Configura SAML con IAM per Amazon Connect - Amazon Connect
Note importantiPanoramica sull'utilizzo SAML con Amazon ConnectAbilitazione dell'autenticazione SAML basata su Amazon ConnectSeleziona l'autenticazione SAML basata sulla versione 2.0 durante la creazione dell'istanzaAbilita la SAML federazione tra il tuo provider di identità e AWSConfigura il provider SAML di identità per utilizzare gli endpoint regionaliUsa una destinazione nel tuo stato di inoltro URLAggiungi utenti all'istanza Amazon ConnectSAMLaccesso dell'utente e durata della sessione

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Configura SAML con IAM per Amazon Connect

Amazon Connect supporta la federazione delle identità configurando Security Assertion Markup Language (SAML) 2.0 con AWS IAM per abilitare il single sign-on (SSO) basato sul Web dall'organizzazione all'istanza Amazon Connect. Ciò consente ai tuoi utenti di accedere a un portale della tua organizzazione ospitato da un provider di identità (IdP) compatibile con la SAML versione 2.0 e accedere a un'istanza Amazon Connect con un'esperienza Single Sign-On senza dover fornire credenziali separate per Amazon Connect.

Note importanti

Prima di cominciare, tieni presente che:

  • queste istruzioni non si applicano alle implementazioni di Amazon Connect Global Resiliency; per informazioni relative ad Amazon Connect Global Resiliency, consulta Integra il tuo provider di identità (IdP) con un endpoint di accesso Amazon Connect Global Resiliency SAML;

  • La scelta dell'autenticazione SAML basata su 2.0 come metodo di gestione delle identità per l'istanza Amazon Connect richiede la configurazione della AWS Identity and Access Management federazione.

  • Il nome utente in Amazon Connect deve corrispondere all' RoleSessionName SAMLattributo specificato nella SAML risposta restituita dal provider di identità.

  • Amazon Connect non supporta la federazione inversa. Cioè, non puoi accedere direttamente a Amazon Connect. In caso di un tentativo, verrà ricevuto un messaggio di sessione scaduta. L'autenticazione deve essere effettuata dal gestore dell'identità digitale e non dal Service Provider (SP) (Amazon Connect);

  • Per impostazione predefinita, la maggior parte dei provider di identità utilizza l'endpoint di AWS accesso globale come Application Consumer Service (ACS), che è ospitato negli Stati Uniti orientali (Virginia settentrionale). Si raccomanda di sovrascrivere questo valore per utilizzare l'endpoint regionale che corrisponde a quello in cui è stata creata l'istanza Regione AWS .

  • Tutti i Amazon Connect nomi utente fanno distinzione tra maiuscole e minuscole, anche quando vengono utilizzati. SAML

  • Se disponi di vecchie istanze Amazon Connect configurate con SAML e devi aggiornare il tuo dominio Amazon Connect, consultaImpostazioni personali.

Panoramica sull'utilizzo SAML con Amazon Connect

Il diagramma seguente mostra l'ordine in cui vengono eseguite le SAML richieste di autenticazione degli utenti e federazione con Amazon Connect. Non è un diagramma di flusso per un modello di minaccia.

Panoramica del flusso di richieste per le richieste di SAML autenticazione con Amazon Connect.

SAMLle richieste passano attraverso i seguenti passaggi:

  1. 'utente accede a un portale interno che include un collegamento di accesso ad Amazon Connect. Il collegamento viene definito nel provider di identità.

  2. Il servizio di federazione richiede l'autenticazione dall'archivio identità dell'organizzazione.

  3. L'archivio identità autentica l'utente e restituisce la risposta di autenticazione al servizio di federazione.

  4. Quando l'autenticazione ha esito positivo, il servizio federativo pubblica l'SAMLasserzione nel browser dell'utente.

  5. Il browser dell'utente pubblica l'SAMLasserzione nell'SAMLendpoint di AWS accesso (https://signin.aws.amazon.com/saml). AWS sign in riceve la SAML richiesta, elabora la richiesta, autentica l'utente e avvia un reindirizzamento del browser all'endpoint Amazon Connect con il token di autenticazione.

  6. Utilizzando il token di autenticazione di AWS, Amazon Connect autorizza l'utente e apre Amazon Connect nel suo browser.

Abilitazione dell'autenticazione SAML basata su Amazon Connect

I seguenti passaggi sono necessari per abilitare e configurare SAML l'autenticazione da utilizzare con la tua istanza Amazon Connect:

  1. Crea un'istanza Amazon Connect e seleziona l'autenticazione SAML basata su 2.0 per la gestione delle identità.

  2. Abilita la SAML federazione tra il tuo provider di identità e AWS.

  3. Aggiungi utenti Amazon Connect all'istanza Amazon Connect. Accedi all'istanza utilizzando l'account amministratore creato durante la creazione dell'istanza. Vai alla pagina User Management (Gestione utenti) e aggiungi gli utenti.

    Importante

    • Per un elenco dei caratteri consentiti nei nomi utente, consultate la documentazione relativa alla Username proprietà nell'CreateUserazione.

    • A causa dell'associazione di un utente Amazon Connect e di un AWS IAM ruolo, il nome utente deve corrispondere esattamente a quello configurato con l'integrazione AWS IAM federativa, che in genere finisce per essere il nome utente nella directory. RoleSessionName Il formato del nome utente deve corrispondere all'intersezione delle condizioni di formato di RoleSessionNamee di un utente Amazon Connect, come mostrato nel diagramma seguente:

      Diagramma di rolesessionname e utente Amazon Connect.

  4. Configura il tuo provider di identità per le SAML asserzioni, la risposta di autenticazione e lo stato di inoltro. Gli utenti eseguono l'accesso al provider di identità. Una volta completata correttamente l'operazione, vengono reindirizzati a un'istanza Amazon Connect. Il IAM ruolo viene utilizzato per la federazione con AWS, che consente l'accesso ad Amazon Connect.

Seleziona l'autenticazione SAML basata sulla versione 2.0 durante la creazione dell'istanza

Quando crei la tua istanza Amazon Connect, seleziona l'opzione di autenticazione SAML basata su 2.0 per la gestione delle identità. Nella seconda fase, al momento della creazione dell'amministratore per l'istanza, il nome utente specificato deve corrispondere esattamente a un nome utente nella directory di rete esistente. Non è possibile specificare una password per l'amministratore perché le password vengono gestite tramite la directory esistente. L'amministratore viene creato in Amazon Connect e riceve il profilo di sicurezza Amministratore.

È possibile effettuare l'accesso all'istanza Amazon Connect, tramite il provider di identità, utilizzando l'account amministratore per aggiungere ulteriori utenti.

Abilita la SAML federazione tra il tuo provider di identità e AWS

Per abilitare l'autenticazione SAML basata su Amazon Connect, devi creare un provider di identità nella IAM console. Per ulteriori informazioni, consulta Consentire agli utenti federati SAML 2.0 di accedere alla console di AWS gestione.

Il processo per creare un provider di identità AWS è lo stesso per Amazon Connect. Il passaggio 6 nel diagramma di flusso precedente mostra il client inviato a un'istanza Amazon Connect anziché alla AWS Management Console.

I passaggi necessari per abilitare la SAML federazione con AWS includono:

  1. Crea un SAML provider in AWS. Per ulteriori informazioni, consulta Creazione di provider di SAML identità.

  2. Crea un IAM ruolo per la federazione SAML 2.0 con AWS Management Console. Crea un solo ruolo per la federazione (è necessario un solo ruolo da utilizzare per la federazione). Il IAM ruolo determina le autorizzazioni a cui dispongono gli utenti che accedono tramite il tuo provider di identità. AWS In questo caso, le autorizzazioni per l'accesso ad Amazon Connect. È possibile controllare le autorizzazioni alle caratteristiche di Amazon Connect utilizzando i profili di sicurezza in Amazon Connect. Per ulteriori informazioni, vedere Creating a Role for SAML 2.0 Federation (Console).

    Nel passaggio 5, scegli Consenti l'accesso programmatico e alla console di AWS gestione. Crea la politica di fiducia descritta nell'argomento della procedura Prepararsi alla creazione di un ruolo per la federazione SAML 2.0. Quindi crea una policy per assegnare le autorizzazioni necessarie all'istanza Amazon Connect. Le autorizzazioni iniziano nel passaggio 9 della procedura Per creare un ruolo per la federazione SAML basata.

    Per creare una politica per l'assegnazione delle autorizzazioni al ruolo per la IAM federazione SAML

    1. Nella pagina Attach permissions policy (Associa policy di autorizzazioni), scegli Create policy (Crea policy).

    2. Nella pagina Crea policy, scegli. JSON

    3. Copia una delle seguenti politiche di esempio e incollala nell'editor delle JSON politiche, sostituendo il testo esistente. È possibile utilizzare entrambi i criteri per abilitare la SAML federazione o personalizzarli in base a requisiti specifici.

      Utilizza questa policy per abilitare la federazione per tutti gli utenti in un'istanza Amazon Connect specifica. Per l'autenticazione SAML basata, sostituisci il valore Resource di to ARN per l'istanza che hai creato:

      {
    "Version": "2012-10-17",
   "Statement": [
        {
            "Sid": "Statement1",
            "Effect": "Allow",
            "Action": "connect:GetFederationToken",
            "Resource": [
                "arn:aws:connect:us-east-1:361814831152:instance/2fb42df9-78a2-2e74-d572-c8af67ed289b/user/${aws:userid}"
            ]
        }
    ]
}

      Utilizza questa policy per abilitare la federazione in un'istanza Amazon Connect specifica. Sostituisci il valore per connect:InstanceId all'ID istanza per l'istanza.

      {
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "Statement2",
            "Effect": "Allow",
            "Action": "connect:GetFederationToken",
            "Resource": "*",
            "Condition": {
                "StringEquals": {
                    "connect:InstanceId": "2fb42df9-78a2-2e74-d572-c8af67ed289b"
                }
            }
        }
    ]
}

      Utilizza questa policy per abilitare la federazione per più istanze. Nota le parentesi che circondano l'istanza IDs elencata.

      {
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "Statement2",
            "Effect": "Allow",
            "Action": "connect:GetFederationToken",
            "Resource": "*",
            "Condition": {
                "StringEquals": {
                    "connect:InstanceId": [
                    "2fb42df9-78a2-2e74-d572-c8af67ed289b", 
                    "1234567-78a2-2e74-d572-c8af67ed289b"]
                }
            }
        }
    ]
}

    4. Dopo aver creato la policy, seleziona Next: Review (Avanti: Rivedi). Tornate quindi al passaggio 10 della procedura Per creare un ruolo per la federazione SAML basata nell'argomento Creazione di un ruolo per la federazione SAML 2.0 (console).

  3. Configura la tua rete come SAML provider per AWS. Per ulteriori informazioni, consulta Consentire agli utenti federati SAML 2.0 di accedere alla console di AWS gestione.

  4. Configura SAML le asserzioni per la risposta di autenticazione. Per ulteriori informazioni, vedere Configurazione delle SAML asserzioni per la risposta di autenticazione.

  5. Per Amazon Connect, lascia URL vuoto il campo di avvio dell'applicazione.

  6. Sostituisci l'Application Consumer Service (ACS) URL nel tuo provider di identità per utilizzare l'endpoint regionale che coincide con quello Regione AWS della tua istanza Amazon Connect. Per ulteriori informazioni, consulta Configura il provider SAML di identità per utilizzare gli endpoint regionali.

  7. Configura lo stato del relay del provider di identità in modo che punti all'istanza Amazon Connect. Le informazioni URL da utilizzare per lo stato di inoltro sono le seguenti:

    https://region-id.console.aws.amazon.com/connect/federate/instance-id

    Sostituire il region-id con il nome della regione in cui hai creato l'istanza Amazon Connect, ad esempio us-east-1 per Stati Uniti orientali (Virginia settentrionale). Sostituisci il instance-id con l'ID dell'istanza.

    GovCloud Ad esempio, URL è https://console.amazonaws-us-gov.com/:

    • https://console.amazonaws-us-gov.com/connect/federate/instance-id

    Nota

    È possibile trovare l'ID istanza per l'istanza scegliendo l'alias dell'istanza nella console Amazon Connect. L'ID dell'istanza è l'insieme di numeri e lettere dopo '/instance' nell'istanza visualizzata nella pagina Panoramica. ARN Ad esempio, l'ID dell'istanza nell'istanza seguente è ARN 178c75e4-b3de-4839-a6aa-e321ab3f3770.

    arn:aws:connect:us-east-1:450725743157:instance/178c75e4-b3de-4839-a6aa-e321ab3f3770

Configura il provider SAML di identità per utilizzare gli endpoint regionali

Per fornire la migliore disponibilità, consigliamo di utilizzare l'SAMLendpoint regionale che coincide con l'istanza Amazon Connect anziché l'endpoint globale predefinito.

I passaggi seguenti sono indipendenti dall'IdP; funzionano per qualsiasi SAML IdP (ad esempio, Okta, Ping, OneLogin Shibboleth, AzureAD e altri). ADFS

  1. Aggiorna (o sostituisci) l'Assertion Consumer Service (). ACS URL Esistono due modi per eseguire questa operazione.

    • Opzione 1: scarica i AWS SAML metadati e aggiorna l'Locationattributo nella regione di tua scelta. Carica questa nuova versione dei AWS SAML metadati nel tuo IdP.

      Di seguito è riportato un esempio di una revisione:

      <AssertionConsumerService index="1" isDefault="true" Binding="urn:oasis:names:tc:SAML:2.0:bindings:HTTP-POST" Location="https://region-id.signin.aws.amazon.com/saml"/>

    • Opzione 2: sostituisci il AssertionConsumerService (ACS) URL nel tuo IdP. Ad IdPs esempio Okta che fornisce AWS integrazioni predefinite, puoi sovrascriverle nella console di amministrazione. ACS URL AWS Usa lo stesso formato per passare a una regione a tua scelta (ad esempio, https://region-id.signin.aws.amazon.com/saml).

  2. Aggiorna la policy di attendibilità del ruolo associata:

    1. Questo passaggio deve essere eseguito per ogni ruolo in ogni account che si fida del determinato provider di identità.

    2. Modifica la relazione di attendibilità e sostituisci la condizione singolare con una condizione multivalore SAML:aud. Per esempio:

      • Predefinito: "«:" /saml». SAML:aud https://signin.aws.amazon.com

      • Con modifiche: "SAML:aud«: ["/https://signin.aws.amazon.com/saml", "https:/region-id.signin.aws.amazon.com/saml»]

    3. Apporta in anticipo queste modifiche alle relazioni di fiducia. Non dovrebbero essere eseguite come parte di un piano durante un incidente.

  3. Configura uno stato di inoltro per la pagina della console specifica della regione.

    1. Se non esegui quest'ultimo passaggio, non è garantito che la procedura di SAML accesso specifica della regione inoltri l'utente alla pagina di accesso della console all'interno della stessa regione. Questo passaggio varia a seconda del provider di identità, ma esistono blog (ad esempio, Come utilizzare per indirizzare automaticamente gli utenti federati SAML verso una pagina specifica della console di AWS gestione) che mostrano l'uso dello stato di inoltro per ottenere collegamenti diretti.

    2. Utilizzando la tecnica/i parametri appropriati per il tuo IdP, imposta lo stato di inoltro sull'endpoint della console che corrisponde (ad esempio, https://region-id.console.aws.amazon.com/connect/federate/instance-id).

Nota

  • Assicurati che non sia disabilitato nelle tue regioni aggiuntive. STS

  • Assicurati di SCPs non impedire STS azioni nelle tue regioni aggiuntive.

Usa una destinazione nel tuo stato di inoltro URL

Quando configuri lo stato di inoltro per il tuo provider di identità, puoi utilizzare l'argomento destinazione in per URL indirizzare gli utenti a una pagina specifica nella tua istanza Amazon Connect. Ad esempio, usa un link per aprirlo CCP direttamente quando un agente effettua l'accesso. All'utente deve essere assegnato un profilo di sicurezza che concede l'accesso a tale pagina nell'istanza. Ad esempio, per inviare agenti aCCP, utilizzate un comando URL simile al seguente per lo stato del relè. È necessario utilizzare la URLcodifica per il valore di destinazione utilizzato in: URL

  • https://us-east-1.console.aws.amazon.com/connect/federate/instance-id?destination=%2Fccp-v2%2Fchat&new_domain=true

Un altro esempio di valido URL è:

  • https://us-east-1.console.aws.amazon.com/connect/federate/instance-id?destination=%2Fagent-app-v2

GovCloud Ad esempio, URL è https://console.amazonaws-us-gov.com/. Quindi l'indirizzo sarebbe:

  • https://console.amazonaws-us-gov.com/connect/federate/instance-id?destination=%2Fccp-v2%2Fchat&new_domain=true

Se desideri configurare l'argomento destinazione su un argomento URL esterno all'istanza di Amazon Connect, ad esempio il tuo sito Web personalizzato, aggiungi prima quel dominio esterno alle origini approvate dell'account. Per eseguire l'esempio, esegui le operazioni seguenti:

  1. Nella console Amazon Connect aggiungi https://your-custom-website.com alle tue origini approvate. Per istruzioni, consulta Usa una lista consentita per le applicazioni integrate in Amazon Connect.

  2. Nel provider d'identità configura lo stato del relay in https://your-region.console.aws.amazon.com/connect/federate/instance-id?destination=https%3A%2F%2Fyour-custom-website.com

  3. Quando i tuoi agenti effettuano l'accesso, vengono indirizzati direttamente a https://your-custom-website.com.

Aggiungi utenti all'istanza Amazon Connect

Aggiungi utenti all'istanza di connessione, accertandoti che i nomi degli utenti corrispondano esattamente ai nomi utente nella directory esistente. Se i nomi non corrispondono, l'utente può accedere al provider di identità, ma non ad Amazon Connect perché non esiste alcun account utente con tale nome utente in Amazon Connect. Puoi aggiungere utenti manualmente nella pagina di gestione degli utenti oppure puoi caricare in blocco gli utenti con il CSV modello. Dopo aver aggiunto gli utenti ad Amazon Connect, è possibile assegnare profili di sicurezza e altre impostazioni utente.

Quando un utente accede al provider di identità, ma nessun account con lo stesso nome utente è disponibile in Amazon Connect, viene visualizzato il seguente messaggio Accesso negato.

Un errore di accesso negato per un utente il cui nome non è in Amazon Connect.
Caricamento in blocco di utenti con il modello

Puoi importare i tuoi utenti aggiungendoli a un CSV file. Puoi quindi importare il CSV file nella tua istanza, che aggiunge tutti gli utenti nel file. Se aggiungi utenti caricando un CSV file, assicurati di utilizzare il modello per SAML gli utenti. È possibile trovarlo sulla pagina Gestione utenti in Amazon Connect. Per l'autenticazione SAML basata viene utilizzato un modello diverso. Se hai già scaricato il modello, devi scaricare la versione disponibile nella pagina di gestione degli utenti dopo aver configurato l'istanza con l'autenticazione SAML basata. Il modello non deve includere una colonna per e-mail o password.

SAMLaccesso dell'utente e durata della sessione

Quando utilizzi SAML Amazon Connect, gli utenti devono accedere ad Amazon Connect tramite il tuo provider di identità (IdP). Il tuo IdP è configurato per l'integrazione con. AWS Dopo l'autenticazione, viene creato un token per la loro sessione. L'utente viene quindi reindirizzato all'istanza Amazon Connect e viene automaticamente eseguito l'accesso ad Amazon Connect mediante single sign-on.

Come best practice, è necessario inoltre definire un processo per gli utenti Amazon Connect per eseguire la disconnessione al termine dell'utilizzo di Amazon Connect. Devono disconnettersi sia da Amazon Connect sia dal provider d'identità. In caso contrario, la prossima persona che effettua l'accesso allo stesso computer può connettersi ad Amazon Connect senza una password perché, per impostazione predefinita, il token per le sessioni precedenti è ancora valido per tutta la durata della sessione. È valido per 12 ore.

Informazioni sulla scadenza della sessione

Le sessioni Amazon Connect scadono 12 ore dopo che un utente effettua l'accesso. Dopo 12 ore, gli utenti vengono automaticamente scollegati, anche se sono attualmente impegnati in una chiamata. Se gli agenti rimangono connessi per più di 12 ore, devono aggiornare il token della sessione prima della scadenza. Per creare una nuova sessione, gli agenti devono uscire da Amazon Connect e dall'IdP e quindi accedere nuovamente. Questa impostazione consente di reimpostare il timer della sessione impostato sul token in modo da impedire che gli agenti vengano disconnessi durante un contatto attivo con un cliente. Quando una sessione scade mentre un utente è connesso, viene visualizzato il seguente messaggio. Per utilizzare nuovamente Amazon Connect, l'utente deve effettuare l'accesso al provider di identità.

Messaggio di errore visualizzato alla scadenza della sessione per un utente SAML basato.
Nota

Se durante l'accesso viene visualizzato il messaggio Sessione scaduta, probabilmente è sufficiente aggiornare il token di sessione. Vai al provider di identità ed esegui l'accesso. Aggiorna la pagina Amazon Connect. Se il messaggio persiste, contatta il team IT.