Configuración de restricciones de direcciones IP y tiempos de espera de sesión en Amazon Connect - Amazon Connect
Introducción a los perfiles de autenticaciónConfiguración del control de acceso basado en IPEjemplo de configuraciones de dirección IPConfigure los tiempos de espera de las sesiones de usuario

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Configuración de restricciones de direcciones IP y tiempos de espera de sesión en Amazon Connect

nota

Esta característica está en versión preliminar y está sujeta a cambios. Para obtener acceso a esta característica, contacte con su arquitecto de soluciones, administrador técnico de cuentas o Soporte de Amazon Connect.

Para restringir aún más su centro de contacto, por ejemplo, para cumplir con los requisitos y reglamentos de su sector, puede configurar restricciones de direcciones IP y tiempos de espera de sesión.

  • Las restricciones de direcciones IP requieren que los agentes inicien sesión únicamente desde su VPN o bloqueen el acceso desde países o subredes específicos.

  • Los tiempos de espera de sesión requieren que los agentes vuelvan a iniciar sesión en Amazon Connect.

En Amazon Connect, se configura un perfil de autenticación para establecer las restricciones de direcciones IP y la duración de las sesiones de los agentes que han iniciado sesión. Un perfil de autenticación es un recurso que almacena la configuración de autenticación de los usuarios de su centro de contacto.

Cómo empezar con los perfiles de autenticación

La instancia de Amazon Connect incluye un perfil de autenticación predeterminado. Este perfil de autenticación se aplica a todos los usuarios de su centro de contacto de forma predeterminada y no es necesario asignarlo.

Actualmente, los perfiles de autenticación solo se pueden configurar con el AWS SDK. Para configurar su perfil de autenticación predeterminado, utilice los siguientes comandos.

sugerencia

Necesita el ID de su instancia de Amazon Connect para ejecutar estos comandos. Para ver las instrucciones sobre cómo encontrar el ID de instancia, consulte Búsqueda del ARN o del ID de instancia de Amazon Connect.

  1. Enumere los perfiles de autenticación de su instancia para obtener el ID del perfil de autenticación que desea actualizar. Puede llamar a la ListAuthenticationProfileAPI o ejecutar el comando list-authentication-profiles CLI.

    A continuación, se muestra un comando list-authentication-profiles de ejemplo:

    aws connect list-authentication-profiles --instance-id your-instance-id

    A continuación se muestra un ejemplo del perfil de autenticación predeterminado que devuelve el comando list-authentication-profiles.

    {
    "AuthenticationProfileSummaryList": [
        {
        "Arn": "arn:aws:connect:us-west-2:account-id:instance/your-instance-id/authentication-profile/profile-id",
        "Id": "profile-id",
        "IsDefault": true,
        "LastModifiedRegion": "us-west-2",
        "LastModifiedTime": 1.719249173664E9,
        "Name": "Default Authentication Profile"
        }
    ],
    "NextToken": null
}

  2. Consulte la configuración del perfil de autenticación que desea actualizar. Puede llamar al comando describe-authentication-profile CLI DescribeAuthenticationProfileo ejecutarlo.

    A continuación, se muestra un comando describe-authentication-profile de ejemplo:

    aws connect describe-authentication-profile --instance-id your-instance-id --profile-id profile-id

    A continuación, se muestra un ejemplo de la información que devuelve el comando describe-authentication-profile.

    {
    "AuthenticationProfile": {
    "AllowedIps": [],
    "Arn": "arn:aws:connect:us-west-2:account-id:instance/your-instance-id/authentication-profile/profile-id",
    "BlockedIps": [],
    "CreatedTime": 1.718999177811E9,
    "Description": "A basic default Authentication Profile",
    "Id": "profile-id",
    "IsDefault": true,
    "LastModifiedRegion": "us-west-2",
    "LastModifiedTime": 1.719249173664E9,
    "MaxSessionDuration": 720,
    "Name": "Default Authentication Profile",
    "PeriodicSessionDuration": 60,
    "SessionInactivityDuration": 60,
    "SessionInactivityHandlingEnabled": false
    }
}

    Para obtener una descripción de cada campo, consulte AuthenticationProfilela referencia de la API de Amazon Connect.

  3. Configure el perfil de autenticación mediante la UpdateAuthenticationProfileAPI o el comando update-authentication-profile CLI. Todos los campos son opcionales salvo InstanceId y ProfileId. Solo se cambian los ajustes que defina en la llamada a la API.

    A continuación, se muestra un comando update-authentication-profile de ejemplo: Configura el perfil de autenticación predeterminado que se asigna automáticamente a todos los usuarios. Permite algunas direcciones IP, bloquea otras, permite cerrar sesión automáticamente en caso de inactividad del usuario y establece la duración de la inactividad de la sesión en 60 minutos.

    aws connect update-authentication-profile 
    --instance-id your-instance-id 
    --profile-id profile-id
    --name "Default Authentication Profile"
    --description "A basic default Authentication Profile"
    --allowed-ips "ip-range-1" "ip-range-2" ...
    --blocked-ips "ip-range-3" "ip-range-4" ...
    --session-inactivity-handling-enabled
    --session-inactivity-duration 60

Configuración del control de acceso basado en IP

Si desea configurar el acceso a su centro de contacto en función de las direcciones IP, puede utilizar la característica de control de acceso basado en IP de su perfil de autenticación.

Hay dos tipos de configuraciones de IP que puede configurar en un perfil de autenticación: los rangos de direcciones IP permitidas y los rangos de direcciones IP bloqueadas. En los siguientes puntos se describe cómo funciona el control de acceso basado en IP.

  • Las direcciones IP pueden estar en ambos IPV4 formatos. IPV6

  • Puede definir tanto direcciones IP individuales como rangos de direcciones IP en notación CIDR.

  • Las configuraciones de IP bloqueadas siempre tienen prioridad.

  • Si las direcciones IP están definidas en la lista de IP permitidas, solo se permiten esas direcciones IP.

    • Esta lista de direcciones IP se puede restringir mediante la lista de direcciones IP bloqueadas.

  • Si solo se definen las direcciones IP bloqueadas, cualquier dirección IP puede acceder a la instancia, excepto las definidas en la lista de bloqueados.

  • Si las direcciones IP están definidas tanto en la lista de direcciones IP permitidas como en la de bloqueadas, solo se permiten las direcciones IP definidas en el rango de las permitidas, excluyendo las direcciones IP del rango bloqueado.

nota

El control de acceso basado en direcciones IP no se aplica al inicio de sesión de administrador de emergencia. Para aplicar restricciones a este usuario, puede aplicar restricciones SourceIp a sus políticas de IAM para la API connect:AdminGetEmergencyAccessToken.

Cuando la instancia determine que la dirección IP de un usuario está bloqueada, la sesión del usuario quedará invalidada. El evento de cierre de sesión se publica en el informe de inicio/cierre de sesión.

Qué les sucede a los usuarios cuando hay un error al comprobar la dirección IP

Agentes

Cuando un agente está activo en el Panel de control de contacto (CCP), su dirección IP se comprueba periódicamente.

A continuación, se muestra lo que sucede si la dirección IP no supera la comprobación:

  • Si el agente no está en una llamada activa, la sesión del agente se cierra si su dirección IP cambia a una dirección no permitida.

  • Si el agente está realizando una llamada activa, la sesión del agente queda invalidada. Sin embargo, esto no finaliza la llamada actualmente activa. Y ocurre lo siguiente:

    1. El agente pierde la capacidad de realizar cualquier acción, como cambiar el estado del agente, transferir llamadas, poner la llamada en espera, finalizarla o crear un caso.

    2. Se notifica al agente que su capacidad para actuar en el CCP está restringida.

    3. Si se conecta correctamente después de que la sesión se haya invalidado, vuelve a estar en la llamada activa y puede volver a realizar acciones.

Administradores y usuarios que utilizan el sitio web de Amazon Connect administración

Cuando no se supera la comprobación de la dirección IP de los administradores y otros usuarios que realizan acciones en el sitio web de administración de Amazon Connect , por ejemplo, guardar las actualizaciones de los recursos o acceder a las llamadas activas, la sesión se cierra automáticamente.

Ejemplo de configuraciones de dirección IP

Ejemplo 1: Las direcciones IP solo están definidas en la lista de IP permitidas

  • AllowedIps: [ 111.222.0.0/16 ]

  • BlockedIps: [ ]

Resultado:

  • Solo las direcciones IP que se encuentren entre 111.222.0.0 y 111.222.255.255 puedan acceder a la instancia.

Ejemplo 2: Las direcciones IP solo están definidas en la lista de IP bloqueadas

  • AllowedIps: [ ]

  • BlockedIps: [155.155.155.0/24 ]

Resultado:

  • Se permiten todas las direcciones IP, excepto el rango de direcciones IP 155.155.155.0 - 155.155.155.255 incluido.

Ejemplo 3: Direcciones IP definidas tanto en la lista de IP permitidas como en la lista de IP bloqueadas

  • AllowedIps: [ 200.255.0.0/16 ]

  • BlockedIps: [200.255.10.0/24, 200.255.40.50, 192.123.211.211 ]

Resultado:

  • Se permiten las direcciones IP entre 200.255.0.0 - 200.255.255.255, menos (200.255.10.0 - 200.255.10.255 AND 200.255.40.50).

  • Efectivamente, 200.255.0.0 - 200.255.9.255, 200.255.11.0 - 200.255.40.49, 200.255.40.51 - 200.255.255.255 están permitidas.

  • 192.123.211.211 se ignora porque no está dentro del rango permitido.

Ejemplo 4: No hay direcciones IP definidas ni en la lista de IP permitidas ni en la lista de IP bloqueadas

  • AllowedIps: [ ]

  • BlockedIps: [ ]

En este caso, no hay restricciones.

importante

La allowedIps lista define el rango de posibilidades IPs permitidas en su centro de contacto solo si no está vacío. Si está vacía, cualquier dirección IP podrá acceder a su centro de contacto a menos que la lista blockedIps la bloquee explícitamente.

Configure los tiempos de espera de las sesiones de usuario

Una sesión de Amazon Connect se define como un período continuo de acceso autenticado al sitio web de su centro de contacto. Hay dos tiempos de espera de sesión que se aplican a las sesiones de usuario de su centro de contacto:

  • Duración máxima de la sesión: este valor representa el período máximo de tiempo durante el que un usuario del centro de contacto puede iniciar sesión antes de que se le obligue a volver a iniciar sesión. Este valor está predeterminado en 12 horas y no se puede configurar.

  • Duración de la inactividad de la sesión: este valor representa el período antes de que un agente cierre automáticamente la sesión del centro de contacto cuando pasa a estar inactivo.

De forma predeterminada, los usuarios de tu instancia de Amazon Connect permanecen conectados hasta que la duración máxima de la sesión es de 12 horas, sin cierre de sesión automático por inactividad. Sin embargo, las organizaciones con requisitos de seguridad y conformidad más estrictos pueden utilizar los perfiles de autenticación para cerrar sesión automáticamente cuando los usuarios están inactivos. Una vez habilitada, esta función supervisa los patrones de actividad de los usuarios y finaliza automáticamente las sesiones una vez transcurrido el período de inactividad de la sesión configurado.

Un usuario del centro de contacto se considera activo cuando realiza cualquiera de las siguientes acciones:

  • Actividad del ratón y el teclado en el panel de control de contactos (CCP), el espacio de trabajo del agente o el sitio web del administrador

  • Presencia de un contacto de voz activo

Si se determina que el usuario está inactivo, aparecerá una ventana emergente en la pantalla avisándole de que su sesión está a punto de caducar debido a la inactividad. El usuario puede elegir entre permanecer conectado o cerrar sesión.

Para activar el cierre de sesión automático en caso de inactividad del usuario, realiza las siguientes llamadas a la API en un perfil de autenticación de tu instancia mediante el SDK de Amazon Connect.

aws connect update-authentication-profile 
    --instance-id <your-instance-id> 
    --profile-id <profile-id>
    --session-inactivity-handling-enabled
    --session-inactivity-duration <minutes between 15 and 720>
nota

Los clientes que integren su centro de contacto con un proveedor externo (como Salesforce Service Cloud Voice (SCV)) deben consultar la documentación del proveedor para determinar si esta función es compatible antes de habilitar los cierres de sesión automáticos en caso de inactividad.

nota

Los clientes que utilizan AmazonConnectStreams el AmazonConnect SDK para integrar sus aplicaciones web existentes con Amazon Connect deben implementar la gestión de actividades como parte de su integración antes de habilitar el cierre de sesión automático en caso de inactividad del usuario. Consulte la AmazonConnectStreams documentación del AmazonConnect SDK para obtener más información.

nota

No se admite el cierre de sesión automático en caso de inactividad del usuario cuando se utiliza Amazon Connect en una infraestructura de escritorio virtual (VDI) con un modelo de CCP dividido.