Configuration de SAML avec IAM pour Amazon Connect - Amazon Connect
Remarques importantesPrésentation de l'utilisation de SAML avec Amazon ConnectActivation de l'authentification SAML pour Amazon ConnectSélection de l'authentification basée sur SAML 2.0 pendant la création de l'instanceActivation de la fédération SAML entre votre fournisseur d'identité et AWSConfiguration du fournisseur d'identité pour utiliser les points de terminaison SAML régionauxUtilisation d'une destination dans votre URL d'état de relaisAjouter des utilisateurs à votre instance Amazon ConnectConnexion des utilisateurs SAML et durée des sessions

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Configuration de SAML avec IAM pour Amazon Connect

Amazon Connect prend en charge la fédération d'identité en configurant SAML (Security Assertion Markup Language) 2.0 avec AWS IAM pour permettre une authentification unique (SSO) sur le web entre votre organisation et votre instance Amazon Connect. Cela permet à vos utilisateurs de se connecter à un portail de votre organisation hébergé par un fournisseur d'identité (IdP) compatible SAML 2.0 et de se connecter à une instance Amazon Connect avec une expérience d'authentification unique sans avoir à fournir d'informations d'identification distinctes pour Amazon Connect.

Remarques importantes

Avant de commencer, prenez note des éléments suivants :

  • Ces instructions ne s'appliquent pas aux déploiements Amazon Connect Global Resiliency. Pour en savoir plus sur Amazon Connect Global Resiliency, consultez Intégrez votre fournisseur d'identité (IdP) à un point de terminaison de connexion Amazon Connect Global Resiliency SAML.

  • Le choix de l'authentification basée sur SAML 2.0 comme méthode de gestion des identités pour votre instance Amazon Connect nécessite la configuration de la fédération AWS Identity and Access Management.

  • Le nom d'utilisateur dans Amazon Connect doit correspondre à l'attribut SAML RoleSessionName spécifié dans la réponse SAML renvoyée par le fournisseur d'identité.

  • Amazon Connect ne prend pas en charge la fédération inversée. Cela signifie que vous ne pouvez pas vous connecter directement à Amazon Connect. Si vous essayez, vous recevrez un message Expiration de session. L'authentification doit être effectuée à partir du fournisseur d'identité (IdP) et non à partir du fournisseur de services (FS) (Amazon Connect).

  • La plupart des fournisseurs d'identité utilisent par défaut le point de terminaison de connexion AWS global comme Application Consumer Service (ACS), qui est hébergé dans la région USA Est (Virginie du Nord). Nous vous recommandons de remplacer cette valeur pour utiliser le point de terminaison régional correspondant à la Région AWS où votre instance a été créée.

  • Tous les noms d'utilisateur Amazon Connect sont sensibles à la casse, même lorsque le protocole SAML est utilisé.

  • Si vous possédez d'anciennes instances Amazon Connect configurées avec SAML et que vous devez mettre à jour votre domaine Amazon Connect, consultez Réglages personnels.

Présentation de l'utilisation de SAML avec Amazon Connect

Le schéma suivant montre l’ordre dans lequel les étapes se déroulent pour les demandes SAML pour authentifier les utilisateurs et les fédérer avec Amazon Connect. Il ne s’agit pas d’un schéma de flux pour un modèle de menace.

Présentation du flux de requêtes pour les demandes d'authentification SAML auprès d'Amazon Connect.

Les requêtes SAML suivent différentes étapes :

  1. L'utilisateur accède au portail interne, qui comprend un lien lui permettant de se connecter à Amazon Connect. Le lien est défini dans le fournisseur d'identité.

  2. Le service de fédération demande l'authentification à partir de la base d'identités de l'organisation.

  3. La base d'identités authentifie l'utilisateur et renvoie la réponse d'authentification au service de fédération.

  4. Une fois l'authentification effectuée, le service de fédération publie l'assertion SAML sur le navigateur de l'utilisateur.

  5. Le navigateur de l’utilisateur envoie l’assertion SAML au point de terminaison SAML de connexion AWS (https://signin.aws.amazon.com/saml). La connexion à AWS reçoit la demande SAML, la traite, authentifie l’utilisateur et lance une redirection du navigateur vers le point de terminaison Amazon Connect avec le jeton d’authentification.

  6. En utilisant le jeton d'authentification d'AWS, Amazon Connect autorise l'utilisateur et ouvre Amazon Connect dans son navigateur.

Activation de l'authentification SAML pour Amazon Connect

Les étapes suivantes permettent d'activer et de configurer l'authentification SAML pour l'utiliser avec votre instance Amazon Connect :

  1. Créez une instance Amazon Connect et sélectionnez l'authentification basée sur SAML 2.0 pour la gestion des identités.

  2. Activez la fédération SAML entre votre fournisseur d'identité et AWS.

  3. Ajoutez des utilisateurs Amazon Connect à votre instance Amazon Connect. Connectez-vous à votre instance à l'aide du compte d'administrateur créé lors de la création de votre instance. Accédez à la page Gestion des utilisateurs et ajoutez des utilisateurs.

    Important

    • Pour obtenir la liste des caractères autorisés dans les noms d’utilisateur, consultez la documentation de la propriété Username dans l’action CreateUser.

    • En raison de l'association d'un utilisateur Amazon Connect et d'un rôle AWS IAM, le nom de l'utilisateur doit correspondre exactement au RoleSessionName configuré avec votre intégration de la fédération AWS IAM, qui est généralement le nom de l'utilisateur dans votre annuaire. Le format du nom d'utilisateur doit correspondre à l'intersection des conditions de format du RoleSessionName et d'un utilisateur Amazon Connect, comme illustré dans le diagramme suivant :

      Diagramme de Venn de rolesessionname et de l'utilisateur Amazon Connect.

  4. Configurez votre fournisseur d'identité pour les assertions SAML, la réponse d'authentification et l'état du relais. Les utilisateurs se connectent à votre fournisseur d'identité. En cas de réussite, ils sont redirigés vers votre instance Amazon Connect. Le rôle IAM permet de procéder à une fédération avec AWS, permettant ainsi d'accéder à Amazon Connect.

Sélection de l'authentification basée sur SAML 2.0 pendant la création de l'instance

Lorsque vous créez votre instance Amazon Connect, sélectionnez l'option d'authentification basée sur SAML 2.0 pour la gestion des identités. À la deuxième étape, lorsque vous créez l'administrateur pour l'instance, le nom d'utilisateur que vous spécifiez doit correspondre exactement à un nom d'utilisateur de votre annuaire réseau existant. Il n'existe aucune option permettant de spécifier un mot de passe pour l'administrateur, car les mots de passe sont gérés par le biais de votre annuaire existant. L'administrateur est créé dans Amazon Connect et se voit attribuer le profil de sécurité Admin.

Vous pouvez vous connecter à votre instance Amazon Connect via votre fournisseur d'identité, à l'aide du compte d'administrateur pour ajouter des utilisateurs supplémentaires.

Activation de la fédération SAML entre votre fournisseur d'identité et AWS

Pour activer l'authentification SAML pour Amazon Connect, vous devez créer un fournisseur d'identité dans la console IAM. Pour plus d'informations, consultez Activation de l'accès des utilisateurs fédérés SAML 2.0 à l'AWS Management Console.

Le processus de création d'un fournisseur d'identité pour AWS est identique à celui d'Amazon Connect. L'étape 6 du schéma ci-dessus montre que le client est envoyé à votre instance Amazon Connect et non à la AWS Management Console.

Étapes de l'activation de la fédération SAML avec AWS :

  1. Créez un fournisseur SAML dans AWS. Pour plus d'informations, consultez Création de fournisseurs d'identité SAML.

  2. Créez un rôle IAM pour la fédération SAML 2.0 avec la AWS Management Console. Créez un seul rôle pour la fédération (un seul rôle est nécessaire et utilisé pour la fédération). Le rôle IAM détermine les autorisations dont disposent les utilisateurs qui se connectent via votre fournisseur d'identité dans AWS. Dans ce cas, les autorisations concernent l'accès à Amazon Connect. Vous pouvez contrôler les autorisations sur les fonctionnalités d'Amazon Connect en utilisant des profils de sécurité dans Amazon Connect. Pour plus d'informations, consultez Création d'un rôle pour la fédération SAML 2.0 (console).

    À l'étape 5, sélectionnez Autoriser l'accès par programmation et via la console de gestion AWS. Créez la stratégie d'approbation décrite dans la rubrique dans la procédure Pour préparer la création d'un rôle pour la fédération SAML 2.0. Ensuite, créez une stratégie pour attribuer des autorisations à votre instance Amazon Connect. Les autorisations commencent à l'étape 9 de la procédure Pour créer un rôle pour la fédération basée sur SAML.

    Pour créer une stratégie pour l'attribution d'autorisations au rôle IAM pour la fédération SAML

    1. Sur la page Attacher une stratégie d'autorisations, choisissez Créer une stratégie.

    2. Sur la page Créer une politique, choisissez JSON.

    3. Copiez l'un des exemples de stratégies suivants et collez-le dans l'éditeur de stratégie JSON, en remplaçant le texte existant. Vous pouvez utiliser l'une ou l'autre stratégie pour activer la fédération SAML, ou bien les personnaliser selon vos besoins spécifiques.

      Utilisez cette stratégie pour activer la fédération pour tous les utilisateurs dans une instance Amazon Connect spécifique. Pour l'authentification SAML, remplacez la valeur de Resource par l'ARN de l'instance que vous avez créée :

      {
    "Version": "2012-10-17",
   "Statement": [
        {
            "Sid": "Statement1",
            "Effect": "Allow",
            "Action": "connect:GetFederationToken",
            "Resource": [
                "arn:aws:connect:us-east-1:361814831152:instance/2fb42df9-78a2-2e74-d572-c8af67ed289b/user/${aws:userid}"
            ]
        }
    ]
}

      Utilisez cette stratégie pour activer la fédération sur une instance Amazon Connect spécifique. Remplacez la valeur de connect:InstanceId par l'ID d'instance de votre instance.

      {
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "Statement2",
            "Effect": "Allow",
            "Action": "connect:GetFederationToken",
            "Resource": "*",
            "Condition": {
                "StringEquals": {
                    "connect:InstanceId": "2fb42df9-78a2-2e74-d572-c8af67ed289b"
                }
            }
        }
    ]
}

      Utilisez cette stratégie pour activer la fédération pour plusieurs instances. Notez les parenthèses autour des ID d'instance répertoriées.

      {
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "Statement2",
            "Effect": "Allow",
            "Action": "connect:GetFederationToken",
            "Resource": "*",
            "Condition": {
                "StringEquals": {
                    "connect:InstanceId": [
                    "2fb42df9-78a2-2e74-d572-c8af67ed289b", 
                    "1234567-78a2-2e74-d572-c8af67ed289b"]
                }
            }
        }
    ]
}

    4. Après avoir créé la stratégie, choisissez Next: Review (Suivant : Vérification). Ensuite, revenez à l'étape 10 de la procédure de création d'un rôle pour la fédération basée sur SAML dans la rubrique Création d'un rôle pour la fédération SAML 2.0 (console).

  3. Configurez votre réseau en tant que fournisseur SAML pour AWS. Pour plus d'informations, consultez Activation de l'accès des utilisateurs fédérés SAML 2.0 à l'AWS Management Console.

  4. Configurez des assertions SAML pour la réponse d'authentification. Pour plus d'informations, consultez Configuration des assertions SAML pour la réponse d'authentification.

  5. Pour Amazon Connect, laissez le champ URL de lancement de l'application vide.

  6. Remplacez l'URL de l'Application Consumer Service (ACS) dans votre fournisseur d'identité pour utiliser le point de terminaison régional qui coïncide avec la Région AWS de votre instance Amazon Connect. Pour de plus amples informations, veuillez consulter Configuration du fournisseur d'identité pour utiliser les points de terminaison SAML régionaux.

  7. Configurez l'état du relais de votre fournisseur d'identité pour qu'il pointe sur votre instance Amazon Connect. L'URL à utiliser pour l'état du relais est composée de la manière suivante :

    https://region-id.console.aws.amazon.com/connect/federate/instance-id

    Remplacez la variable region-id par le nom de la région dans laquelle vous avez créé votre instance Amazon Connect, par exemple us-east-1 pour la région USA Est (Virginie du Nord). Remplacez la variable instance-id par l'ID d'instance de votre instance.

    Pour une instance de GovCloud, l'URL est https://console.amazonaws-us-gov.com/:

    • https://console.amazonaws-us-gov.com/connect/federate/instance-id

    Note

    Vous pouvez trouver l'ID d'instance de votre instance en choisissant l'alias d'instance dans la console Amazon Connect. L'ID d'instance correspond à la série de lettres et de chiffres figurant après le « / » dans l'ARN de l'instance affiché sur la page Présentation. Par exemple, l'ID d'instance dans l'ARN suivant est 178c75e4-b3de-4839-a6aa-e321ab3f3770.

    arn:aws:connect:us-east-1:450725743157:instance/178c75e4-b3de-4839-a6aa-e321ab3f3770

Configuration du fournisseur d'identité pour utiliser les points de terminaison SAML régionaux

Pour garantir une disponibilité optimale, nous vous recommandons d'utiliser le point de terminaison SAML régional qui coïncide avec votre instance Amazon Connect au lieu du point de terminaison global par défaut.

Les étapes suivantes sont indépendantes de l'IdP ; elles fonctionnent pour n'importe quel IdP SAML (par exemple, Okta, Ping, OneLogin, Shibboleth, ADFS, AzureAD, etc.).

  1. Mettez à jour (ou remplacez) l'URL Assertion Consumer Service (ACS). Il y a deux manières de procéder :

    • Option 1 : téléchargez les métadonnées AWS SAML et mettez à jour l'attribut Location en fonction de la région de votre choix. Chargez cette nouvelle version des métadonnées AWS SAML dans votre IdP.

      Voici un exemple de version révisée :

      <AssertionConsumerService index="1" isDefault="true" Binding="urn:oasis:names:tc:SAML:2.0:bindings:HTTP-POST" Location="https://region-id.signin.aws.amazon.com/saml"/>

    • Option 2 : remplacez l'URL AssertionConsumerService (ACS) dans votre IdP. Pour les IdP tels qu'Okta qui proposent des intégrations AWS prédéfinies, vous pouvez remplacer l'URL ACS dans la console d'administration AWS. Utilisez le même format pour remplacer la région par celle de votre choix (par exemple, https ://region-id.signin.aws.amazon.com/saml).

  2. Mettez à jour la stratégie d'approbation des rôles associée :

    1. cette étape doit être effectuée pour chaque rôle de chaque compte qui fait confiance au fournisseur d'identité donné.

    2. Modifiez la relation de confiance et remplacez la condition SAML:aud singulière par une condition à valeurs multiples. Par exemple :

      • Par défaut : « SAML:aud » : « https://signin.aws.amazon.com/saml ».

      • Avec des modifications : « SAML:aud » : [ « https://signin.aws.amazon.com/saml », « https://region-id.signin.aws.amazon.com/saml » ]

    3. Apportez ces modifications aux relations de confiance à l'avance. Elles ne doivent pas être effectuées dans le cadre d'un plan lors d'un incident.

  3. Configurez un état de relais pour la page de console spécifique à la région.

    1. Si vous n'effectuez pas cette dernière étape, rien ne garantit que le processus de connexion SAML spécifique à la région redirigera l'utilisateur vers la page de connexion de la console au sein de la même région. Cette étape est très variable selon le fournisseur d'identité, mais il existe des blogs (par exemple, Comment utiliser SAML pour diriger automatiquement les utilisateurs fédérés vers une page spécifique de la console de gestion AWS) qui présentent l'utilisation de l'état relais pour créer des liens profonds.

    2. En utilisant la technique/les paramètres appropriés pour votre IdP, définissez l'état du relais sur le point de terminaison de la console qui correspond (par exemple, https://region-id.console.aws.amazon.com/connect/federate/instance-id).

Note

  • Assurez-vous que STS n'est pas désactivé dans vos régions supplémentaires.

  • Assurez-vous qu'aucun SCP ne bloque les actions STS dans vos régions supplémentaires.

Utilisation d'une destination dans votre URL d'état de relais

Lorsque vous configurez l'état de relais de votre fournisseur d'identité, vous pouvez utiliser l'argument de destination dans l'URL pour que les utilisateurs accèdent à une page spécifique de votre instance Amazon Connect. Par exemple, utilisez un lien pour ouvrir directement le panneau de configuration des contacts lorsqu'un agent se connecte. L'utilisateur doit se voir attribuer un profil de sécurité qui accorde l'accès à cette page de l'instance. Par exemple, pour envoyer des agents au panneau de configuration des contacts, utilisez une URL semblable à celle suit pour l'état de relais. Vous devez utiliser l'encodage par URL comme valeur de destination utilisée dans l'URL :

  • https://us-east-1.console.aws.amazon.com/connect/federate/instance-id?destination=%2Fccp-v2%2Fchat&new_domain=true

Voici un autre exemple d'URL valide :

  • https://us-east-1.console.aws.amazon.com/connect/federate/instance-id?destination=%2Fagent-app-v2

Pour une instance de GovCloud, l'URL est https://console.amazonaws-us-gov.com/. L'adresse serait donc la suivante :

  • https://console.amazonaws-us-gov.com/connect/federate/instance-id?destination=%2Fccp-v2%2Fchat&new_domain=true

Si vous souhaitez configurer l'argument destination pour une URL extérieure à l'instance Amazon Connect, telle que votre propre site web personnalisé, ajoutez d'abord ce domaine externe aux origines approuvées du compte. Par exemple, effectuez les étapes dans l'ordre suivant :

  1. Dans la console Amazon Connect, ajoutez https://your-custom-website.com à vos origines approuvées. Pour obtenir des instructions, consultez Utilisation d’une liste d’autorisation pour les applications intégrées.

  2. Dans votre fournisseur d'identité, configurez votre état de relais sur https://your-region.console.aws.amazon.com/connect/federate/instance-id?destination=https%3A%2F%2Fyour-custom-website.com

  3. Lorsque vos agents se connectent, ils sont directement redirigés vers https://your-custom-website.com.

Ajouter des utilisateurs à votre instance Amazon Connect

Ajoutez des utilisateurs à votre instance Amazon Connect, en vous assurant que les noms d'utilisateur correspondent exactement aux noms d'utilisateur de votre annuaire existant. Si les noms ne sont pas identiques, les utilisateurs pourront se connecter au fournisseur d'identité, mais pas à Amazon Connect car il n'existe aucun compte utilisateur associé à ce nom d'utilisateur dans Amazon Connect. Vous pouvez ajouter des utilisateurs manuellement sur la page Gestion des utilisateurs, ou vous pouvez charger automatiquement plusieurs utilisateurs à l'aide du modèle CSV. Une fois que vous avez ajouté les utilisateurs à Amazon Connect, vous pouvez leur attribuer des profils de sécurité et définir d'autres paramètres d'utilisateur.

Lorsqu'un utilisateur tente de se connecter au fournisseur d'identité, mais qu'il n'existe aucun compte associé à ce nom d'utilisateur dans Amazon Connect, le message Accès refusé s'affiche.

Message d'erreur affiché lorsqu'un utilisateur tente de se connecter à Amazon Connect via son fournisseur d'identité alors que le nom d'utilisateur n'existe pas dans Amazon Connect.
Chargement automatique de plusieurs utilisateurs à l'aide du modèle

Vous pouvez importer vos utilisateurs en les ajoutant à un fichier CSV. Ensuite, vous pouvez importer le fichier CSV dans votre instance qui ajoute tous les utilisateurs au fichier. Si vous ajoutez des utilisateurs en chargeant un fichier CSV, veillez à utiliser le modèle pour les utilisateurs SAML. Vous trouverez cette information sur la page Gestion des utilisateurs dans Amazon Connect. Un autre modèle est utilisé pour l'authentification SAML. Si vous avez déjà téléchargé le modèle, vous devez télécharger la version disponible sur la page Gestion des utilisateurs après avoir configuré votre instance avec l'authentification SAML. Le modèle ne doit pas inclure de colonne pour l'e-mail ou le mot de passe.

Connexion des utilisateurs SAML et durée des sessions

Lorsque vous utilisez la fédération SAML dans Amazon Connect, les utilisateurs doivent se connecter à Amazon Connect via votre fournisseur d'identité (IdP). Votre fournisseur d'identité est configuré pour s'intégrer à AWS. Après l'authentification, un jeton pour sa session est créé. L'utilisateur est ensuite redirigé vers votre instance Amazon Connect et automatiquement connecté à Amazon Connect grâce à l'authentification unique.

Les bonnes pratiques consistent à définir également un processus pour déconnecter vos utilisateurs Amazon Connect lorsqu'ils ont fini d'utiliser Amazon Connect. Ils doivent se déconnecter à la fois d'Amazon Connect et de votre fournisseur d'identité. Si ce n'est pas le cas, la personne suivante qui se connecte au même ordinateur peut se connecter à Amazon Connect sans mot de passe puisque le jeton des sessions précédentes est toujours valide pour la durée de la session. Il reste valide pendant 12 heures.

À propos de l'expiration de session

Les sessions Amazon Connect expirent 12 heures après la connexion d'un utilisateur. Passé ce délai de 12 heures, les utilisateurs sont automatiquement déconnectés, même en cours d'appel. Si vos agents restent connectés pendant plus de 12 heures, ils doivent actualiser le jeton de session avant qu'il n'expire. Pour créer une nouvelle session, les agents doivent se déconnecter d'Amazon Connect et de votre fournisseur d'identité, puis se reconnecter. Ceci permet de réinitialiser le minuteur de session défini sur le jeton afin que vos agents ne soient pas déconnectés au cours d'un appel avec un client. Lorsqu'une session expire alors qu'un utilisateur est connecté, le message suivant s'affiche. Pour pouvoir utiliser de nouveau Amazon Connect, l'utilisateur doit se connecter à votre fournisseur d'identité.

Message d'erreur affiché lors de l'expiration de la session d'un utilisateur avec SAML.
Note

Si le message Session expirée s’affiche lorsque vous vous connectez, il vous suffit probablement d’actualiser le jeton de session. Accédez à votre fournisseur d’identité et connectez-vous. Actualisez la page Amazon Connect. Si ce message persiste, contactez votre équipe informatique.