Définition des restrictions d’adresse IP et des délais d’expiration des sessions dans Amazon Connect - Amazon Connect
Commencer à utiliser les profils d'authentificationConfiguration du contrôle d’accès basé sur IPExemples de configurations d’adresse IPConfigurer les délais d'expiration des sessions utilisateur

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Définition des restrictions d’adresse IP et des délais d’expiration des sessions dans Amazon Connect

Note

Cette caractéristique est disponible en version préliminaire et est susceptible d’être modifiée. Pour accéder à cette caractéristique, contactez votre architecte de solutions Amazon Connect, votre responsable de compte technique, ou Support.

Pour verrouiller davantage votre centre d’appels, par exemple afin de respecter les exigences et les règlements de votre secteur d’activité, vous pouvez définir des restrictions d’adresse IP et des délais d’expiration de session.

  • Les restrictions relatives aux adresses IP obligent les agents à se connecter uniquement depuis votre VPN ou à bloquer l’accès depuis des pays ou des sous-réseaux spécifiques.

  • Les expirations de session nécessitent que les agents se connectent à Amazon Connect à nouveau.

Dans Amazon Connect, vous configurez un profil d’authentification pour définir les restrictions d’adresse IP et les durées de session des agents connectés. Un profil d’authentification est une ressource qui stocke les paramètres d’authentification des utilisateurs de votre centre d’appels.

Commencer à utiliser les profils d'authentification

Votre instance Amazon Connect inclut un profil d’authentification par défaut. Ce profil d'authentification s'applique par défaut à tous les utilisateurs de votre centre de contact et n'a pas besoin d'être attribué.

Les profils d'authentification ne sont actuellement configurables qu'avec le AWS SDK. Pour configurer votre profil d'authentification par défaut, utilisez les commandes suivantes.

Astuce

Vous avez besoin de votre identifiant d’instance Amazon Connect pour exécuter ces commandes. Pour savoir comment trouver votre ID d’instance, consultez Localisation de l’ID ou de l’ARN de votre instance Amazon Connect.

  1. Répertoriez les profils d’authentification de votre instance pour obtenir l’ID du profil d’authentification que vous souhaitez mettre à jour. Vous pouvez appeler l'ListAuthenticationProfileAPI ou exécuter la commande list-authentication-profiles CLI.

    Voici un exemple de commande list-authentication-profiles :

    aws connect list-authentication-profiles --instance-id your-instance-id

    Voici un exemple du profil d’authentification par défaut renvoyé par la commande list-authentication-profiles.

    {
    "AuthenticationProfileSummaryList": [
        {
        "Arn": "arn:aws:connect:us-west-2:account-id:instance/your-instance-id/authentication-profile/profile-id",
        "Id": "profile-id",
        "IsDefault": true,
        "LastModifiedRegion": "us-west-2",
        "LastModifiedTime": 1.719249173664E9,
        "Name": "Default Authentication Profile"
        }
    ],
    "NextToken": null
}

  2. Affichez la configuration du profil d’authentification que vous souhaitez mettre à jour. Vous pouvez appeler DescribeAuthenticationProfileou exécuter la commande describe-authentication-profile CLI.

    Voici un exemple de commande describe-authentication-profile :

    aws connect describe-authentication-profile --instance-id your-instance-id --profile-id profile-id

    Voici un exemple des informations renvoyées par la commande describe-authentication-profile.

    {
    "AuthenticationProfile": {
    "AllowedIps": [],
    "Arn": "arn:aws:connect:us-west-2:account-id:instance/your-instance-id/authentication-profile/profile-id",
    "BlockedIps": [],
    "CreatedTime": 1.718999177811E9,
    "Description": "A basic default Authentication Profile",
    "Id": "profile-id",
    "IsDefault": true,
    "LastModifiedRegion": "us-west-2",
    "LastModifiedTime": 1.719249173664E9,
    "MaxSessionDuration": 720,
    "Name": "Default Authentication Profile",
    "PeriodicSessionDuration": 60,
    "SessionInactivityDuration": 60,
    "SessionInactivityHandlingEnabled": false
    }
}

    Pour une description de chaque champ, consultez AuthenticationProfilele manuel Amazon Connect API Reference.

  3. Configurez le profil d'authentification à l'aide de l'UpdateAuthenticationProfileAPI ou de la commande update-authentication-profile CLI. Tous les champs exceptés InstanceId et ProfileId sont facultatifs. Seuls les paramètres que vous définissez dans l’appel d’API sont modifiés.

    Voici un exemple de commande update-authentication-profile : Configure le profil d’authentification par défaut qui est automatiquement attribué à tous les utilisateurs. Il autorise certaines adresses IP, en bloque d'autres, active la déconnexion automatique en cas d'inactivité des utilisateurs et fixe la durée d'inactivité de la session à 60 minutes.

    aws connect update-authentication-profile 
    --instance-id your-instance-id 
    --profile-id profile-id
    --name "Default Authentication Profile"
    --description "A basic default Authentication Profile"
    --allowed-ips "ip-range-1" "ip-range-2" ...
    --blocked-ips "ip-range-3" "ip-range-4" ...
    --session-inactivity-handling-enabled
    --session-inactivity-duration 60

Configuration du contrôle d’accès basé sur IP

Si vous souhaitez configurer l’accès à votre centre d’appels en fonction des adresses IP, vous pouvez utiliser la fonctionnalité de contrôle d’accès basée sur l’IP de votre profil d’authentification.

Il existe deux types de configurations IP que vous pouvez configurer dans un profil d’authentification : les plages d’adresses IP autorisées et les plages d’adresses IP bloquées. Les points suivants décrivent le fonctionnement du contrôle d’accès basé sur adresse IP.

  • Les adresses IP peuvent être IPV4 aux deux IPV6 formats.

  • Vous pouvez définir à la fois des adresses IP individuelles et des plages d’adresses IP en notation CIDR.

  • Les configurations IP bloquées sont toujours prioritaires.

  • Si des adresses IP sont définies dans la liste des adresses IP autorisées, seules ces adresses IP sont autorisées.

    • Ces adresses IP peuvent être limitées par la liste des adresses IP bloquées.

  • Si seules les adresses IP bloquées sont définies, toutes les adresses IP peuvent accéder à l’instance, à l’exception de celles définies dans la liste de blocage.

  • Si les adresses IP sont définies à la fois dans les listes d’adresses IP autorisées et bloquées, seules les adresses IP définies dans la plage autorisée sont autorisées, excepté les adresses IP comprises dans la plage bloquée.

Note

Le contrôle d’accès basé sur l’adresse IP ne s’applique pas à la connexion administrateur d’urgence. Pour appliquer des restrictions à cet utilisateur, vous pouvez appliquer des restrictions SourceIp dans vos politiques IAM pour l’API connect:AdminGetEmergencyAccessToken.

Lorsqu’il est déterminé que l’adresse IP d’un utilisateur est bloquée par l’instance, la session de l’utilisateur est invalidée. Un événement de déconnexion est publié dans le rapport de connexion/déconnexion.

Expérience des utilisateurs lorsque la vérification de leur adresse IP échoue

Agents

Lorsqu’un agent est actif dans le panneau de configuration des contacts (CCP), son adresse IP est vérifiée périodiquement.

Voici ce qui se passe si l’adresse IP échoue à la vérification :

  • Si l’agent n’est pas en cours d’appel, il est déconnecté si son adresse IP devient une adresse non autorisée.

  • Si l'agent est en cours d'appel, la session de l'agent est invalidée. Toutefois, cela ne met pas fin à l'appel actuellement actif. Voici ce qui se produit :

    1. L’agent perd la capacité de prendre des mesures, telles que modifier son statut d’agent, transférer des appels, mettre un appel en attente, y mettre fin ou créer un cas.

    2. L’agent est informé que sa capacité à agir dans le CCP est limitée.

    3. S’il se connecte avec succès après l’invalidation de sa session, il est replacé dans l’appel actif et peut à nouveau passer à l’action.

Administrateurs et utilisateurs utilisant le site Web d' Amazon Connect administration

Lorsque la vérification de l’adresse IP échoue pour les administrateurs et les autres utilisateurs effectuant des actions sur le site Web d’administration Amazon Connect , par exemple en enregistrant des mises à jour des ressources ou en accédant à des appels actifs, ils sont automatiquement déconnectés.

Exemples de configurations d’adresse IP

Exemple 1 : adresses IP définies uniquement dans la liste des adresses IP autorisées

  • AllowedIps: [ 111.222.0.0/16 ]

  • BlockedIps: [ ]

Résultat :

  • Seules les adresses IP entre 111.222.0.0 et 111.222.255.255 sont autorisées à accéder à l’instance.

Exemple 2 : adresses IP définies uniquement dans la liste des adresses IP bloquées

  • AllowedIps: [ ]

  • BlockedIps: [155.155.155.0/24 ]

Résultat :

  • Toutes les adresses IP sont autorisées, à l’exception de la plage d’adresses IP 155.155.155.0 - 155.155.155.255 (inclus).

Exemple 3 : adresses IP définies à la fois dans la liste des adresses IP autorisées et dans la liste des adresses IP bloquées

  • AllowedIps: [ 200.255.0.0/16 ]

  • BlockedIps: [200.255.10.0/24, 200.255.40.50, 192.123.211.211 ]

Résultat :

  • Les adresses IP situées dans la plage 200.255.0.0 - 200.255.255.255 sont autorisées, sauf (200.255.10.0 - 200.255.10.255 AND 200.255.40.50).

  • Les adresses IP de la plage 200.255.0.0 - 200.255.9.255, 200.255.11.0 - 200.255.40.49, 200.255.40.51 - 200.255.255.255 sont bien autorisées.

  • Les adresse IP de la plage 192.123.211.211 sont bien ignorées, car elles ne se situent pas dans la plage autorisée.

Exemple 4 : aucune adresse IP n’est définie dans la liste des adresses IP autorisées ou dans la liste des adresses IP bloquées

  • AllowedIps: [ ]

  • BlockedIps: [ ]

Dans ce cas, il n’y a aucune restriction.

Important

La allowedIps liste définit l'éventail des possibilités IPs autorisées dans votre centre de contact uniquement si elle n'est pas vide. S’il est vide, toute adresse IP est autorisée à accéder à votre centre d’appels, sauf si explicitement bloquée par la liste blockedIps.

Configurer les délais d'expiration des sessions utilisateur

Une session Amazon Connect est définie comme une période continue d'accès authentifié au site Web de votre centre d'appels. Deux délais d’expiration de session s’appliquent aux sessions utilisateur de votre centre d’appels :

  • Durée maximale de session : cette valeur représente la durée maximale pendant laquelle un utilisateur du centre de contact peut être connecté avant d'être obligé de se reconnecter. Cette valeur par défaut est de 12 heures et n'est pas configurable.

  • Durée d'inactivité de la session : Cette valeur représente la période avant qu'un agent ne soit automatiquement déconnecté du centre de contact lorsqu'il devient inactif.

Par défaut, les utilisateurs de votre instance Amazon Connect restent connectés jusqu'à ce que la durée maximale de session de 12 heures soit écoulée, sans déconnexion automatique en cas d'inactivité. Toutefois, les entreprises ayant des exigences de sécurité et de conformité plus strictes peuvent tirer parti des profils d'authentification pour activer la déconnexion automatique lorsque les utilisateurs deviennent inactifs. Une fois activée, cette fonctionnalité surveille les modèles d'activité des utilisateurs et met automatiquement fin aux sessions une fois la durée d'inactivité configurée dépassée.

Un utilisateur du centre de contact est considéré comme actif lorsqu'il effectue l'une des actions suivantes :

  • Activité de la souris et du clavier sur le panneau de configuration des contacts (CCP), l'espace de travail de l'agent ou le site Web de l'administrateur

  • Présence d'un contact vocal actif

S'il est déterminé que l'utilisateur est inactif, une fenêtre contextuelle apparaît à l'écran pour l'avertir que sa session est sur le point d'expirer pour cause d'inactivité. Un utilisateur peut choisir de rester connecté ou de se déconnecter.

Pour activer la déconnexion automatique en cas d'inactivité de l'utilisateur, effectuez les appels d'API suivants sur un profil d'authentification de votre instance à l'aide du SDK Amazon Connect.

aws connect update-authentication-profile 
    --instance-id <your-instance-id> 
    --profile-id <profile-id>
    --session-inactivity-handling-enabled
    --session-inactivity-duration <minutes between 15 and 720>
Note

Les clients qui intègrent leur centre d'appels à un fournisseur tiers (tel que Salesforce Service Cloud Voice (SCV)) doivent consulter la documentation du fournisseur pour déterminer si cette fonctionnalité est prise en charge avant d'activer les déconnexions automatiques en cas d'inactivité.

Note

Les clients qui utilisent AmazonConnectStreams le AmazonConnect SDK pour intégrer leurs applications Web existantes à Amazon Connect doivent implémenter la gestion des activités dans le cadre de leur intégration avant d'activer la déconnexion automatique en cas d'inactivité des utilisateurs. Consultez la documentation du AmazonConnect SDK AmazonConnectStreams ou du SDK pour plus d'informations.

Note

La déconnexion automatique en cas d'inactivité des utilisateurs n'est pas prise en charge lors de l'utilisation d'Amazon Connect dans une infrastructure de bureau virtuel (VDI) avec un modèle CCP partagé.