Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.
Konfigurasikan SAML dengan IAM untuk Amazon Connect
Amazon Connect mendukung federasi identitas dengan mengonfigurasi Security Assertion Markup Language (SAML) 2.0 AWS IAM untuk mengaktifkan single sign-on (SSO) berbasis web dari organisasi Anda ke instans Amazon Connect. Hal ini memungkinkan pengguna Anda untuk masuk ke portal di organisasi Anda yang dihosting oleh penyedia identitas kompatibel SAML 2.0 (iDP) dan masuk ke instans Amazon Connect dengan satu pengalaman masuk tanpa harus memberikan kredensil terpisah untuk Amazon Connect.
Catatan penting
Sebelum Anda mulai, perhatikan hal berikut:
-
Petunjuk ini tidak berlaku untuk penerapan Amazon Connect Global Resiliency. Untuk informasi yang berlaku untuk Ketahanan Global Amazon Connect, lihat. Integrasikan penyedia identitas (IDP) Anda dengan titik akhir tanda Amazon Connect Global Resiliency SAML
-
Nama pengguna di Amazon Connect harus cocok dengan RoleSessionName SAML atribut yang ditentukan dalam SAML respons yang ditampilkan oleh penyedia identitas.
-
Amazon Connect tidak mendukung federasi terbalik. Artinya, Anda tidak bisa login langsung ke Amazon Connect. Jika Anda mencoba, Anda akan mendapatkan pesan Session Expired. Otentikasi harus dilakukan dari Penyedia Identitas (IDP) dan bukan Penyedia Layanan (SP) ()Amazon Connect.
-
Sebagian besar penyedia identitas secara default menggunakan titik akhir AWS masuk global sebagai Application Consumer Service (ACS), yang di-host di AS Timur (Virginia Utara). Sebaiknya ganti nilai ini untuk menggunakan titik akhir regional yang cocok dengan Wilayah AWS tempat instance Anda dibuat.
-
Semua Amazon Connect nama pengguna peka huruf besar/kecil, bahkan saat menggunakanSAML.
-
Jika Anda memiliki instans Amazon Connect lama yang telah disiapkan SAML dan Anda perlu memperbarui domain Amazon Connect, lihatPengaturan pribadi.
Ikhtisar penggunaan SAML dengan Amazon Connect
Diagram berikut menunjukkan urutan langkah-langkah yang dilakukan untuk SAML permintaan untuk mengautentikasi pengguna dan federasi dengan Amazon Connect. Ini bukan diagram alir untuk model ancaman.
SAMLpermintaan melalui langkah-langkah berikut:
-
Pengguna menelusuri portal internal yang menyertakan tautan untuk masuk ke Amazon Connect. Tautan didefinisikan dalam penyedia identitas.
-
Layanan federasi meminta otentikasi dari toko identitas organisasi.
-
Toko identitas mengautentikasi pengguna dan mengembalikan respons otentikasi ke layanan federasi.
-
Ketika otentikasi berhasil, layanan federasi memposting SAML pernyataan ke browser pengguna.
-
Browser pengguna memposting SAML pernyataan ke SAML titik akhir AWS masuk (https://signin.aws.amazon.com/saml). AWS login menerima SAML permintaan, memproses permintaan, mengautentikasi pengguna, dan memulai pengalihan browser ke titik akhir Amazon Connect dengan token otentikasi.
-
Menggunakan token otentikasi dari AWS, Amazon Connect mengotorisasi pengguna dan membuka Amazon Connect di browser mereka.
Mengaktifkan otentikasi SAML berbasis untuk Amazon Connect
Langkah-langkah berikut diperlukan untuk mengaktifkan dan mengonfigurasi SAML autentikasi untuk digunakan dengan instans Amazon Connect Anda:
-
Buat instans Amazon Connect dan pilih autentikasi SAML berbasis 2.0 untuk manajemen identitas.
-
Aktifkan SAML federasi antara penyedia identitas Anda dan AWS.
-
Tambahkan pengguna Amazon Connect ke instans Amazon Connect Anda. Masuk ke instans Anda menggunakan akun administrator yang dibuat saat Anda membuat instance. Buka halaman Manajemen Pengguna dan tambahkan pengguna.
penting
-
Untuk daftar karakter yang diizinkan dalam nama pengguna, lihat dokumentasi untuk
Username
properti dalam CreateUsertindakan. -
Karena asosiasi pengguna Amazon Connect dan AWS IAM Peran, nama pengguna harus sama persis RoleSessionName seperti yang dikonfigurasi dengan integrasi AWS IAM federasi Anda, yang biasanya berakhir menjadi nama pengguna di direktori Anda. Format nama pengguna harus sesuai dengan persimpangan kondisi format pengguna RoleSessionNamedan Amazon Connect, seperti yang ditunjukkan pada diagram berikut:
-
-
Konfigurasikan penyedia identitas Anda untuk SAML pernyataan, respons otentikasi, dan status relai. Pengguna masuk ke penyedia identitas Anda. Jika berhasil, mereka dialihkan ke instans Amazon Connect Anda. IAMPeran ini digunakan untuk berfederasi dengan AWS, yang memungkinkan akses ke Amazon Connect.
Pilih otentikasi SAML berbasis 2.0 selama pembuatan instans
Saat membuat instans Amazon Connect, pilih opsi autentikasi SAML berbasis 2.0 untuk manajemen identitas. Pada langkah kedua, saat Anda membuat administrator untuk instance, nama pengguna yang Anda tentukan harus sama persis dengan nama pengguna di direktori jaringan yang ada. Tidak ada opsi untuk menentukan kata sandi untuk administrator karena kata sandi dikelola melalui direktori Anda yang ada. Administrator dibuat di Amazon Connect dan menetapkan profil keamanan Admin.
Anda dapat masuk ke instans Amazon Connect, melalui IDP Anda, menggunakan akun administrator untuk menambahkan pengguna tambahan.
Aktifkan SAML federasi antara penyedia identitas Anda dan AWS
Untuk mengaktifkan autentikasi SAML berbasis Amazon Connect, Anda harus membuat penyedia identitas di IAM konsol. Untuk informasi selengkapnya, lihat Mengaktifkan Pengguna Federasi SAML 2.0 untuk Mengakses Konsol AWS Manajemen.
Proses untuk membuat penyedia identitas AWS adalah sama untuk Amazon Connect. Langkah 6 pada diagram alir di atas menunjukkan klien dikirim ke instans Amazon Connect Anda, bukan AWS Management Console.
Langkah-langkah yang diperlukan untuk mengaktifkan SAML federasi dengan AWS meliputi:
-
Buat SAML penyedia di AWS. Untuk informasi selengkapnya, lihat Membuat Penyedia SAML Identitas.
-
Buat IAM peran untuk federasi SAML 2.0 dengan AWS Management Console. Buat hanya satu peran untuk federasi (hanya satu peran yang diperlukan dan digunakan untuk federasi). IAMPeran menentukan izin yang dimiliki pengguna yang masuk melalui penyedia identitas Anda. AWS Dalam hal ini, izinnya adalah untuk mengakses Amazon Connect. Anda dapat mengontrol izin ke fitur Amazon Connect dengan menggunakan profil keamanan di Amazon Connect. Untuk informasi selengkapnya, lihat Membuat Peran untuk Federasi SAML 2.0 (Konsol).
Pada langkah 5, pilih Izinkan akses Konsol Terprogram dan AWS Manajemen. Buat kebijakan kepercayaan yang dijelaskan dalam topik dalam prosedur Untuk mempersiapkan diri untuk membuat peran untuk federasi SAML 2.0. Kemudian buat kebijakan untuk menetapkan izin ke instans Amazon Connect Anda. Izin dimulai pada langkah 9 dari Untuk membuat peran untuk prosedur federasi SAML berbasis.
Untuk membuat kebijakan untuk menetapkan izin untuk IAM peran federasi SAML
-
Pada halaman Lampirkan kebijakan izin, pilih Buat kebijakan.
-
Pada halaman Buat kebijakan, pilih JSON.
-
Salin salah satu contoh kebijakan berikut dan tempelkan ke editor JSON kebijakan, menggantikan teks yang ada. Anda dapat menggunakan salah satu kebijakan untuk mengaktifkan SAML federasi, atau menyesuaikannya untuk kebutuhan spesifik Anda.
Gunakan kebijakan ini untuk mengaktifkan federasi bagi semua pengguna dalam instans Amazon Connect tertentu. Untuk autentikasi SAML berbasis, ganti nilai
Resource
ARN untuk ke instance yang Anda buat:{ "Version": "2012-10-17", "Statement": [ { "Sid": "Statement1", "Effect": "Allow", "Action": "connect:GetFederationToken", "Resource": [ "arn:aws:connect:us-east-1:361814831152:instance/2fb42df9-78a2-2e74-d572-c8af67ed289b/user/${aws:userid}" ] } ] }
Gunakan kebijakan ini untuk mengaktifkan federasi ke instans Amazon Connect tertentu. Ganti nilai untuk ID instance untuk instance Anda.
connect:InstanceId
{ "Version": "2012-10-17", "Statement": [ { "Sid": "Statement2", "Effect": "Allow", "Action": "connect:GetFederationToken", "Resource": "*", "Condition": { "StringEquals": { "connect:InstanceId": "2fb42df9-78a2-2e74-d572-c8af67ed289b" } } } ] }
Gunakan kebijakan ini untuk mengaktifkan federasi untuk beberapa instance. Perhatikan tanda kurung di sekitar instance IDs yang terdaftar.
{ "Version": "2012-10-17", "Statement": [ { "Sid": "Statement2", "Effect": "Allow", "Action": "connect:GetFederationToken", "Resource": "*", "Condition": { "StringEquals": { "connect:InstanceId": [ "2fb42df9-78a2-2e74-d572-c8af67ed289b", "1234567-78a2-2e74-d572-c8af67ed289b"] } } } ] }
-
Setelah membuat kebijakan, pilih Berikutnya: Tinjau. Kemudian kembali ke langkah 10 di To create a role for SAML based federation procedure dalam topik Creating a Role for SAML 2.0 Federation (Console).
-
-
Konfigurasikan jaringan Anda sebagai SAML penyedia untuk AWS. Untuk informasi selengkapnya, lihat Mengaktifkan Pengguna Federasi SAML 2.0 untuk Mengakses Konsol AWS Manajemen.
-
Konfigurasikan SAML Pernyataan untuk Respons Otentikasi. Untuk informasi selengkapnya, Mengkonfigurasi SAML Pernyataan untuk Respons Otentikasi.
-
Untuk Amazon Connect, biarkan Aplikasi Mulai URL kosong.
-
Ganti Application Consumer Service (ACS) URL di penyedia identitas Anda untuk menggunakan titik akhir regional yang bertepatan dengan instans Amazon Connect Anda. Wilayah AWS Untuk informasi selengkapnya, lihat Konfigurasikan penyedia identitas untuk menggunakan titik SAML akhir regional.
-
Konfigurasikan status relai penyedia identitas Anda untuk menunjuk ke instans Amazon Connect Anda. Yang digunakan URL untuk keadaan relai terdiri sebagai berikut:
https://
region-id
.console.aws.amazon.com/connect/federate/instance-id
Ganti
region-id
dengan nama Wilayah tempat Anda membuat instans Amazon Connect, seperti us-east-1 untuk US East (Virginia N.). Gantiinstance-id
dengan ID instance untuk instance Anda.Sebagai GovCloud contoh, URL adalah https://console.amazonaws-us-gov.com/:
-
https://console.amazonaws-us-gov.com/connect/federasi/instance-id
catatan
Anda dapat menemukan ID instans untuk instans Anda dengan memilih alias instance di konsol Amazon Connect. ID instance adalah kumpulan angka dan huruf setelah '/instance' di Instance yang ARN ditampilkan di halaman Ikhtisar. Misalnya, ID instance dalam Instance ARN berikut adalah 178c75e4-b3de-4839-a6aa-e321ab3f3770.
arn:aws:hubungkan: us-timur- 1:450725743157: instance/178c75e4-b3de-4839-a6aa-e321ab3f3770
-
Konfigurasikan penyedia identitas untuk menggunakan titik SAML akhir regional
Untuk memberikan ketersediaan terbaik, sebaiknya gunakan SAML titik akhir regional yang bertepatan dengan instans Amazon Connect, bukan titik akhir global default.
Langkah-langkah berikut adalah iDP agnostik; mereka bekerja untuk IDP apa pun (misalnya, Okta, SAML Ping,, OneLogin Shibboleth,, AzuRead, dan banyak lagi). ADFS
-
Perbarui (atau ganti) Layanan Konsumen Pernyataan (). ACS URL Ada dua cara Anda dapat melakukan ini:
-
Opsi 1: Unduh AWS SAML metadata dan perbarui
Location
atribut ke Wilayah pilihan Anda. Muat versi AWS SAML metadata baru ini ke dalam IDP Anda.Berikut ini adalah contoh revisi:
<AssertionConsumerService index="1" isDefault="true" Binding="urn:oasis:names:tc:SAML:2.0:bindings:HTTP-POST" Location="https://
region-id
.signin.aws.amazon.com/saml"/> -
Opsi 2: Ganti AssertionConsumerService (ACS) URL di IDP Anda. Untuk IdPs seperti Okta yang menyediakan AWS integrasi pra-panggang, Anda dapat mengganti ACS URL di konsol admin. AWS Gunakan format yang sama untuk mengganti ke Wilayah pilihan Anda (misalnya, https://
region-id
.signin.aws.amazon.com/saml).
-
-
Perbarui kebijakan kepercayaan peran terkait:
-
Langkah ini perlu dilakukan untuk setiap peran di setiap akun yang mempercayai penyedia identitas yang diberikan.
-
Edit hubungan kepercayaan, dan ganti
SAML:aud
kondisi tunggal dengan kondisi multivalued. Sebagai contoh:-
Default: "
SAML:aud
“:" https://signin.aws.amazon.com /saml”. -
Dengan modifikasi: "
SAML:aud
“: ["https://signin.aws.amazon.com/saml", "https://region-id
.signin.aws.amazon.com/saml”]
-
-
Buat perubahan ini pada hubungan kepercayaan sebelumnya. Mereka tidak boleh dilakukan sebagai bagian dari rencana selama insiden.
-
-
Konfigurasikan status relai untuk halaman konsol khusus Wilayah.
-
Jika Anda tidak melakukan langkah terakhir ini, tidak ada jaminan bahwa proses SAML masuk khusus Wilayah akan meneruskan pengguna ke halaman masuk konsol dalam Wilayah yang sama. Langkah ini paling bervariasi per penyedia identitas, tetapi ada blog (misalnya, Cara Menggunakan untuk Mengarahkan Pengguna Federasi Secara Otomatis SAML ke Halaman Konsol AWS Manajemen Khusus
) yang menunjukkan penggunaan status relai untuk mencapai deep linking. -
Menggunakan teknik/parameter yang sesuai untuk IDP Anda, atur status relai ke titik akhir konsol yang cocok (misalnya, https://
region-id
.console.aws.amazon.com/connect/federate/instance-id
).
-
catatan
-
Pastikan bahwa tidak STS dinonaktifkan di Wilayah tambahan Anda.
-
Pastikan tidak SCPs ada STS tindakan yang mencegah di Wilayah tambahan Anda.
Gunakan tujuan dalam status relai Anda URL
Saat mengonfigurasi status relai untuk penyedia identitas, Anda dapat menggunakan argumen tujuan URL untuk menavigasi pengguna ke halaman tertentu di instans Amazon Connect. Misalnya, gunakan tautan untuk membuka CCP langsung saat agen masuk. Pengguna harus diberi profil keamanan yang memberikan akses ke halaman tersebut dalam instance. Misalnya, untuk mengirim agen keCCP, gunakan yang URL mirip dengan yang berikut ini untuk status relai. Anda harus menggunakan URLencoding
-
https://us-east-1.console.aws.amazon.com/connect/federate/instance-id?destination=%2Fccp-v2%2Fchat&new_domain=true
Contoh lain dari valid URL adalah:
-
https://us-east-1.console.aws.amazon.com/connect/federate/instance-id?destination=%2Fagent-app-v2
Sebagai GovCloud contoh, URL adalah https://console.amazonaws-us-gov.com/. Jadi alamatnya adalah:
-
https://console.amazonaws-us-gov.com/connect/federate/instance-id?destination=%2Fccp-v2%2Fchat&new_domain=true
Jika Anda ingin mengonfigurasi argumen tujuan ke URL bagian luar instans Amazon Connect, seperti situs web kustom Anda sendiri, pertama-tama tambahkan domain eksternal tersebut ke asal akun yang disetujui. Misalnya, lakukan langkah-langkah dalam urutan berikut:
-
Di konsol Amazon Connect tambahkan https://
your-custom-website
.com ke asal Anda yang disetujui. Untuk petunjuk, silakan lihat Menggunakan allowlist untuk aplikasi terintegrasi di Amazon Connect. -
Di penyedia identitas Anda, konfigurasikan status relai Anda ke
https://
your-region
.console.aws.amazon.com/connect/federate/instance-id?destination=https%3A%2F%2Fyour-custom-website.com
-
Ketika agen Anda masuk, mereka dibawa langsung ke https://
your-custom-website
.com.
Menambahkan pengguna ke instans Amazon Connect
Tambahkan pengguna ke instance connect Anda, pastikan nama pengguna sama persis dengan nama pengguna di direktori yang ada. Jika nama tidak cocok, pengguna dapat masuk ke penyedia identitas, tetapi tidak ke Amazon Connect karena tidak ada akun pengguna dengan nama pengguna tersebut di Amazon Connect. Anda dapat menambahkan pengguna secara manual di halaman Manajemen pengguna, atau Anda dapat mengunggah pengguna secara massal dengan CSV templat. Setelah menambahkan pengguna ke Amazon Connect, Anda dapat menetapkan profil keamanan dan pengaturan pengguna lainnya.
Saat pengguna masuk ke penyedia identitas, tetapi tidak ada akun dengan nama pengguna yang sama yang ditemukan di Amazon Connect, pesan Access ditolak berikut akan ditampilkan.
Upload massal pengguna dengan template
Anda dapat mengimpor pengguna Anda dengan menambahkannya ke CSV file. Anda kemudian dapat mengimpor CSV file ke instance Anda, yang menambahkan semua pengguna dalam file. Jika Anda menambahkan pengguna dengan mengunggah CSV file, pastikan Anda menggunakan template untuk SAML pengguna. Anda dapat menemukannya di halaman Manajemen pengguna di Amazon Connect. Template yang berbeda digunakan untuk otentikasi SAML berbasis. Jika sebelumnya Anda mengunduh templat, Anda harus mengunduh versi yang tersedia di halaman Manajemen pengguna setelah menyiapkan instance Anda dengan autentikasi SAML berbasis. Template tidak boleh menyertakan kolom untuk email atau kata sandi.
SAMLlogin pengguna dan durasi sesi
Saat Anda menggunakan SAML Amazon Connect, pengguna harus masuk ke Amazon Connect melalui penyedia identitas (iDP) Anda. IDP Anda dikonfigurasi untuk diintegrasikan dengan. AWS Setelah otentikasi, token untuk sesi mereka dibuat. Pengguna kemudian diarahkan ke instans Amazon Connect Anda dan secara otomatis masuk ke Amazon Connect menggunakan sistem masuk tunggal.
Sebagai praktik terbaik, Anda juga harus menentukan proses bagi pengguna Amazon Connect Anda untuk keluar ketika mereka selesai menggunakan Amazon Connect. Mereka harus keluar dari Amazon Connect dan penyedia identitas Anda. Jika tidak, orang berikutnya yang masuk ke komputer yang sama dapat masuk ke Amazon Connect tanpa kata sandi karena token untuk sesi sebelumnya masih berlaku selama sesi berlangsung. Ini berlaku selama 12 jam.
Tentang kedaluwarsa sesi
Sesi Amazon Connect kedaluwarsa 12 jam setelah pengguna masuk. Setelah 12 jam, pengguna secara otomatis keluar, bahkan jika mereka sedang melakukan panggilan. Jika agen Anda tetap login selama lebih dari 12 jam, mereka perlu menyegarkan token sesi sebelum kedaluwarsa. Untuk membuat sesi baru, agen harus keluar dari Amazon Connect dan IDP Anda dan kemudian masuk lagi. Ini mengatur ulang timer sesi yang disetel pada token sehingga agen tidak keluar selama kontak aktif dengan pelanggan. Ketika sesi berakhir saat pengguna masuk, pesan berikut akan ditampilkan. Untuk menggunakan Amazon Connect lagi, pengguna harus masuk ke penyedia identitas Anda.
catatan
Jika Anda melihat pesan kedaluwarsa Sesi saat masuk, Anda mungkin hanya perlu menyegarkan token sesi. Pergi ke penyedia identitas Anda dan masuk. Segarkan halaman Amazon Connect. Jika Anda masih mendapatkan pesan ini, hubungi tim TI Anda.