將您的身分提供者 IdP) 與 Amazon Connect Global Resiliency SAML登入端點整合 - Amazon Connect
開始之前須知事項如何整合您的身分提供者

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

將您的身分提供者 IdP) 與 Amazon Connect Global Resiliency SAML登入端點整合

若要讓您的客服人員登入一次,並登入兩個 AWS 區域以處理目前作用中區域的聯絡人,您需要設定 IAM設定以使用全域登入SAML端點。

開始之前

您必須SAML啟用 Amazon Connect 執行個體才能使用 Amazon Connect Global Resiliency。如需有關IAM聯合入門的資訊,請參閱啟用 SAML 2.0 聯合使用者以存取AWS管理主控台

須知事項

  • 若要執行本主題中的步驟,需要您的執行個體 ID。如需有關如何尋找的說明,請參閱 尋找您的 Amazon Connect 執行個體 ID 或 ARN

  • 您還需要知道 Amazon Connect 執行個體的來源區域。如需有關如何尋找的說明,請參閱 如何找到您的 Amazon Connect 執行個體來源區域

  • 如果您要在 iframe 中內嵌 Connect 應用程式,則必須確保您的網域同時存在於來源和複本執行個體的核准原始伺服器清單中,才能讓全域登入正常運作。

    若要在執行個體層級設定已核准原始伺服器,請遵循 中的步驟針對 Amazon Connect 中的整合應用程式使用允許清單

  • 必須已在來源和複本兩者 Amazon Connect 執行個體中建立客服人員,且使用者名稱與身分提供者 (IdP) 的角色工作階段名稱相同。否則,您會收到 UserNotOnboardedException 例外狀況,且可能會失去執行個體之間的客服人員備援功能。

  • 在客服人員嘗試登入之前,您必須先將客服人員與流量分佈群組建立關聯。否則,客服人員將登入失敗,並顯示 ResourceNotFoundException。如需有關如何設定流量分佈群組並將客服人員與其關聯的相關資訊,請參閱 將客服人員與跨多個 AWS 區域的 Amazon Connect 執行個體建立關聯

  • 當您的代理程式與新的SAML登入 聯合到 Amazon Connect 時URL,無論流量分佈群組中如何SignInConfig設定,Amazon Connect Global Resiliency 一律會嘗試將代理程式登入您的來源和複本區域/執行個體。您可以透過檢查 CloudTrail 日誌來驗證這一點。

  • 預設流量SignInConfig分佈群組中的分佈只會決定 AWS 區域 用於促進登入的 。無論您的 SignInConfig 分佈設定方式為何,Amazon Connect 一律會嘗試將客服人員登入 Amazon Connect 執行個體的兩個區域。

  • 複寫 Amazon Connect 執行個體之後,只會為您的執行個體產生一個SAML登入端點。此端點一律包含 AWS 區域 中的來源URL。

  • URL 搭配 Amazon Connect Global Resiliency 使用個人化SAML登入時,您不需要設定轉接狀態。

如何整合您的身分提供者

  1. 當您使用 建立 Amazon Connect ReplicateInstance 執行個體複本時API,URL會為您的 Amazon Connect 執行個體產生個人化SAML登入。URL 會以下列格式產生:

    https://instance-id.source-region.sign-in.connect.aws/saml

    1. instance-id 是執行個體群組中任一執行個體的執行個體 ID。來源區域和複本區域中的執行個體 ID 相同。

    2. source-region 對應至ReplicateInstanceAPI呼叫 的來源 AWS 區域。

  2. 將下列信任政策新增至IAM您的聯合角色。將 URL用於全域登入SAML端點,如下列範例所示。

    {
   "Version":"2012-10-17",
   "Statement":[
      {
         "Effect":"Allow",
         "Principal":{
            "Federated":[
               "saml-provider-arn"
            ]
         },
         "Action":"sts:AssumeRoleWithSAML",
         "Condition":{
            "StringLike":{
               "SAML:aud":[
                  "https://instance-id.source-region.sign-in.connect.aws/saml*"
               ]
            }
         }
      }
   ]
}
    注意

    saml-provider-arn 是在 中建立的身分提供者資源IAM。

  3. InstanceId 為您的IAM聯合角色授予對 connect:GetFederationToken 的存取權。例如:

    {
"Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "GetFederationTokenAccess",
            "Effect": "Allow",
            "Action": "connect:GetFederationToken",
            "Resource": "*",
            "Condition": {
                "StringEquals": {
                    "connect:InstanceId": "your-instance-id"
                }
            }
        }
    ]
}

  4. 使用下列屬性和值字串,將屬性對應新增至您的身分提供者應用程式。

    屬性 Value

    https://aws.amazon.com/SAML/屬性/角色

    saml-role-arn,identity-provider-arn

  5. 設定身分提供者URL的 Assertion Consumer Service (ACS),以指向您的個人化SAML登入 URL。針對 ACS 使用以下範例URL:

    https://instance-id.source-region.sign-in.connect.aws/saml?&instanceId=instance-id&accountId=your AWS account ID&role=saml-federation-role&idp=your SAML IDP&destination=optional-destination

  6. 在URL參數中設定下列欄位:

    • instanceId:您 Amazon Connect 執行個體的識別符。如需有關如何尋找執行個體 ID 的說明,請參閱 尋找您的 Amazon Connect 執行個體 ID 或 ARN

    • accountId:Amazon Connect 執行個體所在的 AWS 帳戶 ID。

    • role:設定為 Amazon Connect 聯合SAML角色的名稱或 Amazon Resource Name (ARN)。 Amazon Connect

    • idp:將 設定為 中SAML身分提供者的名稱或 Amazon Resource Name (ARN)IAM。

    • destination:設定為客服人員在登入後登陸執行個體的可選路徑 (例如:/agent-app-v2)。