Integración del proveedor de identidades (IdP) con un punto de conexión de inicio de sesión de SAML de Resiliencia global de Amazon Connect - Amazon Connect
Antes de empezarCosas importantes que debe saberCómo integrar su proveedor de identidades

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Integración del proveedor de identidades (IdP) con un punto de conexión de inicio de sesión de SAML de Resiliencia global de Amazon Connect

Para permitir que sus agentes inicien sesión una vez e inicien sesión en ambas AWS regiones para procesar los contactos de la región activa actual, debe configurar los ajustes de IAM para utilizar el punto final de inicio de sesión global SAML.

Antes de empezar

Debe habilitar SAML para su instancia de Amazon Connect a fin de utilizar Resiliencia global de Amazon Connect. Para obtener más información sobre cómo empezar a utilizar la federación de IAM, consulte Concesión de acceso a la Consola de administración de AWS a los usuarios federados SAML 2.0.

Cosas importantes que debe saber

  • Para realizar los pasos de este tema, necesitará su ID de instancia. Para obtener instrucciones sobre cómo encontrarlo, consulte Búsqueda del ARN o del ID de instancia de Amazon Connect.

  • También necesitará conocer la región de origen de sus instancias de Amazon Connect. Para obtener instrucciones sobre cómo encontrarlo, consulte Cómo encontrar la región de origen de sus instancias de Amazon Connect.

  • Si va a incrustar su aplicación de Connect en un iframe, debe asegurarse de que su dominio esté presente en la lista de orígenes aprobados tanto en la instancia de origen como en la de réplica para que funcione el inicio de sesión global.

    Para configurar Orígenes aprobados en la instancia, siga los pasos que se indican en Uso de una lista de permitidos para aplicaciones integradas en Amazon Connect.

  • Los agentes deben estar ya creados en ambas instancias de Amazon Connect de origen y de réplica y tener el mismo nombre de usuario que el nombre de sesión del rol de su proveedor de identidades (IdP). De lo contrario, recibirá una excepción UserNotOnboardedException y se arriesgará a perder la capacidad de redundancia de agentes entre sus instancias.

  • Debe asociar los agentes a un grupo de distribución de tráfico antes de que los agentes intenten iniciar sesión. De lo contrario, se producirá un error ResourceNotFoundException en el inicio de sesión del agente. Para obtener información sobre cómo configurar sus grupos de distribución de tráfico y asociarles agentes, consulte Asocie agentes a instancias de Amazon Connect en varias AWS regiones.

  • Cuando sus agentes se federan en Amazon Connect con la nueva URL de inicio de sesión de SAML, Resiliencia global de Amazon Connect siempre intenta iniciar la sesión del agente en sus regiones o instancias de origen y réplica, independientemente de cómo SignInConfig esté configurado en su grupo de distribución de tráfico. Puedes verificarlo CloudTrail consultando los registros.

  • La SignInConfig distribución en el grupo de distribución de tráfico predeterminado solo determina cuál Región de AWS se utiliza para facilitar el inicio de sesión. Independientemente de cómo esté configurada su distribución de SignInConfig, Amazon Connect siempre intenta registrar agentes en ambas regiones de su instancia de Amazon Connect.

  • Tras replicar una instancia de Amazon Connect, solo se genera un punto de conexión de inicio de sesión de SAML para sus instancias. Este punto final siempre contiene la fuente Región de AWS en la URL.

  • No es necesario configurar un estado de retransmisión cuando se utiliza la URL de inicio de sesión de SAML personalizada con Resiliencia global de Amazon Connect.

Cómo integrar su proveedor de identidades

  1. Al crear una réplica de la instancia de Amazon Connect mediante la ReplicateInstanceAPI, se genera una URL de inicio de sesión SAML personalizada para las instancias de Amazon Connect. La URL se genera con el siguiente formato:

    https://instance-id.source-region.sign-in.connect.aws/saml

    1. instance-ides el ID de instancia de cualquiera de las instancias de tu grupo de instancias. El ID de instancia es idéntico en las regiones de origen y de réplica.

    2. source-regioncorresponde a la AWS región de origen en la que se llamó a la ReplicateInstanceAPI.

  2. Agregue la siguiente política de confianza a su rol de federación de IAM. Utilice la URL del punto de conexión de SAML de inicio de sesión global como se muestra en el siguiente ejemplo.

    JSON
    {
   "Version":"2012-10-17",
   "Statement":[
      {
         "Effect":"Allow",
         "Principal":{
            "Federated":[
               "saml-provider-arn"
            ]
         },
         "Action":"sts:AssumeRoleWithSAML",
         "Condition":{
            "StringLike":{
               "SAML:aud":[
                  "https://instance-id.source-region.sign-in.connect.aws/saml*"
               ]
            }
         }
      }
   ]
}
    nota

    saml-provider-arn es el recurso del proveedor de identidades creado en IAM.

  3. Conceda acceso a connect:GetFederationToken para su InstanceId en su rol de federación de IAM. Por ejemplo:

    JSON
    {
"Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "GetFederationTokenAccess",
            "Effect": "Allow",
            "Action": "connect:GetFederationToken",
            "Resource": "*",
            "Condition": {
                "StringEquals": {
                    "connect:InstanceId": "your-instance-id"
                }
            }
        }
    ]
}

  4. Agregue una asignación de atributos a su aplicación de proveedor de identidades mediante las siguientes cadenas de atributos y valores.

    Atributo Valor

    https://aws.amazon.com/SAML/Atributos/rol

    saml-role-arn,identity-provider-arn

  5. Configure la URL del servicio de consumidor de aserción (ACS) de su proveedor de identidades para que apunte a su URL de inicio de sesión de SAML personalizada. Utilice el siguiente ejemplo para la URL de ACS:

    https://instance-id.source-region.sign-in.connect.aws/saml?&instanceId=instance-id&accountId=your AWS account ID&role=saml-federation-role&idp=your SAML IDP&destination=optional-destination

  6. Establezca los siguientes campos en los parámetros de URL:

    • instanceId: el identificador de la instancia de Amazon Connect. Para obtener instrucciones sobre cómo encontrar el ID de instancia, consulte Búsqueda del ARN o del ID de instancia de Amazon Connect.

    • accountId: el ID de AWS cuenta en el que se encuentran las instancias de Amazon Connect.

    • role: establézcalo al nombre o al nombre de recurso de Amazon (ARN) del rol de SAML utilizado para la federación de Amazon Connect.

    • idp: establézcalo al nombre o nombre de recurso de Amazon (ARN) del proveedor de identidades de SAML en IAM.

    • destination: establézcalo a la ruta opcional a la que llegarán los agentes a la instancia después de iniciar sesión (por ejemplo: /agent-app-v2).