View a markdown version of this page

Integrieren Sie Ihren Identitätsanbieter (IdP) mit einem Connect Customer Global Resiliency SAML-Anmeldeendpunkt - Amazon Connect Connect-Kunde
Bevor Sie beginnenWissenswertesSo integrieren Sie Ihren Identitätsanbieter

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Integrieren Sie Ihren Identitätsanbieter (IdP) mit einem Connect Customer Global Resiliency SAML-Anmeldeendpunkt

Damit sich Ihre Agenten einmal anmelden und in beiden AWS Regionen angemeldet sein können, um Kontakte aus der aktuell aktiven Region zu verarbeiten, müssen Sie die IAM-Einstellungen so konfigurieren, dass sie den SAML-Endpunkt für die globale Anmeldung verwenden.

Bevor Sie beginnen

Sie müssen SAML für Ihre Connect Customer-Instanz aktivieren, um Connect Customer Global Resiliency verwenden zu können. Informationen zu den ersten Schritten mit einem IAM-Verbund finden Sie unter Aktivieren von SAML-2.0-Verbundbenutzern für den Zugriff auf die AWS-Managementkonsole.

Wissenswertes

  • Agenten-Failover wird nur unterstützt, wenn der globale Anmeldeendpunkt verwendet wird.

  • Sie benötigen Ihre Instance-ID, um die Schritte in diesem Thema auszuführen. Anweisungen zu deren Auffinden erhalten Sie unter Finden Sie Ihre Connect Customer-Instanz-ID oder Ihren ARN.

  • Sie müssen auch die Quellregion Ihrer Connect Customer-Instances kennen. Anweisungen zu deren Auffinden erhalten Sie unter So finden Sie die Quellregion Ihrer Connect Customer-Instances.

  • Wenn Sie Ihre Connect-Anwendung in einen Iframe einbetten, müssen Sie sicherstellen, dass Ihre Domain in der Liste der genehmigten Ursprünge sowohl in Ihrer Quell- als auch in Ihrer Replikat-Instance vorhanden ist, damit die globale Anmeldung funktioniert.

    Um genehmigte Ursprünge auf Instance-Ebene zu konfigurieren, folgen Sie den Schritten unter Verwenden Sie eine Zulassungsliste für integrierte Anwendungen in Connect Customer.

  • Agenten müssen sowohl in Ihrer Quell- als auch in der Replikatinstanz von Connect Customer bereits erstellt worden sein und denselben Benutzernamen haben wie der Name der Rollensitzung von Ihrem Identitätsanbieter (IdP). Andernfalls wird der Fehler UserNotOnboardedException angezeigt und Sie riskieren, dass die Redundanzfunktionen für Kundendienstmitarbeiter zwischen Ihren Instances verloren gehen.

  • Sie müssen Kundendienstmitarbeiter einer Datenverkehr-Verteilergruppe zuordnen, bevor Kundendienstmitarbeiter sich anmelden können. Andernfalls schlägt die Anmeldung des Kundendienstmitarbeiters mit ResourceNotFoundException fehl. Informationen darüber, wie Sie Ihre Datenverkehr-Verteilergruppen einrichten und ihnen Kundendienstmitarbeiter zuordnen, finden Sie unter Ordnen Sie Agenten zu Connect-Kundeninstanzen über mehrere AWS Regionen.

  • Wenn sich Ihre Agenten mit der neuen SAML-Anmelde-URL zu Connect Customer zusammenschließen, versucht Connect Customer Global Resiliency immer, den Agenten sowohl bei Ihren Quell- als auch bei Ihren Replikatregionen/-Instances anzumelden, unabhängig davon, wie in Ihrer SignInConfig Traffic-Verteilergruppe konfiguriert ist. Sie können dies überprüfen, indem Sie die Protokolle überprüfen. CloudTrail

  • Die SignInConfig Verteilung in Ihrer Standardverteilergruppe für den Datenverkehr bestimmt nur, welche für die Anmeldung verwendet AWS-Region wird. Unabhängig davon, wie Ihre SignInConfig Distribution konfiguriert ist, versucht Connect Customer immer, Agenten in beiden Regionen Ihrer Connect Customer-Instanz anzumelden.

  • Nach der Replikation einer Connect Customer-Instanz wird nur ein SAML-Anmeldeendpunkt für Ihre Instances generiert. Dieser Endpunkt enthält immer die Quelle AWS-Region in der URL.

  • Sie müssen keinen Relay-Status konfigurieren, wenn Sie die personalisierte SAML-Anmelde-URL mit Connect Customer Global Resiliency verwenden.

So integrieren Sie Ihren Identitätsanbieter

  1. Wenn Sie mithilfe der ReplicateInstanceAPI ein Replikat Ihrer Connect Customer-Instanz erstellen, wird eine personalisierte SAML-Anmelde-URL für Ihre Connect Customer-Instanzen generiert. Die generierte URL liegt im folgenden Format vor:

    https://instance-id.source-region.sign-in.connect.aws/saml

    1. instance-idist die Instanz-ID für eine der Instances in Ihrer Instanzgruppe. Die Instance-ID ist in der Quell- und Replikatregion identisch.

    2. source-regionentspricht der AWS Quellregion, in der die ReplicateInstanceAPI aufgerufen wurde.

  2. Fügen Sie Ihrer IAM-Verbund-Rolle die folgende Vertrauensrichtlinie hinzu. Nutzen Sie die URL für den SAML-Endpunkt für die globale Anmeldung wie im folgenden Beispiel.

    JSON
    {
   "Version":"2012-10-17",
   "Statement":[
      {
         "Effect":"Allow",
         "Principal":{
            "Federated":[
              "arn:aws:iam::111122223333:saml-provider/MySAMLProvider"
            ]
         },
         "Action":"sts:AssumeRoleWithSAML",
         "Condition":{
            "StringLike":{
               "SAML:aud":[
                  "https://instance-id.source-region.sign-in.connect.aws/saml*"
               ]
            }
         }
      }
   ]
}
    Anmerkung

    saml-provider-arn ist die in IAM erstellte Identitätsanbieter-Ressource.

  3. Gewähren Sie Ihrer InstanceId Zugriff auf connect:GetFederationToken für Ihre IAM-Verbund-Rolle. Beispiel:

    JSON
    {
"Version":"2012-10-17",
    "Statement": [
        {
            "Sid": "GetFederationTokenAccess",
            "Effect": "Allow",
            "Action": "connect:GetFederationToken",
            "Resource": "*",
            "Condition": {
                "StringEquals": {
                    "connect:InstanceId": "your-instance-id"
                }
            }
        }
    ]
}

  4. Fügen Sie Ihrer Identitätsanbieter-Anwendung mithilfe der folgenden Attribut- und Wertezeichenfolgen eine Attributszuordnung hinzu.

    Attribut Wert

    https://aws.amazon.com/SAML/Attributes/Role

    saml-role-arn,identity-provider-arn

  5. Konfigurieren Sie die ACS-URL (Assertion Consumer Service) Ihres Identitätsanbieters so, dass sie auf Ihre personalisierte SAML-Anmelde-URL verweist. Verwenden Sie das folgende Beispiel für die ACS-URL:

    https://instance-id.source-region.sign-in.connect.aws/saml?&instanceId=instance-id&accountId=your AWS account ID&role=saml-federation-role&idp=your SAML IDP&destination=optional-destination

  6. Legen Sie die folgenden Felder in den URL-Parametern fest:

    • instanceId: Die ID Ihrer Connect Customer-Instanz. Anweisungen zum Auffinden des Instance-ARN finden Sie unter Finden Sie Ihre Connect Customer-Instanz-ID oder Ihren ARN.

    • accountId: Die AWS Konto-ID, unter der sich die Connect Customer-Instanzen befinden.

    • role: Auf den Namen oder den Amazon-Ressourcennamen (ARN) der SAML-Rolle festgelegt, die für den Connect Customer-Verbund verwendet wird.

    • idp: Wird auf den Namen oder Amazon-Ressourcennamen (ARN) des IAM SAML-Identitätsanbieters festgelegt.

    • destination: Geben Sie den optionalen Pfad ein, zu dem Kundendienstmitarbeiter nach der Anmeldung in der Instance gelangen (zum Beispiel: /agent-app-v2).