for Amazon ConnectSAMLIAM로 구성 - Amazon Connect
중요 정보Amazon ConnectSAML에서 를 사용하는 개요Amazon Connect에 대한 SAML기반 인증 활성화인스턴스 생성 중 SAML 2.0 기반 인증 선택자격 증명 공급자와 간의 SAML 페더레이션 활성화 AWS리전 SAML 엔드포인트를 사용하도록 자격 증명 공급자 구성릴레이 상태에서 대상 사용 URL사용자를 Amazon Connect 인스턴스에 추가SAML 사용자 로그인 및 세션 기간

기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.

for Amazon ConnectSAMLIAM로 구성

Amazon Connect는 조직에서 Amazon Connect 인스턴스로 웹 기반 Single Sign-On(SAML)을 활성화하기 위해 Security Assertion Markup Language(SSO) 2.0을 로 AWS IAM 구성하여 자격 증명 페더레이션을 지원합니다. 이를 통해 사용자는 SAML 2.0 호환 자격 증명 공급자(IdP )가 호스팅하는 조직의 포털에 로그인하고 Amazon Connect 에 별도의 자격 증명을 제공하지 않고도 단일 로그인 환경으로 Amazon Connect 인스턴스에 로그인할 수 있습니다.

중요 정보

시작하기 전에 다음 사항에 유의하세요.

  • 이 지침은 Amazon Connect Global Resiliency 배포에는 적용되지 않습니다. Amazon Connect Global Resiliency에 적용되는 자세한 내용은 자격 증명 공급자(IdP )를 Amazon Connect Global Resiliency SAML 로그인 엔드포인트와 통합 섹션을 참조하세요.

  • Amazon Connect 인스턴스의 자격 증명 관리 방법으로 SAML 2.0 기반 인증을 선택하려면 AWS Identity and Access Management 페더레이션 의 구성이 필요합니다.

  • Amazon Connect의 사용자 이름은 자격 증명 공급자가 RoleSessionName SAML 반환한 SAML 응답에 지정된 속성과 일치해야 합니다.

  • Amazon Connect 는 역방향 페더레이션을 지원하지 않습니다. 즉, 에 직접 로그인할 수 없습니다 Amazon Connect. 로그인을 시도하면 세션 만료 메시지가 표시됩니다. 인증은 서비스 제공업체(SP)(Amazon Connect)가 아닌 ID 제공업체(IdP)에서 수행해야 합니다.

  • 대부분의 자격 증명 공급자는 기본적으로 글로벌 AWS 로그인 엔드포인트를 미국 동부(버지니아 북부ACS)에서 호스팅되는 Application Consumer Service()로 사용합니다. 인스턴스가 생성된 AWS 리전 과 일치하는 지역 엔드포인트를 사용하려면 이 값을 재정의하는 것이 좋습니다.

  • 모든 Amazon Connect 사용자 이름은 사용 시에도 대/소문자를 구분합니다SAML.

  • 로 설정된 이전 Amazon Connect 인스턴스가 SAML 있고 Amazon Connect 도메인을 업데이트해야 하는 경우 섹션을 참조하세요개인 설정.

Amazon ConnectSAML에서 를 사용하는 개요

다음 다이어그램은 Amazon Connect 를 사용하여 사용자를 인증하고 페더레이션하기 위한 SAML 요청에 대해 단계가 수행되는 순서를 보여줍니다. 위협 모델의 흐름도는 아닙니다.

Amazon Connect를 사용한 SAML 인증 요청에 대한 요청 흐름 개요입니다. Amazon Connect

SAML 요청은 다음 단계를 거칩니다.

  1. 사용자가 Amazon Connect에 로그인하기 위한 링크가 포함되어 있는 내부 포털로 이동합니다. 해당 링크는 자격 증명 공급자에 정의되어 있습니다.

  2. 연동 서비스가 조직의 자격 증명 스토어에서 인증을 요청합니다.

  3. 자격 증명 스토어가 사용자를 인증하고 인증 응답을 연동 서비스에 반환합니다.

  4. 인증이 성공하면 페더레이션 서비스는 사용자의 브라우저에 어SAML설션을 게시합니다.

  5. 사용자의 브라우저는 AWS 로그인 SAML 엔드포인트(https://signin.aws.amazon.com/saml)에 SAML어설션을 게시합니다. AWS 로그인은 SAML 요청을 수신하고, 요청을 처리하고, 사용자를 인증하고, 인증 토큰을 사용하여 Amazon Connect 엔드포인트로 브라우저 리디렉션을 시작합니다.

  6. AWS Amazon Connect는 의 인증 토큰을 사용하여 사용자에게 권한을 부여하고 브라우저에서 Amazon Connect를 엽니다.

Amazon Connect에 대한 SAML기반 인증 활성화

Amazon Connect 인스턴스와 함께 사용할 SAML 인증을 활성화하고 구성하려면 다음 단계가 필요합니다.

  1. Amazon Connect 인스턴스를 생성하고 자격 증명 관리를 위해 SAML 2.0 기반 인증을 선택합니다.

  2. 자격 증명 공급자와 간에 SAML 페더레이션을 활성화합니다 AWS.

  3. Amazon Connect 사용자를 Amazon Connect 인스턴스에 추가합니다. 인스턴스를 생성할 때 만든 관리자 계정을 사용하여 인스턴스에 로그인합니다. 사용자 관리 페이지로 이동하여 사용자를 추가합니다.

    중요

    • 사용자 이름 에 허용되는 문자 목록은 CreateUser 작업의 Username 속성 설명서를 참조하세요.

    • Amazon Connect 사용자와 AWS IAM 역할의 연결로 인해 사용자 이름은 페더레이션 통합으로 AWS IAM 구성된 RoleSessionName 것과 정확히 일치해야 하며, 일반적으로 디렉터리의 사용자 이름이 됩니다. 사용자 이름의 형식은 다음 다이어그램과 같이 RoleSessionNameAmazon Connect 사용자 의 형식 조건의 교차점과 일치해야 합니다.

      RoleSessionName 및 Amazon Connect 사용자의 벤 다이어그램.

  4. 어SAML설션, 인증 응답 및 릴레이 상태에 대해 자격 증명 공급자를 구성합니다. 사용자가 자격 증명 공급자에 로그인합니다. 성공하면 사용자가 Amazon Connect 인스턴스로 리디렉션됩니다. IAM 역할은 Amazon Connect 에 대한 액세스를 AWS허용하는 와 페더레이션하는 데 사용됩니다.

인스턴스 생성 중 SAML 2.0 기반 인증 선택

Amazon Connect 인스턴스를 생성할 때 자격 증명 관리를 위한 SAML 2.0 기반 인증 옵션을 선택합니다. 두 번째 단계에서 인스턴스의 관리자를 생성할 때 지정하는 사용자 이름은 기존 네트워크 디렉터리의 사용자 이름과 정확하게 일치해야 합니다. 암호는 기존 디렉터리를 통해 관리되므로 관리자의 암호를 지정하는 옵션은 없습니다. 관리자는 Amazon Connect에서 생성되며 관리자 보안 프로필이 할당됩니다.

IdP를 통해 Amazon Connect 인스턴스에 로그인하여 관리자 계정을 이용해 사용자를 더 추가할 수 있습니다.

자격 증명 공급자와 간의 SAML 페더레이션 활성화 AWS

Amazon Connect 에 대한 SAML기반 인증을 활성화하려면 IAM 콘솔에서 자격 증명 공급자를 생성해야 합니다. 자세한 내용은 SAML 2.0 페더레이션 사용자가 AWS 관리 콘솔에 액세스하도록 활성화를 참조하세요.

에 대한 자격 증명 공급자를 생성하는 프로세스는 Amazon Connect 에서 AWS 동일합니다. 위 흐름도의 6단계는 클라이언트가 AWS Management Console대신 Amazon Connect 인스턴스로 보내지는 것을 보여 줍니다.

를 사용하여 SAML 페더레이션을 활성화하는 데 필요한 단계는 다음과 AWS 같습니다.

  1. 에서 SAML 공급자를 생성합니다 AWS. 자세한 내용은 SAML 자격 증명 공급자 생성을 참조하세요.

  2. 를 사용하여 SAML 2.0 페더레이션에 대한 IAM 역할을 생성합니다 AWS Management Console. 연동에 대한 역할 하나만 생성합니다(연동에는 하나의 역할만 필요하고 사용됨). IAM 역할은 자격 증명 공급자를 통해 로그인하는 사용자가 에 보유한 권한을 결정합니다 AWS. 이 경우에는 Amazon Connect에 액세스하기 위한 권한입니다. Amazon Connect에서 보안 프로필을 사용하여 Amazon Connect의 기능에 대한 권한을 제어할 수 있습니다. 자세한 내용은 SAML 2.0 페더레이션에 대한 역할 생성(콘솔)을 참조하세요.

    5단계에서 프로그래밍 방식 및 AWS 관리 콘솔 액세스 허용을 선택합니다. SAML 2.0 페더레이션에 대한 역할 생성을 준비하려면 절차의 주제에 설명된 신뢰 정책을 생성합니다. 그런 다음 Amazon Connect 인스턴스에 권한을 할당할 정책을 생성합니다. 권한은 SAML기반 페더레이션에 대한 역할 생성 절차의 9단계에서 시작됩니다.

    SAML 페더레이션에 대한 IAM 역할에 권한을 할당하기 위한 정책을 생성하려면

    1. Attach permissions policy(권한 정책 연결) 페이지에서 Create policy(정책 생성)를 선택합니다.

    2. 정책 생성 페이지에서 를 선택합니다JSON.

    3. 다음 예제 정책 중 하나를 복사하여 JSON 정책 편집기에 붙여넣고 기존 텍스트를 바꿉니다. 두 정책 중 하나를 사용하여 SAML 페더레이션을 활성화하거나 특정 요구 사항에 맞게 사용자 지정할 수 있습니다.

      특정 Amazon Connect 인스턴스의 모든 사용자에 대한 페더레이션을 활성화하려면 이 정책을 사용합니다. SAML기반 인증의 경우 의 값을 생성한 인스턴스의 Resource ARN 로 바꿉니다.

      {
    "Version": "2012-10-17",
   "Statement": [
        {
            "Sid": "Statement1",
            "Effect": "Allow",
            "Action": "connect:GetFederationToken",
            "Resource": [
                "arn:aws:connect:us-east-1:361814831152:instance/2fb42df9-78a2-2e74-d572-c8af67ed289b/user/${aws:userid}"
            ]
        }
    ]
}

      이 정책을 사용하여 특정 Amazon Connect 인스턴스에 대한 페더레이션을 활성화합니다. connect:InstanceId의 값을 인스턴스의 인스턴스 ID로 바꿉니다.

      {
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "Statement2",
            "Effect": "Allow",
            "Action": "connect:GetFederationToken",
            "Resource": "*",
            "Condition": {
                "StringEquals": {
                    "connect:InstanceId": "2fb42df9-78a2-2e74-d572-c8af67ed289b"
                }
            }
        }
    ]
}

      이 정책을 사용하여 여러 인스턴스에 대한 연동을 활성화합니다. 나열된 인스턴스 에 대괄호를 적어 둡니다IDs.

      {
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "Statement2",
            "Effect": "Allow",
            "Action": "connect:GetFederationToken",
            "Resource": "*",
            "Condition": {
                "StringEquals": {
                    "connect:InstanceId": [
                    "2fb42df9-78a2-2e74-d572-c8af67ed289b", 
                    "1234567-78a2-2e74-d572-c8af67ed289b"]
                }
            }
        }
    ]
}

    4. 정책을 만든 후 Next: Review(다음: 검토)를 선택합니다. 그런 다음 2.0 페더레이션에 대한 역할 생성(콘솔) 주제의 SAML기반 페더레이션에 대한 역할 생성 절차의 10단계로 돌아갑니다. SAML

  3. 네트워크를 의 SAML 공급자로 구성합니다 AWS. 자세한 내용은 SAML 2.0 페더레이션 사용자가 AWS 관리 콘솔에 액세스하도록 활성화를 참조하세요.

  4. 인증 응답에 대한 SAML 의견을 구성합니다. 자세한 내용은 인증 응답 에 대한 SAML 의견 구성을 참조하세요.

  5. Amazon Connect 의 경우 애플리케이션 시작URL을 비워 둡니다.

  6. 자격 증명 공급자URL의 Application Consumer Service(ACS)를 재정의하여 Amazon Connect 인스턴스 AWS 리전 의 와 일치하는 리전 엔드포인트를 사용합니다. 자세한 내용은 리전 SAML 엔드포인트를 사용하도록 자격 증명 공급자 구성 단원을 참조하십시오.

  7. Amazon Connect 인스턴스를 가리키도록 자격 증명 공급자의 릴레이 상태를 구성합니다. 릴레이 상태에 URL 사용할 는 다음과 같이 구성됩니다.

    https://region-id.console.aws.amazon.com/connect/federate/instance-id

    를 교체합니다.region-id us-east-1 for US East(버지니아 북부)와 같이 Amazon Connect 인스턴스를 생성한 리전 이름을 사용합니다. 를 교체합니다.instance-id 인스턴스의 인스턴스 ID를 사용합니다.

    GovCloud 인스턴스의 경우 URL는 https://console.amazonaws-us-gov.com/입니다.

    • https://console.amazonaws-us-gov.com/connect/페더레이션/인스턴스 ID

    참고

    Amazon Connect 콘솔에서 인스턴스 별칭을 선택하여 인스턴스의 인스턴스 ID를 찾을 수 있습니다. 인스턴스 ID는 개요 페이지에 표시된 인스턴스ARN에서 '/인스턴스' 뒤에 오는 숫자와 문자 집합입니다. 예를 들어 다음 인스턴스의 인스턴스 IDARN는 178c75e4-b3de-4839-a6aa-e321ab3f3770입니다.

    arn:aws:connect:us-east-1:450725743157:instance/178c75e4-b3de-4839-a6aa-e321ab3f3770

리전 SAML 엔드포인트를 사용하도록 자격 증명 공급자 구성

최상의 가용성을 제공하려면 기본 글로벌 SAML 엔드포인트 대신 Amazon Connect 인스턴스와 일치하는 리전 엔드포인트를 사용하는 것이 좋습니다.

다음 단계는 IdP에 구애받지 않으며 모든 SAMLIdP(예: Okta, Ping, OneLoginShibboleth, ADFS, AzureAD 등)에서 작동합니다.

  1. Assertion Consumer Service()를 업데이트(또는 재정의ACS)합니다URL. 방법에는 2가지가 있습니다.

    • 옵션 1: 메타데이터를 AWS SAML 다운로드하고 원하는 리전으로 Location 속성을 업데이트합니다. 이 새 버전의 메타데이터를 AWS SAML IdP 에 로드합니다.

      다음은 수정의 예입니다.

      <AssertionConsumerService index="1" isDefault="true" Binding="urn:oasis:names:tc:SAML:2.0:bindings:HTTP-POST" Location="https://region-id.signin.aws.amazon.com/saml"/>

    • 옵션 2: IdPURL의 AssertionConsumerService (ACS)를 재정의합니다. 미리 베이킹된 AWS 통합을 제공하는 Okta IdPs 와 마찬가지로 AWS 관리자 콘솔ACSURL에서 를 재정의할 수 있습니다. 동일한 형식을 사용하여 선택한 리전(예: https://region-id.signin.aws.amazon.com/saml).

  2. 관련 역할 신뢰 정책을 업데이트합니다.

    1. 이 단계는 해당 ID 공급자를 신뢰하는 모든 계정의 모든 역할에 대해 수행해야 합니다.

    2. 신뢰 관계를 편집하고 단수 SAML:aud 조건을 다중 값 조건으로 바꿉니다. 예:

      • 기본값: “SAML:aud”: “https://signin.aws.amazon.com/saml”.

      • 수정 포함: “SAML:aud”: [ “https://signin.aws.amazon.com/saml", "https://region-id.signin.aws.amazon.com/saml" ]

    3. 신뢰 관계를 미리 변경하세요. 사고 발생 시 계획의 일환으로 변경해서는 안 됩니다.

  3. 리전별 콘솔 페이지의 릴레이 상태를 구성합니다.

    1. 이 최종 단계를 수행하지 않으면 리전별 SAML 로그인 프로세스가 사용자를 동일한 리전 내의 콘솔 로그인 페이지로 전달할 것이라는 보장은 없습니다. 이 단계는 자격 증명 공급자별로 가장 다양하지만 딥 연결을 달성하기 SAML 위해 릴레이 상태를 사용하는 것을 보여주는 블로그(예: 페더레이션 사용자를 특정 AWS 관리 콘솔 페이지로 자동 전달하는 데 사용하는 방법)가 있습니다.

    2. IdP에 적합한 기법/파라미터를 사용하여 릴레이 상태를 일치하는 콘솔 엔드포인트(예: https://region-id.console.aws.amazon.com/connect/federate/instance-id).

참고

  • 추가 리전에서 STS가 비활성화되지 않았는지 확인합니다.

  • 추가 리전에서 SCPs 금지 STS 조치가 없는지 확인합니다.

릴레이 상태에서 대상 사용 URL

자격 증명 공급자의 릴레이 상태를 구성할 때 의 대상 인수URL를 사용하여 사용자를 Amazon Connect 인스턴스의 특정 페이지로 탐색할 수 있습니다. 예를 들어, 에이전트가 로그인할 때 링크를 사용하여 를 CCP 직접 엽니다. 사용자에게 인스턴스의 해당 페이지에 액세스할 수 있는 권한을 부여하는 보안 프로필을 할당해야 합니다. 예를 들어 에이전트를 로 보내려면 릴레이 상태에 다음과 URL 유사한 를 CCP사용합니다. 에 사용되는 대상 값에 URL 인코딩을 사용해야 합니다URL.

  • https://us-east-1.console.aws.amazon.com/connect/federate/instance-id?destination=%2Fccp-v2%2Fchat&new_domain=true

유효한 의 또 다른 예는 다음과 URL 같습니다.

  • https://us-east-1.console.aws.amazon.com/connect/federate/instance-id?destination=%2Fagent-app-v2

GovCloud 인스턴스의 경우 는 https://console.amazonaws-us-gov.com/URL입니다. 따라서 주소는 다음과 같습니다.

  • https://console.amazonaws-us-gov.com/connect/federate/instance-id?destination=%2Fccp-v2%2Fchat&new_domain=true

사용자 지정 웹 사이트와 같은 Amazon Connect 인스턴스 URL 외부에 대상 인수를 구성하려면 먼저 해당 외부 도메인을 계정의 승인된 오리진에 추가합니다. 예를 들어, 다음 단계를 차례로 수행합니다.

  1. Amazon Connect 콘솔에서 https://를 추가합니다.your-custom-website.com에서 승인된 오리진으로 이동합니다. 지침은 Amazon Connect에서 통합 애플리케이션에 대한 허용 목록 사용 단원을 참조하십시오.

  2. 자격 증명 공급자에서 릴레이 상태를 https://your-region.console.aws.amazon.com/connect/federate/instance-id?destination=https%3A%2F%2Fyour-custom-website.com로 구성합니다.

  3. 에이전트가 로그인하면 https://로 직접 이동합니다.your-custom-website.com.

사용자를 Amazon Connect 인스턴스에 추가

Connect 인스턴스에 사용자를 추가하고 사용자 이름이 기존 디렉터리의 사용자 이름과 정확하게 일치하는지 확인합니다. 이름이 일치하지 않으면 사용자는 자격 증명 공급자에는 로그인할 수 있지만, 해당 사용자 이름의 사용자 계정이 Amazon Connect에 없으므로 Amazon Connect에는 로그인할 수 없습니다. 사용자 관리 페이지에서 사용자를 수동으로 추가하거나 CSV 템플릿을 사용하여 사용자를 대량 업로드할 수 있습니다. Amazon Connect에 사용자를 추가한 후 보안 프로필 및 다른 사용자 설정을 할당할 수 있습니다.

사용자가 자격 증명 공급자에 로그인할 때 사용자 이름이 동일한 계정이 Amazon Connect에 없으면 다음과 같이 액세스 거부됨 메시지가 표시됩니다.

Amazon Connect 에 이름이 없는 사용자의 액세스 거부 오류입니다.
템플릿을 통해 사용자 대량 업로드

파일에 사용자를 추가하여 가져올 수 있습니다CSV. 그런 다음 CSV 파일을 인스턴스로 가져와 파일의 모든 사용자를 추가할 수 있습니다. CSV 파일을 업로드하여 사용자를 추가하는 경우 SAML 사용자용 템플릿을 사용해야 합니다. Amazon Connect의 사용자 관리 페이지에서 찾을 수 있습니다. 다른 템플릿이 SAML기반 인증에 사용됩니다. 이전에 템플릿을 다운로드한 경우 SAML기반 인증으로 인스턴스를 설정한 후 사용자 관리 페이지에서 사용할 수 있는 버전을 다운로드해야 합니다. 템플릿에는 이메일 또는 암호에 대한 열이 포함되면 안 됩니다.

SAML 사용자 로그인 및 세션 기간

Amazon Connect SAML에서 를 사용하는 경우 사용자는 자격 증명 공급자(IdP )를 통해 Amazon Connect에 로그인해야 합니다. IdP는 와 통합되도록 구성됩니다 AWS. 인증 후 세션의 토큰이 생성됩니다. 그런 다음 사용자가 Amazon Connect 인스턴스로 리디렉션되고 Single Sign-On(SSO)을 사용하여 자동으로 Amazon Connect에 로그인됩니다.

또한 Amazon Connect를 사용하여 완료한 경우 로그아웃하도록 Amazon Connect 사용자에 대한 프로세스를 정의하는 것이 좋습니다. 이 경우 사용자는 Amazon Connect 및 자격 증명 공급자에서 로그아웃해야 합니다. 로그아웃하지 않으면 이전 세션에 대한 토큰이 세션 기간 동안 계속 유효하므로 동일한 컴퓨터에 로그인한 다음 사람이 암호 없이 Amazon Connect에 로그인할 수 있습니다. 12시간 동안 유효합니다.

세션 만료 정보

Amazon Connect 세션은 사용자가 로그인한 후 12시간이 지나면 만료됩니다. 12시간 후 사용자는 현재 통화 중인 경우에도 자동으로 로그아웃됩니다. 에이전트가 12시간 넘게 로그인 상태이면 만료되기 전에 세션 토큰을 새로 고쳐야 합니다. 새 세션을 만들려면 에이전트가 Amazon Connect 및 IdP에서 로그아웃한 후 다시 로그인해야 합니다. 이렇게 하면 에이전트가 고객과 통화 중인 경우 로그아웃되지 않도록 토큰에 설정된 세션 타이머가 재설정됩니다. 사용자가 로그인한 동안 세션이 만료되면 다음 메시지가 표시됩니다. Amazon Connect를 다시 사용하려면 사용자가 자격 증명 공급자에 로그인해야 합니다.

SAML기반 사용자의 세션이 만료될 때 표시되는 오류 메시지입니다.
참고

로그인하는 동안 세션 만료됨 메시지가 표시되는 경우 세션 토큰을 새로 고치기만 하면 문제가 해결될 수 있습니다. ID 제공업체로 이동하여 로그인합니다. Amazon Connect 페이지를 새로 고칩니다. 이 메시지가 계속 표시되면 IT 팀에 문의하세요.