As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.
Integre seu provedor de identidade (IdP) com um endpoint de login do Amazon Connect Global Resiliency SAML
Para permitir que seus agentes façam login uma vez e estejam conectados às duas AWS regiões para processar contatos da região ativa atual, você precisa definir IAM as configurações para usar o SAML endpoint de login global.
Antes de começar
Você deve habilitar SAML sua instância do Amazon Connect para usar a resiliência global do Amazon Connect. Para obter informações sobre como começar a usar a IAM federação, consulte Como permitir que usuários federados SAML 2.0 acessem o AWS Management Console.
O que é importante saber
-
Para executar as etapas neste tópico, você precisará do ID da instância. Para obter instruções sobre como encontrá-la, consulte Encontre seu ID de instância do Amazon Connect/ ARN.
-
Você também precisará saber qual é a região de origem das instâncias do Amazon Connect. Para obter instruções sobre como encontrá-la, consulte Como encontrar a região de origem das instâncias do Amazon Connect.
-
Se você estiver incorporando seu aplicativo Connect em um iframe, você deve garantir que seu domínio esteja presente na lista de origens aprovadas na sua instância de origem e réplica para que o login global funcione.
Para configurar Origens aprovadas no nível da instância, siga as etapas emUsar uma lista de permissões para aplicações integradas.
-
Os atendentes já devem estar criados em ambas as instâncias (origem e réplica) do Amazon Connect e ter um nome de usuário igual ao nome da sessão de função do provedor de identidades (IdP). Caso contrário, você receberá uma
UserNotOnboardedExceptione correrá o risco de perder os recursos de redundância de atendentes entre as instâncias. -
Você deve associar os atendentes a um grupo de distribuição de tráfego antes que eles tentem fazer login. Do contrário, o login do atendente apresentará falha com uma
ResourceNotFoundException. Para obter informações sobre como configurar grupos de distribuição de tráfego e associar atendentes a eles, consulte Associe agentes a instâncias em várias AWS regiões. -
Quando seus agentes se federam no Amazon Connect com o novo SAML login, o Amazon URL Connect Global Resiliency sempre tenta registrar o agente em suas regiões/instâncias de origem e réplica, independentemente de como
SignInConfigestá configurado em seu grupo de distribuição de tráfego. Você pode verificar isso verificando CloudTrail os registros. -
A
SignInConfigdistribuição em seu grupo de distribuição de tráfego padrão determina apenas o que Região da AWS é usado para facilitar o login. Independentemente de como a distribuiçãoSignInConfigestá configurada, o Amazon Connect sempre tenta fazer login dos atendentes nas duas regiões da instância do Amazon Connect. -
Depois de replicar uma instância do Amazon Connect, somente um endpoint de SAML login é gerado para suas instâncias. Esse endpoint sempre contém a fonte Região da AWS noURL.
-
Você não precisa configurar um estado de retransmissão ao usar o SAML login personalizado com o Amazon URL Connect Global Resiliency.
Como integrar o provedor de identidades
-
Quando você cria uma réplica da sua instância do Amazon Connect usando o ReplicateInstanceAPI, um SAML login personalizado URL é gerado para suas instâncias do Amazon Connect. O URL é gerado no seguinte formato:
https://instance-id.source-region.sign-in.connect.aws/saml-
instance-idé o ID da instância de qualquer instância em seu grupo de instâncias. O ID da instância é idêntico nas regiões de origem e réplica. -
source-regioncorresponde à AWS região de origem na qual o ReplicateInstanceAPIfoi chamado.
-
-
Adicione a seguinte política de confiança à sua função na IAM Federação. Use o URL para o SAML endpoint de login global, conforme mostrado no exemplo a seguir.
{ "Version":"2012-10-17", "Statement":[ { "Effect":"Allow", "Principal":{ "Federated":[ "saml-provider-arn" ] }, "Action":"sts:AssumeRoleWithSAML", "Condition":{ "StringLike":{ "SAML:aud":[ "https://instance-id.source-region.sign-in.connect.aws/saml*" ] } } } ] }nota
saml-provider-arné o recurso do provedor de identidade criado emIAM. -
Conceda acesso
connect:GetFederationTokenà sua funçãoInstanceIdna IAM Federação. Por exemplo:{ "Version": "2012-10-17", "Statement": [ { "Sid": "GetFederationTokenAccess", "Effect": "Allow", "Action": "connect:GetFederationToken", "Resource": "*", "Condition": { "StringEquals": { "connect:InstanceId": "your-instance-id" } } } ] } -
Adicione um mapeamento de atributos à aplicação do provedor de identidades usando as strings de atributos e valores a seguir.
Atributo Valor https://aws.amazon.com/SAML/Atributos/Função
saml-role-arn,identity-provider-arn -
Configure o Assertion Consumer Service (ACS) URL do seu provedor de identidade para apontar para seu SAML login URL personalizado. Use o exemplo a seguir para ACSURL:
https://instance-id.source-region.sign-in.connect.aws/saml?&instanceId=instance-id&accountId=your AWS account ID&role=saml-federation-role&idp=your SAML IDP&destination=optional-destination -
Defina os seguintes campos nos URL parâmetros:
-
instanceId: o identificador da instância do Amazon Connect. Para obter instruções sobre como localizar o ID da instância, consulte Encontre seu ID de instância do Amazon Connect/ ARN. -
accountId: o ID da AWS conta em que as instâncias do Amazon Connect estão localizadas. -
role: Defina o nome ou o Amazon Resource Name (ARN) da SAML função usada para a federação do Amazon Connect. -
idp: Defina o nome ou o Amazon Resource Name (ARN) do provedor de SAML identidade emIAM. -
destination: defina o caminho opcional pelo qual os atendentes chegarão à instância após o login (por exemplo:/agent-app-v2).
-
