本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
将您的身份提供商 (IdP) 与 Amazon Connect 全球弹性SAML登录终端节点集成
要使您的代理能够登录一次并登录到两个 AWS 区域以处理来自当前活动区域的联系人,您需要将IAM设置配置为使用全局登录SAML端点。
开始前的准备工作
您必须启用 SAML Amazon Connect 实例才能使用 Amazon Connect 全球弹性。有关开始使用IAM联合身份的信息,请参阅允许 SAML 2.0 联合身份用户访问AWS管理控制台。
需要了解的重要事项
-
要执行本主题中的步骤,您需要使用您的实例 ID。有关其查找方法的说明,请参阅找到你的 Amazon Connect 实例 ID/ ARN。
-
此外,还需要知道您的 Amazon Connect 实例的源区域。有关其查找方法的说明,请参阅如何查找您的 Amazon Connect 实例的源区域。
-
如果您要将 Connect 应用程序嵌入到 iframe 中,则必须确保您的域名出现在源实例和副本实例的已批准来源列表中,才能使全局登录生效。
要在实例级别配置已批准的来源,请按照中的步骤操作为集成应用程序使用允许列表。
-
座席必须已同时 在您的源和副本 Amazon Connect 实例中创建,并且其用户名必须与身份提供商(IdP)中的角色会话名称相同。否则,您将收到
UserNotOnboardedException
异常,并有失去实例之间的座席冗余功能的风险。 -
在座席尝试登录之前,您必须将座席与流量分配组相关联。否则,座席登录将失败,并显示
ResourceNotFoundException
。有关如何设置您的流量分配组以及如何将座席与其关联的信息,请参阅将代理与跨多个 AWS 区域的实例关联。 -
当您的代理使用新的SAML登录功能联合到 Amazon Connect 时URL,无论您的流量分配组中如何
SignInConfig
配置,Amazon Connect 全球弹性始终尝试将代理登录到您的源区域和副本区域/实例。您可以通过检查 CloudTrail 日志来验证这一点。 -
默认流量通讯组中的
SignInConfig
分布仅决定 AWS 区域 哪个用于简化登录。无论您的SignInConfig
分配是如何配置的,Amazon Connect 都会始终尝试将座席登录到您的 Amazon Connect 实例所在的两个区域。 -
复制 Amazon Connect 实例后,只会为您的实例生成一个SAML登录终端节点。此端点始终包含 AWS 区域 中的源URL。
-
在 Amazon Connect 全球弹性中使用个性化SAML登录URL时,您无需配置中继状态。
如何集成身份提供者
-
当您使用创建 Amazon Connect 实例的副本时 ReplicateInstanceAPI,系统会为您URL的 Amazon Connect 实例生成个性化SAML登录信息。按以下格式生成:URL
https://
instance-id
.source-region
.sign-in.connect.aws/saml-
instance-id
是您的实例组中任一实例的实例 ID。源区域和副本区域中的实例 ID 相同。 -
source-region
对应于ReplicateInstanceAPI被调用的源 AWS 区域。
-
-
将以下信任策略添加到您的IAM联合角色中。使用作为全局登录SAML终端节点,如以下示例所示。URL
{ "Version":"2012-10-17", "Statement":[ { "Effect":"Allow", "Principal":{ "Federated":[ "saml-provider-arn" ] }, "Action":"sts:AssumeRoleWithSAML", "Condition":{ "StringLike":{ "SAML:aud":[ "https://instance-id.source-region.sign-in.connect.aws/saml*" ] } } } ] }
注意
saml-provider-arn
是在中创建的身份提供商资源IAM。 -
connect:GetFederationToken
为你的InstanceId
IAM联盟角色授予访问权限。例如:{ "Version": "2012-10-17", "Statement": [ { "Sid": "GetFederationTokenAccess", "Effect": "Allow", "Action": "connect:GetFederationToken", "Resource": "*", "Condition": { "StringEquals": { "connect:InstanceId": "
your-instance-id
" } } } ] } -
使用以下属性和值字符串向您的身份提供者应用程序添加属性映射。
属性 值 https://aws.amazon.com/SAML/属性/角色
saml-role-arn
,identity-provider-arn
-
将身份提供商的 Assertion 消费者服务 (ACS) URL 配置为指向您的个性化SAML登录URL。使用以下示例 ACSURL:
https://
instance-id
.source-region
.sign-in.connect.aws/saml?&instanceId=instance-id
&accountId=your AWS account ID
&role=saml-federation-role
&idp=your SAML IDP
&destination=optional-destination
-
在URL参数中设置以下字段:
-
instanceId
:Amazon Connect 实例的标识符。有关如何查找实例 ID 的说明,请参阅找到你的 Amazon Connect 实例 ID/ ARN。 -
accountId
:Amazon Connect 实例所在的 AWS 账户 ID。 -
role
:设置为用于 Amazon Connect 联合ARN身份验证的SAML角色的名称或亚马逊资源名称 ()。 -
idp
:设置为中SAML身份提供者的名称或 Amazon 资源名称 (ARN) IAM。 -
destination
:设置为座席在登录后将在其中登录实例的可选路径(例如:/agent-app-v2
)。
-