將您的身分提供者 (IdP) 與 Amazon Connect 全球備援 SAML 登入端點整合。 - Amazon Connect
開始之前須知事項如何整合您的身分提供者

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

將您的身分提供者 (IdP) 與 Amazon Connect 全球備援 SAML 登入端點整合。

若要讓您的客服人員登入一次,並登入兩個 AWS 區域,以處理目前作用中區域的聯絡人,您需要設定 IAM 設定以使用 SAML 端點中的全域登入。

開始之前

您必須為您的 Amazon Connect 執行個體啟用 SAML,才能使用 Amazon Connect 全球恢復能力。如需有關使用 IAM 聯合的入門資訊,請參閱啟用 SAML 2.0 聯合身分使用者存取 AWS 管理主控台

須知事項

  • 若要執行本主題中的步驟,需要您的執行個體 ID。如需有關如何尋找的說明,請參閱 尋找您的 Amazon Connect 執行個體 ID 或 ARN

  • 您還需要知道 Amazon Connect 執行個體的來源區域。如需有關如何尋找的說明,請參閱 如何找到您的 Amazon Connect 執行個體來源區域

  • 如果您要在 iframe 中內嵌 Connect 應用程式,則必須確保您的網域同時存在於來源和複本執行個體的核准原始伺服器清單中,以便全域登入運作。

    若要在執行個體層級設定已核准原始伺服器,請遵循中的步驟在 Amazon Connect 中使用整合式應用程式的允許清單

  • 必須已在來源和複本兩者 Amazon Connect 執行個體中建立客服人員,且使用者名稱與身分提供者 (IdP) 的角色工作階段名稱相同。否則,您會收到 UserNotOnboardedException 例外狀況,且可能會失去執行個體之間的客服人員備援功能。

  • 在客服人員嘗試登入之前,您必須先將客服人員與流量分佈群組建立關聯。否則,客服人員將登入失敗,並顯示 ResourceNotFoundException。如需有關如何設定流量分佈群組並將客服人員與其關聯的相關資訊,請參閱 將客服人員與跨多個 AWS 區域的 Amazon Connect 執行個體建立關聯

  • 當您的客服人員使用新的 SAML 登入 URL 聯合登入 Amazon Connect 時,無論流量分佈群組中的 SignInConfig 如何設定,Amazon Connect 全球恢復能力都會嘗試將客服人員登入您的來源和複本區域/執行個體。您可以通過檢查 CloudTrail 日誌來驗證。

  • 預設流量SignInConfig分佈群組中的分佈只會決定 AWS 區域 用於促進登入的分佈。無論您的 SignInConfig 分佈設定方式為何,Amazon Connect 一律會嘗試將客服人員登入 Amazon Connect 執行個體的兩個區域。

  • 複寫 Amazon Connect 執行個體後,只會為您的執行個體產生一個 SAML 登入端點。此端點一律包含 URL AWS 區域 中的來源。

  • 將個人化 SAML 登入 URL 與 Amazon Connect 全球恢復能力搭配使用時,您不需要設定轉送狀態。

如何整合您的身分提供者

  1. 當您使用 ReplicateInstance API 建立 Amazon Connect 執行個體的複本時,系統會為您的 Amazon Connect 執行個體產生個人化的 SAML 登入 URL。產生的 URL 格式如下:

    https://instance-id.source-region.sign-in.connect.aws/saml

    1. 執行個體 ID 是執行個體群組中任一執行個體的執行個體 ID。來源區域和複本區域中的執行個體 ID 相同。

    2. source-region 對應至呼叫 ReplicateInstance API 的來源 AWS 區域。

  2. 將下列信任政策新增至您的 IAM 聯合角色。使用全域登入 SAML 端點的 URL,如下列範例所示。

    {
   "Version":"2012-10-17",
   "Statement":[
      {
         "Effect":"Allow",
         "Principal":{
            "Federated":[
               "saml-provider-arn"
            ]
         },
         "Action":"sts:AssumeRoleWithSAML",
         "Condition":{
            "StringLike":{
               "SAML:aud":[
                  "https://instance-id.source-region.sign-in.connect.aws/saml*"
               ]
            }
         }
      }
   ]
}
    注意

    saml-provider-arn 是 IAM 中建立的身分提供者資源。

  3. 在 IAM 聯合角色中授予 InstanceIdconnect:GetFederationToken 的存取權。例如:

    {
"Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "GetFederationTokenAccess",
            "Effect": "Allow",
            "Action": "connect:GetFederationToken",
            "Resource": "*",
            "Condition": {
                "StringEquals": {
                    "connect:InstanceId": "your-instance-id"
                }
            }
        }
    ]
}

  4. 使用下列屬性和值字串,將屬性對應新增至您的身分提供者應用程式。

    屬性 Value

    https://aws.amazon.com/SAML/Attributes/Role

    saml-role-arnidentity-provider-arn

  5. 設定身分提供者的聲明消費者服務 (ACS) URL,以指向您的個人化 SAML 登入 URL。將下列範例用於 ACS URL:

    https://instance-id.source-region.sign-in.connect.aws/saml?&instanceId=instance-id&accountId=your AWS account ID&role=saml-federation-role&idp=your SAML IDP&destination=optional-destination

  6. 在 URL 參數中設定下列欄位:

    • instanceId:您 Amazon Connect 執行個體的識別符。如需有關如何尋找執行個體 ID 的說明,請參閱 尋找您的 Amazon Connect 執行個體 ID 或 ARN

    • accountId:Amazon Connect 執行個體所在的 AWS 帳戶 ID。

    • role:設定用於 Amazon Connect 聯合的 SAML 角色名稱或 Amazon Resource Name (ARN)。

    • idp:設定 IAM 中 SAML 身分提供者的名稱或 Amazon Resource Name (ARN)。

    • destination:設定為客服人員在登入後登陸執行個體的可選路徑 (例如:/agent-app-v2)。