Intégrez votre fournisseur d'identité (IdP) à un point de terminaison de connexion Amazon Connect Global Resiliency SAML - Amazon Connect
Avant de commencerPoints importants à connaîtreComment intégrer votre fournisseur d'identité

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Intégrez votre fournisseur d'identité (IdP) à un point de terminaison de connexion Amazon Connect Global Resiliency SAML

Pour permettre à vos agents de se connecter une seule fois et d'être connectés aux deux AWS régions afin de traiter les contacts de la région active actuelle, vous devez configurer IAM les paramètres pour utiliser le point de SAML terminaison de connexion global.

Avant de commencer

Vous devez autoriser SAML votre instance Amazon Connect à utiliser Amazon Connect Global Resiliency. Pour plus d'informations sur la mise en route de IAM la fédération, voir Permettre aux utilisateurs fédérés SAML 2.0 d'accéder à la console AWS de gestion.

Points importants à connaître

  • Pour exécuter les étapes décrites dans cette rubrique, vous avez besoin de votre ID d'instance. Pour savoir comment la trouver, consultez Trouvez l'ID de votre instance Amazon Connect/ ARN.

  • Vous devez également connaître la région source de vos instances Amazon Connect. Pour savoir comment la trouver, consultez Comment trouver la région source de vos instances Amazon Connect.

  • Si vous intégrez votre application Connect dans un iframe, vous devez vous assurer que votre domaine figure dans la liste des origines approuvées dans votre instance source et dans votre instance de réplique afin que la connexion globale fonctionne.

    Pour configurer Approved Origins au niveau de l'instance, suivez les étapes décrites dansUtilisation d’une liste d’autorisation pour les applications intégrées.

  • Les agents doivent déjà être créés à la fois dans vos instances Amazon Connect source et de réplica, et porter le même nom d'utilisateur que le nom de la session de rôle indiqué par votre fournisseur d'identité (IdP). Dans le cas contraire, vous obtenez une erreur UserNotOnboardedException et vous risquez de perdre les capacités de redondance des agents entre vos instances.

  • Vous devez associer des agents à un groupe de répartition du trafic avant que les agents tentent de se connecter. Dans le cas contraire, la connexion de l'agent échoue avec une erreur ResourceNotFoundException. Pour en savoir plus sur la façon de configurer vos groupes de répartition du trafic et de leur associer des agents, consultez Associez des agents à des instances dans plusieurs AWS régions.

  • Lorsque vos agents se fédérent dans Amazon Connect à l'aide de la nouvelle SAML connexionURL, Amazon Connect Global Resiliency tente toujours de connecter l'agent à la fois à vos régions/instances source et à vos répliques, quelle que soit la configuration de votre SignInConfig groupe de distribution du trafic. Vous pouvez le vérifier en consultant CloudTrail les journaux.

  • La SignInConfig distribution dans votre groupe de distribution de trafic par défaut détermine uniquement celui qui Région AWS est utilisé pour faciliter la connexion. Quelle que soit la configuration de votre répartition SignInConfig, Amazon Connect tente toujours de connecter les agents aux deux régions de votre instance Amazon Connect.

  • Après avoir répliqué une instance Amazon Connect, un seul point de SAML connexion est généré pour vos instances. Ce point de terminaison contient toujours la source Région AWS dans leURL.

  • Vous n'avez pas besoin de configurer un état de relais lorsque vous utilisez la SAML connexion personnalisée URL avec Amazon Connect Global Resiliency.

Comment intégrer votre fournisseur d'identité

  1. Lorsque vous créez une réplique de votre instance Amazon Connect à l'aide de ReplicateInstanceAPI, une SAML connexion personnalisée URL est générée pour vos instances Amazon Connect. Le URL est généré au format suivant :

    https://instance-id.source-region.sign-in.connect.aws/saml

    1. instance-id est l'ID d'instance pour l'une ou l'autre des instances de votre groupe d'instances. L'ID d'instance est identique dans les régions source et de réplica.

    2. source-region correspond à la AWS région source dans laquelle le ReplicateInstanceAPIa été appelé.

  2. Ajoutez la politique de confiance suivante à votre rôle IAM de fédération. Utilisez le URL pour le point de SAML terminaison de connexion global, comme indiqué dans l'exemple suivant.

    {
   "Version":"2012-10-17",
   "Statement":[
      {
         "Effect":"Allow",
         "Principal":{
            "Federated":[
               "saml-provider-arn"
            ]
         },
         "Action":"sts:AssumeRoleWithSAML",
         "Condition":{
            "StringLike":{
               "SAML:aud":[
                  "https://instance-id.source-region.sign-in.connect.aws/saml*"
               ]
            }
         }
      }
   ]
}
    Note

    saml-provider-arnest la ressource du fournisseur d'identité créée dansIAM.

  3. Accordez l'accès connect:GetFederationToken InstanceId à votre propre rôle IAM de fédération. Par exemple :

    {
"Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "GetFederationTokenAccess",
            "Effect": "Allow",
            "Action": "connect:GetFederationToken",
            "Resource": "*",
            "Condition": {
                "StringEquals": {
                    "connect:InstanceId": "your-instance-id"
                }
            }
        }
    ]
}

  4. Ajoutez un mappage d'attributs à votre application de fournisseur d'identité à l'aide des chaînes d'attributs et de valeurs suivantes.

    Attribut Valeur

    https://aws.amazon.com/SAML/Attributs/Rôle

    saml-role-arn,identity-provider-arn

  5. Configurez l'Assertion Consumer Service (ACS) URL de votre fournisseur d'identité pour qu'il pointe vers votre SAML connexion URL personnalisée. Utilisez l'exemple suivant pour ACS URL :

    https://instance-id.source-region.sign-in.connect.aws/saml?&instanceId=instance-id&accountId=your AWS account ID&role=saml-federation-role&idp=your SAML IDP&destination=optional-destination

  6. Définissez les champs suivants dans les URL paramètres :

    • instanceId : l'identifiant de votre instance Amazon Connect. Pour savoir comment trouver votre ID d'instance, consultez Trouvez l'ID de votre instance Amazon Connect/ ARN.

    • accountId: ID de AWS compte sur lequel se trouvent les instances Amazon Connect.

    • role: défini sur le nom ou le nom de ressource Amazon (ARN) du SAML rôle utilisé pour la fédération Amazon Connect.

    • idp: défini sur le nom ou le nom de ressource Amazon (ARN) du fournisseur SAML d'identité dansIAM.

    • destination : le chemin facultatif où les agents arriveront dans l'instance après s'être connectés (par exemple : /agent-app-v2).