Tetapkan batasan alamat IP dan batas waktu sesi di Amazon Connect - Amazon Connect
Memulai dengan profil otentikasiKonfigurasikan kontrol akses berbasis IPContoh konfigurasi alamat IPKonfigurasikan batas waktu sesi pengguna

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Tetapkan batasan alamat IP dan batas waktu sesi di Amazon Connect

catatan

Fitur ini dalam rilis pratinjau dan dapat berubah. Untuk mendapatkan akses ke fitur ini, hubungi Arsitek Solusi Amazon Connect, Manajer Akun Teknis, atau Dukungan.

Untuk lebih mengunci pusat kontak Anda, misalnya, untuk mematuhi persyaratan dan peraturan di industri Anda, Anda dapat mengatur batasan alamat IP dan batas waktu sesi.

  • Pembatasan alamat IP mengharuskan agen untuk masuk hanya dari VPN Anda, atau memblokir akses dari negara atau subnet tertentu.

  • Waktu tunggu sesi mengharuskan agen untuk masuk ke Amazon Connect lagi.

Di Amazon Connect, Anda mengonfigurasi profil otentikasi untuk menetapkan batasan alamat IP dan durasi sesi agen yang masuk. Profil otentikasi adalah sumber daya yang menyimpan pengaturan otentikasi untuk pengguna di pusat kontak Anda.

Memulai dengan profil otentikasi

Instans Amazon Connect Anda menyertakan profil autentikasi default. Profil otentikasi ini berlaku untuk semua pengguna di pusat kontak Anda secara default dan tidak perlu ditetapkan.

Profil otentikasi saat ini hanya dapat dikonfigurasi dengan SDK. AWS Untuk mengonfigurasi profil otentikasi default Anda, gunakan perintah berikut.

Tip

Anda memerlukan ID instans Amazon Connect untuk menjalankan perintah ini. Untuk petunjuk tentang cara menemukan ID instans Anda, lihatTemukan ID instans Amazon Connect atau ARN.

  1. Buat daftar profil otentikasi di instans Anda untuk mendapatkan ID profil dari profil otentikasi yang ingin Anda perbarui. Anda dapat memanggil ListAuthenticationProfileAPI atau menjalankan perintah list-authentication-profiles CLI.

    Berikut ini adalah contoh list-authentication-profiles perintah:

    aws connect list-authentication-profiles --instance-id your-instance-id

    Berikut ini adalah contoh profil otentikasi default yang dikembalikan oleh list-authentication-profiles perintah.

    {
    "AuthenticationProfileSummaryList": [
        {
        "Arn": "arn:aws:connect:us-west-2:account-id:instance/your-instance-id/authentication-profile/profile-id",
        "Id": "profile-id",
        "IsDefault": true,
        "LastModifiedRegion": "us-west-2",
        "LastModifiedTime": 1.719249173664E9,
        "Name": "Default Authentication Profile"
        }
    ],
    "NextToken": null
}

  2. Lihat konfigurasi profil otentikasi yang ingin Anda perbarui. Anda dapat memanggil DescribeAuthenticationProfileatau menjalankan perintah describe-authentication-profile CLI.

    Berikut ini adalah contoh describe-authentication-profile perintah:

    aws connect describe-authentication-profile --instance-id your-instance-id --profile-id profile-id

    Berikut ini adalah contoh informasi yang dikembalikan oleh describe-authentication-profile perintah.

    {
    "AuthenticationProfile": {
    "AllowedIps": [],
    "Arn": "arn:aws:connect:us-west-2:account-id:instance/your-instance-id/authentication-profile/profile-id",
    "BlockedIps": [],
    "CreatedTime": 1.718999177811E9,
    "Description": "A basic default Authentication Profile",
    "Id": "profile-id",
    "IsDefault": true,
    "LastModifiedRegion": "us-west-2",
    "LastModifiedTime": 1.719249173664E9,
    "MaxSessionDuration": 720,
    "Name": "Default Authentication Profile",
    "PeriodicSessionDuration": 60,
    "SessionInactivityDuration": 60,
    "SessionInactivityHandlingEnabled": false
    }
}

    Untuk deskripsi setiap bidang, lihat AuthenticationProfiledi Referensi Amazon Connect API.

  3. Konfigurasikan profil otentikasi dengan menggunakan UpdateAuthenticationProfileAPI atau perintah update-authentication-profile CLI. Semua bidang kecuali InstanceId dan ProfileId bersifat opsional. Hanya pengaturan yang Anda tentukan dalam panggilan API yang diubah.

    Berikut ini adalah contoh update-authentication-profile perintah. Ini mengonfigurasi profil otentikasi default yang secara otomatis ditetapkan ke semua pengguna. Ini memungkinkan beberapa alamat IP, memblokir yang lain, memungkinkan logout otomatis pada ketidakaktifan pengguna, dan menetapkan durasi ketidakaktifan sesi menjadi 60 menit.

    aws connect update-authentication-profile 
    --instance-id your-instance-id 
    --profile-id profile-id
    --name "Default Authentication Profile"
    --description "A basic default Authentication Profile"
    --allowed-ips "ip-range-1" "ip-range-2" ...
    --blocked-ips "ip-range-3" "ip-range-4" ...
    --session-inactivity-handling-enabled
    --session-inactivity-duration 60

Konfigurasikan kontrol akses berbasis IP

Jika Anda ingin mengonfigurasi akses ke pusat kontak Anda berdasarkan alamat IP, Anda dapat menggunakan fitur kontrol akses berbasis IP dari profil otentikasi Anda.

Ada dua jenis konfigurasi IP yang dapat Anda konfigurasikan dalam profil otentikasi: rentang alamat IP yang diizinkan dan rentang alamat IP yang diblokir. Poin-poin berikut menjelaskan cara kerja kontrol akses berbasis IP.

  • Alamat IP bisa dalam IPV6 format IPV4 dan keduanya.

  • Anda dapat menentukan alamat IP individual dan rentang alamat IP dalam notasi CIDR.

  • Konfigurasi IP yang diblokir selalu diutamakan.

  • Jika alamat IP didefinisikan dalam daftar IP yang Diizinkan, hanya alamat IP yang diizinkan.

    • Alamat IP ini dapat dicakup oleh daftar IP yang Diblokir.

  • Jika hanya alamat IP yang Diblokir yang ditentukan, alamat IP apa pun dapat mengakses instance, kecuali yang ditentukan dalam daftar blokir.

  • Jika alamat IP didefinisikan dalam daftar alamat IP yang diizinkan dan diblokir, hanya alamat IP yang ditentukan dalam rentang yang diizinkan yang diizinkan, dikurangi alamat IP apa pun dalam rentang yang diblokir.

catatan

Kontrol akses berbasis alamat IP tidak berlaku untuk login admin darurat. Untuk menerapkan pembatasan pada pengguna ini, Anda dapat menerapkan SourceIp batasan dalam kebijakan IAM Anda untuk APIconnect:AdminGetEmergencyAccessToken.

Ketika alamat IP pengguna ditentukan untuk diblokir oleh instance, sesi pengguna akan dibatalkan. Peristiwa logout dipublikasikan dalam laporan Login/Logout.

Apa yang dialami pengguna ketika pemeriksaan alamat IP mereka gagal

Agen

Ketika agen aktif di Contact Control Panel (CCP), alamat IP mereka diperiksa secara berkala.

Berikut adalah apa yang terjadi jika alamat IP gagal cek:

  • Jika agen tidak melakukan panggilan aktif, agen akan keluar jika alamat IP mereka berubah menjadi alamat yang tidak diizinkan.

  • Jika agen melakukan panggilan aktif, sesi agen tidak valid. Namun, ini tidak mengakhiri panggilan yang sedang aktif. Inilah yang terjadi:

    1. Agen kehilangan kemampuan untuk mengambil tindakan apa pun, seperti mengubah status agen, mentransfer panggilan, menunda panggilan, mengakhiri panggilan, atau membuat kasus.

    2. Agen diberitahu bahwa kemampuan mereka untuk mengambil tindakan di PKT dibatasi.

    3. Jika mereka berhasil masuk setelah sesi mereka tidak valid, mereka ditempatkan kembali ke panggilan aktif dan dapat mengambil tindakan lagi.

Admin dan pengguna yang menggunakan situs web admin Amazon Connect

Ketika pemeriksaan alamat IP gagal untuk admin dan pengguna lain yang mengambil tindakan di situs web Amazon Connect admin, seperti menyimpan pembaruan ke sumber daya atau menerobos masuk ke panggilan aktif, mereka secara otomatis keluar.

Contoh konfigurasi alamat IP

Contoh 1: Alamat IP hanya ditentukan dalam daftar IP yang diizinkan

  • AllowedIps: [ 111.222.0.0/16 ]

  • BlockedIps: [ ]

Hasil:

  • Hanya alamat IP antara 111.222.0.0 dan 111.222.255.255 yang diizinkan untuk mengakses instance.

Contoh 2: Alamat IP hanya ditentukan dalam daftar IP yang diblokir

  • AllowedIps: [ ]

  • BlockedIps: [155.155.155.0/24 ]

Hasil:

  • Semua alamat IP diperbolehkan, kecuali rentang alamat IP 155.155.155.0 - 155.155.155.255 inklusif.

Contoh 3: Alamat IP didefinisikan dalam daftar IP yang diizinkan dan daftar IP yang diblokir

  • AllowedIps: [ 200.255.0.0/16 ]

  • BlockedIps: [200.255.10.0/24, 200.255.40.50, 192.123.211.211 ]

Hasil:

  • Alamat IP antara 200.255.0.0 - 200.255.255.255 diperbolehkan, minus(200.255.10.0 - 200.255.10.255 AND 200.255.40.50).

  • Secara efektif, 200.255.0.0 - 200.255.9.255, 200.255.11.0 - 200.255.40.49, 200.255.40.51 - 200.255.255.255 diperbolehkan.

  • 192.123.211.211secara efektif diabaikan karena tidak berada dalam jangkauan rentang yang Diizinkan.

Contoh 4: Tidak ada alamat IP yang ditentukan dalam daftar IP yang diizinkan atau daftar IP yang diblokir

  • AllowedIps: [ ]

  • BlockedIps: [ ]

Dalam hal ini, tidak ada batasan.

penting

allowedIpsDaftar ini menentukan kisaran kemungkinan yang IPs diizinkan di pusat kontak Anda hanya jika tidak kosong. Jika kosong, alamat IP apa pun diizinkan untuk mengakses pusat kontak Anda kecuali secara eksplisit diblokir oleh daftar. blockedIps

Konfigurasikan batas waktu sesi pengguna

Sesi Amazon Connect didefinisikan sebagai periode berkelanjutan dari akses terautentikasi ke situs web pusat kontak Anda. Ada dua batas waktu sesi yang berlaku untuk sesi pengguna di pusat kontak Anda:

  • Durasi sesi maksimum: Nilai ini mewakili periode waktu maksimum pengguna pusat kontak dapat masuk sebelum dipaksa untuk masuk lagi. Nilai ini default hingga 12 jam dan tidak dapat dikonfigurasi.

  • Durasi ketidakaktifan sesi: Nilai ini mewakili periode sebelum agen secara otomatis keluar dari pusat kontak ketika mereka tidak aktif.

Secara default, pengguna di instans Amazon Connect Anda tetap masuk hingga durasi sesi maksimum 12 jam berlalu, tanpa logout otomatis untuk ketidakaktifan. Namun, organisasi dengan persyaratan keamanan dan kepatuhan yang lebih ketat dapat memanfaatkan profil otentikasi untuk mengaktifkan keluar otomatis saat pengguna menjadi tidak aktif. Setelah diaktifkan, fitur ini memantau pola aktivitas pengguna dan secara otomatis mengakhiri sesi setelah durasi ketidakaktifan sesi yang dikonfigurasi telah berlalu.

Pengguna pusat kontak dianggap aktif saat melakukan salah satu tindakan berikut:

  • Aktivitas mouse dan keyboard pada Panel Kontrol Kontak (CCP), Ruang Kerja Agen, atau Situs Web Admin

  • Kehadiran kontak suara aktif

Jika pengguna ditentukan untuk tidak aktif, pop-up akan muncul di layar memperingatkan pengguna bahwa sesi mereka akan kedaluwarsa karena tidak aktif. Pengguna dapat memilih untuk tetap masuk atau keluar.

Untuk ikut serta dalam logout otomatis saat pengguna tidak aktif, lakukan panggilan API berikut pada profil autentikasi di instans Anda menggunakan Amazon Connect SDK.

aws connect update-authentication-profile 
    --instance-id <your-instance-id> 
    --profile-id <profile-id>
    --session-inactivity-handling-enabled
    --session-inactivity-duration <minutes between 15 and 720>
catatan

Pelanggan yang mengintegrasikan pusat kontak mereka dengan vendor pihak ketiga (seperti Salesforce Service Cloud Voice (SCV)) harus merujuk ke dokumentasi vendor untuk menentukan apakah fitur ini didukung sebelum mengaktifkan log-out otomatis saat tidak aktif.

catatan

Pelanggan yang memanfaatkan AmazonConnectStreams atau AmazonConnect SDK untuk mengintegrasikan aplikasi web yang ada dengan Amazon Connect harus menerapkan penanganan aktivitas sebagai bagian dari integrasi mereka sebelum mengaktifkan log-out otomatis pada ketidakaktifan pengguna. Lihat dokumentasi AmazonConnectStreams atau AmazonConnect SDK untuk informasi selengkapnya.

catatan

Log-out otomatis pada ketidakaktifan pengguna tidak didukung saat menggunakan Amazon Connect di Virtual Desktop Infrastructure (VDI) dengan model CCP terpisah.