliputi:

1. Buat penyedia SAMP diAWS. Untuk informasi selengkapnya, lihat Membuat Penyedia Identitas SAMP.

2. Buat peran IAM untuk federasi SAMP 2.0 dengan. AWS Management Console Buat hanya satu peran untuk federasi (hanya satu peran yang diperlukan dan digunakan untuk federasi). Peran IAM menentukan izin yang dimiliki pengguna yang masuk melalui penyedia identitas Anda. AWS Dalam hal ini, izinnya adalah untuk mengakses Amazon Connect. Anda dapat mengontrol izin ke fitur Amazon Connect dengan menggunakan profil keamanan di Amazon Connect. Untuk informasi selengkapnya, lihat Membuat Peran untuk Federasi SAMP 2.0 (Konsol).

   Pada langkah 5, pilih Izinkan akses Konsol Terprogram dan AWS Manajemen. Buat kebijakan kepercayaan yang dijelaskan dalam topik dalam prosedur Untuk mempersiapkan diri untuk membuat peran untuk federasi SAMP 2.0. Kemudian buat kebijakan untuk menetapkan izin ke instans Amazon Connect Anda. Izin dimulai pada langkah 9 dari Untuk membuat peran untuk prosedur federasi berbasis SAMP.

   Untuk membuat kebijakan untuk menetapkan izin ke peran IAM untuk federasi SAMP

   1. Pada halaman Lampirkan kebijakan izin, pilih Buat kebijakan.

   2. Di halaman Buat kebijakan, pilih JSON.

   3. Salin salah satu contoh kebijakan berikut dan tempelkan ke editor kebijakan JSON, menggantikan teks yang ada. Anda dapat menggunakan salah satu kebijakan untuk mengaktifkan federasi SAMP, atau menyesuaikannya untuk kebutuhan spesifik Anda.

      Gunakan kebijakan ini untuk mengaktifkan federasi bagi semua pengguna dalam instans Amazon Connect tertentu. Untuk otentikasi berbasis SAMP, ganti nilai untuk ARN untuk instance yang Anda buat: Resource

      {
          "Version": "2012-10-17",
         "Statement": [
              {
                  "Sid": "Statement1",
                  "Effect": "Allow",
                  "Action": "connect:GetFederationToken",
                  "Resource": [
                      "arn:aws:connect:us-east-1:361814831152:instance/2fb42df9-78a2-2e74-d572-c8af67ed289b/user/${aws:userid}"
                  ]
              }
          ]
      }

      Gunakan kebijakan ini untuk mengaktifkan federasi ke instans Amazon Connect tertentu. Ganti nilai untuk ID instance untuk instance Anda. connect:InstanceId

      {
          "Version": "2012-10-17",
          "Statement": [
              {
                  "Sid": "Statement2",
                  "Effect": "Allow",
                  "Action": "connect:GetFederationToken",
                  "Resource": "*",
                  "Condition": {
                      "StringEquals": {
                          "connect:InstanceId": "2fb42df9-78a2-2e74-d572-c8af67ed289b"
                      }
                  }
              }
          ]
      }

      Gunakan kebijakan ini untuk mengaktifkan federasi untuk beberapa instance. Perhatikan tanda kurung di sekitar ID instance yang terdaftar.

      {
          "Version": "2012-10-17",
          "Statement": [
              {
                  "Sid": "Statement2",
                  "Effect": "Allow",
                  "Action": "connect:GetFederationToken",
                  "Resource": "*",
                  "Condition": {
                      "StringEquals": {
                          "connect:InstanceId": [
                          "2fb42df9-78a2-2e74-d572-c8af67ed289b", 
                          "1234567-78a2-2e74-d572-c8af67ed289b"]
                      }
                  }
              }
          ]
      }
      

   4. Setelah membuat kebijakan, pilih Berikutnya: Tinjau. Kemudian kembali ke langkah 10 di Untuk membuat peran untuk prosedur federasi berbasis SAMP dalam topik Membuat Peran untuk Federasi SAMP 2.0 (Konsol).

3. Konfigurasikan jaringan Anda sebagai penyedia SAMP untukAWS. Untuk informasi selengkapnya, lihat Mengaktifkan Pengguna Federasi SAMP 2.0 untuk Mengakses AWS Konsol Manajemen.

4. Konfigurasikan Pernyataan SAMP untuk Respons Otentikasi. Untuk informasi selengkapnya, Mengonfigurasi Pernyataan SAMP untuk Respons Otentikasi.

5. Untuk Amazon Connect, biarkan URL Mulai Aplikasi kosong.

6. Ganti URL Application Consumer Service (ACS) di penyedia identitas Anda untuk menggunakan titik akhir regional yang bertepatan dengan instans Amazon Connect Anda. Wilayah AWS Untuk informasi selengkapnya, lihat Konfigurasikan penyedia identitas untuk menggunakan titik akhir SAMP regional.

7. Konfigurasikan status relai penyedia identitas Anda untuk menunjuk ke instans Amazon Connect Anda. URL yang digunakan untuk status relai terdiri sebagai berikut:

   https://region-id.console.aws.amazon.com/connect/federate/instance-id

   Ganti region-id dengan nama Region tempat Anda membuat instance Amazon Connect, seperti us-east-1 untuk US East (Virginia Utara). Ganti instance-id dengan ID instance untuk instance Anda.

   GovCloud Misalnya, URL-nya adalah https://console. amazonaws-us-gov.com/:

   • https://console. amazonaws-us-gov.com/connect/federate/instance-id

   catatan

   Anda dapat menemukan ID instans untuk instans Anda dengan memilih alias instance di konsol Amazon Connect. ID instance adalah kumpulan angka dan huruf setelah '/instance' di ARN Instance yang ditampilkan di halaman Ikhtisar. Misalnya, ID instance dalam ARN Instance berikut adalah 178c75e4-b3de-4839-a6aa-e321ab3f3770.

   arn:aws:hubungkan: us-timur- 1:450725743157: instance/178c75e4-b3de-4839-a6aa-e321ab3f3770

Konfigurasikan penyedia identitas untuk menggunakan titik akhir SAMP regional

Untuk memberikan ketersediaan terbaik, sebaiknya gunakan endpoint SAMP regional yang bertepatan dengan instans Amazon Connect, bukan titik akhir global default.

Langkah-langkah berikut adalah iDP agnostik; mereka bekerja untuk setiap IDP SAMP (misalnya, Okta, Ping,, OneLogin Shibboleth, ADFS, AzuRead, dan banyak lagi).

1. Perbarui (atau ganti) URL Assertion Consumer Service (ACS). Ada dua cara Anda dapat melakukan ini:

   • Opsi 1: Unduh metadata AWS SAMP dan perbarui Location atribut ke Wilayah pilihan Anda. Muat versi baru metadata AWS SAMP ini ke dalam IDP Anda.

     Berikut ini adalah contoh revisi:

     <AssertionConsumerService index="1" isDefault="true" Binding="urn:oasis:names:tc:SAML:2.0:bindings:HTTP-POST" Location="https://region-id.signin.aws.amazon.com/saml"/>

   • Opsi 2: Ganti URL AssertionConsumerService (ACS) di IDP Anda. Untuk IdPs seperti Okta yang menyediakan AWS integrasi pra-panggang, Anda dapat mengganti URL ACS di konsol admin. AWS Gunakan format yang sama untuk mengganti ke Wilayah pilihan Anda (misalnya, https://region-id .signin.aws.amazon.com/saml).

2. Perbarui kebijakan kepercayaan peran terkait:

   1. Langkah ini perlu dilakukan untuk setiap peran di setiap akun yang mempercayai penyedia identitas yang diberikan.

   2. Edit hubungan kepercayaan, dan ganti SAML:aud kondisi tunggal dengan kondisi multivalued. Sebagai contoh:

      • Default: "SAML:aud“:" https://signin.aws.amazon.com/saml”.

      • Dengan modifikasi: "SAML:aud“: [" https://signin.aws.amazon.com/saml “, “https://region-id .signin.aws.amazon.com/saml”]

   3. Buat perubahan ini pada hubungan kepercayaan sebelumnya. Mereka tidak boleh dilakukan sebagai bagian dari rencana selama insiden.

3. Konfigurasikan status relai untuk halaman konsol khusus Wilayah.

   1. Jika Anda tidak melakukan langkah terakhir ini, tidak ada jaminan bahwa proses masuk SAMP khusus Wilayah akan meneruskan pengguna ke halaman masuk konsol dalam Wilayah yang sama. Langkah ini paling bervariasi per penyedia identitas, tetapi ada blog (misalnya, Cara Menggunakan SAMP untuk Mengarahkan Pengguna Federasi Secara Otomatis ke Halaman Konsol Manajemen AWS Tertentu) yang menunjukkan penggunaan status relai untuk mencapai deep linking.

   2. Dengan menggunakan teknik/parameter yang sesuai untuk IDP Anda, setel status relai ke titik akhir konsol yang cocok (misalnya, https://region-id .console.aws.amazon.com/connect/federate/ instance-id).

catatan

• Pastikan STS tidak dinonaktifkan di Wilayah tambahan Anda.

• Pastikan tidak ada SCP yang mencegah tindakan STS di Wilayah tambahan Anda.

Gunakan tujuan di URL status relai Anda

Saat mengonfigurasi status relai untuk penyedia identitas, Anda dapat menggunakan argumen tujuan di URL untuk menavigasi pengguna ke halaman tertentu di instans Amazon Connect. Misalnya, gunakan tautan untuk membuka PKC secara langsung saat agen masuk. Pengguna harus diberi profil keamanan yang memberikan akses ke halaman tersebut dalam instance. Misalnya, untuk mengirim agen ke PKC, gunakan URL yang mirip dengan yang berikut ini untuk status relai. Anda harus menggunakan pengkodean URL untuk nilai tujuan yang digunakan dalam URL:

• https://us-east-1.console.aws.amazon.com/connect/federate/instance-id?destination=%2Fccp-v2%2Fchat&new_domain=true

Contoh lain dari URL yang valid adalah:

• https://us-east-1.console.aws.amazon.com/connect/federate/instance-id?destination=%2Fagent-app-v2

GovCloud Misalnya, URL-nya adalah https://console. amazonaws-us-gov.com/. Jadi alamatnya adalah:

• https://console.amazonaws-us-gov.com/connect/federate/instance-id?destination=%2Fccp-v2%2Fchat&new_domain=true

Jika Anda ingin mengonfigurasi argumen tujuan ke URL di luar instans Amazon Connect, seperti situs web kustom Anda sendiri, pertama-tama tambahkan domain eksternal tersebut ke asal akun yang disetujui. Misalnya, lakukan langkah-langkah dalam urutan berikut:

1. Di konsol Amazon Connect tambahkan https://your-custom-website.com ke asal Anda yang disetujui. Untuk petunjuk, silakan lihat Gunakan daftar yang diizinkan untuk aplikasi terintegrasi.

2. Di penyedia identitas Anda, konfigurasikan status relai Anda ke https://your-region.console.aws.amazon.com/connect/federate/instance-id?destination=https%3A%2F%2Fyour-custom-website.com

3. Ketika agen Anda masuk, mereka dibawa langsung ke https://your-custom-website.com.

Menambahkan pengguna ke instans Amazon Connect

Tambahkan pengguna ke instance connect Anda, pastikan nama pengguna sama persis dengan nama pengguna di direktori yang ada. Jika nama tidak cocok, pengguna dapat masuk ke penyedia identitas, tetapi tidak ke Amazon Connect karena tidak ada akun pengguna dengan nama pengguna tersebut di Amazon Connect. Anda dapat menambahkan pengguna secara manual di halaman Manajemen pengguna, atau Anda dapat mengunggah pengguna secara massal dengan template CSV. Setelah menambahkan pengguna ke Amazon Connect, Anda dapat menetapkan profil keamanan dan pengaturan pengguna lainnya.

Saat pengguna masuk ke penyedia identitas, tetapi tidak ada akun dengan nama pengguna yang sama yang ditemukan di Amazon Connect, pesan Access ditolak berikut akan ditampilkan.

Upload massal pengguna dengan template

Anda dapat mengimpor pengguna Anda dengan menambahkannya ke file CSV. Anda kemudian dapat mengimpor file CSV ke instance Anda, yang menambahkan semua pengguna dalam file. Jika Anda menambahkan pengguna dengan mengunggah file CSV, pastikan Anda menggunakan template untuk pengguna SAMP. Anda dapat menemukannya di halaman Manajemen pengguna di Amazon Connect. Template yang berbeda digunakan untuk otentikasi berbasis SAMP. Jika sebelumnya Anda mengunduh templat, Anda harus mengunduh versi yang tersedia di halaman Manajemen pengguna setelah menyiapkan instance Anda dengan otentikasi berbasis SAMP. Template tidak boleh menyertakan kolom untuk email atau kata sandi.

Masuk pengguna SAMP dan durasi sesi

Saat Anda menggunakan SAMP di Amazon Connect, pengguna harus masuk ke Amazon Connect melalui penyedia identitas (iDP) Anda. IDP Anda dikonfigurasi untuk diintegrasikan dengan. AWS Setelah otentikasi, token untuk sesi mereka dibuat. Pengguna kemudian diarahkan ke instans Amazon Connect Anda dan secara otomatis masuk ke Amazon Connect menggunakan sistem masuk tunggal.

Sebagai praktik terbaik, Anda juga harus menentukan proses bagi pengguna Amazon Connect Anda untuk keluar ketika mereka selesai menggunakan Amazon Connect. Mereka harus keluar dari Amazon Connect dan penyedia identitas Anda. Jika tidak, orang berikutnya yang masuk ke komputer yang sama dapat masuk ke Amazon Connect tanpa kata sandi karena token untuk sesi sebelumnya masih berlaku selama sesi berlangsung. Ini berlaku selama 12 jam.

Tentang kedaluwarsa sesi

Sesi Amazon Connect kedaluwarsa 12 jam setelah pengguna masuk. Setelah 12 jam, pengguna secara otomatis keluar, bahkan jika mereka sedang melakukan panggilan. Jika agen Anda tetap login selama lebih dari 12 jam, mereka perlu menyegarkan token sesi sebelum kedaluwarsa. Untuk membuat sesi baru, agen harus keluar dari Amazon Connect dan IDP Anda dan kemudian masuk lagi. Ini mengatur ulang timer sesi yang disetel pada token sehingga agen tidak keluar selama kontak aktif dengan pelanggan. Ketika sesi berakhir saat pengguna masuk, pesan berikut akan ditampilkan. Untuk menggunakan Amazon Connect lagi, pengguna harus masuk ke penyedia identitas Anda.

catatan

Jika Anda melihat pesan kedaluwarsa Sesi saat masuk, Anda mungkin hanya perlu menyegarkan token sesi. Buka penyedia identitas Anda dan masuk. Segarkan halaman Amazon Connect. Jika Anda masih mendapatkan pesan ini, hubungi tim TI Anda.