Integrazione del gestore dell'identità digitale con un endpoint di accesso SAML di Amazon Connect Global Resiliency - Amazon Connect

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Integrazione del gestore dell'identità digitale con un endpoint di accesso SAML di Amazon Connect Global Resiliency

Per consentire ai tuoi agenti di accedere una sola volta e di accedere a entrambe le AWS regioni per elaborare i contatti dalla regione attualmente attiva, devi configurare le impostazioni IAM per utilizzare l'endpoint SAML di accesso globale.

Prima di iniziare

Per utilizzare Amazon Connect Global Resiliency devi abilitare SAML per la tua istanza Amazon Connect. Per ulteriori informazioni su come iniziare a utilizzare la federazione IAM, consulta Abilitazione di utenti federati SAML 2.0 per accedere alla Console di gestione AWS.

Informazioni importanti

  • Per eseguire la procedura riportata in questo argomento è necessario l'ID dell'istanza. Per istruzioni su come trovarlo, consulta Trova l'ID o l'ARN dell'istanza Amazon Connect.

  • È inoltre necessario conoscere la regione di origine delle istanze Amazon Connect. Per istruzioni su come trovarlo, consulta Come trovare la regione di origine delle istanze Amazon Connect.

  • Se stai incorporando l'applicazione Connect in un iframe, devi assicurarti che il tuo dominio sia presente nell'elenco delle origini approvate sia nell'istanza di origine che nell'istanza di replica affinché l'accesso globale funzioni.

    Per configurare Approved Origins a livello di istanza, segui la procedura riportata di seguito. Usa una lista consentita per le applicazioni integrate in Amazon Connect

  • Gli agenti devono essere già stati creati sia nelle istanze Amazon Connect di origine che di replica e avere lo stesso nome utente di quello della sessione del ruolo del gestore dell'identità digitale (IdP). In caso contrario, riceverai un'eccezione UserNotOnboardedException e rischierai di perdere le funzionalità di ridondanza degli agenti tra le istanze.

  • È necessario associare gli agenti a un gruppo di distribuzione del traffico prima che provino a eseguire l'accesso. In caso contrario, il tentativo di accesso avrà esito negativo e restituirà un errore ResourceNotFoundException. Per informazioni su come configurare i gruppi di distribuzione del traffico e associare gli agenti ad essi, consulta Associa agenti a istanze Amazon Connect in più AWS regioni.

  • Quando i tuoi agenti eseguono la federazione in Amazon Connect utilizzando il nuovo URL di accesso SAML, Amazon Connect Global Resiliency tenta sempre di effettuare il log degli agenti nelle regioni/istanze di origine e di replica, indipendentemente dalla configurazione di SignInConfig nel gruppo di distribuzione del traffico. Puoi verificarlo controllando CloudTrail i log.

  • La SignInConfig distribuzione nel gruppo di distribuzione del traffico predefinito determina solo quale Regione AWS viene utilizzato per facilitare l'accesso. Indipendentemente da come è configurata la distribuzione SignInConfig, Amazon Connect tenta sempre di far accedere gli agenti a entrambe le regioni dell'istanza Amazon Connect.

  • Dopo aver replicato un'istanza Amazon Connect, viene generato un solo endpoint di accesso SAML per le istanze. Questo endpoint contiene sempre la fonte Regione AWS nell'URL.

  • Non è necessario configurare uno stato dell'inoltro quando si utilizza l'URL di accesso SAML personalizzato con Amazon Connect Global Resiliency.

Come integrare il gestore dell'identità

  1. Quando crei una replica della tua istanza Amazon Connect utilizzando l'ReplicateInstanceAPI, viene generato un URL di accesso SAML personalizzato per le tue istanze Amazon Connect. L'URL viene generato nel formato seguente:

    https://instance-id.source-region.sign-in.connect.aws/saml

    1. instance-idè l'ID dell'istanza per entrambe le istanze del tuo gruppo di istanze. L'ID dell'istanza è identico nelle regioni di origine e di replica.

    2. source-regioncorrisponde alla AWS regione di origine in cui è stata chiamata l'ReplicateInstanceAPI.

  2. Aggiungi la seguente policy di attendibilità al tuo ruolo nella Federazione IAM. Utilizza l'URL per l'endpoint di accesso SAML globale come mostrato nell'esempio seguente.

    { "Version":"2012-10-17", "Statement":[ { "Effect":"Allow", "Principal":{ "Federated":[ "saml-provider-arn" ] }, "Action":"sts:AssumeRoleWithSAML", "Condition":{ "StringLike":{ "SAML:aud":[ "https://instance-id.source-region.sign-in.connect.aws/saml*" ] } } } ] }
    Nota

    saml-provider-arn è la risorsa del gestore di identità creata in IAM.

  3. Concedi al tuo ruolo nella Federazione IAM l'accesso a connect:GetFederationToken per il tuo InstanceId. Per esempio:

    { "Version": "2012-10-17", "Statement": [ { "Sid": "GetFederationTokenAccess", "Effect": "Allow", "Action": "connect:GetFederationToken", "Resource": "*", "Condition": { "StringEquals": { "connect:InstanceId": "your-instance-id" } } } ] }
  4. Aggiungi una mappatura degli attributi all'applicazione del gestore di identità utilizzando le seguenti stringhe di attributi e valori.

    Attributo Valore

    https://aws.amazon.com/SAML/Attributi/ruolo

    saml-role-arn,identity-provider-arn

  5. Configura l'URL Assertion Consumer Service (ACS) del gestore di identità in modo che punti al tuo URL di accesso SAML personalizzato. Utilizza il seguente esempio per l'URL ACS:

    https://instance-id.source-region.sign-in.connect.aws/saml?&instanceId=instance-id&accountId=your AWS account ID&role=saml-federation-role&idp=your SAML IDP&destination=optional-destination
  6. Imposta i seguenti campi nei parametri dell'URL:

    • instanceId: l'identificativo dell'istanza Amazon Connect. Per istruzioni su come trovare l'ID dell'istanza, consulta Trova l'ID o l'ARN dell'istanza Amazon Connect.

    • accountId: l'ID AWS dell'account in cui si trovano le istanze di Amazon Connect.

    • role: è impostato sul nome o sul nome della risorsa Amazon (ARN) del ruolo SAML utilizzato per la federazione Amazon Connect.

    • idp: è impostato sul nome o sul nome della risorsa Amazon (ARN) del gestore di identità SAML in IAM.

    • destination: è impostato sul percorso opzionale che gli agenti utilizzeranno per accedere all'istanza dopo aver eseguito l'accesso (ad esempio: /agent-app-v2).