View a markdown version of this page

Intégrez votre fournisseur d'identité (IdP) à un point de terminaison de connexion SAML Connect Customer Global Resiliency - Client Amazon Connect
Avant de commencerPoints importants à connaîtreComment intégrer votre fournisseur d’identité

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Intégrez votre fournisseur d'identité (IdP) à un point de terminaison de connexion SAML Connect Customer Global Resiliency

Pour permettre à vos agents de se connecter une seule fois et d'être connectés aux deux AWS régions afin de traiter les contacts de la région active actuelle, vous devez configurer les paramètres IAM pour utiliser le point de terminaison SAML de connexion globale.

Avant de commencer

Vous devez activer le protocole SAML pour que votre instance Connect Customer puisse utiliser Connect Customer Global Resiliency. Pour plus d’informations sur le démarrage de la fédération IAM, consultez Activation de l’accès des utilisateurs fédérés SAML 2.0 à la Console de gestion AWS.

Points importants à connaître

  • Le basculement de l'agent n'est pris en charge que lors de l'utilisation du point de terminaison de connexion global.

  • Pour exécuter les étapes décrites dans cette rubrique, vous avez besoin de votre ID d’instance. Pour savoir comment la trouver, consultez Trouvez l'ID ou l'ARN de votre instance Connect Customer.

  • Vous devez également connaître la région source de vos instances Connect Customer. Pour découvrir comment la trouver, consultez Comment trouver la région source de vos instances Connect Customer.

  • Si vous intégrez votre application Connect dans un iframe, vous devez vous assurer que votre domaine figure dans la liste des origines approuvées à la fois dans votre instance source et dans votre instance de réplica afin que la connexion globale fonctionne.

    Pour configurer Approved Origins au niveau de l’instance, suivez les étapes décrites dans Utiliser une liste d'autorisation pour les applications intégrées dans Connect Customer.

  • Les agents doivent déjà être créés dans vos instances Connect Customer source et répliquée et avoir le même nom d'utilisateur que le nom de session du rôle fourni par votre fournisseur d'identité (IdP). Dans le cas contraire, vous obtenez une erreur UserNotOnboardedException et vous risquez de perdre les capacités de redondance des agents entre vos instances.

  • Vous devez associer des agents à un groupe de répartition du trafic avant que les agents tentent de se connecter. Dans le cas contraire, la connexion de l’agent échoue avec une erreur ResourceNotFoundException. Pour en savoir plus sur la façon de configurer vos groupes de répartition du trafic et de leur associer des agents, consultez Associez des agents à des instances Connect Customer sur plusieurs instances AWS Régions.

  • Lorsque vos agents se fédérent dans Connect Customer à l'aide de la nouvelle URL de connexion SAML, Connect Customer Global Resiliency essaie toujours de connecter l'agent à la fois à vos régions/instances source et à vos répliques, quelle que soit la méthode configurée dans votre SignInConfig groupe de distribution de trafic. Vous pouvez le vérifier en consultant CloudTrail les journaux.

  • La SignInConfig distribution dans votre groupe de distribution de trafic par défaut détermine uniquement celui qui Région AWS est utilisé pour faciliter la connexion. Quelle que soit la configuration de votre SignInConfig distribution, Connect Customer essaie toujours de connecter les agents aux deux régions de votre instance Connect Customer.

  • Après avoir répliqué une instance Connect Customer, un seul point de terminaison de connexion SAML est généré pour vos instances. Ce point de terminaison contient toujours la source Région AWS dans l'URL.

  • Il n'est pas nécessaire de configurer un état de relais lorsque vous utilisez l'URL de connexion SAML personnalisée avec Connect Customer Global Resiliency.

Comment intégrer votre fournisseur d’identité

  1. Lorsque vous créez une réplique de votre instance Connect Customer à l'aide de l'ReplicateInstanceAPI, une URL de connexion SAML personnalisée est générée pour vos instances Connect Customer. L’URL est générée au format suivant :

    https://instance-id.source-region.sign-in.connect.aws/saml

    1. instance-idest l'ID d'instance pour l'une ou l'autre des instances de votre groupe d'instances. L’ID d’instance est identique dans les régions source et de réplica.

    2. source-regioncorrespond à la AWS région source dans laquelle l'ReplicateInstanceAPI a été appelée.

  2. Ajoutez la stratégie d’approbation suivante à votre rôle de fédération IAM. Utilisez l’URL du point de terminaison SAML de connexion globale, comme illustré dans l’exemple suivant.

    JSON
    {
   "Version":"2012-10-17",
   "Statement":[
      {
         "Effect":"Allow",
         "Principal":{
            "Federated":[
              "arn:aws:iam::111122223333:saml-provider/MySAMLProvider"
            ]
         },
         "Action":"sts:AssumeRoleWithSAML",
         "Condition":{
            "StringLike":{
               "SAML:aud":[
                  "https://instance-id.source-region.sign-in.connect.aws/saml*"
               ]
            }
         }
      }
   ]
}
    Note

    saml-provider-arn est la ressource du fournisseur d’identité créée dans IAM.

  3. Accordez l’accès à connect:GetFederationToken pour votre InstanceId sur votre rôle de fédération IAM. Par exemple :

    JSON
    {
"Version":"2012-10-17",
    "Statement": [
        {
            "Sid": "GetFederationTokenAccess",
            "Effect": "Allow",
            "Action": "connect:GetFederationToken",
            "Resource": "*",
            "Condition": {
                "StringEquals": {
                    "connect:InstanceId": "your-instance-id"
                }
            }
        }
    ]
}

  4. Ajoutez un mappage d’attributs à votre application de fournisseur d’identité à l’aide des chaînes d’attributs et de valeurs suivantes.

    Attribut Value

    https://aws.amazon.com/SAML/Attributes/Role

    saml-role-arn,identity-provider-arn

  5. Configurez l’URL Assertion Consumer Service (ACS) de votre fournisseur d’identité pour qu’elle pointe vers votre URL de connexion SAML personnalisée. Utilisez l’exemple suivant pour l’URL ACS :

    https://instance-id.source-region.sign-in.connect.aws/saml?&instanceId=instance-id&accountId=your AWS account ID&role=saml-federation-role&idp=your SAML IDP&destination=optional-destination

  6. Définissez les champs suivants dans les paramètres d’URL :

    • instanceId: identifiant de votre instance Connect Customer. Pour savoir comment trouver votre ID d’instance, consultez Trouvez l'ID ou l'ARN de votre instance Connect Customer.

    • accountId: ID du AWS compte sur lequel se trouvent les instances Connect Customer.

    • role: défini sur le nom ou Amazon Resource Name (ARN) du rôle SAML utilisé pour la fédération Connect Customer.

    • idp : le nom ou l’Amazon Resource Name (ARN) du fournisseur d’identité SAML dans IAM.

    • destination : le chemin facultatif où les agents arriveront dans l’instance après s’être connectés (par exemple : /agent-app-v2).