Integración del proveedor de identidades (IdP) con un punto de conexión de inicio de sesión de SAML de Resiliencia global de Amazon Connect - Amazon Connect
Antes de empezarCosas importantes que debe saberCómo integrar su proveedor de identidades

Integración del proveedor de identidades (IdP) con un punto de conexión de inicio de sesión de SAML de Resiliencia global de Amazon Connect

Para habilitar a sus agentes para que inicien sesión una vez y tengan la sesión iniciada en ambas regiones de AWS para procesar los contactos de la región activa actual, necesita establecer una configuración de IAM para utilizar el punto de conexión de SAML de inicio de sesión global.

Antes de empezar

Debe habilitar SAML para su instancia de Amazon Connect a fin de utilizar Resiliencia global de Amazon Connect. Para obtener más información sobre cómo empezar a utilizar la federación de IAM, consulte Concesión de acceso a la Consola de administración de AWS a los usuarios federados SAML 2.0.

Cosas importantes que debe saber

  • Para realizar los pasos de este tema, necesitará su ID de instancia. Para obtener instrucciones sobre cómo encontrarlo, consulte Búsqueda del ARN o del ID de instancia de Amazon Connect.

  • También necesitará conocer la región de origen de sus instancias de Amazon Connect. Para obtener instrucciones sobre cómo encontrarlo, consulte Cómo encontrar la región de origen de sus instancias de Amazon Connect.

  • Si va a incrustar su aplicación de Connect en un iframe, debe asegurarse de que su dominio esté presente en la lista de orígenes aprobados tanto en la instancia de origen como en la de réplica para que funcione el inicio de sesión global.

    Para configurar Orígenes aprobados en la instancia, siga los pasos que se indican en Uso de una lista de permitidos para aplicaciones integradas en Amazon Connect.

  • Los agentes deben estar ya creados en ambas instancias de Amazon Connect de origen y de réplica y tener el mismo nombre de usuario que el nombre de sesión del rol de su proveedor de identidades (IdP). De lo contrario, recibirá una excepción UserNotOnboardedException y se arriesgará a perder la capacidad de redundancia de agentes entre sus instancias.

  • Debe asociar los agentes a un grupo de distribución de tráfico antes de que los agentes intenten iniciar sesión. De lo contrario, se producirá un error ResourceNotFoundException en el inicio de sesión del agente. Para obtener información sobre cómo configurar sus grupos de distribución de tráfico y asociarles agentes, consulte Asociación de agentes a instancias de Amazon Connect en varias regiones de AWS.

  • Cuando sus agentes se federan en Amazon Connect con la nueva URL de inicio de sesión de SAML, Resiliencia global de Amazon Connect siempre intenta iniciar la sesión del agente en sus regiones o instancias de origen y réplica, independientemente de cómo SignInConfig esté configurado en su grupo de distribución de tráfico. Puede verificarlo mediante la consulta de los registros de CloudTrail.

  • La distribución SignInConfig en su grupo de distribución de tráfico predeterminada solo determina la Región de AWS que se utiliza para facilitar el inicio de sesión. Independientemente de cómo esté configurada su distribución de SignInConfig, Amazon Connect siempre intenta registrar agentes en ambas regiones de su instancia de Amazon Connect.

  • Tras replicar una instancia de Amazon Connect, solo se genera un punto de conexión de inicio de sesión de SAML para sus instancias. Este punto de conexión siempre contiene el origen Región de AWS en la URL.

  • No es necesario configurar un estado de retransmisión cuando se utiliza la URL de inicio de sesión de SAML personalizada con Resiliencia global de Amazon Connect.

Cómo integrar su proveedor de identidades

  1. Cuando crea una réplica de su instancia de Amazon Connect mediante la API ReplicateInstance, se genera una URL de inicio de sesión de SAML personalizada para sus instancias de Amazon Connect. La URL se genera con el siguiente formato:

    https://instance-id.source-region.sign-in.connect.aws/saml

    1. instance-id es el ID de instancia de cualquiera de las instancias de su grupo de instancias. El ID de instancia es idéntico en las regiones de origen y de réplica.

    2. source-region corresponde a la región de AWS de origen en la que se llamó a la API ReplicateInstance.

  2. Agregue la siguiente política de confianza a su rol de federación de IAM. Utilice la URL del punto de conexión de SAML de inicio de sesión global como se muestra en el siguiente ejemplo.

    JSON
    {
   "Version":"2012-10-17",		 	 	 
   "Statement":[
      {
         "Effect":"Allow",
         "Principal":{
            "Federated":[
              "arn:aws:iam::111122223333:saml-provider/MySAMLProvider"
            ]
         },
         "Action":"sts:AssumeRoleWithSAML",
         "Condition":{
            "StringLike":{
               "SAML:aud":[
                  "https://instance-id.source-region.sign-in.connect.aws/saml*"
               ]
            }
         }
      }
   ]
}
    nota

    saml-provider-arn es el recurso del proveedor de identidades creado en IAM.

  3. Conceda acceso a connect:GetFederationToken para su InstanceId en su rol de federación de IAM. Por ejemplo:

    JSON
    {
"Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Sid": "GetFederationTokenAccess",
            "Effect": "Allow",
            "Action": "connect:GetFederationToken",
            "Resource": "*",
            "Condition": {
                "StringEquals": {
                    "connect:InstanceId": "your-instance-id"
                }
            }
        }
    ]
}

  4. Agregue una asignación de atributos a su aplicación de proveedor de identidades mediante las siguientes cadenas de atributos y valores.

    Atributo Valor

    https://aws.amazon.com/SAML/Attributes/Role

    saml-role-arn,identity-provider-arn

  5. Configure la URL del servicio de consumidor de aserción (ACS) de su proveedor de identidades para que apunte a su URL de inicio de sesión de SAML personalizada. Utilice el siguiente ejemplo para la URL de ACS:

    https://instance-id.source-region.sign-in.connect.aws/saml?&instanceId=instance-id&accountId=your AWS account ID&role=saml-federation-role&idp=your SAML IDP&destination=optional-destination

  6. Establezca los siguientes campos en los parámetros de URL:

    • instanceId: el identificador de la instancia de Amazon Connect. Para obtener instrucciones sobre cómo encontrar el ID de instancia, consulte Búsqueda del ARN o del ID de instancia de Amazon Connect.

    • accountId: el ID de cuenta de AWS en el que se encuentran las instancias de Amazon Connect.

    • role: establézcalo al nombre o al nombre de recurso de Amazon (ARN) del rol de SAML utilizado para la federación de Amazon Connect.

    • idp: establézcalo al nombre o nombre de recurso de Amazon (ARN) del proveedor de identidades de SAML en IAM.

    • destination: establézcalo a la ruta opcional a la que llegarán los agentes a la instancia después de iniciar sesión (por ejemplo: /agent-app-v2).