Sélectionner vos préférences de cookies

Nous utilisons des cookies essentiels et des outils similaires qui sont nécessaires au fonctionnement de notre site et à la fourniture de nos services. Nous utilisons des cookies de performance pour collecter des statistiques anonymes afin de comprendre comment les clients utilisent notre site et d’apporter des améliorations. Les cookies essentiels ne peuvent pas être désactivés, mais vous pouvez cliquer sur « Personnaliser » ou « Refuser » pour refuser les cookies de performance.

Si vous êtes d’accord, AWS et les tiers approuvés utiliseront également des cookies pour fournir des fonctionnalités utiles au site, mémoriser vos préférences et afficher du contenu pertinent, y compris des publicités pertinentes. Pour accepter ou refuser tous les cookies non essentiels, cliquez sur « Accepter » ou « Refuser ». Pour effectuer des choix plus détaillés, cliquez sur « Personnaliser ».

Préférences
Contactez-nous
Commentaire
AWS Documentation
Créer un compte AWS
Intégrez votre fournisseur d’identité (IdP) à un point de terminaison de connexion SAML Amazon Connect Global Resiliency - Amazon Connect
Avant de commencerPoints importants à connaîtreComment intégrer votre fournisseur d'identité

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Intégrez votre fournisseur d’identité (IdP) à un point de terminaison de connexion SAML Amazon Connect Global Resiliency

PDFRSS

Pour permettre à vos agents de se connecter une seule fois et d'être connectés aux deux AWS régions afin de traiter les contacts de la région active actuelle, vous devez configurer les paramètres IAM pour utiliser le point de terminaison SAML de connexion globale.

Avant de commencer

Vous devez activer le protocole SAML pour que votre instance Amazon Connect puisse utiliser Amazon Connect Global Resiliency. Pour plus d'informations sur le démarrage de la fédération IAM, consultez Activation de l'accès des utilisateurs fédérés SAML 2.0 à la Console de gestion AWS.

Points importants à connaître

  • Pour exécuter les étapes décrites dans cette rubrique, vous avez besoin de votre ID d'instance. Pour savoir comment la trouver, consultez Trouvez l'ID ou l'ARN de votre instance Amazon Connect.

  • Vous devez également connaître la région source de vos instances Amazon Connect. Pour savoir comment la trouver, consultez Comment trouver la région source de vos instances Amazon Connect.

  • Si vous intégrez votre application Connect dans un iframe, vous devez vous assurer que votre domaine figure dans la liste des origines approuvées à la fois dans votre instance source et dans votre instance de réplique afin que la connexion globale fonctionne.

    Pour configurer Approved Origins au niveau de l'instance, suivez les étapes décrites dansUtiliser une liste d'autorisation pour les applications intégrées dans Amazon Connect.

  • Les agents doivent déjà être créés à la fois dans vos instances Amazon Connect source et de réplica, et porter le même nom d'utilisateur que le nom de la session de rôle indiqué par votre fournisseur d'identité (IdP). Dans le cas contraire, vous obtenez une erreur UserNotOnboardedException et vous risquez de perdre les capacités de redondance des agents entre vos instances.

  • Vous devez associer des agents à un groupe de répartition du trafic avant que les agents tentent de se connecter. Dans le cas contraire, la connexion de l'agent échoue avec une erreur ResourceNotFoundException. Pour en savoir plus sur la façon de configurer vos groupes de répartition du trafic et de leur associer des agents, consultez Associez des agents à des instances Amazon Connect dans plusieurs AWS régions.

  • Lorsque vos agents se fédèrent dans Amazon Connect à l'aide de la nouvelle URL de connexion SAML, Amazon Connect Global Resiliency tente toujours de connecter l'agent à la fois à vos régions/instances source et de réplica, quelle que soit la méthode de configuration de SignInConfig dans votre groupe de répartition du trafic. Vous pouvez le vérifier en consultant CloudTrail les journaux.

  • La SignInConfig distribution dans votre groupe de distribution de trafic par défaut détermine uniquement celui qui Région AWS est utilisé pour faciliter la connexion. Quelle que soit la configuration de votre répartition SignInConfig, Amazon Connect tente toujours de connecter les agents aux deux régions de votre instance Amazon Connect.

  • Après la réplication d'une instance Amazon Connect, un seul point de terminaison de connexion SAML est généré pour vos instances. Ce point de terminaison contient toujours la source Région AWS dans l'URL.

  • Il n'est pas nécessaire de configurer un état de relais lorsque vous utilisez l'URL de connexion SAML personnalisée avec Amazon Connect Global Resiliency.

Comment intégrer votre fournisseur d'identité

  1. Lorsque vous créez une réplique de votre instance Amazon Connect à l'aide de l'ReplicateInstanceAPI, une URL de connexion SAML personnalisée est générée pour vos instances Amazon Connect. L'URL est générée au format suivant :

    https://instance-id.source-region.sign-in.connect.aws/saml

    1. instance-idest l'ID d'instance pour l'une ou l'autre des instances de votre groupe d'instances. L'ID d'instance est identique dans les régions source et de réplica.

    2. source-regioncorrespond à la AWS région source dans laquelle l'ReplicateInstanceAPI a été appelée.

  2. Ajoutez la stratégie d'approbation suivante à votre rôle de fédération IAM. Utilisez l'URL du point de terminaison SAML de connexion globale, comme illustré dans l'exemple suivant.

    {
   "Version":"2012-10-17",
   "Statement":[
      {
         "Effect":"Allow",
         "Principal":{
            "Federated":[
               "saml-provider-arn"
            ]
         },
         "Action":"sts:AssumeRoleWithSAML",
         "Condition":{
            "StringLike":{
               "SAML:aud":[
                  "https://instance-id.source-region.sign-in.connect.aws/saml*"
               ]
            }
         }
      }
   ]
}
    Note

    saml-provider-arn est la ressource du fournisseur d'identité créée dans IAM.

  3. Accordez l'accès à connect:GetFederationToken pour votre InstanceId sur votre rôle de fédération IAM. Par exemple :

    {
"Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "GetFederationTokenAccess",
            "Effect": "Allow",
            "Action": "connect:GetFederationToken",
            "Resource": "*",
            "Condition": {
                "StringEquals": {
                    "connect:InstanceId": "your-instance-id"
                }
            }
        }
    ]
}

  4. Ajoutez un mappage d'attributs à votre application de fournisseur d'identité à l'aide des chaînes d'attributs et de valeurs suivantes.

    Attribut Valeur

    https://aws.amazon.com/SAML/Attributs/Rôle

    saml-role-arn,identity-provider-arn

  5. Configurez l'URL Assertion Consumer Service (ACS) de votre fournisseur d'identité pour qu'elle pointe vers votre URL de connexion SAML personnalisée. Utilisez l'exemple suivant pour l'URL ACS :

    https://instance-id.source-region.sign-in.connect.aws/saml?&instanceId=instance-id&accountId=your AWS account ID&role=saml-federation-role&idp=your SAML IDP&destination=optional-destination

  6. Définissez les champs suivants dans les paramètres d'URL :

    • instanceId : l'identifiant de votre instance Amazon Connect. Pour savoir comment trouver votre ID d'instance, consultez Trouvez l'ID ou l'ARN de votre instance Amazon Connect.

    • accountId: ID de AWS compte sur lequel se trouvent les instances Amazon Connect.

    • role : le nom ou l'Amazon Resource Name (ARN) du rôle SAML utilisé pour la fédération Amazon Connect.

    • idp : le nom ou l'Amazon Resource Name (ARN) du fournisseur d'identité SAML dans IAM.

    • destination : le chemin facultatif où les agents arriveront dans l'instance après s'être connectés (par exemple : /agent-app-v2).

Avez-vous besoin d’aide ?

ConfidentialitéConditions d'utilisation du sitePréférences de cookies
© 2025, Amazon Web Services, Inc. ou ses affiliés. Tous droits réservés.