ID 제공업체(idP)를 Amazon Connect Global Resiliency SAML 로그인 엔드포인트와 통합하세요. - Amazon Connect
시작하기 전 준비 사항중요한 참고 사항ID 제공자를 통합하는 방법

기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.

ID 제공업체(idP)를 Amazon Connect Global Resiliency SAML 로그인 엔드포인트와 통합하세요.

상담원이 한 번 로그인하고 두 AWS 지역 모두에 로그인하여 현재 활성 지역의 연락처를 처리할 수 있게 하려면 글로벌 로그인 SAML 엔드포인트를 사용하도록 IAM 설정을 구성해야 합니다.

시작하기 전에

Amazon Connect Global Resiliency를 사용하려면 Amazon Connect 인스턴스에서 SAML을 활성화해야 합니다. IAM 페더레이션을 시작하는 방법에 대한 자세한 내용은 SAML 2.0 페더레이션 사용자가 AWS Management Console에 액세스하도록 활성화를 참조하세요.

중요한 참고 사항

  • 이 주제의 단계를 수행하려면 인스턴스 ID가 필요합니다. 이를 찾는 방법에 관한 지침은 Amazon Connect 인스턴스 ID/ARN 찾기 섹션을 참조하세요.

  • 또한 Amazon Connect 인스턴스의 소스 리전도 알아야 합니다. 이를 찾는 방법에 관한 지침은 Amazon Connect 인스턴스의 소스 리전을 찾는 방법 섹션을 참조하세요.

  • 에이전트는 소스 및 복제본 Amazon Connect 인스턴스 모두에 이미 생성되어 있어야 하며 ID 제공업체(IdP)의 역할 세션 이름과 동일한 사용자 이름을 가져야 합니다. 그렇지 않으면 UserNotOnboardedException 예외가 발생하여 인스턴스 간에 에이전트 중복 기능이 손실될 위험이 있습니다.

  • 에이전트가 로그인을 시도하기 전에 에이전트를 트래픽 배포 그룹에 연결해야 합니다. 그렇지 않으면 ResourceNotFoundException으로 상담원 로그인이 실패합니다. 트래픽 분산 그룹을 설정하고 에이전트를 이 그룹에 연결하는 방법에 대한 자세한 내용은 에이전트를 여러 AWS 지역의 인스턴스에 연결합니다. 섹션을 참조하세요.

  • 에이전트가 새 SAML 로그인 URL을 사용하여 Amazon Connect에 페더레이션하면, 트래픽 분산 그룹에서 SignInConfig가 어떻게 구성되었는지에 관계없이 Amazon Connect Global Resiliency는 항상 에이전트를 소스 및 복제본 리전/인스턴스 모두에 로그인을 시도합니다. 로그를 확인하여 CloudTrail 이를 확인할 수 있습니다.

  • 기본 트래픽 SignInConfig 분배 그룹의 AWS 리전 배포는 로그인을 용이하게 하는 데 사용되는 그룹만 결정합니다. SignInConfig 분산이 어떻게 구성되어 있는지에 관계없이 Amazon Connect는 항상 에이전트를 Amazon Connect 인스턴스의 두 리전 모두에 로그인하려고 시도합니다.

  • Amazon Connect 인스턴스를 복제하면 인스턴스에 대해 하나의 SAML 로그인 엔드포인트만 생성됩니다. 이 엔드포인트는 항상 AWS 리전 URL에 소스를 포함합니다.

  • Amazon Connect Global Resiliency에서 개인화된 SAML 로그인 URL을 사용할 때는 릴레이 상태를 구성할 필요가 없습니다.

ID 제공자를 통합하는 방법

  1. ReplicateInstanceAPI를 사용하여 Amazon Connect 인스턴스의 복제본을 생성하면 Amazon Connect 인스턴스에 대한 맞춤형 SAML 로그인 URL이 생성됩니다. URL은 다음 형식으로 생성됩니다.

    https://instance-id.source-region.sign-in.connect.aws/saml

    1. instance-id는 인스턴스 그룹에 있는 인스턴스의 인스턴스 ID입니다. 인스턴스 ID는 소 및 복제 리전에서 동일합니다.

    2. 소스 리전은 API가 호출된 소스 AWS 리전에 해당합니다. ReplicateInstance

  2. 다음 신뢰 정책을 IAM 페더레이션 역할에 추가하세요. 다음 예시와 같이 전역 로그인 SAML 엔드포인트의 URL을 사용합니다.

    {
   "Version":"2012-10-17",
   "Statement":[
      {
         "Effect":"Allow",
         "Principal":{
            "Federated":[
               "saml-provider-arn"
            ]
         },
         "Action":"sts:AssumeRoleWithSAML",
         "Condition":{
            "StringLike":{
               "SAML:aud":[
                  "https://instance-id.source-region.sign-in.connect.aws/saml*"
               ]
            }
         }
      }
   ]
}
    참고

    saml-provider-arn은 IAM에서 생성된 ID 제공업체 리소스입니다.

  3. IAM 페더레이션 역할에서 InstanceId에 대해 connect:GetFederationToken에 대한 액세스 권한을 부여합니다. 예:

    {
"Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "GetFederationTokenAccess",
            "Effect": "Allow",
            "Action": "connect:GetFederationToken",
            "Resource": "*",
            "Condition": {
                "StringEquals": {
                    "connect:InstanceId": "your-instance-id"
                }
            }
        }
    ]
}

  4. 다음 속성 및 값 문자열을 사용하여 ID 제공업체 애플리케이션에 속성 매핑을 추가합니다.

    속성

    https://aws.amazon.com/SAML/Attributes/Role

    saml-role-arn,identity-provider-arn

  5. ID 제공업체의 어설션 소비자 서비스(ACS) URL이 개인화된 SAML 로그인 URL을 가리키도록 구성합니다. 다음 예제에서 ACS URL을 사용합니다.

    https://instance-id.source-region.sign-in.connect.aws/saml?&instanceId=instance-id&accountId=your AWS account ID&role=saml-federation-role&idp=your SAML IDP&destination=optional-destination

  6. URL 파라미터에서 다음 필드를 설정합니다.

    • instanceId: Amazon Connect 인스턴스의 식별자입니다. 인스턴스 ID를 찾는 방법에 대한 지침은 Amazon Connect 인스턴스 ID/ARN 찾기를 참조하세요.

    • accountId: Amazon Connect 인스턴스가 위치한 AWS 계정 ID입니다.

    • role: Amazon Connect 페더레이션에 사용되는 SAML 역할의 이름 또는 Amazon 리소스 이름(ARN)으로 설정합니다.

    • idp: IAM에서 SAML ID 제공업체의 이름 또는 Amazon 리소스 이름(ARN)으로 설정합니다.

    • destination: 로그인 후 에이전트가 인스턴스에 들어갈 선택적 경로로 설정합니다(예: /agent-app-v2).