Einrichten von IP-Adressbeschränkungen und Sitzungs-Timeouts in Amazon Connect - Amazon Connect
Erste Schritte mit AuthentifizierungsprofilenKonfigurieren der IP-basierten ZugriffskontrolleBeispiele für IP-AdresskonfigurationenKonfigurieren Sie Timeouts für Benutzersitzungen

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Einrichten von IP-Adressbeschränkungen und Sitzungs-Timeouts in Amazon Connect

Anmerkung

Bei diesem Feature handelt es sich um eine Vorabversion, die Änderungen unterliegt. Um Zugriff auf dieses Feature zu erhalten, wenden Sie sich an Ihren Amazon Connect Solutions Architect, den Technical Account Manager oder den Support.

Um das Contact Center weiter zu sperren, um beispielsweise die Anforderungen und Bestimmungen Ihrer Branche zu erfüllen, können Sie IP-Adressbeschränkungen und Sitzungs-Timeouts einrichten.

  • IP-Adressbeschränkungen bewirken, dass sich die Kundendienstmitarbeiter nur über das VPN anmelden dürfen und dass der Zugriff von bestimmten Ländern oder Subnetzen aus blockiert wird.

  • Bei Sitzungs-Timeouts müssen sich Kundendienstmitarbeiter erneut bei Amazon Connect anmelden.

In Amazon Connect konfigurieren Sie ein Authentifizierungsprofil, um IP-Adressbeschränkungen und die Sitzungsdauer der angemeldeten Kundendienstmitarbeiter festzulegen. Ein Authentifizierungsprofil ist eine Ressource, die die Authentifizierungseinstellungen für Benutzer im Contact Center speichert.

Erste Schritte mit Authentifizierungsprofilen

Die Amazon-Connect-Instance enthält ein Standard-Authentifizierungsprofil. Dieses Authentifizierungsprofil gilt standardmäßig für alle Benutzer in Ihrem Contact Center und muss nicht zugewiesen werden.

Authentifizierungsprofile können derzeit nur mit dem AWS SDK konfiguriert werden. Verwenden Sie die folgenden Befehle, um Ihr Standardauthentifizierungsprofil zu konfigurieren.

Tipp

Für die Ausführung dieser Befehle benötigen Sie Ihre Amazon-Connect-Instance-ID. Anweisungen zum Auffinden des Instance-ARN finden Sie unter Suchen Ihrer Instance-ID oder des ARN von Amazon Connect.

  1. Führen Sie die Authentifizierungsprofile in Ihrer Instance auf, um die Profil-ID des Authentifizierungsprofils zu erhalten, das Sie aktualisieren möchten. Sie können die ListAuthenticationProfileAPI aufrufen oder den list-authentication-profiles CLI-Befehl ausführen.

    Nachfolgend finden Sie einen list-authentication-profiles-Beispielbefehl:

    aws connect list-authentication-profiles --instance-id your-instance-id

    Im Folgenden finden Sie ein Beispiel für das Standardauthentifizierungsprofil, das vom list-authentication-profiles-Befehl zurückgegeben wird.

    {
    "AuthenticationProfileSummaryList": [
        {
        "Arn": "arn:aws:connect:us-west-2:account-id:instance/your-instance-id/authentication-profile/profile-id",
        "Id": "profile-id",
        "IsDefault": true,
        "LastModifiedRegion": "us-west-2",
        "LastModifiedTime": 1.719249173664E9,
        "Name": "Default Authentication Profile"
        }
    ],
    "NextToken": null
}

  2. Sehen Sie sich die Konfiguration des Authentifizierungsprofils an, das Sie aktualisieren möchten. Sie können den describe-authentication-profile CLI-Befehl aufrufen DescribeAuthenticationProfileoder ausführen.

    Nachfolgend finden Sie einen describe-authentication-profile-Beispielbefehl:

    aws connect describe-authentication-profile --instance-id your-instance-id --profile-id profile-id

    Im Folgenden sehen Sie ein Beispiel für die Informationen, die der describe-authentication-profile-Befehl zurückgibt.

    {
    "AuthenticationProfile": {
    "AllowedIps": [],
    "Arn": "arn:aws:connect:us-west-2:account-id:instance/your-instance-id/authentication-profile/profile-id",
    "BlockedIps": [],
    "CreatedTime": 1.718999177811E9,
    "Description": "A basic default Authentication Profile",
    "Id": "profile-id",
    "IsDefault": true,
    "LastModifiedRegion": "us-west-2",
    "LastModifiedTime": 1.719249173664E9,
    "MaxSessionDuration": 720,
    "Name": "Default Authentication Profile",
    "PeriodicSessionDuration": 60,
    "SessionInactivityDuration": 60,
    "SessionInactivityHandlingEnabled": false
    }
}

    Eine Beschreibung der einzelnen Felder finden Sie AuthenticationProfilein der Amazon Connect API-Referenz.

  3. Konfigurieren Sie das Authentifizierungsprofil mithilfe der UpdateAuthenticationProfileAPI oder des update-authentication-profile CLI-Befehls. Alle Felder mit Ausnahme von InstanceId und ProfileId sind optional. Es werden nur die Einstellungen geändert, die Sie im API-Aufruf definieren.

    Nachfolgend finden Sie einen update-authentication-profile-Beispielbefehl. Er konfiguriert das Standard-Authentifizierungsprofil, das automatisch allen Benutzern zugewiesen wird. Es erlaubt einige IP-Adressen, blockiert andere, ermöglicht automatische Abmeldungen bei Benutzerinaktivität und legt die Dauer der Sitzungsinaktivität auf 60 Minuten fest.

    aws connect update-authentication-profile 
    --instance-id your-instance-id 
    --profile-id profile-id
    --name "Default Authentication Profile"
    --description "A basic default Authentication Profile"
    --allowed-ips "ip-range-1" "ip-range-2" ...
    --blocked-ips "ip-range-3" "ip-range-4" ...
    --session-inactivity-handling-enabled
    --session-inactivity-duration 60

Konfigurieren der IP-basierten Zugriffskontrolle

Wenn Sie den Zugriff auf das Contact Center anhand von IP-Adressen konfigurieren möchten, können Sie das IP-basierte Feature für Zugriffskontrolle Ihres Authentifizierungsprofils verwenden.

Es gibt zwei Arten von IP-Konfigurationen, die Sie in einem Authentifizierungsprofil konfigurieren können: zulässige IP-Adressbereiche und blockierte IP-Adressbereiche. Im Folgenden wird die Funktionsweise der IP-basierten Zugriffskontrolle beschrieben.

  • IP-Adressen können beide IPV4 Formate haben. IPV6

  • Sie können sowohl einzelne IP-Adressen als auch IP-Adressbereiche in CIDR-Notation definieren.

  • Blockierte IP-Konfigurationen haben immer Vorrang.

  • Wenn IP-Adressen in der Liste der zulässigen IP-Adressen definiert sind, sind nur diese IP-Adressen zulässig.

    • Der Zugriff auf diese IP-Adressen kann anhand der Liste der blockierten IP-Adressen nach unten beschränkt werden.

  • Wenn nur blockierte IP-Adressen definiert sind, kann jede IP-Adresse, mit Ausnahme der in der Sperrliste definierten, auf die Instance zugreifen.

  • Wenn IP-Adressen sowohl in der Liste der zulässigen als auch in der Liste der blockierten IP-Adressen definiert sind, sind nur die im zulässigen und nicht die im blockierten Bereich definierten IP-Adressen erlaubt.

Anmerkung

Die auf IP-Adressen basierende Zugriffskontrolle gilt nicht für die Administratoranmeldung im Notfall. Um Einschränkungen für diesen Benutzer anzuwenden, können Sie SourceIp-Einschränkungen in Ihren IAM-Richtlinien für die API connect:AdminGetEmergencyAccessToken einrichten.

Wenn festgestellt wird, dass die IP-Adresse eines Benutzers von der Instance blockiert wird, wird die Sitzung des Benutzers für ungültig erklärt. Ein Abmeldeereignis wird im Anmeldungs-/Abmeldungsbericht veröffentlicht.

Auswirkungen einer fehlgeschlagenen IP-Adressprüfung für die Benutzer

Kundendienstmitarbeiters (Kundendienstmitarbeiter)

Wenn ein Kundendienstmitarbeiter im Contact Control Panel (CCP) aktiv ist, wird seine IP-Adresse regelmäßig überprüft.

Folgendes passiert, wenn die IP-Adresse die Prüfung nicht besteht:

  • Wenn sich der Kundendienstmitarbeiter nicht in einem aktiven Anruf befindet, wird er abgemeldet, wenn seine IP-Adresse in eine unzulässige Adresse geändert wird.

  • Wenn der Agent gerade telefoniert, ist die Sitzung des Agenten ungültig. Dadurch wird der derzeit aktive Anruf jedoch nicht beendet. Es passiert Folgendes:

    1. Der Kundendienstmitarbeiter kann keine Aktionen mehr ausführen, z. B. den Status des Kundendienstmitarbeiters ändern, Anrufe weiterleiten, den Anruf in die Warteschleife setzen, den Anruf beenden oder einen Kundenvorgang erstellen.

    2. Der Kundendienstmitarbeiter wird darüber informiert, dass seine Fähigkeit, im CCP Maßnahmen zu ergreifen, eingeschränkt ist.

    3. Wenn sie sich erfolgreich anmelden, nachdem ihre Sitzung für ungültig erklärt wurde, werden sie wieder in den aktiven Anruf aufgenommen und können erneut Aktionen ausführen.

Admins und Benutzer, die die Amazon Connect Admin-Website verwenden

Wenn die IP-Adressüberprüfung für Administratoren und andere Benutzer fehlschlägt, die Aktionen auf der Amazon Connect -Admin-Website ausführen, z. B. Updates für Ressourcen speichern oder aktive Anrufe tätigen, werden sie automatisch abgemeldet.

Beispiele für IP-Adresskonfigurationen

Beispiel 1: IP-Adressen, die nur in der Liste der zulässigen IP-Adressen definiert sind

  • AllowedIps: [ 111.222.0.0/16 ]

  • BlockedIps: [ ]

Ergebnis:

  • Nur IP-Adressen zwischen 111.222.0.0 und 111.222.255.255 dürfen auf die Instance zugreifen.

Beispiel 2: IP-Adressen, die nur in der Liste der blockierten IP-Adressen definiert sind

  • AllowedIps: [ ]

  • BlockedIps: [155.155.155.0/24 ]

Ergebnis:

  • Alle IP-Adressen sind erlaubt, mit Ausnahme des IP-Adressbereichs 155.155.155.0 - 155.155.155.255.

Beispiel 3: IP-Adressen, die sowohl in der Liste der zulässigen IP-Adressen als auch in der Liste der blockierten IP-Adressen definiert sind

  • AllowedIps: [ 200.255.0.0/16 ]

  • BlockedIps: [200.255.10.0/24, 200.255.40.50, 192.123.211.211 ]

Ergebnis:

  • Der IP-Adressbereich 200.255.0.0 - 200.255.255.255 ist, mit Ausnahme von (200.255.10.0 - 200.255.10.255 AND 200.255.40.50).

  • Tatsächlich sind folgende Adressen erlaubt: 200.255.0.0 - 200.255.9.255, 200.255.11.0 - 200.255.40.49, 200.255.40.51 - 200.255.255.255.

  • 192.123.211.211 wird effektiv ignoriert, da sich die Adresse nicht im zulässigen Bereich befindet.

Beispiel 4: Weder in der Liste der zulässigen IP-Adressen als auch in der Liste der blockierten IP-Adressen sind Adressen definiert

  • AllowedIps: [ ]

  • BlockedIps: [ ]

In diesem Fall gibt es keine Einschränkungen.

Wichtig

In der allowedIps Liste wird der IPs zulässige Bereich für Ihr Kontaktzentrum nur dann definiert, wenn sie nicht leer ist. Wenn sie leer ist, darf jede IP-Adresse auf Ihr Contact Center zugreifen, sofern sie nicht ausdrücklich von der Liste blockedIps blockiert wird.

Konfigurieren Sie Timeouts für Benutzersitzungen

Eine Amazon Connect Connect-Sitzung ist definiert als ein kontinuierlicher Zeitraum authentifizierten Zugriffs auf die Website Ihres Kontaktzentrums. Es gibt zwei Sitzungs-Timeouts, die für Benutzersitzungen in Ihrem Contact Center gelten:

  • Maximale Sitzungsdauer: Dieser Wert steht für den maximalen Zeitraum, für den ein Contact Center-Benutzer angemeldet sein kann, bevor er gezwungen wird, sich erneut anzumelden. Dieser Wert ist standardmäßig auf 12 Stunden voreingestellt und kann nicht konfiguriert werden.

  • Dauer der Sitzungsinaktivität:: Dieser Wert steht für den Zeitraum, bis ein Agent automatisch vom Contact Center abgemeldet wird, wenn er inaktiv wird.

Standardmäßig bleiben Benutzer in Ihrer Amazon Connect Connect-Instance angemeldet, bis die maximale Sitzungsdauer von 12 Stunden abgelaufen ist, ohne dass sich die Benutzer bei Inaktivität automatisch abmelden. Unternehmen mit strengeren Sicherheits- und Compliance-Anforderungen können jedoch Authentifizierungsprofile nutzen, um eine automatische Abmeldung zu ermöglichen, wenn Benutzer inaktiv werden. Nach der Aktivierung überwacht diese Funktion die Benutzeraktivitätsmuster und beendet Sitzungen automatisch, nachdem die konfigurierte Dauer der Sitzungsinaktivität abgelaufen ist.

Ein Contact Center-Benutzer gilt als aktiv, wenn er eine der folgenden Aktionen ausführt:

  • Maus- und Tastatureingaben im Contact Control Panel (CCP), im Arbeitsbereich für Agenten oder auf der Admin-Website

  • Vorhandensein eines aktiven Sprachkontakts

Wenn festgestellt wird, dass der Benutzer inaktiv ist, erscheint ein Popup-Fenster auf dem Bildschirm, in dem der Benutzer gewarnt wird, dass seine Sitzung aufgrund von Inaktivität bald abläuft. Ein Benutzer kann wählen, ob er angemeldet bleiben oder sich abmelden möchte.

Um die automatische Abmeldung bei Benutzerinaktivität zu aktivieren, führen Sie mithilfe des Amazon Connect SDK die folgenden API-Aufrufe für ein Authentifizierungsprofil in Ihrer Instance durch.

aws connect update-authentication-profile 
    --instance-id <your-instance-id> 
    --profile-id <profile-id>
    --session-inactivity-handling-enabled
    --session-inactivity-duration <minutes between 15 and 720>
Anmerkung

Kunden, die ihr Contact Center mit einem Drittanbieter (wie Salesforce Service Cloud Voice (SCV)) integrieren, sollten in der Herstellerdokumentation nachlesen, ob diese Funktion unterstützt wird, bevor sie automatische Abmeldungen bei Inaktivität aktivieren.

Anmerkung

Kunden, die das AmazonConnect SDK nutzen AmazonConnectStreams , um ihre vorhandenen Webanwendungen in Amazon Connect zu integrieren, müssen die Aktivitätsverwaltung als Teil ihrer Integration implementieren, bevor sie die automatische Abmeldung bei Benutzerinaktivität aktivieren. Weitere Informationen finden Sie in der AmazonConnectStreams oder AmazonConnect SDK-Dokumentation.

Anmerkung

Die automatische Abmeldung bei Benutzerinaktivität wird nicht unterstützt, wenn Amazon Connect in einer Virtual Desktop Infrastructure (VDI) mit einem geteilten CCP-Modell verwendet wird.