Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
Integra il tuo provider di identità (IdP) con un endpoint di accesso Amazon Connect Global Resiliency SAML
Per consentire ai tuoi agenti di accedere una sola volta e di accedere a entrambe le AWS regioni per elaborare i contatti dalla regione attualmente attiva, devi configurare IAM le impostazioni per utilizzare l'endpoint di accesso globale. SAML
Prima di iniziare
Devi abilitare SAML la tua istanza Amazon Connect per utilizzare Amazon Connect Global Resiliency. Per informazioni su come iniziare a utilizzare la IAM federazione, consulta Consentire agli utenti federati SAML 2.0 di accedere alla console di AWS gestione.
Informazioni importanti
-
Per eseguire la procedura riportata in questo argomento è necessario l'ID dell'istanza. Per istruzioni su come trovarlo, consulta Trova l'ID della tua istanza Amazon Connect oppure ARN.
-
È inoltre necessario conoscere la regione di origine delle istanze Amazon Connect. Per istruzioni su come trovarlo, consulta Come trovare la regione di origine delle istanze Amazon Connect.
-
Se stai incorporando l'applicazione Connect in un iframe, devi assicurarti che il tuo dominio sia presente nell'elenco delle origini approvate sia nell'istanza di origine che nell'istanza di replica affinché l'accesso globale funzioni.
Per configurare Approved Origins a livello di istanza, segui la procedura riportata di seguito. Usa una lista consentita per le applicazioni integrate in Amazon Connect
-
Gli agenti devono essere già stati creati sia nelle istanze Amazon Connect di origine che di replica e avere lo stesso nome utente di quello della sessione del ruolo del gestore dell'identità digitale (IdP). In caso contrario, riceverai un'eccezione
UserNotOnboardedException
e rischierai di perdere le funzionalità di ridondanza degli agenti tra le istanze. -
È necessario associare gli agenti a un gruppo di distribuzione del traffico prima che provino a eseguire l'accesso. In caso contrario, il tentativo di accesso avrà esito negativo e restituirà un errore
ResourceNotFoundException
. Per informazioni su come configurare i gruppi di distribuzione del traffico e associare gli agenti ad essi, consulta Associa agenti a istanze Amazon Connect in più AWS regioni. -
Quando i tuoi agenti si uniscono ad Amazon Connect con il nuovo SAML accessoURL, Amazon Connect Global Resiliency tenta sempre di registrare l'agente nelle regioni/istanze di origine e di replica, indipendentemente dalla configurazione del gruppo di
SignInConfig
distribuzione del traffico. Puoi verificarlo controllando i log. CloudTrail -
La
SignInConfig
distribuzione nel gruppo di distribuzione del traffico predefinito determina solo quale Regione AWS viene utilizzato per facilitare l'accesso. Indipendentemente da come è configurata la distribuzioneSignInConfig
, Amazon Connect tenta sempre di far accedere gli agenti a entrambe le regioni dell'istanza Amazon Connect. -
Dopo aver replicato un'istanza Amazon Connect, viene generato un solo endpoint di SAML accesso per le tue istanze. Questo endpoint contiene sempre la fonte in. Regione AWS URL
-
Non è necessario configurare uno stato di inoltro quando si utilizza l'SAMLaccesso personalizzato URL con Amazon Connect Global Resiliency.
Come integrare il gestore dell'identità
-
Quando crei una replica della tua istanza Amazon Connect utilizzando il ReplicateInstanceAPI, URL viene generato un SAML accesso personalizzato per le tue istanze Amazon Connect. URLViene generato nel seguente formato:
https://
instance-id
.source-region
.sign-in.connect.aws/saml-
instance-id
è l'ID dell'istanza per entrambe le istanze del gruppo di istanze. L'ID dell'istanza è identico nelle regioni di origine e di replica. -
source-region
corrisponde alla AWS regione di origine in cui ReplicateInstanceAPIè stato chiamato.
-
-
Aggiungi la seguente politica di fiducia al tuo ruolo di IAM Federazione. Utilizza l'SAMLendpoint URL for the global sign-in, come illustrato nell'esempio seguente.
{ "Version":"2012-10-17", "Statement":[ { "Effect":"Allow", "Principal":{ "Federated":[ "saml-provider-arn" ] }, "Action":"sts:AssumeRoleWithSAML", "Condition":{ "StringLike":{ "SAML:aud":[ "https://instance-id.source-region.sign-in.connect.aws/saml*" ] } } } ] }
Nota
saml-provider-arn
è la risorsa del provider di identità creata in. IAM -
Concedi l'accesso a
connect:GetFederationToken
perInstanceId
il tuo ruolo nella IAM Federazione. Per esempio:{ "Version": "2012-10-17", "Statement": [ { "Sid": "GetFederationTokenAccess", "Effect": "Allow", "Action": "connect:GetFederationToken", "Resource": "*", "Condition": { "StringEquals": { "connect:InstanceId": "
your-instance-id
" } } } ] } -
Aggiungi una mappatura degli attributi all'applicazione del gestore di identità utilizzando le seguenti stringhe di attributi e valori.
Attributo Valore https://aws.amazon.com/SAML/Attributi/ruolo
saml-role-arn
,identity-provider-arn
-
Configura l'Assertion Consumer Service (ACS) URL del tuo provider di identità in modo che indichi il tuo accesso personalizzato. SAML URL Utilizzate il seguente esempio per: ACS URL
https://
instance-id
.source-region
.sign-in.connect.aws/saml?&instanceId=instance-id
&accountId=your AWS account ID
&role=saml-federation-role
&idp=your SAML IDP
&destination=optional-destination
-
Imposta i seguenti campi nei URL parametri:
-
instanceId
: l'identificativo dell'istanza Amazon Connect. Per istruzioni su come trovare l'ID dell'istanza, consulta Trova l'ID della tua istanza Amazon Connect oppure ARN. -
accountId
: l'ID AWS dell'account in cui si trovano le istanze di Amazon Connect. -
role
: impostato sul nome o Amazon Resource Name (ARN) del SAML ruolo utilizzato per la federazione Amazon Connect. -
idp
: Imposta il nome o Amazon Resource Name (ARN) del provider di SAML identità inIAM. -
destination
: è impostato sul percorso opzionale che gli agenti utilizzeranno per accedere all'istanza dopo aver eseguito l'accesso (ad esempio:/agent-app-v2
).
-