Integrasikan penyedia identitas (IDP) Anda dengan titik akhir tanda Amazon Connect Global Resiliency SAML

Untuk mengaktifkan agen Anda masuk sekali dan masuk ke kedua AWS Wilayah untuk memproses kontak dari Wilayah aktif saat ini, Anda perlu mengonfigurasi IAM pengaturan untuk menggunakan SAML titik akhir masuk global.

Sebelum Anda mulai

Anda harus mengaktifkan SAML instans Amazon Connect untuk menggunakan Amazon Connect Global Resiliency. Untuk informasi tentang memulai IAM federasi, lihat Mengaktifkan pengguna federasi SAML 2.0 untuk mengakses Konsol AWS Manajemen.

Hal-hal penting untuk diketahui

• Untuk melakukan langkah-langkah dalam topik ini, Anda memerlukan ID instans Anda. Untuk petunjuk tentang cara menemukannya, lihatTemukan ID instans Amazon Connect Anda/ ARN.

• Anda juga perlu mengetahui Wilayah sumber instans Amazon Connect Anda. Untuk petunjuk tentang cara menemukannya, lihatCara menemukan Wilayah sumber instans Amazon Connect Anda.

• Jika Anda menyematkan aplikasi Connect dalam iframe, Anda harus memastikan bahwa domain Anda ada dalam daftar Asal yang Disetujui di instans sumber dan replika agar proses masuk global berfungsi.

  Untuk mengonfigurasi Asal yang Disetujui di tingkat instans, ikuti langkah-langkahnyaGunakan daftar yang diizinkan untuk aplikasi terintegrasi.

• Agen harus sudah dibuat di instans Amazon Connect sumber dan replika Anda dan memiliki nama pengguna yang sama dengan nama sesi peran dari penyedia identitas Anda (iDP). Jika tidak, Anda akan menerima UserNotOnboardedException pengecualian dan risiko kehilangan kemampuan redundansi agen di antara instans Anda.

• Anda harus mengaitkan agen ke grup distribusi lalu lintas sebelum agen mencoba masuk. Jika tidak, masuk agen akan gagal dengan file. ResourceNotFoundException Untuk informasi tentang cara mengatur grup distribusi lalu lintas dan agen asosiasikan dengan mereka, lihatMengaitkan agen ke instans di beberapa Wilayah AWS.

• Saat agen Anda bergabung ke Amazon Connect dengan SAML proses masuk baruURL, Amazon Connect Global Resiliency selalu mencoba untuk memasukkan agen ke dalam sumber dan replika Wilayah/instans Anda, tidak peduli bagaimana SignInConfig dikonfigurasi dalam grup distribusi lalu lintas Anda. Anda dapat memverifikasi ini dengan memeriksa CloudTrail log.

• SignInConfigDistribusi dalam grup distribusi lalu lintas default Anda hanya menentukan mana yang Wilayah AWS digunakan untuk memfasilitasi login. Terlepas dari bagaimana SignInConfig distribusi Anda dikonfigurasi, Amazon Connect selalu mencoba masuk agen ke kedua Wilayah instans Amazon Connect Anda.

• Setelah mereplikasi instans Amazon Connect, hanya satu titik akhir SAML login yang dibuat untuk instans Anda. Titik akhir ini selalu berisi sumber Wilayah AWS di. URL

• Anda tidak perlu mengonfigurasi status relai saat menggunakan SAML login yang dipersonalisasi URL dengan Amazon Connect Global Resiliency.

Cara mengintegrasikan penyedia identitas Anda

1. Saat Anda membuat replika instans Amazon Connect menggunakan instans Amazon Connect ReplicateInstanceAPI, SAML proses masuk yang dipersonalisasi akan URL dibuat untuk instans Amazon Connect Anda. URLIni dihasilkan dalam format berikut:

   https://instance-id.source-region.sign-in.connect.aws/saml

   1. instance-id adalah ID instance untuk salah satu instance dalam grup instans Anda. ID instance identik di daerah sumber dan replika.

   2. source-region sesuai dengan sumber AWS Wilayah di mana ReplicateInstanceAPIdipanggil.

2. Tambahkan kebijakan kepercayaan berikut ke peran IAM Federasi Anda. Gunakan URL untuk SAML titik akhir login global seperti yang ditunjukkan pada contoh berikut.

   {
      "Version":"2012-10-17",
      "Statement":[
         {
            "Effect":"Allow",
            "Principal":{
               "Federated":[
                  "saml-provider-arn"
               ]
            },
            "Action":"sts:AssumeRoleWithSAML",
            "Condition":{
               "StringLike":{
                  "SAML:aud":[
                     "https://instance-id.source-region.sign-in.connect.aws/saml*"
                  ]
               }
            }
         }
      ]
   }

   catatan

   saml-provider-arnadalah sumber daya penyedia identitas yang dibuat diIAM.

3. Berikan akses connect:GetFederationToken untuk peran IAM Federasi Anda. InstanceId Sebagai contoh:

   {
   "Version": "2012-10-17",
       "Statement": [
           {
               "Sid": "GetFederationTokenAccess",
               "Effect": "Allow",
               "Action": "connect:GetFederationToken",
               "Resource": "*",
               "Condition": {
                   "StringEquals": {
                       "connect:InstanceId": "your-instance-id"
                   }
               }
           }
       ]
   } 

4. Tambahkan pemetaan atribut ke aplikasi penyedia identitas Anda menggunakan atribut dan string nilai berikut.

   Atribut	Nilai
   https://aws.amazon.com/SAML/Atribut/Peran	saml-role-arn,identity-provider-arn

5. Konfigurasikan Assertion Consumer Service (ACS) URL dari penyedia identitas Anda untuk menunjuk ke login yang dipersonalisasiSAML. URL Gunakan contoh berikut untuk ACSURL:

   https://instance-id.source-region.sign-in.connect.aws/saml?&instanceId=instance-id&accountId=your AWS account ID&role=saml-federation-role&idp=your SAML IDP&destination=optional-destination

6. Tetapkan bidang berikut dalam URL parameter:

   • instanceId: Pengenal instans Amazon Connect Anda. Untuk petunjuk tentang cara menemukan ID instans Anda, lihatTemukan ID instans Amazon Connect Anda/ ARN.

   • accountId: ID AWS akun tempat instans Amazon Connect berada.

   • role: Setel ke nama atau Nama Sumber Daya Amazon (ARN) SAML peran yang digunakan untuk federasi Amazon Connect.

   • idp: Setel ke nama atau Amazon Resource Name (ARN) dari penyedia SAML identitas diIAM.

   • destination: Setel ke jalur opsional tempat agen akan mendarat di instance setelah masuk (misalnya:/agent-app-v2).