View a markdown version of this page

Configurer SAML avec IAM pour Connect Customer - Client Amazon Connect
Remarques importantesPrésentation de l'utilisation de SAML avec Connect CustomerActivation de SAML-based l'authentification pour Connect CustomerSélection de l'authentification basée sur SAML 2.0 pendant la création de l'instanceActivez la fédération SAML entre votre fournisseur d'identité et AWSConfiguration du fournisseur d'identité pour utiliser les points de terminaison SAML régionauxUtilisation d'une destination dans votre URL d'état de relaisAjoutez des utilisateurs à votre instance Connect CustomerConnexion des utilisateurs SAML et durée des sessions

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Configurer SAML avec IAM pour Connect Customer

Connect Customer prend en charge la fédération des identités en configurant le langage SAML (Security Assertion Markup Language) 2.0 avec AWS IAM afin de permettre l'authentification unique (SSO) basée sur le Web entre votre organisation et votre instance Connect Customer. Cela permet à vos utilisateurs de se connecter à un portail de votre organisation hébergé par un fournisseur d'identité (IdP) compatible SAML 2.0 et de se connecter à une instance Connect Customer avec une expérience d'authentification unique sans avoir à fournir d'informations d'identification distinctes pour Connect Customer.

Remarques importantes

Avant de commencer, notez les éléments suivants :

Présentation de l'utilisation de SAML avec Connect Customer

Le schéma suivant montre l'ordre dans lequel les demandes SAML sont effectuées pour authentifier les utilisateurs et les fédérer avec Connect Customer. Il ne s’agit pas d’un schéma de flux pour un modèle de menace.

Vue d'ensemble du flux de demandes d'authentification SAML avec Connect Customer.

Les requêtes SAML suivent différentes étapes :

  1. L'utilisateur accède à un portail interne qui inclut un lien pour se connecter à Connect Customer. Le lien est défini dans le fournisseur d'identité.

  2. Le service de fédération demande l’authentification à partir de la base d’identités de l’organisation.

  3. La base d’identités authentifie l’utilisateur et renvoie la réponse d’authentification au service de fédération.

  4. Une fois l’authentification effectuée, le service de fédération publie l’assertion SAML sur le navigateur de l’utilisateur.

  5. Le navigateur de l'utilisateur publie l'assertion SAML sur le point de terminaison SAML de AWS connexion ()https://signin.aws.amazon.com/saml. AWS sign in reçoit la demande SAML, traite la demande, authentifie l'utilisateur et lance une redirection du navigateur vers le point de terminaison Connect Customer avec le jeton d'authentification.

  6. À l'aide du jeton d'authentification AWS fourni par, Connect Customer autorise l'utilisateur et ouvre Connect Customer dans son navigateur.

Activation de SAML-based l'authentification pour Connect Customer

Les étapes suivantes sont nécessaires pour activer et configurer l'authentification SAML à utiliser avec votre instance Connect Customer :

  1. Créez une instance Connect Customer et sélectionnez l'authentification basée sur SAML 2.0 pour la gestion des identités.

  2. Activez la fédération SAML entre votre fournisseur d'identité et AWS.

  3. Ajoutez des utilisateurs Connect Customer à votre instance Connect Customer. Connectez-vous à votre instance à l'aide du compte d'administrateur créé lors de la création de votre instance. Accédez à la page Gestion des utilisateurs et ajoutez des utilisateurs.

    Important

    • Pour obtenir la liste des caractères autorisés dans les noms d'utilisateur, consultez la documentation relative à la Username propriété dans l'CreateUseraction.

    • En raison de l'association d'un utilisateur Connect Customer et d'un rôle AWS IAM, le nom d'utilisateur doit correspondre exactement à RoleSessionName celui configuré avec votre intégration de fédération AWS IAM, qui finit généralement par être le nom d'utilisateur de votre annuaire. Le format du nom d'utilisateur doit correspondre à l'intersection des conditions de format de l'utilisateur Connect RoleSessionNameet d'un utilisateur Connect Customer, comme indiqué dans le schéma suivant :

      Même diagramme du nom de la session et de l'utilisateur Connect Customer.

  4. Configurez votre fournisseur d'identité pour les assertions SAML, la réponse d'authentification et l'état du relais. Les utilisateurs se connectent à votre fournisseur d'identité. En cas de succès, ils sont redirigés vers votre instance Connect Customer. Le rôle IAM est utilisé pour fédérer avec Connect Customer AWS, ce qui permet d'accéder à Connect Customer.

Sélection de l'authentification basée sur SAML 2.0 pendant la création de l'instance

Lorsque vous créez votre instance Connect Customer, sélectionnez l'option d'authentification basée sur SAML 2.0 pour la gestion des identités. À la deuxième étape, lorsque vous créez l'administrateur pour l'instance, le nom d'utilisateur que vous spécifiez doit correspondre exactement à un nom d'utilisateur de votre annuaire réseau existant. Il n'existe aucune option permettant de spécifier un mot de passe pour l'administrateur, car les mots de passe sont gérés par le biais de votre annuaire existant. L'administrateur est créé dans Connect Customer et le profil de sécurité Admin lui est attribué.

Vous pouvez vous connecter à votre instance Connect Customer, via votre IdP, en utilisant le compte administrateur pour ajouter des utilisateurs supplémentaires.

Activez la fédération SAML entre votre fournisseur d'identité et AWS

Pour activer SAML-based l'authentification pour Connect Customer, vous devez créer un fournisseur d'identité dans la console IAM. Pour plus d'informations, voir Permettre aux utilisateurs fédérés SAML 2.0 d'accéder à la console de AWS gestion.

Le processus de création d'un fournisseur d'identité AWS est le même pour Connect Customer. L'étape 6 du schéma de flux ci-dessus montre que le client est envoyé vers votre instance Connect Customer au lieu de AWS Management Console.

Les étapes nécessaires pour activer la fédération SAML AWS incluent :

  1. Créez un fournisseur SAML dans. AWS Pour plus d'informations, consultez Création de fournisseurs d'identité SAML.

  2. Créez un rôle IAM pour la fédération SAML 2.0 avec la AWS Management Console. Créez un seul rôle pour la fédération (un seul rôle est nécessaire et utilisé pour la fédération). Le rôle IAM détermine les autorisations dont disposent les utilisateurs qui se connectent via votre fournisseur d'identité dans AWS. Dans ce cas, les autorisations sont destinées à accéder à Connect Customer. Vous pouvez contrôler les autorisations d'accès aux fonctionnalités de Connect Customer à l'aide des profils de sécurité de Connect Customer. Pour plus d'informations, consultez Création d'un rôle pour la fédération SAML 2.0 (console).

    À l'étape 5, choisissez Autoriser l'accès à la programmation et à AWS la console de gestion. Créez la stratégie d'approbation décrite dans la rubrique dans la procédure Pour préparer la création d'un rôle pour la fédération SAML 2.0. Créez ensuite une politique pour attribuer des autorisations à votre instance Connect Customer. Les autorisations commencent à l'étape 9 de la procédure Pour créer un rôle pour la SAML-based fédération.

    Pour créer une stratégie pour l'attribution d'autorisations au rôle IAM pour la fédération SAML

    1. Sur la page Attacher une stratégie d'autorisations, choisissez Créer une stratégie.

    2. Sur la page Créer une politique, choisissez JSON.

    3. Copiez l'un des exemples de stratégies suivants et collez-le dans l'éditeur de stratégie JSON, en remplaçant le texte existant. Vous pouvez utiliser l'une ou l'autre stratégie pour activer la fédération SAML, ou bien les personnaliser selon vos besoins spécifiques.

      Utilisez cette politique pour activer la fédération pour tous les utilisateurs d'une instance Connect Customer spécifique. Pour SAML-based l'authentification, remplacez la valeur de par Resource l'ARN de l'instance que vous avez créée :

      JSON
      {
    "Version":"2012-10-17",
   "Statement": [
        {
            "Sid": "Statement1",
            "Effect": "Allow",
            "Action": "connect:GetFederationToken",
            "Resource": [
                "arn:aws:connect:us-east-1:361814831152:instance/2fb42df9-78a2-2e74-d572-c8af67ed289b/user/${aws:userid}"
            ]
        }
    ]
}

      Utilisez cette politique pour activer la fédération vers des instances spécifiques de Connect Customer. Remplacez la valeur de connect:InstanceId par l'ID d'instance de votre instance.

      JSON
      {
    "Version":"2012-10-17",
    "Statement": [
        {
            "Sid": "Statement2",
            "Effect": "Allow",
            "Action": "connect:GetFederationToken",
            "Resource": "*",
            "Condition": {
                "StringEquals": {
                    "connect:InstanceId": "2fb42df9-78a2-2e74-d572-c8af67ed289b"
                }
            }
        }
    ]
}

      Utilisez cette stratégie pour activer la fédération pour plusieurs instances. Notez les parenthèses autour des ID d'instance répertoriées.

      JSON
      {
    "Version":"2012-10-17",
    "Statement": [
        {
            "Sid": "Statement2",
            "Effect": "Allow",
            "Action": "connect:GetFederationToken",
            "Resource": "*",
            "Condition": {
                "StringEquals": {
                    "connect:InstanceId": [
                    "2fb42df9-78a2-2e74-d572-c8af67ed289b", 
                    "1234567-78a2-2e74-d572-c8af67ed289b"]
                }
            }
        }
    ]
}

    4. Après avoir créé la stratégie, choisissez Next: Review (Suivant : Vérification). Revenez ensuite à l'étape 10 de la procédure Pour créer un rôle pour la SAML-based fédération de la rubrique Création d'un rôle pour la fédération SAML 2.0 (console).

  3. Configurez votre réseau en tant que fournisseur SAML pour AWS. Pour plus d'informations, voir Permettre aux utilisateurs fédérés SAML 2.0 d'accéder à la console de AWS gestion.

  4. Configurez des assertions SAML pour la réponse d'authentification. Pour plus d'informations, consultez Configuration des assertions SAML pour la réponse d'authentification.

  5. Pour Connect Customer, laissez l'URL de démarrage de l'application vide.

  6. Remplacez l'URL de l'application Consumer Service (ACS) dans votre fournisseur d'identité pour utiliser le point de terminaison régional qui coïncide avec celui Région AWS de votre instance Connect Customer. Pour de plus amples informations, veuillez consulter Configuration du fournisseur d'identité pour utiliser les points de terminaison SAML régionaux.

  7. Configurez l'état du relais de votre fournisseur d'identité pour qu'il pointe vers votre instance Connect Customer. L'URL à utiliser pour l'état du relais est composée de la manière suivante :

    https://region-id.console.aws.amazon.com/connect/federate/instance-id

    Remplacez-le region-id par le nom de la région dans laquelle vous avez créé votre instance Connect Customer, tel que us-east-1 pour USA East (Virginie du Nord). Remplacez le instance-id par l'ID d'instance de votre instance.

    GovCloud Par exemple, l'URL est https://console.amazonaws-us-gov.com/:

    • https://console.amazonaws-us-gov.com/connect/federate/instance-id

    Note

    Vous pouvez trouver l'ID d'instance de votre instance en choisissant l'alias d'instance dans la console Connect Customer. L'ID d'instance correspond à la série de lettres et de chiffres figurant après le « / » dans l'ARN de l'instance affiché sur la page Présentation. Par exemple, l'ID d'instance dans l'ARN suivant est 178c75e4-b3de-4839-a6aa-e321ab3f3770.

    arn:aws:connect:us-east-1:450725743157:instance/178c75e4-b3de-4839-a6aa-e321ab3f3770

Configuration du fournisseur d'identité pour utiliser les points de terminaison SAML régionaux

Pour garantir une disponibilité optimale, nous recommandons d'utiliser le point de terminaison SAML régional qui coïncide avec votre instance Connect Customer au lieu du point de terminaison global par défaut.

Les étapes suivantes sont indépendantes de l'IdP ; elles fonctionnent pour n'importe quel IdP SAML (par exemple, Okta, Ping, OneLogin Shibboleth, ADFS, AzuRead, etc.).

  1. Mettez à jour (ou remplacez) l'URL Assertion Consumer Service (ACS). Il y a deux manières de procéder :

    • Option 1 : Téléchargez les métadonnées AWS SAML et mettez à jour l'Locationattribut selon la région de votre choix. Chargez cette nouvelle version des métadonnées AWS SAML dans votre IdP.

      Voici un exemple de version révisée :

      <AssertionConsumerService index="1" isDefault="true" Binding="urn:oasis:names:tc:SAML:2.0:bindings:HTTP-POST" Location="https://region-id.signin.aws.amazon.com/saml"/>

    • Option 2 : remplacez l'URL AssertionConsumerService (ACS) dans votre IdP. IdPs Comme Okta, qui propose des AWS intégrations prédéfinies, vous pouvez remplacer l'URL ACS dans la console d'administration. AWS Utilisez le même format pour remplacer la région de votre choix (par exemple, https ://region-id.signin.aws.amazon). com/saml).

  2. Mettez à jour la stratégie d'approbation des rôles associée :

    1. cette étape doit être effectuée pour chaque rôle de chaque compte qui fait confiance au fournisseur d'identité donné.

    2. Modifiez la relation de confiance et remplacez la condition SAML:aud singulière par une condition à valeurs multiples. Par exemple :

      • Par défaut : "SAML:aud« :" https://signin.aws.amazon.com/saml ».

      • Avec des modifications : "SAML:aud« : [" https://signin.aws.amazon.com/saml «, « https ://region-id.signin.aws.amazon. com/saml«]

    3. Apportez ces modifications aux relations de confiance à l'avance. Elles ne doivent pas être effectuées dans le cadre d'un plan lors d'un incident.

  3. Configurez un état de relais pour la page de Region-specific console.

    1. Si vous n'effectuez pas cette dernière étape, rien ne garantit que le processus de connexion Region-specific SAML redirigera l'utilisateur vers la page de connexion de la console dans la même région. Cette étape est très variable selon le fournisseur d'identité, mais il existe des blogs (par exemple, Comment utiliser SAML pour diriger automatiquement les utilisateurs fédérés vers une page spécifique de la console de gestion AWS) qui présentent l'utilisation de l'état relais pour créer des liens profonds.

    2. À l'aide de l'état technique/parameters approprié à votre IdP, définissez l'état du relais sur le point de terminaison de console correspondant (par exemple, https ://region-id.console.aws.amazon). com/connect/fédérer/). instance-id

Note

  • Assurez-vous que STS n'est pas désactivé dans vos régions supplémentaires.

  • Assurez-vous qu'aucun SCP ne bloque les actions STS dans vos régions supplémentaires.

Utilisation d'une destination dans votre URL d'état de relais

Lorsque vous configurez l'état du relais pour votre fournisseur d'identité, vous pouvez utiliser l'argument destination dans l'URL pour diriger les utilisateurs vers une page spécifique de votre instance Connect Customer. Par exemple, utilisez un lien pour ouvrir directement le panneau de configuration des contacts lorsqu'un agent se connecte. L'utilisateur doit se voir attribuer un profil de sécurité qui accorde l'accès à cette page de l'instance. Par exemple, pour envoyer des agents au panneau de configuration des contacts, utilisez une URL semblable à celle suit pour l'état de relais. Vous devez utiliser l'encodage par URL comme valeur de destination utilisée dans l'URL :

  • https://us-east-1.console.aws.amazon.com/connect/federate/instance-id?destination=%2Fccp-v2%2Fchat&new_domain=true

Voici un autre exemple d'URL valide :

  • https://us-east-1.console.aws.amazon.com/connect/federate/instance-id?destination=%2Fagent-app-v2

GovCloud Par exemple, l'URL est https://console.amazonaws-us-gov.com/. L'adresse serait donc la suivante :

  • https://console.amazonaws-us-gov.com/connect/federate/instance-id?destination=%2Fccp-v2%2Fchat&new_domain=true

Si vous souhaitez configurer l'argument de destination pour une URL extérieure à l'instance Connect Customer, telle que votre propre site Web personnalisé, ajoutez d'abord ce domaine externe aux origines approuvées du compte. Par exemple, effectuez les étapes dans l'ordre suivant :

  1. Dans la console Connect Customer, ajoutez https ://your-custom-website.com à vos origines approuvées. Pour obtenir des instructions, veuillez consulter Utiliser une liste d'autorisation pour les applications intégrées dans Connect Customer.

  2. Dans votre fournisseur d'identité, configurez votre état de relais sur https://your-region.console.aws.amazon.com/connect/federate/instance-id?destination=https%3A%2F%2Fyour-custom-website.com

  3. Lorsque vos agents se connectent, ils sont directement redirigés vers https ://your-custom-website.com.

Ajoutez des utilisateurs à votre instance Connect Customer

Ajoutez des utilisateurs à votre instance Amazon Connect, en vous assurant que les noms d'utilisateur correspondent exactement aux noms d'utilisateur de votre annuaire existant. Si les noms ne correspondent pas, les utilisateurs peuvent se connecter au fournisseur d'identité, mais pas à Connect Customer car aucun compte utilisateur portant ce nom d'utilisateur n'existe dans Connect Customer. Vous pouvez ajouter des utilisateurs manuellement sur la page Gestion des utilisateurs, ou vous pouvez charger automatiquement plusieurs utilisateurs à l'aide du modèle CSV. Après avoir ajouté les utilisateurs à Connect Customer, vous pouvez attribuer des profils de sécurité et d'autres paramètres utilisateur.

Lorsqu'un utilisateur se connecte au fournisseur d'identité, mais qu'aucun compte portant le même nom d'utilisateur n'est trouvé dans Connect Customer, le message Accès refusé suivant s'affiche.

Une erreur d'accès refusé pour un utilisateur dont le nom ne figure pas dans Connect Customer.
Chargement automatique de plusieurs utilisateurs à l'aide du modèle

Vous pouvez importer vos utilisateurs en les ajoutant à un fichier CSV. Ensuite, vous pouvez importer le fichier CSV dans votre instance qui ajoute tous les utilisateurs au fichier. Si vous ajoutez des utilisateurs en chargeant un fichier CSV, veillez à utiliser le modèle pour les utilisateurs SAML. Vous pouvez le trouver sur la page de gestion des utilisateurs dans Connect Customer. Un modèle différent est utilisé pour SAML-based l'authentification. Si vous avez déjà téléchargé le modèle, vous devez télécharger la version disponible sur la page de gestion des utilisateurs après avoir configuré votre instance avec SAML-based l'authentification. Le modèle ne doit pas inclure de colonne pour l'e-mail ou le mot de passe.

Connexion des utilisateurs SAML et durée des sessions

Lorsque vous utilisez SAML dans Connect Customer, les utilisateurs doivent se connecter à Connect Customer par le biais de votre fournisseur d'identité (IdP). Votre IdP est configuré pour s'intégrer à. AWS Après l'authentification, un jeton pour sa session est créé. L'utilisateur est ensuite redirigé vers votre instance Connect Customer et connecté automatiquement à Connect Customer à l'aide de l'authentification unique.

La meilleure pratique consiste également à définir un processus permettant aux utilisateurs de Connect Customer de se déconnecter lorsqu'ils ont fini d'utiliser Connect Customer. Ils doivent se déconnecter à la fois de Connect Customer et de votre fournisseur d'identité. Dans le cas contraire, la prochaine personne qui se connecte au même ordinateur peut se connecter à Connect Customer sans mot de passe, car le jeton des sessions précédentes est toujours valide pendant toute la durée de la session. Il reste valide pendant 12 heures.

À propos de l'expiration de session

Les sessions Connect Customer expirent 12 heures après la connexion d'un utilisateur. Passé ce délai de 12 heures, les utilisateurs sont automatiquement déconnectés, même en cours d'appel. Si vos agents restent connectés pendant plus de 12 heures, ils doivent actualiser le jeton de session avant qu'il n'expire. Pour créer une nouvelle session, les agents doivent se déconnecter de Connect Customer et de votre IdP, puis se reconnecter. Ceci permet de réinitialiser le minuteur de session défini sur le jeton afin que vos agents ne soient pas déconnectés au cours d'un appel avec un client. Lorsqu'une session expire alors qu'un utilisateur est connecté, le message suivant s'affiche. Pour utiliser à nouveau Connect Customer, l'utilisateur doit se connecter à votre fournisseur d'identité.

Message d'erreur affiché lorsque la session expire pour un SAML-based utilisateur.
Note

Si le message Session expirée s’affiche lorsque vous vous connectez, il vous suffit probablement d’actualiser le jeton de session. Accédez à votre fournisseur d’identité et connectez-vous. Actualisez la page Connect Customer. Si ce message persiste, contactez votre équipe informatique.