As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.
Integrar o provedor de identidades (IdP) a um endpoint de login SAML do Amazon Connect Global Resiliency
Para permitir que seus agentes façam login uma vez e estejam conectados às duas AWS regiões para processar contatos da região ativa atual, você precisa definir as configurações do IAM para usar o endpoint SAML de login global.
Antes de começar
Você deve habilitar o SAML para a instância do Amazon Connect para usar o Amazon Connect Global Resiliency. Para obter mais informações, consulte Habilitar o acesso de usuários federados SAML 2.0 ao AWS Management Console.
O que é importante saber
-
Para executar as etapas neste tópico, você precisará do ID da instância. Para obter instruções sobre como encontrá-la, consulte Encontrar o ID ou ARN da instância do Amazon Connect.
-
Você também precisará saber qual é a região de origem das instâncias do Amazon Connect. Para obter instruções sobre como encontrá-la, consulte Como encontrar a região de origem das instâncias do Amazon Connect.
-
Se você estiver incorporando a aplicação Connect em um iframe, deverá garantir que o domínio esteja presente na lista de origens aprovadas na instância de origem e de réplica para que o login global funcione.
Para configurar as origens aprovadas no nível da instância, siga as etapas em Usar uma lista de permissões para aplicações integradas no Amazon Connect.
-
Os atendentes já devem estar criados em ambas as instâncias (origem e réplica) do Amazon Connect e ter um nome de usuário igual ao nome da sessão de função do provedor de identidades (IdP). Caso contrário, você receberá uma
UserNotOnboardedExceptione correrá o risco de perder os recursos de redundância de atendentes entre as instâncias. -
Você deve associar os atendentes a um grupo de distribuição de tráfego antes que eles tentem fazer login. Do contrário, o login do atendente apresentará falha com uma
ResourceNotFoundException. Para obter informações sobre como configurar grupos de distribuição de tráfego e associar atendentes a eles, consulte Associe agentes às instâncias do Amazon Connect em várias AWS regiões. -
Quando os atendentes se agrupam no Amazon Connect com o novo URL de login do SAML, o Amazon Connect Global Resiliency sempre tenta registrar o atendente em suas regiões/instâncias de origem e réplica, independentemente de como
SignInConfigestá definida no grupo de distribuição de tráfego. Você pode verificar isso verificando CloudTrail os registros. -
A
SignInConfigdistribuição em seu grupo de distribuição de tráfego padrão determina apenas o que Região da AWS é usado para facilitar o login. Independentemente de como a distribuiçãoSignInConfigestá configurada, o Amazon Connect sempre tenta fazer login dos atendentes nas duas regiões da instância do Amazon Connect. -
Após a replicação de uma instância do Amazon Connect, somente um endpoint de login do SAML é gerado para as instâncias. Esse endpoint sempre contém a fonte Região da AWS na URL.
-
Não há necessidade de configurar um estado de retransmissão ao usar o URL de login personalizado do SAML com o Amazon Connect Global Resiliency.
Como integrar o provedor de identidades
-
Quando você cria uma réplica da sua instância do Amazon Connect usando a ReplicateInstanceAPI, um URL de login SAML personalizado é gerado para suas instâncias do Amazon Connect. O URL é gerado no seguinte formato:
https://instance-id.source-region.sign-in.connect.aws/saml-
instance-idé o ID da instância de qualquer instância em seu grupo de instâncias. O ID da instância é idêntico nas regiões de origem e réplica. -
source-regioncorresponde à AWS região de origem na qual a ReplicateInstanceAPI foi chamada.
-
-
Adicione a política de confiança a seguir ao seu perfil de federação do IAM. Use o URL para o endpoint de login global do SAML conforme mostrado no exemplo a seguir.
{ "Version":"2012-10-17", "Statement":[ { "Effect":"Allow", "Principal":{ "Federated":[ "saml-provider-arn" ] }, "Action":"sts:AssumeRoleWithSAML", "Condition":{ "StringLike":{ "SAML:aud":[ "https://instance-id.source-region.sign-in.connect.aws/saml*" ] } } } ] }nota
saml-provider-arné o recurso do provedor de identidades criado no IAM. -
Permita o acesso de
connect:GetFederationTokenaoInstanceIdna federação do IAM. Por exemplo:{ "Version": "2012-10-17", "Statement": [ { "Sid": "GetFederationTokenAccess", "Effect": "Allow", "Action": "connect:GetFederationToken", "Resource": "*", "Condition": { "StringEquals": { "connect:InstanceId": "your-instance-id" } } } ] } -
Adicione um mapeamento de atributos à aplicação do provedor de identidades usando as strings de atributos e valores a seguir.
Atributo Valor https://aws.amazon.com/SAML/Atributos/Função
saml-role-arn,identity-provider-arn -
Configure o URL do Assertion Consumer Service (ACS) do provedor de identidades para apontar para o URL de login personalizado do SAML. Use o seguinte exemplo para o URL do ACS:
https://instance-id.source-region.sign-in.connect.aws/saml?&instanceId=instance-id&accountId=your AWS account ID&role=saml-federation-role&idp=your SAML IDP&destination=optional-destination -
Defina os seguintes campos nos parâmetros do URL:
-
instanceId: o identificador da instância do Amazon Connect. Para obter instruções sobre como localizar o ID da instância, consulte Encontrar o ID ou ARN da instância do Amazon Connect. -
accountId: o ID da AWS conta em que as instâncias do Amazon Connect estão localizadas. -
role: defina como o nome ou o nome do recurso da Amazon (ARN) da função do SAML usada para federação do Amazon Connect. -
O nome do recurso da Amazon (ARN) do provedor de identidades SAML do IAM.
-
destination: defina o caminho opcional pelo qual os atendentes chegarão à instância após o login (por exemplo:/agent-app-v2).
-
