Amazon Connect (Amazon Connect) 에 - Amazon Connect

기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.

Amazon Connect (Amazon Connect) 에

Amazon Connect 를 사용하여 SAML (Security Assertion Markup Language) 2.0을AWS조직에서 Amazon Connect 인스턴스로 웹 기반 SSO (Single Sign-On) 를 활성화하기 위한 IAM입니다. 이 기능을 통해 사용자가 SAML 2.0 호환 IdP (자격 증명 공급자) 에서 호스팅하는 조직의 포털에 로그인하고 Amazon Connect에 대한 별도의 자격 증명 공급자를 제공하지 않고도 SSO (Single Sign-On) 로 Amazon Connect 인스턴스에 로그인할 수 있습니다.

중요 정보

시작하기 전에 다음 사항에 유의하세요.

  • Amazon Connect 인스턴스의 자격 증명 관리 방법으로 SAML 2.0 기반 인증을 선택하려면 다음을 구성해야 합니다.AWS Identity and Access Management연합.

  • Amazon Connect 커넥트의 사용자 이름은 다음 이름과 일치해야 합니다. RoleSessionName 자격 증명 공급자가 반환한 SAML 응답에 지정된 SAML 특성입니다.

  • Amazon Connect 사용자는 한 명에만 연결할 수 있습니다.AWSIAM 역할. 를 변경합니다AWS연동에 사용되는 IAM 역할로 인해 이전에 연동된 사용자가 로그인에 실패하게 됩니다. Identity Assertion 사용자 및 역할 관리에 대한 자세한 내용은 단원을 참조하십시오.IAM 역할.

SAML 연동 SAML 사용에 대한 개요

다음 다이어그램은 사용자를 인증하고 Amazon Connect Connect에 연동하기 위한 SAML 요청의 흐름을 보여줍니다.


                Amazon Connect 커넥트를 통한 SAML 인증 요청의 요청 흐름에 대한 개요.

SAML 요청은 다음 단계로 진행됩니다.

  1. 사용자가 Amazon Connect Connect에 로그인하기 위한 링크가 포함되어 있는 내부 포털로 이동합니다. 해당 링크는 자격 증명 공급자에 정의되어 있습니다.

  2. 연동 서비스가 조직의 자격 증명 스토어에서 인증을 요청합니다.

  3. 자격 증명 스토어가 사용자를 인증하고 인증 응답을 연동 서비스에 반환합니다.

  4. 인증에 성공하면 연동 서비스가 SAML 어설션을 사용자의 브라우저에 게시합니다.

  5. 사용자의 브라우저에서 SAML 어설션을AWSSAML 엔드포인트 (https://signin.aws.amazon.com/saml) 에 로그인합니다.AWS로그인이 SAML 요청을 수신하고 요청을 처리한 다음 사용자를 인증하고 인증 토큰을 Amazon Connect Connect에 전달합니다.

  6. 에서 인증 토큰 사용AWS, Amazon Connect 는 사용자에게 권한을 부여하고 브라우저에서 Amazon Connect 를 엽니다.

Amazon Connect 에서 SAML 기반 인증 활성화

Amazon Connect 인스턴스에서 사용할 SAML 인증을 활성화하고 구성하기 위해 필요한 단계는 다음과 같습니다.

  1. Amazon Connect 인스턴스를 생성하고 자격 증명 관리에 대해 SAML 2.0 기반 인증을 선택합니다.

  2. 자격 증명 공급자와 간 SAML 연동 활성화AWS.

  3. Amazon Connect 인스턴스에 Amazon Connect 사용자를 추가합니다. 인스턴스를 생성할 때 만든 관리자 계정을 사용하여 인스턴스에 로그인합니다. 사용자 관리 페이지로 이동하여 사용자를 추가합니다.

    중요

    Amazon Connect 사용자와AWSIAM 역할, 사용자 이름은 정확히 일치해야 합니다. RoleSessionName 와 함께 구성된 대로AWSIAM 페더레이션 통합: 일반적으로 디렉터리의 사용자 이름이 됩니다.

    형식은 의 형식 조건의 교차점과 일치해야 합니다.RoleSessionName그리고Amazon Connect 사용자, 다음 다이어그램에 나와 있습니다.

    형식:

    • 문자열: 공백이 없는 대문자 및 소문자 영숫자 문자

    • 길이 제약: 최소 길이는 2이고, 최대 길이 64.

    • 특수 문자:@ - .

  4. SAML 어설션, 인증 응답 및 릴레이 상태에 대해 자격 증명 공급자를 구성합니다. 사용자가 자격 증명 공급자에 로그인합니다. 성공하면 사용자가 Amazon Connect 인스턴스로 리디렉션됩니다. IAM 역할은 와 연동하는 데 사용됩니다.AWS이를 통해 Amazon Connect 커넥트에 액세스할 수 있습니다.

인스턴스 생성 중 SAML 2.0 기반 인증 선택

Amazon Connect 인스턴스를 생성할 때 자격 증명 관리에 대해 SAML 2.0 기반 인증 옵션을 선택합니다. 두 번째 단계에서 인스턴스의 관리자를 생성할 때 지정하는 사용자 이름은 기존 네트워크 디렉터리의 사용자 이름과 정확하게 일치해야 합니다. 암호는 기존 디렉터리를 통해 관리되므로 관리자의 암호를 지정하는 옵션은 없습니다. 관리자는 Amazon Connect 에서 생성되며관리자보안 프로필.

IdP 통해 Amazon Connect 인스턴스에 로그인하여 관리자 계정을 이용해 사용자를 더 추가할 수 있습니다.

자격 증명 공급자와 AWS 간 SAML 연동 활성화

Amazon Connect Connect에 대해 SAML 기반 인증을 활성화하려면 IAM 콘솔에 자격 증명 공급자를 생성해야 합니다. 자세한 내용을 알아보려면 다음 섹션을 참조하세요.SAML 2.0 연동 사용자가 에 액세스할 수 있게 하기AWS관리 콘솔.

에 대한 자격 증명 공급자를 생성하는 프로세스AWSAmazon Connect 커넥트도 마찬가지입니다. 위 흐름도의 6단계는 클라이언트가 대신 Amazon Connect 인스턴스로 보내지는 것을 보여줍니다.AWS Management Console.

에서의 SAML 연동을 활성화하는 데 필요한 단계AWS다음을 포함합니다.

  1. 에서 SAML 공급자 생성AWS. 자세한 내용은 SAML 자격 증명 공급자 생성을 참조하십시오.

  2. 에서 SAML 2.0 연동을 위한 IAM 역할을 생성합니다.AWS Management Console. 연동에 대한 역할 하나만 생성합니다(연동에는 하나의 역할만 필요하고 사용됨). IAM 역할에 따라 에서 자격 증명 공급자를 통해 로그인한 사용자가 보유하는 권한이 결정됩니다.AWS. 이 경우에는 Amazon Connect 에 액세스하기 위한 권한입니다. Amazon Connect의 보안 프로필을 사용하여 Amazon Connect 기능에 대한 권한을 제어할 수 있습니다. 자세한 내용은 SAML 2.0 연동을 위한 역할 생성(콘솔)을 참조하십시오.

    중요

    이 역할을 바꾸면 이전 역할의 Amazon Connect 사용자 연결이 끊어지기 때문에 이전에 연합된 사용자가 로그아웃에 실패하게 됩니다.

    5단계에서 선택프로그래밍 방식 허용 및AWSManagement Console 액세스. 주제의 SAML 2.0 연동을 위한 역할 생성을 준비하려면 절차에서 설명한 신뢰 정책을 생성합니다. 그런 다음 Amazon Connect 인스턴스에 권한을 할당할 정책을 생성합니다. 권한은 SAML 기반 연동을 위한 역할을 생성하려면 절차의 9단계에서 시작합니다.

    SAML 인증을 위한 IAM 역할에 권한을 할당하는 정책을 생성하려면

    1. Attach permissions policy(권한 정책 연결) 페이지에서 Create policy(정책 생성)를 선택합니다.

    2. 정책 생성 페이지에서 JSON을 선택합니다.

    3. 다음 예제 정책 중 하나를 복사하여 기존 텍스트 대신 JSON 정책 편집기에 붙여 넣습니다. 정책을 사용하여 SAML 연동을 활성화하거나 특정 요구 사항에 맞게 사용자 지정할 수 있습니다.

      특정 Amazon Connect 인스턴스의 모든 사용자에 대한 연동을 활성화하려면 이 정책을 사용합니다. SAML 기반 인증의 경우 Resource의 값을 생성한 인스턴스에 대한 ARN으로 바꿉니다.

      { "Version": "2012-10-17", "Statement": [ { "Sid": "Statement1", "Effect": "Allow", "Action": "connect:GetFederationToken", "Resource": [ "arn:aws:connect:us-east-1:361814831152:instance/2fb42df9-78a2-2e74-d572-c8af67ed289b/user/${aws:userid}" ] } ] }

      이 정책을 사용하여 특정 Amazon Connect 인스턴스에 대한 연동을 활성화합니다. connect:InstanceId의 값을 인스턴스의 인스턴스 ID로 바꿉니다.

      { "Version": "2012-10-17", "Statement": [ { "Sid": "Statement2", "Effect": "Allow", "Action": "connect:GetFederationToken", "Resource": "*", "Condition": { "StringEquals": { "connect:InstanceId": "2fb42df9-78a2-2e74-d572-c8af67ed289b" } } } ] }

      이 정책을 사용하여 여러 인스턴스에 대한 연동을 활성화합니다. 나열된 인스턴스 ID 주위의 대괄호에 유의하십시오.

      { "Version": "2012-10-17", "Statement": [ { "Sid": "Statement2", "Effect": "Allow", "Action": "connect:GetFederationToken", "Resource": "*", "Condition": { "StringEquals": { "connect:InstanceId": [ "2fb42df9-78a2-2e74-d572-c8af67ed289b", "1234567-78a2-2e74-d572-c8af67ed289b"] } } } ] }
    4. 정책을 생성한 후 를 선택합니다.다음: Review)]를 선택합니다. 그런 다음 의 10단계로 돌아가십시오.SAML 기반 연동을 위한 역할을 생성하려면절차SAML 2.0 연동을 위한 역할 생성(콘솔)주제.

  3. 에 대한 SAML 공급자로 네트워크 구성AWS. 자세한 내용을 알아보려면 다음 섹션을 참조하세요.SAML 2.0 연동 사용자가 에 액세스할 수 있게 하기AWS관리 콘솔.

  4. 인증 응답을 위한 SAML 어설션을 구성합니다. 자세한 내용은 인증 응답을 위한 SAML 어설션 구성을 참조하십시오.

  5. Amazon Connect 커넥트의 경우애플리케이션 시작 URL공백.

  6. Amazon Connect 인스턴스를 가리키도록 자격 증명 공급자의 릴레이 상태를 구성합니다. 릴레이 상태에 사용할 URL은 다음과 같이 구성됩니다.

    https://region-id.console.aws.amazon.com/connect/federate/instance-id

    교체하기리전 ID는 Amazon Connect 인스턴스를 생성한 리전의 이름으로 사용합니다 (예: 미국 동부 (버지니아 북부) 의 경우 us-east-1). instance-id를 인스턴스의 인스턴스 ID로 바꿉니다.

    a를 위해 GovCloud 인스턴스, URL은https://console.amazonaws-us-gov.com/:

    • https://console.amazonaws-us-gov.com/연결/페더레이트/인스턴스 ID

    참고

    Amazon Connect 콘솔에서 인스턴스 별칭을 선택하여 인스턴스의 인스턴스 ID를 찾을 수 있습니다. 인스턴스 ID는 에서 '/instance' 뒤에 있는 숫자와 문자의 집합입니다.인스턴스 ARN에 표시됩니다개요페이지. 예를 들어, 다음 인스턴스 ARN의 인스턴스 ID는 178c75e4-b3de-4839-a6aa-e321ab3f3770입니다.

    arn:aws:connect:us-east-1:450725743157:instance/178c75e4-b3de-4839-a6aa-e321ab3f3770

지역적으로 격리된 SAML 로그인을 위한 구성

리전 SAML 엔드포인트를 사용하려면 다음 단계를 수행하세요. 이러한 단계는 IdP에 구애받지 않으며 모든 SAML IdP (예: Okta, Ping, OneLogin, 시볼레스, ADFS, AzureAD 등).

  1. 업데이트 (또는 재정의) AssertionConsumerService. 이렇게 하는 방법은 두 가지입니다.

    • 옵션 1: 를 다운로드합니다.AWSSAML 메타데이터 및 업데이트Location는 사용자가 선택한 리전. 의 새 버전을 로드합니다.AWSSAML 메타데이터를 IdP 저장합니다.

      다음은 개정의 예입니다.

      <AssertionConsumerService index="1" isDefault="true" Binding="urn:oasis:names:tc:SAML:2.0:bindings:HTTP-POST" Location="https://region-id.signin.aws.amazon.com/saml"/>

    • 옵션 2: 를 재정의 AssertionConsumerService IdP (ACS) URL. 용 IdPs 미리 구운 것을 제공하는 Okta와 같습니다.AWS연동, 에서 ACS URL을 재정의할 수 있습니다.AWS관리자 콘솔. 동일한 형식을 사용하여 선택한 리전을 오버라이드합니다 (예: https:///)리전 ID.로그인.aws.amazon.com/saml).

  2. 관련 역할 신뢰 정책 업데이트:

    1. 이 단계는 지정된 ID 공급자를 신뢰하는 모든 계정의 모든 역할에 대해 수행해야 합니다.

    2. 신뢰 관계를 편집하고 단수를 바꿉니다.SAML:aud다중 값 조건을 가진 조건. 예:

      • 기본값:”SAML:aud“:" https://signin.aws.amazon.com/saml”.

      • 수정 사항 포함:”SAML:aud“: [” https://signin.aws.amazon.com/saml “, “https://리전 ID.로그인.aws.amazon.com/saml”]

    3. 이러한 신뢰 관계를 미리 변경하십시오. 사고 발생 시 계획의 일환으로 수행해서는 안 됩니다.

  3. 지역별 콘솔 페이지의 릴레이 상태를 구성합니다.

    1. 이 마지막 단계를 수행하지 않으면 지역별 SAML 로그인 프로세스가 사용자를 동일한 지역 내의 콘솔 로그인 페이지로 포워딩한다는 보장은 없습니다. 이 단계는 ID 공급자마다 가장 다양하지만 블로그도 있습니다 (예:SAML을 사용하여 연동 사용자를 특정 AWS 관리 콘솔 페이지로 자동 안내하는 방법) 릴레이 상태를 사용하여 딥링킹을 달성하는 것을 보여줍니다.

    2. IdP 적합한 기술/파라미터를 사용하여 릴레이 상태를 일치하는 콘솔 엔드포인트 (예: https://로 설정) 로 설정합니다.리전 ID.aws.aws.aws.aws.aws.aws.aws.aws.awinstance-id).

참고
  • 추가 지역에서 STS가 비활성화되지 않았는지 확인하십시오.

  • 추가 지역에서 STS 활동을 막는 SCP가 없는지 확인하세요.

릴레이 상태 URL에서 대상 사용

자격 증명 공급자의 릴레이 상태를 구성할 때 URL에 대상 인수를 사용하여 Amazon Connect 인스턴스의 특정 페이지로 사용자를 이동하게 할 수 있습니다. 예를 들어 에이전트가 로그인할 때 링크를 사용하여 CCP를 엽니다. 사용자에게 인스턴스의 해당 페이지에 액세스할 수 있는 권한을 부여하는 보안 프로필을 할당해야 합니다. 예를 들어 에이전트를 CCP로 보내려면 릴레이 상태에 다음과 유사한 URL을 사용합니다. URL에 사용된 대상 값에 URL 인코딩을 사용해야 합니다.

  • https://us-east-1.console.aws.amazon.com/connect/federate/instance-id?destination=%2Fconnect%2Fccp-v2

a를 위해 GovCloud 인스턴스, URL은https://console.amazonaws-us-gov.com/. 따라서 주소는 다음과 같습니다.

  • https://console.amazonaws-us-gov.com/연결/페더레이트/인스턴스 ID? 목적지=%2F 연결%2FCCP-v2

사용자를 Amazon Connect 인스턴스에 추가합니다.

Connect 인스턴스에 사용자를 추가하고 사용자 이름이 기존 디렉터리의 사용자 이름과 정확하게 일치하는지 확인합니다. 이름이 일치하지 않으면 Amazon Connect에 해당 사용자 이름의 사용자 계정이 없으므로 사용자가 자격 증명 공급자에는 로그인할 수 있지만 Amazon Connect Connect에는 로그인할 수 없습니다. 사용자 관리 페이지에서 수동으로 사용자를 추가하거나 CSV 템플릿을 사용하여 사용자를 대량으로 업로드할 수 있습니다. Amazon Connect Connect에 사용자를 추가한 후 보안 프로필 및 다른 사용자 설정을 할당할 수 있습니다.

사용자가 자격 증명 공급자에 로그인할 때 Amazon Connect Connect에 동일한 사용자 이름의 계정이 없으면 다음과 같습니다.액세스가 거부되었습니다메시지 가 나타납니다.


                사용자가 Amazon Connect에 없는 경우 자격 증명 공급자를 통해 Amazon Connect Connect에 로그인하려고 시도했지만 표시되는 오류 메시지.

템플릿을 통해 사용자 대량 업로드

CSV 파일에 사용자를 추가하여 사용자를 가져올 수 있습니다. 그런 다음 CSV 파일을 인스턴스로 가져와 파일의 모든 사용자를 추가할 수 있습니다. CSV 파일을 업로드하여 사용자를 추가하는 경우 SAML 사용자용 템플릿을 사용해야 합니다. 에서 를 찾을 수 있습니다.사용자 관리Amazon Connect 커넥트의 페이지. SAML 기반 인증에는 다른 템플릿이 사용됩니다. 이전에 템플릿을 다운로드한 경우 SAML 기반 인증을 통해 인스턴스를 설정한 후에는 사용자 관리 페이지에서 사용 가능한 버전을 다운로드해야 합니다. 템플릿에는 이메일 또는 암호에 대한 열이 포함되면 안 됩니다.

SAML 사용자 로그인 및 세션 기간

Amazon Connect Connect에서 SAML을 사용할 때 사용자가 IdP (자격 증명 공급자) 를 통해 Amazon Connect Connect에 로그인해야 합니다. IdP 와 통합되도록 구성됩니다.AWS. 인증 후 세션의 토큰이 생성됩니다. 그런 다음 사용자가 Amazon Connect 인스턴스로 리디렉션되고 SSO (통합 인증) 를 사용하여 Amazon Connect Connect에 자동으로 로그인합니다.

또한 Amazon Connect 사용자가 Amazon Connect 사용을 완료한 경우 로그아웃하도록 프로세스를 정의하는 것이 좋습니다. 사용자는 Amazon Connect 및 자격 증명 공급자에서 로그아웃해야 합니다. 로그아웃하지 않으면 이전 세션에 대한 토큰이 세션 기간 동안 계속 유효하므로 동일한 컴퓨터에 로그인한 다음 사람이 암호 없이 Amazon Connect Connect에 로그인할 수 있습니다. 12시간 동안 유효합니다.

세션 만료 정보

Amazon Connect 세션은 사용자가 로그인한 후 12시간이 지나면 만료됩니다. 12시간 후 사용자는 현재 통화 중인 경우에도 자동으로 로그아웃됩니다. 에이전트가 12시간 넘게 로그인 상태이면 만료되기 전에 세션 토큰을 새로 고쳐야 합니다. 새 세션을 만들려면 에이전트가 Amazon Connect Connect와 IdP에서 로그아웃한 후 다시 로그인해야 합니다. 이렇게 하면 에이전트가 고객과 통화 중인 경우 로그아웃되지 않도록 토큰에 설정된 세션 타이머가 재설정됩니다. 사용자가 로그인한 동안 세션이 만료되면 다음 메시지가 표시됩니다. Amazon Connect 를 다시 사용하려면 사용자가 자격 증명 공급자에 로그인해야 합니다.


                SAML 기반 사용자에 대한 세션이 만료된 경우 표시되는 오류 메시지.