View a markdown version of this page

SAML mit IAM für Connect Customer konfigurieren - Amazon Connect Connect-Kunde
Wichtige HinweiseÜberblick über die Verwendung von SAML mit Connect CustomerSAML-based Authentifizierung für Connect Customer aktivierenAuswahl der SAML-2.0-basierten Authentifizierung bei der Instance-ErstellungAktivieren Sie den SAML-Verbund zwischen Ihrem Identitätsanbieter und AWSKonfigurieren Sie den Identitätsanbieter für die Verwendung regionaler SAML-EndpunkteVerwenden eines Ziels in Ihrer RelayState-URL.Fügen Sie Benutzer zu Ihrer Connect Customer-Instanz hinzuSAML-Benutzeranmeldung und Sitzungsdauer

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

SAML mit IAM für Connect Customer konfigurieren

Connect Customer unterstützt den Identitätsverbund, indem Security Assertion Markup Language (SAML) 2.0 mit AWS IAM konfiguriert wird, um webbasiertes Single Sign-On (SSO) von Ihrem Unternehmen zu Ihrer Connect Customer-Instanz zu ermöglichen. Auf diese Weise können sich Ihre Benutzer bei einem Portal in Ihrer Organisation anmelden, das von einem SAML 2.0-kompatiblen Identitätsanbieter (IdP) gehostet wird, und sich mit einem Single-Sign-On-Erlebnis bei einer Connect Customer-Instanz anmelden, ohne separate Anmeldeinformationen für Connect Customer angeben zu müssen.

Wichtige Hinweise

Bevor Sie beginnen, beachten Sie Folgendes:

Überblick über die Verwendung von SAML mit Connect Customer

Das folgende Diagramm zeigt die Reihenfolge, in der die Schritte für SAML-Anfragen zur Benutzerauthentifizierung und zum Verbund mit Connect Customer ausgeführt werden. Es ist kein Flussdiagramm für ein Bedrohungsmodell.

Überblick über den Anforderungsablauf für SAML-Authentifizierungsanfragen mit Connect Customer.

SAML-Anfragen durchlaufen folgende Schritte:

  1. Der Benutzer wechselt zu einem internen Portal, das einen Link zur Anmeldung bei Connect Customer enthält. Der Link ist im Identitätsanbieter definiert.

  2. Der Verbundservice fordert die Authentifizierung vom Identitätsspeicher der Organisation an.

  3. Der Identitätsspeicher authentifiziert den Benutzer und gibt die Authentifizierungsantwort an den Verbundservice zurück.

  4. Bei einer erfolgreichen Authentifizierung sendet der Verbundservice die SAML-Zusicherung an den Browser des Benutzers.

  5. Der Browser des Benutzers sendet die SAML-Assertion an den AWS SAML-Anmelde-Endpunkt (). https://signin.aws.amazon.com/saml AWS sign in empfängt die SAML-Anfrage, verarbeitet die Anfrage, authentifiziert den Benutzer und initiiert eine Browserumleitung zum Connect Customer-Endpunkt mit dem Authentifizierungstoken.

  6. Mit dem AWS Authentifizierungstoken von autorisiert Connect Customer den Benutzer und öffnet Connect Customer in seinem Browser.

SAML-based Authentifizierung für Connect Customer aktivieren

Die folgenden Schritte sind erforderlich, um die SAML-Authentifizierung für die Verwendung mit Ihrer Connect Customer-Instanz zu aktivieren und zu konfigurieren:

  1. Erstellen Sie eine Connect Customer-Instanz und wählen Sie SAML 2.0-basierte Authentifizierung für das Identitätsmanagement aus.

  2. Aktivieren Sie den SAML-Verbund zwischen Ihrem Identitätsanbieter und. AWS

  3. Fügen Sie Connect Customer-Benutzer zu Ihrer Connect Customer-Instanz hinzu. Melden Sie sich bei Ihrer Instance mit dem Administratorkonto an, das Sie bei der Erstellung der Instance angelegt haben. Wechseln Sie zur Seite User Management (Benutzermanagement) und fügen Sie Benutzer hinzu.

    Wichtig

    • Eine Liste der zulässigen Zeichen in Benutzernamen finden Sie in der Dokumentation für die Username Eigenschaft in der CreateUserAktion.

    • Aufgrund der Zuordnung eines Connect Customer-Benutzers und einer AWS IAM-Rolle muss der Benutzername genau dem entsprechen, der RoleSessionName mit Ihrer AWS IAM-Verbundintegration konfiguriert wurde, was in der Regel der Benutzername in Ihrem Verzeichnis ist. Das Format des Benutzernamens sollte dem Schnittpunkt der Formatbedingungen des RoleSessionNameund eines Connect-Kundenbenutzers entsprechen, wie in der folgenden Abbildung dargestellt:

      Venendiagramm von rolesessionname und Connect Customer-Benutzer.

  4. Konfigurieren Sie Ihren Identitätsanbieter für die SAML-Zusicherungen, die Authentifizierungsantwort und den RelayState. Die Benutzer melden sich bei Ihrem Identitätsanbieter an. Bei Erfolg werden sie zu Ihrer Connect Customer-Instanz umgeleitet. Die IAM-Rolle wird für die Verbindung mit verwendet AWS, wodurch der Zugriff auf Connect Customer ermöglicht wird.

Auswahl der SAML-2.0-basierten Authentifizierung bei der Instance-Erstellung

Wenn Sie Ihre Connect Customer-Instanz erstellen, wählen Sie die SAML 2.0-basierte Authentifizierungsoption für das Identitätsmanagement aus. Im zweiten Schritt, wenn Sie den Administrator für die Instance anlegen, muss der von Ihnen angegebene Benutzername genau mit einem Benutzernamen in Ihrem bestehenden Netzwerkverzeichnis übereinstimmen. Es gibt keine Option, ein Passwort für den Administrator anzugeben, da die Passwörter über Ihr bestehendes Verzeichnis verwaltet werden. Der Administrator wird in Connect Customer erstellt und ihm wird das Admin-Sicherheitsprofil zugewiesen.

Sie können sich über Ihren IdP bei Ihrer Connect Customer-Instanz anmelden und das Administratorkonto verwenden, um weitere Benutzer hinzuzufügen.

Aktivieren Sie den SAML-Verbund zwischen Ihrem Identitätsanbieter und AWS

Um die SAML-based Authentifizierung für Connect Customer zu aktivieren, müssen Sie in der IAM-Konsole einen Identitätsanbieter erstellen. Weitere Informationen finden Sie unter Aktivieren des Zugriffs auf die Managementkonsole für SAML 2.0-Verbundbenutzer. AWS

Der Prozess zum Erstellen eines Identitätsanbieters für AWS ist für Connect Customer derselbe. Schritt 6 im obigen Flussdiagramm zeigt, dass der Client an Ihre Connect Customer-Instanz gesendet wird, anstatt an die AWS-Managementkonsole.

Zu den erforderlichen Schritten, um den SAML-Verbund mit zu aktivieren, AWS gehören:

  1. Erstellen Sie einen SAML-Anbieter in. AWS Weitere Informationen finden Sie unter SAML-Identitätsanbieter anlegen.

  2. Erstellen Sie eine -Rolle für den SAML 2.0-Verbund mit der AWS-Managementkonsole. Legen Sie nur eine Rolle für den Verbund an (es wird nur eine Rolle benötigt und für den Verbund verwendet). Die IAM-Rolle bestimmt, welche Berechtigungen die Benutzer, die sich über Ihren Identitätsanbieter anmelden, in AWS haben. In diesem Fall gelten die Berechtigungen für den Zugriff auf Connect Customer. Sie können die Berechtigungen für Funktionen von Connect Customer mithilfe von Sicherheitsprofilen in Connect Customer steuern. Weitere Informationen finden Sie unter Anlegen einer Rolle für den SAML 2.0-Verbund (Konsole).

    Wählen Sie in Schritt 5 die Option Programmatischen Zugriff und Zugriff auf die AWS Managementkonsole zulassen aus. Erstellen Sie die Vertrauensrichtlinie wie im Thema mit der Anleitung So erstellen Sie eine Rolle für den SAML 2.0-Verbund beschrieben. Erstellen Sie dann eine Richtlinie, um Ihrer Connect Customer-Instanz Berechtigungen zuzuweisen. Die Berechtigungen beginnen mit Schritt 9 des Verfahrens So erstellen Sie eine Rolle für den SAML-based Verbund.

    So erstellen Sie für den SAML-Verbund eine Richtlinie zur Zuweisung von Berechtigungen an die IAM-Rolle

    1. Wählen Sie auf der Seite Attach permissions policy (Berechtigungsrichtlinie anfügen) Create policy (Richtlinie erstellen) aus.

    2. Wählen Sie auf der Seite Create policy (Richtlinie erstellen) die Option JSON aus.

    3. Kopieren Sie eine der folgenden Beispielrichtlinien und fügen Sie sie in den JSON-Richtlinieneditor ein, indem Sie einen vorhandenen Text ersetzen. Sie können entweder eine Richtlinie verwenden, um den SAML-Verbund zu aktivieren, oder diese an Ihre spezifischen Anforderungen anpassen.

      Verwenden Sie diese Richtlinie, um den Verbund für alle Benutzer in einer bestimmten Connect Customer-Instanz zu aktivieren. Ersetzen Sie zur SAML-based Authentifizierung den Wert für den durch Resource den ARN für die Instanz, die Sie erstellt haben:

      JSON
      {
    "Version":"2012-10-17",
   "Statement": [
        {
            "Sid": "Statement1",
            "Effect": "Allow",
            "Action": "connect:GetFederationToken",
            "Resource": [
                "arn:aws:connect:us-east-1:361814831152:instance/2fb42df9-78a2-2e74-d572-c8af67ed289b/user/${aws:userid}"
            ]
        }
    ]
}

      Verwenden Sie diese Richtlinie, um den Verbund mit bestimmten Connect-Kundeninstanzen zu aktivieren. Ersetzen Sie den Wert für die connect:InstanceId durch die Instance-ID Ihrer Instance.

      JSON
      {
    "Version":"2012-10-17",
    "Statement": [
        {
            "Sid": "Statement2",
            "Effect": "Allow",
            "Action": "connect:GetFederationToken",
            "Resource": "*",
            "Condition": {
                "StringEquals": {
                    "connect:InstanceId": "2fb42df9-78a2-2e74-d572-c8af67ed289b"
                }
            }
        }
    ]
}

      Verwenden Sie diese Richtlinie, um den Verbund für eine bestimmte mehrere Instances zu aktivieren. Beachten Sie die Klammern um die aufgeführten Instance-IDs.

      JSON
      {
    "Version":"2012-10-17",
    "Statement": [
        {
            "Sid": "Statement2",
            "Effect": "Allow",
            "Action": "connect:GetFederationToken",
            "Resource": "*",
            "Condition": {
                "StringEquals": {
                    "connect:InstanceId": [
                    "2fb42df9-78a2-2e74-d572-c8af67ed289b", 
                    "1234567-78a2-2e74-d572-c8af67ed289b"]
                }
            }
        }
    ]
}

    4. Nachdem Sie die Richtlinie erstellt haben, wählen Sie Next: Review (Weiter: Prüfen) aus. Kehren Sie dann zu Schritt 10 im Verfahren So erstellen Sie eine Rolle für den SAML-based Verbund im Thema Erstellen einer Rolle für den SAML 2.0-Verbund (Konsole) zurück.

  3. Konfigurieren des Netzwerks als SAML-Anbieter für AWS. Weitere Informationen finden Sie unter Aktivieren des Zugriffs auf die Managementkonsole für SAML 2.0-Verbundbenutzer. AWS

  4. Konfigurieren von SAML-Zusicherungen für die Authentifizierungsantwort. Weitere Informationen finden Sie unter Konfigurieren von SAML-Zusicherungen für die Authentifizierungsantwort.

  5. Lassen Sie für Connect Customer die Start-URL der Anwendung leer.

  6. Überschreiben Sie die URL des Application Consumer Service (ACS) in Ihrem Identitätsanbieter, um den regionalen Endpunkt zu verwenden, AWS-Region der mit dem Ihrer Connect Customer-Instanz übereinstimmt. Weitere Informationen finden Sie unter Konfigurieren Sie den Identitätsanbieter für die Verwendung regionaler SAML-Endpunkte.

  7. Konfigurieren Sie den Relay-Status Ihres Identitätsanbieters so, dass er auf Ihre Connect Customer-Instanz verweist. Die für den RelayState zu verwendende URL setzt sich wie folgt zusammen:

    https://region-id.console.aws.amazon.com/connect/federate/instance-id

    Ersetzen Sie das region-id durch den Namen der Region, in der Sie Ihre Connect-Kundeninstanz erstellt haben, z. B. us-east-1 für US East (Nord-Virginia). Ersetzen Sie das instance-id durch die Instanz-ID für Ihre Instanz.

    Für eine GovCloud Instanz lautet die URL https://console.amazonaws-us-gov.com/:

    • https://console.amazonaws-us-gov.com/connect/federate/instance-id

    Anmerkung

    Sie finden die Instanz-ID für Ihre Instance, indem Sie den Instance-Alias in der Connect Customer-Konsole auswählen. Die Instance-ID besteht aus Zahlen und Buchstaben nach „/instance“ im Instance-ARN, der auf der Übersichtsseite angezeigt wird. Die Instance-ID im folgenden Instance-ARN ist beispielsweise 178c75e4-b3de-4839-a6aa-e321ab3f3770.

    arn:aws:connect:us-east-1:450725743157:instance/178c75e4-b3de-4839-a6aa-e321ab3f3770

Konfigurieren Sie den Identitätsanbieter für die Verwendung regionaler SAML-Endpunkte

Um die beste Verfügbarkeit zu gewährleisten, empfehlen wir, anstelle des globalen Standardendpunkts den regionalen SAML-Endpunkt zu verwenden, der mit Ihrer Connect Customer-Instanz übereinstimmt.

Die folgenden Schritte sind IdP-unabhängig; sie funktionieren für jeden SAML-IdP (z. B. Okta, Ping, Shibboleth, ADFS OneLogin, AzureAD und mehr).

  1. Aktualisieren (oder überschreiben) Sie die Assertionsverbraucherdienst-URL. Es gibt zwei Möglichkeiten, dies zu realisieren.

    • Option 1: Laden Sie die AWS SAML-Metadaten herunter und aktualisieren Sie das Attribut auf die Region Ihrer Wahl. Location Laden Sie diese neue Version der AWS SAML-Metadaten in Ihren IdP.

      Im Folgenden sehen Sie ein Beispiel einer Revision:

      <AssertionConsumerService index="1" isDefault="true" Binding="urn:oasis:names:tc:SAML:2.0:bindings:HTTP-POST" Location="https://region-id.signin.aws.amazon.com/saml"/>

    • Option 2: Überschreiben Sie die AssertionConsumerService (ACS) -URL in Ihrem IdP. IdPs Wie bei Okta, die vorgefertigte AWS Integrationen anbieten, können Sie die ACS-URL in der Admin-Konsole überschreiben. AWS Verwenden Sie dasselbe Format, um zu einer Region Ihrer Wahl zu wechseln (z. B. https://.signin.aws.amazon). region-id com/saml).

  2. Aktualisieren Sie die zugehörige Vertrauensrichtlinie für eine Rolle:

    1. Dieser Schritt muss für jede Rolle in jedem Konto ausgeführt werden, das dem angegebenen Identitätsanbieter vertraut.

    2. Bearbeiten Sie die Vertrauensstellung und ersetzen Sie die singuläre SAML:aud-Bedingung durch eine mehrwertige Bedingung. Beispiel:

      • Standard: "SAML:aud„:"https://signin.aws.amazon.com/saml“.

      • Mit Änderungen: "SAML:aud„: [" „, https://signin.aws.amazon.com/saml „https://region-id.signin.aws.amazon. com/saml"]

    3. Nehmen Sie diese Änderungen an den Vertrauensbeziehungen im Voraus vor. Sie sollten nicht im Rahmen eines Plans während eines Vorfalls durchgeführt werden.

  3. Konfigurieren Sie einen Relay-Status für die Region-specific Konsolenseite.

    1. Wenn Sie diesen letzten Schritt nicht ausführen, gibt es keine Garantie dafür, dass der Benutzer beim Region-specific SAML-Anmeldevorgang zur Konsolen-Anmeldeseite in derselben Region weitergeleitet wird. Dieser Schritt ist je nach Identitätsanbieter sehr unterschiedlich, es gibt jedoch Blogs (z. B. How to Use SAML to Automatic Direct Federated Users to a Specific AWS Management Console Page), in denen die Verwendung des Relay-Status zur Herstellung von Deep Linking beschrieben wird.

    2. Verwenden Sie den für Ihren IdP technique/parameters passenden Relay-Status und setzen Sie den Relay-Status auf den entsprechenden Konsolenendpunkt (z. B. https://region-id.console.aws.amazon). com/connectinstance-id/federate/).

Anmerkung

  • Stellen Sie sicher, dass STS in Ihren zusätzlichen Regionen nicht deaktiviert ist.

  • Stellen Sie sicher, dass keine SCPs STS-Aktionen in Ihren zusätzlichen Regionen verhindern.

Verwenden eines Ziels in Ihrer RelayState-URL.

Wenn Sie den Relay-Status für Ihren Identity Provider konfigurieren, können Sie das Zielargument in der URL verwenden, um Benutzer zu einer bestimmten Seite in Ihrer Connect Customer-Instanz zu leiten. Verwenden Sie z. B. einen Link zum Öffnen des CCP direkt beim Anmelden eines Kundendienstmitarbeiters. Dem Benutzer muss ein Sicherheitsprofil zugewiesen werden, das den Zugriff auf diese Seite in der Instance ermöglicht. Wenn Sie beispielsweise Kundendienstmitarbeiter zum CCP schicken möchten, können Sie eine ähnliche URL wie die folgende für den RelayState verwenden. Sie müssen die URL-Verschlüsselung für den in der URL verwendeten Zielwert verwenden:

  • https://us-east-1.console.aws.amazon.com/connect/federate/instance-id?destination=%2Fccp-v2%2Fchat&new_domain=true

Ein anderes Beispiel für eine gültige URL ist:

  • https://us-east-1.console.aws.amazon.com/connect/federate/instance-id?destination=%2Fagent-app-v2

Für eine GovCloud Instanz lautet die URL https://console.amazonaws-us-gov.com/. Die Adresse wäre also:

  • https://console.amazonaws-us-gov.com/connect/federate/instance-id?destination=%2Fccp-v2%2Fchat&new_domain=true

Wenn Sie das Zielargument für eine URL außerhalb der Connect Customer-Instanz konfigurieren möchten, z. B. für Ihre eigene benutzerdefinierte Website, fügen Sie diese externe Domain zunächst zu den genehmigten Ursprüngen des Kontos hinzu. Führen Sie z. B. die folgenden Schritte aus:

  1. Fügen Sie in der Connect Customer-Konsole https://your-custom-website.com zu Ihren genehmigten Ursprüngen hinzu. Detaillierte Anweisungen finden Sie unter Verwenden Sie eine Zulassungsliste für integrierte Anwendungen in Connect Customer.

  2. Konfigurieren Sie den RelayState Ihres Identitätsanbieters auf https://your-region.console.aws.amazon.com/connect/federate/instance-id?destination=https%3A%2F%2Fyour-custom-website.com

  3. Wenn sich Ihre Agenten anmelden, werden sie direkt zu https://your-custom-website.com weitergeleitet.

Fügen Sie Benutzer zu Ihrer Connect Customer-Instanz hinzu

Fügen Sie Benutzer zu Ihrer Connect-Instance hinzu und stellen Sie sicher, dass die Benutzernamen genau mit den Benutzernamen in Ihrem bestehenden Verzeichnis übereinstimmen. Wenn die Namen nicht übereinstimmen, können sich Benutzer beim Identitätsanbieter anmelden, aber nicht bei Connect Customer, da in Connect Customer kein Benutzerkonto mit diesem Benutzernamen vorhanden ist. Sie können Benutzer auf der Seite User management (Benutzermanagement) manuell hinzufügen oder mit der CSV-Vorlage viele Benutzer gleichzeitig hochladen. Nachdem Sie die Benutzer zu Connect Customer hinzugefügt haben, können Sie Sicherheitsprofile und andere Benutzereinstellungen zuweisen.

Wenn sich ein Benutzer beim Identitätsanbieter anmeldet, aber kein Konto mit demselben Benutzernamen in Connect Customer gefunden wird, wird die folgende Meldung „Zugriff verweigert“ angezeigt.

Ein Fehler „Zugriff verweigert“ für einen Benutzer, dessen Name nicht in Connect Customer enthalten ist.
Hochladen von mehreren Benutzern mit der Vorlage

Sie können Ihre Benutzer importieren, indem Sie sie zu einer CSV-Datei hinzufügen. Anschließend können Sie die CSV-Datei in Ihre Instance importieren, die alle Benutzer in der Datei hinzufügt. Wenn Sie Benutzer durch Hochladen einer CSV-Datei hinzufügen, stellen Sie sicher, dass Sie die Vorlage für SAML-Benutzer verwenden. Sie finden es auf der Seite Benutzerverwaltung in Connect Customer. Für die SAML-based Authentifizierung wird eine andere Vorlage verwendet. Wenn Sie die Vorlage bereits heruntergeladen haben, sollten Sie die auf der Seite Benutzerverwaltung verfügbare Version herunterladen, nachdem Sie Ihre Instanz mit SAML-based Authentifizierung eingerichtet haben. Die Vorlage sollte keine Spalte für E-Mail oder Passwort enthalten.

SAML-Benutzeranmeldung und Sitzungsdauer

Wenn Sie SAML in Connect Customer verwenden, müssen sich Benutzer über Ihren Identitätsanbieter (IdP) bei Connect Customer anmelden. Ihr IdP ist für die Integration mit AWS konfiguriert. Nach der Authentifizierung wird für die Sitzung ein Token erstellt. Der Benutzer wird dann zu Ihrer Connect Customer-Instanz weitergeleitet und automatisch mit Single Sign-On bei Connect Customer angemeldet.

Als bewährte Methode sollten Sie auch einen Prozess definieren, nach dem sich Ihre Connect Customer-Benutzer abmelden, wenn sie Connect Customer nicht mehr verwenden. Sie sollten sich sowohl bei Connect Customer als auch bei Ihrem Identitätsanbieter abmelden. Wenn dies nicht der Fall ist, kann sich die nächste Person, die sich am selben Computer anmeldet, ohne Passwort bei Connect Customer anmelden, da das Token für die vorherigen Sitzungen weiterhin für die Dauer der Sitzung gültig ist. Es ist 12 Stunden gültig.

Erläuterungen zum SitzungsFlow

Connect-Kundensitzungen laufen 12 Stunden nach der Anmeldung eines Benutzers ab. Nach 12 Stunden werden die Benutzer automatisch abgemeldet, auch wenn sie gerade telefonieren. Wenn Ihre Kundendienstmitarbeiter mehr als 12 Stunden angemeldet bleiben, müssen sie den Sitzungs-Token aktualisieren, bevor er abläuft. Um eine neue Sitzung zu erstellen, müssen sich Agenten von Connect Customer und Ihrem IdP abmelden und sich dann erneut anmelden. Dadurch wird der auf dem Token eingestellte Sitzungs-Timer zurückgesetzt, sodass Kundendienstmitarbeiter bei einem aktiven Kontakt mit einem Kunden nicht abgemeldet werden. Läuft eine Sitzung ab, während ein Benutzer angemeldet ist, wird die folgende Meldung angezeigt. Um Connect Customer erneut verwenden zu können, muss sich der Benutzer bei Ihrem Identitätsanbieter anmelden.

Fehlermeldung, die angezeigt wird, wenn die Sitzung für einen SAML-based Benutzer abläuft.
Anmerkung

Wenn Sie bei der Anmeldung die Meldung Sitzung abgelaufen sehen, müssen Sie wahrscheinlich nur das Sitzungstoken aktualisieren. Gehen Sie zu Ihrem Identitätsanbieter und melden Sie sich an. Aktualisieren Sie die Connect-Kundenseite. Wenn Sie diese Nachricht weiterhin erhalten, wenden Sie sich an Ihr IT-Team.