將您的身分供應商 (IdP) 與 Amazon Connect 全球備援SAML登入端點整合 - Amazon Connect
開始之前須知事項如何整合您的身分提供者

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

將您的身分供應商 (IdP) 與 Amazon Connect 全球備援SAML登入端點整合

若要讓您的專員一次登入,並登入這兩個區 AWS 域以處理來自目前作用中區域的聯絡人,您需要進行IAM設定以使用全域登入SAML端點。

開始之前

您必須啟SAML用 Amazon Connect 執行個體才能使用 Amazon Connect 全球恢復能力。如需開始使用同IAM盟的相關資訊,請參閱啟用 SAML 2.0 同盟使用者存取AWS管理主控台

須知事項

  • 若要執行本主題中的步驟,需要您的執行個體 ID。如需有關如何尋找的說明,請參閱 找到您的 Amazon Connect 實例 ID/ARN

  • 您還需要知道 Amazon Connect 執行個體的來源區域。如需有關如何尋找的說明,請參閱 如何找到您的 Amazon Connect 執行個體來源區域

  • 如果您將 Connect 應用程式內嵌在 iframe 中,則必須確保您的網域同時出現在來源和複本執行個體的核准來源清單中,以便全域登入正常運作。

    若要在執行個體層級設定「核可的來源」,請遵循中的步驟使用整合應用程式的允許清單

  • 必須已在來源和複本兩者 Amazon Connect 執行個體中建立客服人員,且使用者名稱與身分提供者 (IdP) 的角色工作階段名稱相同。否則,您會收到 UserNotOnboardedException 例外狀況,且可能會失去執行個體之間的客服人員備援功能。

  • 在客服人員嘗試登入之前,您必須先將客服人員與流量分佈群組建立關聯。否則,客服人員將登入失敗,並顯示 ResourceNotFoundException。如需有關如何設定流量分佈群組並將客服人員與其關聯的相關資訊,請參閱 將代理程式與多個 AWS 區域的執行個體

  • 當您的代理程式透過新的SAML登入方式聯合到 Amazon Connect 時URL,無論流量分配群組中的設定如何SignInConfig,Amazon Connect 全球彈性都會嘗試將代理程式登入您的來源和複本區域/執行個體。您可以通過檢查 CloudTrail 日誌來驗證這一點。

  • 預設流量通SignInConfig訊群組中的散佈只會決定 AWS 區域 哪一個用來協助登入。無論您的 SignInConfig 分佈設定方式為何,Amazon Connect 一律會嘗試將客服人員登入 Amazon Connect 執行個體的兩個區域。

  • 複寫 Amazon Connect 執行個體後,只會為您的執行個體產生一個SAML登入端點。此端點永遠包含 AWS 區域 中的來源URL。

  • 使用URL具有 Amazon Connect 全球恢復能力的個人化SAML登入時,您不需要設定轉送狀態。

如何整合您的身分提供者

  1. 當您使用建立 Amazon Connect 執行個體的複本時 ReplicateInstanceAPI,系統會為您的 Amazon Connect 執行URL個體產生個人化SAML登入。會URL以下列格式產生:

    https://instance-id.source-region.sign-in.connect.aws/saml

    1. instance-id 是執行個體群組中任一執行個體的執行個體 ID。來源區域和複本區域中的執行個體 ID 相同。

    2. source-region 對應於呼叫的ReplicateInstanceAPI來源 AWS 區域。

  2. 將下列信任原則新增至您的IAM同盟角色。使URL用全域登入SAML端點,如下列範例所示。

    {
   "Version":"2012-10-17",
   "Statement":[
      {
         "Effect":"Allow",
         "Principal":{
            "Federated":[
               "saml-provider-arn"
            ]
         },
         "Action":"sts:AssumeRoleWithSAML",
         "Condition":{
            "StringLike":{
               "SAML:aud":[
                  "https://instance-id.source-region.sign-in.connect.aws/saml*"
               ]
            }
         }
      }
   ]
}
    注意

    saml-provider-arn是在中建立的身分識別提供者資源IAM。

  3. 授與您connect:GetFederationToken的IAM同盟角色InstanceId的存取權。例如:

    {
"Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "GetFederationTokenAccess",
            "Effect": "Allow",
            "Action": "connect:GetFederationToken",
            "Resource": "*",
            "Condition": {
                "StringEquals": {
                    "connect:InstanceId": "your-instance-id"
                }
            }
        }
    ]
}

  4. 使用下列屬性和值字串,將屬性對應新增至您的身分提供者應用程式。

    屬性 Value

    https://aws.amazon.com/SAML/屬性/角色

    saml-role-arn,identity-provider-arn

  5. 將身分提供者URL的斷言消費者服務(ACS)配置為指向您的個性化SAML登錄URL。請使用下列範例 ACSURL:

    https://instance-id.source-region.sign-in.connect.aws/saml?&instanceId=instance-id&accountId=your AWS account ID&role=saml-federation-role&idp=your SAML IDP&destination=optional-destination

  6. 在URL參數中設定下列欄位:

    • instanceId:您 Amazon Connect 執行個體的識別符。如需有關如何尋找執行個體 ID 的說明,請參閱 找到您的 Amazon Connect 實例 ID/ARN

    • accountId:Amazon Connect 執行個體所在的 AWS 帳戶 ID。

    • role:設定為用於 Amazon Connect 聯盟之SAML角色的名稱或亞馬遜資源名稱 (ARN)。

    • idp:在中設定SAML身分識別提供者的名稱或 Amazon 資源名稱 (ARN) IAM。

    • destination:設定為客服人員在登入後登陸執行個體的可選路徑 (例如:/agent-app-v2)。