Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.
# Configurar SAML con IAM para Connect Customer
Connect Customer admite la federación de identidades al configurar Security Assertion Markup Language (SAML) 2.0 con AWS IAM para permitir el inicio de sesión único (SSO) basado en la web desde su organización a su instancia de Connect Customer. Esto permite a los usuarios iniciar sesión en un portal de su organización alojado por un proveedor de identidad (IdP) compatible con SAML 2.0 e iniciar sesión en una instancia de Connect Customer con una experiencia de inicio de sesión único sin tener que proporcionar credenciales independientes para Connect Customer.
## Notas importantes
Antes de comenzar, tenga en cuenta lo siguiente:
+ Estas instrucciones no se aplican a las implementaciones de Connect Customer Global Resiliency. Para obtener información que se aplica a Connect Customer Global Resiliency, consulte[Integre su proveedor de identidad (IdP) con un terminal de inicio de sesión SAML de Connect Customer Global Resiliency](integrate-idp.md).
+ [La elección de la autenticación basada en SAML 2.0 como método de administración de identidades para su instancia de Connect Customer requiere la configuración de AWS Identity and Access Management la federación.](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_providers_enable-console-saml.html)
+ El nombre de usuario de Connect Customer debe coincidir con el atributo RoleSessionName SAML especificado en la respuesta SAML devuelta por el proveedor de identidad.
+ Connect Customer no admite la federación inversa. Es decir, no puede iniciar sesión directamente en Connect Customer. Si lo intentara, recibiría un mensaje de *sesión caducada*. La autenticación debe realizarse desde el proveedor de identidades (IdP) y no desde el proveedor de servicios (SP) (Connect Customer).
+ De forma predeterminada, la mayoría de los proveedores de identidad utilizan el terminal de AWS inicio de sesión global como el Application Consumer Service (ACS), que está alojado en la zona este de EE. UU. (Virginia del Norte). Recomendamos anular este valor para utilizar el punto de conexión regional que coincida con la Región de AWS donde se creó su instancia.
+ Todos los Connect Customer nombres de usuario distinguen entre mayúsculas y minúsculas, incluso cuando se utiliza SAML.
+ Si tiene instancias de Connect Customer antiguas que se configuraron con SAML y necesita actualizar su dominio de Connect Customer, consulte[Configuración personal](update-your-connect-domain.md#new-domain-settings).
## Descripción general del uso de SAML con Connect Customer
El siguiente diagrama muestra el orden en el que se llevan a cabo los pasos de las solicitudes de SAML para autenticar a los usuarios y federarse con Connect Customer. No es un diagrama de flujo para un modelo de amenazas.
Las solicitudes de SAML pasan por los siguientes pasos:
1. El usuario accede a un portal interno que incluye un enlace para iniciar sesión en Connect Customer. El enlace se define en el proveedor de identidad.
1. El servicio de federación solicita autenticación al almacén de identidades de la organización.
1. El almacén de identidades autentica al usuario y devuelve la respuesta de autenticación al servicio de federación.
1. Una vez realizada correctamente la autenticación, el servicio de federación publica la aserción de SAML en el navegador del usuario.
1. El navegador del usuario publica la afirmación SAML en el punto final de inicio de AWS sesión de SAML (). https://signin.aws.amazon.com/saml AWS sign in recibe la solicitud SAML, procesa la solicitud, autentica al usuario e inicia una redirección del navegador al punto final de Connect Customer con el token de autenticación.
1. Mediante el token de autenticación de AWS, Connect Customer autoriza al usuario y abre Connect Customer en su navegador.
## Habilitar SAML-based la autenticación para Connect Customer
Los siguientes pasos son necesarios para habilitar y configurar la autenticación SAML para su uso con la instancia de Connect Customer:
1. Cree una instancia de Connect Customer y seleccione la autenticación basada en SAML 2.0 para la administración de identidades.
1. Habilite la federación de SAML entre su proveedor de identidad y. AWS
1. Añada usuarios de Connect Customer a su instancia de Connect Customer. Inicie sesión en la instancia con la cuenta de administrador creada al crear la instancia. Vaya a la página **Administración de usuarios** y añada usuarios.
**importante**
**Para obtener una lista de los caracteres permitidos en los nombres de usuario**, consulte la documentación de la `Username` propiedad de la [CreateUser](https://docs.aws.amazon.com/connect/latest/APIReference/API_CreateUser.html)acción.
Debido a la asociación de un usuario de Connect Customer y un rol de AWS IAM, el nombre de usuario debe coincidir exactamente con el RoleSessionName configurado en la integración de la federación de AWS IAM, que normalmente acaba siendo el nombre de usuario de su directorio. El formato del nombre de usuario debe coincidir con la intersección de las condiciones de formato de los [usuarios de Connect Customer [RoleSessionName](https://docs.aws.amazon.com/STS/latest/APIReference/API_AssumeRole.html)](https://docs.aws.amazon.com/connect/latest/APIReference/API_CreateUser.html#connect-CreateUser-request-DirectoryUserId)y los de Connect, como se muestra en el siguiente diagrama:
1. Configure el proveedor de identidad para aserciones SAML, respuesta de autenticación y estado de retransmisión. Los usuarios inician sesión en su proveedor de identidad. Cuando se ejecuta correctamente, se redirigen a su instancia de Connect Customer. La función de IAM se utiliza para federarse AWS, lo que permite el acceso a Connect Customer.
## Seleccionar la autenticación basada en SAML 2.0 durante la creación de instancias
Cuando cree su instancia de Connect Customer, seleccione la opción de autenticación basada en SAML 2.0 para la administración de identidades. En el segundo paso, al crear un usuario administrador para la instancia, el nombre de usuario que especifique debe coincidir exactamente con un nombre de usuario en su directorio de red existente. No existe la opción de especificar una contraseña para el administrador, ya que las contraseñas se administran a través de su directorio existente. El administrador se crea en Connect Customer y se le asigna el perfil de seguridad de **administrador**.
Puede iniciar sesión en su instancia de Connect Customer, a través de su IdP, mediante la cuenta de administrador para añadir usuarios adicionales.
## Habilite la federación de SAML entre su proveedor de identidad y AWS
Para habilitar la SAML-based autenticación de Connect Customer, debe crear un proveedor de identidades en la consola de IAM. Para obtener más información, consulte [Permitir que los usuarios federados de SAML 2.0 accedan a la AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_providers_enable-console-saml.html) consola de administración.
El proceso para crear un proveedor de identidad AWS es el mismo para Connect Customer. El paso 6 del diagrama de flujo anterior muestra que el cliente se envía a su instancia de Connect Customer en lugar de a Consola de administración de AWS.
Los pasos necesarios para habilitar la federación de SAML AWS incluyen:
1. Cree un proveedor de SAML en. AWS Para obtener más información, consulte [Creación de proveedores de identidad SAML](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_providers_create_saml.html).
1. Crear un rol de IAM para la federación de SAML 2.0 con la Consola de administración de AWS. Cree solo un rol para la federación (solo se necesita un rol y se utiliza para la federación). El rol de IAM determina los permisos que tienen los usuarios que inician sesión a través de su proveedor de identidades en AWS. En este caso, los permisos son para acceder a Connect Customer. Puede controlar los permisos de las funciones de Connect Customer mediante los perfiles de seguridad de Connect Customer. Para obtener más información, consulte [Creación de un rol para una federación SAML 2.0 (consola)](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_create_for-idp_saml.html).
En el paso 5, seleccione **Permitir el acceso programático y a AWS la consola de administración**. Cree la política de confianza descrita en el tema en el procedimiento *Preparativos para crear un rol para la federación SAML 2.0*. A continuación, cree una política para asignar permisos a su instancia de Connect Customer. Los permisos comienzan en el paso 9 del procedimiento *Crear un rol para SAML-based la federación*.
**Para crear una política para la asignación de permisos al rol de IAM para la federación SAML**
1. En la página **Asociar política de permisos**, seleccione **Crear política**.
1. En la página **Crear política**, elija **JSON**.
1. Copie uno de los siguientes ejemplos de políticas y péguelo en el editor de políticas JSON, sustituyendo todo el texto actual. Puede utilizar una política para habilitar la federación SAML o personalizarlas para sus requisitos específicos.
Use esta política para habilitar la federación para todos los usuarios de una instancia específica de Connect Customer. Para la SAML-based autenticación, sustituya el `Resource` valor por el ARN de la instancia que creó:
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "Statement1",
"Effect": "Allow",
"Action": "connect:GetFederationToken",
"Resource": [
"arn:aws:connect:us-east-1:361814831152:instance/2fb42df9-78a2-2e74-d572-c8af67ed289b/user/${aws:userid}"
]
}
]
}
```
------
Use esta política para habilitar la federación a instancias específicas de Connect Customer. Sustituya el valor de `connect:InstanceId` por el ID de instancia para su instancia.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "Statement2",
"Effect": "Allow",
"Action": "connect:GetFederationToken",
"Resource": "*",
"Condition": {
"StringEquals": {
"connect:InstanceId": "2fb42df9-78a2-2e74-d572-c8af67ed289b"
}
}
}
]
}
```
------
Utilice esta política para habilitar la federación para múltiples instancias. Tenga en cuenta los corchetes en torno a la lista de ID de instancia.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "Statement2",
"Effect": "Allow",
"Action": "connect:GetFederationToken",
"Resource": "*",
"Condition": {
"StringEquals": {
"connect:InstanceId": [
"2fb42df9-78a2-2e74-d572-c8af67ed289b",
"1234567-78a2-2e74-d572-c8af67ed289b"]
}
}
}
]
}
```
------
1. Después de crear la política, seleccione **Siguiente: Revisar**. A continuación, vuelva al paso 10 del procedimiento *Crear un rol para la SAML-based federación* del tema [Crear un rol para la federación SAML 2.0 (consola)](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_create_for-idp_saml.html).
1. Configurar la red como proveedor SAML para AWS. Para obtener más información, consulte [Permitir que los usuarios federados de SAML 2.0 accedan a la AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_providers_enable-console-saml.html) consola de administración.
1. Configure aserciones SAML para la respuesta de autenticación. Para obtener más información, consulte [Configure aserciones SAML para la respuesta de autenticación](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_providers_create_saml_assertions.html).
1. Para Connect Customer, deje en blanco la **URL de inicio de la aplicación**.
1. Anule la URL del Application Consumer Service (ACS) en su proveedor de identidad para usar el punto final regional que coincida con el Región de AWS de su instancia de Connect Customer. Para obtener más información, consulte [Configuración del proveedor de identidades para utilizar puntos de conexión SAML regionales](#regionally-isolated-saml).
1. Configure el estado de retransmisión de su proveedor de identidad para que apunte a su instancia de Connect Customer. La dirección URL que se debe utilizar para el estado de retransmisión se compone de la siguiente manera:
`https://{{region-id}}.console.aws.amazon.com/connect/federate/{{instance-id}}`
{{region-id}}Sustitúyalo por el nombre de la región en la que creó la instancia de Connect Customer, como us-east-1 para EE. UU. Este (Virginia del Norte). {{instance-id}}Sustitúyalo por el ID de instancia de la instancia.
GovCloud Por ejemplo, la URL es **https://console.amazonaws-us-gov.com/**:
+ https://console.amazonaws-us-gov.com/connect/federate/instance-id
**nota**
Para encontrar el ID de la instancia, elija el alias de la instancia en la consola de Connect Customer. El ID de instancia es el conjunto de números y letras después de '/instance' en el **ARN de instancia** que se muestra en la página **Información general** Por ejemplo, el ID de instancia en el siguiente ARN de instancia es *178c75e4-b3de-4839-a6aa-e321ab3f3770*.
arn:aws:connect:us-east-1:450725743157:instance/*178c75e4-b3de-4839-a6aa-e321ab3f3770*
## Configuración del proveedor de identidades para utilizar puntos de conexión SAML regionales
Para ofrecer la mejor disponibilidad, recomendamos utilizar el punto de enlace SAML regional que coincida con su instancia de Connect Customer en lugar del punto de enlace global predeterminado.
Los siguientes pasos son independientes del IdP; funcionan para cualquier IdP de SAML (por ejemplo, Okta, Ping, OneLogin Shibboleth, ADFS, AzuRead y más).
1. Actualice (o anule) la URL del servicio consumidor de aserciones (ACS). Existen dos formas de realizar esta operación:
+ **Opción 1**: descargue los metadatos de AWS SAML y actualice el atributo en la región que elija. `Location` Carga esta nueva versión de los metadatos de AWS SAML en tu IdP.
A continuación, se muestra un ejemplo de una revisión:
``
+ **Opción 2**: Anule la URL AssertionConsumerService (ACS) de su IdP. IdPs Como en Okta, que ofrece AWS integraciones preconfiguradas, puedes anular la URL de ACS en la consola de administración. AWS Usa el mismo formato para cambiarla a una región de tu elección (por ejemplo, https://.signin.aws.amazon). {{region-id}} com/saml).
1. Actualice la política de confianza de rol asociada:
1. Este paso debe realizarse para cada rol en cada cuenta que confíe en el proveedor de identidades dado.
1. Edite la relación de confianza y reemplace la condición de `SAML:aud` singular por una condición multivalor. Por ejemplo:
+ Predeterminado: "`SAML:aud`«:"https://signin.aws.amazon.com/saml».
+ Con modificaciones: "`SAML:aud`«: [" «, https://signin.aws.amazon.com/saml «https://{{region-id}}.signin.aws.amazon. com/saml"]
1. Realice estos cambios en las relaciones de confianza con antelación. No deben realizarse como parte de un plan durante un incidente.
1. Configure un estado de retransmisión para la página de la Region-specific consola.
1. Si no realizas este último paso, no hay garantía de que el proceso de inicio de sesión con Region-specific SAML reenvíe al usuario a la página de inicio de sesión de la consola de la misma región. Este paso varía más según el proveedor de identidad, pero hay algunos blogs (por ejemplo, [How to Use SAML to Automatically Direct Federated Users to a Specific AWS Management Console Page](https://aws.amazon.com/blogs//security/how-to-use-saml-to-automatically-direct-federated-users-to-a-specific-aws-management-console-page/)) que muestran el uso del estado de retransmisión para lograr la vinculación profunda.
1. Con el IdP technique/parameters adecuado para su IdP, configure el estado de retransmisión en el punto final de la consola que coincida (por ejemplo, https://{{region-id}}.console.aws.amazon). com/connect{{instance-id}}/federate/).
**nota**
Asegúrese de que el STS no está desactivado en sus regiones adicionales.
Asegúrese de que ningún SCP esté impidiendo acciones de STS en sus regiones adicionales.
## Uso de un destino en la URL de estado de retransmisión
Al configurar el estado de retransmisión de su proveedor de identidad, puede usar el argumento destination de la URL para llevar a los usuarios a una página específica de su instancia de Connect Customer. Por ejemplo, utilice un enlace para abrir el CCP directamente cuando un agente inicia sesión. Se debe asignar al usuario un perfil de seguridad que concede acceso a esa página en la instancia. Por ejemplo, para enviar a agentes al CCP, utilice una URL similar a la siguiente para el estado de retransmisión. Debe utilizar [codificación URL](https://en.wikipedia.org/wiki/Percent-encoding) para el valor de destino que se utiliza en la dirección URL:
+ `https://us-east-1.console.aws.amazon.com/connect/federate/instance-id?destination=%2Fccp-v2%2Fchat&new_domain=true`
Otro ejemplo de URL válida es:
+ `https://us-east-1.console.aws.amazon.com/connect/federate/instance-id?destination=%2Fagent-app-v2`
GovCloud Por ejemplo, la URL es **https://console.amazonaws-us-gov.com/**. Por lo tanto, la dirección sería:
+ `https://console.amazonaws-us-gov.com/connect/federate/instance-id?destination=%2Fccp-v2%2Fchat&new_domain=true`
Si quieres configurar el argumento de destino en una URL externa a la instancia de Connect Customer, como tu propio sitio web personalizado, añade primero ese dominio externo a los orígenes aprobados de la cuenta. Por ejemplo, realice los pasos en el siguiente orden:
1. En la consola de Connect Customer, añada https://{{your-custom-website}}.com a sus orígenes aprobados. Para obtener instrucciones, consulte [Utilice una lista de permitidos para las aplicaciones integradas en Connect Customer](app-integration.md).
1. En su proveedor de identidades configure su estado de retransmisión como ` https://{{your-region}}.console.aws.amazon.com/connect/federate/instance-id?destination=https%3A%2F%2F{{your-custom-website.com}}`
1. Cuando sus agentes inicien sesión, se les redirige directamente a https://{{your-custom-website}}.com.
## Añada usuarios a su instancia de Connect Customer
Añada usuarios a su instancia de Connect y asegúrese de que los nombres de usuario coincidan exactamente con los nombres de los usuarios en su directorio existente. Si los nombres no coinciden, los usuarios pueden iniciar sesión en el proveedor de identidad, pero no en Connect Customer, ya que no existe ninguna cuenta de usuario con ese nombre de usuario en Connect Customer. Puede añadir usuarios manualmente en la página **Administración de usuarios** o puede cargarlos de forma masiva con la plantilla CSV. Tras añadir los usuarios a Connect Customer, puede asignar perfiles de seguridad y otros ajustes de usuario.
Cuando un usuario inicia sesión en el proveedor de identidad, pero no encuentra ninguna cuenta con el mismo nombre de usuario en Connect Customer, aparece el siguiente mensaje de **acceso denegado**.
**Cargue los usuarios en lote con la plantilla**
Puede importar los usuarios añadiéndolos a un archivo CSV. A continuación, puede importar el archivo CSV a su instancia, con lo que añadirá a todos los usuarios en el archivo. Si añade usuarios cargando un archivo CSV, asegúrese de utilizar la plantilla para usuarios SAML. Puede encontrarlo en la página de **administración de usuarios de** Connect Customer. Se utiliza una plantilla diferente para la SAML-based autenticación. Si descargó la plantilla anteriormente, debe descargar la versión disponible en la página de **administración de usuarios** después de configurar la instancia con la SAML-based autenticación. La plantilla no debe incluir una columna para correo electrónico o contraseña.
## Inicio de sesión de usuario de SAML y duración de la sesión
Cuando utilizas SAML en Connect Customer, los usuarios deben iniciar sesión en Connect Customer a través de tu proveedor de identidad (IdP). Su IdP está configurado para integrarse con. AWS Tras la autenticación, se crea un token para su sesión. A continuación, se redirige al usuario a su instancia de Connect Customer y se inicia sesión automáticamente en Connect Customer mediante el inicio de sesión único.
Como práctica recomendada, también debe definir un proceso para que los usuarios de Connect Customer cierren sesión cuando terminen de usar Connect Customer. Deberían cerrar sesión tanto en Connect Customer como en su proveedor de identidad. Si no lo hacen, la siguiente persona que inicie sesión en el mismo ordenador podrá iniciar sesión en Connect Customer sin contraseña, ya que el token de las sesiones anteriores seguirá siendo válido durante toda la sesión. Es válido durante 12 horas.
**Acerca del vencimiento de la sesión**
Las sesiones de Connect Customer caducan 12 horas después de que el usuario inicie sesión. Después de 12 horas, se cierra automáticamente la sesión de los usuarios, incluso si están actualmente en una llamada. Si sus agentes mantienen la sesión iniciada durante más de 12 horas, tendrán que actualizar el token de sesión antes de que venza. Para crear una nueva sesión, los agentes deben cerrar sesión en Connect Customer y en su IdP y volver a iniciar sesión. Esto restablece el temporizador de la sesión establecido en el token de modo que no se cierra la sesión a los agentes que están en un contacto activo con un cliente. Cuando una sesión vence mientras un usuario está conectado, se muestra el siguiente mensaje. Para volver a utilizar Connect Customer, el usuario debe iniciar sesión en su proveedor de identidad.
**nota**
Si ve el mensaje **Sesión vencida** al iniciar sesión, probablemente solo tenga que actualizar el token de la sesión. Vaya al proveedor de identidades e inicie sesión. Actualice la página Connect Customer. Si sigue recibiendo este mensaje, póngase en contacto con el equipo de TI.