Integrieren Sie Ihren Identitätsanbieter (IdP) mit einem Amazon Connect Global SAML Resiliency-Anmeldeendpunkt - Amazon Connect
Bevor Sie beginnenWissenswertesSo integrieren Sie Ihren Identitätsanbieter

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Integrieren Sie Ihren Identitätsanbieter (IdP) mit einem Amazon Connect Global SAML Resiliency-Anmeldeendpunkt

Damit sich Ihre Agenten einmal anmelden und in beiden AWS Regionen angemeldet sein können, um Kontakte aus der aktuell aktiven Region zu bearbeiten, müssen Sie die IAM Einstellungen für die Verwendung des globalen Anmeldeendpunkts konfigurieren. SAML

Bevor Sie beginnen

Sie müssen es aktivieren, SAML damit Ihre Amazon Connect-Instance Amazon Connect Global Resiliency verwenden kann. Informationen zu den ersten Schritten mit dem IAM Verbund finden Sie unter Aktivieren des Zugriffs auf die AWS Management Console für Verbundbenutzer in SAML 2.0.

Wissenswertes

  • Sie benötigen Ihre Instance-ID, um die Schritte in diesem Thema auszuführen. Anweisungen zu deren Auffinden erhalten Sie unter Finden Sie Ihre Amazon Connect Connect-Instance-ID/ ARN.

  • Sie müssen auch die Quellregion Ihrer Amazon-Connect-Instances kennen. Anweisungen zu deren Auffinden erhalten Sie unter So finden Sie die Quellregion einer Amazon-Connect-Instances.

  • Wenn Sie Ihre Connect-Anwendung in einen Iframe einbetten, müssen Sie sicherstellen, dass Ihre Domain in der Liste der zugelassenen Ursprünge sowohl in Ihrer Quell- als auch in Ihrer Replikatinstanz vorhanden ist, damit die globale Anmeldung funktioniert.

    Um Approved Origins auf Instanzebene zu konfigurieren, folgen Sie den Schritten unter. Verwenden einer Zulassungsliste für integrierte Anwendungen

  • Kundendienstmitarbeiter müssen bereits in Ihren Quell- und Replikat-Instances von Amazon Connect erstellt worden sein und denselben Benutzernamen haben wie der Name der Rollensitzung Ihres Identitätsanbieters (IDP). Andernfalls wird der Fehler UserNotOnboardedException angezeigt und Sie riskieren, dass die Redundanzfunktionen für Kundendienstmitarbeiter zwischen Ihren Instances verloren gehen.

  • Sie müssen Kundendienstmitarbeiter einer Datenverkehr-Verteilergruppe zuordnen, bevor Kundendienstmitarbeiter sich anmelden können. Andernfalls schlägt die Anmeldung des Kundendienstmitarbeiters mit ResourceNotFoundException fehl. Informationen darüber, wie Sie Ihre Datenverkehr-Verteilergruppen einrichten und ihnen Kundendienstmitarbeiter zuordnen, finden Sie unter Ordnen Sie Agenten Instances in mehreren AWS Regionen zu.

  • Wenn sich Ihre Agenten mit der neuen SAML Anmeldung zu Amazon Connect verbinden, versucht Amazon Connect Global Resiliency immerURL, den Agenten sowohl bei Ihren Quell- als auch bei Ihren Replikat-Regionen/-Instances anzumelden, unabhängig davon, wie in Ihrer SignInConfig Traffic-Verteilergruppe konfiguriert ist. Sie können dies überprüfen, indem Sie die Protokolle überprüfen. CloudTrail

  • Die SignInConfig Verteilung in Ihrer Standardverteilergruppe für den Datenverkehr bestimmt nur, welche AWS-Region Methode zur Erleichterung der Anmeldung verwendet wird. Unabhängig davon, wie Ihre Verteilung von SignInConfig konfiguriert ist, versucht Amazon Connect immer, Kundendienstmitarbeiter in beiden Regionen Ihrer Amazon-Connect-Instance anzumelden.

  • Nach der Replikation einer Amazon Connect Connect-Instance wird nur ein SAML Anmeldeendpunkt für Ihre Instances generiert. Dieser Endpunkt enthält immer die Quelle AWS-Region in der. URL

  • Sie müssen keinen Relay-Status konfigurieren, wenn Sie die personalisierte SAML Anmeldung URL mit Amazon Connect Global Resiliency verwenden.

So integrieren Sie Ihren Identitätsanbieter

  1. Wenn Sie mit dem ein Replikat Ihrer Amazon Connect Connect-Instance erstellen ReplicateInstanceAPI, URL wird eine personalisierte SAML Anmeldung für Ihre Amazon Connect Connect-Instances generiert. Das URL wird im folgenden Format generiert:

    https://instance-id.source-region.sign-in.connect.aws/saml

    1. instance-id ist die Instanz-ID für eine der Instances in Ihrer Instanzgruppe. Die Instance-ID ist in der Quell- und Replikatregion identisch.

    2. source-region entspricht der AWS Quellregion, in der der aufgerufen ReplicateInstanceAPIwurde.

  2. Fügen Sie Ihrer IAM Federation-Rolle die folgende Vertrauensrichtlinie hinzu. Verwenden Sie den SAML Endpunkt URL für die globale Anmeldung, wie im folgenden Beispiel gezeigt.

    {
   "Version":"2012-10-17",
   "Statement":[
      {
         "Effect":"Allow",
         "Principal":{
            "Federated":[
               "saml-provider-arn"
            ]
         },
         "Action":"sts:AssumeRoleWithSAML",
         "Condition":{
            "StringLike":{
               "SAML:aud":[
                  "https://instance-id.source-region.sign-in.connect.aws/saml*"
               ]
            }
         }
      }
   ]
}
    Anmerkung

    saml-provider-arnist die Identitätsanbieter-Ressource, die in IAM erstellt wurde.

  3. Gewähren Sie Zugriff InstanceId auf connect:GetFederationToken für Ihre eigene IAM Federation-Rolle. Beispielsweise:

    {
"Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "GetFederationTokenAccess",
            "Effect": "Allow",
            "Action": "connect:GetFederationToken",
            "Resource": "*",
            "Condition": {
                "StringEquals": {
                    "connect:InstanceId": "your-instance-id"
                }
            }
        }
    ]
}

  4. Fügen Sie Ihrer Identitätsanbieter-Anwendung mithilfe der folgenden Attribut- und Wertezeichenfolgen eine Attributszuordnung hinzu.

    Attribut Wert

    https://aws.amazon.com/SAML/Attribute/Rolle

    saml-role-arn,identity-provider-arn

  5. Konfigurieren Sie den Assertion Consumer Service (ACS) URL Ihres Identitätsanbieters so, dass er auf Ihre personalisierte Anmeldung verweist. SAML URL Verwenden Sie das folgende Beispiel für: ACS URL

    https://instance-id.source-region.sign-in.connect.aws/saml?&instanceId=instance-id&accountId=your AWS account ID&role=saml-federation-role&idp=your SAML IDP&destination=optional-destination

  6. Legen Sie die folgenden Felder in den URL Parametern fest:

    • instanceId: Die Kennung der Amazon-Connect-Instance. Anweisungen zum Auffinden des Instance-ARN finden Sie unter Finden Sie Ihre Amazon Connect Connect-Instance-ID/ ARN.

    • accountId: Die AWS Konto-ID, unter der sich die Amazon Connect Connect-Instances befinden.

    • role: Auf den Namen oder Amazon-Ressourcennamen (ARN) der SAML Rolle festgelegt, die für den Amazon Connect-Verbund verwendet wird.

    • idp: Auf den Namen oder Amazon-Ressourcennamen (ARN) des SAML Identitätsanbieters in eingestelltIAM.

    • destination: Geben Sie den optionalen Pfad ein, zu dem Kundendienstmitarbeiter nach der Anmeldung in der Instance gelangen (zum Beispiel: /agent-app-v2).