View a markdown version of this page

Integre su proveedor de identidad (IdP) con un terminal de inicio de sesión SAML de Connect Customer Global Resiliency - Amazon Connect Customer
Antes de empezarCosas importantes que debe saberCómo integrar su proveedor de identidades

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Integre su proveedor de identidad (IdP) con un terminal de inicio de sesión SAML de Connect Customer Global Resiliency

Para permitir que sus agentes inicien sesión una vez y puedan iniciar sesión en ambas AWS regiones para procesar los contactos de la región activa actual, debe configurar los ajustes de IAM para utilizar el punto de conexión SAML de inicio de sesión global.

Antes de empezar

Debe habilitar SAML para que su instancia de Connect Customer utilice Connect Customer Global Resiliency. Para obtener más información sobre cómo empezar a utilizar la federación de IAM, consulte Concesión de acceso a la Consola de administración de AWS a los usuarios federados SAML 2.0.

Cosas importantes que debe saber

  • La conmutación por error del agente solo se admite cuando se utiliza el punto final de inicio de sesión global.

  • Para realizar los pasos de este tema, necesitará su ID de instancia. Para obtener instrucciones sobre cómo encontrarlo, consulte Busque el ARN o el ID de instancia de Connect Customer.

  • También necesitará saber la región de origen de sus instancias de Connect Customer. Para obtener instrucciones sobre cómo encontrarlo, consulte Cómo encontrar la región de origen de sus instancias de Connect Customer.

  • Si va a incrustar su aplicación de Connect en un iframe, debe asegurarse de que su dominio esté presente en la lista de orígenes aprobados tanto en la instancia de origen como en la de réplica para que funcione el inicio de sesión global.

    Para configurar Orígenes aprobados en la instancia, siga los pasos que se indican en Utilice una lista de permitidos para las aplicaciones integradas en Connect Customer.

  • Los agentes ya deben estar creados en las instancias de Connect Customer de origen y réplica y tener el mismo nombre de usuario que el nombre de sesión del rol de su proveedor de identidad (IdP). De lo contrario, recibirá una excepción UserNotOnboardedException y se arriesgará a perder la capacidad de redundancia de agentes entre sus instancias.

  • Debe asociar los agentes a un grupo de distribución de tráfico antes de que los agentes intenten iniciar sesión. De lo contrario, se producirá un error ResourceNotFoundException en el inicio de sesión del agente. Para obtener información sobre cómo configurar sus grupos de distribución de tráfico y asociarles agentes, consulte Asocie agentes para conectar las instancias de Connect Customer en múltiples AWS Regions.

  • Cuando sus agentes se federan en Connect Customer con la nueva URL de inicio de sesión de SAML, Connect Customer Global Resiliency siempre intenta iniciar sesión al agente en las regiones o instancias de origen y réplica, independientemente de cómo SignInConfig esté configurado en su grupo de distribución de tráfico. Puede comprobarlo consultando los registros. CloudTrail

  • La SignInConfig distribución del grupo de distribución de tráfico predeterminado solo determina cuál Región de AWS se utiliza para facilitar el inicio de sesión. Independientemente de cómo esté configurada su SignInConfig distribución, Connect Customer siempre intenta iniciar sesión con los agentes en ambas regiones de su instancia de Connect Customer.

  • Tras replicar una instancia de Connect Customer, solo se genera un punto de conexión de SAML para las instancias. Este punto final siempre contiene la fuente Región de AWS en la URL.

  • No es necesario configurar un estado de retransmisión cuando se utiliza la URL de inicio de sesión de SAML personalizada con Connect Customer Global Resiliency.

Cómo integrar su proveedor de identidades

  1. Al crear una réplica de la instancia de Connect Customer mediante la ReplicateInstanceAPI, se genera una URL de inicio de sesión de SAML personalizada para las instancias de Connect Customer. La URL se genera con el siguiente formato:

    https://instance-id.source-region.sign-in.connect.aws/saml

    1. instance-ides el ID de instancia de cualquiera de las instancias de tu grupo de instancias. El ID de instancia es idéntico en las regiones de origen y de réplica.

    2. source-regioncorresponde a la AWS región de origen en la que se llamó a la ReplicateInstanceAPI.

  2. Agregue la siguiente política de confianza a su rol de federación de IAM. Utilice la URL del punto de conexión de SAML de inicio de sesión global como se muestra en el siguiente ejemplo.

    JSON
    {
   "Version":"2012-10-17",
   "Statement":[
      {
         "Effect":"Allow",
         "Principal":{
            "Federated":[
              "arn:aws:iam::111122223333:saml-provider/MySAMLProvider"
            ]
         },
         "Action":"sts:AssumeRoleWithSAML",
         "Condition":{
            "StringLike":{
               "SAML:aud":[
                  "https://instance-id.source-region.sign-in.connect.aws/saml*"
               ]
            }
         }
      }
   ]
}
    nota

    saml-provider-arn es el recurso del proveedor de identidades creado en IAM.

  3. Conceda acceso a connect:GetFederationToken para su InstanceId en su rol de federación de IAM. Por ejemplo:

    JSON
    {
"Version":"2012-10-17",
    "Statement": [
        {
            "Sid": "GetFederationTokenAccess",
            "Effect": "Allow",
            "Action": "connect:GetFederationToken",
            "Resource": "*",
            "Condition": {
                "StringEquals": {
                    "connect:InstanceId": "your-instance-id"
                }
            }
        }
    ]
}

  4. Agregue una asignación de atributos a su aplicación de proveedor de identidades mediante las siguientes cadenas de atributos y valores.

    Atributo Valor

    https://aws.amazon.com/SAML/Attributes/Role

    saml-role-arn,identity-provider-arn

  5. Configure la URL del servicio de consumidor de aserción (ACS) de su proveedor de identidades para que apunte a su URL de inicio de sesión de SAML personalizada. Utilice el siguiente ejemplo para la URL de ACS:

    https://instance-id.source-region.sign-in.connect.aws/saml?&instanceId=instance-id&accountId=your AWS account ID&role=saml-federation-role&idp=your SAML IDP&destination=optional-destination

  6. Establezca los siguientes campos en los parámetros de URL:

    • instanceId: el identificador de su instancia de Connect Customer. Para obtener instrucciones sobre cómo encontrar el ID de instancia, consulte Busque el ARN o el ID de instancia de Connect Customer.

    • accountId: el ID de AWS cuenta en el que se encuentran las instancias de Connect Customer.

    • role: Se establece en el nombre o el nombre de recurso de Amazon (ARN) de la función SAML utilizada para la federación de clientes de Connect.

    • idp: establézcalo al nombre o nombre de recurso de Amazon (ARN) del proveedor de identidades de SAML en IAM.

    • destination: establézcalo a la ruta opcional a la que llegarán los agentes a la instancia después de iniciar sesión (por ejemplo: /agent-app-v2).