Integrieren Ihres Identitätsanbieters (IdP) in einen SAML-Anmeldeendpunkt von Amazon Connect Global Resiliency - Amazon Connect
Bevor Sie beginnenWissenswertesSo integrieren Sie Ihren Identitätsanbieter

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Integrieren Ihres Identitätsanbieters (IdP) in einen SAML-Anmeldeendpunkt von Amazon Connect Global Resiliency

Damit sich Ihre Agenten einmal anmelden und in beiden AWS Regionen angemeldet sein können, um Kontakte aus der aktuellen aktiven Region zu bearbeiten, müssen Sie die IAM-Einstellungen so konfigurieren, dass sie den SAML-Endpunkt für die globale Anmeldung verwenden.

Bevor Sie beginnen

Sie müssen SAML für Ihre Amazon-Connect-Instance aktivieren, um Amazon Connect – Globale Ausfallsicherheit verwenden zu können. Informationen zu den ersten Schritten mit einem IAM-Verbund finden Sie unter Aktivieren von SAML-2.0-Verbundbenutzern für den Zugriff auf die AWS-Managementkonsole.

Wissenswertes

  • Sie benötigen Ihre Instance-ID, um die Schritte in diesem Thema auszuführen. Anweisungen zu deren Auffinden erhalten Sie unter Finden Sie Ihre Amazon Connect Connect-Instance-ID oder Ihren ARN.

  • Sie müssen auch die Quellregion Ihrer Amazon-Connect-Instances kennen. Anweisungen zu deren Auffinden erhalten Sie unter So finden Sie die Quellregion einer Amazon-Connect-Instances.

  • Wenn Sie Ihre Connect-Anwendung in einen Iframe einbetten, müssen Sie sicherstellen, dass Ihre Domain in der Liste der zugelassenen Ursprünge sowohl in Ihrer Quell- als auch in Ihrer Replikatinstanz vorhanden ist, damit die globale Anmeldung funktioniert.

    Um Approved Origins auf Instanzebene zu konfigurieren, folgen Sie den Schritten unter. Verwenden Sie eine Zulassungsliste für integrierte Anwendungen in Amazon Connect

  • Kundendienstmitarbeiter müssen bereits in Ihren Quell- und Replikat-Instances von Amazon Connect erstellt worden sein und denselben Benutzernamen haben wie der Name der Rollensitzung Ihres Identitätsanbieters (IDP). Andernfalls wird der Fehler UserNotOnboardedException angezeigt und Sie riskieren, dass die Redundanzfunktionen für Kundendienstmitarbeiter zwischen Ihren Instances verloren gehen.

  • Sie müssen Kundendienstmitarbeiter einer Datenverkehr-Verteilergruppe zuordnen, bevor Kundendienstmitarbeiter sich anmelden können. Andernfalls schlägt die Anmeldung des Kundendienstmitarbeiters mit ResourceNotFoundException fehl. Informationen darüber, wie Sie Ihre Datenverkehr-Verteilergruppen einrichten und ihnen Kundendienstmitarbeiter zuordnen, finden Sie unter Ordnen Sie Agenten Amazon Connect Connect-Instances in mehreren AWS Regionen zu.

  • Wenn Ihre Kundendienstmitarbeiter sich über die neue SAML-Anmelde-URL beim gesamten Amazon-Connect-Verbund anmelden, versucht Amazon Connect – Globale Ausfallsicherheit immer, den Kundendienstmitarbeiter sowohl bei Ihren Quell- als auch bei Ihren Replikat-Regionen/-Instances anzumelden, unabhängig davon, wie SignInConfig in Ihrer Datenverkehr-Verteilergruppe konfiguriert ist. Sie können dies überprüfen, indem Sie die CloudTrail Protokolle überprüfen.

  • Die SignInConfig Verteilung in Ihrer Standardverteilergruppe für den Datenverkehr bestimmt nur, welche AWS-Region Methode zur Erleichterung der Anmeldung verwendet wird. Unabhängig davon, wie Ihre Verteilung von SignInConfig konfiguriert ist, versucht Amazon Connect immer, Kundendienstmitarbeiter in beiden Regionen Ihrer Amazon-Connect-Instance anzumelden.

  • Nach der Replikation einer Amazon-Connect-Instance wird nur ein SAML-Anmeldeendpunkt für Ihre Instances generiert. Dieser Endpunkt enthält immer die Quelle AWS-Region in der URL.

  • Sie müssen keinen Relay-Status konfigurieren, wenn Sie die personalisierte SAML-Anmelde-URL mit Amazon Connect – Globale Ausfallsicherheit verwenden.

So integrieren Sie Ihren Identitätsanbieter

  1. Wenn Sie mithilfe der ReplicateInstanceAPI ein Replikat Ihrer Amazon Connect Connect-Instance erstellen, wird eine personalisierte SAML-Anmelde-URL für Ihre Amazon Connect Connect-Instances generiert. Die generierte URL liegt im folgenden Format vor:

    https://instance-id.source-region.sign-in.connect.aws/saml

    1. instance-idist die Instance-ID für eine der Instances in Ihrer Instance-Gruppe. Die Instance-ID ist in der Quell- und Replikatregion identisch.

    2. source-regionentspricht der AWS Quellregion, in der die ReplicateInstanceAPI aufgerufen wurde.

  2. Fügen Sie Ihrer IAM-Verbund-Rolle die folgende Vertrauensrichtlinie hinzu. Nutzen Sie die URL für den SAML-Endpunkt für die globale Anmeldung wie im folgenden Beispiel.

    {
   "Version":"2012-10-17",
   "Statement":[
      {
         "Effect":"Allow",
         "Principal":{
            "Federated":[
               "saml-provider-arn"
            ]
         },
         "Action":"sts:AssumeRoleWithSAML",
         "Condition":{
            "StringLike":{
               "SAML:aud":[
                  "https://instance-id.source-region.sign-in.connect.aws/saml*"
               ]
            }
         }
      }
   ]
}
    Anmerkung

    saml-provider-arn ist die in IAM erstellte Identitätsanbieter-Ressource.

  3. Gewähren Sie Ihrer InstanceId Zugriff auf connect:GetFederationToken für Ihre IAM-Verbund-Rolle. Zum Beispiel:

    {
"Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "GetFederationTokenAccess",
            "Effect": "Allow",
            "Action": "connect:GetFederationToken",
            "Resource": "*",
            "Condition": {
                "StringEquals": {
                    "connect:InstanceId": "your-instance-id"
                }
            }
        }
    ]
}

  4. Fügen Sie Ihrer Identitätsanbieter-Anwendung mithilfe der folgenden Attribut- und Wertezeichenfolgen eine Attributszuordnung hinzu.

    Attribut Wert

    https://aws.amazon.com/SAML/Attribute/Rolle

    saml-role-arn,identity-provider-arn

  5. Konfigurieren Sie die ACS-URL (Assertion Consumer Service) Ihres Identitätsanbieters so, dass sie auf Ihre personalisierte SAML-Anmelde-URL verweist. Verwenden Sie das folgende Beispiel für die ACS-URL:

    https://instance-id.source-region.sign-in.connect.aws/saml?&instanceId=instance-id&accountId=your AWS account ID&role=saml-federation-role&idp=your SAML IDP&destination=optional-destination

  6. Legen Sie die folgenden Felder in den URL-Parametern fest:

    • instanceId: Die Kennung der Amazon-Connect-Instance. Anweisungen zum Auffinden des Instance-ARN finden Sie unter Finden Sie Ihre Amazon Connect Connect-Instance-ID oder Ihren ARN.

    • accountId: Die AWS Konto-ID, unter der sich die Amazon Connect Connect-Instances befinden.

    • role: Wird auf den Namen oder den Amazon-Ressourcennamen (ARN) der SAML-Rolle festgelegt, die für den Amazon-Connect-Verbund verwendet wird.

    • idp: Wird auf den Namen oder Amazon-Ressourcennamen (ARN) des IAM SAML-Identitätsanbieters festgelegt.

    • destination: Geben Sie den optionalen Pfad ein, zu dem Kundendienstmitarbeiter nach der Anmeldung in der Instance gelangen (zum Beispiel: /agent-app-v2).