将您的身份提供商 (IdP) 与 Amazon Connect 全球弹性SAML登录终端节点集成 - Amazon Connect
开始前的准备工作需要了解的重要事项如何集成身份提供者

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

将您的身份提供商 (IdP) 与 Amazon Connect 全球弹性SAML登录终端节点集成

要使您的代理能够登录一次并登录到两个 AWS 区域以处理来自当前活动区域的联系人,您需要将IAM设置配置为使用全局登录SAML端点。

开始前的准备工作

您必须启用 SAML Amazon Connect 实例才能使用 Amazon Connect 全球弹性。有关开始使用IAM联合身份的信息,请参阅允许 SAML 2.0 联合身份用户访问AWS管理控制台

需要了解的重要事项

  • 要执行本主题中的步骤,您需要使用您的实例 ID。有关其查找方法的说明,请参阅找到你的 Amazon Connect 实例 ID/ ARN

  • 此外,还需要知道您的 Amazon Connect 实例的源区域。有关其查找方法的说明,请参阅如何查找您的 Amazon Connect 实例的源区域

  • 如果您要将 Connect 应用程序嵌入到 iframe 中,则必须确保您的域名出现在源实例和副本实例的已批准来源列表中,才能使全局登录生效。

    要在实例级别配置已批准的来源,请按照中的步骤操作为集成应用程序使用允许列表

  • 座席必须已同时 在您的源和副本 Amazon Connect 实例中创建,并且其用户名必须与身份提供商(IdP)中的角色会话名称相同。否则,您将收到 UserNotOnboardedException 异常,并有失去实例之间的座席冗余功能的风险。

  • 在座席尝试登录之前,您必须将座席与流量分配组相关联。否则,座席登录将失败,并显示 ResourceNotFoundException。有关如何设置您的流量分配组以及如何将座席与其关联的信息,请参阅将代理与跨多个 AWS 区域的实例关联

  • 当您的代理使用新的SAML登录功能联合到 Amazon Connect 时URL,无论您的流量分配组中如何SignInConfig配置,Amazon Connect 全球弹性始终尝试将代理登录到您的源区域和副本区域/实例。您可以通过检查 CloudTrail 日志来验证这一点。

  • 默认流量通讯组中的SignInConfig分布仅决定 AWS 区域 哪个用于简化登录。无论您的 SignInConfig 分配是如何配置的,Amazon Connect 都会始终尝试将座席登录到您的 Amazon Connect 实例所在的两个区域。

  • 复制 Amazon Connect 实例后,只会为您的实例生成一个SAML登录终端节点。此端点始终包含 AWS 区域 中的源URL。

  • 在 Amazon Connect 全球弹性中使用个性化SAML登录URL时,您无需配置中继状态。

如何集成身份提供者

  1. 当您使用创建 Amazon Connect 实例的副本时 ReplicateInstanceAPI,系统会为您URL的 Amazon Connect 实例生成个性化SAML登录信息。按以下格式生成:URL

    https://instance-id.source-region.sign-in.connect.aws/saml

    1. instance-id 是您的实例组中任一实例的实例 ID。源区域和副本区域中的实例 ID 相同。

    2. source-region 对应于ReplicateInstanceAPI被调用的源 AWS 区域。

  2. 将以下信任策略添加到您的IAM联合角色中。使用作为全局登录SAML终端节点,如以下示例所示。URL

    {
   "Version":"2012-10-17",
   "Statement":[
      {
         "Effect":"Allow",
         "Principal":{
            "Federated":[
               "saml-provider-arn"
            ]
         },
         "Action":"sts:AssumeRoleWithSAML",
         "Condition":{
            "StringLike":{
               "SAML:aud":[
                  "https://instance-id.source-region.sign-in.connect.aws/saml*"
               ]
            }
         }
      }
   ]
}
    注意

    saml-provider-arn是在中创建的身份提供商资源IAM。

  3. connect:GetFederationToken为你的InstanceIdIAM联盟角色授予访问权限。例如:

    {
"Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "GetFederationTokenAccess",
            "Effect": "Allow",
            "Action": "connect:GetFederationToken",
            "Resource": "*",
            "Condition": {
                "StringEquals": {
                    "connect:InstanceId": "your-instance-id"
                }
            }
        }
    ]
}

  4. 使用以下属性和值字符串向您的身份提供者应用程序添加属性映射。

    属性

    https://aws.amazon.com/SAML/属性/角色

    saml-role-arn,identity-provider-arn

  5. 将身份提供商的 Assertion 消费者服务 (ACS) URL 配置为指向您的个性化SAML登录URL。使用以下示例 ACSURL:

    https://instance-id.source-region.sign-in.connect.aws/saml?&instanceId=instance-id&accountId=your AWS account ID&role=saml-federation-role&idp=your SAML IDP&destination=optional-destination

  6. 在URL参数中设置以下字段:

    • instanceId:Amazon Connect 实例的标识符。有关如何查找实例 ID 的说明,请参阅找到你的 Amazon Connect 实例 ID/ ARN

    • accountId:Amazon Connect 实例所在的 AWS 账户 ID。

    • role:设置为用于 Amazon Connect 联合ARN身份验证的SAML角色的名称或亚马逊资源名称 ()。

    • idp:设置为中SAML身份提供者的名称或 Amazon 资源名称 (ARN) IAM。

    • destination:设置为座席在登录后将在其中登录实例的可选路径(例如:/agent-app-v2)。